Starthilfe bei Netzwerk-Segmentierung

[Mobel]

Hallo zusammen,

ich bin Neuling in Netzwerkthemen und lese mich langsam Stück für Stück ein.

Mein Ziel ist es, dass eine Opnsense-Firewall meinen ISP-Router erstmal ablöst und ich nach und nach weitere Features nachrüsten kann (Adblock, VPN, NAS-Zugriff von unterwegs, usw.)
Aber ersteinmal stehe ich am Anfang.

Als Hardware habe ich:

• Einen Intel-i5 SFF-Rechner als Opnsense-Hardware mit Intel-NICs (in Summe 5 Ports). Hier recycle ich einfach einen alten PC...
• Einen Netgear R7800-Router mit Openwrt, der hier als WLAN-Access-Point dienen soll. Gewählt habe ich ihn, weil er schon da ist und sein WLAN sehr gut ist. Er kann aber nur eine SSID für alle WLAN-Geräte bzw. wären mehrere SSID wegen der Bandbreitenreduzierung nicht optimal.

Ich habe folgende Endgeräte-Gruppen:

• Blau: User, die ins Internet dürfen und Zugriff auf grüne Geräte haben.
• Grün: Geräte, die mit Usern kommunizieren dürfen, aber sonst nix dürfen (->kein Internet).
• Rot: TVbox des ISP, der ins Netz darf und mit Usern kommunizieren darf für Chromecast.
• Gelb: Gäste, die ins Internet dürfen, aber im lokalen Netz nix dürfen. Jeder Neuling im lokalen Netz ist automatisch ein Gast.
• Grau: Admin ist mein PC, der nur zur Einrichtung/Wartung direkt an der Firewall hängt. Der Port ist ansonsten nicht belegt und mein PC ist ansonsten ein User über WLAN.

In Summe habe ich ca. 20 Endgeräte.
Internetanschluss hat 1000Mbps down/400Mbps up.
So sieht mein Netzwerk aus bzw. so würde ich es gerne aussehen lassen.

VLAN100 auf WAN ist für den Internetzugriff schon gesetzt.

Zu meinem Problem: Wie würde eine sinnvolle Segmentierung/Gruppierung/Aufteilung aussehen? (Welcher Begriff passt hier?)

1. Konzept: Ich arbeite mit VLANs.
1.1 Ich fasse die Ports em1, em0, em4 mit LAG zusammen. Von Bridging wird ja allgemein abgeraten und soll wohl mit VLANs nicht so gut funktionieren wie LAG.
1.2. Ich erstelle 4 unterschiedliche VLANs für die Gruppen (200,300,400,500) und weise sie dem gebündeltem Port zu.
1.3. Rechtezuweisung in der Firewall über die VLANs.
+ sauber aufgeteiltes Netz und Sicherheit, wenig Betreuung
- eher schlechte inter-VLAN-Performance

2. Konzept: Ich arbeite mit Aliases.
2.1 Ich fasse die Ports em1, em0, em4 mit Bridging zusammen.
2.2. Ich erstelle Alias-Gruppen und trage dort die einzelnen Clients (Hosts) ein
2.3 Rechtezuweisung in der Firewall über die Alias-Usergruppen
+ übersichtlich und sehr einfach aufgebaut
- viel manuelle Arbeit, keine automatischen Gäste

3. Konzept: Ich arbeite mit Radius.
Schritte wie bei 2. Aliases, aber User-/Rechte-Management über (Free-)Radius.
Ich muss ich mich noch tiefer einlesen.
+ übersichtlich und sehr einfach aufgebaut?
- viel manuelle Arbeit?

Wenn ich mich richtig eingelesen habe, dann dürften alle Konzepte irgendwie funktionieren, aber was wäre denn in Sachen Performance und Sicherheit der ,,beste" Ansatz?
Ich habe kein Problem das Netzwerk später über den Haufen zu werfen oder zu erweitern, aber ich bräuchte doch gerne einen kleinen Schubser für den Anfang.

Ich danke euch schonmal!

[bimbar]

Ein sauberes Rechtesystem ist im Heimnetz schwierig.

Es macht keinen besonderen Sinn, Rechte per Alias zu verteilen, und die nachher nicht per VLAN durchzusetzen - sonst kann sich jeder einfach eine andere IP konfigurieren und machen, was er will.
Aliase machen aber als Verwaltungsobjekte für VLANs eine Menge Sinn.

So ein Heimnetz ist leider nur begrenzt per VLAN segmentierbar, da viele Dienste nur im gleichen VLAN funktionieren (UPNP Streaming, chromecast, etc.).

Wo ich also in einem Firmennetz eine ganze Reihe von Rechten vergeben würde (Server, Clients, Backend, DMZ, etc.), habe ich im Heimnetz eigentlich nur Intern und DMZ. Intern darf alles, DMZ darf nur ins Internet, ggf. noch Geräte, die gar nichts dürfen.

[NilsS]

Das würde ich auch so sehen. Du kannst das zwar über ein Bridge Interface machen und die User über Switch 802.1X oder Manuell zuordnen.
Siehe hier https://forum.opnsense.org/index.php?topic=5965.0

aber mach es nicht. Ist es nicht Wert. Du machst dir bei jedem Update in die Hose ob du mit ner Sonderlocke wieder durchkommst.

[JeGr]

Ich muss gestehen ich verstehe die Ansätze der Konzepte nicht so wirklich. Bzw. mich haut es schon raus beim Ansatz, dass an den Ports der Firewall direkt Geräte angeschlossen sind.

Gerade wenn ich mit VLANs und Segmentierung im Netz anfange, dann spielt da eigentlich in den meisten Szenarien ein entsprechender Switch mit VLANs mit. Ansonsten wird das ganze Unterfangen meistens sehr unschön. Warum also nicht alle Geräte sauber hinter der Sense an einem Switch der VLANs (und ggf. noch 802.1x mit MAC) kann?

Dann gestehe ich, dass ich das 1. Konzept nicht verstehe. LAGG - also Link Aggregation! - über 3 Interfaces, bei dem aber an drei Geräte dran hängen? Huh? Wie soll das denn funktionieren?
LAGG oder LACP wenn ausgewählt braucht ein Gegengerät, dass den Standard auch spricht bzw. was mit Link Aggregation anfangen kann. Das kann man nicht einfach als Alternative zu Bridging verwenden :)
LAGG würde man bspw. machen um größere Bandbreite mit multiplen VLANs zur Verfügung zu haben, kommt aber auch erst bei mehreren Clients zum Tragen. Bspw. die Sense mit einem Switch über 2 oder 3 Ports verbinden, über diese LAGG konfigurieren und das auch beim Switch einstellen und dann den aggregierten Port mit 3-4 VLANs bespaßen. Das geht. Aber da muss man hinterfragen ob bei 3 Ports und 3 VLANs das Sinn macht. Da kann ich auch direkt die 3 Ports einfach ganz normal zum Switch ziehen und dort dann entsprechend VLAN konfiguriert taggen.

Die Segmentierung generell hängt auch immer davon ab, wo ich damit hin möchte. Was möchte ich von was segmentieren. ich bin da jetzt nicht ganz bei @bimbar, was das "nur begrenzt" angeht, aber er hat dahingehend recht, dass es schwer ist das einmal initial festzulegen und durchzuziehen. Vor allem wenn es "spezielle" Geräte gibt, die nicht ordentlich routen oder mit IP spielen können, sondern irgendwas "automagisches" machen wird es meistens unschön. LowCost SOHO Drucker mit Autoerkennung und Kram können oft nur im gleichen Netz gefunden werden. Wohingegen halbwegs ordentliche Drucker mit integriertem Druckserver (Brother bspw. hat da bislang selbst für kleine Geldbeutel gute HW) kein Problem haben, wenn man den Drucker in ein eigenes Netz "sperrt" und den Zugriff von einem anderen Netz darauf erlaubt und ihm sonst alles verbietet.

Es hängt also auch sehr von den verwedeten Geräten und Gerätschaften ab, was, wieviel und wie gut man die Geräte trennen kann/sollte oder wieviel Sinn es macht.


Ich mache das tatsächlich hier zu Hause recht erfolgreich aber auch hier gibts kleine Abstriche, auf die man sich geeinigt hat, weil das ansonsten die Trennung ad-absurdum geführt hätte. Bspw. mein Medien-Netz wo Streaming Kram, Sonos Boxen, TVs und Konsolen drin hängen. Chromecast zum Fernseher geht nur, wenn das Mobile im Medien WLAN ist. Da switchen wir dann eben rüber wenn man das braucht. Da das nicht ständig ist, ist das OK und man switcht danach eben wieder zum normalen WiFinetz zurück. Ansonsten ist hier bspw. normales LAN mit PCs und NAS von Infrastruktur (PiHoles, DNS, NTP, Deployment) getrennt, genauso wie Management (Firewall Zugriff, Unifi Geräte Consolen und Controller, Proxmox Konsolen etc.) im eigenen Netz ist. Im Work Netz sind nur Arbeitsgeräte und nur von dort aus gehts per VPN in die Firma, sonst von/nach nirgends. Privat/Arbeit gut getrennt.
Das alles via VLANs getrennt und das VLAN Tag via APs und Switche entsprechend an Hand der Radius User verteilt (WiFi via Radius based VLANs und Login, LAN via 802.1x MAC based).

Ergo: es geht, aber man muss schon klar wissen was man genau haben möchte und was die Einschränkungen sind :)

Cheers
\jens

[dumbo]

Wenn man das alles hier so liest, scheint es nicht so einfach/trivial zu sein, Sonos z.B.  gescheit in einem separaten VLAN betreiben zu können?!

Überlege die ganze Zeit schon, ob es überhaupt Sinn macht zu Hause VLANs zu haben 

[Patrick M. Hausen]

WARUM will man z.B. Sonos in einem separaten VLAN haben? WAS ist das Bedrohungsszenario? WIE hilft das separate VLAN, das Risiko zu verringern?

Weshalb wollen Leute mit wenig bis gar keiner Netzwerkerfahrung dauernd Rechenzentrums-/Enterprise-Technologien in ihrem Heimnetzwerk einsetzen, in einer Art und Weise, die komplexer ist als das, was ich in meinem Rechenzentrum habe ...?


Fragen über Fragen  ;)

[dumbo]

Danke für Dein Feedback.

Ich überlege auch die ganze Zeit, ob man das alles überhaupt braucht.

Wenn man Deine Sätze so liest, dann reicht im Grunde auch ne Fritz.Box zu Hause....

VLANs wollte ich nutzen um zu segmentieren. Aber wenn immer mehr Home Devices (Apple Homekit, Chromecast, Sonos usw.) Probleme machen bzw. es sehr schwierig machen, dann sollte man das wirklich überdenken.

Dachte, dass das Abschotten in VLANs eine "sinnige" Sache sei - und so wirklich vertraue ich Sonos nicht - das ist wahr. Glaube die Tracken unglaublich viel.
Philips Hue z.B. ebenfalls - da geht alles mögliche an deren Server.

[Patrick M. Hausen]

Um mal etwas konstruktiver zur Diskussion beizutragen ...

Devices mit Cloudzwang nutze ich grundsätzlich nicht. Einzige Ausnahme ist ein Apple-TV, weil m.E. bei denen der Datenschutz noch am ehesten respektiert wird. Damit streamen wir Netflix etc. und spielen lokale Inhalte vom TrueNAS ab. Per Infuse-Player und Read-only NFS-Mount.

Aber was soll es denn bringen, so ein Gerät zu isolieren? Das telefoniert maximal nachhause, was du so konsumierst. Das hackt doch nicht aktiv deine PCs ...

Ich halte es daher so - m.E. viel wichtiger: alles, was nicht aus dem Internet erreichbar ist, aber miteinander sprechen will, kommt in ein Netz. Ausgehende Verbindungen erlaubt, AdGuard Home, sonst kein weiterer Firlefanz.

Alles, was aus dem Internet erreichbar ist, Nextcloud, Confluence, Gitea, ... kommt in ein zweites Netz. Aus diesem dürfen die Jails und VMs ins Internet aber nicht ins erste Netz. Umgekehrt dagegen ist der Zugriff natürlich erlaubt. Zusätzlich hab ich auf diesem "Server"-Netz mal Suricata angemacht. Nur IDS, aber mehr Logging ist immer gut.

Hätte ich IoT Zeugs, würde ich mir angucken, wie das genau funktioniert, und dafür evtl. ein drittes Netz einrichten. Ob VLANs oder physisch, ist ja letztendlich wurst, wenn man weiß, was man tut.

Aber den ganzen Multimedia-Kram voneinander und vor allem von den Anwendern zu trennen, ist m.E. sinnlos. Nicht mal mein Drucker/Scanner funktioniert über eine Firewall hinweg. Benutzt link-local IPv6 ... *seufz*

Man *kann* das alles machen - siehe Beitrag von JeGr. Aber dann muss man sich bewusst sein, dass man mit den Endgeräten zwischen WLANs wechseln muss. Und dazu braucht man Access Points, die mehrere SSIDs und idealerweise VLANs können. Und einen Plan  ;)

Nochmal VLANs, weil die so gerne zu Verwirrung beitragen.

Die sind in erster Linie eine Switching-Technologie. Früher gab es auch Switche, die nur "port based" VLANs konnten. D.h. du hast Deinen (z.B.) 16-Port-Switch und teilst ihn in 4x 4 Ports auf. Jetzt hast Du 4 Switche, die untereinander nicht kommunizieren können, aber nur einmal Verwaltung, einmal Strom, etc.

Deinen Router oder Deine Firewall steckst Du da jetzt rein. Mit 4 separaten Interfaces. Dann ist alles schön segmentiert. Aber das ist unpraktisch, weil du 4 Ports "verlierst", und weil es nicht skaliert. Deshalb wurden die Trunk Ports erfunden.

Diese transportieren mehrere VLANs über einen Port. Von deinem Router, deiner Firewall, deinem NAS ... zum Switch und umgekehrt. Du hast dann auf der OPNsense 4 VLAN Interfaces und das erste ist mit den ersten 4 Ports von deinerm segmentierten Switch verbunden, das zweite mit den nächsten 4, etc. pp. Genaue Anzahl von VLANs und Ports natürlich weitgehend beliebig. In den passenden "Sub-Switch" steckst Du dann Geräte, je nachdem, in welchem VLAN die sein sollen.

Du siehst, das Ganze ergibt ohne Switch nicht viel Sinn. Die OPNsense ist kein Switch, die kann das mit den Port-Gruppen pro VLAN nicht. Man kann das mit der Bridge im FreeBSD hinfrickeln, aber es bleibt Gefrickel. Du brauchst einen Switch.

Einzige Ausnahme: ein Access Point, der VLANs und Trunking kann - den kannst Du auch mit einem Kabel in die OPNsense stöpseln und dann fallen da eben n getrennte WLANs raus. Aber ein Access Point ist ja auch ein Wireless Switch  ;)

Hoffe, das ist hilfreich
Patrick

[chemlud]

...
Aber was soll es denn bringen, so ein Gerät zu isolieren? Das telefoniert maximal nachhause, was du so konsumierst. Das hackt doch nicht aktiv deine PCs ...
...

zero trust ist IMMER eine gute Wahl. Immer.

[Patrick M. Hausen]

zero trust ist IMMER eine gute Wahl. Immer.

Solange Aufwand und Nutzen in einem vernünftigen Verhältnis stehen. Das muss aber jeder für sich entscheiden. Mein 10 Jahre alter "Smart TV" hat keinerlei Netzverbindung. Das Apple-TV dagegen schon ...

[JeGr]

> VLANs wollte ich nutzen um zu segmentieren. Aber wenn immer mehr Home Devices (Apple Homekit, Chromecast, Sonos usw.) Probleme machen bzw. es sehr schwierig machen, dann sollte man das wirklich überdenken.

Oder man muss überlegen, ob/welche/was für Geräte man eben überhaupt haben will. Ich brauche bspw. keinen Apple Kram, Chromecast und Sonos Gewächse habe ich in ein eigenes Netz abgeschoben (Szenario schlicht: Gerät mit Internetzugriff weil Streaming isolieren von restlichem Heimnetz weil unnötig). Entweder ich baue mir dann mit Multicast Gewurschtel und uPNP und Gedöns dahin wieder eine Brücke (dann hätte ichs nicht abschieben brauchen ^^) oder ich nehme den Kompromiss in Kauf, dass ich direkt "hinbeamen" nur im gleichen Netz kann. Dank WiFi mit radius based VLANs und 2. SSID ist das kein Problem und ist mit einem Klick erledigt. Positiver Nebeneffekt: Man kann nicht "versehentlich" auf Geräte streamen weil man per default nicht im Streaming Netz ist. Schon in Firmen gehabt, dass da jemand nur schnell was auf den Beamer packen wollte und plötzlich das Familienvideo lief (oder andere :D).

Work/Home Netzbereiche per VLAN trennen macht ebenfalls Sinn, gerade bei so viel Work from Home und gerade wenn man nicht nur einen Laptop hat, der sich in die Firma einwählt. Dann macht es Sinn eben ein extra Work VLAN zu haben, in das nichts reindarf, und der dann ggf. via VPN in die Firma verbindet.

IoT Geräte sind auch immer mehr Fluch als Segen und wenn man sie sinnvoll abtrennen kann (oder komplett vom Netz isolieren): Let's Go! Ich zeige ja gern bei den Usergroup Meets die Tasmota Sachen, eben und genau WEIL man diese simpel ins Heimnetz integrieren kann und ganz ohne Alexa, Cloud, Internet und sonstigen Quatsch in einem getrennten Netz super einfach handhaben kann. WiFi-schaltbare Steckdosen oder LED Lampen somit kein Problem und die funktionieren auch, wenn die Cloud mal wieder down ist und können daher auch nicht einfach von extern "mal besucht" werden. Da hat aber auch kein "Gast" einfach so Zugriff drauf zu haben, also eigenes VLAN damit und raus aus dem Zugriff von WiFi oder LAN Nutzern, die damit nicht rumzuspielen haben.

Ansonsten gab/gibt es auch hie und da noch die anderen Fälle wie eigenes VLAN für die Kids - dann mit entsprechenden Einschränkungen für die Seiten die besucht werden können o.ä. usw usf.

Anwendungsfälle gibt es einige. Man muss sich eben der Nutzen genauso wie den Abstrichen bewusst sein. Hier läuft das zumindest größtenteils toll so wie es ist :)

> Wenn man Deine Sätze so liest, dann reicht im Grunde auch ne Fritz.Box zu Hause....

Nein, das würde ich nie sagen. Denn die Fritze ist inzwischen kaum mehr viel besser als ein 08/15 Router. Da wurde viel Vorsprung verspielt und zu lange auf dem immer gleichen steinalt Kram rumgeritten. Sie ist heute das kleineste Übel mit dem man noch am meisten anfangen kann, wenn man schon mit einer "gesegnet" ist :) Aber ansonsten hat sie kaum mehr Vorteile ggü anderen Routern wenn man jetzt einmal von Telefonie/VoIP oder sowas wie dem eigenen Smarthome Kram absieht. Mit deren Wireguard Implementierung könnten sie wieder ein klein wenig was gewinnen, aber ansonsten - nein. Das zeigt sich alleine schon daran, dass kaum ein Soho Router sinnvoll abgehenden Traffic filtern kann. Und die Fritze selbst auch nur das was sie selbst als Kindersicherung sieht. Aber einstellen kann man da minimal bis nix. Reicht das für mein Heimnetz? Absolut nicht. Kann ich damit ein einfaches EinwahlVPN machen? Jein, aber bspw. OVPN nicht. Ansonsten ist das natürlich eine persönliche Entscheidung, aber meine Antwort wäre sofort klar.

Man *kann* das alles machen - siehe Beitrag von JeGr. Aber dann muss man sich bewusst sein, dass man mit den Endgeräten zwischen WLANs wechseln muss. Und dazu braucht man Access Points, die mehrere SSIDs und idealerweise VLANs können. Und einen Plan  ;)

Da bin ich voll dabei. Einen guten Plan braucht es immer. Einfach ohne Kompass im Nebel verirrt spielen bringt einen bei solchen komplexen Themengebieten eher wenig weiter und führt eher zu ziemlich Frust :)

Cheers