Bestehendes Netzwerk sicher machen - Vorschläge

ich weiß nicht, wer in deinen beiden Wohnungen wohnt, aber wenn Wohnung 1 und Wohnung 2 z.B. gleichzeitig Filme aus dem Internet streamen, ist Dein gesamtes Netzwerk lahm.
Nadelöhr ist hier dein NG GS105 in Wohnung 1.
Wenn Du in VLANs aufteilst und einen fully managed switch verwendest, kannst Du das vermeiden.

aktuell kann man den gs in Wohnung 1 sogar komplett einsparen und direkt auf den HP gehen. Selbst wenn der HP mal gegen einen Switch mit VLan austauscht bräuchte keinen weiteren Switch

Hatte damit noch nie ("festgestellte") Probleme, eventuell kannst du deine Information "technisch" erklären, aktuell komme ich nicht ganz dahinter warum der GS105 mit einem Stream (z.B. Wohnung 2), bei parallelem Stream in Netzwerk 1, das Netzwerk lahm legen soll. Selbst ein 4k Stream stellt doch für einen Gigabit Switch keine hohe Datenrate dar oder denke ich hier falsch.

Um eine saubere Trennung der einzelnen Wohnungen/Netzwerke zu bekommen, würde ich auch VLAN verwenden.
Wenn es nicht möglich ist, von den entsprechenden Netgear GS105 aus Wohnung 2 und Wohnung 3 direkt ein Kabel an den HP Switch anzuschließen, könnten man auch den Netgear GS105 in Wohnung 1 durch einen VLAN-fähigen Switch ersetzen. Dieser würde dann das VLAN vom HP Switch auf Wohnung 2 und Wohnung 3 verteilen.

Also ich würde das auch über VLANs lösen.
Ich persönlich versorge meinen Nachbarn mit einer Richtfunkstrecke mit Internet. Dazu habe ich mein Netz in VLANs aufgeteilt. Die VLANs vom NAchbarn habe ich nicht auf der selben Bridge wie meine VLANs - daher ist von ihm kein Zugriff auf mein Netz möglich.

Das VLAN vom Nachbarn läuft als Port-basiertes VLAN. Intern nutze ich zusätzlich noch Tagged VLAN - also das heisst: Du kannst über einen Port beliebige VLANs leiten. Es müssen halt alle beteiligten "VLAN" IDs verstehen und akzeptieren.

Trunk Ports mit mehreren VLANs haben halt einen Sicherheitsnachteil. Wenn jemand Zugriff auf das LAN-Kabel/die LAN Buchse hat, auf der so ein Trunk Port ankommt, kann der Angreifer auch einfach ein eigenes Gerät anstecken und die VLAN-IDs so lange durchprobieren, bis er im Admin-VLAN landet.
Wenn du also in Wohnung 1 selber wohnst oder in dieser Wohnung einen absperrbaren NW-Schrank hast, kannst du hier gerne mit TrunkPorts arbeiten. Sonst würde ich es nicht machen.

Bzgl. VLAN auf den Mikrotiks: Lass dich nicht verführen, mit alten Anleitungen zu arbeiten. RouterOS hat das VLAN Händling völlig umgestellt und nur neue Anleitungen sind brauchbar!!!! Bei mir läuft alles über den crs326-24g-2s+rm . Wenn du POE einsetzen willst, nimm lieber den größeren (gabs bei mir damals noch nicht)

Hi THX ,
kannst Du mal beschreiben, was Du konkret "verbessern" willst?
Ich habe noch nicht ganz verstanden, ob die Wohnungen eigentlich vollkommen unabhängig voneinander sein sollen, oder ob es beispielsweise neben dem Internet-Zugang noch anderen geteilte Sachen geben darf/soll/muss.
Du hast in Wohnung 1 beispielsweise ein QNAP NAS eingezeichnet. Soll das auch nur in Wohnung 1 genutzt werden?
Und das erwähnte Gäste-WLAN sol nur für einen Wohnung oder alle verfügbar sein?
Bin noch nicht so ganz sicher, was Du willst/brauchst.

Kannst Du ein bisschen mehr Deine Wünsche beschreiben?

Riesenschnabel

Meine aktuelle Idee wäre jede Wohnung "unabhängig" auszulegen, d.h. sollte die zentrale Infrastruktur (Router mit DHCP) im Haus 1 ausfallen bzw. abgeschaltet werden, sollte zumindest das lokale Netzwerk pro Wohnung funktionieren. Meiner Meinung nach muss somit zwingend pro Wohnung ein DHCP Server hin, der die Geräte mit IP Adresse "versorgt".

Von allen soll auf das gemeinsame Internet zugegriffen werden können ggf. auch noch auf das NAS in der Wohnung 1.
Eine Gäste WLAN soll in jeder Wohnung verfügbar sein, nicht aber auf andere Netzwerke Zugriff haben.

Idealerweise kann von "Außen" auch noch ein VPN zu jeder einzelnen Wohnung aufgebaut werden.

Hoffe das hilft...

Hmm, das klingt für mich schon nach recht komplexen Anforderungen. Sollen die einzelnen Netz-Segmente denn unabhängig voneinander verwaltet werden oder gibt es eine zentrale Administration? Ich vermute mal letzteres und du wirst Dich um das Ganze kümmern, oder?
Du möchtest, wenn ich Dich recht verstehe, insgesamt vier verschiedene Netze (jeweils eins pro Wohnung plus ein Gäste-Netz) von denen über drei Netze einzelne Geräte gemeinsam genutzt werden können und alle vier den geteilten Internet-Zugang.
Damit halte ich einen "zentralen" Router für den sinnvollsten Ansatz und auch administrativ am wenigsten aufwändig. Denn Du willst ja ohnehin einen gemeinsam genutztes NAS und hast damit schon ein zentrales Gerät zu verwalten. Dann kannst Du in meinen Augen auch mit einem Router/Firewall System den Rest Deiner Wünsche erschlagen.
Zusätzlich soll zu den drei Wohnungs-Netzen jeweils ein VPN-Zugang eingerichtet werden. Hier ist noch zu definieren, ob der VPN-Zugriff dann jeweils das gesamte Wohnungs-Netz oder nur ein einzelnes Gerät darin umfassen soll, denn dieser Punkt entscheidet dann, ob Du ein weiteres dediziertes Gerät benötigst oder ein bestimmter Rechner im jeweiligen Netz den VPN-Zugang bereitstellt.

Ich selbst nutze pfSense (https://www.pfsense.org/products/#requirements), welches ich auf einer virtuellen Maschine laufen habe, die über einen Netzwerk-Port mehrere VLANs bedient.
Das System ist sehr mächtig und damit solltest Du schon gut wissen, was Du willst und tust. Ohne zumindest erweiterte Netzwerk-Kenntnisse würde ich Dir das nicht empfehlen. Ich habe mir da auch schon ein paar Mal den Internet-Zugang abgedreht.

Falls Du eher über Basiswissen verfügst, dann heißt das viel Lesen, viel Geld ausgeben oder die Anforderungen reduzieren.

Grüße

Also ich stimme Riesenschnabel völlig zu: das gehört zentral administriert mit einer einzigen Hardware. Die Ausfallssicherheit ist es nicht wert, so einen übertriebenen Overhead zu generieren.
Ich würde - wie gesagt nur einen zentralen Router betreiben, der die VLANs, VPNs,.. managed. Wobei ich keinen Grund für zusätzliche Hardware bei den verschiedenen VPN Varianten sehe: Man kann ja z.b. bei oVPN auf User bzw. Profilbasis die verschiedensten Netze routen. Das ist dann mehr ein Firewallthema, es bekommt ja sowieso jede Wohnung einen eigenen VPN Zugang. Ich würde sogar personalisierte VPN User machen.
Bedenke: wenn du einfach je Wohnung einen Router nimmst, hast du in der einfachsten Variante auch mehrere NATs hintereinander. Und das macht dir sicher Kopfweh!