Heimnetzwerk Professionalisierung

[Lockedoor]

Hallo Zusammen,

da die Anzahl der Geräte, denen ich nur bedingt vertraue, in meinem Heimnetz immer größer wird, möchte ich mein Netz gerne in mehrere VLANs unterteilen.
Ich hab dazu mal ein kleines Diagramm gemalt, das ich hier anhänge:

In kurzen Worten beschrieben:
Ich möchte 3 eigenständige VLANs. Eins für meine privaten Geräte, eines für meinen von außen erreichbaren Server und eines für diverse IoT Geräte und Gäste. Bisher hängen alle Geräte flach nebeneinander im gleichen Netz bzw. Gästenetz.
Macht die Aufteilung aus eurer Sicht so wie ich mir das überlegt habe Sinn? Die Kommunikation sollte dann vom V1 in die beiden anderen möglich sein, nicht aber in die entgegengesetzte Richtung.

Am meisten interessiert mich aber, welche Hardware ihr für dieses Vorhaben empfehlen würdet. Das Modem vom Provider, sowie einen TP-Link AP (WR841N) habe ich bereits. Benötigt wird also vor allem ein Router und ein (5GHz) AccessPoint für meine privaten Geräte. Hier habe ich in letzter Zeit viel positives über die Geräte von Ubiquiti Networks gehört. Ich dachte an einen EdgeRouter X (evtl. die SFP Version, da ich dann auch noch einen Ethernet Port in Reserve hätte) und einen Unifi AP HD oder AP AC Lite.
Wären die Geräte (vor allem natürlich der Router) in der Lage, mein Vorhaben so umzusetzen? Könnt ihr vielleicht noch Alternativen empfehlen?

Vielen Dank schon im Voraus!
Lockedoor

 

[leipziger1979]

Geräte, denen ich nur bedingt vertraue

Solche Geräte schmeisst man aus dem Netzwerk, ohne wenn und aber.

Aber mal eine andere Frage, wie weit reichen deine Netzwerkkenntnisse?
OSI-Modell, Routing, Switching und Co.?

Und der von dir benannte "EdgeRouter X", kann der überhaupt mehrere LANs mit VLAN trennen und stellt jedem ein Gateway zur Verfügung?

 

[d4nY]

Die Aufteilung ist in meinen Augen durchaus in Ordnung.

Als zentrale Instanz würde ich dir aber eine Firewall wie bspw. pfsense oder OPNsense nahe legen. Die kann Routing, du kannst dich damit über das Modem einwählen, du kannst Ports zwischen den Netzen und zum WAN öffnen und schließen wie du lustig bist und es kann mit VLANs umgehen
Ein Router könnte das was du vor hast wahrscheinlich über ACLs irgendwie auch, aber schön ist was anderes. Für sowas gibt's eben Firewalls

Da kannst du dann entweder eine kleine Appliance dafür hernehmen (die APU-Boards sind ideal dafür) oder falls bereits vorhanden kannst du die Firewall auch virtuell betreiben.
Du bräuchtest dann nur einen (oder mehre) Switche die VLAN-fähig sind, aber das kann jeder mittlere smartmanaged Switch

Erfordert allerdings schon KnowHow, weil du dir sonst u.U. Tür und Tor ins Netz öffnest

 

[Raijin]

@leipziger1979 : Ein ER-X hat 5 LAN-Interfaces und kann auch mit Links mit VLANs umgehen, aber das wäre beim gegebenen Setup und 5 Interfaces ja gar nicht notwendig.

@Lockedoor
Der ER-X ist vom Preis-/Leistungsverhältnis diesbezüglich kaum zu schlagen. 50€ für einen 5-Port-Router sind schon ne Hausnummer. Einzig MikroTik kann hier PL-mäßig mithalten.

Prinzipiell eignet sich für diesen Zweck aber auch jede Sophos, pfSense, OPNsense oder vergleichbare Router/Firewall und es ist nicht zuletzt auch Geschmackssache. Ich setze seit einigen Jahren EdgeRouter beruflich wie auch privat ein und habe damit dementsprechend viel Erfahrung. Ich wollte mich aber demnächst auch mal intensiver mit MikroTik beschäftigen.

Bedenke aber, dass alle vorgeschlagenen Geräte eines gemeinsam haben: Es sind (semi)professionelle Lösungen, die einiges an Erfahrung und KnowHow erfordern. Die Youtube-Suche und google bedienen zu können reicht nicht aus, um sowas adäquat zu konfigurieren. Man muss nachvollziehen können warum und wieso und verstehen was der Sinn der Einstellungen ist. Bei einem Consumer-Router sieht der Nutzer zum Beispiel die Firewall überhaupt nicht, sondern lediglich einen Wizard für Portweiterleitungen, der selbige im Hintergrund automatisch konfiguriert. Eine professionelle Firewall ist nicht per Definition besser und sicherer als die eines 08/15 Routers, weil man bei der zu-Fuß-Konfiguration eben auch deutlich mehr Fehler machen kann!

 

[Hayda Ministral]

Interessantes Gerät @ER-X. Ist der lüfterlos? (für mich ein hartes Kriterium - kein eigener Raum für die IT vorhanden)

 

[Raijin]

Ich wüsste nicht wo da Platz für einen Lüfter sein sollte ^^

EdgeRouter-X

 

[Hayda Ministral]

Auch wieder wahr.

 

[Lockedoor]

Hallo Zusammen,

vielen Dank für eure Rückmeldungen.
Was das Know-How angeht, bin ich zuversichtlich das hinzukriegen da ich mich auch beruflich im IT Umfeld bewege. Mir ist aber natürlich bewusst, dass mein Vorhaben mit Arbeit verbunden ist. Wenn ich dabei noch was lerne ist das sicherlich kein negativer Nebeneffekt.

Solche Geräte schmeisst man aus dem Netzwerk, ohne wenn und aber.

Bin ich prinzipiell bei dir, aber wenn man die Funktionalität solcher Geräte nunmal nicht missen möchte, ist das manchmal nicht ohne weiteres möglich.

@Raijin: Nach jemanden wie dir habe ich gesucht.
Du meinst also, dass ein ER-X (+ Unifi AP) für mein Vorhaben geeignet ist? Was wären aus deiner Sicht Vorteile einer pfSense oder eines MikroTik devices? Was sind deiner Meinung nach die größten Schwächen der Ubiquiti Geräte? Auf welche Hardware würdest du an meiner Stelle setzen?

 

[Raijin]

Was wären aus deiner Sicht Vorteile einer pfSense oder eines MikroTik devices?

Die Unterschiede sind vielschichtig. MikroTik ist als Hersteller auf Augenhöhe mit Ubiquiti. Das Lineup ist aber nur bedingt vergleichbar, weil MikroTik zB auch WLAN-Router anbietet oder den Klassiker das RouterBoard. Auf der anderen Seite hat Ubiquiti auch Kameras im Angebot.

Was den Vergleich der reinen GUI von EdgeRouter, MikroTik, pfSense, OPNsense und Sophos betrifft, sehe ich EdgeOS tendenziell auf den hinteren Plätzen. Das liegt daran, dass die GUI nicht alle Funktionen nach außen führt. So sucht man beim EdgeRouter OpenVPN vergeblich in der GUI und muss auf die Kommandozeile runter. Kein Beinbruch, aber auch nicht sonderlich anwenderfreundlich.

pfSense oder auch OPNsense bzw Sophos spielen ihre Vorteile dahingehend aus, dass man sie auf mehr oder weniger beliebiger Hardware laufen lassen kann.

Für ein simples Routing-Szenario mit (V)LANs und Firewall sollten jedoch alle Varianten gangbare Lösungen sein. Nicht zuletzt ist es auch eine Frage der persönlichen Vorliebe. Google mal nach Demos der GUIs und/oder schau dir Tutorials bei Youtube an, um das Look&Feel von EdgeRouter, MikroTik, pfSense und Co aufzunehmen.

Was sind deiner Meinung nach die größten Schwächen der Ubiquiti Geräte?

Ubiquiti hat Schwächen bei IGMPv3, weil es nur mäßig oder gar nur über Umwege unterstützt wird. Deswegen hängen meine Entertain-Receiver direkt am Speedport und nicht in einem (V)LAN hinter meinem EdgeRouter. Es soll wohl funktionieren, aber ich habe keine Lust an etwas rumzufummeln, das woanders nur ein Haken ist.

Nach jemanden wie dir habe ich gesucht.

Stütze dich niemals nur auf eine einzelne Meinung in einem anonymen Forum - egal wessen Meinung es ist. Ich habe zB recht viel Erfahrung mit EdgeRoutern, aber bei den anderen genannten Kandidaten sind meine Kenntnisse .. .. ausbaufähig und daher mit Vorsicht zu genießen. Deswegen kann ich auch wenig zu deren Nachteilen sagen - was nicht heißt, dass sie keine haben! Da sind dann andere gefragt, die sich intensiver damit auseinandergesetzt haben.