Sinnvolle Netzwerk Segmentierung mit VLAN - Erhöhung Datensicherheit und Zugriffsschutz im Heimnetz

  Рет қаралды 6,060

Haus und Technik

Haus und Technik

Күн бұрын

Пікірлер: 33
@stefanm.7261
@stefanm.7261 2 ай бұрын
Interessant, Danke! Jetzt wäre noch spannend, wie die einzelnen Trafficregeln in Unify eingerichtet werden für dieses Beispiel. Das ist nämlich dann wirklich komplex! Wäre klasse, wenn es dazu dann ein ausführliches Video gibt!
@hausundtechnik
@hausundtechnik 2 ай бұрын
Vielen Dank und ja das Thema Traffic Regeln habe ich noch auf meiner ToDo Liste stehen 🙂
@jensboller5929
@jensboller5929 2 ай бұрын
Perfekt auf das Video freue ich mich schon. Klasse Video mach weiter so.
@plohmix-sg9qq
@plohmix-sg9qq 2 ай бұрын
Danke für das Video. War für mich schon mal der richtige Ansatz. Schön wäre es, wenn du im nächsten Schritt ein wenig in die Tiefe gehst(Konfiguration). Wenn ich z.B. meine Kameras im eigenen VLAN habe, wie komme ich von meinem Managementnetz an die Kameras? Umgekehrt, wie verhindere ich, dass die z.B. Kameras auf ein anderes VLAN zugreifen können? Ansonsten hast du genau meinen Geschmack getroffen. Mach weiter so.
@hausundtechnik
@hausundtechnik 2 ай бұрын
Vielen Dank 👍 Ja ein Video zu entsprechenden Traffic Regeln steht noch auf meiner Todo Liste.
@Richard_GIS
@Richard_GIS 2 ай бұрын
Danke für das Video, hast du dir gut überlegt, aber warum der Drucker 'kein Sicherheitsrisiko' ist verstehe ich beim besten Willen nicht - zumindest ausgehend von meinem HP ;-). ich würde den in iot oder smarthome packen, da du ja einstellen kannst das main und vielleicht die kinder eben auf dieses immer zugreifen können.
@hausundtechnik
@hausundtechnik 2 ай бұрын
Vielen Dank 👍und ja, ich habe das Thema Drucker (da sind auch noch 2-3 andere Punkte) noch nicht ganz zu Ende gedacht. Grundsätzlich war erstmal der Gedanke das Gerät wie dargestellt in die Infrastruktur zu packen. Aber Du hast natürlich Recht, am Ende ist es auch eines der Geräte die im Zweifel zu einem Einfallstor werden können. Die Zugriffseinstellungen für z.B. IoT wären da eigentlich nicht anders als im Defaultnetz. Ich habe jetzt ja schon regeln definiert wer auf den Drucker zugreifen darf... Diese müssten ja nur in ein anderes VLAN verweisen...
@olbu
@olbu 22 күн бұрын
VLAN ist für mich noch ein Buch mit 7 Siegeln, will aber auf Unify wechseln. Danke für den ersten Einblick. 1) Wo würde man den Netzwerkdrucker einbinden (VLAN) und wie stellt man sicher, dass sowohl die Kinder als auch Main-Lan dort drucken können? (Der Drucker ist auch Scanner und muss Dokumente am NAS ablegen dürfen) 2) iot: Shelly-Geräte kommunizieren auch gern untereinander, kann man es so konfigurieren, dass diese Geräte untereinander dürfen und auch mit der Steuerzentrale und dem Internet. Andere iot sollen nicht untereinander kommunizieren dürfen (oder erfordert dies ein weiteres iot-WLAN?) 3) smart-home-server: Kinder, Main, iot wollen sich dorthin verbinden. Der Server verbindet sich (abgesehen von der DMZ) mit allen VLAN, oder? (Schließlich lässt sich alles monitoren und steuern) (Main für Backup auf NAS, Adminnetz zur Prüfung welche Geräte online sind (Presence), Drucker Toner, usw. ) Hat dann so ein Server zwangsläufig mehrere Netzwerkinterfaces, als Standbein für die diversen VLAN?
@hausundtechnik
@hausundtechnik 20 күн бұрын
Danke für die Rückmeldung. All die beschriebenen Punkte sind in VLAN Netzen lösbar. Der Großteil lässt sich bei UnFi über sogenannte Traffic Regeln erschlagen. Da wird festgelegt wer was darf und wer nicht. Bei uns dürfen z.B. auch die Geräte aus dem gekapselten VLAN Child auf den Drucker zugreifen. Allerdings die Anzahl der Regeln wird schnell unüberschaubar je detaillierter man das ganze Thema angeht. Also wer jedes Gerät einzeln regelt der hat auch eine Menge Regeln zu erstellen. 🤷‍♂️
@miiichael0815
@miiichael0815 16 күн бұрын
Hallo, sehr gut erklärt. Wie trennst du die IoT Geräte im VLan untereinander ab? Mit den "Private Pre-Shared Keys" brauchst du nur eine Wlan SSID. Gruß Michael
@hausundtechnik
@hausundtechnik 15 күн бұрын
Vielen Dank. - Ich gestehe bislang den IoT Geräten untereinander die Kommunikation zu. Mit den preshared keys habe ich mich noch nicht detailliert auseinandergesetzt... Aber der Winter kommt ja 😉
@andreasgpunkt976
@andreasgpunkt976 2 ай бұрын
Danke für das Video, ich habe es bei mir ähnlich aufgesetzt. Was ich anders gemacht habe, ist z.B. das Default LAN. Hier kommt eigentlich nichts rein, auch nehme ich die VLAN ID 1 aus meinen Trunks raus. Der ganze Datenverkehr läuft nur tagged. Die Verwaltung von Geräten wie Switche, APs usw. läuft über ein separates Management VLAN, wo nur von einer Admin Station/VLAN zugegriffen werden kann. Das "Extern" VLAN ist bei mir das DMZ VLAN wo Server drinnen stehen, die man von Außen braucht, bzw. "Frontend" Server die dann dedizierte Punkt zu Punkt Verbindungen in andere VLANs herstellen
@hausundtechnik
@hausundtechnik 2 ай бұрын
Vielen Dank für Deine Rückmeldung 👍 Vielleicht schwenke ich nochmal ein wenig um auf Deine Idee, die ich recht gut finde nur mit VLANs zu arbeiten, die Infrastruktur in ein "echtes" Management VLAN zu überführen und das Default LAN bis auf das Gateway leer zu lassen. - Da muss ich nochmal drüber nachdenken 😊
@AncapDude
@AncapDude 2 ай бұрын
Sehr gut. Bei mir ist das noch etwas stiefmütterlich. Ich habe nur Gast-WLAN, der Rest ist in einem Netz. Ich habe auch nur eine FB 7590 und glaube nicht, dass ich das mit der so umsetzen kann. Wichtig zu erwähnen finde ich aber, für Nicht-Gast-WLANs auch immer den MAC-Filter zu aktivieren, denn mit den Smartphones ist es zu einfach, die Zugangsdaten weiterzugeben. Dann hat man z.B. bei der FB noch die Option, alle Gast-Geräte zu isolieren, dass die auch nicht untereinander sprechen dürfen. Das finde ich auch wichtig. Beim Haupt VLAN müsste man noch einstellen können, dass das auf die anderen VLANs routen darf, aber nicht umgekehrt. Jetzt brauche ich nur noch passende Hardware, ein VLAN-Switch mit Access Point oder sowas. Kannst du da was empfehlen?
@hausundtechnik
@hausundtechnik 2 ай бұрын
Vielen Dank für Deine Rückmeldung. 👍 Ich habe vor einigen Monaten unser Netzwerk komplett auf UniFi umgestellt. Die FB nutze ich nur noch als Telefonzentrale hinter einem UniFi Gateway. Mit einer FB als Hauptrouter dürften VLAN nur schwer umsetzbar sein. Soweit ich das kenne hat die FB nur ein Default und ein Gast Netzwerk. Das war mit ein Grund die FB auszuphasen.
@MrRomeoforLife
@MrRomeoforLife 2 ай бұрын
Und wie läuft das wenn meine SmartHome Zentrale z.b. iobrocker zugriff auf meine kameras haben soll. Können die vlans untereinander den "sprechen"? Und wie ? Lg ps. Danke für das Video. Weiter so....
@hausundtechnik
@hausundtechnik 2 ай бұрын
Vielen Dank 👍- Ja es gibt die generelle Möglichkeit das über "Firewall" Regeln bzw. bei UniFi gibt es da noch die etwas vereinfachten Traffic Regeln zu lösen. Darüber kann man recht gut definieren welches Gerät z.B. auf Deine Kameras zugreifen darf aber nicht umgekehrt.
@KPTnVAN
@KPTnVAN 2 ай бұрын
Vielen Dank! Ich stehe an der Schwelle, von der Fritzbox auf UNIFi-Gateway zu wechseln, habe aber Befürchtungen, dass in der Umstellungsphase einiges nicht läuft und der gesamte Datenverkehr (zeitweilig) zusammenbricht. Wie könnte man schrittweise oder geräteweise umsteigen? Das heißt, beide Netze laufen parallel und ich übernehme einzelne Geräte vom alten Netz un das neue. Dazu ein Video wäre sehr hilfreich.
@hausundtechnik
@hausundtechnik 2 ай бұрын
Hallo, grob habe ich das schon mal in dem Video kzbin.info/www/bejne/iaCcdHWYfL13kLc beschrieben wie man einen Umstieg von der FritzBox zum UniFi Gateway hinbekommt. Meine Empfehlung lautet da, das Unifi Gateway in das Netzwerk der FB einzubinden, entsprechend zu konfigurieren und dann stückweise umzuziehen. Zum Schluss hängt man dann das Unifi Gateway an den DSL oder GF Anschluss. Danach sind noch ein paar Anpassarbeiten zu machen, ganz übergangslos geht es leider nicht, aber dann sollte es laufen. Mit vernünftiger Vorbereitung ist das gut zu schaffen 😊
@hans-peterschmid7749
@hans-peterschmid7749 2 ай бұрын
Das hast du ja sehr professionell bei dir aufgebaut, fast schon wie in einem Unternehmen - Respekt. Was mich aber interessieren würde ist, wenn du mal nicht verfügbar bist und etwas funktioniert nicht, blickt da noch jemand anderer durch und kann toubleshooten ? Bei mir wäre der "Woman Acceptance Factor" (WAF) bei so einem Konstrukt weit unter Null. Unternehmen haben ja IT-Abteilungen, die sich um sowas kümmern, wenn was nicht läuft.
@hausundtechnik
@hausundtechnik 2 ай бұрын
Vielen Dank 👍 Ja ich muss gestehen, das mit dem Durchblick für andere in der Familie ist etwas schwierig. Ich habe die Hoffnung, das unser Sohn da beizeiten hilft. Aber man kann auch durchaus präventive Maßnahmen ergreifen wie z.B. keine automatischen Updates. Damit vermeidet man schon gut 50% aller bösen Überraschungen. Aber der WAF wäre auch bei einer einfacheren Installation mit FritzBox nur solange vorhanden wie keine Fehler auftreten... 🤷‍♂️
@andreaskoch7480
@andreaskoch7480 2 ай бұрын
Kleiner Verbesserungsvorschlag: Das Default VLAN sollte eher in eine DMZ oder eine Quarantäne münden. Das default VLAN hat ja den Sinn, das dort Geräte landen die nix mit VLAN's anfangen können oder noch nicht konfiguriert sind und die sollten dann besser nicht zwischen den Servern und Management Interfaces der Netzkomponenzen landen. Gerade die gehören ja bestens abgesichert. Zugegeben, ist eher ein Thema im LAN, als im WLAN aber es minimiert Fehler und wer weiß wohin sich das Netz noch entwickelt...
@Horratz
@Horratz 2 ай бұрын
Default Vlan, als Vlan 1 sollte an keinem Port anliegen, da es Vlan hopping ermöglicht. DMZ ist ein Bereich der von außen erreichbar ist, z.b für Dienste die aus dem Internet erreichbar sein sollen.
@hausundtechnik
@hausundtechnik 2 ай бұрын
Vielen Dank 👍 Ja ich denke ich werde das Default LAN in Quarantäne schicken und ein separates Management VLAN aufsetzen in das die Infrastruktur Komponenten gehören.
@eisgreg
@eisgreg 2 ай бұрын
Wie können deine Kinder Drucken oder ihre Daten auf der NAS sichern? Schade das die FritzBox VLans nicht kann und langfristig auch nicht können wird. Somit sind deutlich mehr Geräte (switch gatway accesspoint) die dann auch Strom ziehen um das um zu setzen. Leider hat unifi und co kein all in one Gerät.
@hausundtechnik
@hausundtechnik 2 ай бұрын
Das mache ich über Traffic Regeln. Unser Sohn kann damit aus seinem VLAN mit zugelassenen Geräten z.B. auf den Drucker zugreifen oder aber auch auf seinen Speicherbereich auf dem NAS. Ja, das war mit einer der Gründe auf UniFi zu gehen. Klar es sind mehr Geräte und der Aufwand wird etwas größer, aber man gewinnt auch eine ganze menge an Flexibilität und kann sich sein Netzwerk individuell gestalten. Beim Stromverbrauch kann ich Dich beruhigen, der liegt üblicherweise bei den Komponenten im unteren einstelligen Wattbereich.
@derplattenbau
@derplattenbau 2 ай бұрын
Warum arbeitest du bei den WLANS nicht mit "Private Pre-Shared Keys" ? Anstelle der ganzen SSIDS
@hausundtechnik
@hausundtechnik 2 ай бұрын
Ich muss gestehen, dass ich mit den Pre Shared Keys nicht so wirklich auskenne 🤷‍♂️ Muss ich mich bei Zeiten mal mit beschäftigen. Danke für den Hinweis
@andreaskoch7480
@andreaskoch7480 2 ай бұрын
​@@hausundtechnikKann man bei Unify auch einzelnen Devices eine eigene PPSK geben? Wenn ja, dann könnte man die ja auch nach belieben wieder entziehen und so einzelne Geräte / User rauswerfen. PPSKs haben auch den Vorteil, dass sie den Overhead im WLAN nicht so aufblasen. OK, das ist im Heimnetz aber eine eher akademische Diskussion.
@hausundtechnik
@hausundtechnik 2 ай бұрын
@@andreaskoch7480 Ich bin mit den PPSK noch nicht so vertraut, aber grundsätzlich bietet UniFi das an. Der Punkt wäre allerdings, daß ich ja die unterschiedlichen SSID habe um Geräte voneinander zu trennen und nicht nur um separate WLAN Passwörter zu haben... Ich glaube da muss ich tiefer eintauchen. 👍
@mrotzoll
@mrotzoll Ай бұрын
Dein Beispiel mit dem Netz 192.154.1.0/24 ist leider kein RFC1918 Netz. Sowas sollte man, grade in Beispielen, nicht zeigen und natürlich auch nicht nutzen. Genau dafür sind die privaten Netze gedacht, die nicht geroutet werden.
@hausundtechnik
@hausundtechnik Ай бұрын
Ja das stimmt. Das Beispiel war unbedacht gewählt...
How Many Balloons To Make A Store Fly?
00:22
MrBeast
Рет қаралды 143 МЛН
Noodles Eating Challenge, So Magical! So Much Fun#Funnyfamily #Partygames #Funny
00:33
СКОЛЬКО ПАЛЬЦЕВ ТУТ?
00:16
Masomka
Рет қаралды 3,5 МЛН
Увеличили моцареллу для @Lorenzo.bagnati
00:48
Кушать Хочу
Рет қаралды 8 МЛН
Netzwerk in VLANs unterteilen mit UniFi
16:22
haus:automation
Рет қаралды 53 М.
365 Tage Balkonkraftwerk. Was bringt's?
3:53
Dirk Zimmermann
Рет қаралды 25 М.
Diese 10 wichtigen Elektronik Tools benutze ich immer
16:24
Tuhl Teim DE
Рет қаралды 129 М.
Was ist ein VLAN? einfach erklärt
5:41
Patrick Boekhoven
Рет қаралды 14 М.
DAS ist mein nächstes SmartHome System | verdrahtet.info [4K]
17:35
Heizungstausch - Wärmepumpe oder Gasheizung?
35:25
Haus und Technik
Рет қаралды 22 М.
Ubiquiti macht wieder PRODUKT-BULLSHIT @UbiquitiInc #unifi
14:53
Raspberry Pi Cloud
Рет қаралды 46 М.
Вилка  SONY Англия
1:00
Tehnovlog
Рет қаралды 1,3 МЛН
Мучительная смерть  HUAWEI Mate XT
0:58
Кик Обзор
Рет қаралды 4,2 МЛН
Introducing the "VitaWear SmartBand," a next-generation wearable gadget
0:25
The Kaushal Official
Рет қаралды 2 МЛН
1000 Phone Seve Memory Keypad Mobile 2024
0:43
Tech Official
Рет қаралды 1,2 МЛН
Никогда так не делайте #сборка #пк #pcbuild
0:17
XDOT PC - Игровые ПК
Рет қаралды 1,6 МЛН
Самые УЖАСНЫЕ Dyson наушники! Dyson  #интересное
1:01
ТЕХНОБЛОГ АЛИША
Рет қаралды 205 М.