ComputerBase Menü
Aktuelles

Heimnetzwerk segmentieren und erneuern

D

Dennis_b

Cadet 2nd Year
Registriert
Jan. 2022
Beiträge
31
Hallo zusammen,

ich lese mich nun seit einigen Wochen in das gesamte Thema Netzwerk ein und plane dabei mein eigenes Heimnetzwerk umzubauen. Aktuell im Einsatz befindet sich eine Fritzbox 7590, dahinter dann jegliche Geräte wie Laptops, Handys, Smart Home Geräte (Echot Dots, Lampen, Schalter, verschiedene Sensoren, bald ein Sonoff NS Panel etc.), mehrere Raspberry Pi (u.a. ioBroker, Plex Server etc.). Da in letzter Zeit die Anzahl der Smart Home Geräte gewachsen ist und ich den Schwenk zu OpenSource Software gegangen bin, um auch mal günstigere Komponenten einzubinden, wollte ich mein Netzwerk segmentieren und so die Kommunikation unter den Geräten teilweise einschränken.

Ich habe viele Ideen im Kopf, kann mich aber noch nicht zu einer Entscheidung durchringen.

Option a)
Ich verwende den 4. Lan Port der 7590 als Gast-Lan und schließe da eine alte, kleine Fritz!Box 4420 mit OpenWRT an, um dort alle Smart Home Geräte + Pi's reinzupacken. Jedoch könnte ich dann aus dem Hauptnetzwerk nicht ohne weiteres auf die Geräte zugreifen (vom TV auf den Plex Server oder vom iPad auf den iobroker zur Einbindung in Homekit).

Option b)
Ich habe mich also auf die Suche nach geeigneter Hardware gemacht. Da ich bereits erste Erfahrungen mit den UniFi Geräten hatte, habe ich dort mal vorbeigeschaut und die Dream Machine Pro hat mir doch ziemlich gefallen. Je mehr ich über die Software Probleme der Unifi geräte gelesen habe, desto weniger Lust hatte ich auf diese. Die TP-Link Omada Geräte habe ich mir als nächstes angeschaut, jedoch war ich hier auch nicht vollends überzeugt.

Woraufhin ich zu meiner mir aktuell präferierten Option gekommen bin

Option c)
Eine OpnSense Firewall/Router aufstellen und hier meine gesamte Konfiguration hinsichtlich der VLANs vornehmen. dahinter dann einen Managed switch und einen AP. Als Modem würde ein DrayTek Vigor 167 zum Einsatz kommen, da die 7590 keinen Modem - only Modus hat und ich doppeltes NAT vermeiden möchte (außerdem könnte ich die 7590 heute bei Kleinanzeigen für fast den selben Preis verkaufen, wie ich sie vor knapp 1,5 Jahren gekauft habe). Die OpnSense könnte ich dann so konfigurieren, wie es mir passt und entsprechende Routing Regeln einstellen (einzelne Geräte mit anderen VLANs kommunizieren lassen). Jedoch bin ich mir hier bei der Hardware unsicher. Die Protectli's scheinen mir für die gelieferte Hardware ziemlich teuer zu sein. Teilweise gibt es für gutes Geld refurbished PCs mit guter Hardware (https://www.ebay.de/itm/28464041400...38&toolid=10001&siteid=77&customid=1447965472 oder https://www.ebay.de/itm/16531496510...38&toolid=10001&siteid=77&customid=1447965459). Über einen Austausch der Netzwerkkarte könnte ich dann auch einen zweiten Lan Port haben (1x WAN, 1x LAN; oder eine größere Netzwerkkarte für mehrere LANs). Features wie IDS und IPS klingen natürlich super, ich denke aber, dass ich auch irgendwo die Grenze setzen muss zwischen "Das brauche ich" und "Das will ich haben weil es cool klingt und ich was lernen kann, es aber eigentlich oversized für mich ist".


Ich freue mich auf euer Feedback und eine Diskussion zu dem Them und hoffe, dass ich bald einen Schritt näher zu meinem zukünftigen Setup gekommen bin.
 
Hi Dennis,

Ich hänge mich mal hier dran, da ich im nächsten halben Jahr von einer Wohnung mit Fritzbox in ein mehrstöckiges EFH umziehen werden. Ein Unifi Setup (USG, SW, AP) hatte ich ein paar Jahre, aber trotz meines Spieltriebes bin ich mit der Fritte insgesamt deutlich zufriedener (Das USG z.B. meldet nicht, wenn der Internet Uplink ausfällt- wer denkt sich sowas aus?). Omada plus OPNSense habe ich auch im Blick, mit *sense arbeite ich im Büro. Nachteil ist der Cap bei 500Mbit wegen BSD (https://www.heise.de/forum/heise-on...-um/OPNSense-Throughput/posting-40501443/show). Ganz los werde zumindest ich die Fritte nicht, da das DECT Telefon per SIP mitversorgt werden muss. Und schon sind wir wieder bei einem komplexen Setup (Modem, *sense, Omada, Fritzbox/Dect Basis, Switche)- nur um am Ende VLANs zu haben...

Hier hat jemand eine FW mit Supermicro gebaut, SM nutze ich seit Jahren in anderem Kontext, bin sehr zufrieden: https://www.imrazor.de/howto/selfmade-opnsense-appliance/

VG
Mike
 
also ich hab beim Umzug umgestellt von FritzBox auf Einzelgeräte ... naja, braucht halt mehr Strom, schnelleres Internet hat man dadurch auch nicht, und besser telefonieren kann man auch nicht. Aber es befriedigt den Spieltrieb :D So sieht es bei mir ca aus

1645089301145.png



Tipp: Virtualisiere die FW NICHT, lieber ein sparsamer alter Rechner
 
@mike667 Vielen Dank für den Link, finde das Setup ganz interessant und schaue mir da später noch ein Paar reviews zu an. 500 Mbit reichen mir (aktuell) definitiv, da es hier (noch) kein FTTH gibt und ich aktuell eine 250/50 VDSL Leitung habe.

@LieberNetterFlo JA, der verflixte Spieltrieb :D Auch wenn ich nicht so viel HW brauche wie du es bei dir hast, wird es definitiv mehr Strom verbrauchen, als die Fritz!Box aktuell. Evtl etwas mehr Sicherheit... Und zur FW: Virtualisierung soll definitiv nicht zum Einsatz kommen, ich suche nach einer Hardware die dediziert für die FW zum Einsatz kommt.
 
  • Gefällt mir
Reaktionen: LieberNetterFlo
mehrere Gründe gegen VM:

  • wenn der VM Host rebootet wegen Update hast du kein Internet
  • wenn der VM Host Probleme mit den VMs oder dem Netzwerk hat kann deine Router-VM betroffen sein und du hast kein Internet
  • der VM Host macht ja noch andere Dinge und hat eventuell keine Ressourcen für deine Router-VM
  • der VM Host arbeitet ja die ganze Zeit, und hat dadurch eine höhere Ausfallrate (z.B. Festplatte) als ein dediziertes Gerät
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: PERKELE
da würde ich eher genau den anderen Weg gehen

Virtualisier die FW auf alle Fälle. Hier kannst Du im Fall der Fälle recht easy die VM auf anderer Hardware wieder hochfahren und hast sofort wieder Internetzugang. Ich verwende hierfür eine alte Cisco IronPort C160 und virtualisier darauf mit MS Hyper-V 2016. Auf diesem System läuft nur diese eine VM, aber im Fehlerfall kann ich jeglichen anderen PC mit Netzwerkkarten ausrücken und die VM hochfahren.
 
Moin,

den Aufbau von @LieberNetterFlo könnte man als Blaupause nehmen, jedoch solltet ihr euch immer die Frage stellen, ob diese tollen Konstrukte auch die notwendige Redundanz haben, und wie schnell ihr wieder ein funktionstüchtiges Netz aufbauen könnt. Je ausgefeilter euer Netzwerk wird, desto eher benötigt ihr Redundanzen und einen Plan B, wenn etwas ausfällt. Genauso wie es in professionellen Netzen auch meistens gehandhabt wird.

Die Gründe gegen eine virtualisierte Firewall sind imho nicht ganz so, wie Flo es dargestellt hat: Ob der ESXi durchläuft oder ein eigener Firewall-PC ist fast egal. Auch Firewalls brauchen Updates und die Ressourcen im Virtualisierungshost sollten ausreichend vorhanden sein, ansonsten läuft eh irgendwas unrund.

Aber was bei Virtualisierung als großes Risiko besteht: Wenn jemand aus der VM ausbricht, dann sitzt er mitten in der Torte drin und hat freie Fahrt. Wenn er "nur" die Firewall zerschießt, dann sind WAN und LAN getrennt und soweit erstmal sicher.

@Rego: Genauso wie Du Deine VM auf einem anderen (vorbereiteten) Host zurücksichern kannst, könnte man auch die FW-Software installieren und ein Konfigurationsbackup einspielen. Die reine Softwareinstallation ist ähnlich zügig erledigt.
 
Dennis_b schrieb:
Option a)
Ich verwende den 4. Lan Port der 7590 als Gast-Lan und schließe da eine alte, kleine Fritz!Box 4420 mit OpenWRT an, um dort alle Smart Home Geräte + Pi's reinzupacken. Jedoch könnte ich dann aus dem Hauptnetzwerk nicht ohne weiteres auf die Geräte zugreifen
Zum Vergrößern anklicken....
Nicht nur "nicht ohne weiteres", sondern gar nicht. Das Gast-Netzwerk ist eine Black Box und lässt sich nicht konfigurieren, also auch keine Ausnahmen.


Dennis_b schrieb:
Eine OpnSense Firewall/Router aufstellen und hier meine gesamte Konfiguration hinsichtlich der VLANs vornehmen. dahinter dann einen Managed switch und einen AP. Als Modem würde ein DrayTek Vigor 167 zum Einsatz kommen, da die 7590 keinen Modem - only Modus hat und ich doppeltes NAT vermeiden möchte
Zum Vergrößern anklicken....
Doppel-NAT entsteht nur, wenn am nachgelagerten Router NAT aktiviert ist, was in keinster Weise ein Muss ist. Bei Consumer-Routern kann man das NAT am WAN nicht abschalten, aber bei einer *sense hast du freie Hand und kannst tun und lassen was du willst, inkl. WAN ohne NAT. Anschließend muss man nur eine statische Route im Internetrouter anlegen und fertig ist das geroutete Netzwerk OHNE Doppel-NAT.


Zu Firewall auf Metall oder in einer VM: Beides ist vollkommen legitim und beides hat Vor- und Nachteile. Es ist sinnfrei, gegeneinander zu argumentieren was besser/schlechter ist, weil es für beide Positionen valide Argumente gibt.
 
@Joe Dalton als backup würde hier noch eine alte 7490 rumliegen, die innerhalb von wenigen Minuten startklar wäre, um die "kritische" Infrastruktur wieder ans Netz zu bringen. Natürlich dann ohne die gesamte Konfiguration mit VLANs etc, aber möchte auch nicht für den Fall der Fälle weitere Hardware vorhalten, lieber dann bei Änderungen regelmäßig Konfigurationsbackups erstellen und wenn dann etwas ausfallen sollte, punktuell diese Hardware austauschen und das Backup einspielen.
Ergänzung ()

Raijin schrieb:
Nicht nur "nicht ohne weiteres", sondern gar nicht. Das Gast-Netzwerk ist eine Black Box und lässt sich nicht konfigurieren, also auch keine Ausnahmen.
Zum Vergrößern anklicken....
An die 4420 mit OpenWRT könnte ich per WLAN ran und wäre so "mit weiterem" im Netzwerk drin.
 
M-X schrieb:
Wenn du das VLAN Management über eine *sense box machst dann musst du auch bedenken das sämtlicher InterVLAN Traffic über die *sense box läuft. Dh die *sense box sollte dann schon auch mit 10Gbits angebunden sein sonst ist die der Flaschenhals.
Zum Vergrößern anklicken....
Wäre die alternative hierzu ein Layer 3 Switch? D.h. der Opnsense würde Firewall und Routing aufgaben Richtung WAN übernehmen, der Layer 3 Switch würde VLAN und InterVLAN übernehmen.
 
Dennis_b schrieb:
An die 4420 mit OpenWRT könnte ich per WLAN ran und wäre so "mit weiterem" im Netzwerk drin.
Zum Vergrößern anklicken....
Das sind doch zwei Paar Schuhe. Du hast geschrieben, dass du nicht "ohne weiteres" vom Haupt- ins Gastnetzwerk der 7590 kommst. Das ist Fakt und da kommt man auch nicht dran vorbei, weil das Sinn und Zweck des Gastnetzwerks ist. Wenn du nun einen Router/AP ins Gastnetzwerk hängst und dich direkt mit diesem verbindest, ist das eine vollkommen andere Situation, weil das eine Direktverbindung ist. Du kommst aber nach wie vor nicht vom Haupt- ins Gastnetzwerk, weil die Firewall der 7590 das blockiert. Direktverbindungen gehen aber an der 7590 vorbei und hebeln je nach Anwendungsfall auch das Sicherheitskonzept aus.




Dennis_b schrieb:
Wäre die alternative hierzu ein Layer 3 Switch?
Zum Vergrößern anklicken....
Prinzipiell ja. Ein L3-Switch mit Inter-VLAN-Routing kann effektiv direkt von VLAN ins VLAN "switchen". Es entfällt der Flaschenhals des Uplinks für jedes VLAN zum zentralen Router.

Ohne L3-Switch:

Client
(P1 - VLAN10)
Switch
(P12 - VLAN10)
|
(eth0)
Router
(eth1)
|
(P24 - VLAN20)
Switch
(P13 - VLAN20)
|
Server

In diesem Fall steht wenigstens jedem VLAN ein eigener Uplink zum Router zur Verfügung. Ist der Uplink als Trunk ausgeführt, wird er entsprechend mehrfach belastet.


Mit L3-Switch:

Client
(P1 - VLAN10)
Switch
(P13 - VLAN20)
|
Server

In diesem Fall wird der Uplink gar nicht benötigt, da der L3-Switch direkt routet.


Ob man einen L3-Switch benötigt oder ob ein Router mit Uplink ausreicht, hängt von den Anforderungen ab. Wenn viel Traffic zwischen den VLANs zu erwarten ist, wird der Uplink stärker belastet und muss entweder größer dimensioniert werden (2,5 / 5 / 10 GbE ) oder mittels LAG verbreitert werden. Bei sehr viel Traffic zwischen den VLANs wird ein L3-Switch immer sinnvoller.
 
  • Gefällt mir
Reaktionen: Dennis_b
Raijin schrieb:
Ob man einen L3-Switch benötigt oder ob ein Router mit Uplink ausreicht, hängt von den Anforderungen ab. Wenn viel Traffic zwischen den VLANs zu erwarten ist, wird der Uplink stärker belastet und muss entweder größer dimensioniert werden (2,5 / 5 / 10 GbE ) oder mittels LAG verbreitert werden. Bei sehr viel Traffic zwischen den VLANs wird ein L3-Switch immer sinnvoller.
Zum Vergrößern anklicken....
"Sehr viel" Traffic erwarte ich (zumindest aktuell) eher nicht. Der Plex Server wäre im selben VLAN wie der Fire TV Cube, nächstes Jahr wird vermutlich ein NAS angeschafft, bei dem würde aber nichts dagegen sprechen im selben VLAN wie die PCs/Smartphones zu sein. Dementsprechend könnte ich mir den Aufpreis eines L3 Switches zumindest zu Beginn sparen.
Ergänzung ()

Vielen Dank schon einmal für die Hilfe! Gäbe es noch Hardware Empfehlungen für eine OpnSense Firewall? Dem Link von Mike667 konnte ich ein SuperMicro Mainboard als "herz" der Firewall entnehmen, was könnte man ansonsten noch sinnvoller weise einsetzen?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin
Ein L3-Switch wird eigentlich auch erst dann interessant, wenn man mehrere Quellen hat, die parallel mit mehreren Zielen Daten austauschen, in verschiedenen (V)LANs.

Wenn also zB Sohnemann gerade .. .. .sagen wir mal .. "ein Linux-Image" aus dem www runterlädt und Papa gleichzeitig die Filmsammlung vom NAS auf den Laptop kopiert (zB für den Urlaub, o.ä.). In solchen Szenarien kann es für die Dauer der Datenübertragung(en) in den Uplinks eng werden, insbesondere, wenn der Internetanschluss schnell ist (zB 1 Gbit/s) und der Sohn den Uplink schon alleine durch den Download auslasten könnte. Da das aber eher eine Momentaufnahme ist und in der Regel eher selten tatsächlich gleichzeitig passiert, ist das für einen Privathaushalt weitestgehend vernachlässigbar.

Deswegen kommen L3-Switches auch vorwiegend im professionellen Umfeld zum Einsatz, da dort deutlich mehr Clients aktiv sind und vom deutlich größer dimensionierten NAS/Server - oder gar mehreren - Daten ziehen.

Sollte es dennoch mit der Zeit stören, kann man sich immer noch einen L3-Switch zulegen oder aber man verbindet Router und (managed L2-)Switch mit zB 2x 1 Gbit/s und LAG.
 
M-X schrieb:
Wenn du das VLAN Management über eine *sense box machst dann musst du auch bedenken das sämtlicher InterVLAN Traffic über die *sense box läuft. Dh die *sense box sollte dann schon auch mit 10Gbits angebunden sein sonst ist die der Flaschenhals.
Zum Vergrößern anklicken....
Ich weiß ja nicht, was ihr an Daten zu Hause durch die Gegend schiebt, aber für den 08/15-Heimuser reichen die 1 GbE Ports locker aus. Nur die Firewall als solches sollte in der Lage sein, ein paar mehr Gigabits verarbeiten zu können. Im Beispiel von @Raijin sieht man das recht deutlich: im worst case würden die Transfers einfach ein wenig länger dauern.

Den Notwendigkeit von 10 Gbit/s an dieser Stelle würde ich gerne mal anhand von Belegen sehen: tonnenweise Full Backups und BD Rips, die 24x7 durch die Gegend geschoben werden müssen, derweil man mit dem 1 Gbit/s Internetzugang ein neues Webarchiv erstellt.

@Dennis_b Eines Deiner Ziel war auch die Abschottung der Netze, was mit einem L3-Switch nur bedingt möglich ist (-> access lists). Ob man sich ACLs wirklich antuen möchte bzw. ob es wirklich den großen Sicherheitsgewinn gibt, sei jetzt mal dahin gestellt. Aber ein L3-Switch macht primär nur Routing zwischen den Netzen im Stil von "Tag der offenen Tür": sehr schnell, sehr einfach, keine Sicherheit. Aus diesem Grund sieht man inzwischen auch häufiger Firewalls als zentrale L3-Instanzen, die dann ein (aufwendiges) Regelwerk haben.
 
  • Gefällt mir
Reaktionen: Dennis_b und Engaged
Joe Dalton schrieb:
Ich weiß ja nicht, was ihr an Daten zu Hause durch die Gegend schiebt, aber für den 08/15-Heimuser reichen die 1 GbE Ports locker aus.
Zum Vergrößern anklicken....
Ein 08/15 User setzt aber keinen Managed Switch mit *sense und VLANs auf, also der Zug ist schon abgefahren.

Ich wollte auch nur anmerken das dies eine Limitierung sein kann aber nicht muss. Wenn ich jetzt ein großes File vom PC VLAN ins NAS VLAN schieben will und beide zwar mit 10Gbits am Switch angeschlossen sind, aber der Traffic durch die *sense box muss die "nur" mit 1Gbits angebunden ist hast du den Salat wenn der Swicht kein VLAN Routing macht oder mit genug Bandbreite an der *sense box angebunden ist.

Wenn das ganze Netz aber eh bei ein 1Gbits bleibt ist es irrelevant.
 
Zuletzt bearbeitet:
M-X schrieb:
Ein 08/15 User setzt aber keinen Managed Switch mit *sense und VLANs auf, also der Zug ist schon abgefahren.
Zum Vergrößern anklicken....
Keine Ahnung wo Du eine zwingende Verbindung zwischen Segmentierung und Bandbreite siehst, aber auf den Zug werde ich definitiv nicht aufspringen.

M-X schrieb:
Ich wollte auch nur anmerken das dies eine Limitierung sein kann aber nicht muss. Wenn ich jetzt ein großes File vom PC VLAN ins NAS VLAN schieben will und beide zwar mit 10Gbits am Switch angeschlossen sind, aber der Traffic durch die *sense box muss die "nur" mit 1Gbits angebunden ist hast du den Salat wenn der Swicht kein VLAN Routing macht oder mit genug Bandbreite an der *sense box angebunden ist.
Zum Vergrößern anklicken....
Wenn... wenn... wenn... und ein Szenario, in dem sequentiell eine große Datei übertragen wird. Mehr Szenarien, die die Leistung benötigen, fallen Dir nicht ein?

Leistung sollte gekauft werden, wenn sie gebraucht wird. Schau Dir einfach mal die Auflistung der Systeme oben an: Da ist nichts, was mit 10 GbE durch die Gegend trötet. Und ein NAS kommt ggfs. erst nächstes Jahr.

Abgesehen davon bräuchte er dann eine Firewall mit einem Durchsatz von 10 Gbit/s (nicht nur L3, sondern auch Policies bzw. IDS): Das ist relativ teuer im Aufbau und Betrieb. Der kleine Celeron bzw. Pentium tut es dann nicht mehr.

Nicht vergessen: Das heimische Netzwerk demnächst auf 25/40/100 GbE hochrüsten. Wenn mehrere Allflash-System auf einmal was übertragen wollen, dann wird's eng auf 10 GbE. Ich finde es auch bedauerlich noch auf dem alten 1 GbE-Niveau zu hocken, keine Frage.
 
  • Gefällt mir
Reaktionen: Svengem79
Ich glaube nicht, dass @M-X das so gemeint hat. Nix wird so heiß gegessen wie es gekocht wird.

Relax :schluck:
 
  • Gefällt mir
Reaktionen: Joe Dalton und M-X
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
OEM RX 6800 XT erwerben
Antworten
14
Aufrufe
1.306
b|ank0r
b|ank0r
M
Netzteil und SSD Kaufberatung
2
Antworten
28
Aufrufe
914
till69
T
L
System verbessern für New World
2
Antworten
26
Aufrufe
2.006
Ja_Ge
Ja_Ge
Krakadil
Suche: Modem für DSL + mini PC für OpenWRT Router + Mesh mit OpenWRT + NAS
2
Antworten
31
Aufrufe
2.084
Paradox.13te
P
W
OPNsense Firewall: Hardwareberatung
2
Antworten
34
Aufrufe
2.311
Rassnahr
Rassnahr
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz