11
Aufbau Heimnetzwerk mit Firewall
Guten Abend
Für eine andere Wohnung würde ich gerne das komplette Netzwerk neu aufbauen. Ich habe bei offenen Fragen und ünerlegungen gemerkt, dass ich mir erstmal üner die komplette Netzwerkstruktur im klaren sein muss bevor ich mir andere Gedanken zur Firewall mache.
Ich würde mich freuen, wenn ihr mir Tipps hättet, was für ein netzwerkaufbau und ggf Trennungen mittels VLAN Sinn geben könnte.
Vorhanden ist ein Router welcher in einen Modemmodus umgeschaltet werden kann, eine Hardwarefirewall, ein Accesspoint fürs WLAN umd natürlich NAS, Smartphones, Tabletts, Drucker und PCs. Ebenfalls ist noch eine Philips Hue Bridge in Verwendung.
Vom Aufbau her dürfte es sicherlich sinn ergeben, vom Modem in die Hardwarefirewall zu gehen, und von der Firewall zwei Netze zu machen. Hierbei wäre dann wohl ein seitch am LAN1, der AP im switch und das NAS_DMZ an LAN2.
DMZ: Hier würde ich ein kleines NAS verwenden, weches Musik enthält welche via Plex von aussen Zugänglich wäre. Hier würde ich also nur die Plex Ports öffnen. Damit ein eventueller Einbruch nicht zu Schädlich wäre, würde auf diesem NAS nur die Musik sein, das NAS hätte aber keine Freigaben auf die anderen NAS Geräte. So käme ein eventueller Ein recher maximum auf die Musik.
IP 192.168.0.2
Die Smartphones, Tabletts und PCs sowie zwei NAS hätten dann IPs aus dem Bereich 10.10.0.X
Auf den NAS sind sämtliche Daten, auch die Musik. Die Musik würde ich einfach von Hand auf das NAS in der DMZ kopieren oder ggf automatisch vom NAS1 auf das NAS_DMZ. Das NAS_DMZ soll aus sicherheitsgründen kein Zugriff auf andere Geräre im Netwerk haben.
Auf der Firewall sollen sich PCs sowei Smartphones noch per VPN verbinden können, und sollen dann auf die Daten im NAS und im Idealfall aufs „intranet“ welches mit Domains (eigener DNS Server auf dem NAS für interne Domains) Zugriff haben. Durch die VPN Verbindung dürfte dies ja dann sicher sein auch wenn ich mit per RDP verbinde.
Ich frage mich nun ob das alles so sinn ergibt, oder ob ich ggf das ganze weiter mit anderen VLANs aufsplitten sollte. Bisher sind alles unmanaged Switch im einsatz. Je nach dem werde ich dann ggf etwas gegen managed Switch ersetzen müssen.
Da ich noch am lernen bin verzeiht mir bitte falls da überlegungsfehler vorhanden sind. Ich habe schon viel gelesen, bin mir aber auch bewusst das ich noch sehr vieles lesen muss. Ich denke sobald mir mal klar ist wie der grobe Aufbau sinn ergibt kann ich dann gezielter weiter suchen.
Gruss und danke für jede Hilfestellung
Koda
Für eine andere Wohnung würde ich gerne das komplette Netzwerk neu aufbauen. Ich habe bei offenen Fragen und ünerlegungen gemerkt, dass ich mir erstmal üner die komplette Netzwerkstruktur im klaren sein muss bevor ich mir andere Gedanken zur Firewall mache.
Ich würde mich freuen, wenn ihr mir Tipps hättet, was für ein netzwerkaufbau und ggf Trennungen mittels VLAN Sinn geben könnte.
Vorhanden ist ein Router welcher in einen Modemmodus umgeschaltet werden kann, eine Hardwarefirewall, ein Accesspoint fürs WLAN umd natürlich NAS, Smartphones, Tabletts, Drucker und PCs. Ebenfalls ist noch eine Philips Hue Bridge in Verwendung.
Vom Aufbau her dürfte es sicherlich sinn ergeben, vom Modem in die Hardwarefirewall zu gehen, und von der Firewall zwei Netze zu machen. Hierbei wäre dann wohl ein seitch am LAN1, der AP im switch und das NAS_DMZ an LAN2.
DMZ: Hier würde ich ein kleines NAS verwenden, weches Musik enthält welche via Plex von aussen Zugänglich wäre. Hier würde ich also nur die Plex Ports öffnen. Damit ein eventueller Einbruch nicht zu Schädlich wäre, würde auf diesem NAS nur die Musik sein, das NAS hätte aber keine Freigaben auf die anderen NAS Geräte. So käme ein eventueller Ein recher maximum auf die Musik.
IP 192.168.0.2
Die Smartphones, Tabletts und PCs sowie zwei NAS hätten dann IPs aus dem Bereich 10.10.0.X
Auf den NAS sind sämtliche Daten, auch die Musik. Die Musik würde ich einfach von Hand auf das NAS in der DMZ kopieren oder ggf automatisch vom NAS1 auf das NAS_DMZ. Das NAS_DMZ soll aus sicherheitsgründen kein Zugriff auf andere Geräre im Netwerk haben.
Auf der Firewall sollen sich PCs sowei Smartphones noch per VPN verbinden können, und sollen dann auf die Daten im NAS und im Idealfall aufs „intranet“ welches mit Domains (eigener DNS Server auf dem NAS für interne Domains) Zugriff haben. Durch die VPN Verbindung dürfte dies ja dann sicher sein auch wenn ich mit per RDP verbinde.
Ich frage mich nun ob das alles so sinn ergibt, oder ob ich ggf das ganze weiter mit anderen VLANs aufsplitten sollte. Bisher sind alles unmanaged Switch im einsatz. Je nach dem werde ich dann ggf etwas gegen managed Switch ersetzen müssen.
Da ich noch am lernen bin verzeiht mir bitte falls da überlegungsfehler vorhanden sind. Ich habe schon viel gelesen, bin mir aber auch bewusst das ich noch sehr vieles lesen muss. Ich denke sobald mir mal klar ist wie der grobe Aufbau sinn ergibt kann ich dann gezielter weiter suchen.
Gruss und danke für jede Hilfestellung
Koda
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 359376
Url: https://administrator.de/contentid/359376
Printed on: April 20, 2024 at 08:04 o'clock
11 Comments
Latest comment
Moin,
ich gehe mal davon aus, dass du das aus Spaß an der Sache machen willst und es bei dir privat läuft (langfristig Energiebedarf im Hinterkopf behalten). Kannst du so sicherlich alles machen, bzgl. Zugriff von außen musst du noch DynDNS/ statische IP berücksichtigen.
Da du keine Bezeichnungen nennst kann man leider nicht näher drauf eingehen, aber wenn du zufällig noch Gästewlan einrichten willst, guck dir mal Unifi an. Die haben ganz schicke AccessPoint (VLAN, Gästewlan (RasperryPi notwendig),bis zu 4 SSIDs,....)
Ansonsten immer daran denken, je komplexer das alles ist und je mehr man noch im Lernprozess ist, desto größer die Wahrscheinlichkeit etwas falsch zu konfigurieren und sich nackt ans "Internet zu hängen".
LG
CC
ich gehe mal davon aus, dass du das aus Spaß an der Sache machen willst und es bei dir privat läuft (langfristig Energiebedarf im Hinterkopf behalten). Kannst du so sicherlich alles machen, bzgl. Zugriff von außen musst du noch DynDNS/ statische IP berücksichtigen.
Da du keine Bezeichnungen nennst kann man leider nicht näher drauf eingehen, aber wenn du zufällig noch Gästewlan einrichten willst, guck dir mal Unifi an. Die haben ganz schicke AccessPoint (VLAN, Gästewlan (RasperryPi notwendig),bis zu 4 SSIDs,....)
Ansonsten immer daran denken, je komplexer das alles ist und je mehr man noch im Lernprozess ist, desto größer die Wahrscheinlichkeit etwas falsch zu konfigurieren und sich nackt ans "Internet zu hängen".
LG
CC
Deine Überlegungen machen schon Sinn und mit einer Segmentierung bist du auf dem richtigen Weg. 2 Netze sollte ein Heimnetz mindestens haben wenn man hie und da mal Gäste hat....
Mit einer DMZ sind es dann schon 3 Netze.
Diese 2 Forentutorials sollten deine grundlegenden Fragen zu beiden Themen, Segmentierung und Firewall, umfassend beantworten:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wie man die von dir genannten Geräte von außen auf die Firewall verbindet beschreibt dir das folgende Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit dem Rüstzeug an der Hand bist du jetzt wieder am Zuge...
Mit einer DMZ sind es dann schon 3 Netze.
Diese 2 Forentutorials sollten deine grundlegenden Fragen zu beiden Themen, Segmentierung und Firewall, umfassend beantworten:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wie man die von dir genannten Geräte von außen auf die Firewall verbindet beschreibt dir das folgende Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit dem Rüstzeug an der Hand bist du jetzt wieder am Zuge...
Guten Morgen
Vielen Dank für eure Antworten und bitte entschuldigt das die Gerätebezeichnungen weg sind. Diese sind wohl beim schreiben am Smartphone gelöscht worden als ich was am Text angepasst habe.
Die Geräte sind bereits fix vorgegeben, da ich diese so sehr günstig übernehmen konnte. Was ich bisher gelesen habe sind diese auch heute noch sehr gut, so dass ich die ohne Probleme einsetzen kann. Es ist eine Zyxel ZyWEall 110, und als AP Zyxel WAC6103D-I
Bezeichnungen mit Beschreibung:
Router (Kabelrouter welcher nur noch als Modem fungiert)
Firewall (Zyxel)
AccessPoint (Zyxel)
NASDMZ: Hier drauf läuft ein Plex Server welcher keine Freigaben auf ein anderes NAS hat.
NAS01: Hier sind sämtliche Daten drauf. Auch die Musikdaten vom NASDMZ sind hier. Damit ich dem NASDMZ nicht Zugriff auf den Ordner geben muss, habe ich mir überlegt das ich die Daten von Hand auf das NASDMZ kopiere oder per Backupfunktion. Ich nehme an das gibt durch aus sinn dem NASDMZ gar keinen zugriff zu gewähren.
NAS02: Dies ist ein vortlaufendes Backup
NAS03: Hier werden in regelmässigen Abständen die wichtigsten Daten gesichert. Dieses NAS ist jedoch nicht mit dem Stromnetz verbunden und wird nur bei bedarf angehängt.
PRI01 und PRI02 sind Netzwerkdrucker
Philips Hue Bridge fürs Licht
Der einfachkeitshalber die Geräte der Personen nur mit Nummern:
PC01 - PC03
Smartphone01 - Smartphone 03
Tablet01 - Tablet02
Ein Gäste WLAN ist vorläufig nicht geplant. Aber so viel ich gelesen habe müsste dies mit dem AP problemlos möglich sein, müsst diesen dann einfach per VLAN in die DMZ setzen?
Verbunden hätte ich die Geräte somit wie folgt:
Modem - Firewall
NASDMZ direkt an die Firewall an LAN2
Switch direkt an die Firewall LAN1 (Ich nehme an, ich müsste hier auf einen Managed Switch wechseln, damit dieser das VLAN für den AP und den rest erleidgen kann?)
An den Switch wäre dann noch ein Kabel in die Wand (welche die Wohnung versorgt), sowie die anderen NAS Geräte.
Alles andere wäre dann in den verschiedenen Zimmern angesteckt. Dort befinden sich bisher auch alles unmanaged Switches. Ich nehme an diese kann ich auch so belassen?
Auf dem NAS01 läuft noch ein DNS Server, welcher mehrere "locale Domains" erstellt für eine Art Intranet, da sich Domains einfacher zu merken sind als eine IP Adresse
Damit ich die Ports von aussen nicht mehr gross öffnen müsste, hätte ich auf der Firewall die VPN Funktion aktiviert, dass die Ports von Aussen nicht mehr offen sind, mit ausnahme von Plex. Beim VPN muss ich dann schauen ob es möglich ist den DNSServer zu hinterlegen, dass die verbundenen Geräte dann automatisch die localen Domains verwenden könnten.
Die IP hätte ich so angepasst, dass man klar sieht was DMZ und LAN ist auch wenn es nur zwei Netze sind.
So hätte ich die DMZ z.B. mit 192.168.0.X belegt, (Falls der Router auch noch eine IP bekommt wahrscheinlich die 192.168.0.1), und alles nach der Firewall die 10.10.0.X. Falls noch ein Gast WLAN kommen sollte kann ich dann ja immer noch einen neuen Bereich machen.
Sobald ich weiss ob ich nun einfach noch ein Managed Switch benötige oder alle ersetzen müsste und meine Überlegungen nach wie vor korrekt sind werde ich mal anfangen mich auszutoben
Nochmals vielen Dank für eure Unterstützung.
Gruss
Koda
Vielen Dank für eure Antworten und bitte entschuldigt das die Gerätebezeichnungen weg sind. Diese sind wohl beim schreiben am Smartphone gelöscht worden als ich was am Text angepasst habe.
ich gehe mal davon aus, dass du das aus Spaß an der Sache machen willst und es bei dir privat läuft (langfristig Energiebedarf im Hinterkopf behalten). Kannst du so sicherlich alles machen, bzgl. Zugriff von außen musst du noch DynDNS/ statische IP berücksichtigen.
Nicht nur aus Spass. Da ich von aussen sehr oft auf das Heimnetzwerk zugreifen musste, waren immer sehr viele Ports offen. Dies fand ich persönlich langfristig zu extrem ohne Firewall. DynDNS ist vorhanden und kein Problem.Die Geräte sind bereits fix vorgegeben, da ich diese so sehr günstig übernehmen konnte. Was ich bisher gelesen habe sind diese auch heute noch sehr gut, so dass ich die ohne Probleme einsetzen kann. Es ist eine Zyxel ZyWEall 110, und als AP Zyxel WAC6103D-I
Bezeichnungen mit Beschreibung:
Router (Kabelrouter welcher nur noch als Modem fungiert)
Firewall (Zyxel)
AccessPoint (Zyxel)
NASDMZ: Hier drauf läuft ein Plex Server welcher keine Freigaben auf ein anderes NAS hat.
NAS01: Hier sind sämtliche Daten drauf. Auch die Musikdaten vom NASDMZ sind hier. Damit ich dem NASDMZ nicht Zugriff auf den Ordner geben muss, habe ich mir überlegt das ich die Daten von Hand auf das NASDMZ kopiere oder per Backupfunktion. Ich nehme an das gibt durch aus sinn dem NASDMZ gar keinen zugriff zu gewähren.
NAS02: Dies ist ein vortlaufendes Backup
NAS03: Hier werden in regelmässigen Abständen die wichtigsten Daten gesichert. Dieses NAS ist jedoch nicht mit dem Stromnetz verbunden und wird nur bei bedarf angehängt.
PRI01 und PRI02 sind Netzwerkdrucker
Philips Hue Bridge fürs Licht
Der einfachkeitshalber die Geräte der Personen nur mit Nummern:
PC01 - PC03
Smartphone01 - Smartphone 03
Tablet01 - Tablet02
Ein Gäste WLAN ist vorläufig nicht geplant. Aber so viel ich gelesen habe müsste dies mit dem AP problemlos möglich sein, müsst diesen dann einfach per VLAN in die DMZ setzen?
Verbunden hätte ich die Geräte somit wie folgt:
Modem - Firewall
NASDMZ direkt an die Firewall an LAN2
Switch direkt an die Firewall LAN1 (Ich nehme an, ich müsste hier auf einen Managed Switch wechseln, damit dieser das VLAN für den AP und den rest erleidgen kann?)
An den Switch wäre dann noch ein Kabel in die Wand (welche die Wohnung versorgt), sowie die anderen NAS Geräte.
Alles andere wäre dann in den verschiedenen Zimmern angesteckt. Dort befinden sich bisher auch alles unmanaged Switches. Ich nehme an diese kann ich auch so belassen?
Auf dem NAS01 läuft noch ein DNS Server, welcher mehrere "locale Domains" erstellt für eine Art Intranet, da sich Domains einfacher zu merken sind als eine IP Adresse
Damit ich die Ports von aussen nicht mehr gross öffnen müsste, hätte ich auf der Firewall die VPN Funktion aktiviert, dass die Ports von Aussen nicht mehr offen sind, mit ausnahme von Plex. Beim VPN muss ich dann schauen ob es möglich ist den DNSServer zu hinterlegen, dass die verbundenen Geräte dann automatisch die localen Domains verwenden könnten.
Die IP hätte ich so angepasst, dass man klar sieht was DMZ und LAN ist auch wenn es nur zwei Netze sind.
So hätte ich die DMZ z.B. mit 192.168.0.X belegt, (Falls der Router auch noch eine IP bekommt wahrscheinlich die 192.168.0.1), und alles nach der Firewall die 10.10.0.X. Falls noch ein Gast WLAN kommen sollte kann ich dann ja immer noch einen neuen Bereich machen.
Deine Überlegungen machen schon Sinn und mit einer Segmentierung bist du auf dem richtigen Weg. 2 Netze sollte ein Heimnetz mindestens haben wenn man hie und da mal Gäste hat....
Mit einer DMZ sind es dann schon 3 Netze.
Danke. Siehst du denn im Aufbau wo du nun die Geräte siehst noch verbesserungsbedarf damit man noch etwas trennt mit weiteren VLANs? Ich habe extra die Firewall noch nicht direkt in Betrieb, dass ich nachher nicht alles nochmals neu machen muss weil ich ein Überlegungsfehler habe.Mit einer DMZ sind es dann schon 3 Netze.
Sobald ich weiss ob ich nun einfach noch ein Managed Switch benötige oder alle ersetzen müsste und meine Überlegungen nach wie vor korrekt sind werde ich mal anfangen mich auszutoben
Nochmals vielen Dank für eure Unterstützung.
Gruss
Koda
Moin,
wie sieht der Bereich IoT zukünftig bei dir aus? Bisher nutzt Du Philips Hue, kommt da noch weiteres hinzu?
Ich persönlich habe den Bereich in ein eigenes VLan ohne Internetzugang gepackt, somit kann ich den Zugang sehr fein regulieren, gleichzeitig haben die Geräte keinen Zugang zum privatem LAN, können also auch nicht als Brücke in mein privates Netz missbraucht werden.
-teddy
wie sieht der Bereich IoT zukünftig bei dir aus? Bisher nutzt Du Philips Hue, kommt da noch weiteres hinzu?
Ich persönlich habe den Bereich in ein eigenes VLan ohne Internetzugang gepackt, somit kann ich den Zugang sehr fein regulieren, gleichzeitig haben die Geräte keinen Zugang zum privatem LAN, können also auch nicht als Brücke in mein privates Netz missbraucht werden.
-teddy
Moin,
LG, Thomas
Da ich von aussen sehr oft auf das Heimnetzwerk zugreifen musste, waren immer sehr viele Ports offen.
bastel Dir ein VPN + Gäste-WLAN und jut ist, hier gehts um eine Wohnung und nicht um Fort Knox ...LG, Thomas
@koda:
Zunächst erstmal finde ich Deine Überlegung, auf dem öffentlich erreichbaren NAS keine Daten abzulegen (sondern lediglich ein Backup der Musikdateien) sehr löblich! Das ist genau der Ansatz, den man richtiger Weise wählt - nämlich die "Kronjuweilen" identifizieren, separieren und den Zugriff darauf einschränken.
Ein kosmetischer Verbesserungsvorschlag an dieser Stelle: Warum willst Du für die DMZ die Zone LAN2 nehmen? Naheliegender wäre die vordefinierte Zone "DMZ"...
Genau wie MagicTeddy würde ich jedoch dringend dazu raten, die Heimautomation vom internen Netzwerk zu trennen. Schließlich ist gerade ZigBee alles andere als vertrauenswürdig.
https://de.wikipedia.org/wiki/ZigBee
https://www.heise.de/security/meldung/Deepsec-ZigBee-macht-Smart-Home-zu ...
Wenn Du die Hue Bridge direkt mit der Zywall verbinden kannst, bedingt dies auch noch nicht den Kauf eines VLAN-fähigen Switches. Die Firewall hat mit lan1, lan2, dmz und opt genügend physische Inside-Interfaces.
Auch für zusätzliche WLANs wie z.B. ein GästeWLAN ließe sich die Anschaffung von managed Switches u.U. vermeiden, da Du den AP über den in der Firewall integrierten Controller verwalten kannst und letzterer seit ZLD4.30 den Tunnelmodus unterstützt - d.h. Du kannst bei einem kompatiblen AP (und der WAC6103 ist ein solcher) den Traffic nicht nur lokal aus dem AP fallen lassen, sondern optional per Tunnel zum Controller bzw. zur Firewall führen und erst dort auskoppeln.
Gruß
sk
Zunächst erstmal finde ich Deine Überlegung, auf dem öffentlich erreichbaren NAS keine Daten abzulegen (sondern lediglich ein Backup der Musikdateien) sehr löblich! Das ist genau der Ansatz, den man richtiger Weise wählt - nämlich die "Kronjuweilen" identifizieren, separieren und den Zugriff darauf einschränken.
Ein kosmetischer Verbesserungsvorschlag an dieser Stelle: Warum willst Du für die DMZ die Zone LAN2 nehmen? Naheliegender wäre die vordefinierte Zone "DMZ"...
Genau wie MagicTeddy würde ich jedoch dringend dazu raten, die Heimautomation vom internen Netzwerk zu trennen. Schließlich ist gerade ZigBee alles andere als vertrauenswürdig.
https://de.wikipedia.org/wiki/ZigBee
https://www.heise.de/security/meldung/Deepsec-ZigBee-macht-Smart-Home-zu ...
Wenn Du die Hue Bridge direkt mit der Zywall verbinden kannst, bedingt dies auch noch nicht den Kauf eines VLAN-fähigen Switches. Die Firewall hat mit lan1, lan2, dmz und opt genügend physische Inside-Interfaces.
Auch für zusätzliche WLANs wie z.B. ein GästeWLAN ließe sich die Anschaffung von managed Switches u.U. vermeiden, da Du den AP über den in der Firewall integrierten Controller verwalten kannst und letzterer seit ZLD4.30 den Tunnelmodus unterstützt - d.h. Du kannst bei einem kompatiblen AP (und der WAC6103 ist ein solcher) den Traffic nicht nur lokal aus dem AP fallen lassen, sondern optional per Tunnel zum Controller bzw. zur Firewall führen und erst dort auskoppeln.
Gruß
sk
Vielen Dank für alle eure Antworten. Ich werde nun mal anfangen das aufzubauen. Ich habe aber gemerkt, ich benötige dann doch noch Managed Switch. Im Haushalt hat es noch eine PlayStation, ich finde die muss auch nicht an die Heimdaten kommen wenn es schon ein VLAN gibt welches getrennt ist
Heimautomatisation: Da hab ihr vollkommen recht. Ich werde diese auf jeden fall trennen, da ich nicht weiss was da noch dazu kommt. Gleichzeitig werde ich wie oben erwähnt auch die Spielkonsole mit einbinden.
Für mich ist nun alles klar. Das einzige was für mich noch nicht ganz klar ist ist der AP. Soll das WLAN ein eigenes VLAN darstellen? Ich habe nun schon beides als Tipp gefunden
Heimautomatisation: Da hab ihr vollkommen recht. Ich werde diese auf jeden fall trennen, da ich nicht weiss was da noch dazu kommt. Gleichzeitig werde ich wie oben erwähnt auch die Spielkonsole mit einbinden.
bastel Dir ein VPN + Gäste-WLAN und jut ist, hier gehts um eine Wohnung und nicht um Fort Knox ...
Naja. Das mag sein. Ich finde aber man kann es trotzdem grad richtig machen wenn man eh ein entsprechendes Gerät hat, und in der heutige Zeit kann es etwas sicherer nicht schaden.Ein kosmetischer Verbesserungsvorschlag an dieser Stelle: Warum willst Du für die DMZ die Zone LAN2 nehmen? Naheliegender wäre die vordefinierte Zone "DMZ"...
Das werde ich auf jedenfall machen. Ich werde noch im Handbuch schauen welcher LAN Port dies genau ist. Auf dem Gerät selber steht P4 - P7 LAN/DMZ. Aber wenn bereits einer per Standard vordefiniert ist werde ich diesen auf alle fälle nehmen.Wenn Du die Hue Bridge direkt mit der Zywall verbinden kannst, bedingt dies auch noch nicht den Kauf eines VLAN-fähigen Switches. Die Firewall hat mit lan1, lan2, dmz und opt genügend physische Inside-Interfaces.
Da hast du recht. Ich habe dies noch gar nicht bedacht. Ich werde dies alles mal einrichten, werde dann aber wohl auf zwei Managed Switch gehen müssen, da ich die Konsole auch in ein VLAN wo die Hue Bridge drin ist legen möchte. Da in jedes zimmer zwei Netzwerkdosen führen, werde ich an der Firewall einen Managed legen, und dann im verteilerkasen. So kann ich dann in jedem Zimmer eine Dose fürs VLAN1 (normal) und eine fürs VLAN2 (kein Zugriff auf die Daten) legen.Auch für zusätzliche WLANs wie z.B. ein GästeWLAN ließe sich die Anschaffung von managed Switches u.U. vermeiden, da Du den AP über den in der Firewall integrierten Controller verwalten kannst und letzterer seit ZLD4.30 den Tunnelmodus unterstützt - d.h. Du kannst bei einem kompatiblen AP (und der WAC6103 ist ein solcher) den Traffic nicht nur lokal aus dem AP fallen lassen, sondern optional per Tunnel zum Controller bzw. zur Firewall führen und erst dort auskoppeln.
Das ist natürlich super. Muss er dafür an einen Managed Switch oder an einen freien port der Firewall, oder kann er dafür auch an den normalen Switch gehängt werden?Für mich ist nun alles klar. Das einzige was für mich noch nicht ganz klar ist ist der AP. Soll das WLAN ein eigenes VLAN darstellen? Ich habe nun schon beides als Tipp gefunden
Da ich von aussen sehr oft auf das Heimnetzwerk zugreifen musste, waren immer sehr viele Ports offen.
Kein Wunder wenn man es laienhaft falsch macht und mit gefährlichem Port Forwarding arbeitest wie du es gemacht hast.Da muss man sich dann nicht groß wundern.
Mit einem VPN, wie es sinnvoll wäre, hättest du dieses Problem nicht ! Guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
sondern optional per Tunnel zum Controller bzw. zur Firewall führen und erst dort auskoppeln.
Sowas ist uralt Technik und kontraproduktiv von Seiten der Performance, da der gesamte Traffic dann durch das Nadelöhr Controller muss.Sowas macht man bei heutigen WLAN Bandbreiten logischerweise immer mit Local Termination und MSSID fähigen APs.
Sich mit der WLAN Infrastruktur so Hardware abhängig von eimnem hersteller zu machen muss jeder selber entscheiden. Sinnvoll ist das nicht und besser setzt man auf offene Standards.
was für mich noch nicht ganz klar ist ist der AP. Soll das WLAN ein eigenes VLAN darstellen?
