Best Practise Ansatz für ein einfach zu verwaltendes und sicheres Heimnetz

Capone1423

Cadet 2nd Year
Registriert
Jan. 2020
Beiträge
16
Ich plane gerade mein neues Heimnetz in einer Mietwohnung neu aufzusetzen, heißt kleines verkabeltes Netzwerk und viele Geräte wie WLAN eingebunden. Ziel sollte es sein eine Balance zwischen (hoher) Sicherheit und Administration zu erlangen.

Welche Geräte sind im Einsatz und wie sieht die Landschaft aktuell aus

  • 250mbit Telekom Internet mit DS-Full (zumindest weiß ich nichts gegenteiliges)
  • FRITZ!Box 7590
  • 2 arbeitslaptops
  • 1 PC
  • Fernseher, Konsolen, div. Mediaplayer
  • DIV smart Home gerate über den Gastzugang
  • 1gbit Netzwerk zwischen PC, Nas und Fernseher/Mediaplayer
  • 2 „Dumme“ switches
  • 1 Nas mit div docker Containern (Adguard, Plex, bitwarden etc) und Filestorage

Was würde ich gerne zukünftig machen.

  • Adguard auf einen dedizierten Rasberry oder den China Firewall boxen mit einem n100 ( kommt aber jetzt auf euren Rat bzw Ergebnis an)
  • Zugriff von „außen“ auf Nextcloud, bitwarden, homeautomation etc. am besten ohne VPN, da auch Familienmitglieder zugreifen sollen, die nicht unbedingt IT-afin sind und nicht immer einen vpn aufbauen wollen…
  • es sollte in der Konfiguration und der Administration möglichst einfach sein, aber eben auch eine gute Balance zur Sicherheit haben. Auch sollte der gerätefuhrpark und damit auch Stromverbrauch möglichst gering sein.Ich bin bereit mich einzulesen und das habe ich die letzten Wochen auch intensiv gemacht, aber man findet fast nur Infos von einem (extrem komplex) oder super einfach, wobei oft das Thema Server Zugriff extern zu simple gedacht ist.


Oft geht es gleich in die Richtung opensense, hardwarefirewall mit div NICs für verschiedene Netzwerke für Office, IOT, DMZ etc inkl VLans usw. Das ist glaube ich für meinen usecase und auch die Zeit zum administrieren zu viel. Und da ich jetzt kein Spezialist oder Netzwerkprofi bin, ist die Wahrscheinlichkeit, dass ich durch meine Firewallregeln mehr auf als zu mache, wahrscheinlich größer als wenn man es simple macht.


Was macht dahingehend am meisten Sinn?

  • Dienste die nach extern gehen auch auf der raspberry Kiste laufen lassen und via smb die netzlaufwerke vom Nas einbinden ( ist das dann auch eine mgl. sicherheitlücke? )
  • Oder nextcloud eher über port forwarding freigeben und die Dienste über cloudflare zugänglich machen?
  • Oder muss der harte Weg gegangen werden vor FRITZ!Box - Hardware Firewall und div. Getrennte Netzwerk…
  • Oder…? Gang andere Ansätze?!

Ihr seht ich habe versucht mich hier aber auch im fachingormatiker Forum einzulesen, bin aber durch meine selbstrecherce mit mehr fragen zurück als ich lösen konnte


Wäre cool, wenn ihr mir Ansätze mitgeben könnt, die ich dann tiefer recherchieren kann oder vielleicht standet ihr vor der selben frage und habt schon eine Variante im Kopf.

Danke schonmal
 
Zuletzt bearbeitet:
Anyway, was ist an einem Wireguard VPN kompliziert? Das ist am Endgerät ein Button mit an oder aus.
 
Capone1423 schrieb:
250mbit Telekom Internet mit DS-Lite
Telekom hat eigentlich immer Dual Stack, ohne Lite.
Capone1423 schrieb:
Zugriff von „außen“ auf Nextcloud, bitwarden, homeautomation etc. am besten ohne VPN, da auch Familienmitglieder zugreifen sollen, die nicht unbedingt IT-afin sind und nicht immer einen vpn aufbauen wollen…
Mh, externer Zugriff auf eine dynamische IP ist immer komplizierter, und sei es nur wegen der Eingabe der Adresse und des (sinnvollerweise) unüblichen Ports.
Capone1423 schrieb:
Oft geht es gleich in die Richtung opensense, hardwarefirewall mit div NICs für verschiedene Netzwerke für Office, IOT, DMZ etc inkl VLans usw. Das ist glaube ich für meinen usecase und auch die Zeit zum administrieren zu viel. Und da ich jetzt kein Spezialist oder Netzwerkprofi bin, ist die Wahrscheinlichkeit, dass ich durch meine Firewallregeln mehr auf als zu mache, wahrscheinlich größer als wenn man es simple macht.
Dann bleib einfach bei der FritzBox.
Capone1423 schrieb:
  • Dienste die nach extern gehen auch auf der raspberry Kiste laufen lassen und via smb die netzlaufwerke vom Nas einbinden ( ist das dann auch eine mgl. sicherheitlücke? )
Definitiv. Ein Gerät gehackt und sofort Vollzugriff. Wobei die Alternativ, das NAS direkt von außen zugänglich zu machen, halt auch nicht viel besser ist. Man könnte hier mit einer DMZ anfangen, in der nur das NAS steht, aber wenn das NAS angegriffen ist sind die Daten halt auch weg.
Capone1423 schrieb:
Wäre cool, wenn ihr mir Ansätze mitgeben könnt, die ich dann tiefer recherchieren kann oder vielleicht standet ihr vor der selben frage und habt schon eine Variante im Kopf.
NAS kann man schon von extern erreichbar machen, VPN wäre die sinnvollste Variante, ansonsten via HTTPS auf einem unüblichen Port um den ganzen automatischen Suchen aus dem Weg zu gehen.
 
