Aufbau Heimnetzwerk // Ideensammlung

[rolemodel]

Liebes Forum,

der Einzugstermin für den Neubau steht im März nächsten Jahres an und ich würde von euch gerne Hilfe zum sinnvollen Aufbau meines Heimnetzes benötigen. Das Heimnetz sollte einen kleineren Homeservers (Proxmox VMs mit NAS, PiHole, ioBroker, VPN etc.) benihalten.
Ich bin ehrlicherweise kein Profi in dem Segment und möchte auch auf Grund von Zeitmangel kein komplexes System aufbauen, bin aber gerne bereit mich in Themen einzulesen und rumzubasteln.

Ziel meines Beitrages ist es erst ein mal herauszufinden, ob meine vorhanden Hardware ausreicht oder ggf. in weitere Hardware investiert werden müsste. Des Weiteren spielt für mich das Thema Sicherheit gerade wegen Home Office (Arbeitslaptops) und der zur Verfügungstellung von Gast-Zugängen/Kindern eine Rolle.

Zunächst zum bisherigen Aufbau:

• in allen Räumen sind Cat7 Netzwerkkabel verlegt, mind. eine Doppeldose pro Raum. Diese führen in den Technikraum im Keller, wo auch das Patchpanel sitzt. Aktuell 16 Anschlüsse. Gerne würde ich die 1 GigaBit nutzen, ggf. in Zukunft aufrüstbar.
• Der Internetprovider ist die Telekom mit aktuell mind. VDSL 100 mbit/s, ggf. ab kommenden Jahr 200 mbit/s.
• Da die Fritz.Boxen nur begrenzte Anzahl an Ports zur Verfügung haben, benötige ich noch einen Switch. Was würde hier Sinn ergeben? Für jede Fritz.Box einen eigenen Switch oder ggf. einen managed Switch?

Folgende Hardware besitze ich aktuell:

• Fritz.Box 7530 AX für den Telekomanschluss
• Fritz.Box 6490 (alte Cable Box)
• als Server: Intel G4560 mit MSI B250I Pro Mainboard, 16 GB RAM Crucial CT8G4DFS8213 , 250GB Samsung 850 Evo 2.5 SATA, 450 Watt Corsair SF Series, GeForce GTX 1050 Ti 4 GB (die würde für den Server rausfliegen, da die CPU eine integrierte Grafik besitzt). NAS HDDs sind in der Anschaffung.
• kleiner Netzwerkdrucker

Des weiteren sollten noch folgende Geräte an das Heimnetz angeschlossen werden:

• Sonos (ca. 8 Geräte per LAN)
• 2x LG webOS TVs
• 2x FireTVs für Kodi (ggf. liveTV)
• 2x iPhones
• Heimserver (Proxmox mit NAS ggf. NextCloud, TVHeadend oder ähnliches für IPTV, VPN, PiHole, iOBroker oder ähnliches)
• Notebook + Desktop PC (Privatrechner und Gaming PC)
• 2x Tablets zur Smarthomesteuerung
• 2x Firmenlaptops
• Gast-WLAN
• Smart Home von Busch Jäger (free@home) verkabelt
• Photovoltaik mit Speicher

Folgende Überlegungen habe ich bisher mit den Fritz.Boxen als Router-Kaskade, sofern das überhaupt sinnvoll ist:

• die 1. Fritz.Box hängt am Telekomanschluss. An der 1. Fritz.Box würde ich den Heimserver anschließen sowie vermutlich alle weiteren Geräte, die primär auch auf den Heimserver Zugang haben müssen (Sonos, LG webOS TVs, FireTVs, SmartHome)
• die 1. Fritz.Box könnte ja zusätzlich noch ein Gast-WLAN/LAN mit Repeater zur Verfügung stellen.
• die 2. Fritz.Box würde im BridgeModus an der 1. Fritz.Box hängen und ein eigenes Subnetz zur Verfügung stellen an dem die Notebooks + Desktop PCs hängen sowie ggf. ein weiteres Gast-WLAN/LAN zur Verfügung stellen könnten für die Firmenlaptops.

Am Ende würde ich gerne aus beiden Netzen (außgenommen sind die Gast-Zugänge) Zugriff auf den Heimserver/SmartHome etc. bekommen bzw. müsste über diesen ja auch laufen, da ich den Einsatz von PiHole plane. Das sollte vermutlich über eine Freigabe in der Fritz.Box möglich sein? Oder widerspricht das der Logik der Trennung von beiden Netzen um ggf. mehr Sicherheit für die Privatrechner zu gewährleisten?
Von Außen benötige ich nur Zugriff auf die Nextcloud und diesen stellt mir der VPN.

Würde der Aufbau überhaupt Sinn machen? Oder gibt es hier ggf. andere/bessere Lösungen. In das Thema managed Switch und VLAN Layer2 habe ich mich bereits eingelesen, allerdings hatte ich das bisher so verstanden, dass ein Zugriff auf andere VLANs nicht so einfach möglich ist (Layer3 oder ggf. zusätzliche Router). Auch halte ich hier die Kosten und den Aufwand wesentlich höher.

Über Ideen und Tipps würde ich mich sehr freuen. Vielen Dank!

 

[Nilson]

Da die Fritz.Boxen nur begrenzte Anzahl an Ports zur Verfügung haben, benötige ich noch einen Switch. Was würde hier Sinn ergeben? Für jede Fritz.Box einen eigenen Switch oder ggf. einen managed Switch?

Ich würde hier auf einen 24 Port managed Switch setzen. Zwei Switche sind ggf. zu unflexibel bzw. du hast immer ein Flaschenhals beim "Uplink" und du bist über die VLANs flexibler die Netze zu verteilen bzw. den Ports/Dosen zuzuweisen.

 

[Blutschlumpf]

Was genau soll dein Router-Konstrukt denn da überhaupt machen?
Sprich wer soll vor wem geschützt werden?
Was nutzen die Geräte jeweils (LAN/WLAN)?

 

[F31v3l]

Fritzbox kann keine VLANs. Die verschiednenen Netze hast du ja nur durch Kaskade. Das ist umständlich. Zusätzlich kannst du in der FB nicht viel in der Firewall konfigurieren.

Zähl mal durch, wie viele getrennte Netze du brauchst. Ich würde alles, was nicht unbedingt ins "Heimnetz" muss (Smart TV, Photovoltaik, Smart Home) separieren, weil das alles potentielle Schwachstellen sind. Ob in eins oder mehrere Netze, müsste man dann schauen.

Da du eh planst einen Homeserver einzusetzen und auch die Hardware hast, würde es sich anbieten auf dem Proxmox Host eine VM mit PFSense, OPNsense etc. Da haste dann eine Firewall, die du richtig konfugurieren kannst und zusätzlich kannste VLANs einrichten.

 

[TorenAltair]

@rolemodel Sofern Du noch nicht gemacht hast, würde ich mal einen (graphischen) Plan skizzieren, wo welche Geräte im Haus sind, wo was gebraucht wird, wo ggf. was gebraucht werden könnte.

 

[PHuV]

Wenn Du Dich nicht groß auskennst, lass das mit den VLAN Tagging. Du kannst auch über unterschiedliche Subnetze eine Trennung von 2 verschiedenen Netzen herstellen. Ansonsten wird der Aufwand für die Administration zu hoch. Schau lieber, daß Du eine gute WLAN Abdeckung im Haus hast.

 

[Raijin]

Folgende Überlegungen habe ich bisher mit den Fritz.Boxen als Router-Kaskade, sofern das überhaupt sinnvoll ist:

• die 1. Fritz.Box hängt am Telekomanschluss. An der 1. Fritz.Box würde ich den Heimserver anschließen sowie vermutlich alle weiteren Geräte, die primär auch auf den Heimserver Zugang haben müssen (Sonos, LG webOS TVs, FireTVs, SmartHome)
• die 1. Fritz.Box könnte ja zusätzlich noch ein Gast-WLAN/LAN mit Repeater zur Verfügung stellen.
• die 2. Fritz.Box würde im BridgeModus an der 1. Fritz.Box hängen und ein eigenes Subnetz zur Verfügung stellen an dem die Notebooks + Desktop PCs hängen sowie ggf. ein weiteres Gast-WLAN/LAN zur Verfügung stellen könnten für die Firmenlaptops.

Am Ende würde ich gerne aus beiden Netzen (außgenommen sind die Gast-Zugänge) Zugriff auf den Heimserver/SmartHome etc. bekommen bzw. müsste über diesen ja auch laufen, da ich den Einsatz von PiHole plane.

Was bezweckst du mit diesem Konstrukt? Entweder eine Fritzbox läuft als IP-Client und ist somit kein Router mehr oder sie läuft als Router und trennt entsprechend WAN und LAN (einseitig) voneinander. Das hieße, dass sich keines der Geräte an der 1. Fritzbox mit dem Server an der 2. Fritzbox verbinden könnte, wenn an letzterer nicht mit Portweiterleitungen gearbeitet wird. Ist es das was du willst?

Es klingt irgendwie so, dass du eine DMZ aufbauen willst. Wenn dem so ist, hast du das Konzept aber verdreht. Eine DIY-DMZ mit Consumer-Routern baut man so auf:

www
|
(WAN)
Router1
(LAN)
|
+----- DMZ mit Servern
|
(WAN)
Router2
(LAN+WLAN)
|
Heimnetzwerk


Damit ist sichergestellt, dass alle Geräte im Heimnetzwerk Zugriff auf die Server in der DMZ haben, weil selbige aus Sicht der Clients und des Router2 einfach nur Ziele im WAN sind, also quasi-Internet und somit ausgehend. Andersherum blockiert Router2 jedoch den Zugriff von der DMZ aus auf das Heimnetzwerk, da diese Verbindungen eingehend aus dem quasi-Internet sind.

Mehr kann man Stand jetzt aber nicht dazu sagen, weil nicht deutlich wird ob das tatsächlich dein Ziel ist. Es wäre daher hilfreich, wenn du deine Beweggründe darlegen würdest, deine Ziele, die du erreichen willst. Bitte möglichst ohne potentiell falsche Lösungsansätze, sondern in normalen Worten, um ein XY-Problem zu vermeiden.

 

[rolemodel]

Guten Morgen zusammen,

super, vielen Dank für die vielen Anregungen. Ich gehe mal auf die einzelnen so gut es geht ein:

Ich würde hier auf einen 24 Port managed Switch setzen. Zwei Switche sind ggf. zu unflexibel bzw. du hast immer ein Flaschenhals beim "Uplink" und du bist über die VLANs flexibler die Netze zu verteilen bzw. den Ports/Dosen zuzuweisen.

Dann evtl. einen Switch und doch per VLAN die einzelnen Netze steuern.

Was genau soll dein Router-Konstrukt denn da überhaupt machen?
Sprich wer soll vor wem geschützt werden?
Was nutzen die Geräte jeweils (LAN/WLAN)?

Eigentlich möchte ich das Heimnetz mit dem privaten PC und Laptop vom Rest, d.h. Smart Home, FireTVs etc. "trennen" sowie ein Gast-WLAN aufgesetzt werden. Ich möchte ungern, dass die ganzen Smart Home Geräte auch Zugriff auf den privaten PC und Laptop haben.

Der Anschluss ob LAN oder WLAN ist doch meiner Meinung nach nicht entscheidend oder?

Fritzbox kann keine VLANs. Die verschiednenen Netze hast du ja nur durch Kaskade. Das ist umständlich. Zusätzlich kannst du in der FB nicht viel in der Firewall konfigurieren.

Zähl mal durch, wie viele getrennte Netze du brauchst. Ich würde alles, was nicht unbedingt ins "Heimnetz" muss (Smart TV, Photovoltaik, Smart Home) separieren, weil das alles potentielle Schwachstellen sind. Ob in eins oder mehrere Netze, müsste man dann schauen.

Da du eh planst einen Homeserver einzusetzen und auch die Hardware hast, würde es sich anbieten auf dem Proxmox Host eine VM mit PFSense, OPNsense etc. Da haste dann eine Firewall, die du richtig konfugurieren kannst und zusätzlich kannste VLANs einrichten.

Vielleicht hatte ich es noch nicht ganz verstanden aber ich dachte dass ich schon getrennte Netze habe oder fehlt mir sogar noch ein weiterer Router? Die 2. Fritz.Box schafft für mich ein weiteres Subnetz in dem die zu schützenden Geräte sitzen.

Was separiert sein soll sind die Smart Home Geräte, Sonos, TVs, Photovoltaik, iPhones und Tablets. Ich möchte nicht dass diese Geräte auf alles Zugriff hätten. Schaffe ich das nicht, wenn diese Geräte im Netz der 1. Fritz.Box sitzen?

@rolemodel Sofern Du noch nicht gemacht hast, würde ich mal einen (graphischen) Plan skizzieren, wo welche Geräte im Haus sind, wo was gebraucht wird, wo ggf. was gebraucht werden könnte.

Ok, dann setz ich mich ans zeichnen, schaffe ich zeitlich leider erst morgen.

Wenn Du Dich nicht groß auskennst, lass das mit den VLAN Tagging. Du kannst auch über unterschiedliche Subnetze eine Trennung von 2 verschiedenen Netzen herstellen. Ansonsten wird der Aufwand für die Administration zu hoch. Schau lieber, daß Du eine gute WLAN Abdeckung im Haus hast.

Das war der Ursprungsgedanke sich nicht mit den VLANs auseinanderzusetzen. Am Ende auch nicht schlimm wenn das nur ein Einmalaufwand ist, das VLAN umzusetzen. Die WLAN Abdeckung mach ich zum Schluss evtl. mit einzelnen Repeatern.

Was bezweckst du mit diesem Konstrukt? Entweder eine Fritzbox läuft als IP-Client und ist somit kein Router mehr oder sie läuft als Router und trennt entsprechend WAN und LAN (einseitig) voneinander. Das hieße, dass sich keines der Geräte an der 1. Fritzbox mit dem Server an der 2. Fritzbox verbinden könnte, wenn an letzterer nicht mit Portweiterleitungen gearbeitet wird. Ist es das was du willst?

Es klingt irgendwie so, dass du eine DMZ aufbauen willst. Wenn dem so ist, hast du das Konzept aber verdreht. Eine DIY-DMZ mit Consumer-Routern baut man so auf:

www
|
(WAN)
Router1
(LAN)
|
+----- DMZ mit Servern
|
(WAN)
Router2
(LAN+WLAN)
|
Heimnetzwerk

Ich möchte mit dem Konstrukt zwei verschiedene abgrenzbare Bereiche generieren. Ein mal das Heimnetz mit den privaten Rechnern + Laptop und ein weiteres Netz mit den ganzen "nicht vertrauenswürdigen" Geräten wie Smart Home, Fire TV, TVs. Wo der Server stehen sollte, bin ich mir noch nicht sicher oder würde ich für eine DMZ sogar noch einen weiteren Router benötigen?

D.h. bisher hatte ich das so gedacht:

www
|
(WAN)
Fritz.Box1
(LAN+WLAN)
|
+-----Heimserver (Proxmox mit VPN, NextCloud etc.)
+-----Smart Home
+-----Sonos
+-----FireTV/TVs
|
(WAN)
Fritz.Box2
(LAN+WLAN)
|
Heimnetzwerk für privat PC und Laptop + Drucker

Mit einer Portweiterleitung in der Fritz.Box2 könnte ich doch auf den Heimserver zugreifen? Oder sollte der Heimserver in einer DMZ, getrennt von den anderen 2 Bereichen stehen?

vielen lieben Dank für eure Rückmeldung.

 

[Raijin]

Mit einer Portweiterleitung in der Fritz.Box2 könnte ich doch auf den Heimserver zugreifen? Oder sollte der Heimserver in einer DMZ, getrennt von den anderen 2 Bereichen stehen?

Eine Portweiterleitung in FB2 wird nur benötigt, wenn du von der WAN-Seite aus auf die LAN-/WLAN-Seite zugreifen willst.

Beispiele:

[*] Privat PC (FB2) kann sich mit Drucker (FB2) verbinden.
[*] Privat PC (FB2) kann sich mit Heimserver (FB1) verbinden
[*] Privat PC (FB2) kann sich mit Sonos verbinden {*}
[*] Privat PC (FB2) kann sich mit Smart Home verbinden {*}

[*] Heimserver (FB1) kann sich nicht mit Drucker (FB2) verbinden
[*] Smart Home (FB1) kann sich nicht mit PC (FB2) verbinden


Verantwortlich ist die Firewall in FB2. Diese erlaubt alle Verbindungen LAN---->WAN, blockiert aber alle Verbindungen WAN----->LAN.


Aber: Es gibt bei Smart Home und ggfs auch bei der Sonos einen kleinen Haken. Smart devices kommunizieren mit den dazugehörigen Apps auf Smartphone und Co in der Regel über Broadcasts. Das heißt, dass die App am Handy via Broadcast ins Netzwerk ruft "Hey, ist da irgendwo ein smarter Heizungsthermostat?". Dieser Broadcast - eine Art Rundruf an alle - funktioniert jedoch nur innerhalb eines Netzwerks. Das heißt, dass die App auf dem Smartphone an FB2 nach dem beispielhaften Heizungsthermostaten sucht, aber an FB2 keiner antwortet, da der gesuchte Thermostat an der FB1 hängt.
Ähnlich kann es mit der Sonos-Anlage sein. Es besteht die Gefahr, dass die App die Anlage nicht findet, wenn sich das Smartphone nicht direkt im Netzwerk der FB1 befindet.

Das ist leider ein weit verbreitetes Problem mit Smart Home Geräten, die am Ende doch gar nicht so smart sind, weil die Hersteller nicht berücksichtigen, dass man auch im Home womöglich verschiedene Netzwerke haben könnte. Löbliche Ausnahmen sind zB Philips Hue, weil man dort die Hue-Bridge auch via IP-Adresse direkt anbinden kann, ohne die Broadcast-Suche. Ob das bei Sonos und deinem restlichen Smart Home auch geht, musst du checken.

 

[Hyourinmaru]

Verantwortlich ist die Firewall in FB2. Diese erlaubt alle Verbindungen LAN---->WAN, blockiert aber alle Verbindungen WAN----->LAN.

Das Double NAT, welches durch die 2. FB entsteht, wird ja dadurch ebenfalls zu einem Problem werden, I guess.
Diesbezüglich möchte ich mal eine Frage in den Raum werfen:
Darf man hier auf mögliche händische Modifikationen im Config-File der Fritzbox verweisen? Oder gehört das hier nicht hin/nicht gewünscht?

 

[Raijin]

Double-NAT ist bei weitem nicht so ein großes Problem wie es manchmal dargestellt wird. Wenn man das Internet von innen lediglich nutzt, bekommt man von Double-NAT gar nichts mit. Erst dann, wenn man von außen drauf zugreifen will, wird es deutlich, aber dann richtet man eben 2 Portweiterleitungen ein, in Router1 auf Router2 und in Router2 auf das Ziel.

Da @rolemodel wie ich gerade sehe aber scheinbar VPN in der DMZ einsetzen möchte, stellt sich die Frage was dieses VPN tun soll. Läuft auf dem Server ein VPN-Client, der ihn mit einem anderen Netz verbindet? Beispielsweise ein Miet-VPN-Anbieter im www? Oder soll der Heimserver als VPN-Server für den Fernzugriff auf das heimische Netzwerk dienen? Wenn letzteres der Fall sein sollte, gestaltet sich der Zugriff vom Server auf das Heimnetzwerk schwierig, da dies ja gegen das Prinzip DMZ bzw. den WAN-Port nebst Firewall von FB2 verstößt.

 

[Blutschlumpf]

Der Anschluss ob LAN oder WLAN ist doch meiner Meinung nach nicht entscheidend oder?

Das kommt drauf an.
Wenn du dir jetzt ein Setup mit sagen wir mal 3 oder 4 Zonen per vlans baust, dann wirst du das nicht mit der Fritzbox umsetzen können weil die schlichtweg nur ein normales WLAN und einmal Gäste-WLAN kann.
Evtl. brauchst du also WLAN-Equipment mit vlan-Support.
Und sofern dein Neubau ein halbwegs großes Haus ist und die Fritzbox im Keller steht, wirst du eh nicht drumrum kommen 2 oder mehr Access-Points zu kaufen.
Ich hab das ähnlich (Fritzbox und Patchfelder im Keller) und brauche für ne gute "Vollausleuchtung" 3-4 APs (habe aber nur 2 und entsprechend Ecken mit grenzwertigem Empfang).

Ich habs bei mir unter anderem deshalb auf eigenes Netz (PCs, NAS, TV, Server, eigene Mobilgeräte) und Gäste beschränkt (Alexas, Türklingel, fremde Geräte).
Vom Gäste-Netz kommst du afaik beim AVM nicht ins normale Netz und umgekehrt, von daher ist das imho für dein Vorhaben nur sehr eingeschränkt geeignet.
Konsequent umgesetzt brauchst du imho nen managed Switch, eine Firewall (egal ob Physik oder VM) und WLAN-Equipment mit vlan-Support, die du auf mehrere SSIDs mappen kannst.

 

[Raijin]

VLANs braucht man, wenn man mehr als die 2 Netze der Fritzbox nutzen will, also Haupt- und Gastnetzwerk. Baut man eine Routerkaskade hat man noch ein 3. Netz dazu und zumindest theoretisch auch das Gastnetzwerk, das jedoch ebenfalls Zugriff auf die DMZ an der 1. Fritzbox hätte.

Ich sehe hier offen gestanden kein zwingendes Szenario für VLANs. Natürlich kann man das mit VLANs umsetzen, aber das erfordert dann wie du schon schreibst VLAN-fähige Switches, VLAN-fähige Access Points und einen VLAN-fähigen Router bzw. solch einen mit ausreichend Hardware-Schnittstellen, sei es eine Hardware-Firewall mit pfSense oder ein kleiner Router von MikroTik oder ein EdgeRouter, etc.

Solch ein Setup kollidiert allerdings mit dieser Aussage:

Ich bin ehrlicherweise kein Profi in dem Segment und möchte auch auf Grund von Zeitmangel kein komplexes System aufbauen, bin aber gerne bereit mich in Themen einzulesen und rumzubasteln.

Eine Routerkaskade mit DIY-DMZ steckt man einfach nur zusammen und muss nur das Konzept verstanden haben. VLAN-Switches Router und Co muss man konfigurieren, Firewall-Regeln erstellen und so weiter. Ich denke das sprengt den Rahmen der nur schwach umrissenen Anforderungen.

 

[Gorasuhl]

Ich würde, wie @Rajin vorschlägt, auch das ganze kaskadieren. Ist wesentlich entspannter als das mit Level 3 aufzuziehen.

