Warum Netzwerk-Segmentierung?
In einem flachen Netzwerk kann jedes Gerät mit jedem anderen kommunizieren. Das ist praktisch, aber aus Sicherheitsperspektive ein Problem – ein kompromittiertes Gerät hat Zugriff auf alles.
VLANs (Virtual Local Area Networks) lösen dieses Problem durch logische Trennung auf Layer 2.
Meine VLAN-Struktur
VLAN 10: Management 192.168.10.0/24 (Proxmox, Switch-Management)
VLAN 20: Server 192.168.20.0/24 (Linux VMs, Docker)
VLAN 30: DMZ 192.168.30.0/24 (öffentlich erreichbare Dienste)
VLAN 40: IoT 192.168.40.0/24 (Smart-Home-Geräte)
VLAN 50: Clients 192.168.50.0/24 (Laptops, Smartphones)
Konfiguration am Switch
Am Managed Switch müssen Ports als Access oder Trunk konfiguriert werden:
- Access Port: Trägt nur ein VLAN (z.B. Client-Port)
- Trunk Port: Trägt mehrere VLANs mit 802.1Q-Tagging (z.B. Uplink zu pfSense)
pfSense als VLAN-Router
pfSense erstellt für jedes VLAN eine virtuelle Interface:
em0 (physisch) → em0.10, em0.20, em0.30, em0.40, em0.50
Firewall-Regeln steuern dann, welche VLANs miteinander kommunizieren dürfen.
Inter-VLAN Kommunikation
Meine Firewall-Philosophie:
- Management → alle VLANs: erlaubt (Monitoring, Updates)
- Server → Internet: erlaubt (Updates, APIs)
- IoT → Internet: erlaubt (Cloud-Dienste)
- IoT → Server/Management: blockiert
- Clients → Server (bestimmte Ports): erlaubt
- DMZ → interne VLANs: blockiert (nur eingehend nach DMZ erlaubt)
Learnings
VLAN-Segmentierung ist kein Hexenwerk, aber die Planung ist entscheidend. Einmal falsch geplant, sind Änderungen aufwendig. Mein Rat: Auf Papier planen, bevor du einen Switch anfasst.