Netzwerk-Segmentierung - macht ihr das?
-
ich glaube auch, das es sehr aufwändig ist.
Die meisten consumer geräte (router,switches) bieten auch nicht so die Konfigurationsmöglichkeiten an, da muss man dann zu profigeräten greifen, die dann um einiges teuerer sind. ok beim router könnte man auf openwrt oder so gehen, was auch schon viel möglichkeiten hat.soviel ich mich noch aus vergangene Projekte erinnern kann, wird im Profibereich eher auf VLANs oder interne VPNs gesetzt. Dazu muss man dann aber sehr virtuos mit dem/den firewalls umgehen können. der bestimmt letztendlich welche päckchen wohin weitergegeben werden darf.
broadcasts (was oft zum erkennen der geräte im netzt verwendet wird funktioniert nur innerhalb eines netzwerksegments) und multicasts müsste dann auch entsprechend gefiltert werden.
@OliverIO sagte in Netzwerk-Segmentierung - macht ihr das?:
broadcasts (was oft zum erkennen der geräte im netzt verwendet wird funktioniert nur innerhalb eines netzwerksegments) und multicasts müsste dann auch entsprechend gefiltert werden.
es kommt auf die Marke an.. unifi kann das inzwischen..
-
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
- Fritzbox: 192.168.130.1
- Server und AccessPoints: 192.168.130.xxx
- Stromzähler, Wallbox, Solar etc.: 192.168.135.xxx
- Geräte Kind 1: 192.168.140.xxx
- Geräte Kind 2: 192.168.145.xxx
- inventwo: 192.168.150.xxx
- Smarthome Aktoren indoor: 192.168.160.xxx
- Smarthome Aktoren outdoor: 192.168.165.xxx
- Meine Geräte: 192.168.170.xxx
- Geräte meiner Frau: 192.168.175.xxx
- DHCP: 192.168.200.xxx
-
Bei mir ist auch alles ein großes Netz für ioBroker und den Geräten sowie Handys & Co.
Viele Apps für Geräte, z.B. Klimaanlage funktionieren nur wenn diese im gleichen Netzwerk sind und so die Geräte automatisch finden können.
Das so ein einzelner Zwischenstecker gehackt wird - so einfach von außen geht das schon mal nicht, wenn über die Herstellercloud.
Da würde ich eher versuchen, Cloudfrei zu arbeiten, weshalb ich z.B. gerne Tasmota einsetze, aber auch Shelly geht ohne Shelly-Cloud auch lokal sehr gut. ZigBee sowieso, bei Tuya kommt es auf das Gerät an, manche sind nicht lokal steuerbar.Ohne Herstellercloud hat auch den Charme, das einem egal sein kann wenn dieser meint seine Cloud abschalten zu müssen.
@BananaJoe sagte in Netzwerk-Segmentierung - macht ihr das?:
Das so ein einzelner Zwischenstecker gehackt wird - so einfach von außen geht das schon mal nicht, wenn über die Herstellercloud.
Wenn schon Smartphones von Herstellern aus der zweiten Reihe direkt ab Werk mit installierten Backdoors geliefert werden, könnten auch Smart Plugs schon ab Werk mit entsprechenden Werkzeugen als Add-On in der Firmware ausgerüstet sein... insbesondere, wenn man es sich direkt aus China schicken lässt ....
Ich mache mir da aber auch keinen größeren Kopf darüber ...
Ist alles derzeit noch ein großes Netz ....
Mit der Fritzbox wird es schwierig, da etwas Sinnvolles hinzubekommen ...
Und Ubiquiti ist eine US-Firma.... ob man da viel besser geschützt ist, als mit china Zeug
-
Ich fand das auch etwas übertrieben. Bei mir dürfen auch nur ein paar ganz wenige Geräte überhaupt "nach hause telefonieren". Mess-Stecker, Wlan-Schalter usw. die habe ich in der Fritzbox den Internetzugang gesperrt. Ich glaube auch, das der Rechner oder das Handy mit dem im Internet gewühlt wird, viel gefährdeter sind.
-
Ich hab 5 VLANs und entsprechend viele WLANs, aber da ist keins für Smart Home Geräte oder so.
Einerseits reicht mir das schon an Komplexität und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid. Damit wäre es eh aussichtslos das Konsequent durch zu ziehen.Persönlicher Support
Spenden -> paypal.me/J3YC33 -
Ich hab 5 VLANs und entsprechend viele WLANs, aber da ist keins für Smart Home Geräte oder so.
Einerseits reicht mir das schon an Komplexität und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid. Damit wäre es eh aussichtslos das Konsequent durch zu ziehen.@Jey-Cee sagte in Netzwerk-Segmentierung - macht ihr das?:
und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid.
Darf aus dem "keiner" Personenkreis jeder in beliebige der 5 VLANs.... ?
Bei WIFI nutzt man ja unterschiedliche SSIDs und hoffentlich auch unterschiedliche Credentials für die VLANs.
Bei den LAN-Ports sieht es aber schon anders aus ... Wenn die LAN-Ports auf "normalen" LAN Dosen in den Büros hängen, ist das Aufwand, da Grenzen zu setzen hoch (Radius? MAC-Whitelists)
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 13) on Proxmox 9.1.5)
Linux pve 6.17.9-1-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.20 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@Jey-Cee sagte in Netzwerk-Segmentierung - macht ihr das?:
und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid.
Darf aus dem "keiner" Personenkreis jeder in beliebige der 5 VLANs.... ?
Bei WIFI nutzt man ja unterschiedliche SSIDs und hoffentlich auch unterschiedliche Credentials für die VLANs.
Bei den LAN-Ports sieht es aber schon anders aus ... Wenn die LAN-Ports auf "normalen" LAN Dosen in den Büros hängen, ist das Aufwand, da Grenzen zu setzen hoch (Radius? MAC-Whitelists)
@MartinP 3 VLANs sind für die Mietparteien, heißt das geht mich nix an was dahinter passiert.
Zwischen den VLANs kann keiner hin und her. Aber die "keiner" Fraktion hat die Angewohnheit Dinge aus und um zu stecken wenn etwas nicht funktioniert wie sie das erwarten. Also wäre jede Restriktion über das minimum hinaus eher Kontraproduktiv. -
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
- Fritzbox: 192.168.130.1
- Server und AccessPoints: 192.168.130.xxx
- Stromzähler, Wallbox, Solar etc.: 192.168.135.xxx
- Geräte Kind 1: 192.168.140.xxx
- Geräte Kind 2: 192.168.145.xxx
- inventwo: 192.168.150.xxx
- Smarthome Aktoren indoor: 192.168.160.xxx
- Smarthome Aktoren outdoor: 192.168.165.xxx
- Meine Geräte: 192.168.170.xxx
- Geräte meiner Frau: 192.168.175.xxx
- DHCP: 192.168.200.xxx
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
@Beowolf sagte in Netzwerk-Segmentierung - macht ihr das?:
Macht ihr das? Wenn ja, gibt es da einen sinnvollen "Fahrplan"?
Ich habe 4 VLANs und trenne so sauber meine Netze.
- VLAN für Kabelgeräte
- VLAN für Internes WLAN
- VLAN für Gast WLAN
- VLAN für IoT
Mit Firewall Routing kann ich aber trotzdem einzelne Dienste erreichen.
So kann ich zb. iobroker im IoT Netz von meinem Kabel Netz erreichen. -
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
@Beowolf sagte in Netzwerk-Segmentierung - macht ihr das?:
Macht ihr das? Wenn ja, gibt es da einen sinnvollen "Fahrplan"?
Ich habe 4 VLANs und trenne so sauber meine Netze.
- VLAN für Kabelgeräte
- VLAN für Internes WLAN
- VLAN für Gast WLAN
- VLAN für IoT
Mit Firewall Routing kann ich aber trotzdem einzelne Dienste erreichen.
So kann ich zb. iobroker im IoT Netz von meinem Kabel Netz erreichen.@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
Meine Recherche dazu:
Sehe ich das falsch?
#TeamInventwo
• Autodarts by inventwo
• FoxESS Cloud by inventwo
• vis-inventwo & vis-2-widgets-inventwo
• vis-icontwo & vis-2-widgets-icontwo -
@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
Meine Recherche dazu:
Sehe ich das falsch?
Support us
257
Online32.7k
Benutzer82.5k
Themen1.3m
Beiträge