Smart Home Geräte in die äußere Schicht packen. Diese haben dann kein Zugriff auf die Innere mit den eigentlichen Heimnetzwerkgeräten:

Modem (nur bei GF, ansonsten integriert im ersten Router)
Router_1 (für Dect, IP-Telefone, Fax, usw.)
├ -> Telefonie, Smart-Home + WLAN_SmartHome
└ -> Router_2 -> Homeserver, private Endgeräte + WLAN_2 + WLAN_Gast


Wenn man für die Smart Home Geräte nicht zwingend eine Internetverbindung braucht, könnte man das ganze komplett gekapselt laufen lassen und nur für Updates kurz verbinden.

Modem (nur bei GF, ansonsten integriert im ersten Router)
Router_1 (für Dect, IP-Telefone, Fax, usw.)
└ > Homeserver, Telefonie, private Endgeräte + WLAN_2 + WLAN_Gast

Router_2 (kann bei Bedarf mit Router_1, für Updates der Smart-Home Geräte, verbunden werden)
└ > Smart-Home + WLAN_SmartHome



Wenn man sich bei den Smart Home Geräten absichern möchte könnte man auch eine 2. NIC in den Homeserver packen und die Aus- und Eingehenden WAN-Verbindung der Smart Home Geräte beobachten und ggf. beschränken.
Das hat ein guter Bekanter mit seinen Smarten Geräten gemacht (allerdings nicht physisch getrennt, sondern über Level 3) und festgestellt, dass sein Samsung Fernseher massig Daten übers WAN rausschickt (wann wird das Gerät eingeschaltet, welche/r App / Sender wird wie lange geschaut und was wird angeschaut). Die Verbindung hat er dann erst mal blockiert. Das war aber noch vor in Kraft treten der DSGVO als die Hersteller das noch nicht angeben bzw. vorher nachfragen mussten.

Modem (nur bei GF, ansonsten integriert im ersten Router)
Router (für Dect, IP-Telefone, Fax, usw.)
├ > Telefonie, private Endgeräte + WLAN_2 + WLAN_Gast
└ > Homeserver -> Smart-Home + WLAN_SmartHome

 

[rolemodel]

Hallo zusammen,

vielen Dank für die bisherigen Antworten. Ich versuche im folgenden darauf bestmöglich Antwort zu geben. Des weiteren habe ich unten grob skizziert wie ich mir das bisher vorgestellt hatte.

Aber: Es gibt bei Smart Home und ggfs auch bei der Sonos einen kleinen Haken. Smart devices kommunizieren mit den dazugehörigen Apps auf Smartphone und Co in der Regel über Broadcasts. Das heißt, dass die App am Handy via Broadcast ins Netzwerk ruft "Hey, ist da irgendwo ein smarter Heizungsthermostat?". Dieser Broadcast - eine Art Rundruf an alle - funktioniert jedoch nur innerhalb eines Netzwerks. Das heißt, dass die App auf dem Smartphone an FB2 nach dem beispielhaften Heizungsthermostaten sucht, aber an FB2 keiner antwortet, da der gesuchte Thermostat an der FB1 hängt.
Ähnlich kann es mit der Sonos-Anlage sein. Es besteht die Gefahr, dass die App die Anlage nicht findet, wenn sich das Smartphone nicht direkt im Netzwerk der FB1 befindet.

Das würde ich ja damit lösen, in dem ich die Handys und das zur Steuerung verwendete Tablet mit dem gleichen Netz verbinde. Dadurch sollte doch eine problemlose Kontrolle der Sonos-Anlage und des Smart-Home möglich sein. Vermutlich muss der Heimserver mit dem TVHeadend auch im gleichen Netz sein wie die FireTVs mit Kodi, um hier einen Reibungslosen TV-Stream zu ermöglichen.

Darf man hier auf mögliche händische Modifikationen im Config-File der Fritzbox verweisen? Oder gehört das hier nicht hin/nicht gewünscht?

Welchen Vorteil würde mir das bringen? Sind das eigene Firmware's die man aufspielt oder Anpassungen an am FritzOS?

Da @rolemodel wie ich gerade sehe aber scheinbar VPN in der DMZ einsetzen möchte, stellt sich die Frage was dieses VPN tun soll. Läuft auf dem Server ein VPN-Client, der ihn mit einem anderen Netz verbindet? Beispielsweise ein Miet-VPN-Anbieter im www? Oder soll der Heimserver als VPN-Server für den Fernzugriff auf das heimische Netzwerk dienen? Wenn letzteres der Fall sein sollte, gestaltet sich der Zugriff vom Server auf das Heimnetzwerk schwierig, da dies ja gegen das Prinzip DMZ bzw. den WAN-Port nebst Firewall von FB2 verstößt.

Also das VPN soll mir den Fernzugriff auf das heimische Netz ermöglichen bzw. die Verbindung zur NextCloud (Zugriff auf Fotos und Dokumente) und evtl. Zugriff auf das SmartHome herstellen, um ggf. einzelne Geräte per Fernzugriff zu steuern. Das VPN könnte man vermutlich auch mit der Fritz.Box realisieren bzw. mit einer der kommenden Firmwares mit WireGuard.

Im folgenden mal mein Versuch das ganze auf zu skizzieren.

Die folgenden Fragen ergeben sich mir daraus:

• ob die beiden Gast-WLAN's so Sinn machen, da bin ich mir noch nicht sicher. Hier würde ich ein Gast-WLAN für die Arbeit und eins für Besucher/Kinder einrichten
• das gleiche gilt für die Platzierung des Heimservers (wo stelle ich diesen hin? Ins Netz 1 oder Netz 2)
• die Abdeckung des WLAN's müsste ich noch überprüfen. Ich hätte aber die Möglichkeit, beide Fritz.Boxen im "Wohnzimmer" zu platzieren (das Telekomkabel wird vom Keller ins Wohnzimmer verlängert), um damit bereits ein WLAN im EG bereitzustellen oder ggf. mit einem Fritz.Repeater zu vergrößern.
• benötige ich dann 2 Switche oder kann ich das mit 1 Switch (managed) lösen
• Ein Backup vom Privat-Laptop/Gaming-PC müsste ja auf den Heimserver möglich sein (ggf. Portweiterleitung einrichten)

vielen Dank für euren Einsatz und eure Rückmeldungen.

 

[Nilson]

benötige ich dann 2 Switche oder kann ich das mit 1 Switch (managed) lösen

Ich würde, wie gesagt, einen großen gemanagten Switch nehmen und den ggf. per VLANs in mehrere "virtuelle" zerhacken.

Ein Backup vom Privat-Laptop/Gaming-PC müsste ja auf den Heimserver möglich sein (ggf. Portweiterleitung einrichten)

Bei dem Setup kommst du vom Privat-Laptop ohne Probleme zum Heimserver. Auch ohne Portweiterleitung. Voraussetzung ist, dass die zweite Fritzbox einen anderen IP-Bereich aufspannt als die Erste.

 

[Hyourinmaru]

Welchen Vorteil würde mir das bringen? Sind das eigene Firmware's die man aufspielt oder Anpassungen an am FritzOS?

tl;dr: Wenn du bspw. Transparentes NAT haben möchtest, um auf die Geräte im anderen Netz bzw. der anderen Fritz!Box zugreifen zu können (also in die Richtung FB1 --> FB2), aber trotzdem die Trennung der Netze bzw. IP-Segmente haben möchtest (wenn die Fritz!Box NICHT im Client-Mode läuft), kann man das überlegen.
Modifikationen sind mWn über zwei Wege möglich: Veränderung der Config-Datei mittels Texteditor oder über das Aufspielen einer Custom Firmware (was ich aber noch nie gemacht habe).
Wenn das Konstrukt aber auch ohne Eingriff in die Config zu verwirklichen ist, sollte man davon absehen. Nur, wenn man weiß, was man macht oder experimentieren möchte. Ich wollte dieses Thema bzw. die Möglichkeit der Vollständigkeit halber nur mal erwähnt haben.

Bei Interesse pack ich die Einzelheiten ansonsten mal in nen Spoiler.

Spoiler

Man kann das Config-File einer Fritz!Box, das man erhält, wenn man die Einstellungen über die UI sichert, mit einem Texteditor wie Notepad++ öffnen und anpassen. Da sind dann bspw. so Dinge mit möglich, wie dass man die NAT-Maskierung deaktivieren kann (die Fritz!Box also transparentes 1:1 NAT macht), die komplette Firewall deaktivieren kann, detailliertere Portweiterleitungen einrichten kann, für das Gast-WLAN eine andere IP-Range einrichten oder einzelne LAN-Interfaces komplett abstellen oder in Gruppen fassen kann, wenn man bspw. den gesamten Traffic über eine separate Firewall oder so führen möchte.
Allerdings sollte man sich da auch einlesen mit und wissen, was man da macht, denn manche Settings kann man nicht ohne Grund nicht über die UI ändern. Vorsicht also!
Das Hindernis in Form eines Sicherheitsmechanismus ist hier auch, dass man die so angepasste Config-Datei nicht einfach speichern und dann wieder in die Fritz!Box einspeisen kann, da das OS der Fritz!Box die Prüfsumme der Datei (welche in der letzten Zeile der Datei steht) abgleicht. Stimmt die Datei-Prüfsumme nicht mit der Prüfsumme überein, die die Fritz!Box erwartet, blockiert diese das Einspielen der Config-Datei. Das heißt, man muss erstmal ein Programm oder eine Seite finden, die die in der Datei gespeicherte Prüfsumme ausliest und die richtige Prüfsumme berechnet. Bis zur Version 7.20, I guess, konnte man über die CMD ein VBS-Skript aufrufen, welches das tat. Seit Version 7.21 geht das nicht mehr. Ich habe zwar ne Seite gefunden, bei der man das komplette Config-File hochläd, die richtige Prüfsumme anschließend berechnet und auch direkt einträgt und anschließend man das Config-File mit der korrekten Prüfsumme wieder herunterladen kann. Wahrscheinlich hat AVM hier etwas geändert gehabt.
Da ich aber nicht weiß, ob das Verweisen und Verlinken auf solche Tools und Webseiten seitens CB erlaubt ist, habe ich hier von einer Verlinkung oder Nennung abgesehen! Kann auch sein, dass es hier bei Problemen diesbezüglich auch keinen Support gibt.
Wenn das Config-File dann mit der richtigen Prüfsumme wieder ausgestattet ist, kann man diese auch in die Fritz!Box hochladen und diese wird das Config-File dann auch anstandslos wiederherstellen.
Das Gute daran ist, dass eine so modifizierte Fritz!Box auch weiterhin normal Updates von AVM erhält. Allerding weiß ich nicht, ob die Änderungen in der Config ein Update überleben werden, da ich in einer internen, nachgelagerten Fritz!Box das Auto-Update deaktiviert habe und mich lediglich benachrichtigen lasse.

Ich habe diese Möglichkeit für mich entdeckt, da ich einerseits gerne experimentiere und andererseits eine Möglichkeit suchte, das Heimnetz mit den ganzen Geräten meiner Eltern von meinem eigenen Heimnetz im 2. OG via abgegrenzten und separaten IP-Bereich abzugrenzen (denn die Heimnetzübersicht wurde mit 30+ Geräten schon etwas unübersichtlich), aber trotzdem die selbe Internetverbindung benutzen zu können und auch auf meine Geräte zugreifen zu können, wenn ich gerade mal unten bei meinen Eltern bin und ich kein Geld für weitere Hardware ausgeben wollte. Transparentes NAT sei Dank.
Allerdings wie gesagt nur bei der kaskadierten Fritz!Box, die Fritz!Box im EG, welche immernoch die Verbindung herstellt, ist unmodifiziert.

 

[Raijin]

benötige ich dann 2 Switche oder kann ich das mit 1 Switch (managed) lösen

Da alle Dosen am Patchfeld zusammenlaufen, wäre es sinnvoll, hier einen ausreichend großen VLAN-fähigen Switch einzusetzen und an den Dosen, sofern mehr Ports benötigt werden, kleinere Switches zu setzen. Sind an einer Dose allerdings Geräte aus verschiedenen Teilen des Netzwerks angeschlossen, also zB der Arbeitslaptop via LAN im FB2-Gast-Netz und ein TV im FB1-Netz, muss dieser kleine Switch seinerseits VLAN-fähig sein.

Zur Erklärung: VLAN-Switches kann man virtuell in meherere unabhängige Teil-Switches konfigurieren. Zum Beispiel ein 24-Port-Switch, der effektiv aus 3x 8-Port-Switches oder 1x 12 + 1x8 + 1x4 oder einer beliebigen anderen Aufteilung besteht. Oder auch ein 5-Port-Switch, der einen Uplink-Port zum Hauptswitch hat und die übrigen 4 Ports jeweils FB1-LAN, FB1-Gast, FB2-LAN und FB2-Gast zugeordnet sind.
Das bezieht sich aber effektiv nur auf die kabelgebundenen Clients, da WLAN mit den 4 SSIDs natürlich je nach Reichweite überall zur Verfügung steht.

Ein Backup vom Privat-Laptop/Gaming-PC müsste ja auf den Heimserver möglich sein (ggf. Portweiterleitung einrichten)

In der Richtung ist das kein Problem, ohne Portweiterleitungen.

PrivaterLaptop --------> (LAN1) FB2 (WAN) -----> (LAN1) FB1 (LAN2) ----> Heimserver

Portweiterleitungen benötigt man nur in der anderen Richtung, wenn zB der Server drucken soll

Drucker <---------- (LAN1) FB2mitPW (WAN) <---- (LAN1) FB1 (LAN2) <---- Heimserver

das gleiche gilt für die Platzierung des Heimservers (wo stelle ich diesen hin? Ins Netz 1 oder Netz 2)

Das kommt darauf an. Willst du auf die Cloud auf dem Server selbst zugreifen, ist es egal wo er steht. Im FB1-Netz bräuchtest du nur einen Portweiterleitung in der FB1 auf den Server und stünde er im FB2-Netz müsstest du eben 2x Portweiterleitungen einrichten, einmal in der FB1 auf die FB2 und einmal in der FB2 auf den Server.

Willst du auf Smarthome zugreifen, wäre es ausreichend, wenn der Server im FB1-Netz steht, er könnte aber auch im FB2-Netz stehen - unter der Voraussetzung, dass das Smarte Zeug nicht wie oben beschrieben mit Broadcasts arbeitet und der Server dann womöglich die Leuchten, Rollos, etc. nicht findet. Ist das der Fall, muss er zwingend im FB1-Netz stehen.

Soll der Server jedoch Zugriff auf das private Netzwerk an FB2 gewähren, also zB den privaten Laptop oder den Gaming-PC, muss der VPN-Server zwangsläufig im FB2-Netz stehen (oder direkt in der FB2).

Es kann durchaus sein, dass sich die Szenarien überschneiden oder auch gegenseitig ausschließen.

ob die beiden Gast-WLAN's so Sinn machen, da bin ich mir noch nicht sicher. Hier würde ich ein Gast-WLAN für die Arbeit und eins für Besucher/Kinder einrichten

Das musst du selbst wissen. Wenn du Arbeitsgeräte explizit von anderen Gastgeräten trennen willst, dann kann das sinnvoll sein. Die Frage ist nur wie häufig du Gastgeräte hast - ich lasse zB niemanden bei mir rein, nur weil sie geizig sind und nur 200 MB Internet buchen. Auch stellt sich die Frage nach der Nachbarschaft. Immerhin wären das 4 SSIDs, die man zudem auf verschiedenen Kanälen verteilen sollte.






Von hackigen Änderungen in der FB2 würde ich persönlich absehen, muss aber jeder selbst wissen. Das ist nun mal ein Consumer-Router und wenn man einen fortgeschrittenen Router haben möchte, bei dem NAT und Firewall frei konfigurierbar sind, sollte man sich einen solchen Router besorgen und den Umgang damit lernen (zB MikroTik, EdgeRouter oder zB ein Gerät mit OpenWRT, o.ä.) oder von mir aus eine alternative Firmware auf die Fritzbox2 flashen (sofern es eine gibt). Das Ding ist nämlich, dass solche inoffiziellen Änderungen bei jedem Firmware-Update potentiell überschrieben werden können, evtl. stimmt dadurch sogar eine Checksumme nicht mehr und das Update wird verweigert oder aber man vergisst diese Änderung und setzt die Fritzbox irgendwann mal an anderer Stelle ein, verkauft sie oder was auch immer und wundert sich, dass sie nicht so funktioniert wie sie "eigentlich" sollte.

 

[rolemodel]

Ich würde, wie gesagt, einen großen gemanagten Switch nehmen und den ggf. per VLANs in mehrere "virtuelle" zerhacken.

Ok, damit das VLAN aufsetzen dürfte nicht allzu viel Aufwand sein.

Habt ihr mir hierzu evtl. eine Switch Kauf-Empfehlung?

Die Einstellung am Switch wäre ja dann wie folgt:

Fritz.Box1
LAN2 --> (untagged VLAN 10) Port1@Switch
LAN4 (GAST) --> (untagged VLAN 20) Port 2@Switch

Fritz.Box2
LAN1 --> (untagged VLAN 30) Port 3@Switch
LAN4 (Gast2) --> (untagged VLAN 40) Port4@Switch

Switch:
Port 1 VLAN 10 untagged
Port 2 VLAN 20 untagged
Port 3 VLAN 30 untagged
Port 4 VLAN 40 untagged

Port 5-8 zB VLAN 10 untagged
Port 9-12 zB VLAN 20 untagged etc.

Wenn du bspw. Transparentes NAT haben möchtest, um auf die Geräte im anderen Netz bzw. der anderen Fritz!Box zugreifen zu können (also in die Richtung FB1 --> FB2), aber trotzdem die Trennung der Netze bzw. IP-Segmente haben möchtest (wenn die Fritz!Box NICHT im Client-Mode läuft), kann man das überlegen.

Danke für die Info. Sehe ich ehrlicherweise momentan keinen Bedarf und ich würde die Fritz.Box nicht anpassen wollen. Vielleicht ergibt sich das später noch.

Das kommt darauf an. Willst du auf die Cloud auf dem Server selbst zugreifen, ist es egal wo er steht. Im FB1-Netz bräuchtest du nur einen Portweiterleitung in der FB1 auf den Server und stünde er im FB2-Netz müsstest du eben 2x Portweiterleitungen einrichten, einmal in der FB1 auf die FB2 und einmal in der FB2 auf den Server.

Vielleicht noch mal zurückkommend auf die Abgrenzung zum DMZ. Was hätte ich für einen Vorteil, wenn ich noch einen 3. Router im Setup hätte und im Netz der Fritz.Box1 den Heimserver + Drucker laufen lassen würde und dann die weitere Aufteilung Fritz.Box2 und Fritz.Box3 wie oben skizziert machen würde? Das hatte ich noch nicht ganz verstanden.

Das musst du selbst wissen. Wenn du Arbeitsgeräte explizit von anderen Gastgeräten trennen willst, dann kann das sinnvoll sein. Die Frage ist nur wie häufig du Gastgeräte hast - ich lasse zB niemanden bei mir rein, nur weil sie geizig sind und nur 200 MB Internet buchen. Auch stellt sich die Frage nach der Nachbarschaft. Immerhin wären das 4 SSIDs, die man zudem auf verschiedenen Kanälen verteilen sollte.

Das stimmt. Sonst schwirren am Ende 4 WLAN SSIDs in meinem Haus. Ich überlege noch ob nicht ein Gast-Netz ausreicht für alle. Die wenigsten wählen sich tatsächlich in mein WLAN ein.

Besten Dank für euren bisherigen Input.

 

[Raijin]

Vielleicht noch mal zurückkommend auf die Abgrenzung zum DMZ. Was hätte ich für einen Vorteil, wenn ich noch einen 3. Router im Setup hätte und im Netz der Fritz.Box1 den Heimserver + Drucker laufen lassen würde und dann die weitere Aufteilung Fritz.Box2 und Fritz.Box3 wie oben skizziert machen würde? Das hatte ich noch nicht ganz verstanden.

Wo zauberst du denn plötzlich noch eine dritte Fritzbox aus dem Hut? Und warum? Aktuell ist das Netz der FB1 bereits eine DMZ.

Routerkaskaden kann man mit 2 oder mehr Routern aufbauen. Bei einem 2-Router-Setup gibt es das geschützte private Netz ganz innen und die DMZ zwischen den Routern. Bei einem Setup mit 3+ Routern kann man noch weitere geschützte parallele Netzwerke hinter der DMZ einrichten.

Heise hat einen kleinen Artikel über ein 2-Router-Setup sowie ein 3-Router-Setup geschrieben. Allerdings wird in letzterem explizit auf ein Szenario mit einem separaten Büronetzwerk neben dem Heimnetzwerk eingegangen. In deinem Fall wäre dies ja bereits durch das Gastnetzwerk für das Büro realisiert. Hier wird auch nochmal auf ein Szenario mit 2 Routern eingegangen.


Zum Thema Switch: Ich selbst nutze u.a. einen Netgear JGS524E, den ich mal am Black Friday für schmales Geld geschossen habe. Ein Zyxel GS1900-24E tut's aber genauso wie auch so ziemlich jeder andere Switch von dieser Liste. Entscheidende Kriterien sind neben der obligatorischen Portanzahl zwei Funktionen: 802.1Q sowie IGMPv3. Ersteres beschreibt die VLANs und letzteres ist für Multicasts zuständig (zB MagentaTV). Welchen Switch man letztendlich nimmt, ist in dem Bereich nicht so wichtig, weil alle nur mit Wasser kochen. Würde mich tatsächlich nicht wundern, wenn sich die Switches in dieser Kategorie von der Hardware gar nicht so sehr unterscheiden und bei dem einen oder anderen Hersteller womöglich sogar baugleich sind, nur mit anderer Firmware.




Generell möchte ich dazu raten, dass Setup so simpel wie möglich und so komplex wie nötig zu gestalten. In der Informatik spricht man vom KISS-Prinzip, Keep It Simple, Stupid. Je komplexer du das jetzt ausgestaltest, umso eher wirst du auf Probleme stoßen, die du gar nicht oder nur mit viel Aufwand lösen kannst. Eine Routerkaskade mit Consumer-Routern wie einer Fritzbox werden nämlich einfach nur zusammengesteckt und darauf beschränkt sich auch schon weitestgehend die Einflussmöglichkeiten des Admins - von gehackten Konfigdateien mal abgesehen. Wenn also Probleme entstehen wie die gegenläufigen Szenarien für den Standort des VPN-Servers wie in #18 angedeutet, stößt man schnell an die Grenzen der Consumer-Hardware.