Ordnung im Netzwerk Teil II

Neue IP-Bereiche erstellen

Da das bisherige Netzwerk durch eine Fritzbox in der Standartkofiguration bereit gestellt wurde, lagen alle Geräte in einem sogenannten Klasse-C Netzwerk im Bereich 192.168.178.0/24.

In der Zielstruktur sollen verschieden VLANs vorhanden sein, welche ein eigenen IP-Bereich im Bereich 172.16.0.0/24 liegen werden. Die einzelnen VLANs unterteilen sich dabei in folgendes Gruppen:

• Manage
• IoT
• private
• Homeoffice
• Gäste
• Firewall
• VoIP

Neue Hardware

Die Fritzbox hatte bei mir lange Zeit gute Dienste geleistet. In der Standarteinstellung und für die "normalen" Anwendungsfälle reicht sie auch vollkommen aus. Aber für die zukünftige Netzstruktur musste dann doch neue Hardware her.

Als zentrales Netzwerkelement für die Konfiguration der VLANs sowie Bereitstellung eines DHCP-Servers habe ich mir einen Cisco SG-350 8-Port Switch geholt. Die Besonderheit des Switches ist es, dass dies ein sog. L3-Switch ist. D.h. der Switch kann auch das Routing zwischen den verschiedenen Subnetzen der VLANs übernehmen. Alternativ kann man hier natürlich auch die günstigeren L2-Switches einsetzen. Dann braucht man aber ein Gerät (Firewall z.b.)  welches das Routing zwischen den Netzen übernimmt.

Bei der Cisco SG-Serie handelt es sich um "Small Office" Lösungen. Gedacht eher für kleinere Netzwerke. Für den privathaushalt aber allemal ausreichend.

Wenn man von der Konfigurationsoberfläche eine Fritzbox kommt und dann das erste Mal die des Cisco-Switches startet ist es erst einmal eine gewaltige Umstellung. Idealerweise konfiguriert man den Switch auch per Kommandozeile. Auch wenn ich die Arbeit auf der Kommandozeile mag habe ich mich hier aber auch für die Web-Oberfläche entschieden.

Wie man den Switch konfiguriert und was alles einzustellen ist, werde ich an dieser Stelle aber nicht aufführen. Durch die Komplexität der Einstellungen, würde es hier den Rahmen des Artikels sprengen.

Aber im Groben habe ich folgende Schritte gemacht:

• VLANs anlegen
• DHCP-Server eingerichtet
• Statische IPs für die verschiedenen Geräte eingerichtet
• L3-Routung aktiviert
• ACLs einrichten (regelt die Zugriffe zwischen den Subnetzen ähnlich einer Firewall)

UniFi AC Lite Access Point fürs WLAN

Wie bereits erwähnt kann die Fritzbox nicht mit VLAN umgehen. In der neuen Struktur ist es aber notwendig, dass ich auch getrennte WLAN SSIDs habe. Besonders die VLAN IoT, private und Gäste sollen ja voneinander getrennt sein.

Ich habe viel über die UniFi Accesspoints gelesen. Der AC Lite kann bis zu vier SSID "aufspannen". Zusätzlich besteht die Möglichkeit, in Verbindung mit der Unifi Controller Software, ein Gästeportal anzubieten. Positiv überrascht war ich von der Softwareoberfläche zur Konfiguration. Diese  ist sehr aufgeräumt und es gibt viele Auswertemöglichkeiten.

Über die Controlleroberfläche habe ich die drei WLAN SSIDs eingerichtet und diese den jeweiligen VLAN-IDs zugeordnet.

Abschließende Maßnahmen

Im Großen und Ganzen ist mit diesen Schritten die Umstellung auf die neue Struktur abgeschlossen. Die eigentliches VLAN-Verwaltung sowie das Routing übernimmt nun der Switch. WLAN wird über den UniFi AC Lite Access Point bereitgestellt. Die Fritzbox stellt jetzt "nur" noch den Internetzugang bereit und bindet die DECT-Telefone an.

Nachdem die ACLs im Switch eingerichtet wurden, ist auch eine Trennung zwischen den verschiedenen VLANs vorhanden. Schaut man sich jetzt den Netzwerkverkehr mit z.B Wireshark an, sieht man das die Geräte im IoT-VLAN nichts mehr vom Datenverkehr der Smartphones und vom Laptop "mitbekommen".

Insbesondere die Abgrenzung der IoT-Geräte von meinem privaten Netz war mir sehr wichtig. Somit ist hier keine einfacher Zugriff auf die SmartHome-Steuerung mehr möglich.

Mittlerweile ist mein Netzwerk auch noch um eine Firewall gewachsen. Diese stellt nun den Internetzugang bereit und arbeitet natürlich als Firewall. Damit kann ich auch noch den ausgehenden Internetverkehr regeln und nicht jedes Gerät kann automatisch überall hin seine Daten schicken.