VLAN-Segmentierung im Homelab – endlich richtig gemacht

Ich hab VLANs im Homelab aus einem einzigen Grund eingeführt: ein IoT-Gerät hat angefangen seltsamen Traffic zu produzieren und ich wollte wissen was das ist – und dann dafür sorgen dass es nicht mit dem Rest meines Netzes reden kann.

Die Planung

Vier VLANs: IoT (alles was "smart" ist und vermutlich nicht so smart wie behauptet), Server (Proxmox, VMs, NAS), Management (Switch-Interface, Proxmox-Management), Gäste-WLAN (isoliert, nur Internet). Das klingt nach Overkill für ein Heimnetz. Ist es auch. Hab ich trotzdem gemacht.

Was ein Wochenende gekostet hat

Den Switch konfigurieren war einfacher als erwartet – mein günstiger managed Switch hat eine brauchbare Web-UI. Den Access Point auf mehrere SSIDs mit verschiedenen VLANs zu bringen hat eine Stunde gedauert. Den Router (OPNsense) entsprechend zu konfigurieren: zwei Stunden, weil ich die Firewall-Regeln zweimal falsch gemacht hab.

Der teuerste Fehler: ich hab versehentlich das Management-VLAN so konfiguriert dass es keinen Zugriff mehr auf das Management-Interface des Switches hatte. Das hab ich erst nach zwanzig Minuten Debugging gemerkt – und dann den Switch auf Werkseinstellungen zurückgesetzt und neu angefangen.

War's die Mühe wert?

Ja. Nicht weil es jetzt sicherer ist als bei 99% der Heimnetze (das ist es), sondern weil ich jetzt genau weiß was in meinem Netz passiert. Und das seltsame IoT-Gerät ist im IoT-VLAN und darf nur ins Internet, nicht ins LAN. So soll's sein.