Blog

VLAN zu Hause: Für was brauchst du es und wie richtest du es mit OPNsense ein?

Mit der zunehmenden Nutzung von IoT-Geräten und Smarthome-Systemen wird es immer wichtiger, das Heimnetzwerk sicher und übersichtlich zu halten. Hier kommt die VLAN-Funktion von OPNsense ins Spiel. Ein VLAN (Virtual Local Area Network) teilt dein Netzwerk logisch auf, sodass du dein Hauptnetzwerk, dein IoT-Netzwerk und ein Gästenetzwerk voneinander trennen kannst. So schützt du deine wichtigen Geräte und Daten vor potenziellen Sicherheitsrisiken und behältst die Kontrolle.

Warum brauche ich VLANs?

VLANs sind besonders nützlich, wenn du deine Geräte logisch voneinander trennen möchtest. Typische Szenarien sind:

  • IoT-Geräte: Smarthome-Geräte wie Überwachungskameras, Thermostate oder smarte Lampen sind oft unsicherer und sollten nicht mit deinem Hauptnetzwerk verbunden sein. Ein eigenes VLAN für diese Geräte sorgt für mehr Sicherheit.
  • Gästenetzwerk: Gäste können über ein eigenes VLAN Internetzugang erhalten, ohne Zugriff auf dein Hauptnetzwerk oder deine IoT-Geräte zu haben. Dies ist besonders praktisch, wenn du einen separaten Access Point für Gäste betreibst.

Schritt-für-Schritt Anleitung für OPNsense

Schritt 1: VLANs in OPNsense anlegen

  1. Gehe in OPNsense zu Interfaces > Other Types > VLAN.
  2. Wähle das Interface (Parent) aus, auf dem das VLAN erstellt werden soll (normalerweise das LAN-Interface).
  3. Lege das erste VLAN für deine IoT-Geräte an, z. B. VLAN-ID 10.
  4. Erstelle ein zweites VLAN für das Gäste-Netzwerk, z. B. VLAN-ID 20.
  5. Speichere die Einstellungen und aktiviere die neuen VLAN-Interfaces.

Schritt 2: VLAN-Interfaces einrichten

  1. Gehe zu Interface-Zuweisungen: Klicke im Menü auf Interfaces > Assignments.
  2. Weise den VLANs Interfaces zu:
    • Wähle im Dropdown-Menü das gerade erstellte VLAN 10 aus und klicke auf + Add.
    • Wiederhole dies für VLAN 20.
    • Du wirst nun zwei neue Interfaces sehen, z. B. OPT1 und OPT2.
  3. Gib den Interfaces aussagekräftige Namen:
    • Klicke auf das Interface OPT1 und aktiviere es, indem du das Kästchen Enable ankreuzt.
    • Vergib einen Namen wie IoT-Netzwerk.
    • Wähle eine statische IP-Adresse (z. B. 192.168.10.1 /24 für das IoT-Netz).
    • Wiederhole dies für OPT2 (Gäste-Netzwerk) und wähle eine IP-Adresse wie 192.168.20.1 /24.
    • Klicke auf Save und Apply Changes, um die Änderungen zu speichern.

Schritt 3: DHCP-Server für die VLANs einrichten

  1. Gehe zu DHCP-Server-Einstellungen: Klicke im Menü auf Services > DHCPv4 > [VLAN Interface].
  2. Aktiviere den DHCP-Server:
    • Aktiviere den DHCP-Server für das IoT-Netzwerk und stelle den IP-Bereich auf z. B. 192.168.10.100 – 192.168.10.200 ein.
    • Wiederhole dies für das Gäste-Netzwerk und verwende einen Bereich wie 192.168.20.100 – 192.168.20.200.
  3. Klicke auf Save, um die Einstellungen zu speichern.

Schritt 4: Firewallregeln für das IoT-Netzwerk einrichten

Jetzt richten wir die Firewallregeln ein, um den Datenverkehr zwischen den VLANs zu kontrollieren. Du möchtest, dass du vom Hauptnetzwerk aus auf dein IoT-Netzwerk zugreifen kannst, aber nicht umgekehrt. Außerdem sollen die IoT-Geräte Internetzugang haben.

  1. Gehe zu Firewall > Rules > [IoT VLAN].
  2. Erstelle eine Regel, die den gesamten Traffic vom IoT-Netzwerk ins Internet erlaubt:
    • Action: Pass
    • Interface: [IoT VLAN]
    • Protocol: IPv4* (für alle Protokolle, IPv4 und IPv6, falls du IPv6 nutzt)
    • Source: IoT Net (192.168.10.0/24)
    • Destination: WAN Net (für den Internetzugang)
    • Beschreibung: Erlaube IoT ins Internet
  3. Erstelle eine Regel, die den Zugriff auf dein Hauptnetzwerk blockiert:
    • Action: Block
    • Interface: [IoT VLAN]
    • Protocol: IPv4*
    • Source: IoT Net (192.168.10.0/24)
    • Destination: LAN Net (192.168.1.0/24)
    • Beschreibung: Blockiere IoT zu LAN

Schritt 5: Firewallregeln für das Gäste-Netzwerk einrichten

Für das Gäste-Netzwerk möchtest du den Internetzugang erlauben, aber verhindern, dass Gäste auf dein Haupt- oder IoT-Netzwerk zugreifen können.

  1. Gehe zu Firewall > Rules > [Gäste VLAN].
  2. Erstelle eine Regel, die den gesamten Traffic vom Gäste-Netzwerk ins Internet erlaubt:
    • Action: Pass
    • Interface: [Gäste VLAN]
    • Protocol: IPv4*
    • Source: Gäste Net (192.168.20.0/24)
    • Destination: WAN Net
    • Beschreibung: Erlaube Gäste ins Internet
  3. Erstelle jeweils eine Regel, die den Zugriff auf andere interne Netzwerke blockiert:
    • Action: Block
    • Interface: [Gäste VLAN]
    • Protocol: IPv4*
    • Source: Gäste Net (192.168.20.0/24)
    • Destination: LAN Net (192.168.1.0/24) bzw. IoT Net (192.168.10.0/24)
    • Beschreibung: Blockiere Gäste zu LAN und IoT

Schritt 6: Access Point für das Gäste-Netzwerk einrichten

Falls du einen separaten Access Point für das Gäste-Netzwerk verwendest (z. B. einen Unifi Access Point), folge diesen Schritten:

  1. Öffne die Konfigurationsoberfläche deines Access Points.
  2. Weise dem Gäste-WLAN das VLAN 20 zu.
  3. Stelle sicher, dass der Traffic über das Gäste-VLAN geleitet wird.

Fazit

Mit OPNsense kannst du VLANs einfach einrichten und dein Heimnetzwerk sicher und übersichtlich gestalten. Damit trennst du beispielsweise IoT-Geräte und Smarthome-Systeme von deinem Hauptnetzwerk und richtest ein Gäste-WLAN ein, das nur Internetzugriff hat, ohne deine sensiblen Daten zu gefährden.

Schlagwörter: , , , , , , ,

Schreibe einen Kommentar

Diese Seite ist durch reCAPTCHA und Google geschützt Datenschutz-Bestimmungen und Nutzungsbedingungen anwenden.

Der Zeitraum für die reCAPTCHA-Überprüfung ist abgelaufen. Bitte laden Sie die Seite neu.