VLAN und falsche VISU

Hi,

hast du den Zugriff auf den Miniserver "von außen" erlaubt in der Config?
Alle Netze außerhalb 192.168.2.0/24 sind für den Miniserver _nicht_ sein eigenes Netz.

Hallo

Es gibt für jedes Objekt die Eigenschaften "Erlaubte Benutzer Lokal" und Erlaubte Benutzer Internet".

Vielen Dank liebes Forum ! ! !

Genau das war es. Ich hatte verschieden Profil für intern und extern hinterleget. Bisher ist das nie aufgefallen,
weil ich über das VPN der Fritzbox (gleiches Netzwerk) auf dem MS zugegriffen habe.

Jetzt komme ich aus anderen IP Bereichen und der MS denkt ich komme von extern.

Das letzte Rätsel was ich jetzt noch habe ist VPN mit Unifi und den Ärger mit doppelt NAT

mit VPN aus dem Urlaub ist mal also "intern"
und zuhause ist man dank VLAN "extern"

klingt logisch ;-)

Ich verstehe hier nicht wo der Sinn der VLans sein soll... Wozu sollte ich unterschiedliche Peripherie in meinem LAN völlig schwachsinnig durch VLans voneinander trennen?

Hmm,

wir stellen uns mal vor, deine Schwiegermutter kommt eine Woche zu Besuch. Sie bringt ihr altes Smartphone mit, was noch auf Android 4.x läuft und wo sie sich vor langem schon eine Keylogger/Ransomware eingefangen hat.
Natürlich lässt du deine Schwiedermutter in dein WLAN, damit Sie mit Freundin Erna die neusten Geschichten über die Royals per WhatsApp austauschen kann..

Was passiert also jetzt, wenn das Smartphone mit Ransomware und außerhalb jeglichen Updatezyklus viele neue Geräte in einem bis dahin unbekannten Netz findet? Richtig, nichts, da du ja alles deine Geräte auf dem aktuellen Stand hältst genauso wie jeder der in irgend einer Form Zugang zu deinem Netz hat, oder?
Natürlich auch das alte Tablet/Notebook, was dein Sohn oder deine Tochter nutzt... und von Sicherheitslücken in einer veralteten Webcam ist natürlich auch nicht auszugehen weil alle Hersteller auch Altgeräte immer mit neuer Software versorgen.

In groß hieß das WannaCry/Petya und hat Merck gerade 400Mio. gekostet: https://www.heise.de/newsticker/meld...z-3875823.html

Entschuldige bitte meine Sarkasmus, aber durch VLANs - und wenn es nur das Gast-WLAN ist - erhöht man mit einem einfachen Schritt die Sicherheit im eigenen Netz erheblich.

Ich bin auch ganz der Meinung von pmayer .
Sobald mein internes Netz aus Geräten unterschiedlicher "Kritikalität" besteht, muss ich mir darüber Gedanken machen, wie ich dafür sorge, dass nicht einfach jeder alles mit allen machen kann. Und die Crypto-Trojaner oder DDOS-Attacken der letzten Jahre sind in meinen Augen für jeden Grund genug.

Und um ein Beispiel aus der realen Welt zu nehmen:
Wenn Du in Deinem Haus mehrere Personen wohnen hast, deren Motivation Du nicht immer vollständig kennst (z.B. Mieter), wirst Du diesen Personen auch nicht gleich freien Zutritt zu Deinem Schlafzimmer gestatten und Dein Geld und andere Wertsachen offen rumliegen lassen.
Und eine Web-Cam ist dann eben der Mieter in Deinem Netzwerk.

Ja, das ist Arbeit. Und ja, das braucht einige Kenntnisse und dementsprechend Zeit.
Der potentielle Schaden durch die vollständige Verschlüsselung Deiner persönlichen Daten (Fotos der Hochzeit, Kinder, etc.) oder gar deren Veröffentlichung auf irgendwelchen dubiosen Web-Seiten, sollte Motivation genug sein. Und falls ein großer Web-Shop anklopft, weil aus Deinem Netz ein Angriff erfolgt ist, dann wird es auch sehr schnell sehr teuer.

Und falls man das nicht selber kann, dann überlässt man das guten Freunden mit Wissen oder Profis. Macht man ja mit der Schließanlage im Zweifelsfall auch so.
Und mit der Zeit beschafft man sich das Wissen dann eben doch selbst, weil man es selber können will.

Grüße

Weil gerade das Thema aufgegriffen ist... wie habt ihr die VLANs strukturiert? Mein neuer Router/FW/Switch wartet noch brav auf seine initiale Config.
Meine Netzwerkprofis schulden mir noch ein Konzept - aber ich würde zumindest folgende VLANs machen:
* Haussteuerung
* Server
* Clients
* Guests

Warum hast du das 1.x als Management-LAN extra definiert?
warum vlan 30 und 40 getrennt?

In meinem privaten LAN gibt es nur eine einzige Konstellation für ein V-LAN und das ist tatsächlich für das Gäste W-LAN und genau das ist oben nicht angeführt, also könnt euch euren Sarkasmus sparen!

Nichts für ungut, aber wer VLANS in diesen Zeiten als Schwachsinn abtut muss mit Sarkasmus rechnen. Ich möchte nicht dass meine WLAN Hue Bridge mit meinem Fileserver sprechen kann. Wozu auch? VLANS sind da ein einfaches Mittel um Kommunikation über Netze hinweg sauber aufzutrennen und standardmäßig wunderbar mit Deny Policies arbeiten zu können.

so, "wege dir" hab ich mir jetzt ein "RouterBoard" bestellt..
(passenden "managed" Switsch hab ich sowieso schon)
Gäste W-Lan und Dubiose China Kamera ins VLAN ist klar, aber der Rest?

was ich jetzt aber nicht verstehe ist, warum VLAN 10 und 40 und "normales" WLAn überhaupt getrennt hast?

zwischen den VLAN muss ich ja (teilweise) kommunikation zulassen,
werden die Geräte nich oft genau über die Dienste/Port angegriffen ? port 80 oder SMB usw. ?
dort hilft VLAN dann ja nix

Hallo, nachdem das Thema VLAN hier ausführlich diskutiert wurde, sollte jeder für sich entscheiden ob es notwendig ist.
Eine Fritzbox mit einem LAN + Gast WLAN ist natürlich wesentlich einfacher zu konfigurieren. Im Aussenbereich habe ich
Kameras die ohne großen Aufwand zugänglich sind. Laptop einstecken und was ist dann???
Zugegeben ist das Szenario schon etwas weit ausgeholt.

Bevor ich Bauer sucht Frau ansehen, klimpere ich lieber am Rechner und lerne etwas dazu.

Meine nächste kreative Abendbeschäftigung ist ein Loxberry.

ReneX magst du mal ein HowTo schreiben wie man die VLANs einrichtet? Habe auch Ubiquiti stuff im Einsatz und die VLANs stehen noch auf der ToDo Liste,hab aber keinen Plan wie ich das anstellen muss.

Also ein howto zu diesem Thema zu schreiben dürfte schwer werden da es sich schwer Verallgemeinern lässt was hast du denn an Hardware und wie sieht deine Netzstruktur aus?


Gesendet von iPhone mit Tapatalk