10. März 2024

Netzwerk-Segmentierung mit VLANs

Warum VLANs wichtig sind und wie ich mein Homelab-Netzwerk damit strukturiert habe.

VLAN Netzwerk pfSense Security

Warum Netzwerk-Segmentierung?

In einem flachen Netzwerk kann jedes Gerät mit jedem anderen kommunizieren. Das ist praktisch, aber aus Sicherheitsperspektive ein Problem – ein kompromittiertes Gerät hat Zugriff auf alles.

VLANs (Virtual Local Area Networks) lösen dieses Problem durch logische Trennung auf Layer 2.

Meine VLAN-Struktur

VLAN 10: Management   192.168.10.0/24  (Proxmox, Switch-Management)
VLAN 20: Server       192.168.20.0/24  (Linux VMs, Docker)
VLAN 30: DMZ          192.168.30.0/24  (öffentlich erreichbare Dienste)
VLAN 40: IoT          192.168.40.0/24  (Smart-Home-Geräte)
VLAN 50: Clients      192.168.50.0/24  (Laptops, Smartphones)

Konfiguration am Switch

Am Managed Switch müssen Ports als Access oder Trunk konfiguriert werden:

  • Access Port: Trägt nur ein VLAN (z.B. Client-Port)
  • Trunk Port: Trägt mehrere VLANs mit 802.1Q-Tagging (z.B. Uplink zu pfSense)

pfSense als VLAN-Router

pfSense erstellt für jedes VLAN eine virtuelle Interface:

em0 (physisch) → em0.10, em0.20, em0.30, em0.40, em0.50

Firewall-Regeln steuern dann, welche VLANs miteinander kommunizieren dürfen.

Inter-VLAN Kommunikation

Meine Firewall-Philosophie:

  • Management → alle VLANs: erlaubt (Monitoring, Updates)
  • Server → Internet: erlaubt (Updates, APIs)
  • IoT → Internet: erlaubt (Cloud-Dienste)
  • IoT → Server/Management: blockiert
  • Clients → Server (bestimmte Ports): erlaubt
  • DMZ → interne VLANs: blockiert (nur eingehend nach DMZ erlaubt)

Learnings

VLAN-Segmentierung ist kein Hexenwerk, aber die Planung ist entscheidend. Einmal falsch geplant, sind Änderungen aufwendig. Mein Rat: Auf Papier planen, bevor du einen Switch anfasst.