Ein flaches Netzwerk ohne Segmentierung ist der Albtraum jedes Admins: Ein Gerät mit Schadsoftware kann ungehindert nach links und rechts kommunizieren, DHCP-Anfragen beantworten und Zugangsdaten abgreifen. Die Lösung heißt Netzwerksegmentierung nach dem Zero-Trust-Prinzip – und sie ist auch für kleine und mittlere Unternehmen umsetzbar, ohne teure kommerzielle Lösungen. Diese Anleitung führt dich von Konzept bis Betrieb: Segmente sinnvoll schneiden, Firewall-Regeln nach „Default Deny" anlegen, mDNS-Fallstricke umgehen und ein bestehendes flaches Netz schrittweise ohne Downtime migrieren.

Voraussetzungen

Managed Switch mit 802.1Q-VLAN-Unterstützung (mindestens 8 Ports, z. B. TP-Link TL-SG108E ca. 30–40 EUR, Netgear GS308E ca. 40 EUR oder UniFi USW-Lite-8-PoE ca. 109 USD)
OPNsense-Appliance (Mini-PC mit mindestens 2 Netzwerk-Interfaces, z. B. Protectli VP2420 ab ca. 200 EUR) oder UniFi Dream Machine Pro
OPNsense 24.7.x oder 25.1.x installiert und grundkonfiguriert (WAN/LAN aktiv, WebGUI erreichbar) – falls noch nicht: OPNsense Firewall Erstkonfiguration
Patchkabel Cat5e/Cat6 für den Trunk-Link zwischen Switch und OPNsense
Zugriff auf Switch-Management-Interface und OPNsense WebGUI (HTTPS)
Dokumentations-Template: Segmentierungs-Matrix (Tabelle mit Segmenten als Zeilen und Spalten)
Optional: Nmap für Konnektivitätstests, Wireshark/tcpdump zum Debugging

Schritt 1: Segmentierungs-Konzept – Segmente sinnvoll schneiden

Bevor du den ersten Switch-Port anfasst, musst du wissen, welche Segmente du brauchst. Das BSI IT-Grundschutz NET.1.1 (Edition 2023) fordert eine strikte Trennung von Clients und Servern in verschiedenen Sicherheitssegmenten. Für die meisten KMUs reicht folgendes Modell:

VLAN	Name	Subnetz	Typische Geräte	Internet
10	Management	10.0.10.0/24	Switches, APs, OPNsense, Server-IPMI	eingeschränkt
20	Clients	10.0.20.0/24	PCs, Laptops, Thin Clients	ja
30	Server/DMZ	10.0.30.0/24	File-, Mail-, Webserver	eingeschränkt
40	VoIP	10.0.40.0/24	IP-Telefone, SIP-Clients	SIP/RTP
50	IoT/OT	10.0.50.0/24	Kameras, Smart-Devices, WLAN-Drucker	ja
60	Drucker	10.0.60.0/24	Netzwerkdrucker, Multifunktionsgeräte	nein
70	Gast	10.0.70.0/24	Besucher-WLAN, externe Geräte	nur HTTP/S

Die Segmentierungs-Matrix zeigt, welcher Traffic zwischen den Zonen erlaubt ist. Alles andere ist per Default blockiert (Zero-Trust: „Least Privilege"):

Von \ Nach	MGMT	Clients	Server	VoIP	IoT	Drucker	Gast	WAN
Management	–	SSH/HTTPS	SSH/HTTPS	SSH/HTTPS	SSH/HTTPS	SSH/HTTPS	–	Updates
Clients	–	–	SMB/HTTP/S	–	–	IPP/9100	–	ja
Server/DMZ	–	–	–	–	–	–	–	eingeschränkt
VoIP	–	–	SIP/RTP	–	–	–	–	SIP/RTP
IoT/OT	–	–	–	–	–	–	–	ja
Drucker	–	–	–	–	–	–	–	–
Gast	–	–	–	–	–	–	–	HTTP/S

Wichtig: VLAN 1 (Default-VLAN) darf nicht für Produktiv-Traffic verwendet werden. Setze das Native-VLAN auf Trunk-Ports auf ein ungenutztes „Black Hole"-VLAN (z. B. VLAN 99), um VLAN-Leaks durch ungetaggte Frames zu verhindern.

Schritt 2: RFC1918-Alias und VLAN-Interfaces in OPNsense anlegen

Bevor du irgendein Gerät umziehst, richtest du die komplette VLAN-Infrastruktur in OPNsense ein. Das gibt dir jederzeit die Möglichkeit, mit einem Switch-Port-Reset zurückzurollen.

Zuerst legst du einen Alias für alle privaten Adressbereiche an (wird in Firewall-Regeln verwendet):

# OPNsense: RFC1918-Alias anlegen
# Firewall > Aliases > + Hinzufügen

Name:     RFC1918
Type:     Network
Networks: 10.0.0.0/8
          172.16.0.0/12
          192.168.0.0/16

Dann legst du für jedes VLAN ein Interface an. Beispiel für VLAN 50 (IoT) auf dem Uplink-Port igb3:

# OPNsense: VLAN-Interface anlegen
# Interfaces > Devices > VLAN > + Hinzufügen

Device:      vlan0.50
Parent:      igb3
VLAN tag:    50
Description: IoT_VLAN

# Danach: Interfaces > Assignments
# vlan0.50 zuweisen, aktivieren
# IPv4 Static: 10.0.50.1/24
# Services > DHCPv4 > IoT_VLAN: aktivieren, Range 10.0.50.10-10.0.50.200

Wiederhole diesen Vorgang für alle VLANs (10, 20, 30, 40, 50, 60, 70). Erst wenn alle VLAN-Interfaces aktiv sind und DHCP-Antworten liefern, geht es weiter mit der Switch-Konfiguration.

Schritt 3: Managed Switch und Trunk-Port konfigurieren

Der Link zwischen Managed Switch und OPNsense muss alle VLANs als „tagged" tragen. Niemals untagged und tagged VLANs auf demselben Trunk mischen – das führt zu DHCP-Leckage.

# UniFi Network Controller: Uplink-Port konfigurieren
# Switches > Ports > [Uplink-Port zu OPNsense]

Native VLAN:  99  (Black Hole, ungenutzt)
Tagged VLANs: 10, 20, 30, 40, 50, 60, 70

# Endgerät-Port Beispiel: Drucker an Port 5
Native VLAN:  60  (Drucker-VLAN, untagged)
Tagged VLANs: keine

Für TP-Link TL-SG108E oder ähnliche Switches ohne Controller-Oberfläche richtest du dasselbe über das Web-Interface ein: 802.1Q-VLAN-Tabelle, Trunk-Port als „T" (Tagged) für alle VLANs, Access-Ports als „U" (Untagged) nur für das zugehörige VLAN.

VLAN Pruning: Ein Switch-Port, an dem nur ein Drucker hängt, trägt ausschließlich VLAN 60 als untagged. Kein IoT-VLAN, kein Client-VLAN. Das Pruning reduziert die Angriffsfläche erheblich. Mehr Hintergründe zum Thema Subnetting findest du in der Anleitung Subnetting und CIDR verständlich erklärt.

Schritt 4: Firewall-Regeln nach Default-Deny anlegen

OPNsense verarbeitet Firewall-Regeln interface-inbound, von oben nach unten, nach dem „first match"-Prinzip. Jedes VLAN-Interface hat implizit eine „block all"-Regel am Ende. Du musst nur explizite Allow-Regeln anlegen.

IoT-VLAN: Nur Internet, kein RFC1918-Zugriff

# Firewall > Rules > IoT_VLAN (Reihenfolge von oben nach unten)

# Regel 1: DNS zur Firewall erlauben
Action: Pass | Protocol: TCP/UDP
Source: IoT_VLAN net | Destination: IoT_VLAN address | Dest. Port: 53

# Regel 2: NTP zur Firewall erlauben
Action: Pass | Protocol: UDP
Source: IoT_VLAN net | Destination: IoT_VLAN address | Port: 123

# Regel 3: RFC1918 blockieren (verhindert Lateral Movement)
Action: Block | Source: IoT_VLAN net | Destination: RFC1918 (Alias)

# Regel 4: Internet erlauben
Action: Pass | Source: IoT_VLAN net | Destination: any

Floating-Regel für Inter-VLAN-Logging (optional, empfohlen für Debugging):

# Firewall > Rules > Floating

Action:      Block
Direction:   in
Interface:   [alle VLAN-Interfaces auswählen]
Source:      any
Destination: any
Log:         yes
Description: Default Deny Inter-VLAN (Logging)

Management-VLAN absichern: Nur das Management-Segment darf auf die OPNsense WebGUI (Port 443) und SSH (Port 22) zugreifen. Alle anderen VLANs müssen diese Ports zur Firewall-IP blockieren.

# Firewall > Rules > MGMT_VLAN

Regel 1: Pass | TCP | Source: MGMT_VLAN net | Dest: any | Port: 443, 22, 8080
Regel 2: Pass | ICMP | Source: MGMT_VLAN net | Dest: any
Regel 3: Pass | any  | Source: MGMT_VLAN net | Dest: RFC1918

Schritt 5: Drucker-VLAN und mDNS-Proxy einrichten

Nach der VLAN-Trennung funktioniert AirPrint, Bonjour und Windows Printer Discovery nicht mehr – mDNS (UDP 5353) ist link-local und überquert keine VLAN-Grenze. Die Lösung heißt Avahi-Plugin.

# System > Firmware > Plugins: os-avahi installieren

# Services > Avahi > Konfiguration:
Enable:      checked
Interfaces:  Clients_VLAN, Drucker_VLAN  (alle gewünschten VLANs)
Enable IPv4: yes
Enable IPv6: optional

Zusätzlich brauchst du Firewall-Regeln, die den tatsächlichen Druckverkehr vom Client-VLAN ins Drucker-VLAN erlauben:

# Firewall > Rules > Clients_VLAN

# IPP (Internet Printing Protocol)
Action: Pass | TCP | Source: Clients net | Dest: Drucker_VLAN net | Port: 631

# RAW Printing (viele HP/Kyocera/Brother-Drucker)
Action: Pass | TCP | Source: Clients net | Dest: Drucker_VLAN net | Port: 9100

# Optional: SNMP für Tintenstand-Monitoring
Action: Pass | UDP | Source: Clients net | Dest: Drucker_VLAN net | Port: 161

Ohne Avahi kein AirPrint, kein Bonjour-Drucker-Discovery. Viele Drucker brauchen zusätzlich SNMP (UDP 161), LPD (TCP 515) und WSD (UDP 3702) – teste im OPNsense Live-Log, welche Protokolle fehlen.

Schritt 6: VoIP-Segment mit QoS konfigurieren

VoIP-Telefone im eigenen VLAN brauchen zwei Dinge: Firewall-Regeln für SIP/RTP und QoS-Markierung (DSCP EF / 46) damit Sprachpakete priorisiert werden.

# Firewall > Rules > VoIP_VLAN

# SIP-Signalisierung zur Telefonanlage/SIP-Trunk
Action: Pass | TCP/UDP | Source: VoIP net | Dest: any | Port: 5060

# RTP-Mediastrom (herstellerspezifisch, oft 10000-20000)
Action: Pass | UDP | Source: VoIP net | Dest: any | Port: 10000-20000

# DSCP-Markierung: Firewall > Shaper > Rules
# DSCP EF (46) für VoIP-Traffic setzen

Wichtig: SIP-ALG (Application Layer Gateway) in OPNsense deaktivieren, wenn VoIP-Qualitätsprobleme auftreten. Der SIP-ALG manipuliert SIP-Header und bricht oft Verbindungen. Stelle stattdessen explizite RTP-Portbereiche frei.

Schritt 7: Schrittweise Migration aus dem flachen Netz

Die Migration erfolgt ohne Produktionsausfall. Das Geheimnis: VLAN-Infrastruktur zuerst vollständig aufbauen, dann Geräte gruppenweise umziehen.

# Migrations-Reihenfolge:

# Schritt A: DHCP-Lease-Zeit vorher auf 1 Stunde reduzieren
# Services > DHCPv4 > [altes LAN]: Lease Time = 3600

# Schritt B: Alle VLAN-Interfaces + DHCP-Server in OPNsense anlegen
# (Konnektivitätstest: Test-PC per VLAN-Port, IP erhalten? Internet?)

# Schritt C: Managed Switch Trunk-Port konfigurieren, alle VLANs tagged
# Einen Test-Port VLAN 20 (Clients) zuweisen, Test-Device anschließen
# Ping-Test: 10.0.20.x -> 10.0.50.x sollte FEHLSCHLAGEN (Default Deny)

# Schritt D: Geräte gruppenweise umziehen (Priorität: unkritisch zuerst)
# 1. Drucker und IoT-Geräte (niedrigste Kritikalität)
# 2. Clients/Arbeitsplätze (gruppenweise pro Abteilung)
# 3. Server zuletzt (höchste Kritikalität, Wartungsfenster einplanen)

# Schritt E: Altes flaches LAN DHCP-Server deaktivieren
# Erst wenn alle Geräte neue IPs haben (Lease-Zeit abgelaufen)

# Rollback jederzeit: Switch-Port zurück auf altes LAN-VLAN stellen

Für UniFi-Geräte gilt eine Besonderheit: UniFi-Controller-Discovery nutzt UDP-Broadcast auf Port 10001, der keine VLAN-Grenzen überquert. Adoptiere alle UniFi-Geräte vor dem VLAN-Rollout, oder verwende manuelles SSH-Inform:

# SSH auf UniFi-Gerät (vor VLAN-Rollout)
ssh admin@<unifi-device-ip>
set-inform http://192.168.100.x:8080/inform

# Nach Adoption: Gerät ins Management-VLAN verschieben

Troubleshooting / Typische Fehler

Management-Lockout: Der Switch-Port, über den du die OPNsense-WebGUI erreichst, wurde in das neue Management-VLAN verschoben, bevor VLAN-Interface und DHCP aktiv waren. Lösung: Immer zuerst VLAN-Interface anlegen und testen, Anti-Lockout-Regel auf dem neuen Management-VLAN-Interface prüfen, dann Switch-Port umstellen. Im Notfall: Konsolen-Zugriff auf OPNsense (physisch oder IPMI).
mDNS/Bonjour nach VLAN-Trennung tot: AirPrint, AirPlay, Chromecast und Samba-Autodiscovery nutzen mDNS (UDP 5353, Multicast 224.0.0.251). Diese Pakete werden von Routern nicht weitergeleitet. Lösung: Avahi-Plugin (os-avahi) in OPNsense installieren, alle relevanten VLAN-Interfaces einbinden.
VLAN-Leak durch falsches Native VLAN: Wenn das Native VLAN auf dem Trunk-Port mit einem produktiven VLAN übereinstimmt, landen ungetaggte Frames im falschen Segment. Lösung: Native VLAN auf ein ungenutztes „Black Hole"-VLAN (z. B. 99) setzen, VLAN 1 niemals produktiv nutzen.
UniFi-Geräte nach VLAN-Rollout nicht mehr adoptierbar: UDP-Broadcast auf Port 10001 überquert keine VLAN-Grenzen. Lösung: Geräte vor dem Rollout adoptieren oder manuell per SSH set-inform konfigurieren.
Vergessene Dienste-Abhängigkeiten: NTP (UDP 123), LDAP/AD (TCP 389/636), Radius (UDP 1812/1813), WSUS (TCP 8530/8531), Backup-Agenten, SNMP (UDP 161) werden oft vergessen. Lösung: Vor der Migration Traffic-Baseline erfassen (OPNsense Live-Log oder ntopng-Plugin), Regeln daraus ableiten.
VoIP-Qualitätsprobleme: SIP-ALG bricht RTP-Streams, wenn Ports nicht wie erwartet ausgehandelt werden. Lösung: SIP-ALG deaktivieren, explizite RTP-Portbereiche (UDP 10000–20000) freigeben, DSCP-Markierung prüfen.
DHCP-Snooping vergessen: Ohne DHCP-Snooping kann ein kompromittiertes Gerät im VLAN einen Rogue-DHCP-Server betreiben. Lösung: DHCP-Snooping auf allen Access-Ports aktivieren, nur Trunk-Ports als „trusted" markieren.
Inter-VLAN-Routing über Layer-3-Switch: Wenn ein Layer-3-Switch SVIs verwendet, umgeht Traffic die OPNsense-Firewall komplett. In KMU-Umgebungen: Inter-VLAN-Routing immer über die Firewall (Router-on-a-Stick).

Häufige Fragen

Wie viele VLANs brauche ich als KMU wirklich?

Für die meisten KMUs reichen 5–7 Segmente: Management, Clients, Server/DMZ, IoT/OT und Gast sind das Mindest-Setup. VoIP und Drucker als eigene VLANs lohnen sich, wenn viele Endgeräte vorhanden sind. Mehr als 10 VLANs erhöhen den Verwaltungsaufwand exponentiell – lieber weniger, dafür konsequent gepflegt.

Reicht eine Fritz!Box für VLAN-Segmentierung?

Nein. Du brauchst zwingend einen Managed Switch mit 802.1Q-Unterstützung und eine Firewall mit granularen Inter-VLAN-Regeln. Eine Fritz!Box unterstützt zwar einfache VLANs für Gast-WLAN, hat aber keine vollwertige Inter-VLAN-Firewall. Einsteiger-Setup: TP-Link TL-SG108E (ca. 30 EUR) + OPNsense auf Mini-PC (ab ca. 200 EUR).

Kann ich die Migration ohne Downtime durchführen?

Ja – mit dem schrittweisen Ansatz in dieser Anleitung. Du baust die VLAN-Infrastruktur komplett auf, bevor du auch nur ein Gerät umziehst. DHCP-Lease-Zeit vorher auf 1 Stunde reduzieren, dann Geräte gruppenweise migrieren. Rollback ist jederzeit möglich, indem Switch-Ports zurück auf das alte LAN gestellt werden.

Wie überprüfe ich, ob die Segmentierung wirklich funktioniert?

Vier Testmethoden: (1) Ping von einem IoT-VLAN-Gerät zu einer Client-IP sollte fehlschlagen. (2) OPNsense Live-Log unter „Firewall > Log Files > Live View" zeigt blockierten Traffic in Echtzeit. (3) Nmap-Scan aus dem IoT-Segment (nmap -sn 10.0.20.0/24 von IoT-Host) sollte keine Hosts liefern. (4) tcpdump auf dem VLAN-Interface prüfen, ob unerwünschte Pakete ankommen.

Was ist der Unterschied zwischen VLAN-Segmentierung und Mikrosegmentierung?

VLAN-Segmentierung (Makrosegmentierung) trennt Gruppen von Geräten voneinander. Mikrosegmentierung isoliert einzelne Workloads oder Hosts, auch innerhalb desselben VLANs – umgesetzt über Host-Firewalls (Windows Defender Firewall, iptables), SDN-Lösungen oder „Private VLANs" am Switch. Für die meisten KMUs ist VLAN-Segmentierung ausreichend. Mikrosegmentierung lohnt sich bei Serverumgebungen mit besonders hohem Schutzbedarf.

Brauche ich teure kommerzielle Lösungen für Zero Trust?

Nein. OPNsense (kostenlos, Open Source) bietet mit VLAN-Segmentierung, Default-Deny-Regeln, IDS/IPS (Suricata), Avahi-mDNS-Proxy und zertifikatsbasiertem VPN eine vollständige Zero-Trust-nahe Implementierung für KMUs. Kommerzielle Lösungen wie Cisco, Palo Alto oder Zscaler bieten zusätzlich identitätsbasierte Mikrosegmentierung und Cloud-Integration, sind aber für kleine KMUs (bis 50 Mitarbeiter) oft nicht wirtschaftlich sinnvoll.

Fazit

Netzwerksegmentierung nach Zero-Trust ist kein Luxus für Konzerne – sie ist die wichtigste Einzelmaßnahme, um Lateral Movement nach einem Sicherheitsvorfall einzudämmen. Mit einem günstigen Managed Switch, OPNsense als Open-Source-Firewall und dem schrittweisen Migrations-Ansatz in dieser Anleitung kannst du ein KMU-Netz in einem Tag in saubere Sicherheitszonen aufteilen. Die häufigsten Fehler – Management-Lockout, mDNS-Ausfall, VLAN-Leaks – sind bekannt und lösbar, wenn du die Reihenfolge einhältst: erst VLAN-Infrastruktur aufbauen, dann Switch konfigurieren, dann Geräte umziehen. Für den nächsten Schritt empfiehlt sich ein sicherer Remote-Zugriff ins segmentierte Netz: WireGuard VPN für Homeoffice und Standortvernetzung.

Weiterführende Anleitungen und Quellen

VLANs verstehen und Managed Switch einrichten – Grundlagen 802.1Q, Port-Typen und Switch-Konfiguration
OPNsense/pfSense Firewall Erstkonfiguration – Installation, WAN/LAN-Setup, grundlegende Firewall-Regeln
Subnetting und CIDR verständlich erklärt – /24, /23, /29 und wie du Netze sinnvoll aufteilst
WireGuard VPN für Homeoffice und Standortvernetzung – sicherer Remote-Zugriff ins segmentierte Netz

Quellen: OPNsense-Dokumentation zu VLAN and LAGG Setup (docs.opnsense.org), BSI IT-Grundschutz NET.1.1 Netzarchitektur und -design (Edition 2023), CISA Zero Trust Microsegmentation Guidance 2025 (cisa.gov).