ComputerBase Menü
Aktuelles

WLAN sicherer machen - Gast-Wlan? Vlan? ...

sylvio2000

sylvio2000

Lieutenant
Registriert
Aug. 2001
Beiträge
999
Hi.
Ich werde demnächst mein WLAN erweitern/aktualisieren und möchte mir in diesem Zusammenhang ein paar Gedanken zur Sicherheit machen.
Mein Wlan besteht momentan aus einem AP von Grandstream (GWN7630) und soll demnächst um ein weiteres Modell von Grandstream ergänzt werden.

In meinem Haus gibt es folgende Geräte:
FireTV, Shield TV, Google Home /Alexa, Smartphone, Tablet, Laptop, Synology NAS, Plex-Server

In der Regel benötigen die meisten Geräte ja nur einen Internetzugriff, weshalb ich an ein Gast-Wlan gedacht habe. Allerdings befürchte ich damit folgende Probleme:

  1. Ab und zu leiste ich im familiären Bereich Unterstützung per Teamviewer. Funktioniert das weiterhin im Gast-WLAN?
  2. Ich greife regelmäßig auf Ordnerfreigaben der Synology zu. Das geht dann sicherlich nicht, weil der IP-Bereich ein anderer ist?
  3. An der Synology hängt auch der Drucker. Darauf lässt sich vermutlich auch nicht im Gäste-Wlan zugreifen?
  4. Wenn ich den FireTV oder Shield mit dem Gäste-Wlan verbinde, kann ich dann auf den Plex-Server auf der Synology zugreifen?
  5. Können die Alexa-Geräte untereinander noch kommunizieren? Z.B. die Wiedergabe auf ein anderes Gerät schicken oder einen Rundruf über mehrere Geräte auslösen.

Es gibt bestimmt Dinge, die ich noch gar nicht bedacht habe, aber vielleicht könnt ihr mir bis hierher schon mal weiterhelfen :).
Ich bin auch für andere Ideen wie VLANs offen (wenn es nicht zu kompliziert wird ;) )
 
sylvio2000 schrieb:
In der Regel benötigen die meisten Geräte ja nur einen Internetzugriff, weshalb ich an ein Gast-Wlan gedacht habe. Allerdings befürchte ich damit folgende Probleme:

1. Ab und zu leiste ich im familiären Bereich Unterstützung per Teamviewer. Funktioniert das weiterhin im Gast-WLAN?
Zum Vergrößern anklicken....
Dazu brauchen die Geräte im Gast-WLAN lediglich eine Internetverbindung bzw. zum Teamviewer Server, das ist unkritisch.

sylvio2000 schrieb:
2. Ich greife regelmäßig auf Ordnerfreigaben der Synology zu. Das geht dann sicherlich nicht, weil der IP-Bereich ein anderer ist?
Zum Vergrößern anklicken....
Wenns ein entsprechendes Routing gibt klar, geht dann problemlos.

sylvio2000 schrieb:
3. An der Synology hängt auch der Drucker. Darauf lässt sich vermutlich auch nicht im Gäste-Wlan zugreifen?
Zum Vergrößern anklicken....
Geht mit Routing genauso, wenn wir von Wireless Drucken reden kommt es noch drauf an ob das per Multicast gelöst ist -> z.B. Airprint, aber auch das lässt sich routen.

sylvio2000 schrieb:
4. Wenn ich den FireTV oder Shield mit dem Gäste-Wlan verbinde, kann ich dann auf den Plex-Server auf der Synology zugreifen?
Zum Vergrößern anklicken....
Siehe oben.

sylvio2000 schrieb:
5. Können die Alexa-Geräte untereinander noch kommunizieren? Z.B. die Wiedergabe auf ein anderes Gerät schicken oder einen Rundruf über mehrere Geräte auslösen.
Zum Vergrößern anklicken....
Ist eigentlich wieder das gleiche Thema, ich weiß gerade nicht wie das bei den Echo Geräten gelöst wird aber vermutlich ist das auch wieder ein Multicast.

Es hängt davon ab wie du das letztendlich lösen willst. Wenn man das per VLAN macht und einen entsprechenden Router hat würde man dort das neue Netz aufspannen, per interner Routerfirewall nur die Dienste zwischen den Netzen/ins Internet erlauben, welche man möchte und den Rest zumachen. Die Grandstream Geräte kenne ich nicht, ich weiß nicht in wie weit die dort schon Möglichkeiten mitbringen getrennte Netze zu spannen?

Ob man das VLAN dann als "Gast-WLAN" oder "Netz mit beschränktem Zugriff" oder wie auch immer nennt hängt ja von einem selbst ab, die Definition gibst du selbst vor sofern es wirklich VLAN werden soll.

Viele Access Points bieten als Sicherheit meistens so eine Option an mit welcher man die Stationen untereinander isolieren kann, wenn man das aktiviert können die Geräte im WLAN grundsätzlich nicht mehr direkt miteinander kommunizieren. Diese Option würde ich mal auslassen wenn wir vom heimischen Gast-Netz reden.
 
Zuletzt bearbeitet:
Vielen Dank für die Antwort.
Grandstream würde ich als semi-professionell bezeichnen. VLANs sind damit möglich, allerdings habe ich mich noch nie mit VLANs beschäftigt.

Nach deiner Antwort beschäftigen mich nun 2 Fragen:
  1. Sollte ich auf jeden Fall ein Wlan in einem anderen Adressraum öffnen? Sind VLANs automatisch in einem anderen Adressraum?
  2. Den Begriff Routing kannte ich bisher nicht. Ich vermute damit ist eine Weiterleitung an eine IP eines anderen IP-Adressraumes gemeint? Dann muss ich schauen, ob Grandstream das Routing unterstützt.
  3. Mein Router ist von Draytek, allerdings ist das Gerät ohne Wlan, weshalb der Router hier vermutlich keine Rolle spielt?
 
2+3+4: Routing hilft da leider nicht.

Das Gast-(W)LAN ist nicht einfach nur ein separates Subnetz, sondern wird durch die Firewall im Router vom Hauptnetzwerk isoliert. Der Router enthält also vereinfacht ausgedrückt eine Regel: "Alles zwischen Haupt- und Gastnetzwerk blockieren"

Welches Routing sollte das denn auch sein? Ein Router hat IMMER alle Routen in alle seine eigenen Subnetze, egal ob das ein Gastnetzwerk ist oder nicht. Das sind die Standard-Interfacerouten. Also das Routing beim Client? Es wäre doch äußerst kontraproduktiv, wenn ein Client durch das Hinzufügen einer simplen Route plötzlich ins Hauptnetzwerk käme - mal ganz abgesehen davon, dass er diese Route bereits hätte, weil die Standardroute ja bereits auf die Gast-IP des Routers zeigt und diese Route das Hauptnetzwerk miteinschließen würde.

Ein Gastnetzwerk ist komplett zugenagelt und Zugriffe auf das Hauptnetzwerk sind per Definition unerwünscht und blockiert. Das ist ja gerade der Sinn des Gastnetzwerks.

Anders verhält es sich, wenn man mittels VLANs, etc. von Hand ein zweites Netzwerk anlegt und dieses in einer fortgeschrittenen Firewall/Router zumindest in Teilen wie ein Gastnetzwerk abschirmt und eben Ausnahmen einbaut. Dennoch widerspricht dies natürlich dem Grundgedanken des Gastnetzwerks und es wäre keines mehr, sondern bestenfalls ein restriktiv konfiguriertes zweites Netzwerk.


5: Das kommt darauf an. In einigen Gast-WLANs ist der Client-to-Client-Zugriff unterbunden. Wenn dem so ist, kann keine direkte Kommunikation zwischen zwei Gast-Geräten erfolgen. Allerdings ist Alexa ja nun mal cloudbasiert und ich weiß nicht ob das tatsächlich direkt von Alexa zu Alexa geht oder ob sich beide nicht über die Cloud unterhalten und Kommandos weiterreichen. Da bin ich mir gerade wirklich nicht sicher. Das musst du also ausprobieren und ggfs prüfen ob in den Grandstreams eine Option für Client-to-Client-Zugriffe vorhanden ist.
 
  • Gefällt mir
Reaktionen: JPsy, Nilson und areiland
sylvio2000 schrieb:
Vielen Dank für die Antwort.
Grandstream würde ich als semi-professionell bezeichnen. VLANs sind damit möglich, allerdings habe ich mich noch nie mit VLANs beschäftigt.
Zum Vergrößern anklicken....
Kein Problem, ich nutze privat die Ubiquiti Geräte bzw. welche von Bintec zum testen - spielt alles in etwa in der gleichen Liga.

sylvio2000 schrieb:
Nach deiner Antwort beschäftigen mich nun 2 Fragen:
  1. Sollte ich auf jeden Fall ein Wlan in einem anderen Adressraum öffnen? Sind VLANs automatisch in einem anderen Adressraum?
Zum Vergrößern anklicken....
VLAN kannst du dir im Prinzip vorstellen wie eine virtuelle Netzwerkkarte. Wenn du im PC 2 Netzwerkkarten hast kannst du ihnen natürlich verschiedene IP Adressräume geben. Man legt quasi auf das Netzwerkkabel mehrere Netzwerke und diese VLANs werden mit einer ID getaggt. Das Gerät was mit den VLAN IDs etwas anfangen kann und entsprechend eingestellt ist hängt dann in diesem Netz.

sylvio2000 schrieb:
  1. Den Begriff Routing kannte ich bisher nicht. Ich vermute damit ist eine Weiterleitung an eine IP eines anderen IP-Adressraumes gemeint? Dann muss ich schauen, ob Grandstream das Routing unterstützt.
Zum Vergrößern anklicken....
Korrekt. Normalerweise würde wie @Raijin schon geschrieben hat über einen entsprechenden Router falls vorhanden ein VLAN Interface anlegen und die SSID auf diese konfigurieren, damit sind diese Geräte dann in diesem Segment.

sylvio2000 schrieb:
  1. Mein Router ist von Draytek, allerdings ist das Gerät ohne Wlan, weshalb der Router hier vermutlich keine Rolle spielt?
Zum Vergrößern anklicken....
Der Router braucht kein WLAN, er muss ja nur die VLAN Tags auf dein Netzwerk bringen.

Raijin hat das ein wenig mehr aufgedröselt, nicht dass wir uns gegenseitig verwirren. Wenn man das per Router löst haben wir dann klassischen Routing, ein normaler Router welcher beide Segmente kennt routet auch die Netze per Default untereinander - das was nicht durchgehen soll verbietet man entsprechend über dessen Firewallregeln. Multicast Routing geht grundsätzlich auch, hängt aber vom Gerät ab - in meinem Bintec kann ich das entsprechend für jeweilige Netze oder Adressbereiche einzeln definieren.

Bei VLAN aber noch ein Hinweis: man sollte darauf achten die passenden Switche dazwischen zu haben falls welche dazwischen hängen. Viele ohne Mangement-Funktionen verwerfen unwissentlich die VLAN Tags.


Wenn du fertige "Gast" Funktionen des WLAN Systems nutzt, dann bist du natürlich recht unflexibel was konkret gehen soll und was nicht, viele handlen das sehr restriktiv (was für ein klassisches Kunden-Gast WLAN ja auch gut so ist). Wenn ich dich richtig verstehe möchtest du ja eher ein "ich darf alles Netz" und ein "ich darf ein bisschen was" Netz - so Gast in Form von "ich vertraue deinen Geräten nicht" wird es ja nicht werden.
 
Zuletzt bearbeitet:
Gastwlan bedeutet, du bist physisch vom Netzwerk getrennt. Gast kann nicht in dein Netzwerk und andersrum.
Es gibt Router die das Gastnetzwerk über ein vlan/Route manuell hinzufügen kannst... Consumer Router können das seltenst. Draitec sollten das können. Schau ins Handbuch
 
Vielleicht erstmal die wichtigste Frage: Welchen Router verwendest du? Wenn es sich um Fritzbox, Speedport, easy box oder einen vergleichbaren 08/15 Consumer-Router handelt, fällt das router-eigene Gastnetzwerk sowieso flach, weil solche Router keine erweiterte Konfiguration zulassen.
 
  • Gefällt mir
Reaktionen: holdes
Mein Router ist ein Draytek Vigor 2760. Dieser hängt an dem Poe+Switch (ZYXEL GS1200-8HP V2)

Momentan habe ich das Gefühl, dass ich mit Kanonen auf Spatzen schieße :D

Mein Grundgedanke ist ja nur folgender:
Warum muss ich allen Wlan-Geräten Zugriff auf mein Netzwerk geben, wenn es keinen Grund dafür gibt? Smartphones, Tablets, FireTV, ShieldTV, Wlan-Steckdosen, Alexa... brauchen das ja alle nicht... (bis auf den Zugriff auf den Plex-Server)

Falls es eine einfachere Lösung bin ich gerne dafür bereit :)
 
Grundsätzlich ja, das ist zwar ein wenig Kanonen auf Spatzen aber dafür deine persönliche individuelle Lösung und man lernt wieder praktische Dinge beim Thema Netzwerk.
 
Der Grundgedanke ist ja legitim, aber die Infrastruktur und das KnowHow muss das natürlich auch hergeben.

Vigors können soweit ich weiß mit VLANs umgehen bzw. auch mit mehreren physischen LANs konfiguriert werden. Es ist dann allerdings eine Frage ob diese über deine Switches, etc. auch zu deinen APs durchgereicht werden können (Switch + AP = Unterstützung für 802.1Q alias VLANs). Und zu guter letzt musst du natürlich wissen wie du dann die Firewall im Vigor konfigurierst, um alles zu blocken bis auf die gewünschten Ausnahmen.

Kanonen auf Spatzen ist das gar nicht mal, es ist eben nur abseits der Wege, die 08/15 Consumer-Netzwerke beschreiten, die im Prinzip nur durch "ich will im Internet surfen" definiert sind ;)
Das ist auch gut und richtig so, weil Otto Normal selbst mit gefährlichem Halbwissen tendenziell eher so 5%-Wissen über Netzwerke hat, die paar Haken, die man in einer Fritzbox eben so findet. Beim Vigor ist da schon deutlich mehr zu konfigurieren und eben auch falsch zu machen.
 
  • Gefällt mir
Reaktionen: holdes
sylvio2000 schrieb:
Mein Router ist ein Draytek Vigor 2760. Dieser hängt an dem Poe+Switch (ZYXEL GS1200-8HP V2)
Zum Vergrößern anklicken....

Ich habe zwischenzeitlich mal beim Hersteller geschaut und dein Switch kann 802.1Q VLAN entsprechend. Du hast also eigentlich alles was du benötigst dazu da und es liegt jetzt nur an dir da was zurecht zu basteln :).
 
  • Gefällt mir
Reaktionen: Raijin
OK, ich werde mir mal sowohl in der Webgui des AP als auch des Routers anschauen was ich dort konfigurieren kann. Das werde ich aber vermutlich erst am Wochenende in Angriff nehmen können.

Ich fürchte nur das wird mich alles etwas überfordern :).
 
Wenn dort was unklar sein sollte, kannst du ja gerne weiter nachfragen. Manches klingt Anfangs nur komplizierter als es konfigurationstechnisch wirklich ist. Sobald man eine Vorstellung davon bekommt wie etwas funktioniert erklärt sich dir dann vieles von selbst.

Vergiss aber nicht auch auf die GUI vom Switch zu schauen, der hat auch eine ;).
 
Übrigens: Bedenke bitte, dass viele Smart Devices gar nicht so smart sind. Die Hersteller vergessen oder ignorieren die Tatsache, dass es eben auch erweiterte Netzwerke mit VLANs, etc. gibt. Viele Apps von solchen Geräten suchen selbige daher mit Broadcasts, die einzig und allein in diesem einen Netzwerk funktionieren. Wenn du dein Smartphone also trotzdem ins Haupt-WLAN hängst oder ggfs eine Software am PC nutzt, stehen die Chancen leider gut, dass zB der smarte Heizungsthermostat im quasi-Gastnetzwerk nicht gefunden wird.

Nur einige wenige Hersteller denken an sowas und implementieren sowas wie den direkten Zugriff über eine IP-Adresse. In den ersten Versionen der App von Philips Hue war das beispielsweise noch nicht drin. Man konnte nur "Bridge suchen" klicken und die App hat mit den Schultern gezuckt und keine Bridge gefunden, weil sie eben in einem anderen Netzwerk lag. Mittlerweile kann man in der App die IP-Adresse eingeben und die App verbindet sich direkt mit der Bridge, auch über einen Router hinweg, wenn Routing und Firewall stimmt.

*edit
Die meisten Hersteller setzen stattdessen aber leider auf eine cloudbasierte Lösung, also schön immer alles über die Server des Herstellers.
 
  • Gefällt mir
Reaktionen: Engaged und holdes
Danke für die viele Tipps.

Ich glaube, ich bräuchte 3 VLANs:
1x komplett ohne Einschränkungen (mit separatem Passwort nur für mich als Admin ;) )
1x nur mit Internetzugriff und selbst erstellter Whitelist für NAS, Plex, Drucker, Alexa, Wlan-Steckdose
1x nur mit Internet für Gäste
 
Das kannst du natürlich so machen, die Zahl an möglichen VLANs in einem Netz ist höher als du es einzurichten schaffst ;). Die einzige Schranke wäre dann lediglich wie viele du in deinem Draytek konfigurieren kannst, aber 3 werden da wohl locker gehen.

Inwiefern mit separatem Passwort?

Tob dich einfach mal aus, erstelle dir aber vorher Sicherungsdateien von Router, Switch und Access Points falls du dir selbst den Zugang irgendwo absägst und nicht bei 0 anfangen musst.
 
Zuletzt bearbeitet:
Stimmt, ich habe gerade einen Denkfehler. Ich verwechsele im Kopf SSIDs und VLANs. Wie lege ich denn fest, welcher Client mit welchem VLAN arbeitet? Werden die VLANs einer SSID zugeordnet?
 
Genauso ist es, die SSID wird auf ein VLAN gelegt und alle Wireless Geräte sind dann entsprechend in diesem drin.

Das muss in der Konfiguration deines WLANs gehen.
 
3 VLANs sind machbar, keine Frage. Ob das am Ende dann aber "sicherer" wird wie du es dir erhoffst, sei mal dahingestellt. VLANs allein sind ja kein Sicherheitsfeature, sondern einfach nur virtuelle Netzwerkkabel, die durch die physischen Netzwerkkabel gelegt werden, um ortsunabhängig mehrere Netzwerke erstellen zu können. Die Sicherheit kommt am Ende durch die fachgerechte Konfiguration der Firewall im Router, die für die Reglementierung des Traffics verantwortlich ist. Auch das ist kein Hexenwerk, aber:

In der IT gibt es ein ungeschriebenes Gesetz: Das KISS-Prinzip, Keep It Simple, Stupid. 3 VLANs sind in Ordnung, aber mit Basiskenntnissen auch das Maximum was man machen sollte. Je komplexer das Netzwerk, umso schwieriger die Konfiguration. Wenn man es übertreibt, ist man ständig am Basteln bei der Firewall, weil dies nicht mit dem, das nicht mit jenem, aber jenes plötzlich mit diesem verbinden kann.

Für den Anfang würde ich dir daher raten, erstmal ein Haupt- und ein Gastnetzwerk einzurichten und damit Erfahrungen zu sammeln. Danach gehst du dann den Schritt zum 3. Netzwerk.
 
  • Gefällt mir
Reaktionen: holdes
Bei der "Sicherheit" geht es mir darum, dass Geräte, die ständig nach Hause kommunizieren, nicht auf mein Heimnetz zugreifen können. Denn ich vermute, wo viel nach außen kommuniziert wird, wird auch zurück kommuniziert ;)
Und das erreiche ich doch mit VLANs, wenn ich es richtig verstehe, oder?

Apropos KISS: Wäre es möglich, dass sich ALLE Clients mit einem Gäste-Netzwerk verbinden und nur einige wenige (PC, Laptop) die Erlaubnis für z.B. das NAS, Plex... bekommen. Die Zuordnung würde dann über die MAC-Adresse erfolgen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

StarAce
Gäste-WLAN DHSP-Server
Antworten
11
Aufrufe
574
StarAce
StarAce
P
Fritz Repeater gibt das Gast-WLAN nicht weiter
2
Antworten
20
Aufrufe
1.647
Incanus
Incanus
CoMo
DHCP-Server für Fritzbox Gast WLAN
Antworten
14
Aufrufe
2.160
chrigu
chrigu
E
Heimnetzwerk segmentieren
Antworten
13
Aufrufe
1.094
Incanus
Incanus
A
DHCP Router (OpenWRT) übergibt eigenartige IP's
2
Antworten
32
Aufrufe
1.943
norKoeri
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz