V-Lans zuhause einrichten.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11601

08.05.2024 - 13:51

Ja da sind wir halt unterschiedlicher Meinung, der Sinn von einem Gäste Netz ist aus meiner Sicht einem Freund,Bekannten,Nachbarn usw. schnell und unkompliziert Zugriff zu geben. Ich würd dafür nix konfigurieren wollen auch wenns "schnell" geht. in meiner alten wohnung hatte ich dafür einen qr code hängen den man einfach nur einscannt und man ist verbunden. In meiner neuen Wohnung hab ich das Gäste Netz komplett eingestampft weils auch so geht (ich weiß schon dass es anders ist wenn man ein Haus mit mehr Familienmitglieder und Gästen hat)

edit:

Zitat
Bei Enterprise Switches gibt's dafür Port Isolation, um die L2 Kommunikation der Clients untereinander zu unterbinden und sämtliche Pakete über den Gateway zu schleifen.

das wär natürlich ideal. für die die sowieso einen großen managed switch haben, wegen Haus usw. würd ich das auf jedenfall checken...

Bearbeitet von davebastard am 08.05.2024, 13:58

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2501

08.05.2024 - 13:59

Wenn nur WLan Clients drin hängen reicht in dem Fall aber eh AP Isolation, damit diese nicht untereinander kommunizieren können, und man muss nicht auf unterschiedliche VLans zurückgreifen.

Ich bin aber gerade darüber gestolpert, dass Ubiqity Geräte teilweise aber tatsächlich Device Isolation (also die L2 Kommunikation zwischen Clients im selben Subnet) unterstützen. Hier müsste KruzFX schauen, ob das bei seinem Switch der Fall ist.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11601

08.05.2024 - 14:03

Zitat
Wenn nur WLan Clients drin hängen reicht in dem Fall aber eh AP Isolation, damit diese nicht untereinander kommunizieren können, und man muss nicht auf unterschiedliche VLans zurückgreifen.

auch bei mischbetrieb? also bei dem fall von kurzfx: "sieht" der angesteckte schullaptop dann nicht ein wlan gerät im selben netz?

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3676

08.05.2024 - 14:06

Zitat aus einem Post von schizo
Die Kommunikation innerhalb des Subnetz es geht aber nicht über den Gateway, daher bringt hier eine Firewall Regel nichts.

Das ist natürlich richtig, irgendwo im Hinterkopf bin ich von der Kommunikation zwischen eigenen und Gast-Geräten ausgegangen.

"Bissl viel" ist es schon, warum kümmer ich mich eigentlich so stark darum was die Gäste untereinander tun, sind die böswillig unterwegs, was für Gäste habe ich da bei mir daheim verkabelt?

Man kann seine Zeit insgesamt sinnvoller investieren denke ich, mir wärs wurscht.

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4372

08.05.2024 - 14:19

Zitat aus einem Post von nexus_VI
Man kann seine Zeit insgesamt sinnvoller investieren denke ich, mir wärs wurscht.

this.

ich mein manche leute basteln in der garage vogelhäuser, manche pflanzen tomaten am balkon, manche erstellen vlans.

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2501

08.05.2024 - 14:22

Bzgl *Isolation gibt's hier Vendorabhängig Unterschiede bei den Begriffen.
Aber grundsätzlich greift AP Isolation nur zwischen WLan Geräten.
Dann gibt's sowas wie Port Isolation, um Ports grundsätzlich voneinander zu trennen und quasi einen Switch auf 2 virtuelle Devices aufzuteilen und Device Isolation um die L2 Kommunikation nur mit dem Uplink Port zu erlauben.
Im Fall von kruzFX müsste AP Isolation und Device Isolation kombiniert werden.

Und bzgl. Der Frage, warum man sich sowas antun sollte:
Das AP Isolation Hackerl ist schnell gesetzt und schützt grundsätzlich vor Infektionen.
Und wenn das Gäste VLan auch für IoT Geräte verwendet wird können da schnell Mal zB Fernseher, Receiver oder weitere Geräte drin hängen, bei welchen ich schon vorsichtig wäre.

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3676

08.05.2024 - 15:55

Das Hakerl für die Gäste sowieso, da sehe ich auch den unmittelbaren Gewinn für alle. Bei den IoT Geräten ists so eine Sache, in irgendeiner Form will ich mit denen möglicherweise ohne WAN kommunizieren bzw ohne dass eine Herstellercloud beteiligt ist, ob die sich untereinander erreichen können spielt wiederum für mich eine untergeordnete Rolle. Ich gebe zu privat und beruflich den Zustand gehalten zu haben, wo mir die klassische DMZ in Kombination mit dem Gästenetz eigentlich zusätzlich zur LAN Zone alles abdeckt. Hier und dort noch bissl nftables auf den Hosts selbst dazukonfiguriert.

Wenn irgendwie möglich mag ich laufend gar nicht basteln und nur Firmwareupgrades einspielen

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2501

08.05.2024 - 18:05

Die Kommunikation mit den IoT Geräten ist ja weiterhin möglich, halt nur über den GW und es braucht dann nur eine Firewallregel dafür.
Ohne Device Isolation können aber die IoT Devices auf die restlichen Devices im Visitor Lan zugreifen, und das soll imo gar nicht möglich sein.

KruzFX

8.10.2021

Registered: Aug 2005
Location: ZDR
Posts: 1842

08.05.2024 - 20:29

Danke für die zahlreichen Inputs!

Zitat aus einem Post von nexus_VI
"Client Isolation" ist das gesuchte Setting.

Client Isolation hab ich jetzt auf allen APs und allen SSIDs bis aufs Management SSID eingeschalten, ist ein Häkchen im OpenWRT.

Zitat aus einem Post von Viper780
Sorry ich hab total drauf vergessen.
Heute Abend oder morgen am Feiertag kann ich dir das raus suchen

@KruzFX
Du musst bei der Firewall auch die Richtung noch berücksichtigen.
Bei mir darf zB IoT nirgends hin. Aber mein Client LAN darf drauf zugreifen.
Ist halt die Frage ob ihr ein NAS habt wo ihr gemeinsam hin müsst.

Stell mal eine Matrix auf mit den einzelnen Geräten (inkl Internet) und dann schau

Gefährlichste bei Viren ist nach wie vor der USB Stick oder die Speicherkarte von der Kamera wo man schnell mal eine powerpoint mit austauscht.

Danke für den Input. Habs grundsätzlich Gott sei Dank nach tagelangem Rumprobieren und Tutorials lesen und schauen auf Youtube genau so aufgebaut. Die Tutorials von OneMarcFifty sind hier sehr zu empfehlen https://www.youtube.com/@OneMarcFifty.

USB Sticks hab ich meiner Frau eh schon kategorisch verboten.

Zitat aus einem Post von erlgrey
this.

ich mein manche leute basteln in der garage vogelhäuser, manche pflanzen tomaten am balkon, manche erstellen vlans.

made my day...
Nachdem über Teamviewer unsere IT auf den Arbeitslaptop kommt, der im Homeoffice natürlich im Heimnetzwerk hängt, bin ich da eher auf Zerotrust Ebene unterwegs. Ich brauch ja nur exakt einen IT-Mitarbeiter, der nen Vogel hat und in meinem Heimnetzwerk zu schnüffeln beginnt, dass es unlustig wird. Und der andere Punkt ist natürlich der Schullaptop meiner Frau, der wahrscheinlich mit genügend Viren in Kontakt kommt, die ich auch nicht zu Hause im Netz haben will.

Zitat aus einem Post von schizo
Bei Enterprise Switches gibt's dafür Port Isolation, um die L2 Kommunikation der Clients untereinander zu unterbinden und sämtliche Pakete über den Gateway zu schleifen.

Im Prosumer Bereich müssten aber wie ursprünglich erwähnt eben /30er Subnetze konfiguriert werden.

Sehe das jetzt allerdings nicht als besonders großen Aufwand, so ein VLan ist ja schnell angelegt, insbesondere wenn gleich ein paar auf einmal konfiguriert werden.
Im Gegensatz dazu ist der Aufwand der Bereinigung bei einer 0day wesentlich größer.

Hab mal kurz geschaut, obs für OpenWRT Port Isolation gibt, bin aber nicht wirklich fündig geworden. Wird anscheinend meistens einfach über VLANs gelöst.

Edit:
Und schon eingerichtet. Nachdem 3 von 4 WLAN-Router baugleich sind und alle mit OpenWRT betrieben werden, hab ichs einmal auf einem eingerichtet, Backup gezogen und die anderen 2 mit dem Backup geflasht. Hostname angepasst, Static IP ausgebessert und fertig. Somit hab ich das OpenWRT Upgrade auch gleich mitgenommen. Ein WLAN Router fehlt jetzt noch, da werd ichs dann händisch nachziehen und die Einstellungen per SSH Zugriff kopieren.

Bearbeitet von KruzFX am 08.05.2024, 21:12

b_d

pixel imperfect

Registered: Jul 2002
Location: 0x3FC
Posts: 10490

09.05.2024 - 16:23

Zitat aus einem Post von Viper780
Sorry ich hab total drauf vergessen.
Heute Abend oder morgen am Feiertag kann ich dir das raus suchen

hat sich eh schon erledigt! nachdem mein edgerouter x nach nen strom weg nimma booten wollte verrichtet jz ein cloud gateway ultra seinen dienst und bei dem gings mit den anleitungen eh, thx!

davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11601	08.05.2024 - 13:51 Ja da sind wir halt unterschiedlicher Meinung, der Sinn von einem Gäste Netz ist aus meiner Sicht einem Freund,Bekannten,Nachbarn usw. schnell und unkompliziert Zugriff zu geben. Ich würd dafür nix konfigurieren wollen auch wenns "schnell" geht. in meiner alten wohnung hatte ich dafür einen qr code hängen den man einfach nur einscannt und man ist verbunden. In meiner neuen Wohnung hab ich das Gäste Netz komplett eingestampft weils auch so geht (ich weiß schon dass es anders ist wenn man ein Haus mit mehr Familienmitglieder und Gästen hat) edit: Zitat Bei Enterprise Switches gibt's dafür Port Isolation, um die L2 Kommunikation der Clients untereinander zu unterbinden und sämtliche Pakete über den Gateway zu schleifen. das wär natürlich ideal. für die die sowieso einen großen managed switch haben, wegen Haus usw. würd ich das auf jedenfall checken... Bearbeitet von davebastard am 08.05.2024, 13:58
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2501	08.05.2024 - 13:59 Wenn nur WLan Clients drin hängen reicht in dem Fall aber eh AP Isolation, damit diese nicht untereinander kommunizieren können, und man muss nicht auf unterschiedliche VLans zurückgreifen. Ich bin aber gerade darüber gestolpert, dass Ubiqity Geräte teilweise aber tatsächlich Device Isolation (also die L2 Kommunikation zwischen Clients im selben Subnet) unterstützen. Hier müsste KruzFX schauen, ob das bei seinem Switch der Fall ist.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11601	08.05.2024 - 14:03 Zitat Wenn nur WLan Clients drin hängen reicht in dem Fall aber eh AP Isolation, damit diese nicht untereinander kommunizieren können, und man muss nicht auf unterschiedliche VLans zurückgreifen. auch bei mischbetrieb? also bei dem fall von kurzfx: "sieht" der angesteckte schullaptop dann nicht ein wlan gerät im selben netz?
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3676	08.05.2024 - 14:06 Zitat aus einem Post von schizo Die Kommunikation innerhalb des Subnetz es geht aber nicht über den Gateway, daher bringt hier eine Firewall Regel nichts. Das ist natürlich richtig, irgendwo im Hinterkopf bin ich von der Kommunikation zwischen eigenen und Gast-Geräten ausgegangen. "Bissl viel" ist es schon, warum kümmer ich mich eigentlich so stark darum was die Gäste untereinander tun, sind die böswillig unterwegs, was für Gäste habe ich da bei mir daheim verkabelt? Man kann seine Zeit insgesamt sinnvoller investieren denke ich, mir wärs wurscht.
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4372	08.05.2024 - 14:19 Zitat aus einem Post von nexus_VI Man kann seine Zeit insgesamt sinnvoller investieren denke ich, mir wärs wurscht. this. ich mein manche leute basteln in der garage vogelhäuser, manche pflanzen tomaten am balkon, manche erstellen vlans.
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2501	08.05.2024 - 14:22 Bzgl *Isolation gibt's hier Vendorabhängig Unterschiede bei den Begriffen. Aber grundsätzlich greift AP Isolation nur zwischen WLan Geräten. Dann gibt's sowas wie Port Isolation, um Ports grundsätzlich voneinander zu trennen und quasi einen Switch auf 2 virtuelle Devices aufzuteilen und Device Isolation um die L2 Kommunikation nur mit dem Uplink Port zu erlauben. Im Fall von kruzFX müsste AP Isolation und Device Isolation kombiniert werden. Und bzgl. Der Frage, warum man sich sowas antun sollte: Das AP Isolation Hackerl ist schnell gesetzt und schützt grundsätzlich vor Infektionen. Und wenn das Gäste VLan auch für IoT Geräte verwendet wird können da schnell Mal zB Fernseher, Receiver oder weitere Geräte drin hängen, bei welchen ich schon vorsichtig wäre.
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3676	08.05.2024 - 15:55 Das Hakerl für die Gäste sowieso, da sehe ich auch den unmittelbaren Gewinn für alle. Bei den IoT Geräten ists so eine Sache, in irgendeiner Form will ich mit denen möglicherweise ohne WAN kommunizieren bzw ohne dass eine Herstellercloud beteiligt ist, ob die sich untereinander erreichen können spielt wiederum für mich eine untergeordnete Rolle. Ich gebe zu privat und beruflich den Zustand gehalten zu haben, wo mir die klassische DMZ in Kombination mit dem Gästenetz eigentlich zusätzlich zur LAN Zone alles abdeckt. Hier und dort noch bissl nftables auf den Hosts selbst dazukonfiguriert. Wenn irgendwie möglich mag ich laufend gar nicht basteln und nur Firmwareupgrades einspielen
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2501	08.05.2024 - 18:05 Die Kommunikation mit den IoT Geräten ist ja weiterhin möglich, halt nur über den GW und es braucht dann nur eine Firewallregel dafür. Ohne Device Isolation können aber die IoT Devices auf die restlichen Devices im Visitor Lan zugreifen, und das soll imo gar nicht möglich sein.
KruzFX 8.10.2021 Registered: Aug 2005 Location: ZDR Posts: 1842	08.05.2024 - 20:29 Danke für die zahlreichen Inputs! Zitat aus einem Post von nexus_VI "Client Isolation" ist das gesuchte Setting. Client Isolation hab ich jetzt auf allen APs und allen SSIDs bis aufs Management SSID eingeschalten, ist ein Häkchen im OpenWRT. Zitat aus einem Post von Viper780 Sorry ich hab total drauf vergessen. Heute Abend oder morgen am Feiertag kann ich dir das raus suchen @KruzFX Du musst bei der Firewall auch die Richtung noch berücksichtigen. Bei mir darf zB IoT nirgends hin. Aber mein Client LAN darf drauf zugreifen. Ist halt die Frage ob ihr ein NAS habt wo ihr gemeinsam hin müsst. Stell mal eine Matrix auf mit den einzelnen Geräten (inkl Internet) und dann schau Gefährlichste bei Viren ist nach wie vor der USB Stick oder die Speicherkarte von der Kamera wo man schnell mal eine powerpoint mit austauscht. Danke für den Input. Habs grundsätzlich Gott sei Dank nach tagelangem Rumprobieren und Tutorials lesen und schauen auf Youtube genau so aufgebaut. Die Tutorials von OneMarcFifty sind hier sehr zu empfehlen https://www.youtube.com/@OneMarcFifty. USB Sticks hab ich meiner Frau eh schon kategorisch verboten. Zitat aus einem Post von erlgrey this. ich mein manche leute basteln in der garage vogelhäuser, manche pflanzen tomaten am balkon, manche erstellen vlans. made my day... Nachdem über Teamviewer unsere IT auf den Arbeitslaptop kommt, der im Homeoffice natürlich im Heimnetzwerk hängt, bin ich da eher auf Zerotrust Ebene unterwegs. Ich brauch ja nur exakt einen IT-Mitarbeiter, der nen Vogel hat und in meinem Heimnetzwerk zu schnüffeln beginnt, dass es unlustig wird. Und der andere Punkt ist natürlich der Schullaptop meiner Frau, der wahrscheinlich mit genügend Viren in Kontakt kommt, die ich auch nicht zu Hause im Netz haben will. Zitat aus einem Post von schizo Bei Enterprise Switches gibt's dafür Port Isolation, um die L2 Kommunikation der Clients untereinander zu unterbinden und sämtliche Pakete über den Gateway zu schleifen. Im Prosumer Bereich müssten aber wie ursprünglich erwähnt eben /30er Subnetze konfiguriert werden. Sehe das jetzt allerdings nicht als besonders großen Aufwand, so ein VLan ist ja schnell angelegt, insbesondere wenn gleich ein paar auf einmal konfiguriert werden. Im Gegensatz dazu ist der Aufwand der Bereinigung bei einer 0day wesentlich größer. Hab mal kurz geschaut, obs für OpenWRT Port Isolation gibt, bin aber nicht wirklich fündig geworden. Wird anscheinend meistens einfach über VLANs gelöst. Edit: Und schon eingerichtet. Nachdem 3 von 4 WLAN-Router baugleich sind und alle mit OpenWRT betrieben werden, hab ichs einmal auf einem eingerichtet, Backup gezogen und die anderen 2 mit dem Backup geflasht. Hostname angepasst, Static IP ausgebessert und fertig. Somit hab ich das OpenWRT Upgrade auch gleich mitgenommen. Ein WLAN Router fehlt jetzt noch, da werd ichs dann händisch nachziehen und die Einstellungen per SSH Zugriff kopieren. Bearbeitet von KruzFX am 08.05.2024, 21:12
b_d pixel imperfect Registered: Jul 2002 Location: 0x3FC Posts: 10490	09.05.2024 - 16:23 Zitat aus einem Post von Viper780 Sorry ich hab total drauf vergessen. Heute Abend oder morgen am Feiertag kann ich dir das raus suchen hat sich eh schon erledigt! nachdem mein edgerouter x nach nen strom weg nimma booten wollte verrichtet jz ein cloud gateway ultra seinen dienst und bei dem gings mit den anleitungen eh, thx!

V-Lans zuhause einrichten.

Forum Index > Hardware > Peripherie > Netzwerktechnik

davebastard

schizo

davebastard

nexus_VI

erlgrey

schizo

nexus_VI

schizo

KruzFX

b_d