Verständnisfrage zu VLANs.

    Hallo zusammen!

    Ich versuche mich gerade daran, mein Heim-Netzwerk (Doppelhaus, WLAN, LAN, Cameras, IOT) in verschiedene Netzwerke (VLANs) aufzuteilen.

    Wichtig ist mir vor allem, ein Gast-Netzwerk und ein IoT-Netzwerk einzurichten. Die Zone-Based-Firewall ist aktiviert, aber "nur" in den serienmäßigen Einstellungen.



    Jetzt hab ich dazu schon die erste Verständnisfrage:

    Ich hab ein normales Netz und ein Netz IOT eingerichtet.


    Frage 1 zu verschiedenen Netzen:

    Wenn ich ein Gerät (z.B., Backofen) per WLAN an das IOT-Netz anschließe, der Backofen aber über die Siemens-App, die am Handy läuft gesteuert werden muss und das handy selber aber im normalen Netzt hängt, sollte das eigentlich funktionieren oder?


    Zweite Frage, zu VLANs. und Switches:

    Wenn ich die VLANs nicht per WLAN, sondern per Kabel anschließen will, und 2 Switche hintereinander geschalten sind, wie schaut das dann aus?

    Für den Port am Switch, an dem das IOT-Gertät hängt, geb ich das NETZ IOT ein, klar.

    Was stell ich am Core-Swicht an dem Port ein, an dem der "End-Switch" hängt?

    Ich kann am Ausgangs-Port des Core-Switches ja nicht "NetzIOT" einstellen, weil dann der ganze Switch, der dahinter an dem Port hängt, nur noch das NetzIOT sieht, oder?=

    Ich hoffe, ich hab mich verständlich ausgedrückt :-(


    Wäre nett, wenn jemand was sagen könnte, danke!


    Servus, Markus

    Andere Frage, welche Einstellungen für die Zone-Firewall macht denn Sinn für das IOT-Netz?

    Eigentlich sollen die Geräte ja garnicht mit dem restlichen Netzwerk kommunizieren können.

    Die Frage ist aber wie dann die zugehörigen Apps mit den Geräten reden können:


    Beispiel:

    Die HUE-App soll nur im IOT-Netz bleiben, aber mit der Hue-App auf dem Handy, das im normalen Netz ist, kommunizieren können.

    Beides zusammen geht nicht, oder?


    Servus, Marku7s

    Switch-Switch, Router-Switch, Switch-AP Ports immer nativ das Default LAN und getaggte VLANs ALLOW ALL.

    Alle Ports an denen ein normales Gerät dran hängt. Native das VLAN einstellen, in dem das Gerät sein soll. getaggte VLANS BLOCK ALL.


    Prinzipiell ist die Frage wie die Apps gemacht sind. Gerade das ganze Consumer App Zeugs findet die zu steuernden Geräte automatisch, aber nur innerhalb eines LANs. Dann muss natürlich Handy und Gerät im gleichen VLAN sein.

    Funktioniert der Spaß auch VLAN übergreifend, dann kann man natürlich auch die Geräte in unterschiedlichen VLANs betreiben. Von Haus aus sollte die Firewall das zu lassen in den Standardeinstellungen und mit den default Zonen.

    Bei der Kommunikation von Geräten initiiert ein Gerät die Verbindung. Dazu kennt die Firewall den Status New. Alle Pakete die dann zu dieser Verbindung gehören, egal ob die Antwortpakete vom Ziel oder weiter Pakete vom Initiator zum Ziel haben dann den Status established/related. Dementsprechend kann man dafür sorgen dass aus dem IOT keine neuen Verbindungen aufgebaut werden dürfen. Geräte auf die man zugreifen will aber sehr wohl Antworten dürfen, also related/established erlaubt ist. Kann man allg. vür das ganze Netz machen oder runterbrechen auf einzelne Geräte, die dann natürlich eine feste IP zugewiesen haben sollten.

    Quote from DoPe

    Switch-Switch, Router-Switch, Switch-AP Ports immer nativ das Default LAN und getaggte VLANs ALLOW ALL.

    Alle Ports an denen ein normales Gerät dran hängt. Native das VLAN einstellen, in dem das Gerät sein soll. getaggte VLANS BLOCK ALL.


    Danke erstmal!

    hab ich das richtig verstanden?:


    Das ist Port 11 meines Core-Switches. Dahinter kommt ein Switch in einem Zimmer, an dem mehrere Endgeräte hängen, teils "normal", teils "IOT". Stell ich den Port am Core-Switch auf "NONE" oder auf "Casabauer", wenn dahinter mehrere VLANs funktionieren sollen?

    Casabauer ist das Defautl-LAN.

    Und bedeutet das Tagg VLANs Allow ALL, dass ohnehin jedes VLAN durchgelassen wird?


    Danke!

    Quote from viggo

    Wenn ich ein Gerät (z.B., Backofen) per WLAN an das IOT-Netz anschließe, der Backofen aber über die Siemens-App, die am Handy läuft gesteuert werden muss und das handy selber aber im normalen Netzt hängt, sollte das eigentlich funktionieren oder?

    Das Problem kann der Backofen sein. Viele haushalts- und Mediengeräte können nicht über Netzwerke hinweg kommunizieren. Die haben billige Module verbaut oder sind schlecht programmiert.

    Ja genau das VLAN1 ist das Default LAN. Tagged VLANS Allow ALL sorg dafür das alle VLANs getaggt über diesen Port gehen, ausser das VLAN was nativ eingestellt ist, denn das wird ungetaggt übertragen.

    Das Default VLAN muss halt an den Switchen und Accesspoints anliegen, weil es das Management LAN ist. Die getaggten Netze werden zusätzlich übertragen damit man diese dann an den Ports der Switche (nativ) an PCs und Co. zuweisen kann und bei den Accesspoints sind diese dann ggf. mit entsprechenden SSIDs verknüpft.

    Ferner können normale Endgeräte in der Regel nur ungetaggte Pakete (also natives VLAN des Ports) nutzen. Daher muss die Zuweisung von vorne bis hinten passen, damit nichts im falschen Netz ist oder gar Offline.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login