Netwerk in VLANs aufteilen - Weleche VLANs habt ihr

[KernSani]

Hallo zusammen,

nachdem ich meine Versuche mit Fritzbox, Mesh-Repeatern und Routing über einen Raspberry ein dauerhaft stabiles Netzwerk zu basteln als gescheitert erklären muss, habe ich beschlossen auf Ubiquiti umzustellen. Die Hardware ist unterwegs, nun stellt sich mir die Frage welche VLANs ich sinnvollerweise einrichte und mich würden eure Erfahrungen interessieren. Prinzipiell schwebt mir vor:
* VLAN1: Alle Geräte über die ich volle Kontrolle habe (also insbesondere die Raspberries etc)
* VLAN2: Geräte über die ich nur eingeschränkt Kontrolle habe (Smartphones, Tablets, Firmen-Laptop)
* VLAN3: Geräte die nur Internet dürfen (wo ich aber eine Route brauche, z.B. um aus FHEM den Status abzufragen - z.B. die ganzen Alexas)
* VLAN4: Geräte die nichts dürfen (nichtmal Internet, wo ich aber eine Route brauche, z.B. IOT-Geräte)
* VLAN5: Geräte, die ins Internet dürfen, keine Route (klassisches Gastnetz, evtl. kein VLAN, sondern Fritzbox Gastnetz)

Vielleicht noch zur geplanten Technik, Fritzbox ist notwendig für Kabel und Telefon, dahinter ein USG, ein Ubiquity 8-port-Switch und mehrere WLAN-APs (die dann entsprechend der VLANs mehrere SSIDs haben), der Controller läuft (aktuell funktionslos) schon auf einem RasPi, auf dem auch PiHole als DNS und DHCP läuft (letzteres würde dann das USG übernehmen).
Danke,
Grüße,
Oli

[RaspiLED]

Hallo,

ich empfehle Folgendes in der c't zum Lesen:

Gute Zäune, gute Nachbarn: Getrennte Zonen im (W)LAN einrichten

Mit Subnetzen kann man schludrig programmierte IoT- und Smart-Home-Gadgets in eine eigene Netzwerkzone sperren. So sinkt das Risiko, dass andere Geräte von Schadsoftware befallen werden oder sensible Daten wie etwa elektronische Steuererklärungen in die falschen Händen geraten. Der erste unserer drei Vorschläge zur Netztrennung kostet die meisten Routerbesitzer kein Geld, sondern nur etwas Zeit.

http://www.heise.de/ct/inhalt/2017/8/80?wt_mc=app.ct.ios.mail.Gute%20Z%C3%A4une,%20gute%20Nachbarn


Gruß Arnd


Signalduino (Nano, ESP, ...), CUL (Busware, Nano, Maple, ...), Homematic (HM-MOD-UART-RPI, ESP, Maple, ...), LaCrosseGateway (LGW, ESP, ...), 1-wire, ESPEasy, Bravia, Yamaha, ...

[yersinia]

Ich habe mit OpenWRT geflashten Router (1x Router + AP) und 2 managed Switches folgendes scenario:
- VLAN 1 (inklusive eigenes WLAN): internes Netzwerk in denen die PCs, Drucker, NAS, Scanner, FHEM sind (Vollzugriff)
- VLAN 2 (inklusive eigenes WLAN): Mediengeräte wie Smartphone, Tablet, SAT Receiver (und SAT2IP ), Internetradios usw (nur Internet)
- VLAN 3 (inklusive eigenes WLAN): FHEM Netzwerk für WLAN eingebundene Geräte (kein Internetzugriff)
- VLAN 4: Kapselung für den PiHole (nur Internet)
- VLAN 5 (inklusive eigenes WLAN): Gästenetz (nur Internet)
(- VLAN 6: WAN -> Anschluss an die FB)
Die Routen sind über die Firewall geregelt.

Die FB vermittelt nur Telefonie und Internet (FTTH  ).

[Gisbert]

Hallo Oli,

gute Entscheidung, du wirst die UniFi-Geräte lieben.

Ich hab eigentlich nur 2 VLANs, eins in dem alle Geräte viele/alle Rechte haben und eins für die IoTs, die ein eigenes VLAN und SSID haben und nicht ins Internet dürfen.

Zu bedenken ist noch folgendes:
"A maximum of 4 wireless networks are allowed per WLAN group when connectivity monitor is enabled"
Wenn mehr Netzwerke benötigt werden, dann kann man eine neue Wlan group einrichten. Das Problem, glaube ich, ist, dass man nur eine Wlan group an einem AP auswählen kann bzw. muss. Es gibt gewisse work arounds, aber das sind eher Krücken.

Viele​ Grüße​ Gisbert​

[KernSani]

Ich habe mit OpenWRT geflashten Router (1x Router + AP) und 2 managed Switches folgendes scenario:
- VLAN 1 (inklusive eigenes WLAN): internes Netzwerk in denen die PCs, Drucker, NAS, Scanner, FHEM sind (Vollzugriff)
- VLAN 2 (inklusive eigenes WLAN): Mediengeräte wie Smartphone, Tablet, SAT Receiver (und SAT2IP ), Internetradios usw (nur Internet)
- VLAN 3 (inklusive eigenes WLAN): FHEM Netzwerk für WLAN eingebundene Geräte (kein Internetzugriff)
- VLAN 4: Kapselung für den PiHole (nur Internet)
- VLAN 5 (inklusive eigenes WLAN): Gästenetz (nur Internet)
(- VLAN 6: WAN -> Anschluss an die FB)
Die Routen sind über die Firewall geregelt.

Die FB vermittelt nur Telefonie und Internet (FTTH  ).

Das kommt ja meiner Idee schon ziemlich nahe Wieso PiHole gekapselt?

gute Entscheidung, du wirst die UniFi-Geräte lieben.

Bin schon dabei mich zu verlieben... dummerweise sind heute nur die APs gekommen der USG ist noch unterwegs

[yersinia]

Das kommt ja meiner Idee schon ziemlich nahe Wieso PiHole gekapselt?

Ich konnte somit Routen aus allen anderen VLANs (nur) in das eine PiHoleVLAN definieren (und muss keine restriktiven Routen von zB VLAN2 nach VLAN1 definieren). DNS Anfragen aus anderen VLANs können dann auch direkt blockiert bzw umgebogen werden.

[KernSani]

Mittlerweile läuft das Ubiquity Netzwerk Fritzbox - USG - Switch - APs, alle Devices sind umgezogen und ich freue mich   Ich habe auch ein IOT VLAN, mit eigener SSID, habe mir jetzt aber überlegt: Meine Devices bekommen vom DHCP alle eine feste IP... In diesem Zuge könnte ich ihnen auch jeweils ein Netzwerk zuweisen, d.h. ich könnte mit einer einzelnen SSID jedes Gerät auf das richtige Netzwerk (=VLAN) schubsen und wäre dann nicht beschränkt in der Anzahl... Spricht da aus eurer Sicht etwas dagegegen?   

[Gisbert]

Hallo KernSani,

In diesem Zuge könnte ich ihnen auch jeweils ein Netzwerk zuweisen, d.h. ich könnte mit einer einzelnen SSID jedes Gerät auf das richtige Netzwerk (=VLAN) schubsen und wäre dann nicht beschränkt in der Anzahl... Spricht da aus eurer Sicht etwas dagegegen?

Ich habe die IoT-Devices in einem separaten Netzwerk, einem separaten VLAN und mit seperater SSID, die Berechtigungen sind so gesetzt, dass diese Geräte nicht ins Internet kommen.
Es ist ein /24-Netzwerk, damit hätte ich 256 Adressen, soviele Geräte werde ich hoffentlich nie haben. Meinst du das mit beschränkter Anzahl?

Viele​ Grüße​ Gisbert​

[KernSani]

Hallo KernSani,Ich habe die IoT-Devices in einem separaten Netzwerk, einem separaten VLAN und mit seperater SSID, die Berechtigungen sind so gesetzt, dass diese Geräte nicht ins Internet kommen.
Es ist ein /24-Netzwerk, damit hätte ich 256 Adressen, soviele Geräte werde ich hoffentlich nie haben. Meinst du das mit beschränkter Anzahl?

Viele​ Grüße​ Gisbert​

Was ich meinte: Wenn ich den End-Geräten einzeln ein Netzwerk (=VLAN) zuweise, bin ich unabhängig von der SSID, d.h. ich könnte mit nur einer einzigen SSID arbeiten und müsste mir keine Gedanken um die max. Anzahl von 4 SSIDs kümmern. Aus meiner Sicht hätte das den Vorteil, dass
* ich mehr als 4 VLANs aufbauen kann
* meine Kinder ihren Kumpels problemlos das WLAN Passwort verraten können und das Kumpel-Handy dann im "unbekannte Geräte" VLAN landet
* ich relativ unaufwändig Geräte einem neuen VLAN zuordnen kann (und nicht mit irgendwelchen komischen Apps an den Einstellungen der chinesischen IPCam rumfummeln muss)
Nachteile sehe ich aktuell nicht, außer dem initialem Aufwand jedes Gerät einzeln einem Netzwerk zuzuordnen.

[yersinia]

* ich mehr als 4 VLANs aufbauen kann

Ob du für jedes VLAN wirklich ein eigenes WLAN benötigst, solltest du prüfen.

* ich relativ unaufwändig Geräte einem neuen VLAN zuordnen kann (und nicht mit irgendwelchen komischen Apps an den Einstellungen der chinesischen IPCam rumfummeln muss)

VLAN hat erstmal nichts mit WLAN zu tun. Via LAN musst du dem Port des Switches richtig konfiguriren, damit das kabelgebundene Device in das richtige VLAN fällt (stichwort: untagged port/portbasiertes VLAN).
WLAN Credentials musst du sowieso einpflegen - unabhängig von deiner (WLAN-)Netzwerkstruktur.

Nachteile sehe ich aktuell nicht, außer dem initialem Aufwand jedes Gerät einzeln einem Netzwerk zuzuordnen.

Praktisch wird das Risiko gering sein, theoretisch kannst du nicht garantieren, dass mit selbst gewählter, fester IP sich ein Device in ein nicht für dieses bestimmte VLAN einbucht. Ich glaube nicht, dass die (WLAN-)Endgeräte ein ordentliches VLAN-tag mitgeben werden bzw. dies über WLAN überhaupt sauber funktioniert. Zumal das, was du vorhast, eher nach Subnetting als nach VLAN-Setup klingt.
Ich empfehle dir für jedes VLAN eine eigenes WLAN einzurichten (sofern notwendig). Kann auch eine eigene SSID auf gleichem Kanal sein. Mit starker Verschlüsselung und (pseudosicherem) MAC-Filter kannst du ungebetene Gäste besser aussperren.
Das Gäste-und-zwielichtige-Freunde-des-Nachwuchses-WLAN verdrahtest du hart in das Gäste-VLAN und schirmst es vom Rest ab.

Der Aufwand am Anfang ist relativ hoch aber wenn es einmal läuft ist es pflegeleicht.

[KernSani]

Ob du für jedes VLAN wirklich ein eigenes WLAN benötigst, solltest du prüfen.

Kabelgebundene Geräte sind erstmal nicht das Problem. Meine Überlegungen beziehen sich auf die WLAN-Geräte (die wegen fehlender Kabel leider >90% ausmachen)

WLAN Credentials musst du sowieso einpflegen - unabhängig von deiner (WLAN-)Netzwerkstruktur.

Aber bei einer SSID nur einmal Bei mehreren SSIDs bei jeder Änderung.

Praktisch wird das Risiko gering sein, theoretisch kannst du nicht garantieren, dass mit selbst gewählter, fester IP sich ein Device in ein nicht für dieses bestimmte VLAN einbucht. Ich glaube nicht, dass die (WLAN-)Endgeräte ein ordentliches VLAN-tag mitgeben werden bzw. dies über WLAN überhaupt sauber funktioniert.

So wie ich das verstanden habe vergibt der AP die VLAN-Tags bei der Übergabe an den Switch. Die Zuordnung, die ich vorhabe hängt auch nicht an der IP-Adresse sondern an der MAC bzw. dem "Device Fingerprint" (muss ich mal genau nachlesen)

Ich empfehle dir für jedes VLAN eine eigenes WLAN einzurichten (sofern notwendig). Kann auch eine eigene SSID auf gleichem Kanal sein. Mit starker Verschlüsselung und (pseudosicherem) MAC-Filter kannst du ungebetene Gäste besser aussperren.

siehe oben... m.E. spielt die SSID letztendlich keine Rolle, da erst am AP (auf dem Weg zum Switch) getagged wird und ob ich ihm jetzt einen Tag gebe weil er über SSID01 kommt oder weil die MAC AB:CD:EF ist... 

Das Gäste-und-zwielichtige-Freunde-des-Nachwuchses-WLAN verdrahtest du hart in das Gäste-VLAN und schirmst es vom Rest ab.

Der Gedanke ist, dass alle unbekannten Geräte hart ins Gäste-VLAN verdrahtet werden (auch wieder egal auf welcher SSID die sich einschleichen)

[yersinia]

Ok, das scheint zu funktionieren. Das war -zumindest mir als Netzwerk-Laie- neu. Stichwort: RADIUS Server, dynamische VLANs. Folgendes habe ich via [Suchmaschine] gefunden:
https://www.zueschen.eu/einrichtung-von-802-1x-und-dynamic-vlans-mit-ubiquiti-usg-pro/
https://help.ubnt.com/hc/en-us/articles/219654087-UniFi-Using-VLANs-with-UniFi-Wireless-Routing-Switching-Hardware
https://help.ubnt.com/hc/en-us/articles/360015268353-UniFi-USG-Configuring-RADIUS-Server#6

[tagedieb]

Hallo
ich möchte mich hier mal einklinken

Code Auswählen Erweitern

Nachteile sehe ich aktuell nicht, außer dem initialem Aufwand jedes Gerät einzeln einem Netzwerk zuzuordnen. wenn du ältere Geräte /Tabletts mit benutzt - kann es bei einer SSiD und verschiedenen Vlans passieren das sie zwar verbunden sind,  aber ständig versuchen in ein anderes Netz zu wechseln,
ich habe daraufhin - für Vlans auch wlans erstellt - die wlangeräte erhalten dann durch das Netz die entsprechende Ip und können sich auch nur verbinden, wenn eine Freigabe vom Router erfolgt
lässt sich sehr gut mit Mikrotik Router und Mikrotik AP über capsmann herstellen - zeitliche Vorgaben und andere Einschränkungen sind sehr individuell einstellbar

vg tagedieb

[Wernieman]

Ich muß gestehen, das ich privat wider bei "keep it simple" angekommen bin. Es gibt aktuell "3" WLANS. Ein normales, ein manuell geschaltetes Gast-WLAN (Fritte) und ein extra, für Hausautomaistation (Erledigt der ZOTAC nebenbei).

Nur wohne ich auch in er Wohnung im Altbau (~30er Jahre), da geht WLAN mit einem Sender (bzw. s.o. 2) über die Komplette Wohnung. Nur nicht in den Keller (