#IT-Tutorials · 3 Min. Lesezeit · Tim Rinkel

Heimnetz absichern mit VLANs und Firewall — der praktische Leitfaden

Heimnetzwerk absichern: Firewall und VLANs für maximale Sicherheit zuhause. OPNsense, Segmentierung und Best Practices für dein Netz.

Heimnetz absichern mit VLANs und Firewall — der praktische Leitfaden

HOMELAB-SICHERHEITS-HAMMER! Wer einen Heimserver betreibt oder IoT-Geräte im Einsatz hat, sollte sein Netzwerk PROFESSIONELL segmentieren! Mit Firewalls und VLANs trennst du verschiedene Geräteklassen – damit ein kompromittiertes Gerät nicht dein komplettes Netz gefährdet!

Hier der Mega-Guide zum sicheren Heimnetz!

Warum Netzwerksegmentierung im Heimnetz Sinn ergibt

Ein typisches Heimnetzwerk hat ALLE Geräte in einem Segment: Laptop, Smartphone, Smart-TV, Heizungssteuerung, NAS – alle im gleichen LAN!

Das ist ein SICHERHEITSRISIKO! Wird eine smarte Glühbirne kompromittiert, hat der Angreifer theoretisch Zugang zu deinem GESAMTEN Netzwerk!

Lösung: VLANs (Virtual Local Area Networks) und Firewall-Regeln, die den Traffic zwischen den Segmenten kontrollieren!

Die wichtigsten VLANs für ein sicheres Heimnetz

Diese FÜNF Segmente solltest du anlegen:

  • Management VLAN (VLAN 10): Router, Switch, Access Points – nur für Admins!
  • Trusted VLAN (VLAN 20): Laptop, Desktop, Smartphone – volles Netz!
  • Server VLAN (VLAN 30): Heimserver, NAS, Proxmox – Server-Dienste!
  • IoT VLAN (VLAN 40): Smart-Home, Kameras, Drucker – KEIN Zugang zu Trusted!
  • Guest VLAN (VLAN 50): Gäste-WLAN – NUR Internet, kein LAN!

Hardware — was du wirklich brauchst

Für VLANs brauchst du:

  • Managed Switch: TP-Link TL-SG108E (35 €) oder Netgear GS308E!
  • VLAN-fähiger Router/Firewall: OPNsense, pfSense, Mikrotik oder Ubiquiti UniFi!
  • WLAN Access Points: Müssen Multiple SSIDs mit VLAN-Tagging unterstützen!

OPNsense als Heimfirewall einrichten

OPNsense ist eine der beliebtesten Open-Source-Firewalls fürs Homelab! Basiert auf FreeBSD!

Die MEGA-Features:

  • Stateful Firewall mit einfacher Regelkonfiguration!
  • VPN-Server (WireGuard, OpenVPN)!
  • Intrusion Detection mit Suricata!
  • Unbound DNS mit Blocklisten!
  • VLAN-Konfiguration per Weboberfläche!

OPNsense läuft auf einem Mini-PC oder als VM in Proxmox! Empfehlung: Protectli VP2420 oder ähnliche!

VLAN-Setup in OPNsense Schritt für Schritt

Schritt 1: VLAN erstellen!

  • Interfaces → Other Types → VLAN!
  • Auf „+“ klicken, VLAN 40 (IoT) auf LAN-Interface erstellen!
  • VLAN-Tag 40, Beschreibung „IoT“!

Schritt 2: Interface zuweisen!

  • Interfaces → Assignments – neues VLAN zuweisen!
  • Interface aktivieren, IP vergeben (z.B. 192.168.40.1/24)!

Schritt 3: DHCP-Server aktivieren!

  • Services → DHCPv4 → [IoT Interface]!
  • DHCP aktivieren, IP-Bereich (192.168.40.100-200) vergeben!

Schritt 4: Firewall-Regeln SETZEN!

Für das IoT-VLAN diese Regeln ZWINGEND:

  • ERLAUBT: IoT → Internet (Port 80, 443, DNS)!
  • ERLAUBT: IoT → DNS-Server (Pi-hole)!
  • BLOCKIERT: IoT → Trusted VLAN (alle Ports)!
  • BLOCKIERT: IoT → Server VLAN (alle Ports)!

Managed Switch passend konfigurieren

Am Managed Switch musst du die Port-VLANs setzen! Beim TP-Link TL-SG108E:

  • 802.1Q VLAN: VLANs definieren, Ports zuordnen!
  • Trunk-Ports: Port zum Router/Firewall trägt alle VLANs tagged!
  • Access-Ports: Endgeräte-Ports gehören einem VLAN untagged!

WLAN-Segmentierung — pro VLAN ein eigenes WLAN

Auf deinem Access Point richtest du separate SSIDs für IoT-Geräte ein, die per VLAN-Tagging zugeordnet werden!

Mit Ubiquiti UniFi ist das besonders einfach:

  1. Neue SSID im Controller erstellen!
  2. VLAN 40 zuweisen!
  3. SSID auf Access Points ausrollen!
  4. IoT-Geräte mit neuer SSID verbinden!

Härtung — die sechs wichtigsten Regeln

  1. Keine universellen Admin-Credentials – eigene Accounts pro Service!
  2. SSH nur via VPN – nie direkt im Netz erreichbar!
  3. Fail2Ban oder CrowdSec auf Management-VLAN aktiv!
  4. Regelmäßige Firewall-Audits – ungenutzte Regeln rauswerfen!
  5. DNS-Sinkhole (Pi-hole) für alle VLANs!
  6. Logging – alle Firewall-Events speichern und auswerten!

Bonus: 2-Faktor-Authentifizierung im Management

Für die Management-Oberflächen (OPNsense, Proxmox, UniFi) UNBEDINGT 2FA aktivieren:

  • TOTP (Google Authenticator, Authy)!
  • YubiKey als Hardware-Token!
  • Passkeys bei modernen Tools!

Fazit — und welcher Schritt als Nächstes lohnt

Keine Frage: Netzwerksegmentierung ist PFLICHT für jedes ernstzunehmende Homelab! Mit OPNsense, Managed Switch und cleveren VLANs baust du Enterprise-Grade-Sicherheit zuhause!

Mein Tipp: HEUTE den Managed Switch bestellen, nächstes Wochenende OPNsense installieren, dann Schritt für Schritt die VLANs aufbauen!

Auf Lapalutschi.de kommt bald der ultimative OPNsense-Setup-Guide – von Null zu Pro-Firewall in 4 Stunden! Bleib dran!

Verwandte Tutorials auf Lapalutschi.de

Komplett-Bauplan vorab: Ein abgesichertes Heimnetz ist ein Baustein des großen Ganzen. Im Homelab-Anfänger-Komplettguide stehen alle Bausteine — Hardware, Container, Backup, Monitoring — auf einer Seite zusammen.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert