Netzwerk einrichten und vernünftig konfigurieren mit VLANs, AP außen absichern und verschiedene Bereiche

Es gibt 5 Antworten in diesem Thema, welches 653 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

  • Hallo Zusammen,


    Meine Freundin und ich wohnen mit ihrer Schwester in einem Haus welches aus zwei Wohnungen besteht. Jetzt teilen wir uns ein Hausanschluss unter andrem um einfach bisschen Geld zu sparen. Außerdem ist die Mobilfunk Abdeckung hier sehr schlecht, so dass wir intensiv die WLAN-Call Funktionen nutzten.

    Deswegen möchten wir das jeder über alle Etagen weg, super WLAN hat und somit jeder über alle Accesspoint auf "seine" SSID und somit Netzwerk zugreifen kann.
    Dazu wird es noch eine Alarmanlage geben, die aufgeschaltet werden soll. Diese wird per LAN direkt an die UDM angeschlossen und soll auch in einem VLAN landen, welches von den andern Netzwerken im Haus nicht erreicht werden sollen.

    Nun zu meinen Probleme und Fragen:

    1. Auf jede Etage gibt es ein Switch für die jeweilige Etage. Ich habe die Ports für die Uplinks und wo die AP dran sind auf dem VLAN "Default" stehen, da ich sonst nicht mehr ins Internet komme über die AP. Die restlichen Ports habe ich dann den entsprechenden VLANs der zugehörigen Etagen zugeordnet. Sprich der Switch im EG hat alle Ports auf dem VLAN "EG" stehen. Macht das so Sinn oder kann man das besser lösen? Wenn ich ja z.B. ein AP umstecke, würde ich die Konfiguration ja zerstören?
    2. Im Außenbereich befinden sich auch noch zwei AP (das Haus ist im Berg gebaut, so hat das "EG" und "OG" jeweils eine Terrasse) für die Terrassen. Dieses sind sauber mit einer Außen Netzwerkdose montiert. Wenn man nun wollte, könnte man sich natürlich dort anstecken und wäre "im Netzwerk". Jetzt dachte ich, super mach doch ein MAC-Filter auf den jeweiligen Port mit der MAC-Adresse des jeweiligen AP, nur leider klappt dies auch nicht so, wie ich mir das vorstelle. Zwar klappt es, dass dort nur der AP dran läuft, aber ich kann mich dann leider mit keinem Endgerätmehr verbinden bzw. bekomme Internet.
    3. Ich habe jetzt mal nach YouTube Anleitung, versucht den Traffic unter den VLANs zu verbieten (siehe Bild im Anhang). Leider klappt dies nicht so wie ich mir das denke. Denn über CMD kann ich noch immer alle andern Host- Adressen anpingen. Was mache ich hier falsch?
      Die VLANs seht ihr im Anhang. Meine Idee ist, dass natürlich IoT nur Internet darf ebene So die Alarmanlage und die andern VLANs im Prinzip auch, da jede Etage für sich sein soll. Ich hoffe ihr könnt mir folgen...
      Mach das so Sinn dies abzugrenzen und wenn ja, wie bekomme ich dies umgesetzte?


    Ich denke, die restlichen Fragen entstehen dann im Prozess des umsetzen.

    Vielen Dank schon mal!

    • Hilfreich

    Moin, deine Ansätze sind doch schon ganz gut.

    Ich würde das Default Netz als Management Netz betrachten und dort keine Clients sondern nur die Dream Machine und die Switche unterbringen.

    Die Access Points würde ich in einem zusätzlichen Netz unterbringen. Dies würde auch dein Problem mit den Außendosen ein wenig eindämpfen. Ansonsten gibt es auch noch RJ45 Schlösser.

    Sagen wir mal deine APs landen im Haustechnik Netz. Jetzt würdest du dem Port, an dem der jeweilige AP hängt, das native VLAN 5 zuweisen und Tagged VLAN 3, 4 und 6. Damit die jeweilige SSID auch weiß in welchem Netz sie ist, muss unter WiFi das jeweilige Netzwerk angegeben werden.

    Das hat natürlich den Nachteil, wie du bereits mit "Konfiguration zerstören" festgestellt hast, dass man beim Umstecken die VLANs anpassen muss. Das kann man aber leider nicht wirklich verhindern, außer man setzt eine NAC Lösung ein.


    Noch zu dem MAC Filter: Du müsstest hier natürlich auch alle mobilen Geräte angeben, nur der AP reicht nicht. Das ist natürlich nur schwer händelbar.


    Anhand deines Screenshots sieht man leider nicht die gesamte Konfiguration deiner Inter-VLAN Regel. Anbei ein Screenshot wie die Regel bei uns angelegt ist und auch funktioniert. Ansonsten gibt es auch (seit kurzem?) bei den Netzwerken die Checkbox "Isolate Network", welche genau dasselbe bewirken sollte.


    Beste Grüße

  • Hi,

    Ok, dann halte ich das Default Netz auch als "System Netz.

    Was ich noch nicht ganz verstehe, wenn ich die AP in ein eigenes Netz packe, z.B. das VLAN 5 "Hausnetz" und dann Tagged zu VLAN 3,4 und 6 bzw. noch 2 (für die IoT Geräte im WLAN), dann könnte ich doch von außen an der Außensteckdose trotzdem in die Netze kommen, wenn ich dem Gerät eine feste IP gebe aus einem der VLAN´s bzw. würde es dann nicht eine IP Adresse bekommen wenn es auf DHCP steht aus dem Default Netz?


    Zu den VLAN Regeln bezüglich dem Blockieren, so habe ich das genau so gemacht, wir bei dir im Screenshot ersichtlich ist. Insgesamt hab ich diese Regel 5 mal für jeweils das IoT, Erdgeschoss, Obergeschoss, Alarmanlagen und Haustechnik...

    Oder ist das normal, dass ich trotzdem die Host Adresse anpingen kann? Andere Adressen, die grade vergeben sind, kann ich nämlich nicht anpingen.


    Wenn ich bei der Haustechnik diese Regel habe und dann die Ports an den Switchen Tagge, dann würde das aber klappen, dass ich mit den AP in die entsprechenden Netze komme oder?

    Vielen Dank für deine Hilfe bis hier und schöne Grüße

  • Moin :smiling_face:


    Auf dem Port für den Außen-AP ist ja als Native Netz das VLAN 5 ausgewählt. Somit würde jemand, der den AP vom Netz nimmt und sich selbst damit verbindet, ebenfalls eine IP aus dem VLAN 5 erhalten. Er könnte also nur die anderen APs, nicht aber die Geräte in den anderen Netzen sehen. Auch das Ändern der IP würde ihn nicht automatisch in eines der anderen VLANs bringen. Er müsste das VLAN Tag seiner Netzwerkkarte entsprechend setzen (Tagged VLAN 2, 3, 4 oder 6).

    Um auch dieses Szenario zu verhindern gibt es, wie bereits erwähnt, abschließbare Patch Kabel: Reichelt


    Falls du mit der Host Adresse das Gateway bzw. die Dream Machine meinst: Korrekt, die Dream Machine ist trotz der Regel von allen Netzen zu allen Netzen erreichbar. Nur die anderen Geräte sollten wieder pingbar, noch erreichbar sein.

    Ansonsten gibt es mittlerweile ja auch die Option auf dem Screenshot im Anhang.


    Korrekt, die VLAN Netze sind erstmal unabhängig von der Firewall Regel und werden so durchgereicht.

  • Hi,

    Ja super, dann habe ich das glaube ich jetzt richtig verstanden und teste es gleich mal aus.


    So macht das ja auch Sinn, logischerweise ist ja die UDM der Host und natürlich gehen alle Hostadressen auf diese. Da macht sich doch die wenige Erfahrung in der Thematik bemerkbar...


    Ich werde es mal testen und melde mich dann noch mal mal. Danke dir schon mal!

  • Meinst Du mit host anpingen, dass Du aus einem VLAN die UDM auf all ihren IPs anpingen und erreichen kannst?


    Das ist erstmal normal. Den Traffic zwischen den VLANs blockt man in LAN_in. Die UDM Interfaces hängen in der Firewall unter LAN_local. Kann man auch dicht machen. Aber Vorsicht, denn alles droppen führt dazu dass DHCP nicht mehr geht und auch der DNS in der UDM ist dann nicht erreichbar. Meist möchte man dort ggf. nur die Oberfläche und SSH sperren.


    Im wiki gibts im Firewall Tutorial auch dazu was.