Netzwerkstruktur überarbeiten - bei ein paar Geräten benötige ich euren Rat

raspido

Member
Feb 9, 2023
46
5
8
Hey Leute,

ich bin aktuell dabei mein Netzwerk von FritzBox auf UniFi am umstellen, bzw. es vorzubereiten. Grundsätzlich bin ich eher ein Freund, davon es vorab etwas "intensiver" durchzuplanen um möglichst wenig "böse" Überraschungen zu haben. Im Großen und ganzen komme ich da eigentlich zu meinem Ergebnis wie ich mir das vorstelle. Bei ein paar Geräten bin ich mir aber noch nicht ganz sicher, in welches VLAN ich diese einfüge.

Ich habe mehrere VLANs aufgebaut, welche bedingt Ihrer Aufgabe unterschiedlichen Zugriff zu anderen VLANs haben. Also als Beispiel die IoT Geräte haben nur Zugriff aufs Internet, jedoch ich kann aus dem "Hauptnetzwerk" auf die IoT Geräte zugreifen um diese zu konfigurieren, in mein Smarthome zu integrieren usw.

Nun sind folgende Geräte / Dienste in LXCs wo ich etwas am hin und her überlegen bin:

  1. Smarthomeserver (aktuell ioBroker vll in Zukunft Homeassistent) der benötigt Zugriff auf IoT Geräte und die IoT Geräte auf ihn. Über die Zeit sind da ein paar Gateways und WLAN Geräte zusammen gekommen. Da ist die Überlegung ob ich den in IoT Netzwerk packe oder bei den Servern. Da ich neben der Steuerung von IoT Geräten gerne auch Daten von verschiedenen Diensten und Geräten wie PiHole, Proxmox, NAS Systeme, UniFi Umgebung und ähnliches in die Visualisierung packen möchte.
  2. NAS Festplattensysteme, ich habe 2 von denen am laufen. Eines davon ist von Synology mit 2 Netzwerkanschlüssen, somit könnte ich diese in 2 VLANs packen ohne Probleme. Das macht die NAS auch so von sich mit. Auf einer NAS liegt meine Musik, auf diese müssten meine Sonos Lautsprecher Zugriff haben. Die Sonos Lautsprecher sollen ins IoT Netzwerk eingebunden werden. Die "Steuerung" der Lautsprecher müsste ich dann je nach dem in welchem VLAN der Smarthomeserver sitzt ggf. Zugriff auf Ports vom Smarthomeserver bekommen, wenn der ins IoT Netzwerk wandert, würde der Punkt wegfallen. Ich müsste nur Zugriff auf die Musik in der Synology NAS einräumen.
  3. Ergänzung zu den NAS, ich habe ein Netzwerk welches komplett vom Internet abgekoppelt ist. Das soll aber Zugriff auf eine NAS haben. Da ist eigentlich der Plan, einfach die Ports für die Sambafreigabe zu erlauben, das denke ich dürfte der beste Weg sein oder? In dem Netzwerk läuft unter anderem meine CNC Fräse und da ich da schon mit Updates und ähnlichem böse Erfahrung gemacht habe, hat diese kein Zugriff aufs Internet. Lediglich Zugriff auf eine NAS Freigabe um Projektdateien nicht per Hand mit USB Stick vom "Konstruktionsplatz im warmem Büro" die Daten zur CNC im Keller zu bringen.
  4. Unsere iPhones, da weiß ich nicht ob da das "Hauptnetzwerk" oder das IoT Netzwerk der richtige "Platz" wäre. Vor allem der Homeassistent bietet da wohl auch Möglichkeiten mehr Infos in die Visualisierung zu packen was die Geräte betrifft wenn man das möchte.
  5. TVs die benötigen Zugriff aufs Internet und auf die Synology NAS da ich dort Mediendatein hinterlegt habe. Da wäre Überlegung ob IoT oder Hauptnetzwerk.

Ich hoffe man versteht meine Gedankengänge. Der Vollständigkeithalber wollte ich hier noch eben meine VLANs einmal auflisten, welche geplant sind. Vielleicht hat jemand von euch noch Ideen zur "Optimierung". Nicht jedes VLAN hat auch ein WLAN, die sind nur da wo ich WLAN benötige.

