VLAN Konzept

Moin Lalala,

ich bau demnächst neu und habe mir dazu folgende überlegung gemacht

Zitat

ich bin in der Planung für ein Netzwerk im Neubau und werde recht fein segmentieren daher komme ich auf folgende Netze:

- Management

- Server

- DNS

- CCTV

- Sonos

- Multimedia

- Gast

- Smart Home

- Privat

- VoIP

- Homeoffice (2x)

- Drucker

Das ist zumindest die Momentane Überlegung.

Privat, Gast, Smarthome und evtl. CCTV werden zudem auch Wireless verfügbar sein

Alles anzeigen

Das Zitat stammt aus einem anderen Beitrag von mir, ist ein bisschen her.

Ich würde die Admin Clients gegen die User Clients in eigenen VLANs trennen - ja du sagst es ist recht statisch aber bei ner änderung ist es denke ich einfacher zu sagen du gehst in das VLAN und fertig als hier ist das VLAN und dann noch die einstellungen.

Zitat von Lalala

Wie immer gilt auch hier: weniger ist mehr, ich möchte es nicht übertreiben..

Stimmt schon. Meine Überlegung war die eher simpel zu gestalten. also ich kann Geräte recht einfach in ein VLAN stecken ohne, dass ich groß was verstellen muss wenn es einmal eingerichtet ist.

Der Drucker zB soll aus mehreren netzen erreichbar sein (Privat, Beide Homeoffice und evtl Gast) wenn das einmal eingerichtet ist dann kann ich den Drucker bei bedarf einfach austauschen.

DNS soll über alle netze verfügbar sein usw.

Infrastruktur würde ich immer natives Netz nehmen - wenn mit dem VLAN was ist bleibt das zumindest bestehen.

Zitat von Lalala

bei einem ubiquiti switch kann ich ja einstellen welches vlan er an einem Port überträgt, oder eben alle. Kann ich auch bloß eine Teilmenge an einem Port übertragen? Zb vlans 10,20,30? Oder nur nach dem Motto "Ein vlan oder alle"?

Ja du kannst sog. Switchportprofile erstellen

Zitat von Tuxtom007

Admin = 0 ( UDM, Switche, AP )

das hier ist meiner Meinung nach der wichtigste Punkt

Die Infrasstruktur sollte immer untagged im VLAN 0 (bzw. 1 ist es eigentlich) angeschlossen werden.

Sie soll ja alle VLAN empfangen können, deshalb untagged. Auch soll sie sich verbinden können wenn es mal zu Problemen kommt, hier ist es immer besser das VLAN zu nehmen auf dem untagged des DHCP Servers liegt, in Deinem Fall die PFSense.

Der Einfachhalt halber sollte man die Anzahl der VLAN so gering wie möglich halten, das hängt von der gewünschten Firewall ab, also will man Kameras trennen, will man IOT trennen, hat man Privat und Firma zu trennen, oder oder -> aber nie mehr als wirklich nötig, nicht für 1-2 Geräte ein eigenes VLAN nehmen, die kann man auch über die Firewall noch trennen.

Zitat von Lalala

• Macht es Sinn die Infrastruktur VLAN20 (Switch, APs, NAS etc) mit dem "IOT" VLAN 30 (Wechslricher, PV-Batterie, Wärmepumpe, Waschmaschine etc ) zusammen zu legen?

Also, um auf den letzten Punkt zu kommen, IoT Geräte würde ich auf keinen Fall mit NAS & Co zusammenlegen. IoT's betrachte ich immer als unsicher und werden auch nicht immer, geschweige denn auf längere Zeit mit Sicherheitsupdates versorgt. Daher nicht mit systemrelevanten Gerätschaften zusammenlegen

Spannend das Thema... muss ich bei mir auch mal angehen... Dafür aber erstmal den Firewall Wiki Eintrag zur Gemüte ziehen

Zitat von uboot21

aber nie als wirklich nötig, nicht für 1-2 Geräte ein eigenes VLAN nehmen, die kann man auch über die Firewall noch trennen.

Zitat von Tuxtom007

Hier als Beispiel, so ungefähr ist das aufgebaut, teilweise bei mir zuhause genauso

Netzwerk ist 10.10.x.0/24, wobei x = VLAN-ID

Admin = 0 ( UDM, Switche, AP )

Server = 10 ( alles was Server ist )

Privat = 20 ( Notebook, PC's, Drucker, Smartsphones, Tablets )

Buero = 30 ( alle Geräte im Büro, PC's, Drucker + die NAS nur fürs Büro, usw. )

Media = 40 ( AppleTV, Alexa, usw. )

Telko = 50 ( Telefonanlage, VoIP-Telefone, Türsprechanlage + Video )

Smart = 60 ( alle Smarthomegeräte, PVA/Wechselrichter, Lüftungsanlage, KNX-System )

IoT = 70 ( Rasenmäher-Robi, usw. )

Secure = 80 ( Kameras, Alarmanlage )

DMZ = 90 ( derzeit nicht benutzt, war für Webserver geplant )

Gäste WLan ist extra und komplett getrennt vom Rest, die können nur ins Internet raus, mehr nicht.

Alles anzeigen

Hallo Tuxtom007.

Darf ich fragen, wie viele WLAN SSID's du verwendest und mit welcher Hardware (AP's)? Unifi kann durch eigentlich nur 4 Stück, oder? VLAN20,30,40,60 & 70 evtl. noch 80 würden doch ein WLAN benötigen UND natürlich das Gastnetz. Wie stellst du soviele SSID's zur Verfügung???

Danke für deinen Tipp

Zitat von uboot21

nicht für 1-2 Geräte ein eigenes VLAN nehmen, die kann man auch über die Firewall noch trennen.

Naja ich sehe das von der Seite Austausch anders. Wenn ich ein Gerät austausche oder Netze erweitern will habe ich das lieber alles schon in nem VLAN eingestellt und muss das Gerät nur in selbiges bringen um den gewünschten Effekt zu erzielen.

Dann will ich nicht erst wieder in der FW alles einstellen müssen.

Zitat von amaskus

Naja ich sehe das von der Seite Austausch anders.

Das ist so wenn man einzelne Sätze aus dem Kontext reisst 😉

Zitat von Tuxtom007

Du kannst 8 SSID's nutzen, wenn du eine Funktion abschaltest - ich muss nachsehen, wie die heisst.

Ich habe im Moment zuhause bei mir 4 SSIDs in Nutzung ( privat, Media, IoT, smart )

Beim Bekannten haben wir mehr, die aber nicht aus alle AP's eingerichtet sind - Guest z.b nur im Erdgeschoss und Garten hinten, Büro eben nur im Bürobereich usw. )

Hallo,

Ja, bitte schau einmal nach wie das geht, ich bin immer davon ausgegangen, dass pro SSID ein VLAN „verbunden“ werden kann. was bei WLAN bei vier VLAN sein Ende findet. Danke!

Zitat von taxman

Ja, bitte schau einmal nach wie das geht,

Du kannst 4 SSID für das 2,4Ghz Netz und 4 SSID für das 5 Ghz Netz nehmen.

Wenn du bei der SSID "Both" wählst hast du automatisch 2 erstellt.

Dazu brauchst du nur bei der Erstellung Anstatt "Both" eines der Frequenzen nehmen und weitere SSID mit der anderen Frequenz erzeugen.

Zitat von uboot21

Das ist so wenn man einzelne Sätze aus dem Kontext reisst 😉

Ich hab mir schon dein ganzen Post durchgelesen

Ist ja auch jedem selbst überlassen wie er das macht. Ich bin eher Fraktion VLAN. Werde auch für einen einzelnen Pi Hole ein ganzes VLAN aufbauen

Zitat von amaskus

Ist ja auch jedem selbst überlassen wie er das macht. Ich bin eher Fraktion VLAN

Auch ich habe 8 VLAN und bin damit sehr zufrieden. Aber wenn man anfängt und noch keine Ahnung von VLAN hat, steigt mit der Anzahl der VLAN die Komplexität der korrekten Firewall Regeln. Wenn man also direkt "groß" einsteigt sind viel überfordert und frustriert weil Dinge nicht so funktionieren wie man sich das wünscht, oftmals nur weil man die Regeln nicht wirklich "versteht".

Deshalb rate ich jedem Anfänger nicht zu groß anzufangen und erst einmal das wichtige zu trennen, Home, Gäste und IOT sind für den Anfang vollkommen ausreichend. Später kann man immer noch die Nieschen wie Kameras, Firma, Telefon nachjustieren.

Zitat von uboot21

Deshalb rate ich jedem Anfänger nicht zu groß anzufangen und erst einmal das wichtige zu trennen, Home, Gäste und IOT sind für den Anfang vollkommen ausreichend. Später kann man immer noch die Nischen wie Kameras, Firma, Telefon nachjustieren.

Das klingt vernünftigt!

Moin,

Alte Ansicht:

Config -> Site -> Uplink Connectivity Monitor

Neue Ansicht:

Config -> Systenm -> Application Configuration -> Uplink Connectivity Monitor

Vorteil: 8 SSID pro Radio also ggf. 16 verschiedene SSID
Nachteil: Das Automesh (das "ich bin noch da, zwar ohne Kabel, hab mich über einen anderen AP verbunden,

aber ich sende meine ID lieber nicht mehr) ist deaktiviert.

Generell:

Da nicht jeder AP auch alle WLAN haben muß , kann ich auch mit genügend AccessPoints

hunderte von VLANs auch über WLAN erreichbar machen. Auch brauch nicht jedes Vlan gleich

WLAN (Server Netz hat meinst keine WLAN Geräte)

Umgekehrt kann ich verschiedne WLAn SSID aber dem gleichen VLAN zuordnen (bridgen würde besser passen als verb)

z.B Kann das Super Duper WPA3 100 Zeichen password Wlan das gleiche Netz sein wie das ganz ohne Passwort.