Ich plane schon länger die Umstellung von meinem Netzwerk von der Klasse C (192.168.x.y/24) auf Klasse B (bei mir 172.16.x.y/16) und habe die letzen Tage die Inventur von meinem Netzwerk/Geräten gemacht (zum Glück war vieles schon dokumentiert) und habe von gestern bis heute Morgen um 03:00 Uhr alles auf Klasse B umgestellt und bis auf ein paar „Huster“ funktioniert zum Glück alles wie vorher und ich habe jetzt 65534 IP-Adressen zur Verfügung
Mein Netz sieht jetzt so aus (Bild list KI generiert)
Was fällt mir spontan wichtiges zur Vorbereitung und Planung ein:
Du solltest Dich etwas mit dem Thema Netzwerk auskennen!!!
eine Liste mit Gerät, MAC-Adresse und der dazugehörigen aktuellen IP ist sehr wichtig (gehe bewusst durch die Räume und notiere Dir die aufgefallenen Geräte.. je öfter, desto vollständiger wird die Liste)
von jedem! wichtigen Gerät ein Backup machen!!!
sämtliche Geräte auf DHCP umstellen
ich habe mir einzelne Netze angelegt z.B. 172.16.10.x/16 ist Technik, 172.16.20.x/16 ist Multimedia, 172.16.30.x/16 ist Sicherheit usw und diese Verteilung habe ich mir vorher festgelegt
die Reihenfolge dokumentieren, wann welches Gerät umgestellt wird (GANZ WICHTIG!) ansonsten sperrst Du Dich ggf. aus und kommst an das Gerät nicht mehr ran (da hilft DHCP)
ganz wichtig ist eine gute Vorbereitung/Planung und ein ruhiger Zeitrahmen für die Umstellung (unter Zeitdruck oder Unruhe wird das nicht klappen)
es müssen in verschiedenen Bereichen noch IP’s angepasst werden z.B. lokale IP von Home Assistant, ggf. das Share zum NAS für das HA-Backup, in Tasmota der MQTT-Host usw usw
→ Bitte schreibe hier, falls ich etwas wichtiges vergessen haben sollte!
… jetzt sind die „Huster“ auch beseitigt (vieles war ein Cache/Verlauf-Thema) und ich merke aktuell keine Veränderung mehr und hatte jetzt auch wieder einen freien Kopf für dieses Thema hier
Ich denke, wir können uns hier gut zum Thema „Umstellung auf Klasse-B Netz“ austauschen, falls Du Fragen oder andere Ideen&Vorschläge hast
auch ich plane schon länger eine Umstellung meines Netzwerks – allerdings gehe ich dabei noch einen Schritt weiter und kombiniere das Thema mit einer konsequenten VLAN-Segmentierung. Umgesetzt habe ich das Ganze noch nicht, aber die Planung steht.
Kurze Korrektur vorab, lieber Micha : Du bist von Klasse C (192.168.x.y/24) auf Klasse B (172.16.x.y/16) umgestiegen – im Text hast du es einmal andersherum beschrieben. Die technischen Details in deinem Beitrag stimmen aber alle, also nur eine kleine Verwechslung der Begriffe!
Mein geplantes Setup – VLAN-Segmentierung auf Basis von UniFi (komplett durch und durch)
Da ich ausschließlich UniFi-Hardware einsetze, nutze ich auch die UniFi-eigenen Mittel für die Netzwerktrennung. Mein Ziel: strikt trennen zwischen Geräten, die ins Internet müssen, und solchen, die komplett lokal laufen – bei minimalem Wartungsaufwand.
VLAN 10 – Main (Das vertrauenswürdige Zentrum)
Hier landen alle privaten Endgeräte sowie Home Assistant. HA benötigt Internetzugang für Core-Updates und Add-ons, weshalb es hier am besten aufgehoben ist.
Voller Internetzugang, Zugriff auf alle anderen Netze
mDNS & IGMP Snooping aktiviert
SSID: 2,4 + 5 GHz, WPA3, keine Client Isolation
Typische Geräte: Smartphones, Laptops, NAS, Home Assistant Server
VLAN 20 – NoT (Network of Things / Streng Lokal)
Der sichere Hafen für alles, was lokal perfekt funktioniert und keinerlei Grund hat, nach Hause zu telefonieren. Maximale Datensouveränität, gerade bei ESPHome- oder MQTT-Geräten.
Internet komplett gesperrt, Kommunikation mit HA (VLAN 10) erlaubt
Nur 2,4 GHz (stabilster Betrieb für Microcontroller), WPA2
Typische Geräte: ESPHome-Nodes, Shelly-Relais, lokale Wallboxen, Wechselrichter
VLAN 30 – IoT (Cloud-abhängige Geräte)
Hier landen Geräte, bei denen ich den Cloud-Kompromiss eingehen muss – aber weit weg von meinem privaten Netz.
Internetzugang erlaubt, Zugriff auf VLAN 10 & 20 streng verboten
2,4 + 5 GHz, WPA2, mDNS aktiv (wichtig für Casting-Protokolle)
VLAN 40 – Gäste & Kinder (Vollständig isoliert)
Reiner Internetzugang, Geräte sehen sich gegenseitig nicht – ideal für Besucher und Kindgeräte.
UniFi Guest Network (setzt Isolation automatisch auf Netzwerkebene um)
Client Device Isolation aktiviert
Die entscheidenden Firewall-Regeln (LAN In)
Die Reihenfolge ist in UniFi kritisch:
Allow Established/Related – Antworten auf legitime Anfragen werden durchgelassen
Allow Main to All – VLAN 10 (und damit HA) darf alles steuern
Block NoT to Internet – VLAN 20 kommt nie ins Internet
Block Inter-VLAN Routing – eine RFC1918-Gruppe sperrt den Rest: keine VLAN-übergreifende Kommunikation, sofern nicht durch Regel 1 oder 2 explizit erlaubt
Wie gesagt – das ist bislang reine Planung, ich bin also für Erfahrungswerte und Hinweise aus der Praxis sehr dankbar! Habt ihr ähnliche Setups im Einsatz, vielleicht sogar ebenfalls mit UniFi?
Ich kenne UniFi nicht wirklich und habe nur einen generellen Gedankengang: ich würde sicherstellen, dass nur VLAN-10 Geräte ins Internet kommen und nicht andere ggf. über Umwege z.B. aus dem VLAN20
Ich verstehe den Gundgedanken: Ich würde aber Geräte mit sensiblen Daten nur abgesperrt Intern betreiben und dort auch ohne Internetzugang und vielleicht auch nicht für alle im Zugriff (wie bei Dir → jeder mit Zugang zum VLAN10 hat somit Zugriff auf das NAS)
kann VLAN 30 – IoT z.B. Saugroboter, Sprachassistenten das VLAN10 mit Home Assistant erreichen?
sollen Kinder z.B. über Home Assistant Musik hören oder auf Daten auf dem NAS zugreifen können (z.B. Bilder oder andere Daten)
denke das mit den VLANs kann man sicherlich noch mehr auf die Spitze treiben Aber das von Olli is ein Anfang.
von einem Sicheren Zentrum bis zu einem VLAN wo die Gerät im lokalen Netz sind, ist schonmal gut alles abgedeckt.
Das mit:
ja das kann man definieren wenn ich das richtig im Kopf habe. weil dein HA-Server zuhause wird sich ja nicht dauern ändern. Ansonsten machste halt für die HA-Serverfarm ein eigenes VLAN auf wo die IoT/NoT Geräte immer mit reden dürfen etc.
Deine eine grundlegende Struktur is wichtig beim Wechsel. Auch könnte man das VLAN 40 hier weiter nach hinten schieben.
Das man überlegt "was wird das Netzwerk sein was am wenigsten mit dem Rest reden soll und das wird dann VLAN 90.. und da zwischen hat man Luft.
Auch bei UniFi schön das du mit PSK (PreSharedKeys) sagen kannst „wenn das Passwort eingegeben wird landest du in VLAN xx“.
So hat man nicht drölfzig WLAN sondern seine normalen und anhand des Passworts landet man in verschiedenen VLANs.
kurze Antwort: Ich bin kein Netzwerk-Profi und war der Meinung, dass Pakete in einem Klasse-C Netz nur in dem entsprechenden IP-Kreis mit den anderen Geräten kommunizieren können und das Pakete zu einem anderen IP-Kreis ohne extra Rouing-Einstellungen nicht „routebar“ sind z.B. von 192.168.1.x zu 192.168.10.x
Wenn das von Dir beschriebene richtig ist, dann ist die Erweiterung der möglichen IP-Adressen viel einfacher und ich habe wieder etwas gelernt
: Du bist von Klasse C (
habe es korrigiert