Heimnetzwerk VLANs und Routing

M

Mater1984

Neuling
Thread Starter
Mitglied seit
28.06.2024
Beiträge
18
Hallo zusammen,

im Moment bin ich dabei mein Netzwerk umzubauen.

Stand jetzt ist es ein einfaches Netzwerk mit Fritzbox (DHCP-Server, DSL usw.), mehrere APs für WLAN mit Mesh (Fast Transistion auf Basis OpenWRT), 3 Switches alle TP-Link TL-SG10xE und einigen Clients (Playstation, Smarthome, WLAN Geräte, 1 PC)

Jetzt habe ich einige Sicherheitsüberlegungen gemacht und auch die Aufteilung meiner Geräte in VLANs damit z.B. die Konsolen mehr Portfreigaben haben wie die WLAN Geräte und auch nicht ständig alles sich gegenseitig anfunken kann.

Die Switche können Portbased sowie Tagged VLAN. Wobei meines Wissens nach bei Port Based ich pro VLAN einen eigenen Uplink bräuchte. Also würde ich Tagged VLAN machen.


Zur Veranschaulichung hier als Bilder welche Optionen ich mir überlegt habe und sich bei mir fragen stellen

vlan1.png


vlan2.png



Die Fragen sind im Moment.

1. Kann ich die Switches in ein eigenes VLAN hängen damit sie vom Rest abgekoppelt nur vom Mgmt Rechner aus erreichbar sind?
2. Kann ich die Switches mit allen VLANS in Reihe an den nächsten Switch anhängen und damit alles zum Router/pfSense leiten?
3. Macht dieser Setup überhaupt Sinn oder ist er oversized und ich sollte eher mit eigenen IP-Adressbereichen im DHCP arbeiten und auf der FW dann diese Adressbereiche einfach entsprechend freigeben?
4. Benötige ich pro VLAN einen eigenen DHCP Server oder genügt ein DHCP im Netz der je VLAN/WLAN SSID eigene IP Adressbereiche hat?
5. Benötige ich vor der pfSense einen Router damit die Geräte miteinander kommunizieren können?
6. Welche Einstellungen muss ich in pfsense bzw. Router vornehmen um FRitzbox, pfSense, Switches und WLAN-AP vom Mgmt REchner und ggf. einem festgelegten Handy zu erreichen per SSH und Web(80,443)

Wie so oft im Privatumfeld ist es eine OP am offenen Herzen weil natürlich die Family nicht in ihrem Surfverhalten gestört werden will :ROFLMAO:
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Mater1984 schrieb:
Zur Veranschaulichung hier als Bilder welche Optionen ich mir überlegt habe und sich bei mir fragen stellen
Zum Vergrößern anklicken....
...ich frage mich, was Du mit sowas überhaupt erreichen willst, bzw. wo da auf Deinem Bild die VLANs zu sehen sein sollen?
Mater1984 schrieb:
1. Kann ich die Switches in ein eigenes VLAN hängen damit sie vom Rest abgekoppelt nur vom Mgmt Rechner aus erreichbar sind?
Zum Vergrößern anklicken....
Ja..nennt sich Management-VLAN.
Mater1984 schrieb:
Kann ich die Switches mit allen VLANS in Reihe an den nächsten Switch anhängen und damit alles zum Router/pfSense leiten?
Zum Vergrößern anklicken....
Ja, ber dann sollten die Trunk-Ports in der Kaskade auch entsprechens mehr Bumms haben.
Mater1984 schrieb:
Macht dieser Setup überhaupt Sinn oder ist er oversized und ich sollte eher mit eigenen IP-Adressbereichen im DHCP arbeiten und auf der FW dann diese Adressbereiche einfach entsprechend freigeben?
Zum Vergrößern anklicken....
Wie gesagt, Dein Setup verstehe ich nicht.
Mater1984 schrieb:
4. Benötige ich pro VLAN einen eigenen DHCP Server
Zum Vergrößern anklicken....
Ja
Mater1984 schrieb:
Benötige ich vor der pfSense einen Router damit die Geräte miteinander kommunizieren können?
Zum Vergrößern anklicken....
Geräte im gleichen VLAN sind im gleichen IP-Segment und damit kommunizieren die auch ohne Router, direkt untereinander.
Der Router kommt immer dann ins Spiel, wenn Kommunikation zwischen IP-Segmenten stattfinden muss (egal ob die in VLANs oder LANs stattfindet).
Manche Switche mit L3-HW-Beschleunigung, helfen dabei - wenn der Router zB keinen so dicken Port und/oder CPU hat, aber Durchsatz in wire-speed benötigt wird.
Deine Sense ist doch "der" Router"...wenn Du viel Inter-VLAN Traffic brauchst, dann sollte die Sense halt einen dickeren Trunk Port haben, zB 10G.
Mater1984 schrieb:
Welche Einstellungen muss ich in pfsense bzw. Router vornehmen um FRitzbox, pfSense, Switches und WLAN-AP vom Mgmt REchner und ggf. einem festgelegten Handy zu erreichen per SSH und Web(80,443)
Zum Vergrößern anklicken....
...was erwartest DU denn da jetzt? Die richtigen natürlich...also: RTFM

Mater1984 schrieb:
Wie so oft im Privatumfeld ist es eine OP am offenen Herzen weil natürlich die Family nicht in ihrem Surfverhalten gestört werden will :ROFLMAO:
Zum Vergrößern anklicken....
also schön planen, evtl. mit einem Labor etwas vordenken/ausprobieren und dann nachts umstellen, wenn alles schläft ;-)
 
hominidae schrieb:
also schön planen, evtl. mit einem Labor etwas vordenken/ausprobieren und dann nachts umstellen, wenn alles schläft ;-)
Zum Vergrößern anklicken....
Hier hake ich gerne ein :d
Wird sicher nicht funktionieren ne BigBang umstellung.

Schick die Family besser in den Urlaub und nehm dir ne Woche Zeit :d
 
hominidae schrieb:
...ich frage mich, was Du mit sowas überhaupt erreichen willst, bzw. wo da auf Deinem Bild die VLANs zu sehen sein sollen
Zum Vergrößern anklicken....
Sorry falsche Bilder erwischt.
Die VLAN Bilder folgen noch dann sollte es verständlich werden.
hominidae schrieb:
Ja, ber dann sollten die Trunk-Ports in der Kaskade auch entsprechens mehr Bumms haben.
Zum Vergrößern anklicken....
Ok. Ich denk da reichen bei den paar Geräten trotzdem 1GBit Karten aus oder?
Sind ohne WLAN Geräte ja nur 3 Switches und 9 Geräte.
hominidae schrieb:
Geräte im gleichen VLAN sind im gleichen IP-Segment und damit kommunizieren die auch ohne Router, direkt untereinander.
Der Router kommt immer dann ins Spiel, wenn Kommunikation zwischen IP-Segmenten stattfinden muss (egal ob die in VLANs oder LANs stattfindet).
Manche Switche mit L3-HW-Beschleunigung, helfen dabei - wenn der Router zB keinen so dicken Port und/oder CPU hat, aber Durchsatz in wire-speed benötigt wird.
Deine Sense ist doch "der" Router"...wenn Du viel Inter-VLAN Traffic brauchst, dann sollte die Sense halt einen dickeren Trunk Port haben, zB 10G.
Zum Vergrößern anklicken....
Die Sense wollte ich als Firewall, (Proxy) und DHcp Server einsetzen
Die hat nur 2 LAN ports. Da hätte ich früher mich um ne passende LAN Karte kümmern müssen.
Aber mein Openwrt Router hat 5 Anschlüsse. Dann wäre aber vermutlich die Sense wieder überflüssig
 
Screenshot 2024-06-28 214301.png


So wäre meine Idee.
3 VLANs

VLAN1 für die Konsolen und Smarthome
VLAN2 für die WLANs
VLAN3 Mgmt und Switches

Wie muss ich den DHCP Server am Router einstellen, dass er alle VLANs erreicht.
Vermutlich an jeder Netzwerkschnittstelle einen eigenen DHCP und jede Netzwerkschnittstelle versorgt ein VLAN.
 
Mater1984 schrieb:
VLAN1 für die Konsolen und Smarthome
Zum Vergrößern anklicken....
Hmmm...warum?
Was/welcher Anwendungsfall steckt dahinter?
Was sind das für Konsolen? Eine mit WiFi dabei?
Was ist mit den TV an denen die Konsole hängt? Haben die kein Wifi oder LAN?
Smarthome hat normalerweise WiFi...

Mater1984 schrieb:
VLAN2 für die WLANs
Zum Vergrößern anklicken....
Auch wieder Frage warum?
Was ist der Unterschied zwiscen VLAn1 (Smart) und VLAN2 (Smart) ??
Warum nicht je SSID ein VLAN, das wäre der "Standard".

Mater1984 schrieb:
VLAN3 Mgmt und Switches
Zum Vergrößern anklicken....
OK, Management VLAN.

Mater1984 schrieb:
Wie muss ich den DHCP Server am Router einstellen, dass er alle VLANs erreicht.
Vermutlich an jeder Netzwerkschnittstelle einen eigenen DHCP und jede Netzwerkschnittstelle versorgt ein VLAN.
Zum Vergrößern anklicken....
Jedes VLAN ein eigener DHCP-Pool, Server läuft/lauscht jewels auf VLANxx
Verzeih, aber weisst DU eigentlich was Du da tust?
Deine Fragestellung lässt mich aufhorchen...das hier wird noch eine Support Katastrophe...
 
hominidae schrieb:
Hmmm...warum?
Was/welcher Anwendungsfall steckt dahinter?
Was sind das für Konsolen? Eine mit WiFi dabei?
Was ist mit den TV an denen die Konsole hängt? Haben die kein Wifi oder LAN?
Smarthome hat normalerweise WiFi...
Zum Vergrößern anklicken....
Smarthome am LAN ist z.B. Philips Hue Bridge oder der Ikea Tradfri Gateway. Je per LAN angeschlossen.
Konsolen sind PlayStation4/5 per LAN angeschlossen.
Diese Geräte brauchen wesentlich mehr offene Ports und sollen auch vom Rest abgekoppelt werden.
hominidae schrieb:
Auch wieder Frage warum?
Was ist der Unterschied zwiscen VLAn1 (Smart) und VLAN2 (Smart) ??
Warum nicht je SSID ein VLAN, das wäre der "Standard".
Zum Vergrößern anklicken....
Gerne pro SSID ein VLAN hatte das so nicht im Blick und bin gerade erst dabei mich einzulesen.
Vlan1 smart und Konsole = mehr offene Ports
VLAN2 Smart im WLAN wären Geräte wie Amazon Echo, Kaffeemaschine, SmartTV usw. Werde mich aber nochmal einlesen.
hominidae schrieb:
OK, Management VLAN.
Zum Vergrößern anklicken....

hominidae schrieb:
Jedes VLAN ein eigener DHCP-Pool, Server läuft/lauscht jewels auf VLANxx
Zum Vergrößern anklicken....
Perfekt. So soll es sein.
hominidae schrieb:
Verzeih, aber weisst DU eigentlich was Du da tust?
Deine Fragestellung lässt mich aufhorchen...das hier wird noch eine Support Katastrophe...
Zum Vergrößern anklicken....
Nein das versuche ich zu vermeiden. Ich lese mich nochmal ins Thema ein und werde es vorher hier posten bevor es live geht. Aber bereits konfiguriert und getestet ist.

Danke für deine Hilfe. Bin zwar ITler aber eher im Bereich Cloud Services, Project Management usw.
 
Falls deine Vlan Nummerierungen == die VLAN ID sein soll wuerde ich mir das an deiner Stelle nochmal gut ueberlegen.
Mit VLAN0 / VLAN1 Spielt man nicht herum. Das gibt nur Aerger.
 
Mater1984 schrieb:
Smarthome am LAN ist z.B. Philips Hue Bridge oder der Ikea Tradfri Gateway. Je per LAN angeschlossen.
Zum Vergrößern anklicken....
Mater1984 schrieb:
Gerne pro SSID ein VLAN hatte das so nicht im Blick und bin gerade erst dabei mich einzulesen.
Zum Vergrößern anklicken....
Wenn Du für unterschiedliche Geräte ein unterschiedliches VLAN nutzt, dann muss Kommunikation zwischen diesen Geräten durch den Router/die Firewall durch (weil getrennte IP-Segmente)
Damit kannst Du dann die Kommunikation in der Firewall überwachen oder einschränken - Das ist eine wichtige Entscheidung ob/ob nicht und in welches VLAN was reinkommt.
Für Geräte gleicher "Kategorie", zB Smart macht das nicht immer Sinn und belastet die Firewall unnötig.
Zum Beispiel wenn Du noch eine Smart-Home Zentrale hast oder IoBroker/Node-Red.

Es macht meist Sinn die VLANs nach "Einsatzzweck" zu ordnen.
ZB:
- WiFi für Eltern (mit / ohne Adblocker)
- WiFi für Kids (mit Adblocker und Kids-Filter)
- (Home)Office inkl. NAS (evtl. je Bewohner getrennt).
- HomeOffice für Kids (Schule/Hausarbeiten)
- Gäste
- Smart Home
- streaming / Heimkino / Multi-Room Entertainment, zB eine Sonos - diese "Dinger" nutzen Multicast und das läuft nicht über eine IP-Zone hinweg (OK, kann man in der Firewall machen, ist aber schon sehr schwierig)
- Geräte mit Fernwartung durch Dritte/Techniker (z.B. einen PV-Wechselrichter die Heizung o.ä.)
- VPN
- Geräte/Dienste in einer DMZ (remote Gäste)

....und wie @p4n0 schon sagte, Finger weg von VLAN-ID = 1 (default ID).
 
Ich bin nochmal in mich gegangen und habe mich auch eingelesen ein kleines bisschen.

Ich würde hergehen und folgende Aufteilung jetzt machen.

VLAN2 WLAN Mobile (Eltern)
VLAN3 Mgmt
VLAN4 WLAN Kinder
VLAN5 Smarthome, Konsolen, WLAN Smarthome (inkl SmartTV, FireTV usw.)

Dann wären die WLAN Accesspoint selbst in VLAN3 und stellen VLAN2, VLAN4, VLAN5 bereit
Die Switches in VLAN3 und stellen je Port das passend bereit
Der OpenWRT Router Sitzt dann selbst in VLAN3 und stellt die DHCP Server je VLAN stellen die passenden IP Adressbereiche bereit.

Ausbaustufe1 ohne pfsense deshalb noch gestrichelt

Screenshot 2024-06-29 083035.png
 
Ich möchte noch anmerken das es mit der FB und dem Openwrt Router ja doch schonmal double NAT haben kann.
Es sei denn du benutzt nur IPv6.

Die FB gegen ein Modem zu tauschen stünde daher bei so einem Projekt bei mir oben auf der Liste.
So läge WAN am Router an und er wäre die einzige Device die NAT durchführt.

Falls Telefonie wichtig ist, könnte die FB hinter den Router geklemmt werden und das weiterhin übernehmen oder ein VoIP ATA übernimmt.
 
Zyxx schrieb:
Ich möchte noch anmerken das es mit der FB und dem Openwrt Router ja doch schonmal double NAT haben kann.
Zum Vergrößern anklicken....
Das ist korrekt.
Genauer: Die Fritz kann eigentlich NAT nie ausschalten, auch wenn man zB die Sense als Exposed Host angibt.
Da aber eben die Fritz immer NATed, kann man dann in der Sense das NAT/Masquerade eigentlich auch ausschalten.

Mater1984 schrieb:
Ausbaustufe1 ohne pfsense deshalb noch gestrichelt
Zum Vergrößern anklicken....
Warum eigentlich?
Wenn Inter-VLAN Traffik auf 1Gibt ausreicht, kannst Du den openWT weglassen...die Sense kann ja auch VLANs.
VLANs und InterVLAN-Traffic in der Firewall des openWRT zu filtern, aber I-Net auf der Sense sind dann schon zwei Stellen wo Du in der Firewall ran musst.
Wenn die Sense nicht genug Bandbreite hat, hole zur Fritz noch einen USB-LAN Adapter, winn sonst nicht erweiterbar und nutze ins LAN dann LACP zum Switch.
Den openWRT als AP/Mesh behalten wäre ja kein Problem.
 
Zyxx schrieb:
Ich möchte noch anmerken das es mit der FB und dem Openwrt Router ja doch schonmal double NAT haben kann.
Es sei denn du benutzt nur IPv6.

Die FB gegen ein Modem zu tauschen stünde daher bei so einem Projekt bei mir oben auf der Liste.
So läge WAN am Router an und er wäre die einzige Device die NAT durchführt.

Falls Telefonie wichtig ist, könnte die FB hinter den Router geklemmt werden und das weiterhin übernehmen oder ein VoIP ATA übernimmt.
Zum Vergrößern anklicken....

Ich hätte die FritzBox jetzt als Exposed Host konfiguriert.
avm.de

DMZ in FRITZ!Box einrichten | FRITZ!Box 7490

Eine DMZ (Demilitarized Zone) bezeichnet ein spezielles Netzwerk, auf das sowohl aus dem Internet als auch aus dem lokalen Netzwerk (LAN) zugegriffen werden kann. Der Zugriff aus der DMZ auf das LAN wird dabei von einer Firewall vollständig verhindert. Durch dieses Konzept können Serverdienste...
avm.de avm.de
Wie hier beschrieben.
Beitrag automatisch zusammengeführt:

hominidae schrieb:
Das ist korrekt.
Genauer: Die Fritz kann eigentlich NAT nie ausschalten, auch wenn man zB die Sense als Exposed Host angibt.
Da aber eben die Fritz immer NATed, kann man dann in der Sense das NAT/Masquerade eigentlich auch ausschalten.
Zum Vergrößern anklicken....
Mit NAT hab ich mich noch gar nicht beschäftigt.
hominidae schrieb:
Warum eigentlich?
Wenn Inter-VLAN Traffik auf 1Gibt ausreicht, kannst Du den openWT weglassen...die Sense kann ja auch VLANs.
VLANs und InterVLAN-Traffic in der Firewall des openWRT zu filtern, aber I-Net auf der Sense sind dann schon zwei Stellen wo Du in der Firewall ran musst.
Wenn die Sense nicht genug Bandbreite hat, hole zur Fritz noch einen USB-LAN Adapter, winn sonst nicht erweiterbar und nutze ins LAN dann LACP zum Switch.
Den openWRT als AP/Mesh behalten wäre ja kein Problem.
Zum Vergrößern anklicken....

Weil die Sense als Testobjekt erstmal dienen soll und ich dort mich auf nem Fujitsu Futro 920 rantaste. Die Sense ist mächtig, sehr mächtig. Aber ich hatte bisher damit Berührungspunkte aber da hat ein Kollege die Sense vorkonfiguriert gehabt und ich hab nur noch die FW Regeln bei Bedarf angepasst.

Nachtrag: außerdem ist die Sense nur dann interessant für mich wenn auf dem Futro via squid die PlayStation Downloads gecachet werden können und ich Auswertungen fahren kann.
Für die Standard FW Aufgaben als Level 4 FW ist für mich eigentlich Openwrt ausreichend.
Intrusion Detection, Level7 FW und VPN hab ich im Moment gar nicht geplant.
 
Zuletzt bearbeitet:
Zyxx schrieb:
Ich möchte noch anmerken das es mit der FB und dem Openwrt Router ja doch schonmal double NAT haben kann.
Es sei denn du benutzt nur IPv6.

Die FB gegen ein Modem zu tauschen stünde daher bei so einem Projekt bei mir oben auf der Liste.
So läge WAN am Router an und er wäre die einzige Device die NAT durchführt.

Falls Telefonie wichtig ist, könnte die FB hinter den Router geklemmt werden und das weiterhin übernehmen oder ein VoIP ATA übernimmt.
Zum Vergrößern anklicken....

Nachtrag: die FB als Modem und voip bleibt auch weil Glasfaser gerade erst verlegt wird. Die Geräte im Haus sind bereits da und aufgebaut aber in der Straße soll es in den nächsten 6 Monaten erst gelegt werden.
Dann muss ich die FB so oder so hinter den Router klemmen bzw. Das Gerät vom Glasfaseranbieter nutzen.
 
Am besten nur ein einfachers GF Modem ohne Intelligenz.
Dahinter dann direkt den Router und alles wird gut :)
 
Gerade bei Glasfaser hast du bei einem "dummen" ONT doch die beste Option direkt deine gewünschte Software dahinter zu setzen.
 
Mater1984 schrieb:
Ich hätte die FritzBox jetzt als Exposed Host konfiguriert.
Zum Vergrößern anklicken....
Bitte genau hinschauen und verstehen, was das bedeutet.
Normalzustand ist, dass die Fritz selbst der "exposed host" ist
Die Funktiion in der Fritz ist dazu da, einen anderen Host in Deinem LAN als "exposed host" zu definieren.
Es wird quasi ein vollständiges Portforwarding von Verbindungen aus dem I-Net auf diesen Host gemacht.
Mater1984 schrieb:
Mit NAT hab ich mich noch gar nicht beschäftigt.
Zum Vergrößern anklicken....
...dann wird es aber mal Zeit.
Wie gesagt, die Fritte schaltet NAT nie aus, auch wenn sie selbst nicht exposed host ist.
 
hominidae schrieb:
Wie gesagt, die Fritte schaltet NAT nie aus, auch wenn sie selbst nicht exposed host ist.
Zum Vergrößern anklicken....
Warum sollte sie auch? Zumindest nicht im Router-Modus.

@Mater1984 Setze erst mal deinen Rechner hinter eine Sense um das alles zu lernen. Ob das gelingt bleibt dann abzuwarten.
 
Anmelden, um zu antworten.

Ähnliche Themen

I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
729
Supaman
Supaman
G
Switch + AP oder Router als AP-Ersatz?
Antworten
6
Aufrufe
638
Supaman
Supaman
Shihatsu
VLAN funktioniert nicht sauber, andere VLANs schon - proxmox, opnSense(HA) und Mikrotik Switche
Antworten
3
Aufrufe
466
Supaman
Supaman
M
Openwrt anlegen mehrerer VLANs nicht möglich
Antworten
6
Aufrufe
340
Mater1984
M
W
OpenWRT, VLAN-Konfiguration
Antworten
9
Aufrufe
2K
Supaman
Supaman
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh