ComputerBase Menü
Aktuelles

VLAN Sinn und Verständnisfrage?

haeuslebauer

haeuslebauer

Lt. Commander
Registriert
Dez. 2010
Beiträge
1.374
Hi,

immer mal wieder lese ich, dass man im Heimnetz ein separates IoT Netzwerk einrichten sollte. Hauptsächlich aus Sicherheitsgründen, evtl. auch für bessere Performance.

Allerdings habe ich auch einen Home Assistant in meinem Netzwerk, der läuft auf meinem QNAP TS253D NAS in einer VM, und soll natürlich auf das IoT Netz voll zugreifen können?

Macht es Sinn das Netz aufzuteilen?
Und wenn ja, wie mache ich das mit dem Home Assistant?

Grüße
 
Hast Du überhaupt einen VLAN-fähigen Switch?
 
  • Gefällt mir
Reaktionen: redjack1000 und GTrash81
Man braucht auch noch einen VLAN-Fähigen Router und/oder Firewall. Sonst macht das alles gar keinen Sinn.
 
  • Gefällt mir
Reaktionen: GTrash81
Ich habe ein TP-Link Omada Setup mit diversen Omada access Points. Wenn ich mich für VLANs entscheide, würde ich einen TP-Link R605 Router dazu kaufen. Allerdings sind noch drei einfache Switches im Netzwerk?
Ergänzung ()

Nachtrag: Ob die Switches VLAN fähig sein müssen, wurde in diesem Thread sehr kontrovers diskutiert. ich lese da heraus "Jein" ?
Ergänzung ()

Meine Switches:
TP-Link TL-SG1005P
Netgear GS305P
TP-Link TL-SG1008P
und ein älterer Levelone Gbit 5-port switch..
 
Zuletzt bearbeitet:
Jeder Switch muss die VLAN Kennzeichnungen der Pakete verarbeiten können. Das sollte erstmal unabhängig von managed oder unmanaged sein. Außerdem musst du zwischen den beiden Netzwerken dann wieder eine eingeschränkte Verbindung zulassen, um auf die Geräte zugreifen zu können. Insofern wahrscheinlich viel Aufwand für wenig Sicherheitsgewinn.
 
  • Gefällt mir
Reaktionen: haeuslebauer
Läßt sich das Problem nicht mit einem beliebigen zweiten Router lösen? Der WAN-Port dieses Routers ist im Heimnetz, die LAN/WLAN-Seite des Routers wird ausschließlich für Iot benutzt. Damit ist eine vollständige Trennung möglich und ein Zugriff von außen (allerdings auch aus dem Heimnetz) auf das IoT Netzwerk nicht möglich.
Wenn man doch aus dem Heimnetz auf das IoT Netzwerk zugreifen will, kann man sich einen Fernzugriff auf diesen zweiten Router einrichten.
 
  • Gefällt mir
Reaktionen: Crossbearer und PiraniaXL
nöörd schrieb:
Jeder Switch muss die VLAN Kennzeichnungen der Pakete verarbeiten können.
Zum Vergrößern anklicken....
Wenn der Switch an einem Untagged Port hängt ist es egal ob er mit VLAN Tag umgehen kann. Der Switch kann dann aber halt nur in diesem einen Netz betrieben werden.
 
  • Gefällt mir
Reaktionen: nöörd
Dein QNAP hat 2 Netzwerk Ports, keine Ahnung wie flexibel HomeAssist ist dort ist. Hängt sicher auch von der Installationsmethode ab.

Idee: Zweite NIC am QNAP in das "VLAN" für "IoT" hängen.
  1. NIC macht den HomeAssistant Webserver, wo du drauf zugreifst
  2. NIC macht die Kommunikation mit den Geräten im IoT Netzwerk
 
  • Gefällt mir
Reaktionen: haeuslebauer
nöörd schrieb:
Jeder Switch muss die VLAN Kennzeichnungen der Pakete verarbeiten können.
Zum Vergrößern anklicken....
Um das noch etwas genauer zu sagen: genau das können leider nicht alle "günstigen" Switche. Die verschlucken sich im Zweifel an mit VLAN-ID versehenen Paketen und nichts geht mehr (weil die Ethernetframes mit VLAN-ID länger sind, als reguläre Ethernetframes). Daher nicht blind drauf verlassen, dass es mit jedem Switch klappt.

haeuslebauer schrieb:
Nachtrag: Ob die Switches VLAN fähig sein müssen, wurde in diesem Thread sehr kontrovers diskutiert. ich lese da heraus "Jein" ?
Zum Vergrößern anklicken....
Ja, müssen sie. Ein Switch muss nicht "managed" sein, aber er muss mit VLANs insofern umgehen können, dass ihm die größeren Ethernetframes nicht Probleme bereiten. Im Idealfall leitet ein "dummer" Switch diese "übergroßen" Frames stumpf weiter und fertig, dann ist alles gut. Leider gibt es genug dumme Switche, die solche Pakete als ungültig verwerfen oder auf die "richtige" Größe beschneiden, womit die dann korrupt sind.

Siehe dazu auch: https://de.wikipedia.org/wiki/IEEE_802.1Q
 
Hat eigentlich irgendjemand schon so einen Switch in der Hand gehabt, also kann mal konkret ein Beispiel Hersteller/Modell/Hardware-Revision nennen?
KillerCow schrieb:
Daher nicht blind drauf verlassen, dass es mit jedem Switch klappt.
Zum Vergrößern anklicken....
… und daher einfach ausprobieren und dann rauswerfen.
KillerCow schrieb:
Siehe dazu auch: https://de.wikipedia.org/wiki/IEEE_802.1Q
Zum Vergrößern anklicken....
Dort geht es um den Lern-Modus.
haeuslebauer schrieb:
Meine Switches: […]
Zum Vergrößern anklicken....
Einfach ausprobieren. Daran würde ich es nicht scheitern lassen wollen.
 
norKoeri schrieb:
Welchen Internet-Router hast Du aktuell und welchen Internet-Anbieter?
Zum Vergrößern anklicken....
Telekom Speedport Smart 4
Ergänzung ()

derchris schrieb:
Dein QNAP hat 2 Netzwerk Ports, keine Ahnung wie flexibel HomeAssist ist dort ist. Hängt sicher auch von der Installationsmethode ab.

Idee: Zweite NIC am QNAP in das "VLAN" für "IoT" hängen.
  1. NIC macht den HomeAssistant Webserver, wo du drauf zugreifst
  2. NIC macht die Kommunikation mit den Geräten im IoT Netzwerk
Zum Vergrößern anklicken....
Danke, diese Idee hatte ich auch schon :)
 
Mit einem Router der ein gastnetz aufziehen kann, kann das ohne teure vlan Geräte auch.
 
nöörd schrieb:
Insofern wahrscheinlich viel Aufwand für wenig Sicherheitsgewinn.
Zum Vergrößern anklicken....
Danke, ich denke das ist der Knackpunkt... Wenn der Sicherheitsgewinn nicht sehr groß ist, ist es mir den Aufwand und die zusätzliche Komplexität eher nicht wert..

Aber wie groß das Risiko mit IoT Geräten im HauptLAN ist, kann ich nicht ganz einschätzen :confused_alt:
Ergänzung ()

chrigu schrieb:
Mit einem Router der ein gastnetz aufziehen kann, kann das ohne teure vlan Geräte auch.
Zum Vergrößern anklicken....
das geht halt in einem grösseren Netz mit mehreren APs nicht ganz so einfach, wobei TP-Link Omada wohl auch eine Gastnetzfunktion hat :confused_alt:
 
  • Gefällt mir
Reaktionen: chrigu
haeuslebauer schrieb:
das geht halt in einem grösseren Netz mit mehreren APs nicht ganz so einfach
Zum Vergrößern anklicken....
Hättest Du Telekom Speed Home, ginge das beim Telekom Speedport 4 einfach so. :evillol: Aber:
haeuslebauer schrieb:
wobei TP-Link Omada wohl auch eine Gastnetzfunktion hat
Zum Vergrößern anklicken....
Wenn Du solche Multi-SSID-Access-Points nutzen willst, dann muss der Internet-Router irgendwie mehrere Heimsegmente unterstützen. So erlauben FRITZ!Boxen einen LAN-Gastzugang. Dadurch kannst Du über einen konfigurierbaren Switch und VLANs bestimmen, welchen Weg sie über die FRITZ!Box gehen. In der Zeitschrift c’t war vor einem Jahr ein Artikel mit weiteren Routern … (Tabelle: Netzwerkzonen auch im LAN) die Alternative wäre ein Multi-LAN-Router wie der von Dir genannte TP-Link ER605. Aber:
chrigu schrieb:
Mit einem Router der ein gastnetz aufziehen kann […]
Zum Vergrößern anklicken....
Wie genau soll das bei Home Assistant bzw. IoT helfen? Soweit ich das verstehe, müssen sich dabei die Geräte in jenem Heimsegment untereinander sehen können. In einem Gastnetz ist jedes Gerät (idealerweise) nicht nur vom Heimnetz sondern auch untereinander isoliert.
haeuslebauer schrieb:
Wie groß [ist] das Risiko mit IoT Geräten im HauptLAN?
Zum Vergrößern anklicken....
Das bzw. welche Risiken Du bekommst, dass ist Deine eigentliche Frage, die in die Betreffzeile gehört hätte. :evillol: Das wäre eigentlich eine Frage an eine Community rund um Home Assistant – wie sicher bzw. welche Angriffsmöglichkeiten, die in ihrer eigenen Implementierung sehen.
 
  • Gefällt mir
Reaktionen: Raijin
haeuslebauer schrieb:
immer mal wieder lese ich, dass man im Heimnetz ein separates IoT Netzwerk einrichten sollte.
Zum Vergrößern anklicken....
Das macht man, weil man es kann, nicht weil man es braucht.

Und dann dreht man den Dingen dort auch das Internet ab und aktiviert es nur, wenn man sie mal updaten will. Wenn deine Geräte aber eh immer Internet brauchen, dann macht das schon wieder weniger Sinn usw.

Letztlich braucht es eigenes KnowHow und eigentlich keine Beratung von außen.
 
Bob.Dig schrieb:
Und dann dreht man den Dingen dort auch das Internet ab und aktiviert es nur, wenn man sie mal updaten will. Wenn deine Geräte aber eh immer Internet brauchen, dann macht das schon wieder weniger Sinn usw.
Zum Vergrößern anklicken....
Das ist schon der Fall bei fast allen meinen Smarthome Geräten, und ja gerade die Stärke von Home Assistant. Nur wenige Geräte benötigen einen Internetzugang, weil sie leider nicht HA-kompatibel sind. Aber HA muss eben auf die Geräte zugreifen können, und der läuft bei mir eben momentan im NAS.
 
haeuslebauer schrieb:
Aber HA muss eben auf die Geräte zugreifen können, und der läuft bei mir eben momentan im NAS.
Zum Vergrößern anklicken....
Die HA VM kann man ja in verschiedene Netze gleichzeitig packen (physisch oder virtuell), zumindest bei meinem Hypervisor geht das problemlos und das hat nichts mit HA selbst zu tun.
 
norKoeri schrieb:
Dort geht es um den Lern-Modus.
Zum Vergrößern anklicken....
War auf die Abbildung bezogen, die verdeutlicht, dass das Frame mit 802.1Q länger ist, als ohne bzw. die Position des Payload sich innerhalb des Frames verschiebt, was ja das Problem ist, weshalb manche Switche damit nicht klarkommen.
 
Pete11 schrieb:
Der WAN-Port dieses Routers ist im Heimnetz, die LAN/WLAN-Seite des Routers wird ausschließlich für Iot benutzt
Zum Vergrößern anklicken....
Im groben richtig, allerdings baut man sowas nach dem Zwiebelschema auf, je weiter innen, desto höher ist die Anforderung an Vertraulichkeit und Sicherheit.

Wenn das Heimnetz am besten geschützt sein soll, muss das als Innerstes (LAN Ports des innersten Router. Das IOT Netz gehört „davor“. Warum? Weil durch (PAT) und Firewall der Zugriff vom WAN Port auf LAN geschützt ist, aber nicht umgekehrt. Du kommst so vom LAN auf IOT aber nicht umgedreht. Ist IOT am innersten, kann IOt auf alles Zugreifen, aber nicht das Heimnetz.

Gibt zahlreiche Abhandlungen zu solchen Lösungen auch in der c‘t. Am ältesten und wohl bekanntesten diehier: https://www.heise.de/ratgeber/DMZ-selbst-gebaut-221656.html
 
  • Gefällt mir
Reaktionen: Raijin
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

CoMo
Verständnisfrage zum DHCP-Snooping
Antworten
5
Aufrufe
499
CoMo
CoMo
Dermitlinux
(gelöst) Verständnisfrage zur Auflageart A oder B
Antworten
6
Aufrufe
679
TomH22
T
J
Verständnisfrage: Omada VLANs, DHCP und Fritzbox
Antworten
7
Aufrufe
1.640
norKoeri
N
E
TV Ferienwohnung Wireguard zu FritzBox @ Home Verständnisfrage DNS und Co
Antworten
4
Aufrufe
1.926
Einfallslos2023
E
Badly
Verständnisfrage Wlan 7590 Fritzbox und Wi-Fi 5 - Wi-Fi 6
Antworten
9
Aufrufe
720
JohnWayne78
J
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz