Was genau verstehst Du unter "reinen APs", bzw. warum fallen die Fritz Repeater für Dich nicht in diese Kategorie? Die kannst Du auch als AP betreiben. Kannst Du über LAN anschließen und über AVM-Mesh kannst Du dann ein zentral konfiguriertes WLAN betreiben incl. der Gast-WLAN Funktion. Wenn Du kein separates WLAN brauchst für Hardware der Du eigentlich nicht vertraust, dann kann es mit dem regulären und den Gäste-WLAN (für ebensolche) ausreichen. Auch wenn das sicher nicht die technisch bestmögliche WLAN-Lösung ist (die dann allerdings nicht mehr ohne individuelle Konfiguration laufen wird).

D.h.: Du hast dann einen DSL-/Kabel-Router und einen Unifi-Router und ein Unifi-L2-Switch? (Und es fehlen trotzdem noch Features?)

Warum sollten VLANs automatisch getrennt sein? Wenn Du zwei physikalische LANs verbindest, dann sind sie auch nicht getrennt. VLANs sind kein Sicherheitsfeature, sondern "nur" ein Konzept zur Einsparung von Netzwerkinfrastrukur. Auch wenn das immer wieder gerne vermischt wird.


An Begeisterungsfähigkeit und Zeit scheint es Dir offensichtlich nicht zu mangeln ;-)
Wireguard soll auf absehbare Zeit übrigens auch in Mikrotitiks RouterOS integriert werden. Vielleicht für Dich mal einen Blick wert…

Ich kann hier noch meine Lieblingsmarke ergänzen, weil sie noch nicht erwähnt wurde: Ich setze auf Draytek Produkte. Die sind für mich ein guter Kompromiss. Eindeutig über dem Heimbereich angesiedelt, aber auch nicht ganz Ciso. Mein Main-Switch ist ein Cisco aus der SG-300 Serie. Mit dem spielen die Draytek Komponenten problemlos zusammen. Ich habe den Eindruck, dass sie Netzwerk-Standards sauber unterstützen und wenig Proprietäres implementieren.

Was mir gefallen hat:

• Breites Portfolio inkl. Outdoor-Accesspoints. (Damit mein Rasenmäher-Roboter und mein Grillthermomether die Verbindung nicht verlieren. Vom Surfen auf der Terrasse ganz abgesehen. )
• Sehr gute Mesh-Unterstützung, sowohl Wired als auch Wireless. Ich habe 4 Access-Points im Einsatz und finde vor allem die automatische Synchronisation der Config mit Mesh gut.
• Fast alle Geräte sind mit optionalen Rackhalterungen verfügbar. Man kann also flexibel zwischen Desktop- und Rackinstallation wechseln.
• Viele VPN Tunnel ohne Aufpreis.
• Vollständige Funktionalität (Webfilter, mächtige Firewall etc.)
• Guter Support

Und nein, ich bekomme keine finanziellen Zuwendungen von Draytek. 😁

Nachteile bisher:

• Der SSL-VPN Client unter Android hat mit neueren Android Versionen Mühe beim Verlassen vom lokalen WLAN automatisch zu re-connecten. (OpenVPN wäre auch möglich, habe ich allerdings noch nicht eingerichtet.)
• Die Accesspoints mit integriertem Switch unterstützen keine VLAN tags für untagged Devices. (Router und normale Switches können das selbstverständlich.)

Ich habe derzeit 7 VLANs mit entsprechenden Subnets. (IoT Geräte, KNX, Management-VLAN, DMZ, "Familien-VLAN" um die "auf alles Klicker" ein wenig einschränken zu können. 😉 etc.)

Der Cisco-Router kann Layer 3 oder Layer 2. Ich betreibe ihn im Layer 2 Modus. Wenn ich mir überlege, wie viel Traffic tatsächlich zwischen den Subnets geroutet wird, ist mir die überschaubare Struktur mit einem L2-Switch lieber als ein nicht benötigtes Quentchen Performance. Man darf den Aufwand und den Know-How-Bedarf nicht unterschätzen die Sicherheit mit Layer 3-Routern zu gewährleisten. Mit L2 und VLANs ist das eher einfach und überschaubar. L3 ist für mich im Heim-Bereich Overkill, wie bereits von meinen Vorrednern gesagt.

FrankMaier bist du sicher, dass der Unifi passiv ist? Ich bin mir bei dem konkret jetzt nicht sicher, weiß aber, dass es dazu einige falsche Angaben online gibt. Die Gen 1 ist definitiv aktiv und hat keine haushaltstaugliche Lüftersteuerung. Bei der Gen 2 glaube ich zwar, dass ein Lüfter verbaut ist, Unifi hat das Konzept aber stark überarbeitet und der Lüfter kennt jetzt nicht nur aus und Höllenlärm, sondern auch Zwischenstufen, so dass er wahrscheinlich sogar ins Schlafzimmer eingebaut werden könnte.

livingpure Die sicherste Quelle wird wohl das Datenblatt zum USW-24-PoE sein:
https://dl.ubnt.com/ds/usw_poe_ds
"The UniFi PoE Switch features fanless, silent thermal cooling*, so it can be deployed in areas where fan noise would be distracting. * Fanless switches must not be stacked."

In erster Linie trennen VLANs nur Broadcastdomains. Das damit Netzwerkinfrastruktur eingespart werden kann ist kein vorrangiges Ziel.
https://de.wikipedia.org/wiki/Virtua...l_Area_Network

Ich stimme zu, das so eine Segmentierung etwas zuviel ist. Grundsätzlich sollte eine Segmentierung Geräte mit unterschiedlichen Sicherheitsniveaus trennen. Geräte mit gleichen Sicherheitsanforderungen können in einem Segment bleiben. An der Übergängen der Netzsegmente können dann Regeln angewendet werden, die den Übergang beschränken.

Gemeinhin wird das mittels VLANs (Segmentierung) und Routern (mittels ACLs) oder Firewalls realisiert.

Die schwierigste Aufgabe ist das Festlegen der Sicherheitsniveaus für die Segmente und dann die Zuordnung der Netzwerkgeräte. Also eher eine Planungsaufgabe. Aber das kennen ja alle schon von der Planung von KNX Installationen.😉

Wenn ihr VLAN's plant, plant iht dann auch - in jedem VLAN - Reserve Ports für neue Geräte mit ein?
Als Folge wäre dann auch ein größerer Switch erforderlich.

Ansonsten muß man sich bei jedem neuen Gerät mit der Konfig rumschlagen.

Ins Grüblen komm ich wenn VLAN und Sicherheit in einem Satz lese ....
( Sicherheit sollte auch eine Firewall beinhalten )

Meine leeren, freien Ports sind keinem VLAN zugewiesen. Wenn ich ein neues Gerät einstecke, dann muss ich halt kurz die Konfig öffnen. Zuweisung Port -> VLAN sind vielleicht 2 Klicks, das ist glaube ich zumutbar.
Und alle Geräte welche via WLAN dazu kommen, erhalten ihr VLAN durch die passende Auswahl der SSID des entsprechenden Netzes, da muss man als nix mehr an der Konfig anpassen.

Das ist sicher korrekt - passende Firewallregeln für das Routing zwischen den VLANs wäre sicher besser zu lesen

Grüsse
Paolo

Ist es nicht so, dass die Firewall und die Routing-Regeln eben auf die jeweiligen Geräte optimal abgestimmt sein sollten?
Das geht doch am besten beim Einsatz von VLANs, oder kennst du eine bessere Lösung, wenn man nicht alles über einen Kamm scheren möchte?

Walter

Mein Verständnis ist
- Ein VLAN ist wie eine Fahrspur einer Autobahn
- Die Fahspur kann ich welchsen auch wenn's eigentlich nicht zulässig ist
- Unterschiedliche Fahrspuren halten den Verkehr besser am laufen ( PKW / LKW )
- Eine Leitplanke zwischen den Fahrspuren kann den Spurwechsel behindern aber nicht verhindern

Hab einiges zu VLAN's gelesen und sehe bei mir bisher mehr Aufwand als Nutzen.
Laß mich aber auch gerne belehren
Habe 0 praktische Erfahung mit VLAN's

VLANs sind nicht die einzige Möglichkeit um diese Trennung zu erreichen. Früher(TM) hätte man das mit mehr Hardware (aktive Komponenten als auch Übertragungsstrecken) lösen können und müssen.

Gehen wir mal vom MikroTik Switch CRS328 aus

Mit welcher SW würdet ihr euch zuerst beschäftigen?
- RouterOS ( Router )
- SwOS ( Switch )

Es soll ja keine Lebensaufgabe werden

Sind für die SW noch Lizenskosten zu entrichten??

Ich habe eh mehr LAN-Dosen im Haus als Porst am Router, Wenn also ein neues fix positioniertes gerät hinzukommt, muss eh erstmal geschaut werden ob die Dose zum Switch durch gepatched ist, dann halt die notwendige Portzuordnung in der Konfig und dann sollte es losgehen.

Servus Göran,

wenn Du VLAN's hast, welchen Sinn erfüllen die bei Dir bzw. rechtfertigen den Aufwand ??

Es ist eben die Aufteilung wer darf wohin schauen ohne jedem Einzelnen Gerät spezielle FW Regeln basteln zu müssen. Die Zuordnung zu den Gruppen regelt wer wohin kommunizieren darf und von wo aus man drauf darf.

Da das alles IP ist, ist es grundsätzlich ja per Definition unsicher. Aber zum guten Gefühl ist es eben besser Als einfach nur ne FB. Hab halt noch nen zweites Haus mit PC-Legastheniker bewohnt die stöpseln alles möglich an die LAN-Buchsen und ins WLAN, das will ich mit den mir noch halbwegs verständlichen verständlichen Mitteln von den eigenen Geräten separieren.

Demnach VLANs
- Nebenhaus
- Meine Geräte (PC / Laptop / Handy)
- Haustechnik/Server
- Gäste
- IoT-mit Internet, da haben einige aber dann doch FW regeln, damit die Content ziehen/liefern aber nicht unbedingt nach Hause funken.
- IoT komplett lokal

Ein gezielter Angriff auf meine Anlage / Person wird das wahrscheinlich nicht abhalten, aber so exponiert bin/ halte ich mich nicht. die üblichen einfachen Bots die einfach mal quer durch netz wühlen, sollte man so aber ein wenig wegsortiert bekommen.