sinnvolle Segmentierung des Heimnetzwerkes in VLANs

Es gibt 19 Antworten in diesem Thema, welches 6.370 mal aufgerufen wurde. Der letzte Beitrag () ist von Oli_Krause.

    Hai zusammen,

    nachdem ich Dank der Hilfe von Razor nun das Thema VPN-Zugang abgeschlossen habe, geht es weiter mit meinem Netzwerk...
    Bevor ich nun anfange mein Netzwerk zu verriegeln, muss ich mir erstmal Gedanken darüber machen, wie ich meine Endgeräte sinnvoll in verschiedene VLANs einteile.
    Jetzt hätte ich gerne meine SItuation mit Euch durchgesprochen, da ich mir nicht wirklich sicher bin, wie ich die Einteilung sinnvoll machen könnte.

    Was habe ich für Komponenten in meineme Netzwerk:

    1. USG, Switche, CloudKey2 ...alles von Unifi
    2. diverse PCs, Drucker, NAS
    3. Tablets, Smartphones
    4. Netzwerkfähige Geräte, die Verbindung nach Aussen brauchen: PV-Batterie, PV-Wechselrichter
    5. Raspberry PI mit Homematik drauf. Soll von aussen gar nicht erreichbar sein.
    6. Heizungssteuerung: soll von aussen über VPN erreichbar sein, sonst nur innerhalb des Hauses erreichbar
    7. X-Box und Yamaha-Receiver: soll zum updaten ins Internet gehen können, muss aber von aussen nicht erreichbar sein. Allerdings sollen die Geräte vom Tablett gesteuert werden
    8. SIP-Basisstation für Telefonie
    9. WLAN
    10. zwei IP-Cams, die über externe Server betrachtet werden können, sowie eine Siemens SPS für die Steuerung meines Hühnerstalls..:--))


    Aktuell habe ich verschiedene VLANs eingerichtet, bin mir aber keineswegs im klaren, ob das sinnig ist.

    Diese sind meine Netzwerke:

    • 192.168.1.xx: Alle Unifi Geräte, alle PCs, Drucker, NAS, Receiver, X-Box und WLAN mit allen Tablets und Smartphones
    • 192.168.10.xx: zwei IP Cams und die HühnerSPS
    • 192.168.20.xx: Raspberry PI Homematic ( da hängen eigentlich nur meine Rauchmelder und zwei schaltbare Steckdosen drauf)
    • 192.168.30.xx: Heizungssteuerung
    • 192.168.40.xx: Wechselrichter und Batterie der PV-Anlage
    • 192.168.90.xx: SIP Telefonie

    Frage an Euch: inwieweit mach das so Sinn?

    Sollte ich nicht meine Unifi-Geräte in ein Admin-netz stecken (z.B. die 182.168.1.1) ? Dann für die "Office" Geräte ein weiters VLAN anlegen. Dort befinden sich dann alle PC, Drucker, NAS, Receiver, X-Box....

    Sollte ich das WLAN in ein separates VLAN legen? Nur muss ich dann für jeden WLAN-Client eine Freigabe in der Firewall erstellen, um auf Geräte aus dem Office-LAN zu kommen? Sprich: z.B. der Yamaha Receiver wird über das ipad bedient. Sprich... für das iPad (das sich im WLAN befindet) bräuchte ich eine Erlaubnis, im Office-LAN den Receiver zu erreichen.


    Würde mich freuen, wenn ich von Euch ein paar Tipps bekommen würde, wie ich das am beste, aber auch einfachsten einteilen kann.

    Vielen Dank und ich freu mich auf eine Diskussion..

    Grüße Oli

    Ich würde an deiner Stelle das erste Netz (192.168.1.0/24) noch aufteilen:

    1. ein Netz, in dem sich nur die Infrastruktur befindet (Management-Netz)
    2. ein Netz, in dem sich deine Clients befinden.

    Dann musst du nämlich nicht dein Management-Netz per WLAN ausstrahlen, so wie es jetzt zur Zeit der Fall ist.

    Erst die Theorie, dann bauen:


    Erstelle dir eine Liste aller Geräte, die du im Netz hast und verteile die auf unterschiedliche Anwendungsgruppen, die thematisch zusammen gehören, z.b.

    • Management (für das UniFi-Zeug)
    • Privat (alle privaten Geräte inkl. Smartphones und Co.)
    • Büro
    • Server
    • Kinder
    • Multimedia (TV, Echos, usw.)
    • Smarthome
    • Security (z.B. Kameras)
    • Telefon (VoIP-Telefone und Telefonanlage)
    • usw.

    Die packst du jeweils dann in eine VLAN rein mit eigenem IP-Bereich und kannst dann ggf. Firewall-regeln für die Kommunkation der Geräte untereinander einrichten.

    Von den Geräte, die WLAN benötigen, baust du dann ein WLAN auf - mit Sicherheit "privat", "multimedia".


    Das ganz nennt sich Kommunikationsmatrix und es gibt ein schönes Beispiel hier im Forum unter den Fotos als Excel-Screenshot

    Hai mittanand,


    ok, das hatte ich schon so auf dem Schirm, dass das Unif-Zeugs in ein sparatest Netzwerk sollte.
    Leuchtet ein! '

    @TuxTom: kannst Du mir bitte irgendwie einen Link schicken? Ich hab gerade in der Galerie geschaut, aber da war gar nix mit Excel zu sehen.....
    Ja, ist klar... erst muss ich die trockene Theorie machen...dann gehts an die Umsetzung. Da ist mir die Sache zu heiss, dass ich gleich einfach loslege..:--))

    Vielen Dank und Grüße
    Oli

    ubiquiti-networks-forum.de/gallery/image/163/

    Servas mittanand,

    endlich hab ich es geschafft und kann Euch mal meine Mekkerversion einer Kommunikations-Matrix zeigen.


    Schaut ziemlich rot aus, gell..:--))

    Ich hab auch schon mal VLANs vergeben, bzw. geplant.

    Zu den VLANs kommt dann halt noch die 192.168.1.1 als Managemen-Netzwerk dazu.

    Was haltet Ihr davon? Macht das Sinn in Euren Augen? Immer her mit Vorschlägen, denn ich bin mir keinesfalls sicher,
    ob ich da nicht auch groben Unfug geplant habe.

    vielen Dank und Grüße

    Oli

    Moin Oli,


    Also per Default sind die VLANs ja innerhalb offen - da würde ich auch nicht weiter trennen wollen.

    Dein Geschäftsrechner würde ich in ein eigenes VLAN verfrachten.

    Wenn dein Drucker auch scannen kann müsste der unter Umständen auch irgendwo hin kommunizieren müssen


    Vom Internet zu den Einzelnen Geräten würde ich dir dringend von abraten - einzige ausnahmen ein Webserver oder Reverse Proxy (Also Dienste die von außen erreichbar sein müssen) aber dein MacBook, dein AV Receiver, deine PV usw. sollten nicht von Außen erreichbar sein


    Mal meine Gedanken dazu :winking_face:

    Mein Projekt

    Hai Amaskus,

    vielen Dank für Dein Feedback!
    Ok... Geschäftsrechner in eigenes VLAN. Warum? Ist "blos" der Rechner der Firma in der ich arbeite und hängt im Falle von Homeoffice halt in meinem WLAN. Meinst Du eigenes VLAN, um mein Netzwerk vor dem Geschäftsrechner zu schützen, oder den Geschäftsrechner vor meinem Netzwerk?

    Mein Drucker kann scannen. Für die Scanfiles hab ich einen Ordner auf der NAS. Raus ins Internet geht da augenscheinlich nix. Also zumindest nicht bewusst.


    Zum Schluss meinst Du: einzelne Gerät von aussen ereichbar...muss ich gar nix. Sollte ich von aussen auf das Netzwerk müssen, gehe ich VPN drauf.

    Liege ich da richtig, dass Du wirklich nur die Richtung von Aussen ins Netzwerk meinst. Von drinnen nach draussen sollte ich aber schon kommen.
    Sonst wäre ja mein MacBook nicht mehr wirklich zu nutzen.
    Die PV z.B. weiss ich nicht, wie das genau funktioniert. Es gibt halt vom Hersteller eine Weboberfläche. Also gehe ich davon aus, dass meine Batterie die aktuellen Daten zum Hersteller sendet. Sprich... raus aus meinem Netz geht in Ordnung, rein...keine Ahnung, ob das notwendig ist.

    Das gleiche mit meinen IPCams bei den Hühnern. Wenn ich das Bild sehen möchte, geht das immer über den Server des Herstellers.


    Liege ich da richtig, dass der Zugang von aussen blockiert werden soll. Hingegen muss es aber möglich sein, dass ich vom Netzwerk rauskommuniziere und z.B. Daten anforder, die dann aber reinkommen dürfen?

    Sorry für meine vielleicht saublöden Fragen, aber ich stehel leider noch recht weit am Anfang...:--))

    Vielen Dank und Grüße

    Oli

    Zitat von Oli_Krause

    Ok... Geschäftsrechner in eigenes VLAN. Warum? Ist "blos" der Rechner der Firma in der ich arbeite und hängt im Falle von Homeoffice halt in meinem WLAN. Meinst Du eigenes VLAN, um mein Netzwerk vor dem Geschäftsrechner zu schützen, oder den Geschäftsrechner vor meinem Netzwerk?

    Lt deiner Matrix darf der Fast nicht daher ist es mMn einfacher ihm ein eigenes VLAN zu spendieren welches du absicherst


    Zitat von Oli_Krause

    Mein Drucker kann scannen. Für die Scanfiles hab ich einen Ordner auf der NAS. Raus ins Internet geht da augenscheinlich nix. Also zumindest nicht bewusst.

    Das geht so nicht da du in deiner Matrix Drucker an NAS Rot hast - das müsste dann ja Grün sein

    Zitat von Oli_Krause

    Zum Schluss meinst Du: einzelne Gerät von aussen ereichbar...muss ich gar nix. Sollte ich von aussen auf das Netzwerk müssen, gehe ich VPN drauf.

    Liege ich da richtig, dass Du wirklich nur die Richtung von Aussen ins Netzwerk meinst. Von drinnen nach draussen sollte ich aber schon kommen.
    Sonst wäre ja mein MacBook nicht mehr wirklich zu nutzen.
    Die PV z.B. weiss ich nicht, wie das genau funktioniert. Es gibt halt vom Hersteller eine Weboberfläche. Also gehe ich davon aus, dass meine Batterie die aktuellen Daten zum Hersteller sendet. Sprich... raus aus meinem Netz geht in Ordnung, rein...keine Ahnung, ob das notwendig ist.

    Ok - deine Matrix zeigt vom Internet zum gerät (alle außer der Raspi) ist ok - daher die Nachfrage

    Zitat von Oli_Krause

    Das gleiche mit meinen IPCams bei den Hühnern. Wenn ich das Bild sehen möchte, geht das immer über den Server des Herstellers.

    Ist in deinem Anwendungsfall nicht Kritisch aber ich würde nie CCTV über nen Herstellerserver laufen lassen - meine Meinung

    Zitat von Oli_Krause

    Liege ich da richtig, dass der Zugang von aussen blockiert werden soll. Hingegen muss es aber möglich sein, dass ich vom Netzwerk rauskommuniziere und z.B. Daten anforder, die dann aber reinkommen dürfen?

    Du unterscheidest bei der Firewall zwischen IN und OUT Regeln, dabei ist der Initiator der Verbindung ausschlaggebend. Wenn du von intern was anfragst darf geantwortet werden.

    Jedoch soll nicht jeder von draußen deine Geräte anfragen dürfen


    Zitat von Oli_Krause

    Sorry für meine vielleicht saublöden Fragen, aber ich stehel leider noch recht weit am Anfang...:--))


    Alles gut :winking_face:

    Mein Projekt

    Hai Amaskus,

    ..ja, macht Sinn. Dann geb ich dem Geschäftsrechner ein eigenes... koste ja nix..:--))


    Oh mann... klar.. mein Fehler. Jetzt hab ich so oft über die Matrix geschaut und der Drucker ist wohl durch gerutscht.
    Also.. Korrektur: der Drucker darf an die NAS senden.


    Leider ist die Anwendung der HühnerCams so einfach einfacher. Ich komm auf die Weboberfläche der Cams auch Netzintern drauf, allerdings nur mit Passworteingabe.
    Jetzt wäre die Frage nur, ob es dann nicht sinnig wäre, wenn ich das VLAN der Cams zu den anderen VLANS abschotte. dann leben die in einer eigenen Paralleldimension und können mit dem Internet kommunizieren, soviel sie wollen. Stört dann ja nicht, weill zu den anderen VLANS abgeschottet ist?


    Na dann habe ich zumindest die In/Out-Regeln intuitiv richtig verstanden.

    Vielen Dank und Grüße

    Oli

    Zitat von Oli_Krause

    Leider ist die Anwendung der HühnerCams so einfach einfacher. Ich komm auf die Weboberfläche der Cams auch Netzintern drauf, allerdings nur mit Passworteingabe.
    Jetzt wäre die Frage nur, ob es dann nicht sinnig wäre, wenn ich das VLAN der Cams zu den anderen VLANS abschotte. dann leben die in einer eigenen Paralleldimension und können mit dem Internet kommunizieren, soviel sie wollen. Stört dann ja nicht, weill zu den anderen VLANS abgeschottet ist?

    Ist ne Überlegung wert.

    Wenn du lokal dran musst kannst du immernoch die FW öffnen.

    Aber so sind sie abgeschottet und es kann weniger passieren wenn damit was sein sollte

    Mein Projekt

    Zitat von Oli_Krause

    jetzt möchte ich mal höflich nachfragen, was Ihr von meiner Matrix haltet?
    Keine Einwände?

    Doch, aber nur kleine.


    Ich würde die Rechner in eine VLAN Zusammenfassen, die identisch Zugriffsrechte benötigen, wenn du innerhalb eines VLAN noch Geräte hast die unterschiedliche Zugriffsrechte benötigen, werden die Firewall-Regeln schnell unübersichtlich und nicht mehr nachvollziehbar und du solltest direkt von Anfang an mit Aliases arbeiten. Das setzt dann aber voraus, das deine Geräte auch statische IP-Adressen bekommen per DHCP-Reservierung und komplett statisch.


    Innerhalnb des VLAN ist die Kommunikations eh offen untereinander.

    Hai mittanand,

    Eure Anmerkungen werde ich dann so umzusetzen versuchen..:--))
    Vielen Dank dafür.

    Jetzt im Moment bin ich dran, meine Netzwerkkomponenten in die neuen VLANs zu verschieben. Klappt schonmal problemlos bisher.

    Was ich mich aber frage:
    Sobald ich an den Firewall-Regeln bastle, sollte ich auch irgendwie untersuchen, ob die Regeln Wirkung zeigen.

    Mein Plan war folgender: Handy aus dem WLAN nehmen und auf D1 stellen. Dann über ein Ping-Tool versuchen einzelne Netzwerkgeräte zu erreichen.
    Beispiel: meine Homematic. Diese hat die Adresse 192.168.xx.yy

    Da ich mit dem Handy von aussen komme und über meine dyndns-Adress gehen muss, würde die Adresse zum anpingen so aussehen:
    gischpl.no-ip.org/192.168.xx.yy


    Leider kalppt das nicht, da der Name wohl nicht aufgelöst werden kann.
    Meine Idee dahinter war einfach: Netzwerkgerät von aussen anpingen, dann Firewall-Regel aktivieren. Anschliessend sollte der Ping nicht mehr funktionieren.
    Da das Anpingen vor dem aktivieren der Firewallregel schon nicht funktioniert, ist mein Plan also fürn A..ch


    Habt Ihr eine Idee, wie ich das Vorher/Nachher-Spiel machen könnte, um zu testen, dass meine Regeln auch wirklich funktionieren?

    Vielen Dank und Grüße
    Oli

    Moin,


    das der Ping von Außen nicht klappt ist gut und richtig - deine Firewall schottet ja schon mal von draußen ab.

    Da du interne Firewall regeln anlegst sind das eh zwei paar schuhe - da würde die externe Ping regel eh nicht funktionieren :winking_face:


    Der einfachste test ist du setzt am Switch ein port auf zB VLAN 60 (dein home entertainment) und steckst dein Mac an damit er eine IP aus dem VLAN 60 bekommt.

    Versuche dann auf dein Raspi zuzugreifen - sollte nicht gehen


    Alternativ kannst du das auch mit nem Test WLAN umsetzen


    Kleine erläuterung

    Zitat von Oli_Krause

    gischpl.no-ip.org/192.168.xx.yy

    Der Pfad sucht nach einem verzeichnis 192.168.xx.yy auf dem Webserver der mit der no ip angesproichen wird.


    laut deiner FW Matrix willst du nicht vom Internet auf dein Raspi - aber genau das ist jetzt der Fall (der ist offen im Internet und das sogar nur auf http - also unverschlüsselt) - habe eben mal deine no ip adresse eingegeben und war auf deinem Raspberry interface :winking_face:

    das würde ich an deiner stelle schleunigst abstellen - setze zumindest einen Reverse Proxy dazwischen der noch SSL macht

    Mein Projekt

    Hai Amaskus,

    jep, genau das ist der Grund, warum ich endlich die FW scharf schalten möchte..:--))
    Ich bekomme immer wieder von meinem Provider eine Nachricht, dass genau der Webserver der Homematic offen sei...

    Für den internen Check hatte ich das auch so vor, dass ich den Mac in ein bestimmtes VLAN nehme und von dort dann die anderen auf Erreichbarkeit teste.
    Wie es sich aber halt vonb aussen verhält ist eben eine andere Geschichte. Das ist eigentlich dad erste was ich abschotten möchte.
    Soweit ich im Kopf habe, ist die Unifi Firewall von Grund auf erstmal offen wir ein Scheunentor.

    Drum kommst Du auch ohne weiteres auf meinen Raspi drauf..


    Du schreibst: "das der Ping von Außen nicht klappt ist gut und richtig - deine Firewall schottet ja schon mal von draußen ab."
    Wenn Du aber problemlos auf den Raspi draufkommst, dann schottet die FW aber bei mir noch nicht ab, richtig? Wie auch, wenn ich Schlaftablette noch keine Regeln eingerichtet habe !?!

    Dankeschön und Grüße
    Oli

    Zitat von Oli_Krause

    Soweit ich im Kopf habe, ist die Unifi Firewall von Grund auf erstmal offen wir ein Scheunentor.

    Intern ja - extern Nein


    Deine Portweiterleitung von Port 80 ist dein Scheunentor - das hast du aber selbst gemacht :winking_face:


    Ping läuft anders ab.


    Um dein "Problem" zu lösen würde ich dir empfehlen die Portweiterleitung zu löschen und dein VPN zu nutzen von unterwegs

    Mein Projekt

    Zitat von amaskus

    Ping läuft anders ab.


    Um dein "Problem" zu lösen würde ich dir empfehlen die Portweiterleitung zu löschen und dein VPN zu nutzen von unterwegs

    Ping ist auch keine brauchbare Methode, Netzwerkverbindungen zu testen, es gibt einige Provider, die das komplett blocken.


    Ich rate auch dringend dazu, die Portweiterleitungen abzuschalten und auf VPN umzusteigen, weil einen sicheren Weg wirst du sinst nicht bekommen.

    Jeder offne Port an der Firewall ist ein potentielles Einfallstor

    ok, ich glaube jetzt ist mir einiges klarer!

    Na dann hau ich als erstes mal die Portweiterleitungen raus. Der VPN funktioniert ja inzwischen..:--))

    Mal was ganz anderes: Da ich mir bei meinen Umsetzungsschritten nicht wirklich immer sicher bin, mache ich nach jedem größeren Schritt ein Backup.
    Nur: das scheitert oft schon nach dem ersten Backup. Sprich... ich bekomme die Meldung vom Controller, dass das Erstellen der Backup-Datei fehlgeschlagen sei. Kennt Ihr das auch, oder ist das nur bei mir so?

    Liebe Grüße und Dankeschön!

    Oli