VLANs im Homelab einrichten: Netzwerksegmentierung mit pfSense/OPNsense

VLANs im Homelab mit pfSense oder OPNsense einrichten. Netzwerk richtig segmentieren für IoT, Gäste und Server. Praxis-Tutorial mit Firewall-Regeln und DHCP-Konfiguration.

Warum dein Homelab VLANs braucht#

Stell dir vor: Dein Smart-Home-Gerät — sagen wir eine billige WLAN-Steckdose aus China — wird gehackt. Weil die Firmware seit 2019 nicht mehr aktualisiert wurde und die Authentifizierung mit admin:admin gesichert ist. Der Angreifer ist jetzt in deinem Netzwerk. Gleiches Netzwerk wie dein Proxmox-Server, deine Nextcloud, dein Zabbix-Monitoring mit allen Credentials.

Ohne VLANs sieht der Angreifer alles. Mit VLANs? Die Steckdose ist in einem isolierten IoT-Netzwerk gefangen, kann nur ins Internet, und sieht von deinen Servern keine Spur. Das ist der Unterschied zwischen “unangenehm” und “katastrophal”.

VLANs (Virtual Local Area Networks) sind virtuelle Netzwerksegmente auf einer physischen Infrastruktur. Statt drei separate Switches zu kaufen, partitionierst du einen Switch in drei logische Netzwerke. Jedes VLAN ist ein eigenes Subnetz, mit eigener IP-Range, eigenem DHCP, und — das Wichtigste — mit Firewall-Regeln, die genau steuern, wer mit wem sprechen darf.

Typische VLAN-Struktur im Homelab#

┌─────────────────────────────────────────────────────┐
│                    Internet                         │
└────────────┬────────────────────────────────────────┘
             │
       ┌─────▼─────┐
       │  pfSense  │
       │  Router   │
       └─────┬─────┘
             │
       ┌─────▼──────────┐
       │ Managed Switch │
       │   (VLANs)      │
       └────┬───┬───┬───┘
            │   │   │
    ┌───────┘   │   └───────┐
    ▼           ▼           ▼
┌────────┐  ┌────────┐  ┌────────┐
│ VLAN 10│  │ VLAN 20│  │ VLAN 30│
│  LAN   │  │  IoT   │  │ Gäste  │
│ Trusted│  │Isolated│  │Isolated│
└────────┘  └────────┘  └────────┘
 Server,     Smart Home, Gäste-Handy
 Clients,    Kameras,    kein Zugriff
 NAS         Steckdosen  auf LAN

Häufige VLAN-Aufteilungen:

VLAN ID Name Subnetz Zweck Internet Zugriff auf LAN

10 LAN 192.168.1.0/24 Trusted Devices, Server, Admin ✅ ✅ 20 IoT 192.168.20.0/24 Smart Home, Kameras, IoT ✅ ❌ 30 Gäste 192.168.30.0/24 Gäste-WLAN ✅ ❌ 40 DMZ 192.168.40.0/24 Öffentlich erreichbare Services ✅ Eingeschränkt 50 Management 192.168.50.0/24 Switch-Management, IPMI ❌ Nur von Admin

Voraussetzungen#

Hardware#

  1. Managed Switch: Unterstützt VLAN-Tagging (802.1Q). Empfehlungen:

    • Budget: TP-Link TL-SG108E (8 Port, ~30€, Easy Smart)
    • Mittelklasse: Netgear GS308T (8 Port, ~80€, vollständig managed)
    • Prosumer: Ubiquiti UniFi Switch (ab ~150€, Cloud-Management)
    • Enthusiast: MikroTik CRS-Serie (ab ~100€, volle Kontrolle)

  2. Router/Firewall: pfSense oder OPNsense

    • Hardware: alter PC, Mini-PC (2+ NICs), Protectli Vault, Netgate Appliance
    • Oder: Virtualisiert auf Proxmox (NIC-Passthrough empfohlen)

  3. Netzwerkkabel: Cat5e oder besser (Cat6a für 10 Gbit/s über längere Strecken)

Wissen#

  • Grundlegendes IP-Subnetting (was ist ein /24?)
  • Zugriff auf pfSense/OPNsense Web-GUI
  • Terminal-Zugriff auf den Switch (oder Web-GUI, je nach Modell)

VLAN-Planung: Denken vor Tippen#

Bevor du anfängst VLANs zu erstellen, leg fest:

1. VLAN IDs#

VLAN-ID 1 ist das Default/Management-VLAN — lass es in Ruhe. Nutz IDs ab 10:

  • VLAN 10: LAN (Trusted)
  • VLAN 20: IoT
  • VLAN 30: Gäste
  • VLAN 50: Management (Switch-GUI, IPMI)

Dokumentiere das. Ernsthaft. In einem Jahr weißt du sonst nicht mehr, warum VLAN 23 existiert und was “test123” bedeuten sollte.

2. IP-Subnetze#

Jedes VLAN = eigenes Subnetz. Überschneidungen = Chaos.

VLAN 10 (LAN):        192.168.1.0/24    (192.168.1.1 - 192.168.1.254)
VLAN 20 (IoT):        192.168.20.0/24   (192.168.20.1 - 192.168.20.254)
VLAN 30 (Gäste):      192.168.30.0/24   (192.168.30.1 - 192.168.30.254)
VLAN 50 (Management): 192.168.50.0/24   (192.168.50.1 - 192.168.50.254)

pfSense bekommt jeweils die .1 als Gateway.

3. Firewall-Philosophie#

Default Deny: Erstmal darf nichts mit nichts sprechen. Dann öffnest du gezielt Ports. Nicht andersherum.

Beispiel-Regeln:

  • IoT: Darf ins Internet, sieht sonst nichts
  • Gäste: Darf ins Internet, sieht sonst nichts, inkl. andere Gäste (Client-Isolation)
  • LAN: Darf alles (du bist der Admin)
  • Management: Nur von LAN aus erreichbar, kein Internet-Zugang

pfSense: VLANs einrichten (Schritt für Schritt)#

1. VLAN-Interfaces erstellen#

Interfaces → Assignments → VLANs → Add

Für jedes VLAN:

Feld Wert Beispiel (IoT VLAN)

Parent Interface igb0 (oder dein LAN-Interface) igb0 VLAN Tag VLAN-ID 20 VLAN Priority Leer lassen — Description Lesbare Bezeichnung IoT

Save. Das wiederholst du für jedes VLAN (20, 30, 50, etc.).

2. VLAN-Interfaces zuweisen und aktivieren#

Interfaces → Assignments

Für jedes neu erstellte VLAN-Interface:

  1. Available network ports → Dein VLAN (z.B. igb0.20) auswählen
  2. Add klicken
  3. Danach erscheint es unter Interfaces (z.B. OPT1, OPT2…)

Jetzt konfigurieren:

Interfaces → OPT1 (dein erstes VLAN-Interface, z.B. IoT)

Feld Wert

Enable ✅ Enable interface Description IoT IPv4 Configuration Type Static IPv4 IPv4 Address 192.168.20.1 / 24 IPv6 Configuration Type None (oder nach Bedarf)

Save → Apply Changes.

Das wiederholst du für jedes VLAN. Danach hast du:

  • OPT1 (IoT): 192.168.20.1/24
  • OPT2 (Gäste): 192.168.30.1/24
  • OPT3 (Management): 192.168.50.1/24

3. DHCP-Server pro VLAN einrichten#

Services → DHCP Server → [Dein VLAN-Interface]

Für jedes VLAN:

Feld Wert (Beispiel IoT)

Enable ✅ Enable DHCP server on IoT Range 192.168.20.100 - 192.168.20.254 DNS Servers 192.168.20.1 (pfSense selbst) Gateway 192.168.20.1 Domain Name iot.homelab (optional) NTP Servers 192.168.20.1 (falls pfSense NTP läuft)

Save.

4. Firewall-Regeln erstellen#

Jetzt der wichtigste Teil: Was darf wohin?

VLAN 20 (IoT): Internet ja, LAN nein#

Firewall → Rules → IoT

Regel 1: DNS erlauben (zu pfSense selbst)

Feld Wert

Action Pass Source IoT net Destination IoT address (192.168.20.1) Destination Port 53 Description Allow DNS to firewall

Regel 2: NTP erlauben (zu pfSense selbst)

Feld Wert

Action Pass Source IoT net Destination IoT address (192.168.20.1) Destination Port 123 Description Allow NTP to firewall

Tipp: Alternativ kannst du unter Firewall → Aliases einen Port-Alias DNS_NTP erstellen (Ports 53, 123) und beide Regeln in eine zusammenfassen.

Regel 3: Alles zu privaten Netzen blockieren

Feld Wert

Action Block Source IoT net Destination Alias “RFC1918” erstellen (enthält: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) Log ✅ (zum Debuggen) Description Block access to private networks

Achtung: Erstelle vorher den Alias unter Firewall → Aliases → Add: Name RFC1918, Type Network, Einträge: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. Dann kannst du ihn als Destination verwenden. Und: Kein “Invert match” setzen! Du willst Traffic zu RFC1918-Adressen blockieren. Mit Invert würdest du stattdessen den Internet-Traffic blockieren — das genaue Gegenteil.

Regel 4: Internet erlauben

Feld Wert

Action Pass Source IoT net Destination Any Description Allow IoT to Internet

Wichtig: Reihenfolge der Regeln ist top-down. Erste Match gewinnt. Also: spezifische Blocks zuerst, dann breite Allow-Regel.

VLAN 30 (Gäste): Wie IoT, aber auch Gäste-Isolation#

Gleiche Regeln wie IoT, plus:

Zusatzregel: Gäste voneinander isolieren

Das macht pfSense nicht per Firewall-Regel, sondern über den Access Point (Client Isolation aktivieren). Aber pfSense kann verhindern, dass Gäste andere Gäste über die Gateway-IP erreichen:

Feld Wert

Action Block Source Gäste net Destination Gäste net Description Block guest-to-guest traffic

VLAN 10 (LAN): Trusted = Alles erlaubt#

Eine einzige Regel:

Feld Wert

Action Pass Source LAN net Destination Any Description Allow LAN to any

LAN darf auf IoT, Gäste, Management zugreifen — für Administration.

VLAN 50 (Management): Nur von LAN aus#

Regel 1: LAN darf auf Management zugreifen

Feld Wert

Action Pass Source LAN net Destination Management net Description Allow LAN to Management VLAN

Regel 2: Management darf nichts woanders hin

Default Deny greift — keine weitere Regel nötig. Management-Devices sehen nur sich selbst und bekommen Zugriff von LAN.

Managed Switch: VLAN-Tagging konfigurieren#

Hier wird es Hardware-spezifisch. Ich zeig dir das Konzept — die genauen Klicks variieren je nach Switch.

Grundkonzept: Tagged vs. Untagged#

  • Untagged (Access Port): Das Gerät am Port weiß nichts von VLANs. Der Switch fügt das VLAN-Tag hinzu und entfernt es beim Ausgang. Beispiel: IoT-Gerät am Port 3 → Port 3 ist “untagged” in VLAN 20.
  • Tagged (Trunk Port): Der Port transportiert mehrere VLANs gleichzeitig, die Tags bleiben dran. Beispiel: Port zum pfSense-Router → tagged mit VLAN 10, 20, 30, 50.

1. VLANs erstellen:

  • 802.1Q VLAN → VLAN Config → Create VLAN
  • VLAN 10 (LAN), VLAN 20 (IoT), VLAN 30 (Gäste), VLAN 50 (Management) anlegen

2. Port-VLAN-Zuordnung (PVID):

  • Port 1 (zu pfSense): Trunk-Port — PVID auf ungenutztes VLAN setzen (z.B. 999)
  • Port 2 (IoT Access Point): PVID 20
  • Port 3 (Gäste Access Point): PVID 30
  • Port 4 (Server): PVID 10
  • Port 8 (Switch-Management-Port): PVID 50

3. Port Membership:

  • Port 1 (Uplink zu pfSense): Tagged in VLAN 10, 20, 30, 50 (Trunk)
  • Port 2: Untagged in VLAN 20 (IoT)
  • Port 3: Untagged in VLAN 30 (Gäste)
  • Port 4: Untagged in VLAN 10 (LAN)
  • Port 8: Untagged in VLAN 50 (Management)

Apply.

UniFi Switch (Web-GUI)#

Settings → Networks → Create New Network:

  • Name: IoT
  • VLAN ID: 20
  • DHCP: None (pfSense macht DHCP)

Das für jedes VLAN. Dann:

Devices → Dein Switch → Ports:

  • Port 1 (Uplink): Profile = All (Trunk)
  • Port 2: Profile = IoT (Access)
  • Port 3: Profile = Gäste (Access)
  • Port 4: Profile = LAN (Access)

UniFi abstrahiert viel weg — “Profile zuweisen” statt “tagged/untagged” — aber das Ergebnis ist identisch.

Access Point: VLANs für WLAN#

Dein Access Point muss VLAN-Tagging unterstützen. Ubiquiti UniFi, TP-Link EAP-Serie, und die meisten Business-APs können das.

Mehrere SSIDs = mehrere VLANs#

Beispiel UniFi:

Settings → WiFi → Create New WiFi Network:

SSID Security VLAN

Homelab WPA3/WPA2 10 (LAN) IoT-Devices WPA2 20 (IoT) Gäste WPA2 30 (Gäste)

Gäste-Netzwerk: “Block LAN to WLAN multicast and broadcast data” ✅ (Client-Isolation).

Der AP sendet drei SSIDs, jede in einem eigenen VLAN. Der Uplink-Port zum Switch muss tagged sein in allen drei VLANs.

Troubleshooting: Wenn VLANs nicht wollen#

Kein DHCP-Lease im VLAN#

Checkliste:

  1. DHCP-Server in pfSense für das VLAN aktiviert?
  2. Switch-Port untagged im richtigen VLAN?
  3. Uplink-Port (zu pfSense) tagged im VLAN?
  4. Firewall-Regel erlaubt Zugriff auf pfSense-IP (für DNS/DHCP)?

Debugging:

# Auf pfSense (Diagnostics → Command Prompt):
tcpdump -i igb0.20 port 67 or port 68

Das zeigt DHCP-Requests. Siehst du Requests, aber keine Replies? Firewall-Regel fehlt.

Geräte im VLAN erreichen kein Internet#

  1. Firewall-Regel in pfSense erlaubt Traffic nach any?
  2. NAT Outbound konfiguriert? (Firewall → NAT → Outbound: sollte “Automatic Outbound NAT” sein)
  3. DNS funktioniert? Test: nslookup google.com 192.168.20.1 (vom Gerät aus)

VLANs können trotz Block-Regel aufeinander zugreifen#

Reihenfolge der Firewall-Regeln prüfen. Steht die Allow-Regel vor der Block-Regel? Erste Match gewinnt, nicht die spezifischste.

Switch-Management nicht mehr erreichbar#

Das ist der Klassiker. Du änderst VLAN-Einstellungen am Port, an dem dein eigener Rechner hängt, und plötzlich: keine Verbindung mehr.

Lösung: Switch reset. Die meisten Managed Switches haben einen Reset-Knopf (10s gedrückt halten). Danach Factory Defaults — du fängst von vorne an. Deswegen: Immer erst am Uplink-Port testen, dann an anderen Ports, dann erst an deinem eigenen.

Fortgeschrittene Szenarien#

Inter-VLAN-Routing mit Einschränkungen#

Manchmal willst du IoT-Geräten begrenzten Zugriff aufs LAN geben. Beispiel: Smart TV soll auf Jellyfin (Port 8096) zugreifen.

Firewall → Rules → IoT

Vor der Block-Regel einfügen:

Feld Wert

Action Pass Source IoT net Destination Single host: 192.168.1.50 (Jellyfin-Server) Destination Port 8096 Description Allow IoT to Jellyfin

Spezifischer Zugriff erlaubt, alles andere geblockt.

VLAN für Zabbix-Monitoring#

Monitoring-Server muss alle VLANs sehen. Zwei Optionen:

  1. Monitoring im LAN-VLAN, Firewall-Regeln erlauben Zugriff von LAN auf alle anderen VLANs (ist meist schon so)
  2. Separates Monitoring-VLAN mit Regeln: Monitoring darf zu allen VLANs (Port 10050 für Zabbix Agent), alle VLANs dürfen nicht zu Monitoring

Erste Option ist für Homelabs einfacher.

Proxmox auf VLAN-aware Bridge#

Wenn Proxmox auf pfSense läuft (oder mit Proxmox als Hypervisor und pfSense als VM):

Proxmox VLANs für VMs/LXCs:

# /etc/network/interfaces
auto vmbr0
iface vmbr0 inet manual
    bridge-ports enp1s0
    bridge-stp off
    bridge-fd 0
    bridge-vlan-aware yes
    bridge-vids 10 20 30 50

Dann in VM-Netzwerk-Einstellungen: VLAN Tag eintragen (z.B. 20 für IoT-VM).

Performance-Tipps#

Jumbo Frames#

Wenn dein gesamtes Netzwerk (Switch, NICs, Router) 9000-Byte-MTU unterstützt, aktiviere Jumbo Frames. Reduziert CPU-Last bei großen Datentransfers (NAS-Backups, VM-Storage).

pfSense: Interfaces → [VLAN] → MTU: 9000

Switch: Meist in den Port-Einstellungen konfigurierbar.

QoS (Quality of Service)#

Willst du, dass dein Jellyfin-Stream nicht ruckelt, wenn gleichzeitig ein Backup läuft? QoS priorisiert Traffic.

Firewall → Traffic Shaper → Wizards → Multiple Lan/Wan

Einfachster Einstieg: “VoIP” als Priorität auswählen (funktioniert auch für Streaming). Real-Time Traffic bekommt Vorrang.

Häufige Fehler (und wie du sie vermeidest)#

1. Alle VLANs auf VLAN 1 lassen#

VLAN 1 ist das Default-VLAN und wird oft für Management genutzt. Viele Geräte (und Angriffe) zielen auf VLAN 1. Benutz es nicht für produktiven Traffic. Erstelle ein dediziertes Management-VLAN (z.B. 50).

2. Native VLAN auf Trunk-Ports nicht setzen#

“Native VLAN” ist das VLAN für untagged Traffic auf einem Trunk-Port. Setz es explizit (oft auf ein ungenutztes VLAN wie 999), sonst landet untagged Traffic in VLAN 1 — potentielle Sicherheitslücke.

3. Firewall-Regeln nicht testen#

Erstelle eine Regel, teste sie sofort. Ping, curl, nmap — was auch immer passt. Wenn du 10 Regeln auf einmal änderst und dann nichts funktioniert, weißt du nicht wo der Fehler ist.

4. Dokumentation ignorieren#

In einem Jahr weißt du nicht mehr, warum Port 7 auf dem Switch in VLAN 42 liegt und was das Gerät ist. Schreib es auf. Tabelle in Markdown, Wiki, Notion — egal wo, aber irgendwo.

Monitoring: Weiß dein VLAN noch was es tut?#

Zabbix kann deine VLANs überwachen:

  • SNMP-Monitoring für Switches: Port-Status, Traffic pro VLAN, Fehler
  • pfSense SNMP: Firewall-Regeln, dropped Packets, State Table Size
  • Latenz-Tests zwischen VLANs
# pfSense SNMP aktivieren:
Services → SNMP → Enable, Community String setzen

# In Zabbix: Template "Generic by SNMP" zuweisen

Du siehst dann: Wieviel Traffic läuft durchs IoT-VLAN? Wann war der letzte Peak im Gäste-VLAN? Werden Pakete dropped? Fertige SNMP-Templates und Netzwerk-Dashboards findest du im Zabbix Monitoring Kit — inklusive Alerting bei Switch-Ausfällen oder Traffic-Anomalien.

Nächste Schritte#

  1. WireGuard VPN einrichten — Remote-Zugriff mit direktem Routing in einzelne VLANs
  2. Pi-hole im eigenen VLAN — DNS-Filtering, aber isoliert von anderen Services
  3. Firewall-Logs analysieren — welche Zugriffe werden geblockt? Braucht ein Gerät doch mehr Rechte?

🛒 Empfohlene Hardware#

🖥️

Hetzner Cloud

VLANs in der Cloud testen? Hetzner unterstützt private Netzwerke und VLANs zwischen Cloud Servern. Hetzner ausprobieren →

Fazit#

VLANs verwandeln dein Homelab von “ein großes Netzwerk, in dem alles alles sieht” zu “klar getrennte Zonen mit kontrolliertem Zugriff”. Das ist nicht Paranoia — das ist professionelle Netzwerkarchitektur, die zufällig auch zuhause funktioniert.

Die Einrichtung braucht einen Abend. VLAN-IDs planen, in pfSense konfigurieren, Switch einstellen, Firewall-Regeln schreiben, testen. Danach hast du eine Infrastruktur, die auch dann noch sicher ist, wenn das nächste IoT-Gerät zur Botnet-Zombie wird.

Und das Beste: Wenn du das einmal verstanden hast, ist das gleiche Wissen in Firmen-Netzwerken anwendbar. VLANs sind VLANs, egal ob Homelab oder Rechenzentrum. Die Konzepte sind identisch.

Fang mit zwei VLANs an — LAN und IoT. Wenn das läuft, erweiterst du nach Bedarf. Aber den Anfang zu machen ist der wichtigste Schritt.

Zuletzt aktualisiert: Februar 2026 | pfSense 2.7 / OPNsense 25.x | 802.1Q VLAN Standard

Einige Links auf dieser Seite sind Affiliate-Links. Wenn du über diese Links einkaufst, erhalte ich eine kleine Provision — für dich ändert sich am Preis nichts. So unterstützt du diesen Blog und ermöglichst weitere kostenlose Tutorials. Danke! 🙏

[« Vorherige]
WireGuard VPN fürs Homelab: Remote-Zugriff sicher einrichten