# VLAN & Segmentation: Strategische Netzwerktrennung auf Layer 2
TL;DR / Management Summary Ein “flaches” Netzwerk, in dem sich Server, Clients und IoT-Geräte im gleichen Subnetz befinden, ist das größte Sicherheitsrisiko in der modernen IT. Wir nutzen VLANs (Virtual LANs) nach dem Standard IEEE 802.1Q, um physische Switche in mehrere logische Netzwerke zu unterteilen. Ein Senior Admin segmentiert das Netzwerk in Zonen (Management, Server, Client, Gast), die nur über eine Firewall (OPNsense) miteinander kommunizieren dürfen, um laterale Bewegungen von Angreifern zu stoppen.
# 1. Das Konzept: 802.1Q Tagging
Das Etikett am Paket.
Normalerweise ist ein Ethernet-Frame “untagged”. Bei der Nutzung von VLANs wird ein 4-Byte-Header eingefügt, der die VLAN ID (1-4094) enthält.
- Access Port: Für Endgeräte (PC, Drucker). Der Port schickt Pakete untagged an das Gerät, aber der Switch weist ihnen intern eine ID zu.
- Trunk Port: Für Verbindungen zwischen Switchen oder zum Proxmox-Host (Artikel 680). Hier fließen Pakete mit Tags für viele verschiedene VLANs gleichzeitig.
# 2. Einrichten eines Zonenmodells
Struktur in das Chaos bringen.
Bauen Sie Ihr VLAN-Design hierarchisch auf:
- VLAN 10: Management (Switche, iDRAC, Proxmox GUI, OPNsense GUI).
- VLAN 20: Server (Domain Controller, SQL, App-Server).
- VLAN 30: Clients (Mitarbeiter-PCs).
- VLAN 40: VoIP (Telefone).
- VLAN 50: IoT / Drucker (Geräte mit wenig Security).
- VLAN 99: Gast (Nur Internetzugriff).
# 3. Deep Dive: Native VLAN & PVID
Sicherheit am Trunk.
Jeder Trunk-Port hat ein Native VLAN. Pakete, die ohne Tag ankommen, werden diesem VLAN zugeordnet.
- Best Practice: Setzen Sie das Native VLAN auf eine unbenutzte ID (z.B. 999).
- Warum?: Verhindert VLAN Hopping Angriffe, bei denen ein Hacker versucht, durch doppeltes Tagging in das Standard-VLAN 1 einzudringen.
# 4. Day-2 Operations: Inter-VLAN Routing
Die Grenze bewachen.
VLANs allein bieten keine Sicherheit, wenn ein Layer-3 Switch einfach alles ungefiltert routet.
- Aktion: Nutzen Sie Ihre OPNsense als “Router-on-a-Stick”.
- Vorteil: Jedes Paket, das von VLAN 30 (User) zu VLAN 20 (Server) will, muss die OPNsense Firewall-Regeln (Artikel 553) passieren.
# 5. Troubleshooting & “War Stories”
Wenn der Ping an der Grenze stirbt.
# Top 3 Fehlerbilder
-
Symptom: Gerät bekommt keine IP vom DHCP.
- Ursache: Der Switch-Port ist im falschen VLAN oder das VLAN wurde am Switch noch gar nicht angelegt.
- Lösung:
show vlanam Switch prüfen.
-
Symptom: “VLAN Leakage”. Traffic landet im falschen Subnetz.
- Ursache: PVID-Mismatch zwischen zwei Switchen.
-
Symptom: Massive Latenz bei Dateitransfers zwischen VLANs.
- Ursache: Die Firewall-CPU ist überlastet durch das Routing des Traffics.
- Fix: Nutzen Sie 10G Links zum Core-Switch oder lagern Sie unkritischen High-Speed-Traffic auf einen L3-Switch aus.
# “War Story”: Das “Drucker”-Leck
Ein Admin erlaubte dem Drucker im Marketing-Büro den Zugriff auf den Server-VLAN, “damit er die Scans dort ablegen kann”. Das Ergebnis: Ein Hacker nutzte eine bekannte Sicherheitslücke im Web-Interface des Druckers, um von dort aus einen Port-Scan auf die SQL-Datenbanken im Server-VLAN durchzuführen. Lehre: Isolieren Sie Drucker strikt. Lassen Sie den Drucker niemals in das Server-VLAN “pushen”. Nutzen Sie stattdessen einen separaten “Scan-Drop” Server in einer DMZ (Artikel 560), den der Server später abholt.
# 6. Monitoring & Reporting
VLAN-Inventar.
# MAC-Address Tabelle pro VLAN
Überwachen Sie, welche Geräte in welchem VLAN auftauchen:
# Beispiel Cisco
show mac address-table vlan 20- Audit: Suchen Sie nach unbekannten MAC-Adressen im Management-VLAN.
# 7. Fazit & Empfehlung
VLAN-Segmentierung ist die wichtigste Einzelmaßnahme für die Netzwerksicherheit.
- Empfehlung: Nutzen Sie VLAN-Aware Bridges in Proxmox (Artikel 662), um VMs flexibel Zonen zuzuweisen.
- Wichtig: Dokumentieren Sie Ihr VLAN-Schema in Ihrem IPAM (Artikel 731). Jede VLAN ID muss einen klaren Namen und einen definierten Zweck haben.
# Anhang: Cheatsheet (VLAN IDs)
| Bereich | Nutzung |
|---|---|
| 1 | Default (Deaktivieren!) |
| 2 - 100 | Infrastruktur & Management |
| 101 - 1000 | Business Units |
| 1001 - 2000 | Kunden / Mandanten |
| 4094 | Reserve / Quarantäne |