VLAN: Aufbau + Auswahl von passender Firmware

[Hypernia]

Hallo zusammen,

ich habe momentan ein großes, gemeinsames Netzwerk für alle Geräte inkl. Gäste. Das ist mir seit längerem ein Dorn im Auge. Nächstes Jahr steht der Umzug in ein Haus und damit auch die Einrichtung von Smart-Home-Komponenten an. Dies nehme ich zum Anlass, um jetzt schon mal Ordnung zu schaffen. Dabei sind mir nicht alle Möglichkeiten und Grenzen klar.

Meine Anforderung: Ich möchte Gerätegruppen so gut wie möglich trennen, ohne Funktionalität einzubüßen.
Meine Idee: Ich möchte meinen Router (Netgear R7800) ggfs. mit einer geeigneten, anderen Firmware aufbohren und über VLANs arbeiten.

Neben den selbsterklärenden Geräten habe ich die folgenden Geräte:

• Odroid: ähnlich Raspberry Pi, der verschiedene Dienste inkl. DLNA, Samba, FTP und in Zukunft ggfs. VPN anbieten soll. Im Optimalfall kann ein TV/Receiver auf DLNA zugreifen und Smart Home Geräte eines Tages Backups per Samba / FTP o. ä. ablegen.
• Playstation: Hier wurden in der Vergangenheit "Playlink"-Spiele gespielt - dazu müssen sich Spieler mit ihrem (ggfs. Gäste-)Gerät im gleichen Netz befinden wie die Playstation
• WLAN-Access-Point ("CSL Dual Band Repeater"): Dieser ist per LAN am Router angebunden und scheint keinerlei VLAN-Funktionalität zu haben. In einem Haus rückt der Router ggfs. in einen Technikraum in den Keller - hier gehe ich davon aus, dass ich in Zukunft in bessere Access-Points investieren muss?
• Smart-Home-Hubs/Zentralen würde ich gerne über das LAN ansteuern können.

Mir schwebt die folgende Aufteilung vor:

Name	Beschreibung	Geräte	Regeln
VLAN2	internes Netz	PCs, Laptop, eigene Smartphones, Odroid, Drucker(?)	Internet + alle können untereinander kommunizieren
VLAN3	meine eingschränkten Geräte	Fire TV, Staubsaugerroboter	Internet, voneinander isoliert
VLAN4	Smart Home	Hubs, Zentralen etc.	Internet + Zugriff aus VLAN2 (von definierten Geräten?)
VLAN5		Playstation, TV, Receiver	wohin mit diesen Geräten?
VLAN9	Gäste	Gäste-Geräte, Access Point(einzige Lösung, da keine VLAN-Funktionalität im AP gegeben? Oder kann ich hier explizit z. B. mein Smartphone später im Router in ein anderes VLAN schieben?)	nur Internet, voneinander isoliert

Geht das, was ich mir vorstelle überhaupt vollständig? Kann ich auf oder von einzelnen Geräten zwischen VLANs routen? Wohin mit den Dummys in VLAN5? Ist der Drucker im internen Netz sinnvoll? Kann ich den WLAN-AP differenzierter einsetzen?

Wenn ja: Ich habe DD-WRT und OpenWRT im Blick. Je nach Quelle und Jahr wird oft eins deutlich besser als das andere dargestellt. Ich würde halt ungern vollständig den Router flashen, das ganze Netz vollständig konfigurieren und dann feststellen, ob / was nicht klappt bevor ich das andere ausprobiere. Hat hier jemand Erfahrungswerte?

 

[leipziger1979]

Kann ich auf oder von einzelnen Geräten zwischen VLANs routen?

Du brauchst erstmal einen Router mit 6, mindestens internen, Interfaces, 5x LAN und 1x WAN.
Dann kannst das machen.
Zusätzlich brauchst dann natürlich auch noch VLAN fähige Switche.

Aber ein paar mehr Details (Netzwerkplan) zum Netzwerk, IST/SOLL, wären nötig um einschätzen zu können wie das umgesetzt werden soll.

 

[xammu]

Du brauchst erstmal einen Router mit 6, mindestens internen, Interfaces, 5x LAN und 1x WAN.

2 Ports reichen, einer fürs WAN, der Rest wird per VLAN gemacht. Aber nicht mit dem Router, dafür nimmt man dann ne OPNsense oder was von Ubiquity.


Unifi Switches mit Unifi Accesspoints und einem Cloudkey. Den Router kann man auch durch eine UniFi Security Gateway mit externem Modem ersetzen. Dann wird das alles schön zentral gemanagt.

 

[KillerCow]

Stell dir die Frage, warum du das alles aufteilen willst und sei dir bewußt, dass es immer wieder irgendwelche Situationen geben wird, wo etwas nicht funktioniert. Hat man dann nicht den Durchblick, ist eine Lösungsfindung manchmal sehr schwierig. Vor allem braucht es beim Routing/Firewalling gutes Verständnis, damit man sich mit einer Regel nicht wieder ein großes Loch in sein Konstrukt reißt.

Beim DLNA etwa musst du schon aufpassen, weil das meines Wissens per se nicht über Subnetzgrenzen hinaus funktioniert. Dürfte was mit Multicast zu tun haben.

Du brauchst erstmal einen Router mit 6, mindestens internen, Interfaces, 5x LAN und 1x WAN.

Die LANs könnte man auch über einen Link fahren (Trunk). Kommt halt auf die Bandbreite an, die man hat, braucht und will.

Kann ich auf oder von einzelnen Geräten zwischen VLANs routen?

Das erledigt ein (zentraler) Router, der das gleichzeitig per Firewall/ACL reglementiert.

 

[honky-tonk]

Du brauchst erstmal einen Router mit 6, mindestens internen, Interfaces, 5x LAN und 1x WAN.
Dann kannst das machen.
Zusätzlich brauchst dann natürlich auch noch VLAN fähige Switche.

Aber ein paar mehr Details (Netzwerkplan) zum Netzwerk, IST/SOLL, wären nötig um einschätzen zu können wie das umgesetzt werden soll.

zusätzlich müssten die WLAN APs auch VLAN unterstützen oder verschiedene Netze aufspannen können, da der Staubsaubger wohl kein LAN hat

 

[xammu]

Kleiner Hinweis: Client Isolation funktioniert nur bei WLAN Geräten. LAN Geräte sehen sich immer, wenn sie im selben VLAN und im gleichen IP Bereich liegen, weil sie dann direkt miteinander reden. Bei WLAN kann der AP die Kommunikation unterbinden.

 

[leipziger1979]

2 Ports reichen

Die LANs könnte man auch über einen Link fahren (Trunk)

Darauf wollte ich ja hinaus.

Ob sowas bei dem Router mit alternativer Software wie DD-WRT oder OpenWRT möglich ist kann ich nicht beurteilen.

 

[Hypernia]

Stell dir die Frage, warum du das alles aufteilen willst und sei dir bewußt, dass es immer wieder irgendwelche Situationen geben wird, wo etwas nicht funktioniert.

Vielleicht setze ich hier nochmal an und auch bei der Frage nach dem Ist:
Ich möchte das alles machen, um ein wenig die Sicherheit zu erhöhen. Manche Dienste werden eben nicht abgesichert und wenn ich z. B. einerseits meine Fotos per Samba nur mit einem User ablegen kann, kann grundsätzlich jeder Gast über DLNA aber ggfs. darauf zugreifen. Zudem kann ich gut und gerne weiteren Geräten, die keinen Kontakt innerhalb des Netzwerks benötigen, diesen direkt komplett wegnehmen. Wie oft gab es schon berichte, dass die Smarte Glühbirne das Einfallstor ins gesamte Netzwerk war.
Aktuell habe ich einen Kabelrouter vom Provider, dahinter den Netgear R7800, dahinter in LAN und WLAN sämtliche Geräte in einem großen Netz.
Der Sollzustand wäre,

• dass meine richtigen Geräte (PC, Laptop, Smartphone, Odroid) weiterhin über LAN und WLAN in einem Netz sind,
• dass es ein Gäste-WLAN gibt, das grundsätlich nur Internetzugang bietet,
• dass sowohl Gäste (im Gäste-WLAN) als auch eigene Smartphones (im eigenen Netz) eine Verbindung zur Playstation aufbauen können,
• dass weitere, eigene Geräte ausschließlich eine Internetverbindung, aber keine zu anderen Netzwerkgeräten haben (was ja ggfs. über ein Gäste-WLAN ginge),
• dass Smart-Home-Geräte neben einem Internetzugang ggfs. nur zu ausgewählten eigenen Geräten eine Verbindung haben,
• dass sich das WLAN (Gäste und eigenes) in die Fläche (z. B. über Access Points) erweitern lässt, im Idealfall ohne, dass hier je 2 Geräte stehen müssen und
• dass sich das ggfs. möglichst flexibel erweitern lässt.

VLANs einzurichten scheint für die Problemstellung eine Lösung zu sein, die recht schnell hoch kommt. Mir fehlt damit aber absolut die Erfahrung und bevor ich meinen einzigen Router (oder ein neu gekauftes Gerät) hier komplett einrichte und verkabel und DANN auf Probleme bei der Machbarkeit stoße (im Sinne von "ja dies und das ist ein altbekanntes Problem") frage ich vorher gerne nach Erfahrungen.
Außerdem bin ich auch offen für jegliche andere Lösung.

Aber nicht mit dem Router, dafür nimmt man dann ne OPNsense oder was von Ubiquity.

Auch, wenn das von der Umsetzung abhängt: Warum würde "man" das tun? Ist die Hardware leistungsfähiger? Gute Erfahrungen? Keine Software-Modifikationen am Gerät?

Kleiner Hinweis: Client Isolation funktioniert nur bei WLAN Geräten. LAN Geräte sehen sich immer, wenn sie im selben VLAN und im gleichen IP Bereich liegen, weil sie dann direkt miteinander reden. Bei WLAN kann der AP die Kommunikation unterbinden.

Stimmt, da habe ich nur mal bei der Recherche Buzzwords aufgeschnappt und mir darüber gar keine Gedanken gemacht.

Ob sowas bei dem Router mit alternativer Software wie DD-WRT oder OpenWRT möglich ist kann ich nicht beurteilen.

WENN es damit geht, wäre das für mich ja zumindest eine günstige Lösung. Das hängt aber auch wieder von der Umsetzung ab und ggfs. davon, welche Erfahrungen hier noch beigesteuert werden können. Ich würde halt ungerne 4+ virtuelle Maschinen über irgendeinen QEMU-Router/Switch verbinden, um das ganze dann darüber zu testen bis ins letzte Detail.

 

[Raijin]

2 Ports reichen, einer fürs WAN, der Rest wird per VLAN gemacht.

In der Theorie ja, aber @Hypernia spricht hier von 5 VLANs. Willst du die alle über ein und dasselbe Interface via VLANs routen? Der gesamte Traffic zwischen diesen 5 VLANs würde sich die 1 Gbit/s des physischen Interfaces virtuell teilen. Da ist es fast schon egal wie viel Verkehr tatsächlich zwischen den VLANs zu erwarten ist, weil bei 5 VLANs über 1 Gbit/s zwangsläufig Engpässe auftreten werden.

Beim DLNA etwa musst du schon aufpassen, weil das meines Wissens per se nicht über Subnetzgrenzen hinaus funktioniert. Dürfte was mit Multicast zu tun haben.

Fast. Du meinst Broadcasts und nicht Multicasts.

Ich möchte das alles machen, um ein wenig die Sicherheit zu erhöhen.

Sicherheit kommt nicht allein durch VLANs. Die Sicherheit kommt insbesondere von der Konfiguration und dem KnowHow desjenigen, der das einrichtet. Banal ausgedrückt: Ein super Sicherheitsschloss bringt keinen Sicherheitsgewinn, wenn man es nicht richtig einbaut.

Mir fehlt damit aber absolut die Erfahrung

Wenn dem so ist, möchte ich von deinem jetzigen Setup abraten. Je mehr VLANs du einrichtest, umso komplexer wird das Netzwerk und umso eher stößt du an die Grenzen deines KnowHows. Die Folge wird sein, dass du entweder unwissend Sicherheitslücken einbaust oder so viel Zeit für die Wartung aufwenden musst, dass es lästig wird, weil du ständig nachbessern musst, um bisher nicht bedachte Situationen in der Konfiguration abzubilden.

Folge daher in deinem eigenen Interesse dem KISS-Prinzip. Sammle beispielsweise erstmal Erfahrung mit einem Hauptnetzwerk und einem Gastnetzwerk, das du via Firewall vom Hauptnetzwerk isolierst. Anschließend kannst du ein 3. VLAN hinzufügen, in dem du weitere Geräte isolierst. Ein 4. oder gar 5. VLAN würde ich an deiner Stelle sein lassen, weil es dich mehr Nerven kosten wird als du Haare auf dem Kopf hast - gesetzt den Fall du hast keine Glatze. Sonst hättest du vor lauter Haareraufen nach kurzer Zeit eine solche....

VLAN für SmartHome. Das ist leider aktuell ein sehr komplexes Unterfangen. Viele vermeintlich smarte Geräte sind vom Hersteller nicht für komplexe Netzwerke konzipiert. Das heißt, dass zB die Apps für Smartphone und Tablet mit Broadcasts arbeiten, um die Bridges, etc. zu finden. Sind Smartphone und Bridge in verschiedenen (V)LANs, können sie aber nichts finden, weil Broadcasts per Definition nicht geroutet werden. Nur einige wenige Apps erlauben die direkte Verbindung mittels IP-Adresse, zB die Philips Hue App. Informiere dich daher genau ob deine smarten Geräte/Bridges bzw. die dazugehörigen Apps ebenfalls eine manuelle Verbindung zulassen. Wenn nicht, wirst du mit einem Smart-VLAN nicht glücklich, weil du mit dem Smartphone ständig das WLAN wechseln müsstest, um etwas zu bedienen.
Es gibt zwar Mittel und Wege, dies zu umgehen, aber da sind wir wieder beim (fehlenden) KnowHow.

 

[KillerCow]

Fast. Du meinst Broadcasts und nicht Multicasts.

Im Kontext von DLNA wird aber (auch) mit Multicast gearbeitet und ich meine mich zu erinnern, dass das, damit es über Netzgrenzen hinweg funktioniert, auch geroutet werden muss (Multicast Routing). Ist alles lange her und ich habe selbst noch nicht damit zu tun gehabt, daher halte ich zu dem Thema jetzt lieber den Mund

 

[Hypernia]

In der Theorie ja, aber @Hypernia spricht hier von 5 VLANs. Willst du die alle über ein und dasselbe Interface via VLANs routen? Der gesamte Traffic zwischen diesen 5 VLANs würde sich die 1 Gbit/s des physischen Interfaces virtuell teilen. Da ist es fast schon egal wie viel Verkehr tatsächlich zwischen den VLANs zu erwarten ist, weil bei 5 VLANs über 1 Gbit/s zwangsläufig Engpässe auftreten werden.



Fast. Du meinst Broadcasts und nicht Multicasts.



