Netzwerk sinnvoll segmentieren

    Hallo zusammen,

    da ich mich, dank einem anderen Thread, intensiv mit der Anschaffung von UniFi Hardware beschäftige, u.a. mit dem Ziel mehr Kontrolle und Einsicht in das eigene Netzwerk zu bekommen, spielt das Thema Netzsegmentierung auch immer mit rein.

    Wie man hier und da liest, werden verschiedene VLANs aufgespannt eben um Hardware und Netze zu segmentieren. Unabhängig von der Verbindungsart (LAN/WLAN) liest man auch immer wieder IoT Geräte vom Heimnetz zu trennen, dazu noch ein Gäste-WLAN, ein Kameranetzwerk, und was einem noch so einfällt.

    Die Fragen die ich mir stelle:
    - Was ist der grundlegende Gedanke dahinter? Sicherheit? Überblick? ...?
    - Wie sieht eine sinnvolle Segmentierung in einem typischen Smarthome Haushalt (wie ihn hier viele betreiben) aus? Also z.B. wenn IoT Netzwerk, was kommt da rein... wo zieht man die Grenze? Ist ein Server oder ein NAS der z.B. unter anderem HA hostet noch Heimnetz oder schon IoT?
    - Wenn man ein Kameranetz hat, das muss ja seine Daten auch dem IoT Netzwerk bereitstellen.
    - Speziell auf die UniFi Hardware, aber trotzdem eher allgemein: Wie steuert man sinnvoll den gegenseitigen Zugriff der unterschiedlichen VLANs untereinander? Dinge aus dem Bereich IoT müssen ja nicht nur aufs Internet zugreifen, sondern ggf. auch auf Geräte im Heimnetz. Einen gegenseitigen Vollzugriff wird man ja nicht machen, sonst würde auch die Segmentierung weniger Sinn machen.

    Für mich verschwimmen die Grenzen da ziemlich schnell. Aktuell kenne ich nur FRITZ!Box mit seinem Netzwerk und dem Gast-(W)LAN und den bekannten Einschränkungen. Ich möchte erstmal die Basis hinter so einer Taktik verstehen. Kann da bitte jemand bisschen Licht ins Dunkel bringen, wie er es gelöst hat und warum genau so?

    iPhone 14 Pro, iPad Air (4th Gen), Pencil 2, Watch Series 7, tv 4K(2nd Gen) & tv HD, MacBook Pro 14" M2 (2023), Apple Studio Display, AirPods Pro (2nd Gen), 4x AirTag, Music Familienabo, iCloud+
    Synology DS720+ (18GB RAM, 2x6TB HDD, 2x1GB NVMe), DS118 (Offsite Backup), Proxmox Homelab: Dell OptiPlex Micro 7060 (Intel i7-8700T, 32GB RAM)

    Zitat von senderversteller

    Kann da bitte jemand bisschen Licht ins Dunkel bringen, wie er es gelöst hat und warum genau so?

    Au ja, das wäre echt interessant.

    IPv4 und dessen IP-Adressen und Netzmasken verstehe ich ja problemlos, die 7 Schichten auch und auch die 5 Sicherheitsregeln (nein, das ist ein anderes Netz). Aber bei VLAN und IPv6 hört es bei mir völlig auf.

    Bisher habe ich einfach den Geräten, die Services zur Verfügung stellen (Proxmox, Home Assistant, Adguard, Drucker, Apple TV, NAS, etc) feste Bereiche innerhalb des einen Segments gegeben, smarte Geräte wie LED, Steckdosen etc. haben auch einen Bereich. Ein anderer Teil wird per DHCP frei vergeben.

    Rechnerhistorie

    Z80: ZX81
    68k: Atari Mega ST, PAK-030, FRAK, Performa 475, Quadra 660AV
    ARM: Messagepad 120, Messagepad 2100
    PowerPC: Pios Magna, PowerMac G3, PowerBook G3 Lombard, PowerMac 8600, iBook G3, PowerBook G4, Cube G4
    Intel: Mac mini 2012, MacBook Pro 2012, Mac Pro 2013 10-Core
    ARM: Mac mini M1

    carsten_h Dito

    iPhone 14 Pro, iPad Air (4th Gen), Pencil 2, Watch Series 7, tv 4K(2nd Gen) & tv HD, MacBook Pro 14" M2 (2023), Apple Studio Display, AirPods Pro (2nd Gen), 4x AirTag, Music Familienabo, iCloud+
    Synology DS720+ (18GB RAM, 2x6TB HDD, 2x1GB NVMe), DS118 (Offsite Backup), Proxmox Homelab: Dell OptiPlex Micro 7060 (Intel i7-8700T, 32GB RAM)

    Vielleicht hilft das hier schon weiter:

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    Das Video ist schon sehr gut, Danke. Habe mir von Jan Pörtner schon viele Videos zu UniFi Hardware angesehen - aber ausgerechnet dieses nicht 🫣

    Die Einstellmöglichkeiten sind schon sehr gut, so dass ich vermutlich auch die Site-to-Site IPSec VPN Verbindungen mit den FRTIZ!Boxen bei meinen Eltern und Schwiegereltern gut herstellen und mit Zugriffsregeln gut ausgestalten kann.

    Ich würde gerne bei Pi-Hole und Unbound als netzwerkweiten DNS für alle VLANs bleiben (anstatt auf die Filter von UniFi zu setzen). Pi-Hole läuft bei mir unter Proxmox auf einem Mini-PC als LXC, d.h. der LAN-Port an dem der Mini-PC hängt, muss aus jedem VLAN erreichbar bleiben... und damit sind auch alle anderen Services, die auf dem Proxmox Server laufen für jedes VLAN erreichbar. Wie könnte man das isoliert lösen?

    iPhone 14 Pro, iPad Air (4th Gen), Pencil 2, Watch Series 7, tv 4K(2nd Gen) & tv HD, MacBook Pro 14" M2 (2023), Apple Studio Display, AirPods Pro (2nd Gen), 4x AirTag, Music Familienabo, iCloud+
    Synology DS720+ (18GB RAM, 2x6TB HDD, 2x1GB NVMe), DS118 (Offsite Backup), Proxmox Homelab: Dell OptiPlex Micro 7060 (Intel i7-8700T, 32GB RAM)

    Zitat von senderversteller

    Wie könnte man das isoliert lösen?

    Meine Antwort wird Dir nicht wirklich weiter helfen. Zumindest beim WireGuard VPN kann ich direkt die IP des pi-holes Raspis eintragen und der wird auch genutzt:

    t Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community!

    Ich musste da sonst nichts weiter tun hat einfach funktioniert..
    . Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community!

    Was Du so vorhast, hört sich nach größerer Netzwerk-Kunst an.

    Wie es gehen könnte?!?: Der Port am UDM Pro, wo Proxmox dranhängt als per Port-Profile konfigurieren, sodass alle VLAN-Tags durchgereicht werden. Auf dem Raspi dann pro VLAN ein virtuelles Interface (eth0.10, eth0.20, ...) mit einer IP aus dem jeweiligen VLAN-Subnetz anlegen. Pi-Hole auf allen Interfaces lauschen lassen. Im UDM Pro je VLAN den Raspi als DNS-Server eintragen.

    Ggf. zur Absicherung per iptables auf dem Raspi eingehenden Traffic auf den VLAN-Interfaces auf Port 53 beschränken – damit sind SSH und andere Services von den VLANs aus nicht erreichbar.

    Schon klar, dass Du die FritzBox raushaben willst...

    Z1013, iMac G4/800 17", iMac Retina 5K 27", MacBook Air 13″ (M3), Mac mini (M4 pro), iPhone 16 Pro Max, 256GB, iPad Pro 11" (M4), Apple TV 4k und HD, HomePod minis, Apple Watch SE 44 mm

    Zitat von djiwondee

    Schon klar, dass Du die FritzBox raushaben willst...

    Würde sagen, dass ich ambitionierter Netzwerkbastler bin 😆 Aber viel mehr Ahnung habe ich davon auch nicht - und staune immer wieder was so Leute wie Dennis Schröder und Co. alles machen. Aber ich hab sowas auch nie wirklich gelernt.

    Ich werde, wenn ich mich durchgerungen habe auf den großen "Bestellen"-Knopf für die UniFi Hardware zu klicken (ca. 1000 EUR), erstmal klein mit einem VLAN anfangen - und dann nach und nach das Ausbauen/Segmentieren. Nur um nicht sofort alles zu wollen und dann nur gefrustet zu sein, weil gar nix mehr geht.

    Thema Pi-Hole/Unbound: Ich betreibe Unbound nicht als Resolver, sondern gleich im Hyperlocal Mode. Dazu wird die Root-Zone Datei einmal täglich neu auf Unbound geladen und er tut so, als wäre er ein DNS Root-Server. Es werden also im ersten Hop auch nicht die Root-Server befragt, sondern gleich die TLD-DNS-Server (Root-Zone liegt ja lokal vor). Ich möchte damit möglichst alle DNS-Leaks vermeiden und niemandem (Google, CloudFlare, Telekom, ...) irgendwelche Spuren geben, wo wir wann rumsurfen. Das ist etwas paranoid, aber ich hab Spaß dran :saint:

    Zitat von djiwondee

    Meine Antwort wird Dir nicht wirklich weiter helfen. Zumindest beim WireGuard VPN kann ich direkt die IP des pi-holes Raspis eintragen und der wird auch genutzt:

    Das mit WireGuard als iPhone - WireGuard (VPN) - UDM-SE - Pi-Hole wird schon funktionieren, da habe ich keine Bedenken.

    Ich hab mir nur überlegt wie man das Pi-Hole, das auf der selben Hardware (selber LAN Port) läuft wie z.B. Home Assistant, isolieren kann und jedem VLAN zur Verfügung stellen kann - während HA nicht von jedem beliebigen Gerät erreichbar sein muss... wobei: HA so zentral ist, dass es eigentlich auch von überall erreichbar sein muss.

    Ich sag ja, die Grenzen sind schwimmend - und ich möchte nicht am Ende nur noch am Regeln verwalten sein.

    iPhone 14 Pro, iPad Air (4th Gen), Pencil 2, Watch Series 7, tv 4K(2nd Gen) & tv HD, MacBook Pro 14" M2 (2023), Apple Studio Display, AirPods Pro (2nd Gen), 4x AirTag, Music Familienabo, iCloud+
    Synology DS720+ (18GB RAM, 2x6TB HDD, 2x1GB NVMe), DS118 (Offsite Backup), Proxmox Homelab: Dell OptiPlex Micro 7060 (Intel i7-8700T, 32GB RAM)

    Das ist ja ein toller Hinweis, dass man nicht zig verschiedene WLAN SSIDs hat, sondern dass es über das Kennwort gesteuert werden kann, welches VLAN das WLAN Gerät nutzt. Ist das speziell von UniFi oder gibts es das auch bei anderen Netzwerkausrüstern? Gefällt mir immer besser deren Hardware/UniFi OS :thumbup:

    iPhone 14 Pro, iPad Air (4th Gen), Pencil 2, Watch Series 7, tv 4K(2nd Gen) & tv HD, MacBook Pro 14" M2 (2023), Apple Studio Display, AirPods Pro (2nd Gen), 4x AirTag, Music Familienabo, iCloud+
    Synology DS720+ (18GB RAM, 2x6TB HDD, 2x1GB NVMe), DS118 (Offsite Backup), Proxmox Homelab: Dell OptiPlex Micro 7060 (Intel i7-8700T, 32GB RAM)

    Pre-shared Key gehört m. E. zu den WLAN Standards für Security. Sieht so aus, als hätte UNIFI hier ein echtes gute Feature daraus gemacht, das VLAN "Routing" damit zu steuern.

    Allerdings diese gute Funktion "Enhanced IoT Connectivity" gilt halt nur fürs WIFI. Warum kann das wichtig sein: Hast Du ältere IoT Devices, die vertragen sich u. U. nicht mit WIFI SIDs, die alle Bänder unter dem selben Namen anbieten. Gab schon früher bspw. bei Aqara und älteren Eve-Geräten den Hinweis, dass man zum Konfigurieren nur das 2,6 Band aktiv haben sollte...

    Ich habe in der Tat deswegen drei Netze aufgespannt (Home, Guest, Home-IoT), wobei Guest i. d. R. aus ist...

    Aber cooles Feature!!!

    Z1013, iMac G4/800 17", iMac Retina 5K 27", MacBook Air 13″ (M3), Mac mini (M4 pro), iPhone 16 Pro Max, 256GB, iPad Pro 11" (M4), Apple TV 4k und HD, HomePod minis, Apple Watch SE 44 mm

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden