Netzwerk-Segmentierung - macht ihr das?
-
Bei mir ist auch alles ein großes Netz für ioBroker und den Geräten sowie Handys & Co.
Viele Apps für Geräte, z.B. Klimaanlage funktionieren nur wenn diese im gleichen Netzwerk sind und so die Geräte automatisch finden können.
Das so ein einzelner Zwischenstecker gehackt wird - so einfach von außen geht das schon mal nicht, wenn über die Herstellercloud.
Da würde ich eher versuchen, Cloudfrei zu arbeiten, weshalb ich z.B. gerne Tasmota einsetze, aber auch Shelly geht ohne Shelly-Cloud auch lokal sehr gut. ZigBee sowieso, bei Tuya kommt es auf das Gerät an, manche sind nicht lokal steuerbar.Ohne Herstellercloud hat auch den Charme, das einem egal sein kann wenn dieser meint seine Cloud abschalten zu müssen.
@BananaJoe sagte in Netzwerk-Segmentierung - macht ihr das?:
Das so ein einzelner Zwischenstecker gehackt wird - so einfach von außen geht das schon mal nicht, wenn über die Herstellercloud.
Wenn schon Smartphones von Herstellern aus der zweiten Reihe direkt ab Werk mit installierten Backdoors geliefert werden, könnten auch Smart Plugs schon ab Werk mit entsprechenden Werkzeugen als Add-On in der Firmware ausgerüstet sein... insbesondere, wenn man es sich direkt aus China schicken lässt ....
Ich mache mir da aber auch keinen größeren Kopf darüber ...
Ist alles derzeit noch ein großes Netz ....
Mit der Fritzbox wird es schwierig, da etwas Sinnvolles hinzubekommen ...
Und Ubiquiti ist eine US-Firma.... ob man da viel besser geschützt ist, als mit china Zeug
-
Ich fand das auch etwas übertrieben. Bei mir dürfen auch nur ein paar ganz wenige Geräte überhaupt "nach hause telefonieren". Mess-Stecker, Wlan-Schalter usw. die habe ich in der Fritzbox den Internetzugang gesperrt. Ich glaube auch, das der Rechner oder das Handy mit dem im Internet gewühlt wird, viel gefährdeter sind.
-
Ich hab 5 VLANs und entsprechend viele WLANs, aber da ist keins für Smart Home Geräte oder so.
Einerseits reicht mir das schon an Komplexität und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid. Damit wäre es eh aussichtslos das Konsequent durch zu ziehen.Persönlicher Support
Spenden -> paypal.me/J3YC33 -
Ich hab 5 VLANs und entsprechend viele WLANs, aber da ist keins für Smart Home Geräte oder so.
Einerseits reicht mir das schon an Komplexität und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid. Damit wäre es eh aussichtslos das Konsequent durch zu ziehen.@Jey-Cee sagte in Netzwerk-Segmentierung - macht ihr das?:
und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid.
Darf aus dem "keiner" Personenkreis jeder in beliebige der 5 VLANs.... ?
Bei WIFI nutzt man ja unterschiedliche SSIDs und hoffentlich auch unterschiedliche Credentials für die VLANs.
Bei den LAN-Ports sieht es aber schon anders aus ... Wenn die LAN-Ports auf "normalen" LAN Dosen in den Büros hängen, ist das Aufwand, da Grenzen zu setzen hoch (Radius? MAC-Whitelists)
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 13) on Proxmox 9.1.5)
Linux pve 6.17.9-1-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.20 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@Jey-Cee sagte in Netzwerk-Segmentierung - macht ihr das?:
und andererseits, sagt mir hier eh keiner wenn er ein neues Gerät ins Netz hängt bescheid.
Darf aus dem "keiner" Personenkreis jeder in beliebige der 5 VLANs.... ?
Bei WIFI nutzt man ja unterschiedliche SSIDs und hoffentlich auch unterschiedliche Credentials für die VLANs.
Bei den LAN-Ports sieht es aber schon anders aus ... Wenn die LAN-Ports auf "normalen" LAN Dosen in den Büros hängen, ist das Aufwand, da Grenzen zu setzen hoch (Radius? MAC-Whitelists)
@MartinP 3 VLANs sind für die Mietparteien, heißt das geht mich nix an was dahinter passiert.
Zwischen den VLANs kann keiner hin und her. Aber die "keiner" Fraktion hat die Angewohnheit Dinge aus und um zu stecken wenn etwas nicht funktioniert wie sie das erwarten. Also wäre jede Restriktion über das minimum hinaus eher Kontraproduktiv. -
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
- Fritzbox: 192.168.130.1
- Server und AccessPoints: 192.168.130.xxx
- Stromzähler, Wallbox, Solar etc.: 192.168.135.xxx
- Geräte Kind 1: 192.168.140.xxx
- Geräte Kind 2: 192.168.145.xxx
- inventwo: 192.168.150.xxx
- Smarthome Aktoren indoor: 192.168.160.xxx
- Smarthome Aktoren outdoor: 192.168.165.xxx
- Meine Geräte: 192.168.170.xxx
- Geräte meiner Frau: 192.168.175.xxx
- DHCP: 192.168.200.xxx
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
@Beowolf sagte in Netzwerk-Segmentierung - macht ihr das?:
Macht ihr das? Wenn ja, gibt es da einen sinnvollen "Fahrplan"?
Ich habe 4 VLANs und trenne so sauber meine Netze.
- VLAN für Kabelgeräte
- VLAN für Internes WLAN
- VLAN für Gast WLAN
- VLAN für IoT
Mit Firewall Routing kann ich aber trotzdem einzelne Dienste erreichen.
So kann ich zb. iobroker im IoT Netz von meinem Kabel Netz erreichen. -
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
@Beowolf sagte in Netzwerk-Segmentierung - macht ihr das?:
Macht ihr das? Wenn ja, gibt es da einen sinnvollen "Fahrplan"?
Ich habe 4 VLANs und trenne so sauber meine Netze.
- VLAN für Kabelgeräte
- VLAN für Internes WLAN
- VLAN für Gast WLAN
- VLAN für IoT
Mit Firewall Routing kann ich aber trotzdem einzelne Dienste erreichen.
So kann ich zb. iobroker im IoT Netz von meinem Kabel Netz erreichen.@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
Meine Recherche dazu:
Sehe ich das falsch?
#TeamInventwo
• Autodarts by inventwo
• FoxESS Cloud by inventwo
• vis-inventwo & vis-2-widgets-inventwo
• vis-icontwo & vis-2-widgets-icontwo -
@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
Meine Recherche dazu:
Sehe ich das falsch?
-
@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
@skvarel sagte in Netzwerk-Segmentierung - macht ihr das?:
Ich habe gar nichts getrennt nur nach Personen und Arten sortiert.
Subnetz auf 255.255.128.0
Ob das so förderlich ist? Du hast zwar ein rießiges Netz, aber auch einen rießigen Broadcast Traffic.
Meine Recherche dazu:
Sehe ich das falsch?
Das stimmt schon, aber wenn das Netz wächst, dann steigt auch der Broadcast Traffic.
Nächster Nachteil ist auch, dass du nicht sauber steuern kannst. Heißt jeder kann mit jedem "reden".
Bei VLAN Trennung kannst du hier sauber den Riegel vorschieben.
-
Das stimmt schon, aber wenn das Netz wächst, dann steigt auch der Broadcast Traffic.
Nächster Nachteil ist auch, dass du nicht sauber steuern kannst. Heißt jeder kann mit jedem "reden".
Bei VLAN Trennung kannst du hier sauber den Riegel vorschieben.
@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
Bei VLAN Trennung kannst du hier sauber den Riegel vorschieben.
Das geht aber auch nur bei entsprechend vorhandener Hardware/Infrastruktur. Diese effizient zu nutzen ist sicher kein Fehler, aber für jemand der aktuell mit ner Fritte mit Gäste-WLAN und "dummen" Switchen arbeitet sind VLAN's wohl eher eine sinnfreie Überlegung, es sei denn er investiert richtig in andere Hardware. Das aber extra deswegen bzw. nur für VLAN's zu machen, weil es eben "toll" ist dass man es kann, dürfte jede anständige Kosten-/Nutzen-Rechnung ad absurdum führen.
Ich habe selber ein umfangreiches Unifi-System und auch bewusst zumindest die "Amazon-Schnüffler" in ein eigenes VLAN gepackt, aber eben auch nur weil die Infrastruktur eh da ist und ein komplettes 2-Familienhaus incl. Gäste-WLAN mit Voucher-Zugang damit gemanaged wird.
Markus
Bitte beachten:
Hinweise für gute Forenbeiträge
Maßnahmen zum Schutz des Forums -
@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
Bei VLAN Trennung kannst du hier sauber den Riegel vorschieben.
Das geht aber auch nur bei entsprechend vorhandener Hardware/Infrastruktur. Diese effizient zu nutzen ist sicher kein Fehler, aber für jemand der aktuell mit ner Fritte mit Gäste-WLAN und "dummen" Switchen arbeitet sind VLAN's wohl eher eine sinnfreie Überlegung, es sei denn er investiert richtig in andere Hardware. Das aber extra deswegen bzw. nur für VLAN's zu machen, weil es eben "toll" ist dass man es kann, dürfte jede anständige Kosten-/Nutzen-Rechnung ad absurdum führen.
Ich habe selber ein umfangreiches Unifi-System und auch bewusst zumindest die "Amazon-Schnüffler" in ein eigenes VLAN gepackt, aber eben auch nur weil die Infrastruktur eh da ist und ein komplettes 2-Familienhaus incl. Gäste-WLAN mit Voucher-Zugang damit gemanaged wird.
@Samson71 sagte in Netzwerk-Segmentierung - macht ihr das?:
Das geht aber auch nur bei entsprechend vorhandener Hardware/Infrastruktur
....und entsprechend vorhandenem KnowHow!
-
@wusa sagte in Netzwerk-Segmentierung - macht ihr das?:
Bei VLAN Trennung kannst du hier sauber den Riegel vorschieben.
Das geht aber auch nur bei entsprechend vorhandener Hardware/Infrastruktur. Diese effizient zu nutzen ist sicher kein Fehler, aber für jemand der aktuell mit ner Fritte mit Gäste-WLAN und "dummen" Switchen arbeitet sind VLAN's wohl eher eine sinnfreie Überlegung, es sei denn er investiert richtig in andere Hardware. Das aber extra deswegen bzw. nur für VLAN's zu machen, weil es eben "toll" ist dass man es kann, dürfte jede anständige Kosten-/Nutzen-Rechnung ad absurdum führen.
Ich habe selber ein umfangreiches Unifi-System und auch bewusst zumindest die "Amazon-Schnüffler" in ein eigenes VLAN gepackt, aber eben auch nur weil die Infrastruktur eh da ist und ein komplettes 2-Familienhaus incl. Gäste-WLAN mit Voucher-Zugang damit gemanaged wird.
@Samson71 sagte in [Netzwerk-Segmentierung - macht ihr das?](/
es sei denn er investiert richtig in andere Hardware. Das aber extra deswegen bzw. nur für VLAN's zu machen, weil es eben "toll" ist dass man es kann, dürfte jede anständige Kosten-/Nutzen-Rechnung ad absurdum führen.
Ich habe selber ein umfangreiches Unifi-System und auch bewusst zumindest die "Amazon-Schnüffler" in ein eigenes VLAN gepackt, aber eben auch nur weil die Infrastruktur eh da ist und ein komplettes 2-Familienhaus incl. Gäste-WLAN mit Voucher-Zugang damit gemanaged wird.
Soo teuer sind einfache managed Switches auch nicht ...
Ich habe inzwischen etwa 7 Switches über das Haus verteilt ...
6x8-Port Switches und 1 5-Port POE-Switch für Kameras etc...Erst waren es 3x8-Port Switches, alle non managed ...
Inzwischen sind es 3 Managed Switches, und die non-managed Switches wurden degradiert ... (unter Schreibtische geschraubt oder Zimmerverteilung)Die Managed Switches sind Netgear GS308A und TP-Link SG108D...
Kosten im Angebot um die 30€, kaum mehr als unmanaged Switches ...
Derzeit nutze ich aber VLAN nicht, die Pläne sind aber in der Schublade ....
zwei der managed Switches bilden das Rückgrat der LAN-Verteilung im Haus. Einer auf dem Dachboden für die LAN-Steckdosen im Obergeschoss, einer im Keller für die LAN Steckdosen im Erdgeschoss ...
Wenn ich mich an das Projekt VLANs mache, bin ich also vorbereitet ...
Ich würde heute keine Non-Managed Switches mehr kaufen (Außer vielleicht für PoE) ... Alleine, dass es eine Web-Oberfläche gibt, über die man aus der Ferne schauen kann, welche LAN-Ports aktiv sind und mit welcher Geschwindigkeit ist schon ein Gewinn, ohne dass man VLANs nutzt ...
Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 13) on Proxmox 9.1.5)
Linux pve 6.17.9-1-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.20 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
@Samson71 sagte in [Netzwerk-Segmentierung - macht ihr das?](/
es sei denn er investiert richtig in andere Hardware. Das aber extra deswegen bzw. nur für VLAN's zu machen, weil es eben "toll" ist dass man es kann, dürfte jede anständige Kosten-/Nutzen-Rechnung ad absurdum führen.
Ich habe selber ein umfangreiches Unifi-System und auch bewusst zumindest die "Amazon-Schnüffler" in ein eigenes VLAN gepackt, aber eben auch nur weil die Infrastruktur eh da ist und ein komplettes 2-Familienhaus incl. Gäste-WLAN mit Voucher-Zugang damit gemanaged wird.
Soo teuer sind einfache managed Switches auch nicht ...
Ich habe inzwischen etwa 7 Switches über das Haus verteilt ...
6x8-Port Switches und 1 5-Port POE-Switch für Kameras etc...Erst waren es 3x8-Port Switches, alle non managed ...
Inzwischen sind es 3 Managed Switches, und die non-managed Switches wurden degradiert ... (unter Schreibtische geschraubt oder Zimmerverteilung)Die Managed Switches sind Netgear GS308A und TP-Link SG108D...
Kosten im Angebot um die 30€, kaum mehr als unmanaged Switches ...
Derzeit nutze ich aber VLAN nicht, die Pläne sind aber in der Schublade ....
zwei der managed Switches bilden das Rückgrat der LAN-Verteilung im Haus. Einer auf dem Dachboden für die LAN-Steckdosen im Obergeschoss, einer im Keller für die LAN Steckdosen im Erdgeschoss ...
Wenn ich mich an das Projekt VLANs mache, bin ich also vorbereitet ...
Ich würde heute keine Non-Managed Switches mehr kaufen (Außer vielleicht für PoE) ... Alleine, dass es eine Web-Oberfläche gibt, über die man aus der Ferne schauen kann, welche LAN-Ports aktiv sind und mit welcher Geschwindigkeit ist schon ein Gewinn, ohne dass man VLANs nutzt ...@MartinP sagte in Netzwerk-Segmentierung - macht ihr das?:
Soo teuer sind einfache managed Switches auch nicht ...
[...]
Die Managed Switches sind Netgear GS308A und TP-Link SG108D...Ich fange hier ganz sicher keine Diskussion dazu an, aber bei solchen Low-Budget-Bastellösungen ist es erst recht notwendig genug von
@Homoran sagte in Netzwerk-Segmentierung - macht ihr das?:
entsprechend vorhandenem KnowHow!
zu haben. Mal davon abgesehen, dass ich die letzten beiden "kleinen" 8-Port-Switche (ohne POE) gerade erst ersetzt und die 16er und 24er Hauptswitche auf einem extra Aggregation Switch zusammengeführt habe.
Wenn man sich das geben möchte x verschiedene Switche alle einzeln mit unterschiedlichen Oberflächen managen zu wollen - nur zu.
-
Das gibt meine Vekabelung nicht her.
Wenn man nur einen Switch nutzt, muss man alle Leitungen an diesen heranführen...
Da scheint mir ein baumartig strukturiertes Netzwerk mit Unter-Sternen kostengünstiger, als eine reine Sterntopologie.Intel(R) Celeron(R) CPU N3000 @ 1.04GHz 8G RAM 480G SSD
Virtualization : unprivileged lxc container (debian 13) on Proxmox 9.1.5)
Linux pve 6.17.9-1-pve
6 GByte RAM für den Container
Fritzbox 6591 FW 8.20 (Vodafone Leih-Box)
Remote-Access über Wireguard der Fritzbox -
Das gibt meine Vekabelung nicht her.
Wenn man nur einen Switch nutzt, muss man alle Leitungen an diesen heranführen...
Da scheint mir ein baumartig strukturiertes Netzwerk mit Unter-Sternen kostengünstiger, als eine reine Sterntopologie.@MartinP sagte in Netzwerk-Segmentierung - macht ihr das?:
Wenn man nur einen Switch nutzt
Wer sagt, dass man nur einen Switch nutzen soll? Ich habe auch alles von Unifi. Da hängen aktuell zwei unterschiedliche Switche hinter einem 16-Port. Und ich kann alle über eine Oberfläche konfigurieren und jedem Port auf jedem Switch die benötigten VLAN zuteilen. Wenn man dann an einem Ort später mehr Steckplätze benötigt, kann man auch einen unmanaged Switch anschließen. Da haben dann eben alle Anschlüsse das gleiche VLAN.
Wenn man z.B. für den Außenbereich einen AP und eine Cam und vielleicht noch andere Geräte verwendet, reicht es ein Netzwerkkabel nach außen zu verlegen und die Geräte per PoE zu versorgen. Aber auch Indoor ist das praktisch. Nur ein Kabel zu jedem Gerät und wenn man den Hauptswitch an einer USV betreibt, bleiben auch alle Geräte in Betrieb wenn der Strom ausfällt. Ist aber wieder ein anderes Thema.
Und wie bei allen Themen entscheidet die eigene Geldbörse und das Interesse was man sich anschafft. Was ist einem Bequemlichkeit und Sicherheit wert? Wie intensiv möchte man sich mit Netzwerktechnik beschäftigen? Brauch ich das? Will ich das? Diese Fragen muss jeder für sich selbst beantworten.
-
@MartinP sagte in Netzwerk-Segmentierung - macht ihr das?:
Wenn man nur einen Switch nutzt
Wer sagt, dass man nur einen Switch nutzen soll? Ich habe auch alles von Unifi. Da hängen aktuell zwei unterschiedliche Switche hinter einem 16-Port. Und ich kann alle über eine Oberfläche konfigurieren und jedem Port auf jedem Switch die benötigten VLAN zuteilen. Wenn man dann an einem Ort später mehr Steckplätze benötigt, kann man auch einen unmanaged Switch anschließen. Da haben dann eben alle Anschlüsse das gleiche VLAN.
Wenn man z.B. für den Außenbereich einen AP und eine Cam und vielleicht noch andere Geräte verwendet, reicht es ein Netzwerkkabel nach außen zu verlegen und die Geräte per PoE zu versorgen. Aber auch Indoor ist das praktisch. Nur ein Kabel zu jedem Gerät und wenn man den Hauptswitch an einer USV betreibt, bleiben auch alle Geräte in Betrieb wenn der Strom ausfällt. Ist aber wieder ein anderes Thema.
Und wie bei allen Themen entscheidet die eigene Geldbörse und das Interesse was man sich anschafft. Was ist einem Bequemlichkeit und Sicherheit wert? Wie intensiv möchte man sich mit Netzwerktechnik beschäftigen? Brauch ich das? Will ich das? Diese Fragen muss jeder für sich selbst beantworten.
@Dr.-Bakterius mit deinem letzten Absatz hast du großteils recht.
Muss jeder entscheiden.
Mir würden vlan keinen Vorteil bringen. Mir langt WLAN und Gast WLAN. Wobei 2. eher auch nicht notwendig ist. -
ich hab vor einem Monat von der Fritzbox auf Unifi (cloud gateway ultra mit mehreren Switches und APs) umgestellt. Genau aus diesem Grund. 78 iot Wlan Geräte waren mir dann doch zu viel fürs private Netz. Der Umstieg war erstaunlich einfach und ich bin mega zufrieden.
-
@MartinP sagte in Netzwerk-Segmentierung - macht ihr das?:
Wenn man nur einen Switch nutzt
Wer sagt, dass man nur einen Switch nutzen soll? Ich habe auch alles von Unifi. Da hängen aktuell zwei unterschiedliche Switche hinter einem 16-Port. Und ich kann alle über eine Oberfläche konfigurieren und jedem Port auf jedem Switch die benötigten VLAN zuteilen. Wenn man dann an einem Ort später mehr Steckplätze benötigt, kann man auch einen unmanaged Switch anschließen. Da haben dann eben alle Anschlüsse das gleiche VLAN.
Wenn man z.B. für den Außenbereich einen AP und eine Cam und vielleicht noch andere Geräte verwendet, reicht es ein Netzwerkkabel nach außen zu verlegen und die Geräte per PoE zu versorgen. Aber auch Indoor ist das praktisch. Nur ein Kabel zu jedem Gerät und wenn man den Hauptswitch an einer USV betreibt, bleiben auch alle Geräte in Betrieb wenn der Strom ausfällt. Ist aber wieder ein anderes Thema.
Und wie bei allen Themen entscheidet die eigene Geldbörse und das Interesse was man sich anschafft. Was ist einem Bequemlichkeit und Sicherheit wert? Wie intensiv möchte man sich mit Netzwerktechnik beschäftigen? Brauch ich das? Will ich das? Diese Fragen muss jeder für sich selbst beantworten.
@Dr.-Bakterius sagte in Netzwerk-Segmentierung - macht ihr das?:
@MartinP sagte in Netzwerk-Segmentierung - macht ihr das?:
Wenn man nur einen Switch nutzt
Wer sagt, dass man nur einen Switch nutzen soll?
Darauf habe ich geantwortet:
und die 16er und 24er Hauptswitche auf einem extra Aggregation Switch zusammengeführt habe
Vielleicht habe ich es falsch verstanden....
Zusammengeführt muss nicht heißen "ersetzt"
Support us
282
Online32.7k
Benutzer82.5k
Themen1.3m
Beiträge