VLAN + Subnetting im Heimnetz / Homelab

[c0stunga]

Hallo zusammen,

aus einer kleinen Verzweiflung heraus, erbitte ich Hilfe aus der Community beim Anheben meines Heimnetzes und Homelabs "aufs nächste Level".
Ich hab schon seit einigen Jahren einen Server mit ein paar VMs laufen.
Damals ist das ganze als Spielerei entstanden und immer weiter gewachsen. Heute finde ich das alles sehr unsauber und würde es gerne einmal komplett von neu denken und umsetzen.

Eine Baustelle ist das Deployment und die Wartung der einzelnen Server. Hier werde ich mich erst mal selber durch diverse Tools (terraform, ansible,...) einlesen und durchtesten.
Die größere Baustelle, von der ich leider absolut keine Ahnung habe ist der Aufbau des Netzwerks. Leider haben mich die Recherchen mehr erschlagen als vorangebracht.

Ich würde gerne alle Geräte und Dienste in meinem Heimnetz sauber und sinnvoll trennen., wenn möglich ohne weitere Hardware zu kaufen.
VLANs, Subnetze, DMZ usw. stellen mich derzeit vor eine Herausforderung.

Verfügbare relevante Hardware zum Verwalten und Trennen des Netwerks:
- FritzBox 6591 als Modem und Router
- alte FritzBox 3370 mit OpenWRT
- kleiner unmanaged Switch
- Aktueller Main-Host: Dell T30 Server
- Zukünftiger Main-Host: HP Prodesk Mini-PC
- Intel NUC

Zu verwaltende Geräte:
- 3 Hypervisors mit Proxmox (Intel Nuc, Dell T30, hp Prodesk)
- rein interne Server (Home Assistant, mqtt, Truenas, Paperless, AdGuard, MariaDB,...), Smart Home Geräte (vor allem WiFi Steckdosen, der Rest läuft über Zigbee)
- externe Server (Nginx Reverse Proxy, nextcloud, minecraft, bitwarden, meshcentral,...)
- Multimedia Geräte (TV, Receiver, Spielekonsolen, ...)
- Private Geräte (Laptop, Handys, Tablet, Drucker)
- Dienst-Laptop

Die Kategorisierung der zu verwaltenden Gerät stellt auch schon meine Annahme einer sinnvollen Trennung der Netze dar.

Ich vermute eine DMZ würde Sinn ergeben, für die Bereitstellung aller extern zu erreichbaren Server. Reicht hier eine einstufige DMZ oder sollte es zweistufig sein?

Meine Herangehensweise wäre jetzt:
- FritzBox 6591 weiterhin als Modem und Router
- alle privaten Geräte und die OpenWrt FritzBox schließe ich direkt an an die 6591
- Der Dienst-Laptop verbindet sich mit dem Gastnetz der 6591
- in OpenWrt lege ich dann VLANs an für
- interne Server + Smart Home Geräte
- externe Server
- Multimedia Geräte

Gibt es hierzu irgendwelche Einwände oder Verbessungsvorschläge?

Randnotizen:
1. Der Dell T30 sollte eigentlich durch den HP Prodesk abgelöst werden. Allerdings habe ich das Gefühl, dass ich zwecks sicherer Trennung nicht um 2 separate Server herumkomme. Aber falls möglich gerne eine Lösung vorschlagen, welche auch mit einem einzigen Hypervisor funktioniert.
2. Derzeit sind noch alle Dienste auf dem Dell gehostet, ein paar der aufgelisteten existieren noch gar nicht, sollen aber in Zukunft im Homelab laufen.
3. Der Intel NUC ist alt und schwach und dient eigentlich nur als Testumgebung. Es könnten aber auch dauerhaft z.B. den Nginx Reverse Proxy hosten.
4. Die OpenWrt 3370 ist natürlich schon ziemlich in die Jahre gekommen. Per LAN ist das egal, per WLAN würde ich aber lieber alle Geräte mit der 6591 verbinden. Befürchte aber, dass das mit sinnvoller Kapselung nicht möglich sein wird.
5. Das Fettgedruckte soll lediglich dazu dienen etwas Übersicht in den längeren Beitrag zu bringen. Bitte nicht angeschrien fühlen.

Ich erwarte keine Komplettlösung oder ähnliches und bin durchaus bereit mich weiter in Themen reinzudenken und auszuprobieren. Wenn es um das Thema Subnetze und VLANs geht, scheint es aber für jede Umgebung eigene Philosophien zu geben. Daher würde ich mich freuen, wenn ihr mir eine Einschätzung und Vorschläge zur sinnvollen Absicherung meiner Umgebung nennen könnt.

VG
c0stunga

 

[underclocker2k4]

Ich würde die 6591 zum Modem machen und gut ist.
Daran angeschlossen einen einzigen Router, der Internet macht und eine beliebig skalierbare Anzahl an VLANs aufspannt.
Kann OpenWRT sein oder OpenSense oder was auch immer. In jedem Fall etwas, was die Kommunikation zwischen den VLANs grundsätzlich erlaubt, aber auch auf einzelne Dienste reglementieren kann.

Daran dann ein VLAN fähigen Switch, der die VLANs auf Kupfer so aufteilt, wie es für die einzelnen Systeme passend ist. Auf die vServer würde ich die VLANs getrunkt geben und die erst auf den vServer auseinanderfummeln. So kannst du beliebig viele VLANs machen und bist maximal flexibel.

Weiter geht es beim WLAN, auch hier würde ich mehrere VLANs/Netze machen.
- normales WLAN
- Gäste WLAN
- IoT WLAN
- ggf. fällt einem noch was ein (z.B. kritische IoT wie Wallbox, Stromzähler oder sowas)

Dann eben AP(s) nehmen, der/die mit VLANs umgehen kann/können und dementsprechend auch die Anzahl an WLANs ausstrahlen können. (hier ist manchmal die Anzahl begrenzt, also aufpassen)
Versorgt wird/werden der/die dann vom VLAN Switch, auch wieder getrunkt.

Eine DMZ ist in dem Fall auch nur eine der Zonen am Router, wie jede andere auch. Das ist weder sicherer noch unsicherer.
Am Ende sind es die Regeln, die entscheiden, wer wo wie hin darf oder eben nicht.

Ein einziger Router sorgt dafür, dass die keine Mehrfachrouten oder andere Scherze hast. Und vor allem hast du dann eine klare und einfache Struktur, was besonders beim Fehlersuchen ideal ist. (es ist entweder der Switch oder der Router schuld, ggf. der/die AP(s))

Ob man dann dafür die alte FB hernimmt, etwas gebrauchtes aus dem Regal nimmt oder lieber was neues, muss man wissen.
(hier sei der aktuelle Artikel auf HWL zum Thema "Sense"erwähnt)

 

[c0stunga]

Danke für deine ausführliche Antwort!
Das gibt auf jeden Fall schon einige Denkanstöße. Mit dem Begriff getrunkte VLANs kann ich noch nichts anfangen, aber da wird es sicherlich reichlich Infos zu geben.

Die zu versorgende Fläche beläuft sich tatsächlich nur auf eine Wohnung, daher werden auch keine mehreren APs benötigt.

Auch gut zu Wissen, dass ich keine explizite DMZ einrichten muss (Hardware Firewall vor und hinter Server), wenn die Zonen klar definiert und die Regeln korrekt angelegt sind.

Allerdings komme ich dann wohl oder übel nicht drum herum einen ordentlichen Router zu kaufen, welchen ich an die 6591 anschließe. Eventuell bastel ich mir dann auch gleich selbst einen zusammen.
Würde es Sinn machen, auf dem Router auch Dinge wie den Reverse Proxy, Adguard und wireguard anzusiedeln?
Oder wäre hier eine klare Trennung sinnvoller?

 

[wddn]

Hallo,

ich klinke mich mal ein mit ein paar Ideen aber auch ein paar Fragen, weil ich vor der gleichen Frage stehe.

Aktuelles Setup (mit ein bisschen potenterer Netzwerk Hardware, welche ich empfehlen kann):

• Internet Modem (Router im Bridge mode)
• HP T620+ mit Proxmox und VMs/LXCs:
  • OPNSense
  • PiHole
  • Omada Controller
  • Home Assistant
• Managed Switch TP-Link TL-SG3210XHP-M2 (2.5Gbit = 2x 10Gbit)
• Unmanaged switch Netgear GS108 - aktuell Sachen wie Mgmt. Ports, Drucker, AV Receiver, IPMI
• 2x EAP670 APs - diese sind VLAN faehig
• TrueNAS Scale Server
• 3 PCs, Tablets, Smartphones fuer private Zwecke
• 1 Firmenlaptop
• 50+ IoT devices inkl. 3x PoE Kameras

Meine Server Dienste moechte ich noch mehr in Richtung "24/7 & kritisch" und "unkritisch" aufteilen - Internetausfall ist was anderes als Jellyfin ist nicht verfuegbar.
Ich habe gerade einen Lenove M720Q mit 8400T bestellt, welchen ich mit 4TB NVME, 64GB RAM und NIC aufruesten moechte um noc hweitere Dienste von meinem TrueNAS Scale zu verlagern - ggf. nur noch Fileserver mit Backup Diensten (zweiter PiHole, zweiter Controller), welche nur bei Bedar faktiviert werden.

Das ganze laeuft aktuell ziemlich gut, aber im Moment noch komplett ohne VLANs. Der Omada Controller vereinfacht die Administration des Switches + APs recht gut. OPNSense ist zuerst verwirrend, aber man hat schon sehr viele Moeglichkeiten. Ich sichere die VMs und LXCs woechentlich auf meinen TrueNAS Server - wenn der Hypervisor mal rumspinnt (letzte Woche ging nichts mehr), dann einfach proxmox clean neu installieren und die VMs/LXC restoren.
Es gibt da eine nette Seite mit Skripten um die Erst-Installation zu vereinfachen: https://tteck.github.io/Proxmox/

Um das Netzwerk sinnvoll zu strukturieren, kommst du m.E. nicht um VLANs und managed Switche herum...

Mein aktueller Plan:

• VLAN 10 - Privat inkl. Admin der ganzen Infrastruktur - Nutzer: meine Frau und ich
  • Wifi - 2.4/5/6 Ghz
  • Vollzugriff
  • DNS: PiHole
• VLAN 20 - Guest
  • nur Wifi 5Ghz
  • nur Internet, aber kein Zugriff auf die anderen VLANs
  • Jellyfin (Filme) und Kavita (Buecher) Bibliotheken erreichbar
  • Firmenlaptop
  • DNS: 8.8.8.8 (Google)
• VLAN 30 - IoT
  • nur Wifi 2.4Ghz + die 3 PoE Kameras
  • kein Internet Zugriff
  • kein Zugriff auf die anderen VLANs ausser Zugriff auf Home Assistant
  • DNS: 8.8.8.8 (Google) notwendig falls nur im Intranet?

Diese VLANs habe ich aktuell in OPNSense angelegt unter dem Parent LAN (=VLAN 1).
Firewall Regeln bin ich gerade am bastelen

@c0stunga - so wuerde ich es in deinem Fall strukturieren:
Einen sparsamen PC fuer OPNSense, oder Proxmox Hypervisor fuer OPNSense + weitere Dienste wie DNS, VPN, Netzwerk Controller
Managed switch kaufen + einen oder mehrere VLAN faehige APs

- FritzBox 6591 weiterhin als Modem und Router - nur MODEM - schau ob es einenBridge mode gibt um double NAT zu vermeiden
- 3 Hypervisors mit Proxmox (Intel Nuc, Dell T30, hp Prodesk) - VLAN 10 aequivalent
- rein interne Server (Home Assistant, mqtt, Truenas, Paperless, AdGuard, MariaDB,...), - VLAN 10 aequivalent
Smart Home Geräte (vor allem WiFi Steckdosen, der Rest läuft über Zigbee) - VLAN 30 aequivalent
- externe Server (Nginx Reverse Proxy, nextcloud, minecraft, bitwarden, meshcentral,...) - evtl. in das Gast Netzwerk integrieren VLAN 20
- Multimedia Geräte (TV, Receiver, Spielekonsolen, ...) - VLAN 10 aequivalent, oder eigenes VLAN fuer Multimedia
- Private Geräte (Laptop, Handys, Tablet, Drucker) - VLAN 10 aequivalent
- Dienst-Laptop - VLAN 20 aequivalent, oder sogar abtrennen

Fragen von meiner Seite:

• Feedback zu der geplanten VLAN Aufteilung?
• das "LAN.net" fuer die privaten Sachen nutzen (kein VLAN 10), oder das LAN.net quasi leer lassen und alles in die VLANs?
• Home Assistant in das IoT VLAN, oder besser im VLAN 10 lassen und dem VLAN 30 nur Zugriff auf die HA IP geben?
• Alle IoT devices kommunizieren mit Home Assistant, auf welchen ich ggf. von unterwegs zugreifen moechte... Wie kann ich die Devices (Tasmota, reolink, Zigbee) updaten wenn nicht am Internet haenge? Oder das Internet auf die paar wenigen Domains einschraenken?

Daran dann ein VLAN fähigen Switch, der die VLANs auf Kupfer so aufteilt, wie es für die einzelnen Systeme passend ist. Auf die vServer würde ich die VLANs getrunkt geben und die erst auf den vServer auseinanderfummeln. So kannst du beliebig viele VLANs machen und bist maximal flexibel.

Ich verstehe leider auch nicht genau was du damit meinst... Meinst du Bonding, oder LAGG des LAN interfaces zum Switch?

Super spannendes Thema und ich hoffe irgendwann mal "fertig zu sein"

 

[underclocker2k4]

Ich verstehe leider auch nicht genau was du damit meinst... Meinst du Bonding, oder LAGG des LAN interfaces zum Switch?

Sprichst du auch das trunking an?
siehe:

VLAN mit Zyxel Switch XGS1250-12

Da ist also mein erste Switch mit VLAN und ich brauch direkt Hilfe, nachdem ich mich erst mal ausgesperrt hatte und diesen Resetten musste. Ich habe kaum Ahnung was VLANs betrifft und Null Erfahrung mit einem Switch. Das Interface sieht noobfreundlich aus. Meine Hauptkiste ist auch noch...

www.hardwareluxx.de

Das gibt auf jeden Fall schon einige Denkanstöße. Mit dem Begriff getrunkte VLANs kann ich noch nichts anfangen, aber da wird es sicherlich reichlich Infos zu geben.

Auch für dich siehe oben.

Wenn man auf einem Switch mehrere VLANs, sagen wir 30 VLANs, hat, dann wird es schwer, wenn man daran 30 Endgeräte angeschlossen hat und diese zusätzlich auch noch weiterleiten will. Will man dann die 30 VLANs dediziert, also mit 30 Leitungen, rausführen? Wie soll das bei einem 48 Port Gerät gehen? Wird reichlich schwer.
Viel cleverer wäre es, wenn man die VLANs alle gebündelt auf einer Leitung rausgeben könnte. (siehe Link)

Und das kann man auch zwischen Endgerät und Switch machen. In aller erster Linie sind damit Server gemeint. Das geht aber selbstverständlich auch für Router. Sie müssen das natürlich mitbringen.
Wenn man das auf Routerebene macht, bietet es sich an, das/die wichtigen VLANs auch dediziert (also physisch) rauszuleiten. So kann man immer noch rankommen, auch wenn der Switch irgendwie ne Macke hat oder man beim trunking was verkackt hat.
Analog auch AP, siehe oben,

Die zu versorgende Fläche beläuft sich tatsächlich nur auf eine Wohnung, daher werden auch keine mehreren APs benötigt.

Auch bei einer Wohnung können mehrere (2) APs Sinn machen. Hängt stark vom Schnitt und vom Material ab.
z.B. sehr langezogen oder überall Stahlbeton und ggf. eher ungünstige Positionsmöglichkeit für den AP.

 

[wddn]

Fragen von meiner Seite:

• Feedback zu der geplanten VLAN Aufteilung?
• das "LAN.net" fuer die privaten Sachen nutzen (kein VLAN 10), oder das LAN.net quasi leer lassen und alles in die VLANs?
• Home Assistant in das IoT VLAN, oder besser im VLAN 10 lassen und dem VLAN 30 nur Zugriff auf die HA IP geben?
• Alle IoT devices kommunizieren mit Home Assistant, auf welchen ich ggf. von unterwegs zugreifen moechte... Wie kann ich die Devices (Tasmota, reolink, Zigbee) updaten wenn nicht am Internet haenge? Oder das Internet auf die paar wenigen Domains einschraenken?

Langer Sonntag mit VLANs

• VLAN 1 - Admin und Netzwerk Infrastruktur
  • Wifi - 2.4/5/6 Ghz
  • Vollzugriff
  • DNS: PiHole
• VLAN 10 - Privat - Laptops, PCs, Tablets, Smartphones - Nutzer: meine Frau und ich
  • Wifi - 2.4/5/6 Ghz
  • Vollzugriff
  • DNS: PiHole
• VLAN 20 - Guest
  • nur Wifi 5Ghz
  • nur Internet, aber kein Zugriff auf die anderen VLANs
  • Jellyfin (Filme) und Kavita (Buecher) Bibliotheken erreichbar
  • Firmenlaptop
  • DNS: 8.8.8.8 (Google)
• VLAN 30 - IoT
  • nur Wifi 2.4Ghz + die 3 PoE Kameras
  • kein Internet Zugriff AUSSER OTA Update fuer tasmota (Domain ueber Firewall freigegeben)
  • kein Zugriff auf die anderen VLANs ausser Zugriff auf Home Assistant (freigegeben in VLAN 1 per FW rule)
  • DNS: 8.8.8.8

Airplay hat ein paar Issues mit VLANs und ich konnte meinen AV Receive rmit Airplay nich terreichen - Loesung: multicast DNS plugin in OPNSense installieren und mDNS in Omada konfigurieren.

 

[nemix]

Warum nimmst du im IoT VLAN nicht auf PIHole als DNS? Zur Not einen eigenen bereitstellen per Docker.
Ansonsten habe ich das genauso wie du aufgebaut mit Unifi Equipment und opnsense. Es ist wirklich verrückt wie "chatty" die ganzen IoT Sachen sind die man sich so angeschafft hat.

 

[wddn]

Warum nimmst du im IoT VLAN nicht auf PIHole als DNS? Zur Not einen eigenen bereitstellen per Docker.

Das IoT VLAN hat gar keinen Internet Zugang mehr - geblockt per Firewall. Zwei Ausnahmen: Tasmota domain fuer Updates und der Home Assistant Server im VLAN 1

Ich habe ja einen PiHole und den habe ic hauch in allen VLANs verfuegbar

 

[myBerg]

Langer Sonntag mit VLANs

• VLAN 1 - Admin und Netzwerk Infrastruktur

Nach meinem Verständnis wird empfohlen als Management VLAN besser ein anderes VLAN als das Default VLAN 1 zu verwenden. Z.B. VLAN2.
Die Management-Interfaces deiner Switches hängst du dann in die 2.

Siehe: https://community.cisco.com/t5/swit...security-switchport-trunk-native/td-p/1325087

 

[underclocker2k4]

Das ist nichts spezielles für MGMT-Netze, sondern ganz allgemein eine Standardvorgehensweise.

VLAN1 ist das Default VLAN1, wo alles reinkommt, was keine Verwendung hat/unkonfiguriert ist. Und da jedes andere VLAN, bzw. die Clients daran, eben entsprechend konfiguriert ist, sollte sich da im Normalfall gar nichts befinden.
Daher kann man das VLAN1 dann auch dafür nutzen um zu monitoren, ob irgendwie Pakete im Netz sind, die da garnicht hingehören. So stellt man z.B. gerne als native VLAN auf Trunks ein, dass ungetagte Pakete ins VLAN1 sollen. Holt man VLAN1 dann irgendwo raus, kann man das gesamte Netz dahingehend überwachen. (bedingt natürlich, dass das VLAN1 auch entsprechend gestretcht ist)

 

[wddn]

Das ist nichts spezielles für MGMT-Netze, sondern ganz allgemein eine Standardvorgehensweise.

VLAN1 ist das Default VLAN1, wo alles reinkommt, was keine Verwendung hat/unkonfiguriert ist. Und da jedes andere VLAN, bzw. die Clients daran, eben entsprechend konfiguriert ist, sollte sich da im Normalfall gar nichts befinden.
Daher kann man das VLAN1 dann auch dafür nutzen um zu monitoren, ob irgendwie Pakete im Netz sind, die da garnicht hingehören. So stellt man z.B. gerne als native VLAN auf Trunks ein, dass ungetagte Pakete ins VLAN1 sollen. Holt man VLAN1 dann irgendwo raus, kann man das gesamte Netz dahingehend überwachen. (bedingt natürlich, dass das VLAN1 auch entsprechend gestretcht ist)

Ich bin gerade dabei dein Kommentar zu verarbeiten.

Ich habe eine Modem, wo das Signal reinkommt - aktuell 192.168.8.1
Ich habe einen Proxmox Server - aktuell 192.168.8.2
Ich habe darin eine VM mit OPNSense - aktuell 192.168.8.3
Dahinter verschiedne VMS, Dienste, welche vom DHCP Server in OPNSense ihre IP bekommen.

Ich moechte ein VLAN 100 einrichten fuer die Server Dienste.

Sollte ich schon das Modem in VLAN 100 packen, oder proxmox, oder OPNSense - dahinter kann alles in VLAN 100

 

[underclocker2k4]

Ich würde das Modem und das WAN Interface des OPNsense in ein isoliertes Netz packen.
Analog zu dem, wie man es physisch auch bauen würde. Das sollte sich unter Proxmox irgendwie bewerkstelligen lassen.
Das LAN Interface des OPNsense stellt dann eben LAN mit allen Diensten bereit. Hier ggf. noch entsprechend für einzelne Dienste mit VLANs segmentiert.
In diesen LAN Interfaces kommt dann eben alles rein, was LAN ist (entsprechend der Segmente) und eines davon ist das MGMT-Interface des Proxmox. Bei letzterem würde ich darauf achten, dass dies eher nicht virtualisiert ist, sondern eben klassisch physisch.
Die LANs(könnte auch das WAN enthalten) kommen mit VLANs aus dem OPNsense auf den Switch und der teilt das auf. Eines davon ist dann das Proxmox VLAN und ein physischer Port (im entsprechenden VLAN) geht dann auf den Proxmox für das MGMT-Interface.

 

[wddn]

Das Bild ist von jemandem auf Reddit.

In meinem Fall:
Modem und WAN Port in VLAN 1
LAN Port und Services in VLAN 100 (Core)
Inkl Proxmox Mgmt Port (den habe ich aktuell schon separiert vom LAN Port)

Home User: VLAN 200
Guests: VLAN 300
IoT: VLAN 400

Habe ich das richtig verstanden ?