Hallo,
vielleicht könnt ihr mir weiterhelfen. Momentan sind im heimischen Netzwerk alle Geräte, auch die IoT-Geräte im Hauptnetz. Auf lange Sicht möchte ich die Sicherheit erhöhen und die IoT-Geräte in einem abgetrennten Netz laufen lassen.
Die jetzige Situation sieht so aus: Einfamilienhaus mit Keller und Dachboden, also 4 Etagen. Eine Fritzbox 5530 versorgt mich über Glasfaser mit einem 100er Netz.
Die Wlan Versorgung:
Keller: 1 Access Point
EG und Garten: Fritzbox 5530
OG und Dachgeschoss 2 Access Points
Im Haushalt sind mehrere PCs und Laptops und eine NAS von Synology (bislang nur als Fotoserver verwendet - nur netzintern) in Gebrauch. Dann habe ich noch eine Hausautomation mit Home Assistant (auf einem Kleinrechner) mit einigen Shellys, ESPHome-Geräte, EBUS, Zigbee und Tasmota. Zusätzlich noch einen Fernseher am LAN mit Sonos Anlage und eine PV-Anlage von Huawei und Hoymiles.
Wenn ich im Internet lese, werden immer wieder VLANs empfohlen um das IoT-Netzt vom sonstigen Netz zu trennen. Ich habe kein spezielles vertieftes Wissen über Netzwerke und habe die letzten Jahre nur die bestehende Anlage konfiguriert. Alle verwendeten IP-Adresse, die fest vergeben worden sind, sind dokumentiert.
Wie würdet ihr vorgehen. Mir ist bewusst, dass ich mich natürlich einarbeiten muss. Das neue System sollte aber nicht zu kompliziert werden, um die Fehleranfälligkeit nicht unnötig zu vergrößern.
Sind die Vlans der richtige Ansatz? Welche Hartware würdet ihr mir empfehlen?
Ja, es macht durchaus Sinn sein Netzwerk zu segmentieren. Auf diese Weise kann man eindämmen, wer im Netzwerk untereinander reden kann.
Ich habe eine OPNSense, die mir verschiedene VLAN aufspannt. Darunter eines für IoT-Geräte. Ich würde grundsätzlich also ein privates und ein IoT-VLAN erstellen. Bei Bedarf noch ein VLAN für Gäste, sofern man diesen Internet zur Verfügung stellen möchte
Um dieses Ziel zu erreichen brauchst du einen Router, der VLAN kann. Da gibt es bspw.
Die Dinger von Ubiquiti könnten das sicherlich auch, aber die habe ich nicht und werden mir auch nicht ins Haus kommen. Zusätzlich brauchst du einen managed Switch. Das ist ein kluger Switch, an dem du definieren kannst an welchem Port welches VLAN rauskommt.
Für WiFi gibt es zwei Möglichkeiten: Einfache Access Points, die nur ein VLAN können. Diese müssten dann direkt mit einem Port auf dem Switch, der das entsprechende VLAN bereitstellt, verbunden werden. Oder Access Points, die VLAN fähig sind und verschiedene VLAN als eigenes WiFi-Netz zur Verfügung stellen können.
Das Wlan sollte als Mesh funktionieren.
Was die LAN Verkabelung betrifft, müsste ich im Haus mit mindestens zwei kluger Switches hintereinander arbeiten.
Könntest du bitte berichten was für dich gegen Ubiquiti spricht und nach welchen Kriterien ich mich zwischen OPNsense oder pFSense oder OpenWrt entscheiden könnte?
ich habe mein Netzwerk vor einiger Zeit von der Fritzbox auf Unifi (Ubiquiti) umgestellt und bin bislang sehr zufrieden.
Der größte Vorteil für mich ist die Verwaltung des Netzwerks über Unifi-OS (im Router) ohne “Basteleien” mit alternativer Router-Software. V-Lans’s anlegen, Rechte vergeben usw. ist auch für “Nicht-Netzwerk-Nerd’s” unproblematisch. Selbst die preiswerten Mini-Switche (5-Port) sind managed.
Nicht zu vernachlässigen ist allerdings der Kostenfaktor, wenn Du Deine bestehende Infrastruktur (Router, Switche, Accesspoints) auf Unifi umstellst.
Aber für mich war halt auch der wichtigste Punkt, dass die Fritzbox nativ kein V-Lan beherrscht.
VLANS machen nur dann Sinn, wenn entsprechende Access Listen zum Einsatz kommen.
Dies erfordert intensive Netzwerkkenntnisse, denn bei Fehlkonfigurationen ist es eine Gratwanderung zwischen stumpf gekoppelten Netzen ohne Schutz bzw. Funktionalitätsverlust.
Insofern gilt hier das Gleiche wie der Kommentar, den ich in einem änlichen Thread gerade geschrieben habe.
ERSTMAL klären welches Ziel verfolgt wird UND ERST DANN über eine Netzarchitektur nachdenken.
Eine VLAN Architektur ist nicht per se sicherer als ein flaches Netz. Erst in der Kombination mit weiteren Maßnahmen stellt sich etwas mehr Sicherheit ein. Allerdings nur dann, wenn man weis was man tut …
Interessante Behauptung. Wenn man die Netze schlicht von einander trennen möchte, wie oben erwähnt, zum Beispiel in das eigene und ein Gast Netz… Was für Access Listen sollte es da geben. (Und was bitte soll das sein?)
IoT in ein VLAN verbannen. HA ins reguläre VLAN routen und Ruhe.
Man muss es nun einmal nicht komplizierter machen als nötig.
Für mich war und ist es eine reine Philosophie-Frage. Da ich Freund von Open Source bin, nutze ich vorwiegend auch dieses. Daher habe ich es nicht für mich in Betracht gezogen.
OPNsense entstammt von pFSense und wird in Europa entwickelt. Und die Oberfläche ist moderner. OpenWrt ist auf vielen Routern lauffähig, möglicherweise auch auf dem, den man schon hat. Deine Fritzbox ist leider nicht dabei.
Aufgrund meines Jobs hab ich sehr viel mit Network und Security-Engieers zu tun, die auch teilweise mit HA ihr zuHause smart machen und bei denen ist der Tenor eher der, das sich VLANs im Heimnetz nicht lohnen und von meiner Logik her sehe ich das genauso.
Es fängt nämlich schon bei der Defintion an was ein IoT Device ist bzw. was man als solches betitelt. Die meisten machen VLANs auf um das Netz zu trennen und zum Beispiel aus dem Internet fern zu halten. Ok, was ist jetzt eine Alexa? IoT oder nicht? Wenn die im IoT Netz ist muss die trotzdem ins Internet.
Oder ein Receiver wenn der Internetradio kann oder sowas. Da muss man dann also weiter differenzieren. Dann muss wirklich jedes Netzwerk-Gerät mit VLANs und Tagging umgehen können, jeder Switch, jeder AccessPoint, der Router. Kostet Geld…wofür?
Ich hab es in meinem Fall, da ich einen OpenWrt Router hab mit einem 23iger statt des klassischen 24iger Subnetz gelöst, und lasse die IoT Hälfte an der Firewall auflaufen. Auch wenn ich hier überall Mikrotik verbaut hab die alle VLANs können ist das einfach zu viel administrativer Aufwand weil sich die Grenzen doch immer wieder vermischen.
In der Regel ist mit sinnvollen Firewall-Regeln dasselbe Ergebnis zu erreichen ohne das „kleine“ Netz auch noch zerhackstückeln zu müssen.
VLAN sind, einfach gesagt, virtuelle Netzwerke, die virtuell getrennt von anderen Netzwerken sind.
Somit kannst Du im VLAN Geräte so betreiben, dass diese andere Geräte, in anderen VLAN nicht sehen können. Ausgehend davon, dass wenn Dein IoT Gerät Amok läuft, es Deinen wichtigen Geräten nichts antun kann, weil es diese im Netzwerk nicht sehen kann. (Vereinfacht dargestellt…)
Häufig macht man es daher so, dass IoT Geräte in ein getrenntes VLAN kommen und meist dann auch so, dass man dem gesamten VLAN (und damit allen Geräten darin) den Zugriff aufs Internet verweigert.
Und dann kommen die Ausnahmen.
So kann man dann eben ein Routing / eine Ausnahme einrichten, dass der Home Assistant auch aus anderen VLANs erreichbar ist und er ins Internet darf. Oder eben auch, dass eine PV Anlage ins Internet kann.
Genau so würde ich es mit einer Alexa machen. Nur eben, dass ich prinzipiell keine Alexa besitze.
Aber gerade ein solches Gerät würde ich möglichst weit von meinen Geräten mit sensiblen Daten fernhalten wollen.
Danke für die Antworten. Das mit dem nicht verstehen hatte sich auf das Aufteilen in Subnetze bezogen. Da war ich wohl mehrdeutig.
Ist damit gemeint, dass bei den Geräten in den Lan-Eintellungen zwei unterschiedliche Netze eingegeben werden und sie sich deshalb nicht sehen können? Geht das auch bei der Fritzbox? Bislang war ich immer der Meinung, dass das die Fritzbox nicht kann.
Sollte dieser Weg funktionieren, müsste ich für alle Lan und alle WLAN Geräte die Netzwerkeinstellung anpassen.
Nachtrag: Für das IoT-Netz kann ich nicht das Gastnetz der Fritzbox nehmen, da einige Geräte feste IP-Adressen benötigen.
Nicht ganz
Bei VLANs trägst je nach VLAN verschiedene Konfigs in die Netzwerkeinstellungen des Gerätes ein, abgesehen von Router und DNS.
Wenn du dein Netz einfach nur grösser machst zum Beispiel von einem 24er (hat 255 IP-Adressen) zu einem 23iger (hat 512 IP-Adressen) musst du nur die Subnetz-Maske anpassen. Bei einem 24er ist es die 255.255.255.0, bei einem 23er die 255.255.254.0, das aber bei allen Geräten. Ob die Fritzbox so was kann weiss ich nicht, hab so ein Ding schon seit Jahren nicht mehr gesehen.
Aber ich rate davon ab fixe IPs zu vergeben und stattdessen mit fixen Zuweisungen im Router zu arbeiten. Geräte die kein DHCP können gibt es seit 1990 nicht mehr
Das mit den fixen IPs ist auch oldscool, die Router und Geräte heutzutage ziehen die ihre IP zuverlässig und innert Millisekunden.
Ich habe das Gefühl, dass ich mit meiner Fritzbox nicht weiterkomme.
Aus euren Beiträgen habe ich herausgelesen, dass ich drei Möglichkeiten habe:
Ich lasse alles wie es ist. Die IOT Geräte, das Arbeitszimmer und die sonstigen Geräte im Haus sind alle im selben Netz - was ich unschön finde
Ich arbeite mit Subnetzen im Lan und Wlan. Das kann meine Fritzbox nicht (vermute ich jedenfalls)
Ich arbeite mit VLANs und such ein einfach zu wartendes System und muss mich einarbeiten und es pflegen.
(OPNsense oder pFSense oder OpenWrt oder Ubiquiti)
Zu 1. Ja, mit der Fritzbox wäre das die einzige Option
Zu 2. Subnetze sind nicht von LAN oder WLAN abhängig, sind sind einfach nur grösser oder kleiner, das geht auch.
Im Fall des Fritzbox-Netzes wäre ein 23er Netz von 192.168.178.1 bis 192.168.179.255
Dann könntest du zum Beispiel an einer Firewall sagen: Das Netz 192.168.179.0/24 darf nicht mit 192.168.178.0/24 reden.
Nein, die FRITZ!Box kann, was Netzwerk angeht, nicht wirklich viel.
PfSense / OPNSense sind sicher eher nicht, was Du möchtest. Eine Firewall Verwaltung wäre noch mal zwei und mehr Schritte weiter.
Für VLAN, was zur Segmentierung des Netzes das sinnvollste wäre, braucht es richtige Netzwerktechnik.
Verschiedene Sub-Netze wären sicher ebenfalls nicht, was Du möchtest. Oder laufen Deine IoT Geräte komplett separat, ohne dass Du von irgendwo drauf zugreifen willst?
Unifi Geräte haben inzwischen einen grundsätzlichen Cloudzwang und sind (meiner Meinung nach) ihr Geld nicht wert.
TP Link Omada Geräte wären, wenn Du ein SDN (Software Defined Netzwerk) aufbauen möchtest, für den Einstieg sicher günstiger in der Hardware und für Deine Zwecke mehr als ausreichend. (Hint: Gibt viel gebrauchte Hardware)
Vorher solltest Du Dich mit der Theorie, die was VLANs sind, auseinandersetzen. Bei YouTube gibt es da schöne Erklärungen.
Da muss ich widersprechen, wenn du nichts einstellst um den Verkehr zu regeln reden alle Geräte in allen Subnetzen miteinander so lange du den selben Router nutzt, das ist ja sein Job.
Bei mir können die Geräte intern mit einander reden, aber der IoT Teil kommt nicht ins Internet.
Da ich im IoT-Subnet nur Shelly, Reolink-Cams und ESPHome habe muss ich mir nicht solche Sorgen machen das die Teile meine sensiblen Daten abziehen und irgendwo hinschicken. Was ja der einzige Grund ist die Dinger aus dem normalen Netz rauszuhalten. Wenn jemand von aussen reinkommt ist das Ausschalten eines Lichtes dann mein geringstes Problem
Von meinen IoT Geräten, die an meinem Home Assistant hängen, muss (außer beim Update) fast kein Gerät nach außen gehen, da ich aus dem heimischen Netz darauf zugreife. Die Ausnahme sind die beiden PV-Anlagen. Sie liefern Daten intern direkt an Home Assistant. Zusätzlich müssen sie noch an der Cloud des Herstellers hängen.
Dann sind noch der Fernseher (im Lan) und die Sonos Musikanlage gekoppelt und brauchen beide Internet. Ich muss auf den Fernseher nur über die Fernbedienung zugreifen. Bei der Sonos-Anlage habe ich die Möglichkeit sie über die Fernbedienung des Fernsehers, über ein Handy im gleichen Netz oder über einen Fernzugriff aus dem Internet zu bedienen. Der Fernzugriff aus dem Internet würde reichen.
Irgendwann wird noch ein Modul von Tibber hinzukommen um unseren Stromzähler auszulesen. Der braucht dann auch Internetzugang.
Dann stellt sich noch die Frage, wie mit dem Drucker (am Lan: HP OfficeJet Pro 9022) zu verfahren ist. Ich lese im Internet, dass sie oftmals ein veraltetes Netzinterface haben. Das kann ich natürlich nicht selbst beurteilen.
Puh, je länger ich darüber nachdenke, um so mehr Punkte finde ich, an die ich denken muss. Parallel zu diesen Posts lese ich viel im Internet und erstelle eine Dokumentation mit allen Geräten und den Zugriffsbedinungen.
Meine momentane Infrastruktur sieht wie folgt aus:
Glasfaseranschluss im Keller. Ein Glasfaserkabel geht im Wohnzimmer an die FRITZ!Box 5530 Fiber
Ein Lankabel geht dann wieder in den Keller an einen “dummen” 16er Switch. Dort ist auch ein Acces Point für den Keller.
Von dem Switch geht ein Lankabel ins 1.OG in Arbeitszimmer auf einen 8er Switch. An dem Switch hängen zwei Acces Points.
Alle Lan Geräte hängen an den beiden Switches und die Wlan Geräte sind im Wlan-Mesh
