Netzwerk absichern mit VLANs

I

Ironcurtain86

Enthusiast
Thread Starter
Mitglied seit
28.11.2009
Beiträge
228
Hallo Zusammen,

ich versuche mit aktuell in das Thema VLANs einzuarbeiten und plane damit mein Netzwerk neu zu strukturieren. Aktuell hängt einfach alles über unmanaged Switches (Netgear GS116PP und Netgear GS108LP) hinter einem pfSense Router miteinander zusammen und kann nach belieben untereinander kommunizieren. Das möchte ich gerne unterbinden, indem ich mir einen managed Switch kaufe (TP-Link TL-SG1024DE). Ich habe dazu eine Grafik erstellt, die die Soll-Situation darstellt (siehe Anhang). Ich möchte bspw. die beiden Netgear Switches mit allen Kamera's dahinter hinter meinen Server hängen (mit separater Netzwerkkarte), damit die Kamera's schon mal nicht in nach draußen telefonieren können.
Ich besitze drei Ubiquiti UAP-AC-Lite und will dort verschiedene VLANs einrichten.

VLAN 10 - Me_Net: In dieses VLAN kann ich mich einloggen und Dinge wie Server, pfSense konfigurieren. Ich kann mich dort per WLAN über meinen Laptop/Handy oder auch per Kabel am Desktop-PC anmelden.
VLAN 20 - Fam_Net: Dort melden sich alle Familienmitglieder an. Sie können darüber auf die SMB-Freigaben vom Server zugreifen und ins Internet gehen.
VLAN 30 - IOT_Net: Dort melden sich Geräte wie Rasenmäherroboter, Staubsauger, Fernseher an. Sie können ins Internet.
VLAN 40 - Guest_Net : Gäste. Sie können nur ins Internet und haben überhaupt keinen Zugriff auf das Netzwerk.
VLAN 50 - KNX_Net: Ich verwende als SmartHome System KNX. Das Netzwerk soll isoliert werden und man soll nur über VLAN 10 Zugriff darauf haben. Kein Internetzugriff
VLAN 60 - Door_Net: Meine Türsprechanlage. Das Netzwerk soll isoliert werden und man soll nur über VLAN 10 Zugriff darauf haben. Kein Internetzugriff
VLAN 90 - Public Net: Auf diesem Netz sollen Portfreigaben nach draußen erfolgen. Meine Telefonanlage (Gigaset) braucht bspw. Portfreigaben. Oder Dienste über Docker Container (Nextcloud, Teamspeak, etc.) die ich auf dem Server habe, sollen auf über VLAN 90 für das Internet freigegeben werden.

Ich habe bisher mit dem Thema VLANs überhaupt nichts zutun gehabt und weiß nicht, ob ich nicht zu kompliziert denke. Es soll so einfach wie möglich zu verwalten sein. Ich möchte auch nicht unmengen an Geld für neue Hardware ausgeben. Daher nach Möglichkeit vorhandene Hardware verwenden. Aber ich denke um einen managed Switch komme ich nicht herum, oder?
Die Konfiguration der einzelnen VLANs findet dann im pfSense statt richtig? Also das ich bspw. über VLAN 10 auf IOT, KNX, Door zugreifen kann, aber diese VLANs wiederum nicht zurück auf VLAN 10.

Ich freue mich auf euer Feedback!



Network.jpg
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hi

Zunächst denke ich, dass Du am PC und an den einzenen WLAN Clients nicht mehrere VLANs brauchst. Aber habe auch so angefangen. Ein VLAN, bzw. ein ungetagged Netz am Client reicht da, den Rest beregelst Du in der Firewall. Am Server macht das aber durchaus Sinn mit mehreren VLAN. Kann man auch direkt mit einer Strippe tagged fahren. Was nutzt Du für ein OS auf dem T30?

Wenn da zwischen den VLANs munter geroutet wird, wirst Du mit der APU2 wohl nicht glücklich. Denke, da schiebst Du dann insgesamt mit höchstens 100 Mbit zwischen den Netzen. Wenn Du das so aufziehen willst, würde ich was potenteres nehmen für die Sense. Und ja, managed Switch brauchst Du auch. Und mit der APU2 habe ich schon jenes gekämpft, um da überhaupt eine x86 Firewall erfolgreich zu installieren. Ist schon länger her, habe es dann aber aufgegeben.

Und so einfach wie möglich sowie das, was Du abgebildet hast wird nicht möglich sein. Da kommt einiges auf Dich zu.

Gruss
 
Zuletzt bearbeitet:
Ein VLAN, bzw. ein ungetagged Netz am Client reicht da, den Rest beregelst Du in der Firewall.
Zum Vergrößern anklicken....
Gerade im W-LAN möchte man an der Stelle die Clients IOT, Gäste und Co vom eigentlichen Netz trennen. Ohne getrenne SSID und VLAN geht die Trennung dort aber nicht sauber. Natürlich bekommt am Ende da ein Client nur eine SSID und folglich nur ein entsprechend zugeordnete VLAN.

Und so einfach wie möglich sowie das, was Du abgebildet hast wird nicht möglich sein. Da kommt einiges auf Dich zu.
Zum Vergrößern anklicken....
Mag sein das der Router da irgendwann schlapp macht, aber doch ziemlich genau so "einfach" wie das dargestellt ist klappt das. Natürlich müssen da an der pfsense die Regeln entsprechend eingerichtet werden aber z.B. ne "Blocke default all und erlaubt nur Verkehr von VLAN a zu VLAN b" ist da ziemlich Standard und ziemlich easy einzurichten.

Von daher: Ironcurtain86 - Ansatz ist erstmal physikalisch und technisch sinnvoll. Umsetzung liegt letztlich an dir ob und welche Firewall-Regeln du da von a nach b zulässt. Effektiv fahre ich hier aber auch ein ähnliches Setup hinter einer opnsense. Effektiv musst du eben die VLAN am Switch tagged (z.B. vom Server) oder untagged (z.B. von deiner KNX-Zentrale oder der Türklingel) am Switch annehmen und dann als Trunk auf die pfsense führen. Dort wieder entsprechend alle VLAN anlegen + das zugehörige Ruleset. Dann läuft aber wie von Ali angesprochen am Ende jeder Verkehr der zwischen VLAN a zu b geht IMMER über die Firewall und belastet somit dort die Ressourcen. Gerade bei hohen Bitraten könnte das irgendwann das System in die Knie zwingen - bei sowas wie KNX, Türklingel, Gäste-Wlan zum Internet sehe ich das nicht. Bei sowas wie Server und SMB Freigaben von VLAN a zu VLAN b könnte es dann aber dort einen Flaschenhals geben.
Zu achten ist da in meinen Augen aber z.B. auch am Server das da ein System nicht in n VLAN hängt, das führt den Punkt mit der Firewall und der Zugangsregelung etwas ins absurde wenn da ein System mit n-Netzen hängt. Dann könnte man von dort wieder lustiges von a nach b hopsen machen was erstmal so unerwünscht sein sollte.
 
Zuletzt bearbeitet:
Ziemlich einfach einzurichten? Wechsle gerade nach 10 Jahren Zywall zur opnsense, und stehe da wie die holländische Bergziege vor dem Hügel. Lass mir da auf jeden Fall Zeit. Ziemlich easy halte ich da für relativ. Würde mir da zumindest erst mal ein kleines Lab einrichten, um da mal rein zum kommen. Der TE hat noch keinen Plan von VLANs. Wie gesagt, für einen Laien und möglichst einfach solls sein; denke das kann man nicht so mal schnell schnell aus dem Hut zaubern. Zumindest meine Lernkurve ist da nicht so ganz von 0 auf 100 in einem Zug. Mein ja nur.

Machbar, ja sicher. Aber halt nicht mal einfach so. Beispiel: am Desktop will er das "me" VLAN. Das "me" VLAN soll nach der Legende das management Netz sein. Das würde ich halt nicht an der Workstation anlegen. Sondern, alles was ins management LAN gehört in ein eigenes Netz. An der Workstation dann das "me" LAN, bzw. das Chef LAN. Und dann von der Workstation zum management LAN beregeln. Hier z.B. läuft ein vSAN (singlenode) im Management Netz, welche dem Server die VMs per NFS zur Verfügung stellt. Das darf halt sicher nicht nach draussen telefonieren, weil Du, NFS 3 geht ohne Passwort. Er will das aber ins "me" Netz nehmen, und das auf die Workstation fahren. Macht halt kein Mensch. Würde da echt dringend empfehlen Management- und "me"/"mich"/"Chef" bzw. simples LAN zu trennen. Und das will dann noch eingerichtet werden, nicht nur in der Theorie.

Wenn er da 0 Erfahrung hat mit Switch und opnsense wird das halt nicht einfach mal so easy. Für Dich vielleicht, für mich nicht, und wenn er noch nie ein VLAN in Betrieb hatte, muss er sich halt rein fuchsen. Und bisschen Vorsicht walten lassen beim beregeln, das ist grad hier so die Baustelle. Bin aber kein Profi, von daher darf das gerne im Lab laufen, bis da mal Klarheit herrscht. Aber bevor ich mir so ein Netz wie oben beschrieben ohne Vorkenntnisse sprich Null Plan an der Sense konfiguriere, hänge ich lieber alles direkt an die imaginäre Fritzbox und muss nicht viel beachten. Oder zumindest an doppelt NAT zum anfangen.
 
Zuletzt bearbeitet:
Hexcode schrieb:
Gerade im W-LAN möchte man an der Stelle die Clients IOT, Gäste und Co vom eigentlichen Netz trennen. Ohne getrenne SSID und VLAN geht die Trennung dort aber nicht sauber. Natürlich bekommt am Ende da ein Client nur eine SSID und folglich nur ein entsprechend zugeordnete VLAN.
Zum Vergrößern anklicken....
Mit PPSK kann man unter *einer* SSID einen Client ein bleibiges vLAN zuweisen. Das ist zumindest bei Unifi einfach umzusetzen: bei der SSID "ppsk" aktiveren, vLANs auswählen und dann unterschiedliche PWs für die jeweiligen Netze vergeben. Anhand des PWs wird der Client dann in das jeweilige vLAN einsortiert.

AliManali schrieb:
Ziemlich einfach einzurichten? Wechsle gerade nach 10 Jahren Zywall zur opnsense, und stehe da wie die holländische Bergziege vor dem Hügel.
Wenn er da 0 Erfahrung hat mit Switch und opnsense wird das halt nicht einfach mal so easy.
Zum Vergrößern anklicken....
Das sehe ich ganz genau so. Die *sense ist zwar sehr mächtig und und man kann damit unendlich viel bauen, aber das ist halt nicht trivial, und für das Use Case im Hinblick auf den Wissenstand das falsche Produkt.

Schau Dir mal ein Unifi Cloud Gateway Ultra an (idealerweise in verbindung mit einem passenden Unfi Switch), das sollte alles abdecken, was Du machen willst und ist um längen benutzerfreundlicher, vor allem weil man damit die *gesamte* Infrastruktur zentral managen kann. Das macht es wesentlich einfacher, das Konstrukt in erträglicher Zeit ans laufen zu bekommen.

Du hast ja schon 3 Unifi APs, würde gut passen. Das Cloud Gateway Ultra kostet so ~120 Euro.


Eine schöne Zusammenfassung über die Unifi Welt und wie man das einrichtet gibt es hier :

https://lazyadmin.nl/home-network/unifi-network-complete-guide/


(8 Folgen)
 
Ich sehe da auch kein Problem. Ich würde nur darauf achten, Storage nicht zu routen. Oder anders gesagt, bei der Verbindung, wo Du richtig Bandbreite brauchst, sollten die Hosts im selben VLAN sein, dann muss das nicht durch die Firewall.
 
@Supaman also sorry - die grundlegenden Routing und Firewall Geschichten sind der pfsense erstmal fast "kinderleicht". Klar das Ding ist mächtig, aber simple deny Default und allow a to b Sachen sind da sowas von einfach umgesetzt und wenn man dann am Ende mehr weiß und kann, kann man von da auch Stück für Stück mehr Funktionen nutzen.

Wird man sich dabei vielleicht Mal aussperren? Möglich 😅 aber immerhin lernt man dabei auch was ein Netzwerk ist und wie es funktioniert.
Die Frage ist halt ob man sich damit auseinander setzen will oder ob man erwartet das es einfach geht - bei letzterem ist klicki-bunti natürlich einfacher.
 
Vielen Dank für die zahlreichen Rückmeldungen. Ja es wird für mich wahrscheinlich nicht von einen Tag auf den anderen umsetzbar sein, aber ich denke ich muss es erstmal vereinfacht aufbauen. Vielleicht erstmal 3 VLANs (home, IOT und Gäste) und dann nach und nach ausbauen. Dann sind die Regeln ja einfach und kein großer Traffic zwischen den VLANs. Bei mir läuft ja pfSense bereits seit bestimmt 5 Jahren auf der APU2.

AliManali schrieb:
Was nutzt Du für ein OS auf dem T30?
Zum Vergrößern anklicken....

Aktuell läuft dort unraid drauf. Bin aber immer mal wieder am überlegen auf Proxmox umzusteigen um dort dann die Datenablage (Truenas Scale) und Docker, VMs zu trennen. Wobei es mit Sicherheit nicht so benutzerfreundlich und einfach wie aktuell mit unraid wird.

Supaman schrieb:
Schau Dir mal ein Unifi Cloud Gateway Ultra an (idealerweise in verbindung mit einem passenden Unfi Switch), das sollte alles abdecken, was Du machen willst und ist um längen benutzerfreundlicher, vor allem weil man damit die *gesamte* Infrastruktur zentral managen kann. Das macht es wesentlich einfacher, das Konstrukt in erträglicher Zeit ans laufen zu bekommen.
Zum Vergrößern anklicken....

Ja Unifi ist sehr gut aber mit einem managed Switch bin ich da sicherlich einiges an Kohle los. Ich will es erstmal mit vorhandenen Hardware versuchen und nach Möglichkeit nur wenig ausgeben.


Jetzt muss ich nur noch die Zeit und die Lust finden mich damit auseinander zu setzen ^^.
Melde mich sobald es weiter geht.

Gruss
 
Hi,

ich will meine Kamera's wahrscheinlich doch nicht hinter dem Dell T30 schalten, sondern direkt am managed Switch schalten. Ein Grund ist, damit ich ohne Umwege von meinem PCs bei Bedarf auf die Kameras drauf kann und ein anderer ist, dass meine Ubiquiti APs von den unmanaged Netgear Switches per POE mit Strom versorgt werden.

Die unmaged POE Netgear Switches werden wie im Bild dargestellt hintereinandergeschaltet und am managed Switch angeschlossen. Damit ich denen bspw. den Internetzugriff blockieren kann, muss ich beim managed Switch dem Port ja ein VLAN zuweisen. Allerdings hängen ja auch die Unifi APs dahinter und dort kommen ja verschiedene Clients mit unterschiedlichen VLANs rein. Ist das ein Problem oder wird das funktionieren, weil ja die APs den Clients das VLAN zuweisen. Oder ändert der managed Switch diese dann? Wenn das so ist, muss der managed Switch ja zumindest teilweise POE sein, damit ich meine Access Points direkt an den managed Switch hängen kann richtig? Allerdings sind diese Switches ja teurer und verbrauchen auch mehr Strom, daher die Frage ob das wirklich notwendig ist.
Ist es überhaupt ein Problem, dass die beiden unmanaged Netgear Switches hinter dem managed Switch mit einigen Kamera's hängen? Oder würde der managed Switch allen Kameras´'s dahinter trotzdem das richtige VLAN zuweisen, weil ja alles durch den einen Port geht.

Anbei ein Bild zu Verdeutlichung:

Network_31072024.jpg
 
Der AP weist dann VLANs zu, die der unmanaged Switch nicht versteht und deshalb alles verwirft. Damit kannst du diese Funktion gleich abhaken und dir für die APs Einzelinjektoren besorgen, damit es über den VLAN-Switch geht.
 
Hm ehrlich gesagt hängen die APs aktuell an dem Netgear Switch und es ist ein GUEST VLAN eingerichtet und das wird ohne Probleme an die pfSense durchgereicht. Ich denke mal die Netgear Switche können damit nichts anfangen, aber manipulieren es auch nicht. Ich habe mir jetzt mal einen gebrauchten ZyXEL GS1900-24E bestellt. Der ist managed. Damit werde ich es mal testen. Notfalls nehme ich die POE Injektoren die beiden Switches dabei waren und hänge sie direkt am Zyxel Switch. Spätestens dann sollte es ja gehen.
Ich werde berichten.
 
Warum einfach, wenn es auch umständlich geht... bau das ganze mit ein paar Unifi POE Switches, dann brauchst Du keine POE Injectoren und hast auch insgesamt mehr Überblick, weil Du jeseites der PFsense das ganze Netzwerk + APs zentral administreiren kannst.
 
Anmelden, um zu antworten.

Ähnliche Themen

M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
889
BobbyD
BobbyD
G
OPNsense Vlan konfigurieren
Antworten
14
Aufrufe
1K
KurantRubys
KurantRubys
W
OpenWRT, VLAN-Konfiguration
Antworten
9
Aufrufe
2K
Supaman
Supaman
Fl4sh3r
Alles soll raus: Wechsel auf Glasfaser
2
Antworten
33
Aufrufe
2K
p4n0
p4n0
P
[Kaufberatung] Budget-NAS für Backup, Foto-Selfhost und Firewall+VLAN - EpycEmbedded vs AM4 vs gebrauchte Workstation?
Antworten
14
Aufrufe
2K
Pete_5
P
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh