ComputerBase Menü
Aktuelles

Planung Heimnetzwerk - Umbau auf VLAN

cruunnerr

cruunnerr

Captain
Registriert
Okt. 2006
Beiträge
3.873
Hallo zusammen,

dies wird eine mit Sicherheit sehr umfangreiche Bitte um Hilfe mit vielen kleinen einzelnen Fragen. Einige Dinge sind für mich auch Neuland, also habt Nachsicht, wenn die Fragestellung evtl. unklug wirkt.

Kurz und knapp: Ich möchte mein Netzwerk umbauen.
Gründe sind z.B., dass ...
...ich die Geräte von Lancom kennenlernen möchte (ja ich weiß, macht man nicht mal eben)
...ich etwas strukturierter die Zugriffe managen möchte (eben nicht mehr nur Heim- und Gastnetzwerk, sondern VLAN)
...ich etwas mehr Sicherheit gewinnen möchte
...Spiel, Spaß und Spannung ^^

Aktuell betreibe ich eine Fritzbox 7490 an einem DS-Lite Anschluss über den LAN1 Port. Und sie ist damit schon das einzige "managed Device".
In meinem Heimnetzwerk können aktuell alle Geräte untereinander kommunizieren. Einigen Geräten (Smart-Home) habe ich mit fehlender Angabe eines Gateways quasi den Internetzugang verwehrt.

Wegen des DS-Lite Anschluss läuft auf meinem Server ein Portmapper, welcher die IPv6 Anfragen auf meine IPv4 Geräte durchgibt. Dazu nutze ich derzeit den MyFritz Dienst und habe entsprechende Portweiterleitungen eingerichtet, da ich einen VPN Zugriff von meinem iPhone nicht hinbekam (ohne zusätzlichen, bezahlten Dienst) und dies auch laut AVM bei einem IPv6 Anschluss eben nicht mehr möglich ist.
Fernzugriff ist auf aktuell 3 Geräte möglich.

Außerdem läuft auf dem Server noch ein DNS-Server (pihole).



Aber wie gesagt... ich möchte mich von diesem tollen All-in-One Gerät trennen, um aus oben genannten Gründen etwas Neues herzuzaubern.
Dazu habe ich bereits einen Lancom 1781EF+, einen Lancom GS-2326P und zwei Unifi Access Point's geordert. (Die Lancom Geräte allerdings gebraucht via Ebay).

Bisher ist nur einer der Access Point's eingetroffen. Der Rest wird nächste Woche eintreffen.

Nun will ich mich ja in die Materie "VLAN" und co. einarbeiten und versuche möglichst nicht komplett unstrukturiert an die Sache ranzugehen.
Deshalb habe ich einfach mal ein Layout konzipiert und wollte gerne, dass ihr euch das mal anschaut und mir sagen könnt, ob das so umsetzbar ist.
Habe zumindest schonmal darauf geachtet, dass alle Geräte IEEE 802.1Q unterstützen. Auch die Access Point's können mehreren SSID's unterschiedliche VLAN-ID's zuweisen.

Im zweiten Bild seht ihr, dass ich oben die gewünschten Zugriffsrechte aufgezählt habe. Auch hier nochmal die Frage, ob dies grundsätzlich mit dieser Hardware umsetzbar ist und worauf ich ggf. achten muss.

Des Weiteren würde ich gerne um Erfahrungswerte bitten bzgl. IPV6 Fernzugriff. Grundsätzlich läuft es ja bei mir über einen Portmapper. Ich habe im mobilen Netz durch die Telekom auch deutschlandweit bereits sehr sehr flächendeckend IPv6 und der Zugriff klappt eilt. immer.
Ich will aber eigtl. wieder zurück zu einer ordentlichen VPN Verbindung. Der einzig mir bekannte weg, führt aber zum Anbieter "feste-ip.net".
Da nochmal die Frage, ob ihr andere Lösungen kennt. Habe kein Problem damit ein paar Euro im Monat zu zahlen, aber wenn möglich will ich natürlich alles "selbst in die Hand nehmen". :)


Mir fällt bestimmt nochwas ein oder es kommen noch weitere Fragen durch eure Antworten. ^^

Anbei erstmal noch die aktuelle, und die künftig gedachte Topologie:


Aktuell:

Netzwerk (aktuell).png






Geplant:

Netzwerk (nach Umbau).png
 
Warum hast du keinen Router mit integriertem Modem gewählt?
Ein Modem ist auf deinem Plan auch gar nicht eingezeichnet, willst du die Fritzbox dafür weiternutzen?
 
Achso.... Nein Sorry,
Ich habe ein Netzabschlussgerät von der deutschen Glasfaser. Der WAN-Port des Routers kann über Ethernet damit verbunden werden. :)

Edit:

1548009596256.png

Hab die Layouts mit yEd gemacht, da sind die Symbole leider begrenzt ^^
 
Das Netz 192.168.100.0/24 solltest du hinter einem Kabelmodem nicht verwenden, da diese in der Regel auf 192.168.100.1 erreichbar sind.
 
Ne, das Teil hat irgendeine andere Adresse. Hatte die schonmal rausgesucht, aber vergessen. War jedenfalls irgendwas sonderbares... ^^
 
Ein 3-Layer Switch oder ein 2-Layer Switch + sowas wie Sophos oder pfsense würden es auch tun(die übernehmen dann das routing für die VLANs.
 
Danke, aber würde es ja gerne mit Lancom realisieren. Anhand der bisherigen Antworten nehme ich aber mal an, das nichts gegen die aktuelle Planung spricht :freaky:
 
Warum willst du dir freiwillig Lancom antun? Ich kenne keinen Router der ekelhafter zu konfigurieren ist, erst recht wenn man von der Materie eher weniger Ahnung hat.
Eine kleine Appliance mit Sophos SG Home macht dir das Leben viel einfacher. Alternativ könntest du noch alles auf Ubiquiti Equipment aufbauen wo du schon die APs hast. Dann hättest du alles unter einer Oberfläche vereint.

Davon ab halte ich dein Konstrukt für viel zu komplex und ohne nennenswerten Sicherheitsgewinn.
 
  • Gefällt mir
Reaktionen: [ACE].:SHARK:. und -=Azrael=-
Masamune2 schrieb:
Davon ab halte ich dein Konstrukt für viel zu komplex
Zum Vergrößern anklicken....
Wie wäre es denn mit vorhandenen Komponenten simpler zu gestalten?
 
Was willst du mit der harten Trennung denn erreichen? Wenn Geräte nicht ins Internet sollen kannst du sie in der Firewall blocken oder einfach das Gateway wegnehmen.
Um den Zugriff aus der Ferne zu blocken musst du die Geräte nicht in verschiedene VLANs stecken, das regelt auch die Firewall.
Die Heizungssteuerung könnte man in ein andere Netz stecken wenn die Geräte selbst keine Authentifizierung bieten und man verhindern will das jemand im eigenen netz darauf zugreift. Das hängt von den Geräten ab.
Ein Gastnetz kann Sinn machen wenn man öfter Gäste hat die ins Internet aber nicht auf den Rest kommen sollen.

Ich will aber eigtl. wieder zurück zu einer ordentlichen VPN Verbindung. Der einzig mir bekannte weg, führt aber zum Anbieter "feste-ip.net".
Zum Vergrößern anklicken....
Oder du fragst bei deinem Provider an ob du eine feste IPv4 Adresse bekommen kannst. Gegen Aufpreis funktioniert das in der Regel immer.
 
Was mich wundert ist, dass du bereits Hardware bestellt hast und hinterher fragst ob das mit den Geräten überhaupt möglich ist. Sowas fragt man vorher, wenn man sich unsicher ist.

Ich möchte mal auf das KISS-Prinzip hinweisen. Gerade wenn du keine nennenswerten Kenntnisse hast und für das Setup auf Unterstützung aus dem Forum angewiesen bist, ist deine Planung vorsichtig ausgedrückt mutig. VLANs als solche sind keine Sicherheitsfunktion, sondern dienen lediglich der Unterteilung der physischen Infrastruktur in virtuelle Teilbereiche. VLANs sind kein Ersatz für eine Firewall.

So wie du das geplant hast, wirst du eher früher als später auf Probleme stoßen. DLNA zum Beispiel. DLNA bzw. UPnP arbeiten mit Broadcasts, die per Definition nicht über Subnetz-Grenzen hinaus geroutet werden. Das heißt, dass deine TVs die Medienserver auf dem Debian-Server und/oder dem Synology-NAS überhaupt nicht sehen können. Die DLNA-Übersicht im TV bliebe daher leer, "kein Server gefunden" (in VLAN30).
IoT- bzw. Smart Devices mit App-Steuerung sind in der Regel auch allergisch dagegen, wenn sich Smartphone und Device nicht im selben Netzwerk befinden. Es ist zwar ärgerlich, aber ein separates VLAN für solche Geräte kann eben auch dazu führen, dass man sie nicht mehr ordentlich steuern kann. In diesem Fall empfehle ich, am AP das VLAN ebenfalls auf eine SSID zu legen, damit man sich mit dem Handy wenigstens kurz ins IoT-WLAN einwählen kann, um etwas zu steuern.

VLANs bieten zwar Möglichkeiten, ein Netzwerk virtuell zu segmentieren, aber sie verbauen eben auch Möglichkeiten, durch die Aufteilung in unterschiedliche Subnetze. Es ist daher nicht sinnvoll, das eigene Netzwerk in ein halbes Dutzend VLANs zu teilen, in denen sich dann am Ende nur 3 Geräte tummeln.
Darüber hinaus ist auch die Definition der Firewall-Regeln nicht zu unterschätzen. Wenn du keine Erfahrung hast, wirst du schnell an deine Grenzen stoßen oder dir im worst case Performance-Killer einbauen oder dich gar selbst aussperren.

Bezüglich VLAN IDs und Subnetze: Es empfiehlt sich, das einheitlich zu gestalten. VLAN10 bekommt dann das Subnetz 192.168.10.0/24 verpasst, VLAN 20 dementsprechend 192.168.20.0/24 usw.. Auch sollte man nicht zu krampfhaft an 192.168.x.y festhalten. Der Bereich für private Netzwerke ist groß und es besteht kein Grund, sich ohne Not potentiellen IP-Konflikten auszusetzen, wenn man VPN einplant.

192.168.0.0 - 192.168.255.25
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Da kannst du dich austoben und musst nicht auf den ersten 5 Subnetzen rumreiten, die in gefühlt 98% aller Heim- und auch diverser Hotel-Netzwerke auf diesem Planeten Verwendung finden. VPN-Probleme sind damit nämlich vorprogrammiert. Sei kreativ. Dennoch rate ich wie eingangs erwähnt zum KISS-Prinzip. Übertreibe es nicht, weil du dir am Ende nicht nur ins Knie, sondern auch noch in den Bauch schießt....
 
Zuletzt bearbeitet: (Grammatik.....)
  • Gefällt mir
Reaktionen: Olunixus, Andy_Z, snaxilian und 5 andere
Hat am Ende alles geklappt.
VPN via iPhone klappt nun sogar über den DS-Lite Anschluss ohne externen Dienstleister was z.B. über den MyFritz-Dienst auf der Fritzbox nie geklappt hat.

cruunnerr schrieb:
Gründe sind z.B., dass ...
...ich die Geräte von Lancom kennenlernen möchte
Zum Vergrößern anklicken....

Das hat Gründe, welche für die Fragestellung auch nicht weiter wichtig gewesen wären.
Wenn sich nie einer an etwas neues gewagt hätte, würden wir wohl heute noch mit Kutschen fahren.

Leider wurde ich wieder an die Gründe erinnert warum vor einigen Jahren die Frequenz meiner Beiträge hier im Forum abnahm...

Dennoch ein Danke an die konstruktiven Hinweise unter den Antworten
 
cruunnerr schrieb:
Leider wurde ich wieder an die Gründe erinnert warum vor einigen Jahren die Frequenz meiner Beiträge hier im Forum abnahm...

Dennoch ein Danke an die konstruktiven Hinweise unter den Antworten
Zum Vergrößern anklicken....
Aha.. :confused_alt:

Jeder einzelne Beitrag in diesem Thread ist konstruktiv, auch oder gerade jene, in denen dein Setup im Allgemeinen oder deine Hardware im Speziellen hinterfragt wird. Keiner kennt deine Beweggründe, weil dir niemand in den Kopf gucken kann. Und niemand weiß ob du dir über potentiell bessere Alternativen überhaupt im Klaren bist. Daher tragen entsprechende Fragen und/oder Vorschläge zu einem besseren Endergebnis bei.

Der einzige unangebrachte Kommentar in diesem Thread stammt somit von dir selbst, da du dir solche Seitenhiebe dann auch gerne sparen darfst. :rolleyes:
 
  • Gefällt mir
Reaktionen: [ACE].:SHARK:.
Ist doch ok...
Ich habe ja nicht gesagt, dass die Beiträge nicht konstruktiv waren. Sie waren nur nicht zielführend.
Die Beweggründe sind wenig interessant und Alternativen (Hardware) wollte ich ja gar nicht (#7)

Ich will ja auch niemanden persönlich angreifen. Es ist eben nur so, dass ich es als müßig empfinde mich in den ersten 20 posts zu rechtfertigen. In der Zeit hab ich meist schon selbst die Lösung gefunden.
Ich schätze es ja auch wirklich, dass sich die Leute in ihrer Freizeit die Mühe machen zu überlegen was für den Fragesteller die beste Lösung ist. Bei allgemein gestellten Fragen ist das auch sicherlich hilfreich, aber nicht bei zielgerichteten Fragen, welche bestimmte Gegebenheiten miteinbeziehen (in diesem Fall die Notwendigkeit der Nutzung vorgegebener Hardware).

Und mein "Danke" war durchaus nicht ironisch (mitunter auch an dich gerichtet). Es ist eben nur so, dass häufig um den heißen Brei herumgeredet wird, oder man verurteilt wird unsinnige Hardware gekauft zu haben.
Sei es drum... Ich wünsche ein ehrlich gemeintes schönes Wochenende :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Netzwerk mit VLAN Switch wie wo Haken?
Antworten
19
Aufrufe
1.280
Martin1979
M
X
  • Gesperrt
Wie kann ich ein VPN Netzwerk neben den Heimnetzwerk realisieren?
2
Antworten
24
Aufrufe
1.312
Markchen
Markchen
A
VLAN Segmentierung Best Practices?
Antworten
19
Aufrufe
1.849
qiller
Q
M
VLan routing über unmanaged Switch
Antworten
17
Aufrufe
1.990
Raijin
Raijin
M
VLAN für AccessPoint (pfSense)
Antworten
6
Aufrufe
501
norKoeri
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz