Mein VLAN Projekt in den eigenen vier Wänden (mit UDM Pro)

Hallo zusammen,

da ich nun etwas Zeit habe mich wieder meinem Netzwerk zu widmen, möchte ich gerne VLANs bei mir einrichten und würde gerne eure Ideen / Empfehlungen / Hinweise zu meiner Planung hören.

Die Hardware-Ausgangslage der UniFi-Produkte sieht so aus:

• 1x UDM PRO
• 1x UniFi Switch 24 PoE
• 2x UniFi AC Pro
• 1x UniFi Mesh Access Point
• 2x UniFi Protect G4-PRO Camera
• 1x UniFi Protect G3 FLEX Camera

Netzwerkgeräte im Haushalt sind u.a.

• Heizung
• Lüftungsanlage
• PV Anlage
• Mobile Geräte wie Tablets, Smartphones, Notebooks
• Desktop PC
• TV
• Sonos Speaker

Ziel ist es nun, dass ich gerne unterschiedliche Netze aufbauen möchte um die Kommunikation zwischen bestimmten Gruppen nicht zu ermöglichen. Ich möchte z. B. nicht, dass die Haustechnik mit dem Sonos Speaker oder anderen IoT-Geräten kommunizieren kann. Ich möchte allerdings, dass ich weiterhin von meinem Management VLAN mit allen Geräten kommunizieren kann.

Meine laienhafte Planung sieht wie folgt aus:

ubiquiti-networks-forum.de/gallery/image/159/

Ich plane fünf verschiedene VLANs

• Management VLAN 10 = Kann mit allen VLANs kommunizieren. Hierbei können die Geräte im kabelgebunden LAN, aber auch im WLAN sein.
• Gebäudetechnik VLAN 20 = Alle Geräte sind per LAN-Kabel direkt mit der UDM Pro verbunden
• Kamera VLAN 30 = Bisher sind alle Kameras kabelgebunden
• IoT VLAN 40 = Geräte teilweise kabelgebunden und auch im WLAN
• Gäste VLAN 50 = Nur mobile Geräte die im WLAN hängen

Meine Fragen bereits an dieser Stelle:

• Macht die Aufteilung Sinn? Ich möchte eine generelle Struktur etablieren, aber auch nicht übertreiben mit der Anzahl an unterschiedlichen VLANs. Vor allem im Hinblick darauf, dass ich nur einen Layer-2 Switch habe und das Routing damit komplett über die UDM Pro läuft. Auch wenn ich hier aufgrund der Datenmengen wahrscheinlich keine Probleme bekomme, oder?
• Gibt es hier Nachteile, dass die Geräte an der UDM Pro angeschlossen sind? Ich musste leider diesen Weg gehen, da am Switch fast alle Ports durch die Anschlüsse im Haus belegt sind. Die Zeichnung ist nur schematisch und zeigt nur die Gruppen der kabelgebundenen Geräte, aber nicht immer die tatsächliche Anzahl.

Was habe ich bereits umgesetzt bzw. gelernt habe. Über Hinweise ob ich alles richtig verstanden habe, bin ich sehr dankbar. Vielleicht hilft es auch anderen Teilnehmern in diesem Forum.

• Ich habe bisher mit den unterschiedlichen Einstellungen gespielt um das Prinzip der VLANs – hoffentlich – richtig zu verstehen. Das heißt, ich habe bereits einzelne VLANs zum Test erstellt und die Geräte eingebunden. Anschließend habe ich die Verbindung getestet, dass ich z. B. über mein Management VLAN auf die Geräte in anderen VLANs zugreifen kann. Das funktioniert auch soweit, wobei es u.a. bei dem Sonos Speaker anfangs Probleme gab, die ich aber nun in den Griff bekommen habe.
• Wichtig: Uplink Port zwischen UDM Pro und Switch das Port Profil All geben, damit darüber alle Daten der Tagged Networks übertragen werden können. Hier hatte ich erst das falsche Profil gesetzt und konnte meine Kameras nicht mehr erreichen, nachdem ich dem zugehörigen Port das VLAN 30 zugewiesen hatte
• Firewall
  • Gruppe erstellt für RFC1918 IP-Adressen
  • LAN IN Regeln
    • Block interVLAN routing à Quelle Gruppe RFC1918 zu Ziel Gruppe RFC1918 mit Action Block, damit erstmal jede Kommunikation zwischen den Netzen geblockt wird, außer ich erlaube es grundsätzlich
    • Allow management LAN to access all VLANS à Quelle Netzwerk LAN zu Ziel Gruppe RFC1918 mit Action Allow
• Switch Port Profiles dienen dazu den einzelnen Ports am Switch und der UDM mitzuteilen, welche VLANs sie übertragen. Hierbei handelt es sich um Tagged VLANs. Z. B. gebe ich dem Port an dem meine Kamera hängt das Switch Port Profile von VLAN 30
• Beim AP sieht das anscheinend so aus, dass ich einem Wireless Network nicht mehrere VLANs mitgeben kann, korrekt? Hier muss ich also pro VLAN ein eigenes WLAN erstellen. Ähnlich dem Gastnetzwerk. Wichtig ist dann nur, dass ich in einem Switch Port Profile die relevanten VLANs als Tagged Network zusammenfasse und dieses Profil dem Port an dem der AP hängt zuweise. Alternative wäre die Verwendung eines Radius Server, bei dem ich nur eine SSID benötige und über den Radius Server die Geräte/Benutzer dem korrekten VLAN zugeordnet werden. Korrekt?
• Wie handhabt ihr das mit WLANs die unterschiedliche VLANs haben sollen. Je weniger aktive WLANs ich hier habe, desto besser ist das doch für meine Frequenzen, damit diese sich nicht untereinander stören. Gibt es hier eine andere Möglichkeit das auszusteuern?
• Was hat es mit dem Bereich LAN LOCAL auf sich? Ich verstehe leider nicht wann oder wofür dort Regeln gepflegt werden sollten. Aus der offiziellen Hilfe kann ich mir leider nichts genaueres vorstellen.
  • For example, firewall rules configured under LAN In will apply to traffic from the LAN (Corporate) network, destined for other networks. Firewall rules configured under LAN Local will apply to traffic from the LAN (Corporate) network, destined for the UDM/USG itself.
• Die Sonos Boxen konnte ich nach der Einstellung des VLANs nur mit folgendem Hinweis finden: VLAN inter-accessibility for MultiCast devices (SONOS/Chromecast/Airtame/etc)
  • Controller - Settings - Services - MDNS - Set Enable Multicast DNS to ON
  • Controller - Settings - Networks -> Edit LAN and WLAN networks each -> Tick Enable IGMP Snooping (Box checked)
• Das Gästenetzwerk basiert auch auf einem Corporate Network. Ich habe außerdem eine spezielle Benutzergruppe erstellt, damit die Bandbreite für Gäste im Up- und Download reduziert ist.

Ich hoffe, dass meine Ausführungen und Ziele verständlich sind. Ich bin noch ein Laie was Netzwerktechnik angeht, möchte mich aber gerne verstärkt damit beschäftigen und das ganze besser verstehen. Genau deswegen habe ich mich auch für die dargestellte Kombination der Hardware entschieden. Jetzt freue ich mich aber auf jegliche Art von Rückmeldungen.

Hallo zusammen,

vielen Dank für eure ganzen und ausführlichen Antworten. Gerne möchte ich nachfolgend darauf eingehen. Ihr findet die Antworten in den jeweiligen Zitatboxen. Bitte dafür einfach aufklappen.

Zitat von EJHome

Hi!

So kann man beginnen, keine Frage!

Als Lektüre empfehle ich

Firewall-Regeln >Basis-Wissen< (EJ)

Super Artikel. Hat mir nochmal sehr gut weitergeholfen, vor allem im Bezug auf meine falsche Annahme erst die gesamte Kommunikation zwischen den VLANs zu verbieten und dann punktuell zu erlauben. Den Abarbeitungspfad habe ich nicht berücksichtigt.

Gruß!

Alles anzeigen

Zitat von EJHome

Grundsätzlich macht Deine Aufteilung sinn!

Der Backbone der UDM Pro hat eine max. Switch-Leistung von 1GBit!

Die Geräte die an dem 8-Port-Feld hängen teilen sich die Switch-Leistung. Keine gute Idee!

Ein sehr guter Hinweis. Für mich zur Einordnung: Es handelt sich beim Backplane um ein Bussystem, über den der gesamte Datenverkehr der 8 Ports geleitet wird. Dieser ist bei der UDM Pro auf 1GBit limitiert. Die SFP+ Ports hängen aber nicht an dem Bussystem, sondern haben vermutlich ein eigenes Bussystem?! Hier auch ein guter Beitrag bei dem das ganze mal untersucht wurde. (IMHO: Da frage ich mich wirklich, wieso solch eine Entscheidung bei einem Pro Produkt getroffen wurde)

In meinem speziellen Anwendungsfall habe ich da wahrscheinlich keine Einschränkung zu befürchten. Die Haustechnikgeräte benötigen kaum bis gar keine Bandbreite. Etwas entzerren und optimieren könnte ich das ganze wahrscheinlich, wenn ich die UDM Pro per SFP-Kabel mit dem Switch verbinde. Hierbei muss ich allerdings daran denken, den Port auf Link Speed 1 Gbps FDX zu stellen, da mein Switch nur SFP kann.

Bei den Firewall-Regeln musst Du auf die Reihenfolge achten.

Verbieten und dann erlauben, funktioniert nicht.

Erst erlauben und den Rest verbieten, so ist es richtig!

Danke. Das war gut in deinem Artikel von oben beschrieben.

Das mit dem VLAN Tagging musst Du Dir nochmal durchlesen.

Nachdem ich jetzt noch ein paar Artikel zu dem Thema gelesen habe, verstehe ich es so, dass mein Port der als Link zwischen UDM Pro und Switch verwendet wird als Tagged bezeichnet wird. Es wird also jedem Datenframe/Ethernetframe ein "Tag" mit der VLAN ID zugeordnet. Die Ports, an denen Clients hängen sind dann portbasiert und dementsprechend Untagged. Wenn mein Verständnis korrekt ist, müsste nach dieser Definition zusätzlich jeder Switch Port an dem ein AP mit mehreren SSIDS und VLANs hängt als Tagged definiert werden. Ist das richtig?

Switch-Port-Profile ist eher ein dritter oder vierter Schritt.

Switch-Port-Profile sind für mich dann dafür da, die einzelnen Ports überhaupt als Tagged definieren zu können, da ich hier unterschiedliche VLANs zu einem Tagged Network zusammenfassen kann. Standardmäßig gibt es das Switch-Port-Profile "All" was automatisch alle VLANs als ein Tagged Network zusammenfasst. Dieses Profil wird dann z. B. dem Link Port am Switch zugeordnet. Wenn jetzt meine Annahme von weiter oben richtig ist mit den APs, könnte ich dieses Profil ebenfalls dem Port am Switch zuordnen wo der AP angebunden ist. Wenn ich nun aber z. B. ein VLAN explizit nicht durch den AP verwenden möchte, muss ich mir selber ein Switch-Port-Profile anlegen, indem dieses spezifische VLAN exkludiert ist.

Ein WLAN wird immer an ein Subnetz oder VLAN gebunden.

Access Points sollen mehrere WLANs ausstrahlen, nicht ein WLAN soll mehrere VLANs haben (das ist von der Denkweise falsch)!

Grundsätzlich kann jeder Access Point vier WLANs ausstrahlen.

Danke. Die Angabe war mir nicht bekannt.

Zu LAN Local hast Du alles richtig zitiert! Den Ausführungen dort ist nichts hinzuzufügen.

Das mit den Sonos-Boxen ist etwas schwierig, aber Du hast es ja gelöst!

Ein Gastnetzwerk kann als "Corporate" erstellt werden. Es gibt jedoch auch die Auswahl Gast.

Das habe ich bewusst gemacht, weil ich hier etwas Freiheit haben wollte um die Firewall-Regeln selber definieren zu können. Ob das bei meinem Wissenstand sinnvoll ist, werden wir sehen. Ist ja zum Glück nur bei mir zu Hause und nicht in einem hochkritischen Bereich.

Ich empfehle eine Baustelle nach der anderen zu erledigen!

Gruß!

Alles anzeigen

Zitat von uboot21

hallo,

Ich habe es fast identisch. ich habe deine Gebäudetechnik nur NoT genannt (Network of Things im Gegensatz Internet of Things), die Geräte können untereinander kommunizieren, aber nur das IoT darf ins Internet, das NoT darf nur ins eigene VLAN und ins IoT
Ergänzend möchte ich nur erwähnen, im Managment VLAN habe ich nur die Infrastruktur, also Switch, Router, AP, etc. die Geräte wie PC, Tablet, Handy und so habe ich in einem VLAN Main, weil man will ja auch nicht das alle mit einem Rechner Zugriff auf die Infrastruktur haben. (Kinder zb)

Freut mich, dass es Personen gibt, die einen ähnlichen Ansatz haben. Leider wird das mit dem NoT-Netzwerk nicht funktionieren, da ich z. B. für die PV Anlage eine aktive Internetverbindung benötige, damit ich am Einspeisemanagement teilnehmen kann und die Wirkleistungsbegrenzung nicht fix auf 70% eingestellt werden musste. Welches Gerät verwendest du denn dann im Management VLAN um auf die Hardware zuzugreifen? Hast du da einen speziellen Client, der sich in dem VLAN befindet um auf die Management-Geräte wie Switch, Router, etc. zugreifen zu können oder wie hast du das gelöst?

Zitat von Samhain

Ich empfehle vor Inbetriebnahme erstmal eine Kommunikationsmatrix (WER muss mit WEM sprechen und zwar JETZT und in ZUKUNFT) zu erstellen.

Grundsätzlich ist der Denkansatz sicherlich möglich. Die Frage ist, ob die Philosophie bis zum Ende durchgehalten werden kann.

Ich mache mal ein paar Beispiele:

IoTs dürfen nicht ins Internet sprechen. KANN man machen. Spätestens dann, wenn man Updates machen möchte, dann wird's schon schwierig mit der Regel. Oder man arbeitet später mit Cloudlösungen, dann geht sowas so gar nicht bzw. erfordert aufwändige Proxytechniken.

Haustechnik darf nicht mit dem Rest sprechen. Spätestens dann, wenn man mit "Anwesenheiten" arbeitet (z.B. ist ein Samrtphone eingebucht, dann mache das Licht an), wird's auch an dieser Stelle schwierig.

Kurzum:

Eine gute Planung im Vorfeld ist sehr sehr wichtig und schon jetzt kann ich Dir sagen, dass ich den Anlauf auch schon ein paar Mal gemacht habe entsprechende Subnetze zu basteln. Dies scheitert dann oft an der Kommunikation/Funktionalität, weil irgendwas sich dann nicht umsetzen lässt.

Klar kann man alles irgendwie mit Firewall Regeln lösen. Die Frage ist nur, ist es diesen Aufwand wert und bleibt die Wartbarkeit / Fehlersuche dabei nicht auf der Strecke.

Mein Rat im PRIVATEN UMFELD:

Möglichst flache Strukturen und so wenig wie mögliche VLANs.

Danke für den Hinweis. Ich habe vor das ganze recht flach zu halten und in Anlehnung an das Pareto-Prinzip umzusetzen.

Btw.: Du kannst maximal 4 WLAN SSIDs an den APs einrichten. Das bitte als Rahmenbedingung beachten.

Auch dir danke für die Anmerkung. Das war mir wirklich nicht bewusst. Ich strebe aber auch hier so wenig wie möglich an, werde es aber auch nochmal genauer planen. Den Vorschlag mit der Kommunikationsmatrix schaue ich mir auch an!

Alles anzeigen

Guten Abend zusammen,

vielen Dank nochmal für die ganzen Kommentare und Anregungen. Besonders an Samhain für die Idee mit der Kommunikationsmatrix. Ich habe mich soeben mit einem ersten Entwurf einer Kommunikationsmatrix beschäftigt. Den Stand möchte ich euch nicht vorenthalten.

ubiquiti-networks-forum.de/gallery/image/163/

Sie ist von links nach rechts zu lesen (wer hätte es gedacht. ). Zum Beispiel darf Tablet 1 mit der Heizung im Netzwerk kommunizieren. Die Heizung wiederum darf aber nicht von sich aus eine Verbindung zum Tablet 1 herstellen.

Habe ich den Aufbau der Kommunikationsmatrix aus eurer Sicht richtig verstanden und ist es so aufgebaut, wie ihr euch das vorgestellt habt?

Folgende Dinge wurden mir während der Erstellung der Kommunikationsmatrix deutlich, an die ich vorher nicht gedacht hatte:

1. Geräte lassen sich nicht nur einfach nach ihrem Typ gruppieren! Nur weil sie eine bestimmten Gruppe angehören, können sie individuelle Kommunikationswege innerhalb des Netzwerks haben. Zum Beispiel darf nur ein spezielles Smartphone auf die Haustechnik zugreifen, während ein anderes dies nicht darf.
2. Eine Unterteilung und Aussteuerung der Kommunikation zwischen Geräten nur durch VLANs ist nicht zielführend. Vom Gefühl her, würde ich tatsächlich weniger VLANs einrichten und dann spezifische Firewall-Regeln pro Gerät innerhalb dieser VLANs zuweisen. Hier ist mir aber noch nicht ganz klar wo ich den Schnitt mache. Das werde ich mir die nächsten Tage überlegen und dann meine Gedanken vorstellen.

DIe nächsten Schritte sind:

• Einarbeiten eurer Kommentare und Justierung der Kommunikationsmatrix
• Das verlinkte Video von Ronny1978 anschauen und das neu gewonnene Wissen mit in der Kommunikationsmatrix einfließen lassen. Dazu werde ich mir nochmal die Aufteilung der VLANs und die Firewallregeln überlegen. Zudem werde ich schauen wie ich diese Informationen vielleicht sogar in der Kommunikationsmatrix abbilden kann.

Einen guten Start ins Wochenende.