Setup VLANs (vor allem für 2 WLANs)?

[besterino]

Irgendwie fehlt mir hier ein "Laber-Thread", wo man mal relativ unauffällig dumme Fragen stellen kann...

Gibt's aber nicht, also muss ich mich outen und meine dumme Fragen in einem eigenen Thread stellen. Ich habe bisher um VLANs einen weiten Bogen gemacht, vor allem, weil ich sie - zumindest meiner Meinung nach - nicht brauchte. Nun bin ich aber dem Smart Home Wahn verfallen und habe diverse Geräte, die jetzt in meinem ganz normalen 08/15 WLAN hängen. Nun würde ich aber diese Geräte bzw. mein ganzes Smart Home Geraffel gerne in ein eigenes, separates Netz bringen. (Bonus-Überlegung: Wenn ich schon dabei bin, kann ich bei der Gelegenheit eigentlich auch (endlich) ein eigenes Management Netz aufziehen - ist aber Prio 2b).

Ich kann gerade irgendwie mein Ei nicht legen.

Zum einen stelle ich mir die Frage, wie ich am einfachsten ein separates WLAN fürs Smart Home aufziehe, nennen wir es mal "IoT-Netz". Aktuell wird das WLAN stumpf von einer Fritzbox gesteuert. Daran hängen zwei Fritz-"APs" (1750E) und zwei Ubiquity UAP-AC-Pro, die halt zusammen das heutige WLAN aufspannen.

Zum anderen habe ich hinten am Backbone diverse Geräte, die zum einen mit dem Smart Home Geraffel kommunizieren müssen, zum anderen aber auch von meinem normalen Netz (nennen wir es "Heimnetz" aus zugänglich sein müssen. Bestes Beispiel wäre vermutlich die Home Assistant VM, die eben über das IoT-Netz die ganzen Geräte steuern muss, auf die aber andererseit auch für die Clients erreichbar sein muss.

Zentraler Switch ist ein Aruba 1930, der auch VLANs kann. Alle APs (Fritz wie Ubiquity) hängen entweder direkt an diesem Switch oder könnte ich direkt dran hängen. Die sonstigen Geräte hängen allerdings zum Teil auch an dummen "nicht-VLAN fähigen" Switches.

Was mach ich am besten & geht das idealerweise, ohne neue Hardware anzuschaffen bzw. zusätzliche Stromverbraucher?

 

[underclocker2k4]

VLANs ohne Routing dazwischen bringt nix. (dann hast du mehrere Netz, die aber nicht miteinander sprechen können, maximal Security, keine Funktion)
VLANs mit Routing sind einfach nur frei mit einander verbundene Netzbereiche (Netze) die frei miteinander kommunizieren können, zumindest alles was auf >=L3 arbeitet.
VLANs mit Abkapselung brauchen eine Komponente, die in der Lage ist, die Kommunikation auf dem ein oder anderen Weg zu reglementieren.
ACLs auf IP-Basis können eben nur IP1<->IP2 ja oder nein, unabhängig des genutzten Dienstes (SMB, HTTP...)
ACLs auf Port Basis können zumindest gewisse Dienste voneinander Unterscheiden und somit reglementieren.
Eine Firewall kann von L2-L7 (je nachdem) reglementieren.

Sprich VLANs alleine bringen nur ein andere Netzstruktur, aber sonst erstmal garnix.

 

[IronAge]

Mehrere SSID/WLAN, Layer 2 Isolation & Whitelist mit den Ubiquiti, Fritzbox und sowieso AVM AP sind nicht so wirklich das passende Equipment.

 

[Eye-Q]

Ohne zusätzlich Hardware anzuschaffen wird das nichts, Du brauchst mindestens einen Router, der VLAN kann und auch eine eingebaute Firewall hat, das haben aber VLAN-fähige Router für den Heimgebrauch in der Regel. Da Du schon Ubiquiti-APs hast, wäre es meines Erachtens nach sinnvoll, auch einen Ubiquiti-Router einzusetzen, dann hast Du zumindest alle Ubiquiti-Geräte in einer Weboberfläche vereint und brauchst nicht auf fünf Weboberflächen, um ein weiteres VLAN hinzuzufügen oder die vorhandenen VLANs anzupassen.

Nun ist eben die Frage, wie viel zukünftig noch geplant ist bzw. sein könnte, denn z.B. jetzt einen Router anzuschaffen, der nur 1 Gbit/s-Anschlüsse hat, obwohl ggf. ein NAS, was mehr als 1 Gbit/s kann, in ein eigenes VLAN/Netzsegment gepackt werden soll, wäre dementsprechend kurzsichtig. Die Aruba 1930 gibt es mit und ohne SFP+-Ports, welchen hast Du da genau? Wenn der mit SFP+-Ports sein sollte, könnte zumindest der Router mit mehr als 1 Gbit/s am Switch angeschlossen werden, so dass auch mehrere 1 Gbit/s-Übertragungen unter den VLANs untereinander nicht vom Router ausgebremst werden.

P.S.: dieses Thema ist besser im Netzwerk-Unterforum aufgehoben.

 

[Supaman]

Du brauchst zu allererst eine Router Instanz, die regelt welche VLAN von wo nach wo darf oder nicht darf. Das kannst Du als VM z.B. mit PFsense oder OPNsense machen. Die benutzerfreundlicheste Variante wäre ein Unifi Router, u.a. da Du schon Unifi einsetzt. Ein Unifi Cloud Gateway Ultra kostet ~100 Euro.

 

[besterino]

Wenn dann nur was ohne Cloud. Wäre ne VM denn dafür denkbar? Und sinnvoll? Wie funktioniert da die Logik: eine NIC mit allen VLANs zur VM und die routed dann zwischen den VLANs?

@Eye-Q: die Zukunft ist jetzt. Aber mein 100Gbit-LAN bleibt physisch getrennt… das

 

[Eye-Q]

Wenn dann nur was ohne Cloud. Wäre ne VM denn dafür denkbar?

Ja, prinzipiell schon. Es gibt von Ubiquiti sogar einen Unifi OS Server, der natürlich auch in einer VM installiert werden kann. Inwiefern der dann mit VLANs umgehen kann, konnte ich aber auf die Schnelle nicht sehen, das wäre aber mein erster Lösungsansatz mit den Ubiquiti-APs. Da musst Du dann aber schauen, wie das in der Virtualisierungssoftware eingestellt werden muss, dass auch alle VLANs an die VM durchgereicht werden, außer Du reichst eine physische NIC direkt ohne Virtualisierungsschicht an die VM weiter.

Und sinnvoll?

Wenn Du keine neue Hardware anschaffen möchtest, dann ja.

Wie funktioniert da die Logik: eine NIC mit allen VLANs zur VM und die routed dann zwischen den VLANs?

Ja, ich würde da aber zwei NICs verwenden: eine für eine dedizierte Verbindung zur Fritzbox (dann kann definitiv nichts auch nur versehentlich direkt über die Fritzbox ins Internet) und die andere für das Routing und Firewalling zwischen den internen VLANs.

 

[besterino]

Ich fange mal an…

 

[AliManali]

Hast/hattest Du nicht diverse dicke Server? Wie bist Du bislang nur um einen VLAN fähigen Router oder gar eine Firewall herum gekommen? Ganz ohne DMZ? Oder waren/sind die nicht von aussen erreichbar?

 

[underclocker2k4]

Nur weil man Server hat, bedeutet das nicht, dass man auch getrennte Netzwerke oder gar ne DMZ braucht.
Da gibt es schon in der Arbeitswelt keine Kausalität zu und im Privaten schon 3x nicht.

Das, was er da hat, ist ziemlich übliche und vor allem auch ausreichend in den meisten Fällen.

 

[AliManali]

Sry, bin da vielleicht etwas vorbelastet und mittlerweile auch verwöhnt. Wenn ich ehrlich bin, hatten wir die ersten Server sogar ganz ohne Router betrieben. Die guten alten Zeiten mit NT 4.0 Backoffice Server, w2k, mit Plesk und allem. Unglaublich was wir uns damals alles eingefangen hatten. War also damals schon ein Honeypot, wenn auch eher unfreiwillig. Aber jedem Tierchen sein Pläsierchen. In meiner "Arbeitswelt" ist das halt nicht weg zu denken, wenn man mit Servern hantiert, die von aussen erreichbar sind.

Mittlerweile traue ich nicht mal mehr meinen Kumpels. Der Copilot Seat hat schon zwei VLANs, je nach dem ob er als Copilot Seat oder Lab Rechner dient. Trau schau wem, hatte schon ganz schlimme Finger aka sogenannte Freunde an meiner IT. Da rüste ich lieber mit zu vielen VLANs auf, als dass ich meinen Minecraft Server direkt ins LAN stelle.

Hatte mir dann mal meine erste Firewall und Switch hin gestellt, und bisschen das LAN gesnifft. Meinte dann zum langjährigem Freund, Du da geht ganz merkwürdiger Verkehr von Deinem Rechner dauernd nach Russland. Er hat sich dann reichlich auffällig benommen, also hab ich dann mal genauer nachgesehen, was der eigentlich so treibt auf meiner (Business-) Leitung. Musste dann kurzerhand mal seinen Rechner auf den Polizeiposten bringen, das war dann sogar mir zu viel. Liegt mir ja fern, irgendwelche Leute auszuspionieren oder gar anzuzeigen, aber der liess mir echt keine andere Wahl. Und nein, das war kein Random Porn von emule. Der hat sich da ganz gezielt eine Sammlung mit Baby Bildern angelegt. Ne echt, ohne Scheiss. Also so Wickeltischfotos. Da steht der voll drauf. Könnte da noch paar lustige Storys dazu erzählen, aba lass mal, ist bald 20 Jahre her...

Und auch sonst hatte ich schon reichlich merkwürdiges Zeugs erlebt. Von daher befasse ich mich halt bisschen mit Security, so gut es geht im Hobbybereich. Bin auch nicht so ein Spacken, der alles und jeden protokolliert. Da läuft der Grossteil im RAM ab, wo ich bisschen ein Auge drauf habe. Bei einigen tausend Nutzern pro Tag, die man zum Teil auch supportet, will man es auch gar nicht zu genau wissen. Solange es mich nicht selber tangiert, bin ich da nicht drauf aus, jemanden auszuspionieren.

Kurz: Server von aussen erreichbar im LAN für mich ein nogo. Aber das muss jeder selber wissen.

 

[Supaman]

Wenn dann nur was ohne Cloud. Wäre ne VM denn dafür denkbar? Und sinnvoll? Wie funktioniert da die Logik: eine NIC mit allen VLANs zur VM und die routed dann zwischen den VLANs?

@Eye-Q: die Zukunft ist jetzt. Aber mein 100Gbit-LAN bleibt physisch getrennt… das

Cloud ist bei Unifi optional - Du kannst das Gerät mit einem Account verknüpfen, und dann von überall administrieren, musst Du aber nicht. Der Unfi UOS Server ist nur die Network Applicationohne Firewall, und kann als VM betrieben werden. Oder halt eine PFsense/OPNsense als VM.

Man kann *alles* über einen LAN Adapter ziehen, schöne finde ich es, wenn man wenigstens 2 physische Interfaces verwendet - LAN und WAN. Dann hat man kalre trennung von in und out, dann vermdeit man "versehentlich" mal alles ins WAN zu hängen.

 

[VirtuGuy]

Was mach ich am besten & geht das idealerweise, ohne neue Hardware anzuschaffen bzw. zusätzliche Stromverbraucher?

du kannst opnsense o.ä. auch als VM laufen lassen und dich damit mal spielen.

 

[sch4kal]

Cloud ist bei Unifi optional - Du kannst das Gerät mit einem Account verknüpfen, und dann von überall administrieren, musst Du aber nicht. Der Unfi UOS Server ist nur die Network Applicationohne Firewall, und kann als VM betrieben werden. Oder halt eine PFsense/OPNsense als VM.

Trotzdem nicht vergessen, wenn man nicht will dass das Ubishitty Zeug nach Hause telefoniert, den Internetzugang für den UServer UND alles andere Zeug davon zu sperren und nur bei Bedarf freizugeben.

 

[besterino]

Ich denk in der Tat, ich fange mal mit einer VM an. Für meine Zwecke sollte das eigentlich locker reichen und die Angriffsvektoren auf mein bzw. in meinem Netzwerk sind überschaubar (keine Zwielichtigen Gestalten, nur ganz wenige Services mit ihren jeweiligen Ports exposed nämlich derzeit nur noch Teamspeak, Nextcloud und VPN). D.h. mein Risiko hängt halt an der Verwundbarkeit dieser Services - ist zwar nicht Null aber wo ist es das schon….

Was wäre denn Eure Empfehlung? opnsense? pfsense? Mikrotik RouterOS? VyOS? IPFire? sophos (scheint es immer noch zu geben)? Ganz was anderes? Hab mal bisserl quergelesen und tendiere aktuell zu opnsense.

wenigstens 2 physische Interfaces

Joah, aber wenn man das verfummelt ist auch alles möglich von Loop bis Split Brain. Been there, done that. Fairerweise aber auch inklusive sich selbst aussperren.

 

[BobbyD]

Nextcloud

Du exposed also deine Nextcloud. Ein Grund mehr, was vernünftiges davor zu setzen. Würde dafür zur OPNsense greifen und Blocklisten einrichten, z.B. firehol. Was Du auch machen kannst, die Fritzbox weiterhin ein LAN aufspannen lassen und dann die OPNsense als Exposed Host konfigurieren, dann haste das Fritz Netz immer noch als Notnagel.

 

[danielmayeragain]

Moinsen, ich müsste einen neuen Benutzernamen ziehen, bin aber der 100/800G-Mensch.

Ich nutze pfsense auf einer virtuellen Maschine, die mit dedizierten LAN -Port (10G SR) an den Switch geht, in dem wiederum direkt der GPON vom Telekom-Anschluss steckt.
Vlans 100,200...600, von dem aktuell IOT-Extern (Internet-only: Radio, Siemens@home etc), IOT-intern (kein Web Zugang: Shelly, HMIP, Entkalker ,etc), Gästenetz, normales Netz.
Bei pfsense Recht simpel, DHCP und Routing halbwegs intuitiv einstellbar.

Nachtrag: ich finde haptisch pfsense besser als opnsense, bei opnsense kann man aber kostenlos die ETPRo-Blocklisten bekommen.