Ideenaustausch zur VLAN / WLAN Konfiguration

    Hi,


    ich habe seit einer Weile meinen DR7 im Einsatz und überlege gerade hin und her, wie man den Zugriff möglichst einfach aber dennoch halbwegs sicher gestaltet.


    Altuell nutze ich 2 Wlan SSIDs. Davon ist eine nicht sichtbar und nur für den Zugriff auf Management-Ebene gedacht, hier ist auch WPA3 aktiviert.

    Das 2te Wlan ist für alle Clients im Haus, unterteilt mit pre-shared Keys für die Vlans (Kameras, IoT, Benutzerclients und Gäste). Bei preshared geht aber nur WPA2. Was mich hierbei nervt, viele IoT Geräte verbinden sich mit dem Wlan(schlüssel) den auch das Handy nutzt. Das umstellen auf das andere VLAN via ps-Key ist hier und da etwas umständlich. Deshalb ist meine Idee, nur noch eine SSID mit einem WPA3 Schlüssel zu nutzen und die Geräte nach dem Verbinden einem VLAN zuzuordnen, außgenommen Gäste, die sollen immer gleich ins Gäste-Netz geschoben werden. Auf diese Idee kam ich, nachdem ich die Funktion "Virtual Network Override" entdeckt habe. Das würde mir scheinbar die Option geben, Geräte zu verbinden und diese danach dem IoT Vlan zuzuordnen.


    Macht das Sinn, so wie ich mir das im Kopf ausgedacht habe? Da es sich mittlerweile um einige Clients handelt, will ich ungern umstellen um danach festzustellen, dass es gar nicht funktioniert.

    Wie löst ihr dieses Thema, evlt. gibt es ja noch bessere Ansätze um das gleiche Ziel zu erreichen. Die FW-Regeln besagen, dass Geräte im IoT sich untereinander sehen, aber nicht auf das Client-Netz zugreifen dürfen. Das Client-Netz darf allerdings auf IoT zugreifen.


    ich bin gespannt was ihr sagt :)

    Quote from Moozie

    Wie löst ihr dieses Thema,

    In der Regel mit 3-4 SSIDs, das reicht bei mir eigentlich in allen Fällen für die gewünschte Segmentierung auch bei WiFi-Clients.

    "Virtual Network Override" habe ich noch nicht ausprobiert, aber ja, es sollte Deinen Zweck erfüllen, denn die Funktion ist genau für diese Lücke, die Du beschreibst, gedacht. Grenzen hat das Ganze einfach dort, wo man schnell und unkompliziert jemandem Internetzugriff gewähren möchte, da Du neue Endgeräte ja jedes Mal erst über den Controller "managen" musst, bevor sie aktiv sein dürfen.

    Zwei Anmerkungen darüber hinaus:

    - Mit reinem WPA3 werden mit sehr hoher Wahrscheinlichkeit einige bis viele Geräte bei Dir nicht klarkommen, PMF stellt viele Clients vor Probleme

    - Das Ausblenden von SSIDs entspricht nur in etwa der Maßnahme, etwas nachts draußen auf der Straße in schwarze Tücher einzuhüllen: Wer halbwegs gezielt danach sucht, wird es problemlos finden

    4 SSID's hatte ich zu Anfang auch. Dann habe ich es auf 1 für alles mit pre-shared Keys und eine für das Management, dass sie weiterhin ohne Probleme auffindbar ist, ist mir klar. Das ist eigentlich nur ein Backup. So Sinnvoll ist es aber nicht, deswegen mache ich mir gerade die Gedanken über die Optimierung meines Aufbaus.

    Stellt sich die Frage, was ich zu konfigurieren habe, damit Geräte, welche neu hinzugefügt werden erst einmal isoliert sind, bevor ich sie dem korrekten VLAN zugeordnet habe. Hast du eine Idee?

    Quote from Moozie

    Wie löst ihr dieses Thema, evlt. gibt es ja noch bessere Ansätze um das gleiche Ziel zu erreichen.

    Ich habe das damals so gemacht:

    - Erst mal in einer Mind-Map alles an Gerätegruppe aufgelistet, was ich so im Netz habe und evtl noch bekommen werden

    - diese Geräte dann nach Gruppen iher Funktion sortiert ( z.B: Privat = Smartphones, Tablets, Drucker, Notebooks usw. ) , dabei sind dann die entsprechenden VLAN rausgekommen.

    - dann nur den VLAN auch ein WLAN zugeordnet, wo das benötigt wird - z.b. braucht ein Server-Netz bei mir kein WLAN und auch das Büro-LAN nicht, weil das Firmennotebook eh am Kabel hängt.

    - Am Ende dann eine Kommunikationsmatrix erstellt, welches VLAN mit welchem anderen Kommunizieren darf / muss / nicht darf oder ins Internet muss / nicht muss - > darauf basieren dann die Firewallregeln. ( ich nutze ne OPNSense-Firewall, die hat andere Möglichkeiten für Gruppierung von Netzen und Firewall-Regeln )

    Ergo: ich hab aktuell 14 VLAN, wovon einige aber nur Test-Netze sind z.b. für virtualisierte OPNSense-Testinstallation oder teilweise auch aktuell nicht genutzt werden, davon sind 5 mit WLAN versorgt. ( Privat, SmartHome, IoT, Guest, Media )
    Ich habe IoT ( z.b. die ganzen ESP-Mikrocontroller usw. ) bewusst vom SmartHome-Netz getrennt.

    SSID's verstecken mache ich nicht, bringt sicherheitstechnich gesehen garnichts.

    Der Vorteil, ich hab diese VLAN-Konfiguration auch so bei Bekannten implementiert - erspart das umdenken. Bei mir ist z.b. "Secure" nicht genutzt aktuell, war gedacht für Kamera's, beim Bekannten ist das in Nutzung aber eben auch ohne WLAN, weil die Kameras am Kabel hängen.

    Wie sagt man immer so schön - Planung ist das halbe leben, lieber vorher paar Stunden Gedanken drüber machen und dann bauen, als später ständig umbauen zu müssen. Ich hab meine VLAN/WLAN-Konfig seit dem nicht mehr gross geändert, nur eben z.b. um die Test-Netze erweitert.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login