Ich möchte meine Computer und die restlichen Geräte im Netzwerk trennen. Damit meine Computer besser geschützt sind, wenn ein anderes Gerät (z.B. ein Smart-TV) angegriffen und übernommen wurde.
Ich habe eine IB3 in Betrieb mit WLAN und Gast-WLAN und einen 24-Port managed Switch von D-Link (DGS-1224). (an meinem Stao ist keine Glasfaserverbindung möglich, daher auch kein Wechsel auf IB5).
Wie könnte man das am einfachsten bewerstelligen?
Am einfachsten (aber mit etwas manueller Konfigurationsarbeit und Hirnschmalz) mit deinen Geräten: nimm alles, dem du nicht traust, ins Gästenetzwerk. Also z.B. dein Smart-TV.
Problem: das VLAN fürs Gästenetz ist nur mit WLAN implementiert. Mit einem VLAN-fähigen Switch kannst du aber auch einen LAN-Anschluss ins Gäste-Netz verschieben. Dein vorhandener Switch sollte vlan-fähig sein, laut Datenblatt. Die richtigen Nummern fürs VLAN findest du hier:
https://community.swisscom.ch/d/653937-suche-die-vlan-settings
Etwas aufwändiger (weil mit Neuanschaffung verbunden, dafür wesentlich einfacher zu konfigurieren), aber dafür mit (sehr) viel mehr Möglichkeiten: nimm einen geeigneten Router in Betrieb, z.B. kaskadiert hinter der IB3. Da gibt es einige gute Geräte die das können. Ich verwende dazu Geräte von Unifi (Router und Switche).
Dr-No entweder Du tust bestimmte Geräte in ein VLAN. Wenn bestimmete Geräte kein VLAN supporten kannst Du es mit einenem Port Based VLAN am Switch unterstützen. SC-TV Box und Router unterstützen kein VLAN. Dein Switch supportet VLAN.
Meine Frage ist macht das überhaupt sinn bei Dir ? In KMU Umgebungen sehe ich das eher, als bei Privat.
Was beim Gast-WLAN der Internetboxen noch zu berücksichtigen ist:
Es funktioniert nur im 2.4 GHz Band, was für IoT-Geräte normalerweise kein Problem ist, aber eine Swisscom TV-Box, welche sich nur über das 5 GHz WLAN verbindet, kann man z.B. nicht am Gast-WLAN der Swisscom Internetboxen betreiben.
Möchte man das Konzept der Abschottung von einzelnen Gerätegruppen aber wirklich vollständig umsetzen, braucht es jedoch wie bereits gesagt ein eigenes der Internetbox nachgeschaltetes kaskadiertes Netz mit eigener zusätzlicher Hardware und mächtigerer Routerfirmware.
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
kaetho danke für deine Antwort. Ich habe auch Geräte von Unifi angeschaut, z.B. die UDR7. Aber damit müsste ich die IB3 ersetzen. Und wenn der UDR7 komprimiert würde, wäre gleich mein ganzes Netz gefährdet. Vielleicht besser ein der IB3 nachgelagertes Gerät, wie der Unifi Express 7 und folglich an der IB3 das WLAN abstellen?
Du musst die IB3 nicht ersetzen, denn Du kannst dahinter ganz einfach den UniFi-Router kaskadieren (mit seiner WAN-Schnittstelle an einen LAN-Port der IB3 anschliessen) und als Resultat hast du dann zwei Netze (jeweils LAN und WLAN)
Welche Client-Geräte Du dann in welchem Netz betreibst ist dann natürlich eine Frage des Konzeptes.
Dabei ist die einfachste Lösung alle IoT-Geräte im Netz des Zugangsrouters IB3 (welche man dann konzeptionell als „untrusted Environement“ ohne vollständige eigene Kontrolle betrachtet) zu belassen und alle vertraulicheren Dinge ins eigene abschottete zusätzliche Kernnetz zu verschieben.
Ebenfalls können dann im eigenen Heimnetz zusätzliche VLAN-Konstrukte eingesetzt werden, was ein UniFi- Router sicher ermöglichen würde.
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Dr-No Aufgrund deiner Antwort, wäre es wünschenswert, wenn SC neben Wlan-Boxen auch ein Firewall-Gerät mit integriertem Wlan anbieten würde. Was meinst du?
Dir steht da ja der ganze Weltmarkt offen und es gibt für alle in Frage kommenden Geräte keinerlei Provider-Abhängigkeit, also ist es gar nicht erforderlich „Fleisch unbedingt beim Bäcker einkaufen zu wollen“.
Was man sich aber sicher bewusst sein muss, falls man ein eigenes Heimnetz betreibt, muss man auch bereit sein, sich ein wenig damit zu beschäftigen, denn da gibt es dann keine Fernwartung durch eine Provider-Hotline.
Mit ein wenig Einlesen und Verständnis für die Zusammenhänge kriegt man es aber eigentlich gut selber hin.
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Werner danke für deine Antwort. Das tönt sehr verlockend 
Das würde heissen: die IB3 wäre mit ihren (übrigen) LAN-Anschlüssen und seinem WLAN für untrusted Geräte und das nachgelagerte Gerät (z.B. ein UDR7 mit LAN Anschlüssen und anderem WLAN) für die trusted Geräte vorgesehen. Die zusätzlichen beiden WLAN-Boxen, die ich heute auf jedem Stockwerk einsetze, müsste ich irgenwie (per VLAN?) im Netz der UDR7 betreiben. Über das normale WLAN der WLAN-Boxen könnten sich trusted Geräte, über das Gast-WLAN untrusted Geräte verbinden.
aus eigener Erfahrung: Wenn du in die Unifi-Welt eintauchst, wirst du schnell süchtig danach 
.
Aber vergiss die Idee mit den WLAN-Boxen ins Unifi-Netz zu nehmen ganz schnell wieder. Die sind toll, preiswert und machen im Swisscom-Universum genau das (meistens jedenfalls), was sie sollen. Im Unifi-Universum bist du ganz schön eingeschränkt mit diesen WLan-Boxen. Kein VLAN, keine saubere Topologieabbildung, kein optimieren des WLANs über die Unifi-Oberfläche…
Richtig Spass macht das Unifi-Zeugs erst, wenn du Router, Switches und AP’s von Unifi verwendest.
Den Router von Unifi hinter die Internetbox, wahlweise in die DMZ, wenn du alles direkt von aussen ins Unifi-Netz willst, und dahinter dann Switches und APs von Unifi.
Auf der IB läuft dann noch die Festnetztelefonie (wenn du diese noch brauchst) und einen allfälligen DDNS-Dienst, wenn du den brauchst.
Die IoT-Geräte habe ich auch im Unifi-Netz, schön mit VLAN abgetrennt und mit Firewallregeln abgeschottet, so dass ich z.B. aus den normalen Heimnetz auf die IoT-Geräte zugreifen kann, diese aber nicht selbstständig und unaufgefordert ins Heimnetz und auf die Gateways zugreifen können.