Sicherheit kommt nicht allein durch VLANs. Die Sicherheit kommt insbesondere von der Konfiguration und dem KnowHow desjenigen, der das einrichtet. Banal ausgedrückt: Ein super Sicherheitsschloss bringt keinen Sicherheitsgewinn, wenn man es nicht richtig einbaut.

Um ganz kurz damit aufzuräumen: Ich komme zwar aus der IT, plane und verwalte aber keine Netzwerke. Daher sagte ich, dass ich beim Thema VLAN keine Erfahrung habe. Ich bin aber auch nicht ganz fern
Punkte, die ich vor allem als "Erfahrungswerte" interessante sind, sind z. B. die bzgl. Broad-/Multicast (darüber muss man sich eben in EINEM Netz keine Gedanken machen sowie Leistungsfähigkeit vorhandener Hardware. Und bzgl. Firewall und Löcher bohren: Alles, was ich tue, mache ich ja hinter einem Provider-Router und der Ist-Zustand ist ja, dass alles dahinter ein großes Netz ist --> Ab hier KANN ich im Sinne meiner Sicherheitswünsche ja nur noch gewinnen. Perfekte Sicherheit ist sowieso nicht erreichbar

Wenn dem so ist, möchte ich von deinem jetzigen Setup abraten. Je mehr VLANs du einrichtest, umso komplexer wird das Netzwerk und umso eher stößt du an die Grenzen deines KnowHows. Die Folge wird sein, dass du entweder unwissend Sicherheitslücken einbaust oder so viel Zeit für die Wartung aufwenden musst, dass es lästig wird, weil du ständig nachbessern musst, um bisher nicht bedachte Situationen in der Konfiguration abzubilden.

Folge daher in deinem eigenen Interesse dem KISS-Prinzip. Sammle beispielsweise erstmal Erfahrung mit einem Hauptnetzwerk und einem Gastnetzwerk, das du via Firewall vom Hauptnetzwerk isolierst. Anschließend kannst du ein 3. VLAN hinzufügen, in dem du weitere Geräte isolierst. Ein 4. oder gar 5. VLAN würde ich an deiner Stelle sein lassen, weil es dich mehr Nerven kosten wird als du Haare auf dem Kopf hast - gesetzt den Fall du hast keine Glatze. Sonst hättest du vor lauter Haareraufen nach kurzer Zeit eine solche....

Hier fällt mir gerade ein "Mittelweg" schwer. Aufgrund der Nennung habe ich mich einfach mal in der Ubiquity-Welt umgesehen und würde auf die Schnelle sagen, dass ich mit einer Unifi Dream Machine Pro im Keller sowie vielleicht 2 UAP-AC-PRO dann mehrere WLANs aufspannen kann, die ich per 802.1q tagge, genauso wie die LAN-Geräte pro Port. Klingt das sinnvoll?
Bei dem Mittelweg würde ich mich schwer tun. Ich betreibe bislang schon hinter meinem (eigenen Router) noch einen Access-Point. Selbst wenn dort ein "Gast"-WLAN existiert (was der AP nicht kann), wäre die Frage, wie der Hersteller das umsetzt: Komme ich von dort z. B. nur auf Public IPs oder routet der Access-Point einfach alles an den Ethernet-Anschluss? Der R7800 bietet mir hier wie ich das sehe auch keine Möglichkeit "out-of-the-box", irgendwie zu reagieren. Also liefe es wieder auf Custom-Firmware hinaus und das Problem des Gast-Zugangs am AP wäre auch nicht gelöst.

 

[Raijin]

würde auf die Schnelle sagen, dass ich mit einer Unifi Dream Machine Pro im Keller sowie vielleicht 2 UAP-AC-PRO dann mehrere WLANs aufspannen kann, die ich per 802.1q tagge, genauso wie die LAN-Geräte pro Port. Klingt das sinnvoll?

Ja, damit ginge das. Ich würde jedoch zum nanoHD greifen und nicht mehr zum Pro. Der nanoHD hat zwar langsameres Wifi 4 (300 vs 450 Mbit/s), aber dafür hat er bei Wifi 5 mehr Dampf (1733 vs 1300 Mbit/s). Darüber hinaus bietet der nanoHD im Gegensatz zum Pro auch MU-MIMO - und das ganze für 20€ mehr.


Nach wie vor rate ich aber zumindest im ersten Step zu weniger VLANs als von dir geplant. Erweitern kann man immer noch. Wenn du aber alles auf einmal machst, garantiere ich dir, dass du ziemlichen Frust schieben wirst, weil du an mehreren Fronten kämpfen musst....



Wie gut der Netgear wie ursprünglich geplant mit alternativer Firmware überhaupt für so ein Setup geeignet ist, kann ich im übrigen nicht beurteilen. Alternative Firmware ist eine feine Sache, aber sie kann aus einem potentiell kastrierten Hengst einen Zuchtbullen machen. (crazy analogie...)

 

[Hypernia]

Ja, damit ginge das. Ich würde jedoch zum nanoHD greifen und nicht mehr zum Pro. Der nanoHD hat zwar langsameres Wifi 4 (300 vs 450 Mbit/s), aber dafür hat er bei Wifi 5 mehr Dampf (1733 vs 1300 Mbit/s). Darüber hinaus bietet der nanoHD im Gegensatz zum Pro auch MU-MIMO - und das ganze für 20€ mehr.

Klingt plausibel, das halte ich mir mal fest!

Nach wie vor rate ich aber zumindest im ersten Step zu weniger VLANs als von dir geplant. Erweitern kann man immer noch. Wenn du aber alles auf einmal machst, garantiere ich dir, dass du ziemlichen Frust schieben wirst, weil du an mehreren Fronten kämpfen musst....

Darauf wird es dann wohl hinauslaufen. Zunächst ein Gäste-WLAN vom eigentlichen Netz abkapseln und später sukzessive erweitern.

Alternative Firmware ist eine feine Sache, aber sie kann aus einem potentiell kastrierten Hengst einen Zuchtbullen machen. (crazy analogie...)

Ich werde meinen Router mit seinen 4 Antennen nicht mehr ansehen können, ohne daran zu denken

 

[Raijin]

Huch, beim Lesen meines Zitats fiel mir gerade auf, dass ich ein "k" vergessen habe. Ich meinte natürlich "keinen Zuchtbullen". Will heißen: Nicht immer kann Firmware alles freischalten, weil unter Umständen gar nicht alle Hardware-Voraussetzungen erfüllt sind.

Ein bekanntes Beispiel ist der WAN-Port. OpenWRT bietet die Möglichkeit, den WAN-Port bei Nichtbenutzung (zB Betrieb als Access Point) als Switch-Port zu konfigurieren. Das funktioniert gut und für den Nutzer ohne Nachteile, wenn der vermeintliche 4-Port-Switch des Routers intern eigentlich ein 5-Port-Switch ist, dessen 5. Port als WAN in einem internen VLAN abgegrenzt wird. OpenWRT löst die interne VLAN-Zuordnung und aus einem 4er Switch + WAN wird ein vollwertiger 5er Switch. Dumm nur, wenn der WAN-Port inter als separates Interface ausgeführt wird. In dem Falle kann OpenWRT den WAN-Port nur auf den Switch bridgen und dann muss die CPU die Pakete von Hand hin- und herswitchen. Die Folge: Der WAN-Port-als-Switch-Port ist elendig lahm.

Inwiefern das bei deinem Netgear R7800 relevant ist bzw. welche potentiellen Hardware-Fallen dort lauern könnten, kann und werde ich nicht beurteilen. Man muss nur im Hinterkopf behalten, dass ein 08/15 Router mit OpenWRT allein nicht zwingend mit zB einem MikroTik-Router vergleichbar ist, der nun mal bereits ab Werk für fortgeschrittene Netzwerke designed wurde, Hardware und Firmware.