Hilfe bei Strukturierung meines Netzwerkes

Es gibt 15 Antworten in diesem Thema, welches 3.095 mal aufgerufen wurde. Der letzte Beitrag () ist von lycra.

    Ich möchte gern auf das Schwarmwissen aus der Community zugreifen und benötige Hilfe bei einer sinnvollen Strukturierung unseres Netzwerkes.

    Ausgangssituation:

    FTTH Telekomanschluss Down 500 - UP 250

    Hardware Unifi

    Code
    1x UDM Pro -> 1x USW-24-POE ->1x US-8
                            ->1x US-8-60W   -> Raspberry Pi (Pi-hole mit unbound)
                                            -> Synology DS
                                            -> Akuvox Türstation + 3 Displays auf 3 Etagen (über POE direkt am USW-24-POE angeschlossen)
                            -> 1x USW-Flex-Mini
                            -> 1x USW-Flex -> UAP-AC-M -> UAP-AC-M (Uplink Wlan)
                            -> Reolink IP Cam
                            -> UAP-AC-M
                            -> Reolink IP Cam
                            -> 2x UAP-AC-Pro

    Des Weiteren sind 4 Echos, FireTV, Shellys (1 für Steckdosen und Lichtschalter und 2.5 für Rolladensteuerung), Gosund-WLAN-Steckdosen, Computer, 1 Gigaset IP-Telefon, Tablets, Smartphones und Haushaltsgeräte im Netzwerk. Insgesamt sind es mittlerweile 79 Clients im Netzwerk. Nun möchte ich gern das Netzwerk strukturieren und die Sicherheit soll berücksichtigt werden.


    Welche Empfehlungen zum Setup könnt Ihr geben?

    Was wäre empfehlenswert?

    Meine Empfehlung, so wie es auch bei mir und Bekannten gemacht habe:

    • Geräte, die zusammen gehören in eine Gruppe packen, z.b. Privat für PCs, Drucker, Notebooks usw., Smarthome für das ganze IoT/Smarthome-Zeug, Media für FireTV, Echo's usw.
    • für jede Gruppe dann ein eigene Netzwerk + VLan anlegen
    • ggf. noch WLANs angelegen für die Gruppen, die eines benötigen. Denke daran, das normalerweise nur 4 SSIDs pro AP genutzt werden können.
    • mit Firewall-Regeln kann du die VLANs voneinander abschotten oder den Zugriff zum Internet sperren

    Da das Netzwerk komplett vorhanden ist, was ist zu beachten wenn ich das Netzwerk neu segmentiere?

    In welches Netz nehme ich den Pi mit Pihole+unbound?


    Wohin mit Sat-Receiver, TV (Fernseher greift per App auf NAS zu), Soundbar und Fire-TV (greift per App auf NAS)?

    Einmal editiert, zuletzt von xnetworkerx ()

    Zitat von xnetworkerx

    Da das Netzwerk komplett vorhanden ist, was ist zu beachten wenn ich das Netzwerk neu segmentiere?

    In welches Netz nehme ich den Pi mit Pihole+unbound?


    Wohin mit Sat-Receiver, TV (Fernseher greift per App auf NAS zu), Soundbar und Fire-TV (greift per App auf NAS)?

    Du solltest dir einen Plan machen und am besten auch eine Kommunikationsmatrix um zu erfassen, welches Netz mit welchem Netz kommunizieren darf / muss.

    Hier der Kollege hat das schon einfach und gut gemacht: Kommunikationsmatrix

    ( geht mit Excel, etc ganz gut )


    Beispiel wie ich das bei mir aber auch bei zwei Bekannten gemacht habe:

    IP: 10.10.x.0/24 für jedes Subnetz, wobei x = der VLAN-ID entspricht

    • VLAN 1: Management für alle Unifigeräte
    • VLAN 10: Server, mein Server, NAS, usw.
    • VLAN 20: Privat, Notebook, Drucker, Scanner, Tablet, Smartphones
    • VLAN 30: Buero, alle Gerät im Büro mit Drucker, Notebook usw.
    • VLAN 40: Media, Amazon Echo, WLan-Radios, FireTV-Stick, TV's usw.
    • VLAN 50: Telko, VoIP-Telefone, Türsprechanlage
    • VLAN 60: SmartHome, alle Smarthome-Geräte
    • VLAN 70: IoT, alle IoT-Geräte wie Sensoren, Rasenmäherroboter
    • VLAN 80: Secure, Kameras, Alarmanlage usw.
    • VLAN 90: Test, für Bastelleien
    • VLAN 100: Gast, Gästenetzwerk (192.168.100.0/24)

    Die beiden PiHoles + Unbound laufen bei mir als Linux-Container auf einem Proxmox-Cluster und sind somit im VLAN10.


    Mit Firewall-Regeln erlaube ich als Beispiel eben DNS-Zugriffe auf die beiden IP's der PiHoles und blocke gleichzeitig alle DNS-Traffic ins Internet um den PiHole zu umgehen.

    (Ausnahme Gäste-Netz, das bekommt direkte DNS-Einträge zugewiesen und ist eh vom restlichen Netz getrennt)


    Beispiel TV: Auch hier sind Firewall-Regeln angelegt, die ein Zugriff vom Media-VLAN ins Internet erlauben, aber auch auf den PLEX-Server der auf meiner NAS im VLAN10 läuft.


    Dafür ist ein Kommunikationsmatrix notwendig - man muss vorher etwas Gehirnschmalz investieren, was man machen will und dann an Konfig benötigt.

    Wild drauf loslegen geht in die Hose

    • Offizieller Beitrag
    Zitat von Matthias

    Ist das nicht etwas Oversized?
    Ich habe in etlichen Beiträgen gelesen, dass es bei der Trennung von Smarthome/IoT viele Probleme mit der Kommunikation gibt.

    Das liegt immer im Auge des Betrachters. Ich habe mich auch für eine solche Segmentierung entschieden.

    Wenn es noch möglich ist würde ich von einer Änderung des IP-Adressraums des ersten Netzes (defailt: 192.168.1.0/24) absehen xnetworkerx .

    Berücksichtige aber, das jeglicher Netzwerkverkehr zwischen den VLANs geroutet werden muss. Das kann im Einzelfall zu erheblichen Geschwindigkeitseinmußen kommen, wie ich "schmerzlich" erfahren habe. Da mein NAS aber über genügend LAN-Ports verfügt konnte ich das für mich lösen.

    Zitat von Matthias

    Ist das nicht etwas Oversized?
    Ich habe in etlichen Beiträgen gelesen, dass es bei der Trennung von Smarthome/IoT viele Probleme mit der Kommunikation gibt.

    War ja nur ein Beispiel wie ich es mache - ist ja keine Vorlage.


    Ich habe bewusst Smarthome und IoT getrennt, weil beim Bekannte die IoT-Geräte keinen Internetzugang haben, sondern nur intern beschränkte Rechte.

    Zitat von razor

    Berücksichtige aber, das jeglicher Netzwerkverkehr zwischen den VLANs geroutet werden muss. Das kann im Einzelfall zu erheblichen Geschwindigkeitseinmußen kommen, wie ich "schmerzlich" erfahren habe. Da mein NAS aber über genügend LAN-Ports verfügt konnte ich das für mich lösen.

    Korrekt, alles was zwischen den VLan's an Traffic geht, muss im Extremfall über das Gateway, also die UDMPro etc.

    Deswegen habe ich meiner neuen Firewall auch direkt 4 x 1GBit fürs lokale Netz vorgesehen mit LAG


    Aber was geht in Wirklichkeit gross an Daten zwischen den VLAN ? - das sind in erster Linux mal Video-Streams oder große Backups, der Rest lastet ein Netzwerk nicht aus.

    Und so Sachen wie IoT oder Smarthomegeräte senden in der Regel nur Statusupdates oder Daten für eine WebGUI übers Netz.

    Zitat von xnetworkerx

    Funktioniert dann die Steuerung zum Beispiel vom Staubsaugerroboter über die Alexa noch?

    Die werden nicht per Alexa sondern vom KNX-System gesteuert und der Server steht lokal im Netzwerk.

    Zitat von xnetworkerx

    Das war auf mein Netzwerk bezogen. Sollten da die IOT und Smarthomegeräte nicht besser in einem Netzwerk sein?

    Die Liste ob war die Struktur, wie ich es gemacht habe - das ist sicherlich keine Blaupause für jeden und jeder muss selber entscheiden, was für ihn die beste Lösung ist.

    Zitat von Tuxtom007

    Mit Firewall-Regeln erlaube ich als Beispiel eben DNS-Zugriffe auf die beiden IP's der PiHoles und blocke gleichzeitig alle DNS-Traffic ins Internet um den PiHole zu umgehen.

    (Ausnahme Gäste-Netz, das bekommt direkte DNS-Einträge zugewiesen und ist eh vom restlichen Netz getrennt)

    Warum eigentlcih Gäste-Netz nicht über den Pi Hole laufen lassen?!

    • Offizieller Beitrag
    Zitat von lycra

    Warum eigentlcih Gäste-Netz nicht über den Pi Hole laufen lassen?!

    Hatte er meine ich an anderer Stelle so beschrieben: interessiert mich nicht. :smiling_face:


    Zitat von Tuxtom007

    Aber was geht in Wirklichkeit gross an Daten zwischen den VLAN ? - das sind in erster Linux mal Video-Streams oder große Backups, der Rest lastet ein Netzwerk nicht aus.

    Und so Sachen wie IoT oder Smarthomegeräte senden in der Regel nur Statusupdates oder Daten für eine WebGUI übers Netz.

    Ich habe "aus Spaß" mal Daten über das Netz entpackt und war erschüttert, wie brutal die Datenrate eingebrochen ist, als ich die "falsche IP" verwendet habe.

    Setup: siehe Signatur.

    Zitat von razor

    Hatte er meine ich an anderer Stelle so beschrieben: interessiert mich nicht. :smiling_face:

    Ich will meine Gäste nicht bevormunden, welchen DNS die nutzen und ich will mein Netz von deren "Müll" auf dem Handy frei halten, daher ist das Gäste-Netz komplett getrennt. :smiling_face:


    Spaß beiseite, das kommt eigentlich von der Netzkonfig bei einem Kumpel, er wollte das Gäste-Netz abgetrennt haben, weil seine Frau und er jeweils auch ihre Büros im Haus haben und da ztw. auch mal Kunden usw. arbeiten.

    Da hatten einige Probleme, z.b. VPN zum Firmennetz aufzubauen, weil der PiHole die schlichtweg geblockt hatte.

    Dann haben wir das Gäste-Netz komplett abgetrennt und direkt ins Internet gelassen.


    Ich hab das bei mir so übernommen und auch bei einem anderen Kumpel so eingerichtet - bei ihm hängt noch seine Firma komplett am Netzwerk und da ist das Gäste-Netz für die Firma nochmal separat von dem im Wohnhaus.

    Dort ist allerdings auch kein Unifi mehr im Einsatz, sondern TP-Link Omada fürs Netzwerk und Netgate-Firewalls ( mit PfSense Software ) und zwei Glasfaserleitungen.

    Wir nutzen sozusagen die Leitung vom Privathaus nebenan als Backupleitung für die Firma und umgekehrt, weil die von verschiedenen Strassen und Providern versorgt werden - sehr praktischer Umstand, hat sich leider auch schon bewährt.

    Zitat von razor

    Ich habe "aus Spaß" mal Daten über das Netz entpackt und war erschüttert, wie brutal die Datenrate eingebrochen ist, als ich die "falsche IP" verwendet habe.

    Setup: siehe Signatur.

    Wenns dumm läuft, schickst du die Daten zweimal übers Netzwerk, daher der Einbruch. Du lässt die gepackte Datei vom Remote-Rechner auf deinen lokal und schickst die ausgepackten wieder hoch.

    Heh da wird ein Netzwerk auf Sicherheit getrimmt, aber Alexa, Reolink IP Kamera und FireStick etc. findet man trotzdem. Ist das nicht so wie wenn ich zum McDonald gehe und eine Cola Light bestellen würde?

    Zitat von Tuxtom007

    Ich will meine Gäste nicht bevormunden, welchen DNS die nutzen und ich will mein Netz von deren "Müll" auf dem Handy frei halten, daher ist das Gäste-Netz komplett getrennt. :smiling_face:


    Spaß beiseite, das kommt eigentlich von der Netzkonfig bei einem Kumpel, er wollte das Gäste-Netz abgetrennt haben, weil seine Frau und er jeweils auch ihre Büros im Haus haben und da ztw. auch mal Kunden usw. arbeiten.

    Da hatten einige Probleme, z.b. VPN zum Firmennetz aufzubauen, weil der PiHole die schlichtweg geblockt hatte.

    Dann haben wir das Gäste-Netz komplett abgetrennt und direkt ins Internet gelassen

    OK hab ich verstanden.

    Macht Sinn :smiling_face: