(W)LAN absichern mit VLAN's

[HansGraefe]

Hallo,

ich hoffe das ist nicht zu OT für diesen Thread, wenn doch, bitte ich um Entschuldigung (gern verschieben). Es geht nur sekundär um Debian, da Debian in der Frage "nur" einer von vielen Clients ist.

Ich habe eine Fritzbox 6660 Cable und mehrere AVM Mesh-WLAN-Repeater, auf denen sich alle WLAN-Geräte wie Smartphones, Drucker, Saugroboter, TV-Geräte, Lautsprecher usw einloggen. Dahinter kommt ein Switch (aktuell noch unmanaged, ohne VLAN-Support), von dem aus die Cat7 Kabel in alle Räume führen. Dort hängen zB. Drucker, Computer, Notebooks, Raspies, TV-Geräte usw. dran.

Aktuell habe ich auf der Fritzbox zwei Netzwerke, das Gast-Netzwerk und das normale. Im Gast-Netzwerk hängen alle vermeindlich "unsicheren" Geräte, v.a. diese ollen Smart-TV-Geräte-Wanzen. Jetzt kommt aber immer mehr die Notwendigkeit dazu, dass sich Geräte von einem Netzwerk ins andere verbinden müssen, zB. ein Notebook per Gast-WLAN verbunden auf Drucker per Intern-LAN verbunden, weshalb ich gerne zB. eine pfSense installieren würde. Einen Mini-PC (N100, 512GB SSD, 16GB Ram) mit 2x Gigabit-LAN hätte ich dafür bereits.

Die Frage ist, was am Switch hängt kann ich mit einem VLAN-fähigen Switch unterteilen, aber wie würde das bei den WLAN-Geräten funktionieren? Die Fritzbox kann, soweit ich weiß, den Geräten keine VLAN-ID zuweisen. Müsste ich dafür einen neuen WLAN-AP Kaufen? Ist der angedachte Weg überhaupt sinnvoll, gibt es einfachere Lösungen?

[uname]

Die Wanzen würde ich verkaufen oder nur eine Route ins Internet erlauben. Den Drucker würde ich ins Gäste-WLAN/LAN verlagern wenn das geht. Das interne LAN würde ich sauber halten. Ich habe aber weder Wanzen, Gäste noch einen Drucker.

[HansGraefe]

Also dass du keine Wanzen hast verstehe ich ja, aber keinen Drucker? Obwohl, ich habe auch lange Zeit die 5 Seiten im Jahr die ich brauchte auf Arbeit ausgedruckt, ok, verstehe ich doch.
Hmm, aber was spricht gegen meine Lösung? OK, die WLAN-Geschichte ist nicht so einfach umsetzbar..

[Blackbox]

was spricht gegen meine Lösung?

Theoretisch könntest du jedes Gerät in ein eigenes VLAN sperren, und einzig eine Route ins Internet erlauben, abhängig von der geplanten Hardware.
Dann könnten sich auch die netzwerkfähigen Geräte untereinander nicht sehen.

die WLAN-Geschichte ist nicht so einfach umsetzbar..

Wieso nicht?
Welche managed Hardware ist denn geplant?

[HansGraefe]

Welche managed Hardware ist denn geplant?

Da habe ich erst angefangen etwas zu suchen, ich müsste einen neuen 16 Port Switch kaufen, zB. ein NETGEAR GS316EP oder ein TP-Link TL-SG116E. Ich brauche eigentlich kein PoE, aber Netgear hätte ich trotzdem gerne. Wobei auch schon mehrere Geräte im LAN 2,5GB-Ports haben, aber einen (bezahlbaren) 16 Port Switch mit 2,5GB-Ports und VLAN-Support habe ich bisher nicht gefunden. Aber das Problem ist glaube ich, dass die Firewall die Geräte vom WLAN nicht "kennt", oder? Denn alles WLAN läuft über die Fritzbox die kein VLAN kann. Oder kann man Firewallregeln auf MAC-Adressen setzen? Hmm.

Das Ganze Projekt ist natürlich auch für mich ein Lernobjekt, gerade mit managed Switches und VLAN's habe ich bisher kaum etwas gemacht.

[Blackbox]

aber Netgear hätte ich trotzdem gerne.

Wieso, hast du in der Vergangenheit besondere Erfahrungen mit dem Hersteller Netgear gemacht?
Wenn ja, welche?

Wobei auch schon mehrere Geräte im LAN 2,5GB-Ports haben, aber einen (bezahlbaren) 16 Port Switch mit 2,5GB-Ports und VLAN-Support habe ich bisher nicht gefunden.

Was heißt bei dir bezahlbar, welches Budget steht dir zur Verfügung?

Aber das Problem ist glaube ich, dass die Firewall die Geräte vom WLAN nicht "kennt", oder?

Ohne brauchbare Informationen, wie beispielsweise deine Firewalllösung, die Topologie deines Netzwerks, Auszüge deiner Logfiles usw. kann man keine Bewertung deines Problems treffen.

Denn alles WLAN läuft über die Fritzbox die kein VLAN kann.

Soweit korrekt, aber deine Ausführungen zeigen auch, dass du noch nicht wirklich verstanden hast, welchen Zweck VLANs üblicherweise erfüllen.
Was ist der Zweck dieser Übung?
Was erwartest du nach der Einführung der VLANs?

Oder kann man Firewallregeln auf MAC-Adressen setzen?

Auch hier steht die Frage nach der Firewall unbeantwortet im Raum.
Bist du bereits auf die Idee gekommen, die Dokumentation deiner $FIREWALL zu studieren?

Das Ganze Projekt ist natürlich auch für mich ein Lernobjekt, gerade mit managed Switches und VLAN's habe ich bisher kaum etwas gemacht.

Meist beginnt das Lernen mit dem Lesen adäquater Dokumentation.

[Cordess]

Die Wanzen würde ich verkaufen oder nur eine Route ins Internet erlauben. Den Drucker würde ich ins Gäste-WLAN/LAN verlagern wenn das geht. Das interne LAN würde ich sauber halten. Ich habe aber weder Wanzen, Gäste noch einen Drucker.

Ganz schlechte Idee.
Wenn der Drucker die Druckaufträge in seinem spool Ordner speichert, dann kann jedes Gerät im Gastnetz, das kompromittiert wurde auch versuchen den Drucker zu kompromittieren und dann die Druckaufträge auslesen oder auch einfach neue Druckaufträge abfangen.

Der Drucker gehört daher definitiv nicht ins Gastnetz. Was nötig wäre, wäre eine Art Drucker Proxy, der in beide Netze darf und die Druckaufträge aus dem Gastnetz entgegen nimmt und an den Drucker im vertrauenswürdigen vlan weiterleitet.

[Cordess]

Das Ganze Projekt ist natürlich auch für mich ein Lernobjekt, gerade mit managed Switches und VLAN's habe ich bisher kaum etwas gemacht.

Die Fritzboxen können intern vlans aufstellen, das Gastnetz nutzt diese standardisierte Technik. Diese Möglichkeit wird aber an die Benutzer leider nicht weitergegeben, weswegen du bei den AVM Produkten nur ein vlan für dich und ein Gast vlan für deine Gäste (oder unsichere Geräte) hast.
Willst du weitere vlan errichten, dann brauchst du andere Switches und WLAN Hosts eines anderen Herstellers.
Vergiss hier aber gleich mal den Konsumerschrott netgear. Du willst doch sicherlich auch nach dem Kauf noch Sicherheitsupdates für deinen Switch erhalten?! Also kauf dir da etwas professionelles. Und ja, dieser Support kostet, weswegen die professionellen Geräte auch deutlich teurer sind.

Falls du mit dem Gerücht leben kannst, dass die NSA Cisco Geräte austauscht und darauf zugreifen kann, dann kaufe dir Hardware von Cisco. Das ist dann auch ein ordentliches Lernobjekt, falls du das mal beruflich machen willst, denn die Cisco Geräte findest du auch in der Arbeitswelt.