Nein, sogar mehrere VLANs. Thema MSSID APs.Lies das hier in Ruhe, dann verstehst du es sofort !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ein VLAN Switch (oder 2) ist also schon eine sinnvolle Anschaffung !
Zitat von @aqui:
Kein Wunder wenn man es laienhaft falsch macht und mit gefährlichem Port Forwarding arbeitest wie du es gemacht hast.
Da muss man sich dann nicht groß wundern.
Mit einem VPN, wie es sinnvoll wäre, hättest du dieses Problem nicht ! Guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Kein Wunder wenn man es laienhaft falsch macht und mit gefährlichem Port Forwarding arbeitest wie du es gemacht hast.
Da muss man sich dann nicht groß wundern.
Mit einem VPN, wie es sinnvoll wäre, hättest du dieses Problem nicht ! Guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Der TO war doch bereits von sich aus zu der Erkennnis gelangt, dass dies unter Sicherheitsgesichtspunkten alles andere als optimal war und kam auch selbst zum dargebotenen Lösungsansatz. Das noch einmal zu erwähnen, war völlig unnötig und dient einzig Deiner Selbstdarstellung sowie dazu, zum 1000sten Mal Deine Tutorials verlinken zu können.
Noch weniger war es in Antracht der Selbsterkenntnis des TO nötig, diesen als Laien zu titulieren. Was gibt es Dir, andere hier häufig indirekt als Idioten hinzustellen und Dich selbst als allwissend zu feiern? Mag ja sein, dass dies einige Member hier beeindruckt - ich empfinde das hingegen eher als unangemessen und peinlich.
Zitat von @aqui:
Sowas macht man bei heutigen WLAN Bandbreiten logischerweise immer mit Local Termination und MSSID fähigen APs.
sondern optional per Tunnel zum Controller bzw. zur Firewall führen und erst dort auskoppeln.
Sowas ist uralt Technik und kontraproduktiv von Seiten der Performance, da der gesamte Traffic dann durch das Nadelöhr Controller muss.Sowas macht man bei heutigen WLAN Bandbreiten logischerweise immer mit Local Termination und MSSID fähigen APs.
Mal wieder ein sehr gutes Beispiel dafür, wie Du wiederholt Aussagen triffst, die an sich zwar nicht völlig falsch sind, deren Absolutheit jedoch nicht stimmt und damit das Vorgetragene entwertet wird. Auch steuerst Du hier wieder einmal zielgenau an den konkreten Rahmenbedingungen des behandelten Themas vorbei.
Hättest Du geschrieben, dass früher controllerbasierte WLAN-Systeme häufig so "gestrickt" waren, dass der Traffic der Accesspoints per Default - teilweise sogar ausschließlich - mittels Tunneling zum Controller geführt und erst dort ausgekoppelt wurde, jedoch spätestens seit Einführung von 802.11n alle Hersteller aus Performencegründen das Defaultverhalten dahingehend geändert haben, dass der Traffic aus den APs lokal ausgekoppelt wird, dann wäre diese Aussage soweit richtig (wenngleich im Kontext des Threads unnötig zu erwähnen) gewesen. Jedoch ist Deine Andeutung, dass damit jegliche Tunneltechniken veraltet und obsoltet sind und Traffic grundsätzlich immer lokal ausgekoppelt wird, absolut nicht korrekt! Das Gegenteil ist der Fall: die Tunneltechniken sind bei den Profisystemen in den letzten Jahren teilweise sogar wesentlich erweitert und verfeinert worden, denn eine lokale Auskopplung mit VLAN-Tagging erfüllt eben bei Weitem nicht alle Anwendungsszenarien und Anforderungen. Man denke beispielsweise an das Thema Layer3-Roaming bei dem je nach Hersteller teilweise sogar dynamisch Tunnel zwischen beteiligten Accesspoints etabliert werden. Schon gar nicht muss man sich - wie Du scheinbar fälschlich annimmst - pro Accesspoint für Tunneling oder für lokales Auskoppeln entscheiden - selbstverständlich geht dies sowohl als auch. Bei einfachen Systemen wie dem hier vorhandenen ZyXEL-System ist dies zumindest pro SSID-Profil konfigurierbar. Bei professionelleren Systemen sind die diesbezüglichen Steuerungsmöglichkeiten teilweise wesentlich vielfältiger.
Im vorliegenden Fall war eine (Teil-)Frage des TO, ob die Beschaffung von (derzeit nicht vorhandenen) VLAN-fähigen Switches erforderlich sei, wenn zu einem späteren Zeitpunkt ein (isoliertes) Gäste-WLAN bereitgestellt werden soll. Mit dem Hinweis auf die in der bereits vorhandenen Hardware zur Verfügung stehenden (optionalen) Tunneltechnik, habe ich dem TO lediglich eine Möglichkeit aufzeigen wollen, wie er diese zusätzlichen Kosten vermeiden könnte, wenn keine weiteren Anforderungen hinzutreten, die eine Implementierung weiterer VLANs auf den Switchen ohnehin erfordern.
Dein Einwand in Hinblick auf eine mögliche Performencereduktion durch die Tunneltechnik ist im konkret vorliegenden Szenario so relevant wie der sprichwörtliche Sack Reis, der in China umfällt. Es geht hier um ein privates Umfeld mit genau einem Accesspoint und vermutlich einer sehr begrenzten Anzahl gleichzeitiger WLAN-Nutzer. Auch geht es für die Gäste um reinen Internettraffic - der muss bereits definitionsgemäß nicht ins lokale LAN, sondern zur Firewall (in diesem Fall mit integriertem WLAN-Controller). Durch lokales Auskoppeln des Gäste-WLANs am AP lässt sich die Firewall also gar nicht von Traffic entlasten! Der CPU-Aufwand für die zusätzliche Enkapsulierung fällt bei der vorhandenen aktuellen Hardware nicht ins Gewicht - die langweilt sich. Natürlich entsteht dadurch zusätzliche Latenz und selbstverständlich sinkt durch den zusätzlichen Protokolloverhead der maximal erzielbare Nettodurchsatz. Das wird in diesem konkreten Szenario jedoch wahrscheinlich deutlich unterhalb der Wahrnehmbarkeitsgrenze liegen. Allein schon weil zu vermuten ist, dass der Maximaldurchsatz des Internetzugangs der begrenzende Faktor sein wird. Aber selbst wenn wir für den Worst Case annehmen würden, dass ein Verzicht auf das Tunneling 1, 2, 5 oder meinetwegen auch 10 Mbit/s mehr Nettodurchsatz bringen würde, dann wäre dieser Nachteil noch immer gegen die Mehrkosten der Beschaffung neuer VLAN-Switches abzuwägen. Bei gelegentlicher Gast-Nutzung im privaten Umfeld erscheint mir diese Abwägung von Kosten und Nutzen doch relativ klar...
Man kann es drehen und wenden, wie man will: Dein Einwand ist im konkreten Szenario nicht stichhaltig und die Absolutheit der getroffenen Aussage fachlich falsch. Der Löwe hat mal wieder laut gebrüllt, aber es war nichts dahinter.
Gruß
sk
1Zitat von @KodaCH:
Ein kosmetischer Verbesserungsvorschlag an dieser Stelle: Warum willst Du für die DMZ die Zone LAN2 nehmen? Naheliegender wäre die vordefinierte Zone "DMZ"...
Das werde ich auf jedenfall machen. Ich werde noch im Handbuch schauen welcher LAN Port dies genau ist. Auf dem Gerät selber steht P4 - P7 LAN/DMZ. Aber wenn bereits einer per Standard vordefiniert ist werde ich diesen auf alle fälle nehmen.Offenkundig hast Du Dich mit der ZyWALL noch nicht tiefergehend beschäftigt. Sie bietet wesentlich mehr Möglichkeiten, als Dir momentan klar zu sein scheint
Zitat von @KodaCH:
Auch für zusätzliche WLANs wie z.B. ein GästeWLAN ließe sich die Anschaffung von managed Switches u.U. vermeiden, da Du den AP über den in der Firewall integrierten Controller verwalten kannst und letzterer seit ZLD4.30 den Tunnelmodus unterstützt - d.h. Du kannst bei einem kompatiblen AP (und der WAC6103 ist ein solcher) den Traffic nicht nur lokal aus dem AP fallen lassen, sondern optional per Tunnel zum Controller bzw. zur Firewall führen und erst dort auskoppeln.
Das ist natürlich super. Muss er dafür an einen Managed Switch oder an einen freien port der Firewall, oder kann er dafür auch an den normalen Switch gehängt werden?Man kann den Traffic einzelner WLANs (der AP kann parallel mehrere ausstrahlen) wahlweise lokal am AP mit optionaler VLAN-ID auskoppeln oder per GRE-Tunnel zum Controller übertragen und erst dort (ggf. mit VLAN-Tag) rausfallen lassen und/oder weiterverarbeiten. Letzteres hätte den Vorteil, dass Du die vorhandenen unmanaged Switches weiterverwenden und dennoch eine Netztrennung zwischen eigenem WLAN und Gäste-WLAN durchsetzen könntest.
Wenn Du aufgrund sonstiger Anforderungen ohnehin VLAN-Switche benötigst, ist das Thema damit natürlich obsolet. Man kann es freilich dennoch als Komfortfeature einsetzen, denn dann brauchst Du auf den Switches ein VLAN weniger anlegen und korrekt konfigurieren. Bei sensiblen Umgebungen nutzt man Tunneling schon mal, um die Folgen möglicher Fehlkonfigurationen auf den Switchen von vornherein auszuschließen.
Zitat von @KodaCH:
Das einzige was für mich noch nicht ganz klar ist ist der AP. Soll das WLAN ein eigenes VLAN darstellen? Ich habe nun schon beides als Tipp gefunden
Das einzige was für mich noch nicht ganz klar ist ist der AP. Soll das WLAN ein eigenes VLAN darstellen? Ich habe nun schon beides als Tipp gefunden
Dies richtet sich nach den konkreten Gegebenheiten, den Anforderungen und vorallem dem Schutzbedarf. Implementierbar ist (fast) alles. Letztlich kann das aber nur von Dir analysiert und entschieden werden.
In Enterprise-Umgebungen ist es z.B. selbstverständlich, das Management-Netz der Accesspoints und ggf. der WLAN-Controller von allen anderen Netzen zu trennen. Schließlich sind die Netzwerkports für die Accesspoints häufig in exponierter Lage und können meinst nicht per Portauthentifizierung oder ähnlichem gesichert werden. Auch Switch- und Firewallmanagement sind üblicherweise abgeschottet. Alle Daten-Netze werden in eigenen VLANs (oder in dedizierten Netzen) geführt. Dies folgt grundlegenden Security-Erwägungen - sprich: möchte ich diese Netze gegeneinander abschotten und/oder über ein feinstufiges Regelwerk miteinander verbinden können? Wenn die Antwort "ja" ist, wird halt getrennt.
Unabhängig von Security-Erwägungen können in größeren Umgebungen aber auch Wegefindung- und/oder Performence-Erwägungen eine Trennung auf Layer 2 und 3 bedingen. Da geht es dann nicht oder weniger um die Durchsetzung von Sicherheitsrichtlinien, sondern z.B. um die Verkleinerung von Broadcast-Domains, Wegeredundanz usw. Sachlich identische Datennetze, die sowohl kabelgebundenen als auch per WLAN bereitstellt werden, werden z.B. häufig bereits zwecks Performenceoptimierung in verschiedene IP-Netze unterteilt, ohne dazwischen jedoch ein Firewallregelwerk zu etablieren.
Aber das sind alles Vorgehensbeschreibungen, die sich auf Unternehmens- oder Behördennetze beziehen. In einem privaten Netzwerk erscheint davon vieles übertrieben. In den typischen Privatnetzen ist das interne Netz regelmäßig dasjenige mit dem höchsten Trustlevel. Die administrative Kontrolle obliegt vollumfänglich einer Person aus der Familie und die restlichen Teilnehmer stammen regelmäßig aus dem engsten Familienkreis mit entsprechendem gegenseitigen Vertrauen. Auch der Accesspoint steht typischer Weise geschützt. Da ist es im Regelfall akzeptabel und völlig hinreichend, wenn es kein separates Management-Netz gibt, sondern dieses mit dem Heimnetz zusammenfällt. Auch eine L3-Segmentierung aus Lastgesichtspunkten macht in diesen Kleinstnetzen meist wenig Sinn - dies erschwert oft nur die Nutzung von Netzwerkdiensten, die auf Broadcasts oder Multicasts angewiesen sind (DLNA, Scannen über Multifunktionsdrucker, NetBIOS-Browsing etc.). Ohne Kenntnis weiterer bisher nicht pubizierter Anforderungen denke ich, dass Du mit der Aufteilung in
1) kombiniertes Heim- und Administrationsnetz (egal ob kabelgebunden oder per WLAN bereitgestellt)
2) DMZ für öff. erreichbare Dienste
3) separiertes Netz für IOT-Geräte/Gebäudetechnik
4) optional separiertes Gästenetz
ausreichend aufgestellt wärst.
Aber wie gesagt: Niemand hier kann Deine Umgebung und Deine Anforderungen so genau kennen, wie Du selbst. Deshalb musst letztlich Du die für Euch beste Lösung finden. Die muss nicht immer dem entsprechen, was andere tun.
Gruß
sk
Vielen Dank für die erneuten Inputs. Unterdessen konnte ich schon sehr viel in Betriebn nehmen. Aktuell fehlt der AP, da ich erst einen neuen PoE Injector bestellen musste
Das Netz habe ich nun mit den üblichen LAN (Hier sind die User drin die auch die Geräte wie die Firewall verwalten dürfen) drin, ein VLAN in dem alle Heimautomatisierungen drin sind, und gleichzeitig die Drucker. Ich wollte da allgemein einfach die Geräte drin haben. Man liest ja immer wieder das auch Geräte wie Drucker gehackt werden. Wenn ich schon VLANs erstellen kann kann es sicher nicht schaden auch wenn es unter umständen wenig Sinn ergibt
Dann habe ich noch ein NAS an den DMZ Port der ZyWall gehängt. Hier werden nur die wenigen Ports geöffnet die ich für zwei Verbindungen benötige. Das NAS an der DMZ hat keinerlei Zugriffe auf das Interne LAN oder andere VLANs
Da ich nur einen AP nutze, werde ich diesen an der ZyWall an Port 6 hängen, da dieser Port gem. User Manual fürs WLAN ist (Denke die anderen gehen auch. Aber das ist ja egal). Für den AP hätte ich dann auch das LAN verwendet, da ich von den Mobilen Geräten Zugriff auf alle Daten und Geräte benötige. Sollte später ein Gästenetz kommen würde ich entsprechend eine weitere SSID erstellen und ein VLAN für die Gäste.
Das mit dem AP sehe ich sobald ich den PoE Injector habe
Gruss
Koda
Das Netz habe ich nun mit den üblichen LAN (Hier sind die User drin die auch die Geräte wie die Firewall verwalten dürfen) drin, ein VLAN in dem alle Heimautomatisierungen drin sind, und gleichzeitig die Drucker. Ich wollte da allgemein einfach die Geräte drin haben. Man liest ja immer wieder das auch Geräte wie Drucker gehackt werden. Wenn ich schon VLANs erstellen kann kann es sicher nicht schaden auch wenn es unter umständen wenig Sinn ergibt
Dann habe ich noch ein NAS an den DMZ Port der ZyWall gehängt. Hier werden nur die wenigen Ports geöffnet die ich für zwei Verbindungen benötige. Das NAS an der DMZ hat keinerlei Zugriffe auf das Interne LAN oder andere VLANs
Da ich nur einen AP nutze, werde ich diesen an der ZyWall an Port 6 hängen, da dieser Port gem. User Manual fürs WLAN ist (Denke die anderen gehen auch. Aber das ist ja egal). Für den AP hätte ich dann auch das LAN verwendet, da ich von den Mobilen Geräten Zugriff auf alle Daten und Geräte benötige. Sollte später ein Gästenetz kommen würde ich entsprechend eine weitere SSID erstellen und ein VLAN für die Gäste.
Das mit dem AP sehe ich sobald ich den PoE Injector habe
Gruss
Koda
