Hilfe bei Strukturierung von VLANs

  • Hallo Zusammen,


    ich bin grad noch dabei mein Netzwerk aufzubauen. Nun ist es wohl sinnvoll sich erst mu die Struktur zu kümmern, statt nachher wieder alles umbauen zu müssen.

    Aktuell habe ich folgendes vor.


    Management LAN: (UniFi Hardware, Telefonanlage vom Haus, NAS,...)

    Produktiv LAN: Endgeräte (Rechner, TV, SmartPhones, Tablets,...)

    SmartHome: Raspberry PI mit HomeAssistant (Shellys und andere Smarte Geräte), kein Internet

    Guest WLAN: selbsterklärend


    Das SmartHome und alles was damit zu tun hat, soll lokal auf dem RPI laufen (Tut es jetzt schon). Allerdings kommen wohl demnächst noch Teile dazu, die nicht in die Welt funken sollen dürfen. Ist halt die Frage, ob ich sowas mit Firewallregeln abdecke, oder das ganze SmartHome LAN vom Internet trenne.

    Ich bin mir auch nicht sicher, ob es wirklich nötig ist, eine Management LAN und ein Produktiv LAN zu machen?!?

    Außerdem soll aber mein Handy beispielsweise in allen Netzen sein ( :thinking_face: geht das überhaupt?)


    Habt Ihr vielleicht eine Idee, wie ich das am besten aufteilen kann?

  • He-Man

    Hat den Titel des Themas von „Hilfe bei VLANs“ zu „Hilfe bei Strukturierung von VLANs“ geändert.
  • Ich hab mein Netzwerk mal auf meinem Blog beschrieben und auch einige weiterführende Hilfe Videos mit beigefügt, vielleicht wirst du hier fündig:


    (2) Das Netzwerk – Richtig vernetzt | www.andrejansen.de — YOURLS

  • ich bin grad noch dabei mein Netzwerk aufzubauen. Nun ist es wohl sinnvoll sich erst mu die Struktur zu kümmern, statt nachher wieder alles umbauen zu müssen.

    Immer ne gute Idee - erst mal einen Plan machen anstatt wild drauf los zu konfigurieren.

    Mein Tip noch: erstelle dir mit Excel etc. direkt auch eine Kommunikationsmatrix, wer bzw. welche Netze mit welchen kommunizieren dürfen / sollen / müssen.

    Daran kannst du dann nachher einfacher deine Firewallregeln erstellen und abhaken. Gibt hier im Forum ein Bild eines Kollegen, der das recht gut gemacht hat.


    Ich bin einfach nach dem Motto gegangen, VLAN's kosten nichts ( ausser etwas Mehrarbeit ) aber am Ende kann ich dann genau definieren, wer wohin und wohin nicht sprechen darf.

    Und die hab ich auch genauso bei Bekannten so umgesetzt.


    Telefone, Telefonanlagen, Türsprechanlage usw. sind z.b in einem eigenen VLan, Kameras, Alarmanlage usw. in einem weiteren, usw.

    Ich trenne bei mir noch Smarthome und IoT, die einen dürfen ins Internet, das IoT-Zeug soll aber nicht rauskommt.

  • Darf ist fragen, was der Unterschied zwischen IoT Geräten und SmartHome Geräten sind? Oder besser gefragt, was sind typisch IoT Geräte?

    Bei meinem SmartHome werden wahrscheinlich Shellys zum Einsatz kommen. Eigentlich will ich die ganz nicht ins Netz lassen. Aber die ziehen sich ja auch scheinbar Firmware Updates…

  • was der Unterschied zwischen IoT Geräten und SmartHome Geräten sind?

    Es gibt keinen.


    IoT bedeutet Internet of Things (Dinge die auch ins Internet können)

    Die Alternative wäre NoT = Network of Things (Dinge die nur ins Netzwerk, nicht ins Internet dürfen)

    Als Dinge bezeichnet man das aufstrebende Smarthome, also das fast alles was es gibt steuerbar/messbar gemacht wird

  • Also meine SmartHome Lösung soll nur lokal zu Hause durch HomeAssistant auf RPi laufen.

    Wenn ich von unterwegs was machen will, wird das über VPN gemacht.

    Dadurch hab' ich alles selbst in der Hand und bin nicht von irgendwelchen cloud-Diensten verschiedenener Hersteller abhängig...


    Das ist zumindest mein Plan.

  • Das ist zumindest mein Plan.

    Das kannst du ja so einstellen wie du möchtest, ich habe mehr als 90 Geräte im Netzwerk mit IoBroker eingebunden und auch durch VLAN mit Firewall getrennt.

    Bedenke aber das es Geräte gibt die ins Internet müssen.

    z.b: eine Alexa, der Smart TV, das Firmware update der Rolladensteuerung und und und, es gibt zahlreiche Möglichkeiten wo es Sinn macht, das die Geräte raus dürfen.

    Ich denke wichtiger als raus ist die Tatsache das nichts rein kommt.

    Und wenn mal was drin ist, dann ist es wichtig, dass dieses nicht in Dein normales Netzwerk kann

    DNS abfragen kannst du mit einem PiHole überwachen und begrenzen

  • Darf ist fragen, was der Unterschied zwischen IoT Geräten und SmartHome Geräten sind? Oder besser gefragt, was sind typisch IoT Geräte?

    Gibt eigentlich keinen.


    Bei mir fallen unter IoT z.b. die ganzen EPS3288 Controller, die zwar WLan haben aber kein Internet und auch nur auf Server zugreifen müssen.

    Smarthome ist z.b. mein IP-Symcon drin, der auch ins Internet darf/muss um Module aus dem Modulstore zu installieren, für Updates usw.

    Deswegen trennen ich die beiden.

  • Ok…

    Ich denke, dann werde ich erstmal nicht unterscheiden zwischen IoT und NoT, weil ich ja jetzt noch gar nicht weiß, welche Devices ich im SmartHome haben werde.


    Dann eher ein SmartHome VLAN mit Internetverbindung aber isoliert von den anderen VLANs.


    Kann ich dann auch eine Firewallregel erstellen, die es meinem Smartphone erlaubt auf den RPi im SmartHome VLAN zuzugreifen?

  • Schau Dir das Wiki an, dort gibt es bereit so ein Beispiel


    UniFi Allgemein | Firewall-Regeln by EJ - ubiquiti - Deutsches Fan Forum

  • Moin,


    also ich plane ein EFH mit 13 VLANs :winking_face: evtl etwas overdone aber soll bei mir wie folgt aussehen



    Zitat

    Netzwerk soll in diverse VLANs segmentiert werden:

    • Management
    • CCTV
    • DNS
    • Guest
    • Homeoffice 1 und 2
    • IoT
    • KNX
    • Printer
    • Private
    • Server
    • Sonos
    • VoIP

    Im Management landen dann alle Netzwerkgeräte von UI

    Mein Projekt

  • Ich weiß halt nicht, ob mich das Thema mit Firewallregeln nicht etwas überfordert, weil ich absoluter Nooby bin in dem Bereich...

    Wenn dann irgendwelches Dinge nicht funktionieren, bin ich wahrscheinlich stundenlang mit der Fehlersuche beschäftigt...


    Ich dachte jetzt erstmal an:
    Produktiv (Management und Devices)

    Guest (isoliert und Internetzugang)

    SmartHome (isoliert und Internetzugang aber paar Devices aus Produktiv sollen auch rein dürfen)

  • Per Default sind die Netze zwischen einander offen. (Gast natürlich nicht)

    Also das ganze erstmal in VLANs aufteilen ist nicht wild.


    Was du dann wie aufmachst kannst du danach sehen.


    Wenn du es machst lass dir immer einen LAN port auf den netzen dann kannst du zur not immer noch dran um es wieder auf zu machen

    Mein Projekt

  • Ok...


    Plan ist jetzt folgender:

    Management (UniFi Hardware, Heizung, NAS, Gigaset N510 Pro)

    Produktiv (Tablet, smart Phone, Recher, Drucker)

    Guest (isoliert und Internetzugang)

    SmartHome (isoliert und Internetzugang aber paar Devices aus Produktiv sollen auch rein dürfen)


    Ich hab' jetzt ein Produktiv LAN angelegt und es meinem WLAN zu geordnet. Funktioniert! Aber wie sieht es mit den LAN Geräten aus? Sollte nicht ein neues Switchports-Profil angelegt werden, wenn ich ein neues Netz anlege?

  • Heizung ist nur ein Webinterface zum anzeigen der Daten...

    Ist eigentlich Jacke, ob das im Management oder Produktiv ist... Und wenn sie mal Smart wird, ist sie da schnell verschoben...

    Bei mir wird das Switchportprofil nicht automatisch angelegt.

    Hab jetzt noch einmal das SmartHome LAN angelegt und da wurde das Switchportprofil automatisch angelegt.


    Kann ich es manuell noch einmal generieren lassen?