erste Schritte: VLans

Es gibt 15 Antworten in diesem Thema, welches 1.168 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Hallo zusammen,

    könnt ihr zur ersten Einrichtung von VLans Hinweise bzgl. guter Tutorials oder Ähnlichem geben?

    Wenn morgen hoffentlich endlich Glasfaser im Haus ist, möchte ich die Einrichtung direkt richtig vornehmen und habe hierzu noch ein paar Fragezeichen über dem Kopf… :thinking_face:

    Kernidee:

    Default VLan mit den Unifi Geräten

    VLan 1 für die Standard Nutzung -> Surfen, Büro Laptops, Playstation, etc.

    VLAN 2 für die IoT Geräte (Shellys, HomeAssistant, Backofen, etc.) ->

    VLan 3 Gäste Netzwerk


    Später folgt im Netzwerk noch ein Heimserver, auf dem eben HomeAssistant laufen wird und auch PiHole. In welches VLan gehört der Server der Logik-halber??

    Danke euch!


    Setup:

    Telekom Glasfaser - UDM SE - USW Pro 24 PoE - 2x U6 Pro - verschiedene weitere Geräte im Netz (unter anderem 2 G5 Kameras, Heimserver, etc…)

    Einmal editiert, zuletzt von Mragain ()

    Gefällt mir 1
    Zitat von Mragain

    Später folgt im Netzwerk noch ein Heimserver, auf dem eben HomeAssistant laufen wird und auch PiHole. In welches VLan gehört der Server der Logik-halber??

    Danke euch!

    Das kannst dir aussuchen.

    Meine Server haben ein eigenen VLAN und die PiHoles liefen auch in einem eigenen VLAN namens DMZ, wobei das keine richtige DMZ war

    Zitat von Mragain

    Gibt es noch freundliche Hinweise zu den ersten Schritten bei der VLan Einrichtung?

    Irgendwelche Tipps zu guten Tutorials?

    Kann ich dir nicht weiterhelftn, ich nutze ne OPNSense-Firewall und die macht bei mir das ganze VLAN-Handling, das unterscheidet sich gewaltig von ner UDM usw.

    Das Video erklärt eine Sicherheitsorientierte Vlan einstellung recht gut. ganz egal ob UDR oder UDM,... das läuft alles identisch ab



    [Externes Medium: https://youtu.be/kxHMjmqHeoQ]

    Zitat von Mragain

    In welches VLan gehört der Server der Logik-halber??

    Dies ist ein Politikum und Thema ewiger Auseinandersetzung bei dem es nicht möglich ist einen Konsens zu finden.

    Nicht weil alle doof sind oder recht behalten wollen, sondern weil der eine nunmal die Lieblingsfarbe Grün hat während jemand anderes

    Rot lieber mag.

    Es gibt hier Menschen die haben Privat daheim 20+ VLANS mit einer feinen Liste aus Firewallregeln die alles Reglementieren

    verbieten und erlauben und natürlich das Gegenteil von „hat 50 Jahre auch ohne VLAN funktioniert, wird es auch weiterhin“


    DU selbst must also dir überlegen was du in ein eignes VLAN legen willst und ob es nötig ist die Kommunikation

    ins internet oder zu anderen VLANs einzuschränken. Nur du alleine kannst bestimmen wie und ob du es benötigst

    seit es nur darum den Inneren Nerd zu befriedigen.

    Einmal editiert, zuletzt von gierig ()

    Gefällt mir 3
    Zitat von Mragain

    Kernidee:

    Default VLan mit den Unifi Geräten

    VLan 1 für die Standard Nutzung -> Surfen, Büro Laptops, Playstation, etc.

    VLAN 2 für die IoT Geräte (Shellys, HomeAssistant, Backofen, etc.) ->

    VLan 3 Gäste Netzwerk

    ist auf keinen Fall verkehrt, evtl noch eines für Server/NAS/Drucker/Pihole,...

    Das zugehörige Wlan zum IOT Vlan würd ich 2,4Ghz only machen, macht da am wenigsten Probleme

    Kann ich voll zustimmen.


    Mein Rat immer am Anfang, ein Blatt Papier nehmen und aufschreiben:

    • was hab ich an Geräte(Gruppen) wie PC's/Notebooks, Smartphones, Tabletts, usw.
    • was hab ich an zentralen Geräten wie Server, NAS, Drucker, die von mehreren genutzt werden
    • was hab ich an Benutzergruppen, die getrennt werden sollen: Eltern, Kinder, Gäste, etc.
    • was hab ich an sonstigen Zeug im Netz: Smarthomesysteme, IoT, Telefonie, Kameras/Alarmanlagen, Multimedia

    Der nächste Schritt ist dann, ein Kommunikationsmatrix auszustellen, die zeigt, welche Geräte(-Gruppen) mit welchen Kommunizieren dürfen / müssen / nicht dürfen und welche davon ins Internet dürfen / nicht dürfen.
    Für sowas bietet sich eine Excel-Tabelle sehr gut an.

    Dann kann man sich überlegen, was davon in ein eigenes VLAN kommt, wo es vor allen Sinn machen und welche VLAN's am Ende davon auch ein WLAN benötigen. WLAN für Server ist z..b überflüssig

    Bliind ohne Plan drauf los zu bauen, geht voll nach hinten los und man verrennt sich, spätestens dann , wenn man Firewall-Regeln bauen muss, wird das zum Chaos. (hab ich bei einem Bekannten erlebt)


    Grobe Übersicht, was ich bei mir und bei mehreren Bekannten im Netz an VLANs angelegt habe:

    • Management: Switch, Router, AP, Unifi-/Omada-Controller etc.
    • Server: alle Server, NAS
    • Privat: alle Pc's, Notebooks, Tabletts, Smartphones, Drucker
    • Büro: für HomeOffice, Firmennotebook etc.
    • Media: alle Multimediageräte, Alexa's, AppleTV, TV's, WLAN-Radios usw.
    • Telefonie: VoIP-Telefone, Telefonanlage
    • Security: Kameras, Alarmanlage
    • Smarthome: alle Smarthomegeräte
    • IoT: alle IoT-Geräte wie Mikrocontroller usw.
    • DMZ: ( Pseudo-DMZ ), für Geräte die von vielen benutzt werden, z.b. der PiHole
    • Gäste: reine WLAN für Gäste abgeschottet vom Rest
    • Kinder: LAN/WLAN für die Kids, mit entsprechenden Einschränkungen, Filter etc.

    Jedes VLAN bekommt dann sein eigenes IP-Netz in Form von z.b. 10.0.x.0/24 oder 192.168.x.0/24 - wobei x = die VLAN-ID ist. VLAN-ID dann 10,20,30,40 usw.

    Unifi hatte mal vor einiger Zeit in einem Forumsbeitrag davon abgeraten, VLAN-IDs zwischen 2 und 9 zu nutzen, da die intern benutzt werden. Ob das noch gilt, weiss ich nicht, wie schon geschrieben, ich nutze keinen Unifi-Router mehr.


    Welche man nicht braucht, lässt man weg, wenn man weiter benötigt, erstellt man die - ich hab z.b. aktuell bei mir noch 4 weitere VLAN rein für Test einer OPNSense-Installation die auf virtuellen Maschinen läuft.

    Aber wie gierig schon schreibt, das ist abhängig vom persönlichen Bedürfnissen und Anforderungen.

    Blöde Frage zum grundlegenden Verständnis an einem Beispiel:

    • Unifi Hardware in VLan 10
    • Alexa in VLan 20
    • Shellys, etc. in VLan 30
    • HomeAssistant auf Server in VLan 40
    • Laptop, iPad, iPhones in VLan 50
    • Gäste in VLan 60

    Damit ich nun VLan übergreifend via Handy oder HomeAssistant oder Alexa meine Shellys, etc. steuern kann, müssen diese VLANs alle miteinander reden dürfen und auch ins Internet kommen

    Ich blocke alles diese VLans "nur" gegen das VLAN 10 Default mit der Unifi Hardware

    und bspw. gegen VLAN XX, in welchem bspw. ein NAS mit privaten Dateien liegt und VLAN 60, damit meine Gäste mein SmartHome nicht via Handy oder Laptop erreichen können.

    Ist das in der Denke so grundlegend korrekt?

    Danke!

    Ok. Die einzelnen VLans in meiner beispielhaften Aufteilung dienen so ja nur der „Ordnung“ im Netzwerk.

    Letztlich müssen die einzelnen IoT Geräte (bspw. Shellys) ja irgendwie mit Alexa bzw. HomeAssistant oder eben der App auf meinem iPhone kommunizieren können. Hab einen Hänger bei der Frage, wieso ich meine IoT Geräte separat in ein VLan packe, wenn ich am Ende den Zugriff via verschiedener Medien (Handy, Heimserver, Alexa, etc.) benötige.

    Wie machen das „alle anderen“? Wenn es zum VLan eine Standard-Empfehlung gibt, dann ist es doch immer erstmal die, seine IoT Geräte in ein separates VLan zu sperren…


    Ich vermute ein grundlegendes Verständnisproblem bei mir bzgl. der Frage, wie diese Geräte miteinander „reden“…

    Meine Shellys sind in einem IoT VLAN und können nur nur mit dem ioBroker kommunizieren, der in einem anderen VLAN ist. Internet ist offen für Updates. Thereotisch könnte man das blockieren und fallweise öffnen. Mein PC und Handy sind einer IP-Gruppe Admin, die Zugriff auf alle VLANs haben (außer Gast), so dass ich IoT Geräte etc. checken + managen kann. In meinen Firewall-Regeln sind bestimmte Routen freigegeben, abhängig von speziellen IPs und Ports. Am Ende habe ich eine Regel, die jeglichen anderen Verkehr zwischen allen VLANs dropped.

    Zitat von Mragain

    Damit ich nun VLan übergreifend via Handy oder HomeAssistant oder Alexa meine Shellys, etc. steuern kann, müssen diese VLans alle miteinander reden dürfen und auch ins Internet kommen

    Ich blocke alles diese VLans „nur“ gegen das VLan 10 Default mit der Unifi Hardware

    und bspw. gegen VLan XX, in welchem bspw. ein NAS mit privaten Dateien liegt und VLan 60, damit meine Gäste mein SmartHome nicht via Handy oder Laptop erreichen können.

    Ist das in der Denke so grundlegend korrekt?

    Dann kannst du dir die VLAN auch schenken.

    VLAN sind dazu da, einzelne Netze gegeneinander abzuschotten und mit Firewall-Regeln erlaubst du nur das was notwendig ist - im optimalen Fall auf Port und IP-Adresse basierend.

    Zitat von Tomcat

    Dann kannst du dir die VLAN auch schenken.

    VLAN sind dazu da, einzelne Netze gegeneinander abzuschotten und mit Firewall-Regeln erlaubst du nur das was notwendig ist - im optimalen Fall auf Port und IP-Adresse basierend.

    Da möchte ich ja hin. Nur scheinbar fehlt mir ein elementares Puzzleteil in meiner Denke.

    Letztlich stehe ich einfach auf dem Schlauch, wie ich bspw. meine IoT Geräte in einem VLan aus einem anderen VLan via mobile Device oder HomeAssistant heraus steuern kann. Vermutlich dann über bspw. Freigaberegeln auf IP Ebene?!

    Hallo Mragain ,

    Zitat von Tomcat

    Unifi hatte mal vor einiger Zeit in einem Forumsbeitrag davon abgeraten, VLAN-IDs zwischen 2 und 9 zu nutzen, da die intern benutzt werden. Ob das noch gilt, weiss ich nicht, wie schon geschrieben, ich nutze keinen Unifi-Router mehr.

    Ja. ist leider nich immer so - bei meinem Setup.

    Ja, kannst Du so machen. Da bedeutet aber auch ein paar Firewall- oder Traffic-Rules, aber geht.


    Ich habem meinem NAS ein Bein in meinem Client-VLAN spendiert, da mein USG leider nicht genug Durchsatz hat.