Mein VLAN Projekt in den eigenen vier Wänden (mit UDM Pro)

Hallo und vielen Dank mal wieder für die ganzen Kommentare. Wie gewohnt findet ihr die Antworten nachfolgend in den einzelnen Zitatboxen.

Zitat von EJHome

Hi!

Beeindruckende Matrix.

Ich unterstelle, dass grüne Quadrate eine erlaubte Kommunikation repräsentiert.

Richtig.

Nun sollte die diagonale Reihe zumindest grau eingefärbt werden.

Es macht für mich keinen Sinn, dass die Lüftung eine Kommunikationsbeziehung mit sich selbst haben darf!

Tatsächlich hatte ich diese Darstellungsform in meiner ersten Version gewählt, die ich dann aber wieder gelöscht habe. In der nächsten Version werde ich diesen Gedanken aber auch visuell wieder so umsetzen.

Das setzt sich jedoch bei allen Geräten fort. Alle Geräte dürfen mit sich selbst Kommunikationsbeziehungen haben?

Macht das Sinn?

Korrekt. Hier müsste einfach die diagonale grau/schwarz eingefärbt werden.

Alle Kameras dürfen mit allen Kameras Kommunikationsbeziehungen aufbauen.

Macht das Sinn?

Tatsächlich ein sinnvoller Einwand. Es gibt aus meiner Sicht keine Funktionalität die eine Kommunikation unter den Kameras notwendig macht. Ein gutes Beispiel für eine solche notwendige Kommunikation ist die Gruppenschaltung einer Außenbeleuchtung. Wenn es beispielsweise mehrere Lampen mit eigenen Bewegungsmeldern auf der Terrassenseite eines Hauses gibt, sollen bei erkannter Bewegung einer Lampe alle anderen Lampen auch angeschaltet werden. Dies würde dann über eine Kommunikationsleitung zwischen den einzelnen Lampen ermöglicht werden.

Ich habe das natürlich im Grunde verstanden, aber ich möchte hier diese Gedanken an den Man bringen!

Ein Grund warum ich hier bin. Euer Input sehr wertvoll und kann hoffentlich nicht nur mir, sondern auch anderen Leuten, die vor diesem Thema stehen weiterhelfen. Dazu kann gerne dieser Thread dienen, aber mir kam auch schon die Idee am Ende - ein Ende wird es vielleicht nie geben, aber dann in einer späteren Phase des Projekts - alles etwas strukturierter in einem Wiki-Artikel zusammenzufassen. Dabei würde ich dann natürlich auf bestehende Wikiseiten, wie dein Firewallregeln verweisen. So wie es sich nun mal für ein Wiki gehört.

Gruß!

Alles anzeigen

Zitat von defcon

willy & @EJHome 

Die Kommunikationsmatrix kommt mir bekannt vor, jedoch aus einem anderen Gewerk...

Jedes Gerät muss erstmal mit sich selbst kommunizieren könne, ja s.o.

z.B. darf aber Smartphone1 die Lüftung, PV und Heizung abfragen oder steuern.

Bei der Matrix ist Luft nach oben aber der Grundgedanke passt - ich kann es mehr oder weniger nachvollziehen weil ich diese Art Matrix von einem anderen Gewerk kenne!

Bei dem Begriff Gewerk denke ich zwangsläufig an etwas aus dem handwerklichen oder bautechnischen Sektor. Welcher Bereich wäre das denn? Ich kenne es tatsächlich eher aus dem Bereich des Projektmanagements.

Alles anzeigen

Zitat von Samhain

Super!

Genauso war das gedacht und mein Ziel war, dass man sich über die Kommunikationsmatrix klar wird, welche Verbindungen zwingend realisiert werden müssen, dass sie weiterhin funktionieren. Deine Erkenntnisse sind sicherlich auch für viele andere hier eine wichtige Hilfe

Was derzeit noch unberücksichtigt bleibt sind funktionelle Probleme, wenn Systeme in unterschiedlichen VLANs platziert sind.

Ich mache mal ein Beispiel mit dem ich gerade kämpfe:

Die Datensicherung meiner MACs erfolgt im Wesentlichen über TimeMachine. Apple lässt es aber leider nicht zu, dass Quelle/Ziel (=MAC/TimeMachine Server od. Time Capsule) in unterschiedlichen VLANs platziert sind.

Sicherlich gibt es da noch mehr Abhängigkeiten bei Appliances bzw. gekapselten Systemen.

Auf diese Abhängigkeiten bin ich auch schon gestoßen. Aktuell habe ich meine provisorischen VLANs laufen, mit denen ich mich am Anfang beschäftigt habe. Dort konnte ich VLAN-übergreifend nicht direkt auf die Sonos-Speaker zugreifen, sondern erst nach Anpassung speziell für diese Geräte. Aktuell erreiche ich die Sonos-Speaker aber auch nicht mehr, obwohl ich nichts geändert habe. Darum kümmere ich mich dann aber, wenn ich soweit durch bin mit meiner Planung und wieder Hand am System anlege. Des Weiteren ist mir heute aufgefallen, dass ich meinen Fernseher nicht mehr über Airplay erreichen kann. Da wird wahrscheinlich auch noch eine Sondereinstellung (Stichwort spezielle Firewallregeln und/order mDNS Reflector) notwendig sein bzw. die Notwendigkeit bestehen ein VLAN für Smartphones, Fernseher und Sonos-Speaker zu erstellen. Das ganze werde ich aber auch dokumentieren.

Alles anzeigen

Zitat von petra92

ich würde eher mehr vlans anlegen ruhig auch für nur ein management gerät

wenn zuviel auf geräte ebene geregelt wird muss man bei gerätewechsel wieder individuell anpassen

wenn mit vlans gearbeitet wird muss das neue gerät nur dem passenden vlan zugeordnet werden und die regeln müssen nicht angefasst werden

Vielen Dank für deinen Kommentar. Das geht tatsächlich genau in die andere Richtung als ich es weiter oben beschrieben hatte. Das mit der veränderten Gerätelandschaft ist aber natürlich korrekt. Bei einem Berechtigungskonzept hängt man grundsätzlich auch keine Einzelberechtigungen an Personen/Geräte, sondern hängt diese an logische Gruppen die eher einer definierten und fixen Struktur entsprechen um genau dieses Problem zu unterbinden. Dabei hilft mir aber sehr stark die Kommunikationsmatrix, da ich gleiche Kommunikationsmuster unterschiedlicher Geräte erkennen kann.

Eine Anmerkung dazu sei mir noch gestattet. Wenn ich Regeln auf Geräteebene definiere, sprich für spezielle IPs, hätte ich kein Problem bei einem Wechsel des Geräts, sofern ich statische IP-Adressen vergeben habe. Dann müsste ich nur sicherstellen, dass mein neues Handy dieselbe IP-Adresse wie das Gerät davor hat, korrekt?

Außerdem darf ich die Limitierung der VLANs an APs nicht vergessen. Wie ich bereits gelernt habe, funktioniert das gut bei kabelgebundenen Geräten. Wenn ich nun aber viele Geräte am WLAN hängen habe, benötige ich pro VLAN eine SSID. Da ein AP aber nur vier SSIDs erzeugen kann, bin ich hier in der Anzahl der VLANs technisch limitiert. Ich denke daher, dass ich einen Mittelweg wählen muss, der genau für meinen Anwendungsfall passt.

Alles anzeigen

Zitat von EJHome

willy

Hi!

In der Auseinandersetzung mit Deinem Thema und Vorhaben, bin ich auf zwei für mich wichtige Schlussfolgerungen gestoßen, die ich Dir mitteilen möchte.

Ganz zu Beginn, hast Du den Willen geäußert, die Strukturen möglichst flach zu halten und angelehnt an das Pareto-Prinzip umzusetzen.

Mit dem oben zitierten Punkt 2. gehst Du es nun aus meiner Sicht gegenteilig an.

Die "Unterteilung und Aussteuerung der Kommunikation zwischen Geräten" durch "spezifische Firewall-Regeln pro Gerät" wird Dich sehr viel Aufwand (80%) kosten aber nur wenig (20%) des Gesamtprojektes ausmachen.

Zudem sind doch Regeln geltende Richtlinien für Bereiche oder Gruppen, nicht für einzelne Geräte.

Einzelne oder wenige Geräte werden von den Regeln ausgeschlossen oder es gelten andere Regeln für diese, weil sie sich in einer anderen Gruppe befinden.

Bitte verstehe meine Hinweise als Impuls nochmal über die grundsätzliche Herangehensweise nachzudenken.

Ich verletzte tatsächlich meine "Grundprinzipien" dahingehend, dass ich vorher von einer "kleinen" Lösung ohne extrem viel Aufwand ausgegangen bin, jetzt aber immer größer werde. Das hängt zum einen damit zusammen, dass ich sehr viel Spaß daran entwickle mich damit auseinanderzusetzen und extrem viel durch die Recherche und eure Anregungen lerne. Dadurch erhält das Projekt auch eine ganz neue Bewertung der für mich notwendigen Bestandteile. Vieles sind aber erstmal Gedankenexperimente, weil ich tatsächlich jeden Kommentar mit einfließen lasse und damit den Aufwand von euch wertschätzen möchte. Die Umsetzung wirkt daher vielleicht ziemlich ausufernd und das Vorgehen nicht ganz klar strukturiert. Das ist vor allem meiner Unwissenheit geschuldet.

Das weitere Vorgehen sieht so aus:

1. Überarbeitung der Kommunikationsmatrix

2. Ableiten logischer Gruppen meiner Geräte

3. Vorschlag über die Umsetzung von VLANs und Regeln.

4. Einfließen lassen von euern Kommentaren und tatsächlich anpassen meiner Landschaft um auch die Hände ans System zu bekommen. Hier werden - wie weiter oben schon genannt - bestimmt noch die ein oder anderen Stolpersteine auf mich warten. Ich könnte mich wahrscheinlich noch Monate konzeptionell damit beschäftigen, aber irgendwann muss man die Sachen auch mal angehen.

Gruß!

Alles anzeigen