Best practices/Standards für Heimnetzwerk

[guest15032]

Hi,

zum Gästenetzwerk habe ich noch eine Frage:

Ich habe inzwischen einen richtigen Access Point, den ich anstelle des alten Routers (der als AP konfiguriert war) gesetzt habe.

Über den AP kann ich ein Gästenetzwerk aufbauen, welches angeblich laut Hersteller den Zugriff auf das WLAN Subnetz unterbindet. Hier frage ich mich gerade:

Kann ich das Gästenetzwerk noch in irgendeiner Art und Weise von der Firewall aus beeinflussen/sichern? Oder bin ich da einfach dem Vertrauen in den Hersteller ausgesetzt, dass die Software des AP das sauber umsetzt?

Gruß

[monstermania]

Hi,
wenn Du mit einem AP 2 WLAN's nutzen willst (intern und Gäste), würde ich das Gäste WLAN per vLAN an die Firewall anbinden. Dann kannst Du selbst auf der Firewall bestimmen welche Möglichkeiten Du Deinen Gästen anbietest (z.B. Captive Portal, WebProxy).

Gruß
Dirk

[guest15032]

Moin Dirk,

da ich sowas noch nie bewerkstelligt habe (und gestern nicht mehr dazu kam), sieht das dann in etwa so aus?

1. Neues WLAN am AP erstellen
2. Für das WLAN einen vLAN Tag konfigurieren
3. in der Firewall ein vLAN mit diesem Tag anlegen
4. Auf WLAN Interface ein neues Subnetz für das Gäste mit diesem vLAN anlegen
5. Fertig

?

Gruß
Chris

[monstermania]

Ich habe bei der OPNSense noch kein vLAN eingerichtet, aber im Prinzip liest sich das Alles so richtig.

Hängt der AP direkt an der Firewall oder hängt noch ein Switch dazwischen?
Ein evtl. Switch dazwischen müßte auch vLAN fähig sein und entsprechend konfiguriert werden! Sprich, Du musst die Ports an dem FW und AP hängen entsprechend zusätzlich zum normalen LAN auch auf das vLAN taggen!

[guest15032]

Hi,

nein, der AP hängt direkt an der Firewall (am ersten LAN Port).

Aber Danke für den Hinweis, falls ich das mal anders aufbauen sollte.

Gruß
Chris

[RicAtiC]

Guten Morgen zusammen,

ich erlaube mir mal, auf diesem etwas älteren Thema "aufzusetzen", weils inhaltlich hier her gehört.

Ich bin gerade dabei mein Netzwerk auf neue Füße zu stellen. Dazu hätte ich an euch die Frage, wie ihr es in euren Netzen macht, was die Trennung angeht.

Wenn ich mal von der "Client" - Seite komme, gibt es folgende Dinge, die da so rumschwirren und ein wenig strukturiert werden sollten:

- Smart TV
- Shield
- Receiver
- Sonos
- TK-Anlage (Fritz via SIP)
- NAS
- Smartphones
- Laptops
- Staubsaugerroboter
-???

Die ersten vier würde ich über ein "Entertainment" VLAN gruppieren. Am liebsten im Nachgang gezielt für die Source-IPs (IP im internen Netz) nur URLs / Ports nach außen freigeben und zwar für jeden Client einzeln.

Bsp. :

192.168.50.3 (SmartTV) - - > URLs + Ports vom Hersteller - - > allow

Hier werde ich mich vermutlich tot administrieren, wie seht ihr das? Und vor allem, wie löst ihr es? Any Any allow und dann eher unerwünschtes blockieren?

Schmeißt ihr das ganze Entertainment Zeug in ein Netz? Zugang dann sowohl per LAN als auch WLAN

Ansonsten würde ich noch ein VLAN anlegen für TK, NAS, Interne Clients, Guest, Default & Smarthome. Wobei der Staubsaugerroboter eine gefühlte Sonderstellung hat und noch mal extra separiert gehört. Habt ihr sowas auch? Dann denk ich mir aber wiederum, mein Smartphone ist auch von einem fernöstlichen Hersteller und schwirrt dann bei den internen Clients rum, was bringts dann überhaupt.

Ihr seht, ich tue mich schwer eine gute Lösung zu finden. Mehr Schutz und Struktur ohne sich tot zu administrieren, das wäre das angestrebte Ziel.

Ich bin unendlich Dankbar für Tips und Erfahrungen.

Gruß
Ric


Gesendet von meinem LYA-L29 mit Tapatalk

[micneu]

Hier mein Netz

Ich habe mein Entertainment Kram alles mit in meinem normalen lan, währe mir zu viel Aufwand das nochmal zu unterteilen


Gesendet von iPhone mit Tapatalk Pro

[RicAtiC]

Hier mein Netz

Ich habe mein Entertainment Kram alles mit in meinem normalen lan, währe mir zu viel Aufwand das nochmal zu unterteilen


Gesendet von iPhone mit Tapatalk Pro

Hi micneu,

danke für Deine Antwort!

Wäre mir wiederum zu "flach", aber administrativ definitiv nachvollziehbar.

Darf ich fragen wie Du VoIP in der FB hinter der OPNSense zum laufen bekommen hast?

Hab mich hieran orientiert :
https://forum.opnsense.org/index.php?topic=4712.0

Die Nummern konnte ich mittlerweile registrieren, aber telefonieren ist noch nicht...

Kannst Du mir mir mal Deine FW-Regeln + Outbound-NAT zeigen?

Tausend Dank vorab!

Gruß Ric

[micneu]

moin, die telefonnummern habe ich direkt in der flitzebogens eingetragen.



nur diese eine regel, bei mir läuft das so.



Gesendet von iPad mit Tapatalk Pro

[monstermania]

Ihr seht, ich tue mich schwer eine gute Lösung zu finden. Mehr Schutz und Struktur ohne sich tot zu administrieren, das wäre das angestrebte Ziel.

Tja,
ist wie so oft Ansichtssache. Ich bevorzuge zu Hause eine eher flache Struktur.
Ich habe daher nur mein LAN/WLAN und ein Gast-WLAN. Auf Grund des weiblichen Einflusses läuft unser gesamtes Heimnetz ohnehin nur per WLAN. 
Grundsätzlich sind alle Ports nach extern erstmal zu. Dazu kommen dann noch einige IP-Sperrlisten.
Die einzelnen Geräte sind dann per Alias-/Dienstgruppen reglementiert. So habe ich z.B. auf der FW 3 Portgruppen für WhatsApp. Diesen Gruppen sind dann nur die Smartphones zugeordnet. Folglich können auch nur die Smartphones WA nutzen. Ähnliches gibt es dann auch für Laptop, Tablet und Smart-TV.
Damit kann ich dann recht gut steuern, welches Gerät wohin kommunizieren darf bzw. welche Dienste genutzt werden dürfen.
Der Vorteil ist, dass alle Geräte im internen WLAN untereinander vollkommen problemlos funktionieren. Z.B. Streaming vom Tablet/Smartphone/Laptop auf das Smart-TV, usw.
Ein neues Gerät im Netz muss dann natürlich erstmal den einzelnen Gruppen zugeordnet werden, damit z.B. das Internet funktioniert oder Mails abgerufen/versendet werden können.

Das Gast-WLAN kommt natürlich nur ins Internet! Hier habe ich auch den einfachen Weg ohne Captive-Portal gewählt. Sprich unsere Freunde bekommen das WLAN-Kennwort mitgeteilt und können ins Gast-WLAN.
Ist auch kein Problem, da sich um eine sehr überschaubare Anzahl handelt.

Gruß
Dirk

[RicAtiC]

moin, die telefonnummern habe ich direkt in der flitzebogens eingetragen.



nur diese eine regel, bei mir läuft das so.



Gesendet von iPad mit Tapatalk Pro

Keinerlei FW-Regeln nach Außen?

Oder erlaubst Du, in dem Subnet in dem sich die Fritzbox, ohnehin "any" nach Außen?

Habe 1&1 und muss die Highport Range aufmachen, damit ich was höre, oder stimmt was noch nicht?

[RicAtiC]

Ihr seht, ich tue mich schwer eine gute Lösung zu finden. Mehr Schutz und Struktur ohne sich tot zu administrieren, das wäre das angestrebte Ziel.

Tja,
ist wie so oft Ansichtssache. Ich bevorzuge zu Hause eine eher flache Struktur.
Ich habe daher nur mein LAN/WLAN und ein Gast-WLAN. Auf Grund des weiblichen Einflusses läuft unser gesamtes Heimnetz ohnehin nur per WLAN. 
Grundsätzlich sind alle Ports nach extern erstmal zu. Dazu kommen dann noch einige IP-Sperrlisten.
Die einzelnen Geräte sind dann per Alias-/Dienstgruppen reglementiert. So habe ich z.B. auf der FW 3 Portgruppen für WhatsApp. Diesen Gruppen sind dann nur die Smartphones zugeordnet. Folglich können auch nur die Smartphones WA nutzen. Ähnliches gibt es dann auch für Laptop, Tablet und Smart-TV.
Damit kann ich dann recht gut steuern, welches Gerät wohin kommunizieren darf bzw. welche Dienste genutzt werden dürfen.
Der Vorteil ist, dass alle Geräte im internen WLAN untereinander vollkommen problemlos funktionieren. Z.B. Streaming vom Tablet/Smartphone/Laptop auf das Smart-TV, usw.
Ein neues Gerät im Netz muss dann natürlich erstmal den einzelnen Gruppen zugeordnet werden, damit z.B. das Internet funktioniert oder Mails abgerufen/versendet werden können.

Das Gast-WLAN kommt natürlich nur ins Internet! Hier habe ich auch den einfachen Weg ohne Captive-Portal gewählt. Sprich unsere Freunde bekommen das WLAN-Kennwort mitgeteilt und können ins Gast-WLAN.
Ist auch kein Problem, da sich um eine sehr überschaubare Anzahl handelt.

Gruß
Dirk

Vielen Dank für Deine Antwort!

[mike69]

Ihr seht, ich tue mich schwer eine gute Lösung zu finden. Mehr Schutz und Struktur ohne sich tot zu administrieren, das wäre das angestrebte Ziel.

Tja,
ist wie so oft Ansichtssache. Ich bevorzuge zu Hause eine eher flache Struktur.
Ich habe daher nur mein LAN/WLAN und ein Gast-WLAN. Auf Grund des weiblichen Einflusses läuft unser gesamtes Heimnetz ohnehin nur per WLAN. 
Grundsätzlich sind alle Ports nach extern erstmal zu. Dazu kommen dann noch einige IP-Sperrlisten.
Die einzelnen Geräte sind dann per Alias-/Dienstgruppen reglementiert. So habe ich z.B. auf der FW 3 Portgruppen für WhatsApp. Diesen Gruppen sind dann nur die Smartphones zugeordnet. Folglich können auch nur die Smartphones WA nutzen. Ähnliches gibt es dann auch für Laptop, Tablet und Smart-TV.
Damit kann ich dann recht gut steuern, welches Gerät wohin kommunizieren darf bzw. welche Dienste genutzt werden dürfen.
Der Vorteil ist, dass alle Geräte im internen WLAN untereinander vollkommen problemlos funktionieren. Z.B. Streaming vom Tablet/Smartphone/Laptop auf das Smart-TV, usw.
Ein neues Gerät im Netz muss dann natürlich erstmal den einzelnen Gruppen zugeordnet werden, damit z.B. das Internet funktioniert oder Mails abgerufen/versendet werden können.

Das Gast-WLAN kommt natürlich nur ins Internet! Hier habe ich auch den einfachen Weg ohne Captive-Portal gewählt. Sprich unsere Freunde bekommen das WLAN-Kennwort mitgeteilt und können ins Gast-WLAN.
Ist auch kein Problem, da sich um eine sehr überschaubare Anzahl handelt.

Gruß
Dirk

Vielen Dank für Deine Antwort!

Tja, hier wird es laufend mehr.

LAN:  Das private Grundnetz
GUESTS:    Für Gäste inkl Captive Portal
VOIP:   Für die Fritze als DECT Basis im Telekom Netz.
SECURITY:  IP-Cams zur Sicherung der Aussenanlagen wie Carport, Garage usw
MEDIA:  Alles was mit Smart TV, Sonos, MusicCast, Kodi, DLNA usw zu tun hat.
GAMING:  Für die Spielkonsolen, ist nicht notwendig, haben aber im LAN nichts zu suchen.
MGMT:  Switches, APs, USV, Host mit installiertem Unifi Controller und Freeradius.  Authentifizierung im WLAN mittels WPA2-Enterprise inkl. VLAN Zuweisung in das richtige Netz.

Das ist der aktuelle Stand. Für Privat bissl oversized, aber wenn es geht, warum nicht.
Zumindest LAN, VOIP und dieses Smart Geraffel inkl. IoT Gelumpe würde ich persönlich trennen.

[RicAtiC]

Ihr seht, ich tue mich schwer eine gute Lösung zu finden. Mehr Schutz und Struktur ohne sich tot zu administrieren, das wäre das angestrebte Ziel.

Tja,
ist wie so oft Ansichtssache. Ich bevorzuge zu Hause eine eher flache Struktur.
Ich habe daher nur mein LAN/WLAN und ein Gast-WLAN. Auf Grund des weiblichen Einflusses läuft unser gesamtes Heimnetz ohnehin nur per WLAN. 
Grundsätzlich sind alle Ports nach extern erstmal zu. Dazu kommen dann noch einige IP-Sperrlisten.
Die einzelnen Geräte sind dann per Alias-/Dienstgruppen reglementiert. So habe ich z.B. auf der FW 3 Portgruppen für WhatsApp. Diesen Gruppen sind dann nur die Smartphones zugeordnet. Folglich können auch nur die Smartphones WA nutzen. Ähnliches gibt es dann auch für Laptop, Tablet und Smart-TV.
Damit kann ich dann recht gut steuern, welches Gerät wohin kommunizieren darf bzw. welche Dienste genutzt werden dürfen.
Der Vorteil ist, dass alle Geräte im internen WLAN untereinander vollkommen problemlos funktionieren. Z.B. Streaming vom Tablet/Smartphone/Laptop auf das Smart-TV, usw.
Ein neues Gerät im Netz muss dann natürlich erstmal den einzelnen Gruppen zugeordnet werden, damit z.B. das Internet funktioniert oder Mails abgerufen/versendet werden können.

Das Gast-WLAN kommt natürlich nur ins Internet! Hier habe ich auch den einfachen Weg ohne Captive-Portal gewählt. Sprich unsere Freunde bekommen das WLAN-Kennwort mitgeteilt und können ins Gast-WLAN.
Ist auch kein Problem, da sich um eine sehr überschaubare Anzahl handelt.

Gruß
Dirk

Vielen Dank für Deine Antwort!

Tja, hier wird es laufend mehr.

LAN:  Das private Grundnetz
GUESTS:    Für Gäste inkl Captive Portal
VOIP:   Für die Fritze als DECT Basis im Telekom Netz.
SECURITY:  IP-Cams zur Sicherung der Aussenanlagen wie Carport, Garage usw
MEDIA:  Alles was mit Smart TV, Sonos, MusicCast, Kodi, DLNA usw zu tun hat.
GAMING:  Für die Spielkonsolen, ist nicht notwendig, haben aber im LAN nichts zu suchen.
MGMT:  Switches, APs, USV, Host mit installiertem Unifi Controller und Freeradius.  Authentifizierung im WLAN mittels WPA2-Enterprise inkl. VLAN Zuweisung in das richtige Netz.

Das ist der aktuelle Stand. Für Privat bissl oversized, aber wenn es geht, warum nicht.
Zumindest LAN, VOIP und dieses Smart Geraffel inkl. IoT Gelumpe würde ich persönlich trennen.

Bin da völlig bei Dir.

Danke fürs teilen!

Ich seh das alles auch als Invest in die Zukunft, weniger IT-Equipment wirds definitiv nicht. Je eher man da sicherheitstechnisch vorsorgt, je besser.

Is halt auch Arbeit...

[JeGr]

Oh ja, das ist schon einiges an Arbeit. Und ob man sich die zu Hause machen möchte ist auch immer so ein Ding...

Manchmal klappts beim Neubau besser (oder überhaupt mal). Hab das leider noch nicht in Blogform packen können, deshalb hier nur als Rohform aus dem anderen Forum:
https://forum.netgate.com/topic/146555/infotainment-netzwerk-neubau-mit-pfsense-und-unifi

Aber die meisten Punkte die da *sense mäßig anfallen, sind mit beiden Varianten machbar.

Grüße