Umfrage zum Thema VLAN im Heimnetz
-
Aus Sicherheitsgründen ist es ja angebracht, die China-Smart-Home Gadgets (Wechselrichter, Schalt-Steckdosen, Smart-TVs etc) in ein separates WLAN bzw VLAN zu packen.
Gibt es da Ansätze, die Foristen vielleicht vorstellen wollen?
Mir fiele da ein
- Ubiquiti
- Fritzbox Gastnetz
- OpenWrt basierte Router
Nutzt ihr zwei SSIDs+VLAN auf den Access-Points, oder separate APs für normales und IOT Netz?
Auch User, die sagen "ist mir egal" oder "ist mir zu kompliziert" - "alles in ein Netz" mögen doch hier posten....
Vielleicht UP-Votes, wenn z. B, jemand schon über sein Ubiquiti Netz geschrieben hat, und man nichts ergänzendes zu sagen ist,wenn man selber ubiquiti einsetzt.
-
@martinp Ich habe alles von Ubiquiti (unifi: UCG Ultra; US 16 PoE 150W; USW Flex; US 8; AC LR; AC Lite; AC Mesh). Dabei habe ich drei VLAN und entsprechende SSIDs. Eines für meine PCs, Handys, Tabletts, Proxmox, usw., eines für IoT und eines für Alexa. Dazu entsprechende Firewall-Regeln um manchen Geräten den Internetzugang zu sperren oder Brücken zwischen den VLAN.
-
@martinp sagte in Umfrage zum Thema VLAN im Heimnetz:
Auch User, die sagen "ist mir egal" oder "ist mir zu kompliziert" - "alles in ein Netz" mögen doch hier posten....
Gilt für mich...
-
@dr-bakterius sagte in Umfrage zum Thema VLAN im Heimnetz:
@martinp Ich habe alles von Ubiquiti (unifi: UCG Ultra; US 16 PoE 150W; USW Flex; US 8; AC LR; AC Lite; AC Mesh). Dabei habe ich drei VLAN und entsprechende SSIDs. Eines für meine PCs, Handys, Tabletts, Proxmox, usw., eines für IoT und eines für Alexa. Dazu entsprechende Firewall-Regeln um manchen Geräten den Internetzugang zu sperren oder Brücken zwischen den VLAN.
genauso so und noch etwas mehr auseinandergedroeselt hab ich es auch, noch eins fuer security, storage, development, work-1/2 ... kann man machen, wenn Networking Hobby ist, muss man aber nicht.
Bei mir mit 600 Devices notwendig und durch Unifi leicht zu controllen.Wer nur n paar ( ich sag mal unter 50 ) Devices hat, kann die Echos ins Gastnetzwerk haengen und den Rest in einem Netz, fertig.
Subnetting waere noch ein Thema, um was abzugrenzen durch routing, aber das ist kein eigenes Lan(oder vlan)
-
Ich hab IOT vom Nutzer Netzwerk getrennt, aber nicht aus in meiner Ansicht nach unsinnigen Sicherheitsaspekten, sondern weil Nutzer keinen Zugriff auf den IOT Kram haben sollen. Da meine Netzwerkkomponenten aus den USA/China stammen ,wüsste ich jetzt nicht, wie ich das ganze gegen die USA abschirmen sollte.
Die USA halte ich für eine deutlich größere Bedrohung für mein Nerven als ein Land das einfach nur mein Geld will.
Alexa in einem eigenen vlan wäre noch eine Idee.
-
@ticaki sagte in Umfrage zum Thema VLAN im Heimnetz:
wüsste ich jetzt nicht, wie ich das ganze gegen die USA abschirmen sollte.
Mit Unifi geht das indem man Länder bzw. Regionen blockiert (eingehend / ausgehend / beides).
-
@dr-bakterius Ist die Frage, ob man dem, was der US-Hersteller der Unifi Hardware da unter "blockieren" versteht traut ...
Vielleicht wird - wenn man die USA blockiert - alles bzgl USA außer die IP-Ranges der US-Geheimdienste blockiert ...
-
@martinp in der heutigen Zeit kann man da keinem trauen, von daher.. fuer den Heimgebrauch ausreichend.
Abgesehen davon koennte man den Laenderfilter umgehen, indem man einen deutschen Server nimmt, der dann wieder rum ...
Ansonsten gilt fuer Firewalls : alles dicht, nur das, was gebraucht wird, wird aufgemacht.
-
@ilovegym Ich habe jetzt zumindest mal im Fritzbox basierten Heimnetz etwas aufgeräumt...
Das Wlan Gastnetz habe ich schon vorher mit einem SSID-Key versehen, aber im 1200AX Repeater noch nicht aktivert gehabt, ist jetzt nachgeholt ...
In der Fritzbox Netzwerknamen und WLAN-Netzwerkschlüssel vergeben und den Haken bei "WLAN-Geräte dürfen untereinander kommunizieren" gesetzt...
Dann noch im 1200 AX unter Gastnetz den Haken bei "Einstellungen für den Gastzugang aus der FRITZ!Box übernehmen" gesetzt...
Jetzt gibt es unter der Gastnetz SSID vier Zugriffspunkte...
Ein LAN-Port an der Fritzbox ist auch noch frei, den könnte ich auch auf Gastzugang setzen, in der Hoffnung, dass das Reicht, um mit den Gast WLAN-Geräten zu kommunizieren...
Der Proxmox-MINI-PC auf dem iobroker in einem LXC Container läuft, hängt aber noch an einem normalen 8-port-Switch, der müsste noch durch eine managed Switch ersetzt werden.
-
Ich bin bei dem Thema auch etwas lost.
Meine Fritte funkt gar nicht. Das macht ausschließlich ein Unifi AP Pro.
Mit 2 getrennten SSID für 2,4 & 5 GHz.Die Fritte hängt als Router am Glasfaser-Modem und macht DHCP.
Den China-Geräten² habe ich in der Fritte den Ausgang gesperrt.
Leider nicht für die TP-Link TC-60, da die den zwingend für NTP brauchen. Dass die Fritte eigentlich den NTP-Server spielt, scheint die Dinger nicht zu interessieren.Die Fritte und der Unifi hängen zwar an einem managed Switch, aber in den einzelnen Räumen wird mit einfachen Switches weiter verteilt, so dass sich IoT und sonstige Devices da nicht trennen lassen.
²
Nur noch der Govee-Strip, der Wechselrichter und die beiden TP-Link-AP.
Alles andere läuft mit OpenSource oder kommt nicht aus China oder USA. -
Ich habe eine opnsense als firewall
Als vlan habe ich private, iot, gast, management und viop. Ich habe auch dmz, nutze ich aber nicht mehr. Für die vermietete wohnung gibt es auch noch ein eigenes.
Je vlan habe ich auch ein wlan, ausser viop und management.
Als acesspoints habe ich 4 mal openwrt. Fie fritte macht nur noch telefonie -
Ich habe gerade am Wochenende eine separate Fritz!Box 4050 installiert - ausschließlich als MeshMaster für das WLAN und meine 5 Repeater (2x 3000er und 3x 1200er). Zuvor hat die Fritz!Box am Kabelanschluss das gemacht. Zusätzliche noch eine Fritte am Glasfaseranschluss war das größte Problem den anderen beiden auszutreiben das diese nicht MeshMaster sind aber trotzdem einen Internetzugang bereitstellen sollen.
Weil die Fritz!Boxen nur 2 Netze können - das Hauptnetz und das Gastnetz - ist alles in einem großen Netzwerk mit 22er Maske (255.255.252.0)
Also keine VLANs, keine Trennung für die China-Cloud-Dinger.
Die Internetverbindung sperre ich für solche Geräte per Kindersicherung der Fritz!Box.
Ich habe einen eigenen DNS am laufen und fake so z.B. die Zeitserver für die Überwachungskameras,time.windows.comwird dann z.B. mit einer lokalen IP aufgelöst. Und einen separaten DHCP über den ich jedem Gerät auch abweichende Einstellungen zukommen lassen kann, z.B. anderes Gateway oder DNS Server.Das ganze aus 2 Gründen:
-
Klar, die Ubiquiti finde ich an sich auch ganz Cool (und war schon kurz vor dem Kauf). Ich mache das sogar beruflich Netzwerk und WLAN (meist Aruba/HPE), dann mit diversen Netzen und oft auch mit Domänenauthentifizierung. Umso mehr genieße ich das es zu Hause ohne Schnickschnack einfach funktioniert, das Roaming ist ein Traum. Vom Keller bis zum Dachboden schwankt der Empfangsbalken mal kurz nach unten und dann wieder hoch, alles ohne Unterbrechungen.
-
Bei einer Menge Geräten stößt VLAN bzw. unterschiedliche Adressbereiche an seine Grenzen. Die notwendige App, Software, der Adapter oder die Geräte untereinander finden sich nur im selben Netzwerk
Ja, wenn meine Familie wollte könnte die eine Menge im Netzwerk machen/sehen/finden. Vielleicht sogar Blödsinn machen. Machen die aber nicht.
Ich habe - als VM - noch eine pfSense im Einsatz hinter der sich ein eigenes Netz befindet. Diese dient aber hauptsächlich zum Zertifikate anfordern und verteilen. Und eine VM wird durch diese Geschützt per Geo-Blocking (Zugriff nur aus Deutschland) weil die Fritz!Box das nicht kann.
Dank der extra FritzBox für das Mesh könnte ich das WLAN ggf. eine Ebene nach hinten schieben bzw. eine "richtige" Firewall zwischen Internet und meinen Netzwerk packen. Das wäre ggf. etwas was ich noch im Urlaub in Angriff nehmen würde. Dann könnte ich auch einen automatischen Failover zwischen den beiden Internetanschlüssen realisieren.
-
-
@bananajoe sagte in Umfrage zum Thema VLAN im Heimnetz:
Ja, wenn meine Familie wollte könnte die eine Menge im Netzwerk machen/sehen/finden. Vielleicht sogar Blödsinn machen. Machen die aber nicht.
Um die Familie geht es mir weniger, sondern um die "smarten" Geräte aus China. Wenn die boshaft werden, könnten die schon Unheil betreiben.
Ein Szenario
Dem Smart-Home-Gadget mit Mac 12:34:56:78:90:AB ist von Dir per Fritzbox der Internet-Zugang verwehrt worden...
Irgendwann wird das Smart-Home Gerät Böse, ändert seine Mac auf 09:87:65:43:21:AB, und bucht sich als neues Gerät ins Heimnetz ein...
Kann man in der Fritzbox irgendwie verhindern, dass sich unbekannte Geräte in das Heimnetz einbuchen können?
Bei WLAN, kann man einen Haken bei "WLAN nur für bekannte Geräte" setzen (was dann bei Android-Geräten, die routinemäßig ihre MAC-Adresse ändern ein Problem werden könnte). Für LAN habe ich etwas entsprechendes nicht gefunden.
-
@martinp sagte in Umfrage zum Thema VLAN im Heimnetz:
Vielleicht wird - wenn man die USA blockiert - alles bzgl USA außer die IP-Ranges der US-Geheimdienste blockiert ...
Ich verwende Pi Hole um unliebsame Adressen zu blocken. Wenn dir das auch nicht reicht, bleibt nur den Internetzugang zu sperren.
Wenn man ein Log mitlaufen lässt, erkennt man welchen Datenverkehr welches Endgerät macht. So kann man zumindest erkennen wohin Verbindungen aufgebaut werden. Die kann man blockieren und danach versuchen ob das Gerät noch so funktioniert wie es soll. Wenn nicht, entweder Verbindung entsperren oder Gerät entsorgen.
-
@dr-bakterius Nunja, wenn man ein Log mitlaufen lassen will, muss man eine Routerkaskade errichten, und unsichere Kantonisten hinter einen zweiten Router packen, oder man schickt die Fritzbox in Rente oder nutzt sie nur noch als Modem. Bei der Fritzbox wird man wohl ausreichend tiefgehende Analysen nicht machen können.
-
@martinp sagte in Umfrage zum Thema VLAN im Heimnetz:
man schickt die Fritzbox in Rente oder nutzt sie nur noch als Modem.
Genau das.
-
@bananajoe sagte in Umfrage zum Thema VLAN im Heimnetz:
Ich habe einen eigenen DNS am laufen und fake so z.B. die Zeitserver für die Überwachungskameras, time.windows.com wird dann z.B. mit einer lokalen IP aufgelöst
Das müsste doch auch AdGuard-Home können, oder?
Dann müsste ich nur mal herausbekommen, welchen NTP die TC-60 anrufen. -
@martinp sagte in Umfrage zum Thema VLAN im Heimnetz:
Kann man in der Fritzbox irgendwie verhindern, dass sich unbekannte Geräte in das Heimnetz einbuchen können?
Klar! Über die Kindersicherung.
Kann ich gerade nur nicht zeigen weil ausnahmsweise mal im Office, -
@codierknecht
Aber nur wenn es keine bekannte Mac-Adresse nutzt - für sowas wirklich sicher zu machen braucht mal zertifikate da bin ich aber überfragtHm wobei ich hab mal vor Ewigkeiten einem Rechner das quatschen im Internet verboten und der ist dann halt über ip6 raus gegangen ^^. Scheint als wenn der Filter über IP funktioniert.
-
@codierknecht Ahh, manchmal hat man eine Denkblockade...
Alle über das LAN neu angeschlossenen Geräte kommen in das "Standardprofil" - wenn man das "vernagelt" kann man die bekannten Geräte, die "dürfen" einem anderen Profil zuweisen, was man ggfs auch neu erzeugt ...
Habe die Profile "Unbeschränkt" und "gesperrt" wohl irgendwann schon angelegt....
