VLAN anlegen für Shelly und Co

    Hallo Ubi-Freunde,

    ich möchte mich etwas mehr mit dem VLAN beschäftigen, habe mich nur geschaut da es doch etwas mehr Arbeit ist am Ende?

    Vorhaben dient der Sicherheit damit nicht alles im default liegt.

    - Smartphones/Uhren/Tablets (alles der Apfel) QNAP´s sollten wohl im default bleiben und zugriff auf alle Netze haben um zu steuern?
    - Im default bleiben wohl die AP´s und auch die UDM SE und die Online USV?

    Wo packt man folgendes rein?
    - Laser-Drucker / Label-Drucker
    - Sonos Boxen
    - Apple TV
    - TV Geräte
    - Ubiquiti Kameras und auch Eufy Kamera (1 im Einsatz da kein LAN da vorhanden) Sensoren für die Fenster und Türen von Ubi!
    - Geplant vielleicht umstieg von Sonos (auf Grund der App Probleme) zu Alexa Amazon Echo und Echo DOT
    - Proxmox geplant demnächst (HA/PI Hole/ etc) geht das ins default wegen Probleme?
    - Geplant ist ein Nuki 4 Pro oder anderes "Smart-Gerät zum Türen öffnen) bin mir da noch nicht so sicher.

    Gäste WLAN ist schon getrennt derzeit.

    Happy Sonntag allen und vielen Dank.

    Fred

    Quote from fred05

    Wo packt man folgendes rein?
    - Laser-Drucker / Label-Drucker
    - Sonos Boxen
    - Apple TV
    ......

    Es gibt dafür keinen BluePrint ?

    Bau dein Netz auf so wie du es am besten findest und damit klar kommst.

    Ich habe 14 VLAN's bei mir und so hab ich auch Netz bei Bekannten aufgebaut:

    - Management ( alles Unifi Zeug inkl. Netzwerk-Controller als LCX )

    - Server ( Server,Proxmox, und NAS )

    - Privat ( alle Notebooks, iPhones, iPads, Smartwatches, Drucker, 3D-Drucker usw. )

    - Buero ( Firmennotebook )

    - Media ( AppleTv, Radios usw. )

    - Telco ( VoIP-Telefone, Fritzbox-Telefonteil, Türsprechanlagen )

    - Smarthome ( alle Smarthomesysteme )

    - IoT ( ESP's usw. )

    - Secure ( Kameras, Alarmanlage usw. )

    - DMZ ( DMZ eben )

    - Gäste ( Gäste-WLAN )

    - LoRaWAN ( sondernetz für mein LoRaWan Gateway )

    - 2 OPNSense-Testnetze auf Proxmox

    Die Kommunikation zwischen den VLAN regeln Firewall-Regeln.

    Moin,

    etwas Arbeit erfordert es schon und man muss sich mit der Thematik auseinandersetzen (wollen).

    Sonst wird das nichts.

    Es gibt sehr gute Anleitungen für die Einrichtung der VLANs und gegenseitiger Absicherung, sowohl auf Youtube als auch hier

    im Wiki. Letzendlich kommt es auf das Gleiche heraus. Wenn man das in nem Video gesehen hat, versteht man es aber am Ende des Tages besser.

    So hab ich mich auch langgehangelt.

    Wenn es dann erstmal läuft, dann läuft es halt...

    Quote from fred05

    Einen Plan an sich habe ich noch nicht, bin halt nicht sicher was wohin sollte oder ob ich nicht trennen sollte.
    Ist es am Ende viel Aufwand das zu machen wenn alles läuft?

    Einen Plan solltest du dir als allererstes mal machen.

    Nimm dir ein Blatt Papier ( von mir aus auch am PC ), schreibe drauf, welche Geräte du hast, ordne die grop in Gruppen ( = Netze ) ein ( Privat, Smarthome, usw. ) .

    Dann nimmst noch ein Blatt Papier ( oder machst ne Excel-Tabelle ) und fängst an zu notieren, welche Geräte / Netz mit welchen anderen kommunizieren müssen und welche nicht und welche in Internet dürfen / nicht dürfen - nenn sich Kommunikationsmatrix.

    Bevor du das nicht gemacht hat, würde ich garnicht erst anfangen, nur ein Teil zu konfigurieren.

    Und Arbeit ist das in jedem Fall, egal wie du es aufteilt.

    Meien Liste oben ist nur ein Beispiel, wie ich es bei mir gemacht habe und für mich optimal ist.

    Das ist keine Unifi-Firewall nutze, ist in dem fall sogar egal, meine VLAN-Verwaltung macht eine OPNSense, aber die Arbeit ist die selbe.

    Alles klar einen Zettel oder Excel oder so machen ist nicht das Ding.

    Ich hätte nur gedacht das man eventuell Tipps bekommt was man am besten aus Sicherheit wohin packen könnte.

    deafault: iPhone/iPad/iWatch/MacBooks/PC/Qnap/Proxmox (PiHole/HA/etc) UDM SE und AP und Sensoren

    IOT: UTAX Drucker/AppleTV/Shelly/trockner/WaMa/Label Drucker

    Smart: Philips Hue/Sonos (eventuell Echo demnächst)/TV/ Nuki oder anderes Digitales Motorschloss/Eufy Kamera/Wolf Modul Heizung per LAN

    Mein Hauptproblem ist halt wo würde ich was reinwerfen und klar wie würde man was regeln was mit einander sprechen sollte.

    Klar default sollte auf alles nach unten zugreifen können, aber würde man die Qnaps als Beispiel ins default überhaupt werfen?

    Ich habe es versucht erst mal einfach zu halten.

    Management

    Default

    Gast

    Office

    IoT

    Natürlich kann man alles noch viel weiter splitten, aber umso mehr muss man Firewall regeln anlegen.

    Zum Beispiel ein eigenes VLAN für Sonos muss dann auch vom Default erreichbar sein.

    Was auch eine Möglichkeit wäre, ist ein VLAN für Kinder mit Jugendschutz.

    Quote from fred05

    Mein Hauptproblem ist halt wo würde ich was reinwerfen und klar wie würde man was regeln was mit einander sprechen sollte.

    Klar default sollte auf alles nach unten zugreifen können, aber würde man die Qnaps als Beispiel ins default überhaupt werfen?

    Eben, deswegen mache dir ne Liste - und ordne dein Geräte den Gruppen zu, die am besten passen

    Ins Default-Netz würde ich per se schon mal nur die Unifi-Geräte reinpacken und nichts anderes.

    Quote from fred05

    Legt die UDM nicht gleich Firewall Regeln mit an?

    Wie sagt man doch immer so schön: "Die UDM ist ein Router mit Firewall-Funktionen, keine Firewall mit Router-Funktion", die ist im Default offen wie ein Scheunentor ( zumindest was das interne Netz betrifft ).

    Im Gegensatz zu ner Firewall, die ist intern erst mal fast komplett zu und erlaubt nru Verbindungen, die man expliziet freigeschaltet hat - so arbeitet z.b. meien OPNSense. Ausser wenn man den Einrichtungs-Wizzard nutzt, der das erste LAN Richtung Internet frei schaltet, ist sonst alles geblockt.

    Ich sprehe mal aus meiner Unifi Anfängersicht:

    Ins Default kommt nur Unifi Hardware wie Gateway, AP, Switche etc.

    Dann teilt man die Netzte grob nach Anspruch ein und erstellt die, IoT, Server, Multimedia, Telefonie .....

    Dann überlegt man welche der Netze überhaupt Wlan brauchen und erzeugt die Wlan Netze und ordnet die den passenden Netzwerken zu. In der Regel braucht man z.B. für Server kein WiFi, nur so als Überlegung.

    Dann must du dir ( wenn die Clients keine Vlan Tags haben ) überlegen wie du das alles verkabelst damit es nachher funktioniert. Ich bin da anfangs auch vor die Wand gelaufen.

    Wenn dann alles funktioniert und du Zugriff von allen auf alle Geräte hast fängst du an mit Regeln den Datenverkehr zu beschränken. z.B. darf erst mal ins Iot Netz erst mal nichts raus oder rein, dann macht man das ganze Netz dahingehend wieder auf damit es z.B. auf einen Server wie iobroker zugreifen kann um seine Daten abzulegen oder per MQTT Daten zu verschicken.

    Denk auch an Konstellationen wie bspw. Plex. Wenn du das auf einem NAS betreibst und dann auf dem TV oder Tablet Filme gucken wllst, müssen diese Geräte entweder im selben Netz sein, oder du baust dann endlos Ausnahmen in den Traffic & Firewall Rules.

    Ein weiterer Hinweis, wenn du eine Solaranlage einsetzt, welche IOT Geräte wie Shellys, Wallbox, Boiler oder Geschirrspühler steuern soll, dann müssen die auch untereinander kommunizieren können. Natürlich nur dann, wenn das ganze Zeugs nicht via Cloud miteinander spricht.

    Nur so zwei Hinweise als Gedankenstütze.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login