Verständnisfrage zu VLANs und Physischen netzwerken

[Jeffus]

Guten Abend,


Ich habe vorhin versucht testweise mit meiner Pfsense ein VLAN zu erstellen, jedoch hat mich das etwas verwirrt.

Ich glaube anfangs hatte ich da etwas falsch verstanden, ich habe ein VLAN erstellt auf einen Netzwerkausgang der noch an meinem Server frei war, als Endgerät hing da einfach ein PC dran, kein Switch dazwischen oder sonst was. Am ende hat es nicht funktioniert, über ipconfig /release -> /renew konnte der DHCP Server nicht erreicht werden.
Also alles nochmal gelöscht.

Jetzt habe ich jetzt einfach auf das leere interface ne IP Adresse zugewiesen und den DHCP Server vom interface dementsprechend konfiguriert, dazu eine Firewall-Rule das ich ins Internet komm.
Das klappt wunderbar und der PC kommt ins Internet.

Das ist ja jetzt einfach ein Physisches Netz oder? oder ist das ein VLAN?

Unter VLAN verstehe ich zumindest das über ein Kabel von der mehrere Netzwerke auf einen managed Switch kommen und der Switch dann so konfiguriert wird das die Ports beliebig mit dem gewünschten Netzwerk belegt werden.

Sorry für die blöde frage, aber am ende möchte ich es auch wissen

MfG.

 

[gaym0r]

Das ist ja jetzt einfach ein Physisches Netz oder? oder ist das ein VLAN?

Naja, beides irgendwie oder? Du hast einen separaten Port auf der Firewall und einen separaten Port auf dem Server genommen und keinen Switch dazwischen. Dadurch ist es quasi physikalisch getrennt, da weder die Firewall noch der Server zwischen den Ports switchen. Du hättest also kein VLAN-Interface anlegen müssen auf der Firewall.

Unter VLAN verstehe ich zumindest das über ein Kabel von der mehrere Netzwerke auf einen managed Switch kommen und der Switch dann so konfiguriert wird das die Ports beliebig mit dem gewünschten Netzwerk belegt werden.

Richtig. Du kannst verschiedene Ports und somit Endgeräte in verschiedene Netze packen und auch mehrere VLANs über einen Port übertragen.

Bei dir ein schlechtes Szenario um mit VLANs zu üben.

 

[WhiteHelix]

Wie hast du das VLAN denn konfiguriert? Tagged, untagged? Wenn tagged, muss der Client auch wissen das ein VLAN da ist. Bei dem PC müsstest du das z.B. in der NIC eintragen. Wenn du n VLAN fähigen Switch dran hast kannst du den Port auch auf untagged stellen und bekommst da Gerät dann in das VLAN ohne das es davon wissen muss. Der Port der zur sense geht sollte aber dann auf beiden Seiten (Switch und sense) tagged sein, gerade wenn du mehrere VLANs nutzen willst.

 

[wiflow]

Wenn man sich so ein IP-Paket ansieht, ist VLAN erstmal nur eine Nummer die dem Paket hinzugefügt wird (VLAN Tag).
Beispiel: In der 0815-Standard-Anwendung sind mindestens eine Firewall, ein managed Switch, diverse Clients und zwei VLANs vorhanden. In unserem Beispiel gehen wir davon aus dass die Firewall nur ein Interface hat und daher beide VLANs über dieses Interface zum Switch kommen.
Der Client weiß in der Regel nichts vom VLAN, deshalb ist der Switchport, an dem er angeschlossen ist, VLAN xy untagged. Das heißt der Switch leitet Pakete an den Client ohne VLAN Tag weiter. Soll nun ein Paket vom Client zur Firewall, muss der Switchport an dem die Firewall angeschlossen ist VLAN xy tagged sein, damit wird sichergestellt, dass der Switch das Paket vom Client ohne VLAN Tag annimmt, beim Weiterleiten an die Firewall aber den entsprechenden VLAN Tag hinzufügt. Damit die Firewall auch was damit anfangen kann muss sie ebenfalls so konfiguriert sein wie der Switchport, also z.B. beide VLANs tagged. Es wäre aber auch möglich eines der beiden VLANs untagged zu konfigurieren, damit ist immer noch eine einwandfreie Identifizierung sichergestellt. Es können aber nicht zwei VLANs untagged konfiguriert sein, möchte man ein zweites VLAN untagged auf ein Interface konfigurieren, wird dies entweder mit einer Fehlermeldung quittiert, oder es wird das vorherige untagged VLAN entfernt (überschrieben).

Ein VLAN ist ein virtuelles Netz, hängt man zwei Geräte aneinander, reicht in der Regel ein Netz zur Kommunikation aus, da macht ein weiteres virtuelles Netz kaum Sinn. Mit einem managed Switch kann man da schon eher Feldversuche durchführen.

 

[Jeffus]

Ich hätte vielleicht noch erwähnen sollen das die Pfsense unter Proxmox virtualisiert ist.

Bei dir ein schlechtes Szenario um mit VLANs zu üben.

Stimmt, ich hatte letztens den Gedanken eventuell meine Serverhardware vom Netz separat zu halten deswegen wollte ich das ganze mal zuvor ausprobieren.

Ergänzung (4. August 2022)

Danke für die Antworten

 

[snaxilian]

Pfsense unter Proxmox virtualisiert

Komplexität ist der Feind, vermeide es wo nur möglich. Hast die NICs der Hardware wenigstens direkt durchgereicht oder vNICs? Denn falls letzteres, musst du vermutlich auch die Bridges entsprechend konfigurieren: https://pve.proxmox.com/wiki/Network_Configuration#_vlan_802_1q

VLANs machen Sinn wenn man ganze Netze und viele Systeme separieren will. Wenn du nur eine kleine überschaubare Anzahl Server hast, dann kannst genauso auch mit lokaler Firewall auf den Servern arbeiten.
Hinzu kommt: Die allermeisten Probleme und Fehler sind in den Anwendungen und nicht unbedingt auf Layer2/3 wenn wir DDoS und Co mal ignorieren.

 

[Jeffus]

Komplexität ist der Feind, vermeide es wo nur möglich. Hast die NICs der Hardware wenigstens direkt durchgereicht oder vNICs? Denn falls letzteres, musst du vermutlich auch die Bridges entsprechend konfigurieren: https://pve.proxmox.com/wiki/Network_Configuration#_vlan_802_1q

Stimmt, Proxmox macht das ganze komplizierter.

Ich plane sowieso die Firewall an sich auf Hardware umzurüsten, das würde einiges simpler machen.

Hinzu kommt: Die allermeisten Probleme und Fehler sind in den Anwendungen und nicht unbedingt auf Layer2/3 wenn wir DDoS und Co mal ignorieren.

Meinst du mit Anwendungen jetzt Proxmox etc.?

 

[snaxilian]

Nein, ich meine nicht proxmox.

meine Serverhardware vom Netz separat zu halten

Server stellen Dienste/Anwendungen bereit. Diese Dienste/Anwendungen sind gemeint.

Ein Beispiel: Eine schlecht programmierte oder falsch konfigurierte Webanwendung kann ein Einfallstor sein. Eine klassische Firewall schränkt nur ein welche Netze/Geräte darauf zugreifen können. Die Anwendung selbst wird dadurch nicht sicherer oder geschützter.
Packst du also zwischen deinen Server und deine Clients eine Firewall und erlaubst dann allen Clients den Zugriff, hast du was genau verbessert bzw. "sicherer" gemacht?

 

[Jeffus]

Nein, ich meine nicht proxmox.


Server stellen Dienste/Anwendungen bereit. Diese Dienste/Anwendungen sind gemeint.

Ein Beispiel: Eine schlecht programmierte oder falsch konfigurierte Webanwendung kann ein Einfallstor sein. Eine klassische Firewall schränkt nur ein welche Netze/Geräte darauf zugreifen können. Die Anwendung selbst wird dadurch nicht sicherer oder geschützter.
Packst du also zwischen deinen Server und deine Clients eine Firewall und erlaubst dann allen Clients den Zugriff, hast du was genau verbessert bzw. "sicherer" gemacht?

Achso, so hast du das gemeint,

Ja da hast du recht, aber ich möchte eigentlich nur die Netze separieren um Kameras, Server und Gastnetz sowie Heimnetz voneinander getrennt zu halten. Verschafft einfach ein besseren überblick, zudem möchte ich nicht das jeder zugriff auf die Weboberflächen wie von TrueNAS und Proxmox etc. hat.

 

[Raijin]

VLANs am Router sind immer so eine Sache. Sie haben ihren Nutzen, aber sie unterliegen dennoch den physischen Grenzen der Hardware. Einen Router wählt man daher in der Regel so, dass er zumindest die Netzwerke mit hohem Bedarf an Bandbreite mit einer physischen Schnittstelle versorgen kann. Im Idealfall weiß der Router also gar nichts von irgendwelchen VLANs, weil es für ihn einfach 4 verschiedene physische Netzwerke sind.

ich möchte eigentlich nur die Netze separieren um Kameras, Server und Gastnetz sowie Heimnetz voneinander getrennt zu halten. Verschafft einfach ein besseren überblick, zudem möchte ich nicht das jeder zugriff auf die Weboberflächen wie von TrueNAS und Proxmox etc. hat.

Mit Übersicht hat das nur bedingt zu tun. Den Sicherheitsgedanken kann ich nachvollziehen, aber man sollte stets das KISS-Prinzip beachten. Je komplexer du dein Netzwerk gestaltest, umso komplexer wird auch die Firewall. Bei Geräten/Anwendungen, die mit Broadcasts arbeiten, kann eine derartige Trennung gar die Funktion blockieren. Trenne die Netze daher nicht unnötig, womöglich nur, weil du "sortierte" IP-Adressen haben möchtest. Dafür ist Subnetting mit Router/Firewall nämlich nicht gedacht, sondern eine funkttionierende Namensauflösung.. Unerwünschte Zugriffe auf Server kann man ggfs auch durch vernünftiges Accountmanagement und/oder die Firewall des Servers selbst verhindern

 

[snaxilian]

jeder zugriff auf die Weboberflächen wie von TrueNAS und Proxmox etc. hat.

Sei ehrlich: du suchst "Ausreden" um dich damit zu beschäftigen, oder? Ist ja nix verwerflich daran aber lüg dir nix in die Tasche.
Jede einfache Fritzbox hat ne integrierte Firewall um "jeden Zugriff" auf dem Internet zu blockieren. Bleiben also Geräte und Nutzer innerhalb deines Netzwerks/Haushalts. Stellen diese eine solche Bedrohung dar, das ein ausreichend starkes Passwort oder 2FA/MFA nicht ausreichen?

Bleiben die Kameras. Eine Routerkaskade wäre die einfachste Lösung, bei vielen Geräten bietet sind ein größerer Router/Firewall und ggf VLANs an wenn man schon die passende Infrastruktur dafür hat. Aber ich schließe mich hier @Raijin an. So simpel wie möglich, nur so komplex wie nötig denn die Lernkurve wird sehr schnell sehr sehr steil.

 

[Raijin]

Speziell zum Thema Server und getrennte Netze:

Ein spezielles Server-Netzwerk bezeichnet man in der Regel als DMZ. Da Server durch ihre Funktion nun mal erreichbar sein müssen, um ihre Dienste anbieten zu können, sind sie als Angriffsziel prädestiniert und somit eine potentielle Gefahrenquelle.

Eine DMZ ist ein Netzwerk, dessen Firewall nur in eine Richtung durchlässig ist, nämlich für die Zugriffe auf die Server. Die Server selbst können jedoch keine eigenständigen Verbindungen aufbauen, sondern nur antworten. So erschwert man es einem Eindringling, einen gekaperten Server als Brückenkopf zu nutzen und darüber den Rest des Netzwerks zu kompromittieren.

Wie konfiguriert man eine Firewall für eine DMZ? Dazu muss man sich zB mit connection states auseinandersetzen, um die Antworten der Server zuzulassen, aber serverseitig aufgebaute Verbindungen zu blockieren.


Das ist nur ein Beispiel für die Herausforderungen. Macht man dabei einen Fehler, weil das KnowHow fehlt oder man ein unvollständiges Tutorial nachgeklickt hat, ist's mit der Sicherheit nicht weit her. Oder man hat zu viel des Guten getan und die Server können nicht mehr antworten.

Getrennte Netzwerke sind meistens erst dann wirklich sinnvoll, wenn die Firewall zwischen ihnen eben nicht auf "allow any:any" steht, sondern entsprechend reglementiert ist. Sonst kann man sich das gleich sparen, weil es keinen Unterschied macht ob die Geräte nu im selben Netzwerk hängen oder offen erreichbar hinter einer Firewall ohne Regeln.

Für Privat bieten sich üblicherweise folgende Netze an:

Hauptnetzwerk
Gastnetzwerk
(optional) DMZ
(optional) SmartHome


Mit optional meine ich aber nicht, das man sich jetzt denkt "Check, check, check, ich mach alle 3"
Alle aufgelisteten Netzwerke haben andere Anforderungen und dementsprechend andere Regeln in der Firewall. Dabei ist gewissermaßen jede beliebige Verbindung untereinander zu betrachten und zu reglementieren. Das kann recht komplex werden... Für den Anfang rate ich daher maximal zum Gastnetzwerk als Erweiterung und wenn das soweit klappt kann man sich zB einer DMZ widmen.

SmartHome ist ein sehr schwieriges Thema, weil es darauf ankommt welche Systeme man dort einsetzt. Im Zweifelsfalle hat man nämlich keine andere Wahl, als das SmartHome ins Hauptnetzwerk zu holen, wenn man keine Klimmzüge wie Broadcast-Relay, o.ä. machen will - oder kann.