Heimnetzwerk Separierung

[Mahui]

Hallo zusammen,

ich tue mir gerade etwas schwer mein Konzept für die Aufteilung meines Heimnetzwerks.
Separiert ihr euer Heimnetz?
Wie viele Subnetze habt ihr?
Welche Geräte sind bei euch in verschiedenen Netzen?
Hab ihr ein Management-Lan?

Ich frage mich gerade ob ich es nicht zu kompliziert vorhabe - deshalb eine kleine Umfrage.

Haudi
Mahui

 

[cloudman]

Die Frage ist warum willst du es machen?
Gastnetzwerk oder wozu?
Wozuein Management LAN im Heimnetz ausser vielleicht zum üben und lernen.

 

[User007]

Hi...

Im Groben orientiert sich das wohl erstmal an der Anzahl und dem Nutzungszweck der in's Netzwerk einzubindenden Geräte.
Was hast Du denn alles?

 

[Millkaa]

Bei mir sind PC, Rece7ver, Amazon Stick, HUE, Tablets und Smartphones im Fritz Mesh.
Keine Unterteilung etc.
Mein Besuch, also gute Bekannte bekommen den Zugang. Sonst hat man hier guten LTE Empfang.

 

[derchris]

Ich habe VLANs

1. managed
2. trusted
3. work
4. iot
5. wifi_guests
6. vpn
7. voip

 

[Mahui]

Tatsächlich zielte meine Frage erst mal darauf ab einige Erfahrungswerte und Ideen zu sammeln. Vielleicht gibt es ja noch den einen oder anderen da draußen der ähnliche Pläne im Kopf hat oder umgesetzt hat.
Ja auch der "üben, lernen, spielen" faktor ist dabei.

Was ist vohanden:
Mehrere Switche
AP
Repeater
Fritzbox (nur VoIP)
2 Server mit VM's (DB-Server, Dashboard-Server, Unifi Controller)
2 NAS
TV
Sonos
Plex
Firetv
Smarthome Geräte (Steckdosen, Termostate,..)
Handy,Laptop
Gast-Netz
Drucker
Scanner
.....

 

[Fard Dwalling]

Würde mir das gehampel zu Hause nicht antun. Ein Gästenetz und gut. Habe aber auch den ganzen Tag auf der Arbeit damit zu tun. :-)

Zu Hause willste dann doch Mal mit der App das Smart Home bedienen, dann biste im falschen WLAN... Ach ne...

 

[derchris]

Zu Hause willste dann doch Mal mit der App das Smart Home bedienen, dann biste im falschen WLAN... Ach ne...

Gerade den China-Rotz Kram will man doch nicht in seinem eigentlich Netz haben?

 

[User007]

Na ja, das is' schon was - ich würd' da z.B. schon die Server und das SmartHome-Zeugs separieren.

[...] dann biste im falschen WLAN... Ach ne...

Das muß ja nur ordentlich geroutet werden.

 

[chrigu]

Wenn man sich selber grundlos das Leben schwer machen möchte, sollte man mind. 6 vlan -Switches und 4 routerkaskaden für das heimische Netzwerk machen. 2 subnetz für die Beleuchtung, 1 für pc und pro wlan Gerät je eines.
und mindestens noch eine Cisco/fortigate Firewall für ein dsl 16k Internet.
ironie off/
wenn du dich einfach nur informieren willst, wie das mit Vlan und subnetze funktioniert... gibt es sehr viele gute Tutorials und Lesestoff über das Thema.
da braucht es keine Umfrage.

 

[snaxilian]

Nein, simples routing reicht da leider nicht. Viele IoT Lösungen arbeiten mit Broadcasts zur Erkennung oder Kommunikation. Broadcasts werden standardmäßig nicht geroutet und das muss daher explizit weiter geleitet werden.

 

[cloudman]

Wenn ich mir meine DHCP Leases so anschaue ist auch bei mir eine Menge an Kleinkram und VMs aber mir geht's wie Fard Dwalling 🙂
Ich würde Vlan statt subnets verwenden wenn ich einen Teil der Geräte vom Rest des Netzwerks trennen möchte. Für mich persönlich sehe ich nicht dass sich der Aufwand lohnt. Ist aber Ansichtssache

 

[commandobot]

Separate VLANs für

• IoT/SmartHome (Übertragung von Daten zum Hersteller?)
• PC/NAS (persönliche Daten...)
• Gästezugang (Entkopplung von allen eigenen Geräten)
• IP-Kameras (QoS)
• Management

können ggf. Sinn machen. Wenn das Know-How vorhanden ist und die Infrastruktur geeignet.

Beispiel:
UniFi Firewall einstellen (VLAN Isolation, Security Gateway) | iDomiX - YouTube

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Die UniFi Security Gateway Firewall konfigurieren.

• Was ist nötig, um VLANs zu isolieren oder Dienste zu blocken?
• Ist mein Gastnetzwerk sicher?
• Was bedeutet WAN IN oder WAN OUT?

In Textform:
idomix.de/unifi-firewall-einstellen-vlan-isolation-security-gateway

Weitere Gedanken zur Separation von IoT:
computerbase.de/forum/threads/aufbau-heimnetzwerk-vlan.1674994/
community.ui.com/questions/HomeKit-on-Isolated-VLAN/2fd20346-59df-4662-9559-0ecac7ec83cb
https://vninja.net/2019/08/12/unifi-iot-networks/
reddit.com/r/homeautomation/comments/5ev7r2/hue_hub_on_separate_vlan/
https://www.symcon.de/forum/threads/42665-Vlan-mit-dem-ganzen-Rattenschwanz
https://community.spiceworks.com/to...orts-and-network-setup-for-philips-hue-bridge

 

[mr.w0lf]

Ich hab zuhause aktuell ein internes und ein Guest VLAN, falls das Thema Smart-Home mal aufkommt, pack ich die auch in ein eigenes VLAN.

 

[Mahui]

Ich habe VLANs

1. managed
2. trusted
3. work
4. iot
5. wifi_guests
6. vpn
7. voip

was für geräte unterscheidest du zwischen Trusted und work?

 

[Raijin]

Simple Antwort: So komplex wie nötig, aber so simpel wie möglich.

Wenn du von der Materie keine Ahnung hast, ist es nicht sinnvoll, am lebenden Netzwerk zu "lernen". Bei mehreren Subnetzen bzw. Netzwerken sind Kenntnisse vom Routing und Firewall noch das kleinste Problem. Weiter geht's dann bei Themen wie Broadcasts, NAT und dergleichen. Ich garantiere dir mehrere Wochen an Arbeit und womöglich sogar Probleme, die du niemals wirst lösen können, wenn du dich ausschließlich auf Youtube, Foren und sonstige externe Quellen verlassen musst.

@snaxilian hat oben schon ein weit verbreitetes Problem bei IoT-Geräten geschildert. Viele dieser Geräte werden bekanntlich über Apps auf dem Smartphone gesteuert. Komischerweise funktioniert es mit den Apps ganz ohne Zutun des Anwenders. Starten, nach Gerät suchen, steuern. Dumm nur, dass das nicht funktioniert, wenn das Smartphone im Hauptnetzwerk unterwegs ist und das IoT-Gerät (zB eine smarte Lampe) im IoT-Netzwerk sitzt. Solche Geräte bzw deren Apps sind vom Hersteller schlichtweg nicht für solche Szenarien ausgelegt.

Zwar habe ich nicht ganz so viele VLANs wie @derchris , aber mein Netzwerk ist dennoch sehr komplex. Nu mache ich das aber auch beruflich, kenne die Fallstricke und weiß wie sich die eine oder andere Hürde nehmen lässt. Wenn du dein Netzwerk ebenso aufbaust, rate ich dir, dich schon mal mit deiner neuen Frisur vertraut zu machen, der Glatze. Von deinen Fingernägeln kannst du dich auch schon verabschieden. Du wirst dir einfach dje Haare raufen und die Fingernägel abkauen, weil mal dieses Gerät nicht funktioniert, mal jenes.

Mein Rat:

1 Hauptnetzwerk
2 Gastnetzwerk
3 Diverses

1 und 2 sind weitestgehend trivial. Es gibt zahlreiche Anleitungen wie man eine Hardware-Firewall für ein Gastnetzwerk einrichten muss. Nu packst du erstmal alle vertrauenswürdigen Geräte ins Hauptnetzwerk und den Rest ins Gastnetz. Das dritte Netz nimmst du als Testgelände. Dort kannst du nach und nach zB deine IoT-Geräte reinsetzen und mit den Firewall- und ggfs NAT-Regeln experimentieren.

Wenn du ausreichend Erfahrung gesammelt hast, kannst du nach und nach weitere Geräte in eigene VLANs packen bis es am Ende evtl so aussieht wie bei @derchris. Das ist dann aber ein gewachsenes System, das mit Erfahrung, Sinn und Verstand entstanden ist und nicht "weil die im Forum das gesagt haben".

Also nochmal: So komplex wie nötig, aber so simpel wie möglich.

 

[derchris]

was für geräte unterscheidest du zwischen Trusted und work?

in work sind die Geräte (Laptops, Telefon) von der Firma, die wir fürs HomeOffice brauchen.
in trusted sind unsere privaten Geräte (iPhone, iPad, Laptop, Computer)

 

[Mahui]

Simple Antwort: So komplex wie nötig, aber so simpel wie möglich.
............
Wenn du dein Netzwerk ebenso aufbaust, rate ich dir, dich schon mal mit deiner neuen Frisur vertraut zu machen, der Glatze. Von deinen Fingernägeln kannst du dich auch schon verabschieden. Du wirst dir einfach dje Haare raufen und die Fingernägel abkauen, weil mal dieses Gerät nicht funktioniert, mal jenes.

..............

Made my day

1 und 2 sind weitestgehend trivial. Es gibt zahlreiche Anleitungen wie man eine Hardware-Firewall für ein Gastnetzwerk einrichten muss. Nu packst du erstmal alle vertrauenswürdigen Geräte ins Hauptnetzwerk und den Rest ins Gastnetz. Das dritte Netz nimmst du als Testgelände. Dort kannst du nach und nach zB deine IoT-Geräte reinsetzen und mit den Firewall- und ggfs NAT-Regeln experimentieren.

Wenn du ausreichend Erfahrung gesammelt hast, kannst du nach und nach weitere Geräte in eigene VLANs packen bis es am Ende evtl so aussieht wie bei @derchris. Das ist dann aber ein gewachsenes System, das mit Erfahrung, Sinn und Verstand entstanden ist und nicht "weil die im Forum das gesagt haben"

Auch befasse mich beruflich damit und habe bereits Gast-Netz/ IOT-Netz / ... Firewallregeln, NAT ...
Habe mich nur gewundert ob es andere Verrückte gibt sowas auch zuhause aufzubauen und tue mir etwas schwer mit der "Kategorisierung" welche Geräte wohin. Deshalb der Post um etwas Erfahrungswerte und Ideen zu sammeln

Danke für deine Antwort

 

[error]

Meiner Meinung nach brauchst du Zuhause maximal 3 Netze:
Eigene Geräte, Gastnetz und ggf. für Arbeitsgeräte. In der Regel sind Firmengeräte per Softwarevpn in der Frima angebunden und brauchen kein separates Netz.

Auch wenn es ein löblicher Ansatz ist, zuhause die Geräte zu separieren, macht es in den wenigsten Fällen sinn.
Vorallem weil dies meistens semiprofessionelle Hardware vorrausetzt was die Komplexität und die Fehlerquellen massiv steigen lässt. Zudem ist diese semiprofessionelle Hardware oft nicht ihne Vorkentnisse zu administrieren und der "gemeine Heimanwender" macht damit mehr kaputt als dass er sich hilft.
Das ist nicht böse gemeint aber leider zeigt es sich, dass diese "Hobbyadmins" dann oft in Forem beklagen, wenn etwas nicht funktioniert und dann bei den Hilfestellungen herauskommt, dass sie keine Ahnung haben was sie da machen.

Unifi ist hier ein gutes Beispiel. Semiprofessionelle Hardware, die mit den nötigen Kentnissen sehr viel ermöglicht. Allerdings scheitert es oft daran, dass der Heimanwender nicht mit der Einrichtung klar kommt bzw. nur einen sehr kleinen Teil davon nutzt. Z.B. ist ein Fritzbox Mesh genauso gut wie die die Unifi-APs in der normalen (Heim-)Anwendung. Und wer braucht bis zu vier Wlans zuhause?

Ich selber habe ein Heimnetz mit dem FB-Mesh und zwei Wlans (Heimgeräte und Gast).
Bisher hat sich KISS (Keep it simple, stupid), egal ob in der Firma oder Zuhause, bewährt.

Gruß

 

[Raijin]

Ok, aber auch dann rate ich zu dem beschriebenen Vorgehen. Wenn man sofort alles gleichzeitig anpackt und auf verschiedene VLANs aufteilt, hat man derart viele Baustellen, dass man gar nicht weiß wo man anfangen soll.

Die Aufteilung würde ich auf Basis der benötigten bzw. gewünschten Zugriffsrechte vornehmen, aber man sollte es nicht übertreiben. Das heißt

1 Alles (Haupt)
2 Nur Internet (Gast)
3 DMZ
4+ Restriktiv (zB separates Büro-Netzwerk, VoIP oder IoT)


Jede Kategorie definiert sich hierbei durch ihre Verbindungen zu den anderen bzw. zum Internet. D.h. es gibt in der Firewall entsprechende Regeln, die dies unterteilen. Wenn nun auch Geräte innerhalb einer Kategorie nicht untereinander kommunizieren dürfen, zB Gast-Geräte in 2, die nicht mit etwaigen eigenen Geräten in 2 verbinden dürfen, teilt man die Gruppe eben auf. Wobei man hierbei auf dem Teppich bleiben sollte.

Ich würde nun also wie oben beschrieben vorgehen und erstmal pauschal alles in Haupt- und Gastnetzwerk verfrachten. Nun überlegt man sich die besagten Kategorien und notiert sich beispielsweise für jedes Gerät was es denn nu dürfen soll und was nicht. Da wird man schnell auf Parallelen stoßen und schon hat man seine Geräte einsortiert. VLANs dazu, Firewall, fertig.

Anstrengend wird es, wenn man Überschneidungen hat. Hier gilt es dann, Kompromisse einzugehen. Es ist wenig sinnvoll und erhöht den Komplexitätsgrad bzw. den Verwaltungsaufwand des Netzwerks enorm, wenn man zu viele Spezialfälle berücksichtigt. Ein eigenes VLAN für einen einzelnen TV, weil nu gerade der NUR Netflixen soll, aber nicht vom NAS streamen, halte ich für Schwachsinn, wenn man keine handfesten Gründe dafür hat.

Ich selbst habe ein Setup, das sich so zusammensetzt:

1 Haupt
2 Büro (zZt nur für meinen Firmenlaptop im Homeoffice)
3 Internet-only (kein Gast!)
4 Restriktiv (alles was Internet haben soll, aber auch kontrolliert ins/vom Hauptnetzwerk darf)
5+ Spielwiese

Ein Gast-Netz habe ich nicht, weil ich grundsätzlich keine Gäste in mein Netzwerk lasse. Warum auch? Es ist nicht mein Bier, wenn meinen Gästen das Datenvolumen ausgeht. Keine Gäste, kein Gast-Netz, keine Notwendigkeit für spezielle Regeln. Auch eine DMZ im klassischen Sinne sucht man bei mir vergebens, weil ich von außen ausschließlich via VPN verbinde und ein VPN-Server in einer DMZ das Prinzip der DMZ sowieso aushebelt. Die Spielwiese ändert sich regelmäßig, weil ich viel experimentiere, zB mit Broadcast-Relay für IoT in anderen Subnetzen und dergleichen.

Abzüglich Homeoffice und Spielwiese(n) habe ich also lediglich 3 relevante VLANs. Ich hatte mal ein VoIP-VLAN, aber das habe ich zugunsten der Simplizität wieder rausgenommen - ich habe genau ein VoIP-Telefon und da ich keine Probleme mit QoS hatte, sehe ich derzeit keinen Grund für ein VoIP-VLAN.