  1. Managment Netz für die Unifi Geräte
  2. Hauptnetzwerk (HomeNet) für Laptops, PCs, Drucker, NAS, und ähnliches [+WiFi]
  3. IoT Netzwerk für Homematic Gateway, Shellys, Eigene Smarthomemodule mit Basis auf ESP8266 / ESP32, ESPHome, Siemens LOGO (Dient zur Steuerung der "automatischen" Absaugung in der Kellerholzwerkstatt und mehr) [+WiFi]
  4. Gästenetzwerk [+WiFi]
  5. VPN Netzwerk (habe da Wireguard am laufen um von Unterwegs aufs Heimnetzwerk zugreifen zu können)
  6. Servernetzwerk
  7. Maschienennetzwerk für CNC Fräse und so
  8. Labor Netzwerk um neue "Geräte" und "Dienste" zu testen, die Zugriff aufs Internet haben, aber sonst zu keinem Netzwerk außer "Labor IoT"
  9. Labor IoT Netzwerk gilt das gleiche wie Labornetzwerk, die sollen aber Zugriff aufeinander haben, den man für Versuchsaufbauten und ähnliches aber einschrenken kann. [+WiFi]

Es mag vielleicht etwas "Feingliedrig" sein, aber naja ich dachte wenn man die Möglichkeit hat kann man diese nutzen.

Der letzte Punkt wo ich nachdenke bzw. noch unschlüssig bin: Macht es Sinn Netzwerke "kleiner" an zulegen, wenn man weiß es kommen nur begrenzte Anzahl von Geräten hinzu? Also in der Regel baue ich meine Netzwerke wie folgt auf: 192.168.[VLAN-NR].0/24, es gibt aber Netzwerke wo ich nicht "so viele" Geräte haben werde und entsprechend nicht so viele sein müssten, wie z.B. das Managment Netzwerk. Da sind aktuell 3 APs, 1 DreamRouter und 3 Switche drin. Ggf. kommt vielleicht noch 1-2 Switche hinzu oder 1-2 APs wenn ich irgendwo merke, das WLAN ist nicht so Doll. Aber das wars dann von der Anzahl her.

Es sind eine Menge an Informationen die ich hier mal reingeschrieben habe, wenn aber jemand noch weitere Infos benötigt, einfach melden.

Ich hoffe man kann mir hier ggf. den ein oder anderen Tipp, Hinweis oder Verbesserungsvorschlag geben.

Danke schon mal im Vorraus.
 
Was mir hier beim überfliegen etwas fehlt, hast du keine Firewall eingeplant?

Wenn du schon mit VLANs eine Trennung erreichen willst, dann wäre zu empfehlen, dass jedes VLAN mind. ein IP Subnet erhält. Das Gateway von dem Subnet sollte dann auf einer Firewall terminieren, dort kannst du dann z. B. die Zugriffe auf das Internet oder ein anderes VLAN steuern. Es ist damit auch denkbar, dass du z. B. Metriken auf einen Server pushen darfst, aber nichts zurück bekommst. Zu bedenken ist aber dann auch, dass die Firewall dein Bottleneck und dein SPOF ist, das wäre entsprechend z. B. mit 2,5 GbE Interfaces und zwei Geräten / VMs abzufangen.

Aus meiner Sicht ist das wichtigste bei VLANs, dass du keine Brücken baust. Ein Gerät wie eine NAS in zwei VLANs zu stecken ist aus der Perspektive Sicherheit nicht zu empfehlen. Der Traffic sollte gesteuert über die Firewall gehen. Mit diesem Konzept musst du auch gar nicht überlegen welches Gerät in welches VLAN sollte oder auch nicht, du schaltest die Freigaben ja bequem an der Firewall und bestimmt damit aktiv den Kommunikationsfluss und kannst diesen ja zusätzlich auch beschränken. Den Unterschied bei einem HV und NAS sehe ich darin, dass der HV grundsätzlich nur sein Mgmt Interface hat und die VMs das VLAN zugeordnet bekommen, aber die VMs sollten nicht drei Interfaces in allen VLANs haben (eine PfSense, OPNsense etc. mal ausgenommen). Eine NAS kannst du so ja aber gar nicht wirklich trennen, komme ich von links auf das Gerät, komme ich auch nacht Rechts und umgekehrt.

Legst du denn viel Wert auf Sicherheit, oder was ist vorrangig deine Intention bei solchem einem großen Vorhaben?
Ansonsten würde ich dir mal den BSI IT-Grundschutz nahe legen, dort findest du in den Bausteinen einige Aspekte die du vielleicht für dein Vorhaben noch adaptieren kannst oder könntest (muss ja nicht gleich das ganze Kompendium umsetzen ;-) )
 
  • Like
Reactions: raspido
Thema Firewall habe ich direkt über den DreamRouter abgehandelt eigentlich. Hatte es nicht seperat erwähnt gehabt.

Aber der Dreamrouter bietet ja die Möglichkeit (Firewall und Traffic Regeln) von Werk aus.

Ich habe aktuell noch eine Laborumgebung aufgebaut, ich wollte die neue Hardware erstmal bisschen Intensiver Testen und verschiedene Dinge ausprobieren, was UniFi kann und wie es sich verhält wenn ich an Punkt A was ändere und so. Von "natur" aus sind alle VLANs in UniFi miteinander "verbunden" sprich man muss erst Regeln aufstellen wer was darf bzw. nicht darf. Das hatte ich im Testaufbau so geregelt, dass grundsätzlich erstmal alles verboten war und ich nach und nach verschiedene Sachen frei gegeben habe.

Die "Gateways" vom Dreamrouter z.B. habe ich so abgeblockt, dass ich lediglich aus dem VLAN "Homenet" drauf zugreifen konnte. Alle anderen VLANS bekommen keinen Zugriff auf das Interface vom Router, wenn sie x.x.x.1 im Browser oder so aufrufen. Also nur als Beispiel wie ich etwas gelöst habe.

Und ja sagen wir es so, ein gewissen Teil mehr Sicherheit soll das ganze am Ende bieten. Es muss am Ende nicht "Fort Knox" in digital werden. Aber schon etwas mehr werden. Zusätzlich wird die FritzBox was das "konfigurieren" angeht sehr lam. Also die Oberfläche ist ein graus. Aber das nur nebenbei.

Ich werd mir dann nochmal Gedanken machen, wie ich das am Ende löse. Vor allem mit dem Smarthomeserver ist es ja fast "egal" wo der liegt. Entweder muss ich Ports von den Gateways und mqtt öffnen zumindest für die IP des Smarthomeservers oder die Ports zu den Diensten und Geräten die ich in der Visualisierung anzeigen möchte.

Hinsichtlich NAS ist ein guter Hinweis, also mit keine "Brücken" bauen. Also alle "normalen" Geräte in nur ein nach Plan VLAN packen und nicht in 2 oder mehr parallel.

Also unterm Strich muss ich mir eher Gedanken machen, wie ich das von den Firewallregeln her gestalte. Ich denke ich werde da mit meiner Laborumgebung noch ein paar Dinge mehr testen, bevor ich es für den "Livebetrieb" vorbereite und aktiviere.

Danke bis hier hin schon einmal.
 
Thema Firewall habe ich direkt über den DreamRouter abgehandelt eigentlich. Hatte es nicht seperat erwähnt gehabt.

Aber der Dreamrouter bietet ja die Möglichkeit (Firewall und Traffic Regeln) von Werk aus.

Ich habe aktuell noch eine Laborumgebung aufgebaut, ich wollte die neue Hardware erstmal bisschen Intensiver Testen und verschiedene Dinge ausprobieren, was UniFi kann und wie es sich verhält wenn ich an Punkt A was ändere und so. Von "natur" aus sind alle VLANs in UniFi miteinander "verbunden" sprich man muss erst Regeln aufstellen wer was darf bzw. nicht darf. Das hatte ich im Testaufbau so geregelt, dass grundsätzlich erstmal alles verboten war und ich nach und nach verschiedene Sachen frei gegeben habe.

Die "Gateways" vom Dreamrouter z.B. habe ich so abgeblockt, dass ich lediglich aus dem VLAN "Homenet" drauf zugreifen konnte. Alle anderen VLANS bekommen keinen Zugriff auf das Interface vom Router, wenn sie x.x.x.1 im Browser oder so aufrufen. Also nur als Beispiel wie ich etwas gelöst habe.

Und ja sagen wir es so, ein gewissen Teil mehr Sicherheit soll das ganze am Ende bieten. Es muss am Ende nicht "Fort Knox" in digital werden. Aber schon etwas mehr werden. Zusätzlich wird die FritzBox was das "konfigurieren" angeht sehr lam. Also die Oberfläche ist ein graus. Aber das nur nebenbei.

Ich werd mir dann nochmal Gedanken machen, wie ich das am Ende löse. Vor allem mit dem Smarthomeserver ist es ja fast "egal" wo der liegt. Entweder muss ich Ports von den Gateways und mqtt öffnen zumindest für die IP des Smarthomeservers oder die Ports zu den Diensten und Geräten die ich in der Visualisierung anzeigen möchte.

Hinsichtlich NAS ist ein guter Hinweis, also mit keine "Brücken" bauen. Also alle "normalen" Geräte in nur ein nach Plan VLAN packen und nicht in 2 oder mehr parallel.

Also unterm Strich muss ich mir eher Gedanken machen, wie ich das von den Firewallregeln her gestalte. Ich denke ich werde da mit meiner Laborumgebung noch ein paar Dinge mehr testen, bevor ich es für den "Livebetrieb" vorbereite und aktiviere.
backrooms game
Danke bis hier hin schon einmal.
Haben Sie weitere Dokumente zum Thema Firewalls? Wenn ja, lassen Sie mich bitte einen Blick darauf werfen. Vielen Dank.
 
Thema Firewall habe ich direkt über den DreamRouter abgehandelt eigentlich. Hatte es nicht seperat erwähnt gehabt.

Aber der Dreamrouter bietet ja die Möglichkeit (Firewall und Traffic Regeln) von Werk aus.

Ich habe aktuell noch eine Laborumgebung aufgebaut, ich wollte die neue Hardware erstmal bisschen Intensiver Testen und verschiedene Dinge ausprobieren, was UniFi kann und wie es sich verhält wenn ich an Punkt A was ändere und so. Von "natur" aus sind alle VLANs in UniFi miteinander "verbunden" sprich man muss erst Regeln aufstellen wer was darf bzw. nicht darf. Das hatte ich im Testaufbau so geregelt, dass grundsätzlich erstmal alles verboten war und ich nach und nach verschiedene Sachen frei gegeben habe.

Die "Gateways" vom Dreamrouter z.B. habe ich so abgeblockt, dass ich lediglich aus dem VLAN "Homenet" drauf zugreifen konnte. Alle anderen VLANS bekommen keinen Zugriff auf das Interface vom Router, wenn sie x.x.x.1 im Browser oder so aufrufen. Also nur als Beispiel wie ich etwas gelöst habe.

Und ja sagen wir es so, ein gewissen Teil mehr Sicherheit soll das ganze am Ende bieten. Es muss am Ende nicht "Fort Knox" in digital werden. Aber schon etwas mehr werden. Zusätzlich wird die FritzBox was das "konfigurieren" angeht sehr lam. Also die Oberfläche ist ein graus. Aber das nur nebenbei.

Ich werd mir dann nochmal Gedanken machen, wie ich das am Ende löse. Vor allem mit dem Smarthomeserver ist es ja fast "egal" wo der liegt. Entweder muss ich Ports von den Gateways und mqtt öffnen zumindest für die IP des Smarthomeservers oder die Ports zu den Diensten und Geräten die ich in der Visualisierung anzeigen möchte.

Hinsichtlich NAS ist ein guter Hinweis, also mit keine "Brücken" bauen. Also alle "normalen" Geräte in nur ein nach Plan VLAN packen und nicht in 2 oder mehr parallel.

Also unterm Strich muss ich mir eher Gedanken machen, wie ich das von den Firewallregeln her gestalte. Ich denke ich werde da mit meiner Laborumgebung noch ein paar Dinge mehr testen, bevor ich es für den "Livebetrieb" vorbereite und aktiviere.
Friday Night Funkin
Danke bis hier hin schon einmal.
alles ist nicht klar.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!