Schoettli HomeLab

Wissensdatenbank

Netzwerk

Struktur und Sicherheit für dein Smart Home

Warum Netzwerk-Planung wichtig ist

Dein Homelab verbindet viele Geräte: Server, Smart Home Geräte, Computer, Smartphones, IoT-Sensoren. Ohne Struktur wird das schnell chaotisch und unsicher. Ein gut geplantes Netzwerk trennt verschiedene Bereiche, erhöht die Sicherheit und verbessert die Performance.

Netzwerk-Grundlagen

Router und Switch

Der Router verbindet dein Heimnetzwerk mit dem Internet. Er verteilt IP-Adressen und schützt dein Netzwerk von außen.

Ein Switch erweitert die Anzahl der Netzwerk-Anschlüsse. Dein Router hat meist vier Ports, ein Switch bietet 8, 16 oder 24 zusätzliche Anschlüsse. Alle Geräte am Switch sind im gleichen Netzwerk.

Managed vs. Unmanaged Switch

Unmanaged Switch: Einfach einstecken, funktioniert. Keine Konfiguration möglich. Alle Ports gleich. Günstig und simpel.

Managed Switch: Konfigurierbar über Web-Interface. Ermöglicht VLANs, Priorisierung, Port-Überwachung. Teurer, aber flexibel.

Für Homelabs mit Sicherheitsanforderungen ist ein Managed Switch die bessere Wahl.

Was sind VLANs?

VLAN steht für „Virtual Local Area Network“ – virtuelles lokales Netzwerk. Mit VLANs teilst du ein physisches Netzwerk in mehrere logische Netzwerke auf.

Wie funktioniert das?

Stell dir vor: Du hast einen Switch mit 24 Ports. Ohne VLANs sind alle Ports im gleichen Netzwerk – alle Geräte können miteinander kommunizieren.

Mit VLANs teilst du diese 24 Ports auf:

  • VLAN 10: Ports 1-8 für Heimnetzwerk (PCs, Smartphones)
  • VLAN 20: Ports 9-16 für Smart Home (Lampen, Sensoren)
  • VLAN 30: Ports 17-24 für Server und Infrastruktur

Geräte in VLAN 10 können NUR mit anderen Geräten in VLAN 10 kommunizieren. Sie sehen VLAN 20 und 30 nicht.

Warum VLANs nutzen?

Sicherheit: Smart Home Geräte wie billige China-Kameras oder IoT-Sensoren sind oft unsicher. In einem separaten VLAN können sie nicht auf deine privaten Daten oder Server zugreifen.

Segmentierung: Server-Traffic bleibt getrennt vom Wohnzimmer-TV. Gäste-WLAN ist isoliert vom Heimnetzwerk.

Performance: Broadcast-Traffic wird begrenzt. Dein Smart Home flutet nicht das gesamte Netzwerk mit Paketen.

Kontrolle: Du bestimmst genau, wer mit wem kommunizieren darf. Firewall-Regeln zwischen VLANs erhöhen die Sicherheit.

Typische VLAN-Struktur im Homelab

VLAN 1 – Management (Standard)

Das Standard-VLAN für Switch-Verwaltung und Router-Zugriff. Nur Admin-Geräte hier. Nicht für normalen Traffic nutzen.

VLAN 10 – Heimnetzwerk (Trusted)

Deine vertrauenswürdigen Geräte: PCs, Laptops, Smartphones, Tablets. Voller Zugriff auf Server und Internet.

VLAN 20 – Smart Home (IoT)

Alle Smart Home Geräte: Lampen, Schalter, Sensoren, Smart Plugs. Kein Zugriff auf Heimnetzwerk, nur auf Home Assistant Server. Internet optional (manche Geräte brauchen Cloud).

VLAN 30 – Server / Infrastruktur

Server, NAS, Proxmox, Home Assistant. Diese Geräte dürfen untereinander kommunizieren. Heimnetzwerk darf zugreifen, IoT nicht.

VLAN 40 – Gäste

Gäste-WLAN. Nur Internet, kein Zugriff auf interne Ressourcen. Schützt dein Netzwerk vor Besuchern.

VLAN 50 – Untrusted / Quarantäne

Neue oder unsichere Geräte zum Testen. Komplett isoliert. Du prüfst erst, bevor du sie ins richtige VLAN bewegst.

VLAN einrichten – Grundprinzip

Hardware-Voraussetzungen

Du brauchst:

  • Managed Switch mit VLAN-Support
  • Router mit VLAN-Support oder separater Firewall (z.B. pfSense, OPNsense)
  • Alternativ: VLAN-fähiger Access Point für WiFi-Segmentierung

Konfiguration im Switch

Du loggst dich in die Web-Oberfläche deines Switches ein und:

  1. VLANs erstellen: VLAN 10, 20, 30, etc. mit Namen versehen
  2. Ports zuweisen: Port 1-8 zu VLAN 10, Port 9-16 zu VLAN 20, usw.
  3. Trunk-Port konfigurieren: Ein Port zum Router, der alle VLANs „tagged“ durchlässt
  4. Speichern und testen

Trunk vs. Access Port

Access Port: Normal-Port für End-Geräte. Gehört zu einem VLAN. Geräte wissen nichts von VLANs.

Trunk Port: Verbindung zwischen Switch und Router. Trägt alle VLANs mit „Tags“. Ermöglicht Routing zwischen VLANs.

VLAN-Routing

VLANs sind isoliert. Damit VLAN 10 mit VLAN 30 kommunizieren kann (z.B. PC greift auf Server zu), brauchst du einen Router oder eine Firewall.

Der Router:

  • Erhält Traffic von allen VLANs über Trunk-Port
  • Entscheidet anhand Firewall-Regeln, was durchdarf
  • Routet erlaubten Traffic zwischen VLANs

Beispiel-Regel:

  • VLAN 10 (Heimnetzwerk) darf zu VLAN 30 (Server): Erlaubt
  • VLAN 20 (IoT) darf zu VLAN 30 (Server) nur Port 8123 (Home Assistant): Erlaubt
  • VLAN 20 (IoT) zu VLAN 10 (Heimnetzwerk): Blockiert

WiFi und VLANs

Moderne Access Points unterstützen mehrere SSIDs auf verschiedenen VLANs:

  • SSID „Heimnetzwerk“ → VLAN 10
  • SSID „SmartHome“ → VLAN 20
  • SSID „Gäste“ → VLAN 40

Geräte wählen das passende WLAN, landen automatisch im richtigen VLAN.

Einstieg für Anfänger

Ohne VLANs starten

Für den absoluten Einstieg: Starte ohne VLANs. Ein einfaches Netzwerk reicht am Anfang. Du lernst Home Assistant, Docker, Server-Verwaltung.

Später segmentieren

Wenn dein Setup wächst und du unsichere IoT-Geräte hast, dann:

  1. Managed Switch kaufen (TP-Link, Netgear, Ubiquiti)
  2. Erstmal nur zwei VLANs: Heimnetzwerk + IoT
  3. IoT-Geräte isolieren
  4. Bei Bedarf weiter aufteilen

Dokumentation wichtig

Schreibe auf:

  • Welches VLAN hat welche Nummer
  • Welche Geräte sind in welchem VLAN
  • Welche Firewall-Regeln gelten
  • IP-Adressen und Bereiche

Ohne Dokumentation verlierst du schnell den Überblick.

Zusätzliche Netzwerk-Features

Link Aggregation (LAGG/LAG)

Mehrere Netzwerk-Ports bündeln für höhere Bandbreite. Zwei Gigabit-Ports werden zu zwei Gigabit kombiniert. Nützlich für Server mit viel Traffic.

Jumbo Frames

Größere Netzwerk-Pakete (9000 Bytes statt 1500) für bessere Effizienz bei großen Datentransfers. Alle Geräte im Pfad müssen es unterstützen.

QoS (Quality of Service)

Priorisierung von Traffic. Video-Streaming wichtiger als Downloads. Reduziert Buffering und Lags.

Port Mirroring

Kopiert Traffic eines Ports zu einem anderen. Nützlich für Netzwerk-Analyse und Monitoring mit Tools wie Wireshark.

Hardware-Empfehlungen

Einstieg (100-200 Euro)

TP-Link TL-SG108E: 8-Port Managed Switch, einfach, günstig, VLAN-fähig. Perfekt zum Lernen.

Mittelklasse (200-400 Euro)

Netgear GS308T / GS316: 8 oder 16 Ports, bessere Features, Web-Interface.

UniFi Switch Lite 8 / 16 PoE: Elegante Verwaltung, PoE für Access Points, skalierbar.

Professionell (400+ Euro)

Ubiquiti UniFi Dream Machine Pro: Router + Switch + Controller.

2025 S-WPS.ch