Hallo zusammen!
Nachdem die Migration vom USG-3P auf die UDM-SE wunderbar geklappt hat und der Umstieg von Kupfer auf Glasfaser ebenso, wollte ich mich jetzt meiner Netzwerkarchitektur widmen.
Also habe ich angefangen mich in das Thema VLANs einzulesen, muss aber gestehen, dass ich hier sicherlich noch am Anfang meiner Lernkurve befinde...
Meine Infrastruktur:
- UDM-SE
- US-8 60W
- 2x unmanaged Switche von DLink (derzeit im Einsatz)
- 2x USW-8 Lite (noch verpackt...)
- AP AC Pro
- 2x AP AC Lite
- AP AC LR
- AP AC Mesh
Meine bisherige Netzwerkarchitektur war die absolute Minimallösung: ein LAN und ein WLAN! Das war's...
Jede allgemeine Einführung in die Planung einer VLAN Architektur beginnt dabei immer mit dem Ansatz einzelne Gerätegruppen in ein separates VLAN zu packen, also beispielsweise:
- Router, Switche, APs etc. in ein Admin VLAN
- Computer etc. in ein Client VLAN
- alles was "nach Hause telefoniert" in ein IoT VLAN
- Sonos & Konsorten (ich nutze bspw. Yamaha MusicCast) in ein Multimedia VLAN
- Kameras in ein CAM VLAN
- usw.
Je kleinteiliger, desto "sicherer". Und sofern man APs hat, die die entsprechende Anzahl von SSIDs können, zu den jeweiligen VLAN auch noch das dazugehörige WLAN. So weit so gut und auch einfach. Jetzt eine Aufstellung meiner tatsächlichen Clients (in Summe ca. 40+) und wie sie angebunden sind:
- 2 Win-Notebooks --> LAN
- 3 Win-Notebooks --> WLAN
- 1 WIN-Homeserver --> LAN
- 1 Synology NAS --> LAN
- 1 Netzwerkdrucker --> LAN + WLAN
- 1 Siemens GO VoiP --> LAN
- 1 Philps Hue (Bridge) --> LAN
- 1 PS5 --> LAN
- 1 PS4 --> WLAN
- 2 Smart TV --> LAN
- 2 Sky Receiver
- 2 HD Beamer (WLAN)
- 1 AV Receiver, incl. MusicCast --> LAN
- 3 MusicCast Lautsprecher --> WLAN
- 6 Handys (Android und Apple / privat und geschäftlich) --> WLAN
- 6 Tablets (Android und Apple / privat und geschäftlich) --> WLAN
- 15+ diverse weitere Clients (Chromecast, FireTV, Nintendo Switch, Internetradio, Kühlschrank, Geschirrspülmaschine etc.)
- 4 Kameras --> LAN + WLAN (geplant!)
Wenn ich die jetzt alle in die jeweiligen VLANs stecke, würde bei uns zuhause zunächst nichts mehr funktionieren. Ist ja auch klar, die Firewall auf der UDM SE blockiert per default erstmal alles. Ich müsste also entsprechende Regeln erstellen. Jetzt aber mal ein typisches Anwendungsszenario:
Wir schauen ein Film über einen Beamer, wahlweise vom NAS oder einem Streamingdienst, synchronisieren das Licht über die HUE Bridge und gesteuert kontrolliert wird das alles über ein Handy/Tablet. Alleine in diesem Szenario wären mindestens 3 VLANs involviert, die alle untereinander kommunizieren und auch alle Zugang zum Internet haben müssten. Allein an den Regeln für dieses Szenario konfiguriere ich mich ja (Entschuldigung...) dumm und dämlich. Von den zusätzlichen Fehlerquellen, wenn etwas mal nicht läuft ganz abgesehen.
Daher wäre mein Ansatz:
- Admin VLAN für die UDM SE, alle Switche und alle APS --> LAN + WLAN
- Client VLAN für alle Clients --> LAN + WLAN
- Cam VLAN für die (geplanten) Kameras --> LAN + WLAN
(halte ich für absolut zwingend notwendig, da draußen ja ein physisches Netzwerkkabel liegt: quasi anstöpseln und ich bin drin... Eine MAC Adresse zu fälschen kriegt jedes Script-Kiddie hin)
- Gast VLAN --> WLAN
Macht das so Sinn? Weil meine Überlegung war, wenn ich die Firewall so öffne, dass alles bei uns reibungslos funktioniert, ist es mit der Sicherheit der einzelnen VLANs auch hin und ich habe nichts gewonnen. Außer zusätzlichen Verwaltungsaufwand in der Firewall. Oder sehe ich das mit der Firewall Administration zu "schwarz"?
Wie immer: danke für Eure Hilfe/Einschätzung! Und Entschuldigung für den ellenlangen Text...
