Wie das Netzwerk sicher einteilen

Es gibt 23 Antworten in diesem Thema, welches 6.504 mal aufgerufen wurde. Der letzte Beitrag () ist von Samhain.

    Ich hoffe ich bin hier im richtigem Subforum.


    Ich besitze ein UniFi Switch 24 und habe die Vorstellung mein Netzwerk einzuteilen auf unterschiedliche VLANS. Ziel ist es, dass ich verschiedene Sicherheitsebenen habe. Dazu verwende ich eine FritzBox 7590.


    VLAN1: das Home Netzwerk, z.B. für Arbeits-PC, private PCs usw.

    VLAN2: Für die ganzen Internet of Things Geräte

    VLAN3: Gästenetzwerk


    Jedes Netzwerk sollte eine Internetverbindung haben. Vom VLAN1 möchte ich überall hin können, z.B. zwecks Administration die Geräte im VLAN2 erreichen. Aber von VLAN2 und VLAN3 soll man nicht in andere Netze können. Quasi eine Einbahnstraße.


    Ist so etwas überhaupt möglich oder ist mein Ansatz völlig falsch? Gibt es bessere Vorschläge? Wie kann ich das mit dem Ubiquiti Switch umsetzen?


    Ich bin leider nicht ganz so versiert mit Netzwerk Technik, bin aber gewillt mich da durch zu beißen.

    Ich habe es so:

    10.10.10.x Ist mein Manage LAN

    10.10.20.x Kids

    10.10.30.x Gäste

    10.10.40.x IoT

    10.10.50.x Kameras


    Die Netze sind sind untereinander nicht erreichbar, könnte aber wenn ich wollen würde vom 10.10.10er überall zugreifen, worin ich aber keinen Sinn sehe.


    EDIT: Sehe gerade, hast du nur eine Fritzbox oder auch eine USG/UDM?

    Mmanchmal müssen doch die IoT Geräte administriert werden. Daher würde ich schon gerne drauf kommen können.


    Wie muss ich das alles einrichten?


    Zu deiner nachgereichten Frage. Ich habe kein USG/UDM, sondern nur eine Fritz.Box. Kann man dies nicht allein mit dem Switch und der Controller Sotware lösen?

    Moin

    Zitat von Voodoo

    Kann man dies nicht allein mit dem Switch und der Controller Sotware lösen?

    Nein, du brauchst einen Router der VLAN kann - da ist die FB raus

    Mein Projekt

    Gefällt mir 1

    Wenn ich mir die kleinste USG hole, dann habe ich doch das Problem mit doppeltes NAT (USG und FritzBox). Oder ist das gar kein Problem?

    Doppeltes NAT kann ein problem sein muss aber nicht.


    Ich hab es mit nem Vigor vermieden. - hab es aber momentan wieder weil ich zur Zeit nur ein Unifi Testnetz im eigentlichen Netz betreibe


    Wenn du online spielst ist es ein meist Problem, nur beim surfen usw eher nicht

    Mein Projekt

    wenn sonst kein anderer Weg existiert, bedanke ich mich für eure Hilfe und überlege mir das Ganze mal, ob mir der Aufwand wirklich wert ist noch zwei weitere Geräte einzukaufen.

    • Offizieller Beitrag

    Welchen Switch hast Du genau? Die neueren können zum Teil inter-VLAN-Routing auch ohne USG/UDM.

    razor Machen die dann auch DHCP, DNS usw ? ich meine dazu braucht man noch nen Router

    Mein Projekt

    • Offizieller Beitrag
    Zitat von amaskus

    razor Machen die dann auch DHCP, DNS usw ? ich meine dazu braucht man noch nen Router

    Richtig, aber mit der FB könntest Du immerhin 2 VLANs realisieren - nicht genug für Deine Anvorderung bei "3" VLANs.

    • Offizieller Beitrag

    Dann wärst Du wegen des Switches leider "raus", aber wie gesagt kann die FB ja immerhin 2 VLANs. Wie und ob das mit der Kommunikation klappt kann ich aber nicht sagen. Müsstest Du probieren.

    Zitat von Voodoo

    wenn sonst kein anderer Weg existiert, bedanke ich mich für eure Hilfe und überlege mir das Ganze mal, ob mir der Aufwand wirklich wert ist noch zwei weitere Geräte einzukaufen.

    Mir wäre es den "Aufwand" wert, von Speedports/FritzBoxen als Router halte ich nichts. Man bekommt vordiktiert, was "sicher" sein soll und ist schon recht kastriert.

    Gefällt mir 1

    Was mir gerade eingefallen ist du kannst das Theoretisch mit zwei netzen lösen.


    LAN 4 der FB schaltest du auf Gast

    Dann richtest du ein VLAN beim switch ein.

    Weißt dieses einem Port zu der kommt dann an den LAN 4 der FB, restliche Verteilung dann ebenso mit dem VLAN Tag.


    ABER

    Du kommst nicht vom Haupt ins Gästenetz, das unterbindet die FB

    Mein Projekt

    • Offizieller Beitrag

    Dein ABER ist genau das, was ich meinte, dass es zu probieren gilt. Ich weiß es nämlich nicht.

    Zitat von razor

    Dein ABER ist genau das, was ich meinte, dass es zu probieren gilt. Ich weiß es nämlich nicht.

    Deinen Teil hatte ich überlesen - aber aus meinen FB Zeiten (ca 5-6 Jahre her) meine ich mich zu erinnern, aber könnte sich auch geändert haben

    Mein Projekt

    Hmmm ok. Danke für die Hinweise. Ich muss mir das mal überlegen, weil ich z.B. etliche Hue Geräte habe, die ich mit dem Handy auch steuern möchte oder mit Google Home. Das geht nicht, wenn sie im Gästenetzwerk nicht erreichbar sind.


    Und der Aufwand ist für mich, neben dem Kostenaspekt, schon größer, auch was das Aufstellen der Geräte betrifft.


    Ich habe eben in meinen Controller geschaut. Ich kann verschiedene Netzwerke einrichten und VLANs IDs vergeben. Dann kann ich einen Port einen VLan zuweisen. Wenn ich jetzt nur noch Regeln vergeben könnte, was in welche Richtung geht.


    Im Zweifel probiere ich erstmal die Lösung mit der Fritzbox und den zwei VLans.

    Zitat von Voodoo

    Wenn ich jetzt nur noch Regeln vergeben könnte, was in welche Richtung geht.

    Das ist dann ja der Firewall teil eines Routers bzw einer Hardwareapplicane (zB Sophos)

    Mein Projekt

    Danke 1
    Zitat von Voodoo

    Bei Erfolg hört ihr hier nochmal von mir

    Ich hoffe du meinst betriebswirtschaftlichen Erfolg, der ist positiv oder negativ.


    Gerne das Ergebnis des tests hier posten - dann kennen wir das Verhalten der FB und stehen beim nächsten mal nicht mehr im Dunkeln :face_with_tongue:

    Mein Projekt