gibt es „ungeschriebene Gesetze“ bei der IP-Adressvergabe im Privatnetz zu Hause?
Laut Wikipedia gibt es folgende Adressebereiche für Netze für privaten Gebrauch:
10.0.0.0 bis 10.255.255.255
172.16.0.0 bis 172.31.255.255
192.168.0.0 bis 192.168.255.255
Kann ich also folgende Aufteilung bei mir aufbauen?
10.x für die Familie
172.x für das Gastnetz
192.x für IoT-Geräte
Für erfahrene Netzwerker sicher eine Selbstverständlichkeit, aber ich hatte bis jetzt nur ein Privatnetz mit einer Fritzbox 192.168.x.x, bin noch ziemlich unbedarft.
Ich persönlich bin auch ein Freund davon bei einer Art des Netzes zu bleiben.
Habe es ähnlich wie in @Andrew_XNET aufgeteilt.
So ist es aus meiner Sicht auch mit dem Routing etwas einfacher und bleibt übersichtlich.
Wenn du Netzwerke dann noch in VLANs unterteilen möchtest find ich es immer gut wenn die VLAN-ID sich im der Adresse bzw. in dem Netzbereich wiederfindet.
Beispiel:
192.168.5.0/24 Intern = VLAN ID 5
192.168.10.0/24 Gastnetz = VLAN ID 10
Aber im privaten Bereich kann man sich ja auch in der Regel austoben und experimentieren
Privat als auch bei uns in der Firma nutze(n) ich/wir im LAN IPs aus 10.0.0.0/8, bei Wireguard-VPN für dessen Tunnel-IP 100.64.0.0/10 und Proxmox für interne (private) Netzwerke 172.16.0.0/12. Für alles, was sich hinter einem eventuellen zweiten NAT befindet 192.168.0.0/16.
Die Subnetze selbst sind aber alles /24 Netze.
Wer UniFi mit L3 Switche verwendet und diese auch für Routing einspannt, dem sei gesagt, das UniFi für Inter-VLAN-Routing (VLAN-ID 4040) 10.255.253.0/24 verwendet und das ist nicht änderbar.
Der Gedanke hinter meiner zuerst genannten Aufteilung war, dass man schneller sieht, aus welchem Bereich ein Logeintag kommt, auch Firewallregeln so auf größere Gruppen gemacht werden können, und dem Autofill vorzubeugen; wenn alle mit 10.1.x.x beginnen, kann man eher mal versehentlich sich verklicken.
Das mit der 3.Range als VLAN ID ist ein guter Hinweis.
Ebenso das mit dem UniFi-Routing, da ich mein künftiges Netzwerk mit UniFi aufbauen werde.
Eine Frage noch zu den /24 Netzen:
Gibt es im privaten Heimnetz einen sinnvollen Anwendungsfall, um von /24 abzuweichen?
hab z.b. ein /30 für das modem gegeben, das sind genau 2 nutzbare adressen, eine für das modem und eine für die opnsense, ich möchte das modem durch die WAN Schnittstelle erreichbar machen, dafür sollen keine weiteren Adressen aus dem bereich für etwas anderes genutzt werden.
Hier noch zwei weitere Punkte, welchen du vielleicht auch noch Beachtung schenken solltest
CG-NAT (Provider verwenden gern 10.x. Netze)
Arbeitet dein Provider mit CG-NAT (Vodafone, diverse Kabelnetzbetreiber, Mobilfunk, …), werden vor dem Modem vielleicht schon „private“ Netzbereiche verwendet.
Arbeitgeber (VPN, …)
VPN-Anbieter
Je nach Szenario, verwenden die oben Genannten schon Netzbereiche aus den „privaten Bereich“. Sodass du Bereiche wählen solltest, welche keine Überschneidung mit diesen haben.
Die verwenden es nicht gern. die müssen IP’s aus dem Bereich 100.64.0.0/10 dafür nutzen, weil der Bereich dafür reserviert ist
Ist aber egal, solange man den Bereich nicht selber nutzt und im 10.0.0.0/8 sind ja genutz Netze frei, 10er Adressen werden eh nicht ins Internet geroutet also juckt den Router das nicht, was intern ist.
Kleiner Tip noch: bei Unifi für eigene Netze keine VLAN-ID’s aus dem bereich 2 bis 9 nutzen ( 1 ist eh fest belegt ), das war die Empfehlung es Unifi-Technikers im Forum, weil die intern genutzt wurden ( ob das noch so ist, weiss ich aber nicht )
hab z.b. ein /30 für das modem gegeben, das sind genau 2 nutzbare adressen, eine für das modem und eine für die opnsense, ich möchte das modem durch die WAN Schnittstelle erreichbar machen, dafür sollen keine weiteren Adressen aus dem bereich für etwas anderes genutzt werden.
Was konkret bringt die Einschränkung, z.B. /30 dass nur 2 IPs verfügbar sind?
Wenn man einem Teilnetz nur 2 Geräte zuweist, und dem DHCP-Server nicht die Freigabe gibt, selbst dort IP-Adressen zuzuweisen, dann sollten doch 253 IPs frei bleiben?
Tuxtom007:
Kleiner Tip noch: bei Unifi für eigene Netze keine VLAN-ID’s aus dem bereich 2 bis 9 nutzen ( 1 ist eh fest belegt ), das war die Empfehlung es Unifi-Technikers im Forum, weil die intern genutzt wurden ( ob das noch so ist, weiss ich aber nicht )
Du meinst, man soll in Teilnetzen die letzte Stelle .1 bis .9 nicht verwenden, wenn man mit UniFi Geräten arbeitet?
10er Range finde ich sinnvoll / übersichtlicher, wenn man mehrere Standorte (Eigene Wohnung, Eltern, Hetzner Server, etc) betreut.
Bspw.:
10.0.0.0/16 = zuhause
10.1.0.0/16 = Hetzner
Dann wären die VLANs:
10.0.10.0/24 = VLAN 10 zuhause
10.1.10.0/24 = VLAN 10 bei Hetzner
VPN dann bspw.:
10.255.0.0/24 = VPN das die Standorte verbindet
10.255.1.0/24 = Client VPN
Ansonsten reicht die 192.168.0.0/16 für einen Haushalt locker aus.
Ob andere VPN Dienste (Abreitgeber, etc) dieselbe Range benutzen ist vollkommen egal, solange der Tunnel vom Client und nicht von deinem Router aufgebaut wird (was bei einem Arbeitgeber VPN nicht der Fall sein dürfte).
Reicht auch für das Szenario „Eigene Wohnung, Eltern, Hetzner Server, etc“ vollkommen aus.
Kann man machen, dass man die VLAN-ID in der IP abbildet. Machen wir aber grundsätzlich nicht, da wir zum einem auch VLAN-ID jenseits der 255 haben und zum anderen uns die Möglichkeit offen lassen, auch Subnetze mit einem Präfix kleiner als 24 bauen zu können, wenn es mal erforderlich sein sollte.
Spass beiseite - als allererstes hinsetzen, Blatt Papier, Plan malen, was überhaupt ins Netzwerk rein soll, welche Switch, AP’s benötigt werden, welche Endgeräte per LAN/WLan
Dann welche Endgeräte in welche VLAN’s sollen und welche VLANs miteinander kommunizieren müssen / dürfen / nicht dürfen oder ind Internet dürfen / nicht dürfen.
Dann kann man sich Gedanken über die IP-Adressen machen.
Ich mache es genauso, an 3. Stelle der IP kommt bei mir die VLAN-ID, an zweiter Stelle der Standort, 0 bei mir zuhause, 1 = Cloud.
Ich nutze immer /24 Netze, warum solle ich die stückeln, ist nur Aufwand beim berechnen und konfigurieren der Firewall nachher. Manche VLAN haben 2 IP-Adressen drin, das Gateway und z.b. Firmennotebook - na und, wem stört es.
Stimmt, da war ja noch was davor … och, ich bin nicht ich, wenn ich hungrig bin
Was mir aber noch so als Tipp einfällt ist zu prüfen, ob es ggf. Einschränkungen bei einigen Geräten geben könnte.
Beispiel:
Ein Hersteller eines Multifunktionsdrucker (MFP) hatte es sich zu einfach gemacht, beim Scannen nur das eigene Netzwerk zuzulassen, wenn man den Zugriff auf das Internet verbietet. Komischerweise konnte man aber aus einem anderen Subnetzen heraus auf diesen Drucker drucken.
Also MFPs und Netzlaufwerke (SMB) sollten dann schon im selben Subnetz sein.
