Hallo, ich hoffe ich bin hier richtig, auch wenn die Frage nicht wirklich OPNsense spezifisch ist:
Ich bin aktuell bei der Planung ein einziges (Heim)Netz in mehre VLAN aufzuteilen. Ein Hauptgrund ist u.a., die ganzen Smarthome & IOT Geräte vom "Heimnetz" mit Laptops und Desktops zu trennen. Vereinfacht sind gerade 2 Netze (vermutlich trenne ich die noch weiter auf, das imo aber für die Fragestellung nicht relevant) geplant:
- Heimnetz: Laptops, Desktops, Server, Smartphones
- IOT: Alexa, TV, Konsolen, Tasmota, WLED
Für Internet-IOT Devices ist das dann vermutlich auch ohne weiteren Aufwand okay wenn diese aus dem IOT-Netz ins Internet dürfen. Aber wie würdet ihr jetzt lösen, dass ihr (zeitweise) aus dem Heimnetz auf jedes beliebige Gerät im IOT Netz zugreifen könnt wenn das Gerät eben nicht im Internet hängt (z.B. um eine WLED/Tasmonta Config zu ändern oder ein Firmware Update zu machen)?
Ich habe im Augenblick mehre Lösungsideen die mir alle mehr oder weniger Komfortabel/Sicher erscheinen:
- Einfach den Zugriff aus dem Heimnetz ins IOT Netz aufmachen? ggf. das IOT Netz in Trusted (WLED, Tasmota) und Untrused (z.B. Alexa) teilen?
- Einzelne Regeln für die Devices die man verwalten muss/will (~ 30 Stk)
- VPN ins IOT Netz?
- Jumphost über Remote Desktop o.ä.
- Laptop/Rechner über LAN/WLAN ins andere Netz einhängen zur Verwaltung
Würde mich über eure Erfahrungen / eure Best Practices / ganze andere Lösungsideen freuen. Ich habe dazu leider noch nicht wirklich was im Netz gefunden. Die meisten Diskussionen decken nur den "einfachen" Use-Case mit Internet IOT Devices ab.
Wenn du den IoT Geräten nicht traust, den Geräten in deinem LAN aber schon, weshalb ist es dann ein Problem von LAN nach IoT alles zu erlauben, so lange der ungekehrte Weg "dicht" ist?