Heimnetzwerk neu gestalten

Hallo zusammen. Wie der Titel schon sagt, möchte ich gerne mein Heimnetzwerk neu gestalten. Ich würde es gerne mit einer Firewall wie bspw. pfsense absichern und würde das Netzwerk gerne in VLAN´s aufteilen. Ich habe ungefähr 50 Smart Home Geräte wie - Shellys - Homematic ip Geräte - Zigbee Lichtschalter - Ikea Tradefry etc. Ich bin aber leider kein “Kenner” auf dem Gebiet und möchte gerne hier Denkanstöße erbitten Ist das mit meinem Setup überhaupt möglich? Wie könnte man das in VLAN´s aufteilen, so dass der Laptop im Wohnzimmer auch auf alle Geräte (auch im Keller) zugreifen kann. Und das die Geräte untereinander kommunizieren können. Ist ein pfsense Router hinter Modem und Fritzbox sinnvoll? Vielleicht könnt ihr mir ja da einige Ratschläge geben?! Vielen Dank im Vorraus.

Netzwerk momentan1920×1307 142 KB

Netzwerk Zukunft1920×1335 145 KB

Ich bin über jede Hilfe und Meinung dankbar.

Ich frage mich: Was für eine Aufgabe hat dann die FritzBox, da sie ja, wie ich der Skizze entnehme, keine Modemfunktion hat? Sollte sie keine Modemfunktion haben, würde ich sie durch pfsense ersetzen. Funktionieren würde es, nur sinnig empfinde ich es so nicht. Sollte sie fürs Telefon Verwendung finden, muss sie ja auch nicht der Hauptrouter sein.

Das muss dann in den Firewallregeln entsprechend geregelt werden. Ich selber nutze OPNSense und habe mein Netzwerk ebenso in VLAN unterteilt. Bspw. von meinem Privatrechner komme ich auch auf jedes Gerät im IoT-Netz, via WireGuard-VPN aber nur auf bestimmte. Mit einer solchen Lösung wie pfsense kann man das sehr gut einstellen, wer wen erreichen kann.

Als, wenn nutze lieber die OPNSense, hat die moderne Oberfläche und wird in Niederland/Deutschland entwickelt und nicht in USA.
Dann kann auch den PiHole entsorgen und lässt einfach AdGuard direkt auf der OPNSense laufen, das vereinfacht einiges an Konfiguration - aber nur so mein Tip.

Wenn du VLAN’s einrichten willst, ist die erste Bedingen mal, das deine Switche über Haupt VLAN-tauglich sind, ansonsten geht das ganze nicht.

Alles weite, was Kommnunikation zwischen VLAN betrifft, regelt dann die OPNSense/pfSense per Firewall-Regeln.
Aber denke auch dran, wenn man sich mit sowas beschöftigt, sollten man schon etwas Vorkenntnisse in Sachen Neztwekr, IP-Adressen usw. haben.
Dennoch ist gerade bei ner Firewall die Lernkurve sehr steil.

cool, vielen Dank schon mal, für eure Teilnahme und die Ideen. Das mit opensense anstatt pfsense ist eine sehr gute Idee, die ich wohl übernehmen werde. Was Gunter sagte zwecks FritzBox. Ich werde dann wohl das Modem entsorgen und die FritzBox als Modem laufen lassen. Also werde ich erst einmal mehrere Switche besorgen müssen, die auch alle VLAN können. Was kann man denn alles so als Open- / pfsense Router nehmen? Ich möchte jetzt kein Vermögen ausgeben müssen mit Switchen und neuem Router etc. Danke euch schon mal, für die Anregungen.

Bevor man so eine Neugestaltung macht sollte man sich im Klaren sein WOZU.
Idealweise zunächt in einem Pflichtenheft.

ERST DANN würde ich mir über die Netzarchitektur Gedanken machen.

Insbesondere beim Einsatz der Firewall würde mich interessieren wogegen sie schützen soll?

Wie ich schon des Öfteren im Inet gelesen habe, sind wohl Smart Home Geräte sehr anfällig gegen naja, “Angriffe” von Außen. Im eigentlichen Sinne eght es mir auch um das persönliche Gefühl. Ich würde mich einfach besser damit fühlen, wenn ich wüsste, dass mein Netzwerk abgesichert ist. Ich glaube beim jetzigen Zustand alleine mit der Firewall der FritzBox oder Windows, fühle ich mich nicht gut mit dem Gedanken. Ich kann mich natürlich auch irren und wenn mir jemand sagen würde (der sich mit Netzwerktechnik auskennt), das reicht für den Heimgebrauch aus, dann wäre ich auch schon beruhigter glaube ich.

Und, was ich auch noch vergessen habe. Es macht mir einfach Spaß sich damit zu beschäftigen und im eigentlichen Sinne ja auch zu lernen daraus.

Ich würde in Zukunft auch gerne per VPN von unterwegs auf mein Netzwerk zugreifen können. Daher denke ich, wäre es hier auch mit einer Firewall sicherer oder ?

by tarag: Beiträge zusammengeführt

Ich würde es genau anders herum machen und die FRITZ!Box entsorgen. Insbesondere, wenn Du OPNsense als Router planst. Was soll die Box dann noch tun, außer stören?

Man kann sie höchstens als Netzwerk Teilnehmer zum DECT nutzen, wenn man es braucht…

IoT Geräte habe ich bei mir in einem eigenen VLAN, ohne Zugriff auf andere VLAN und ohne Zugriff auf das Internet.

Einzige Ausnahme ist der Home Assistant Server, der sowohl ins Internet als auch das Nutzungs VLAN kommunizieren darf.

HA hat ja gerade den Sinn, dass die Geräte selbst nirgendwo anders hin funken müssen.

IoT Geräte in ein “abgesichertes Netz” zu transferieren macht nur dann Sinn, wenn dieses Netz vollständig gegen das Management Netz und das Internet abgesichert wird.

Weiterhin benötigen oft IoT Geräte Internet Verbindung um zu funktionieren (z.B. Cloud Lösungen)

Das heißt zunächst GENAUE Analyse:

• Welche Netzverbindungen VOM und ZUM IoT Gerät müssen für die Funktion sichergestellt sein? (z.B. Welche Ports für welche Dienste werden benötigt?)
• Wie wird das IoT Gerät gemanaged?
• Wo sind die Management Geräte beheimatet? (Wie sind diese abgesichert?)
• Wie erfolgen Patches? (Firmware/Security Updates)
• Welche Geräte interagieren mit dem jeweiligen IoT Gerät? (und benötigen ebenfalls eine entsprechende Verbindung zu diesem?)
• undundund

Was will ich mit meinen Fragen versuchen zu beschreiben?

Es ist nicht damit getan mal eben eine weitere Firewall zur bestehenden - in der Fritzbox - reinzuschrauben und damit zu glauben, dass sich damit die Sicherheit irgendwie erhöht.

Das Ganze muss sehr difizil geplant und ausgeführt werden.
Dies erfordert Spezialistenwissen und kann nicht über ein Forum transportiert werden.

Wenn es jedoch ein besseres Gefühl gibt die Netzarchitektur zu ändern und weitere Firewalls zu integrieren, dann einfach machen und nicht weiter darüber nachdenken

Sorry, dass ich so deutlich bin, aber solche Threads kenne ich auch aus anderen Foren und sind aufgrund der Angriffe (sowohl ausserhalb als auch innerhalb der LAN Netze) an der Tagesordnung.

Du gibst Dir Mühe, dass es kompliziert und gefährlich klingt, oder?

Um nicht zusagen: ausschließlich Cloud Lösungen.

Aber wenn das Gerät frei mit dem Internet kommunizieren darf, kann man dies auch nicht lokal sichern, außer eben den Zugriff auf das Netzwerk zu beschränken.

Ich war lange Zeit in den Unifi Foren unterwegs und meine Erfahrung aus dieser Zeit ist, dass die Meisten die Problematik unterschätzen und eine Lösung für ein “Feigenblatt” suchen

Deswegen klingen Deine Aussagen als wolltest Du teuer Service Leistungen verkaufen, die eigentlich niemand braucht.

Wir sprechen hier über Heimnetzwerke, nicht über globale Firmennetzwerke mit unterschiedlichsten Hierarchien.

Super, danke euch nochmal für die rege Teilnahme. Ist auch schon eine Menge dabei, die mich ein gutes Stück weiter bringt. Ich sag mal so, selbst wen ich es nicht zu 100% Fachmännisch hinbekomme, denke ich, dass es allemal besser ist, als der jetzige Zustand. Oder ist das ein Irrglaube

Ich denke, dass es immer vorteilhaft ist, wenn man sich mit Dingen beschäftigt und versteht, wieso man etwas tut oder nicht tut.

Die Frage ist dann natürlich was Du willst / brauchst, also Dir wichtig ist.

Wenn ein Gerät keinen Zugriff aufs Internet hat, kann eine möglicherweise vorhandene Schwachstelle auch nicht darüber ausgenutzt werden.
Daher sind Cloud Geräte auch grundsätzlich problematischer als Geräte, die ausschließlich lokal funktionieren.

Bevor Du viel Geld für Snake Oil ausgibst oder darin Zeit investierst, überlege Dir erstmal, was Dir wichtig ist.

Switche, evtl. WLAN-Access Points würde ich aös einsteiger zun Unifi raten.
Als PC für die OPNSense gibt es zwei Möglichkeiten:

• kaufst dir einen MiniPC,
• nimmst ne fertige Hardware-Applicance von OPNSense, ist aber die teurere Lösung

Bei mir läuft z.b. ein MiniPC von NRG-Systems, das Modell ist aber mitterweile durch einen Nachfolger ersetzt worden ( Core-i5, 32GB RAM,. 128Gb SSD - ist aber selbst beim 1GBit-Anschluss überdimensioniert )

Kann schon sein. Ich lese heraus, dass es dir eigentlich darum geht, die Anfälligkeit mancher IoT-Geräte in den Griff zu bekommen. Das Thema VLAN, Firewall etc. ist wirklich komplex und eine selbst aufgebaute Firewall ist nur dann sicher, wenn sie auch korrekt konfiguriert ist.

Eine nicht professionell konfigurierte Netzwerkumgebung ist unter Umständen anfälliger als eine Fritzbox.

Vielleicht trittst du noch einmal einen Schritt zurück und investierst die Zeit (und das Geld) eher darin, die IoT-Geräte nicht im Internet zu haben. Es gibt für vieles, gerade in Verbindung mit Home Assistant, Alternativen zu Hersteller-Clouds.

Damit dann zur Verwaltung wieder auf Cloud gesetzt werden muss, nachdem man viel Geld für die Hardware ausgegeben hat?

Unifi würde ich niemandem empfehlen, außer man möchte Geld verbrennen.

Wenn es einfach / günstige Geräte sein sollen, ist TP Link Omada sicher eine gute Wahl. Will man sie zentral verwalten, kann man sich dafür auch den Server installieren und braucht nicht zu zwangsweise eine OC200.
Vom Anspruch liegt es (in der verwalteten Version) leicht über der FRITZ!Box, da es vollwertige Möglichkeiten gibt. Allerdings ohne den Cloud Zwang von Unifi.
Gebraucht sollte es da einiges geben.

Wenn es günstig und anspruchsvoll sein darf ist zu Mikrotik zu raten. Zum Einstieg dürfte dort die Lernkurve jedoch zu steil sein.

p.s. Je nach Aufbau ist dann auch sehr die Frage, ob es überall managed Switches braucht. Insbesondere, wenn viele Geräte ohnehin den selben VLAN angehören.

Eines kann ich dir schon sagen: Mit der Aussage “Ich bin aber leider kein Kenner auf dem Gebiet” und dem Setup brauchst du keine anderen Hobbys in Zukunft.

Läuft bei mir zufriedenstellend.

Moin,

erst einmal, ich bin kein Netzwerkspezialist, ich verstehe mein kleines Netzwerk hier zu Hause, welches nicht mit PF/OPNsense und Managed Switches und zig VLANS abgesichert ist.

Ich gehe in letzter Zeit aber gegen jede Cloudlösung vor und eliminiere sie, z. B. aktuell ist mein Saugrobby zum Kernschrott geworden, jetzt suche ich einen Ersatz, der ohne Cloud funktioniert, oder wo ich es selbst Hosten kann, das erfordert Recherche, andere Komponenten, brauchen kein Netzwerk im üblichen sinne, da sie lokal Funken, da ist das Heimnetz uninteressant, weil sich jeder vor das Haus stellen kann und Zigbee, Zwave, Bluetooth, WLAN mitschneiden, verfolgen kann, wenn man nur genügend Kriminelle-Energie hat

Zum anderen, es ist ja schon angeklungen, macht man etwas nicht zu 100 % korrekt, dann ist die Fehlersuche, so wie Du das aufbauen möchtest, extrem schwer, meine Vermutung, kann mich täuschen.
Ein anderer User, hieraus dem Forum hatte nur mal ADGuard auf HA eingerichtet und wieder deaktiviert und schon ging sein Banking nicht mehr!

Ich will Dir den Spaß an der Technik nicht verderben, daher auch noch etwas Positives zum Thema, evtl. so ein Mini-PC, mit Proxmox und allen anderen Komponenten dann in Container, VM, z. B. Firewall, Switch, ADGuard usw.

Mein Fazit, ich bin also eher bei den Skeptikern, die lieber vorne anfangen und schon beim Kauf der IoT Geräte darauf achten, dass es nicht zu gefährlich wird, als später alles durch Brandmauern und einer verschachtelten Netzwerktopologie abzusichern.

Ich lese hier mal weiter mit, weil mich dann Deine Erfahrung, die Du gemacht hast, interessiert und ich ja vielleicht vom Gegenteil überzeugt werde und mich dann auch ans aufsplitten und neu Einrichten herangehe.

VG
Bernd

Alle Geräte die eine Cloud benötigen entsorgen oder umflaschen wenn das geht. Z.B. auf Tasmota.
LG, Dieter

Brauchst du nicht, meine Netzwerk-Controller läuft lokal auf Proxmox als Linux-Container