ich würde sagen per DynDNS auf die synology oder wireguard in der fritzbox
 
klapproth schrieb:
Anyway, was ist an einem Wireguard VPN kompliziert? Das ist am Endgerät ein Button mit an oder aus.
für mich ist es nicht kompliziert, aber andere Personen, die zb klassisches fotobackup via iCloud kennen, ist die Hemmschwelle doch höher, die private cloud aktiv zu nutzen, wenn man immer erst den VPN an oder aus machen muss um dann wieder normal zu zb „unterwegs zu surfen). Daher habe ich nach alternativen Möglichkeiten gefragt. Fand den Ansatz mit portforwarding und cloudflare ganz interessant (
) allerdings läuft dann alles über US… und bringt den privat cloud Ansatz ein wenig ab absurdem…
Ergänzung ()

StefanArbe schrieb:
ich würde sagen per DynDNS auf die synology oder wireguard in der fritzbox
Keine Synology im Einsatz, sondern ein DIY Nas auf Unraid Basis, aber der Ansatz wäre ja der selbe… - wireguard über FRITZ!Box
Ergänzung ()

rezzler schrieb:
Telekom hat eigentlich immer Dual Stack, ohne Lite.

Mh, externer Zugriff auf eine dynamische IP ist immer komplizierter, und sei es nur wegen der Eingabe der Adresse und des (sinnvollerweise) unüblichen Ports.

Dann bleib einfach bei der FritzBox.

Definitiv. Ein Gerät gehackt und sofort Vollzugriff. Wobei die Alternativ, das NAS direkt von außen zugänglich zu machen, halt auch nicht viel besser ist. Man könnte hier mit einer DMZ anfangen, in der nur das NAS steht, aber wenn das NAS angegriffen ist sind die Daten halt auch weg.

NAS kann man schon von extern erreichbar machen, VPN wäre die sinnvollste Variante, ansonsten via HTTPS auf einem unüblichen Port um den ganzen automatischen Suchen aus dem Weg zu gehen.

Danke, habe ich auch eben gemerkt das Telekom ja Full Stack hat. Bei der Fritze würde ich bleiben, wenn sich mein Ansatz sinnvoll und mit einer relativ hohen Sicherheit gewährleisten lässt. Wenn ich das Nas in eine DMZ stelle sind wir ja wieder bei dem Ansatz „ China harwarefirewall“ mit div dedizierten NICs für die einzelnen Netze. Trotzdem wäre ja beim knacken der DMZ alle Daten angreifbar. Was wäre hier der Ansatz? Ein Server der in der DMZ steht mit den Anwendungen die von extern zugänglich sein sollen, plus ein NAS mit dem ganzen files, welches abgeschottet im internen netz hängt. Wenn ja wie stelle ich dann dem DMZ Server, Daten aus dem internen NAS sicher zur Verfügung?

So wie ich euch verstehe und auch gelesen habe, wenn ich es nicht Mega kompliziert mit DMZ, div Firewall regeln etc möchte, dann bleibt nur VPN oder portforwarding via https übrig, richtig?

China Firewall + Server für Adguard, nextcloud wäre übrigens sowas :
Just found this amazing item on AliExpress. Check it out! 216,71€ | 12th Gen Intel N100 Firewall Computer N6000 N5105 Soft Router 4x 2.5G i226 LAN NVMe Industrial Fanless Mini PC pfSense PVE ESXi
https://a.aliexpress.com/_EuqNQpV
 
Zuletzt bearbeitet:
Oh je, zu hohe Ansprüche mit zuwenig Wissen. Ich würde an Deiner Stelle einfach mal einen Netzwerkprofi dazuholen, der mit Dir zusammen die Sache einrichtet.

Nur mal auf die kurze Art und ganz grobe Beschreibung:
Eine Lösung wäre verschiedene Subnetze + VLANs, eine gescheite Firewall mit mehreren getrennten Ports und Switche, die VLAN beherrschen. Mit der Firewall regelst Du die dedizierten Übergänge auf die jeweiligen Dienste, die von außen erreichbar sein sollten, per Port (z.B. ssh Port 22 usw.).
Aber das würde ich - wie oben richtig erwähnt, nur über einen VPN-Tunnel zulassen. Sprich, Du schaltest einen VPN Server davor (openVPN), und läßt dann nur über die VPN Clients den Zugang zu. Besser noch, Du verwendest eine Firewall, die Wireguard unterstützt.

Einfach für Dich, Du schaltest vor Deiner Fritzbox eine entsprechende Firewall mit OpenSense, pfSense etc. und Wireguard, nur mal als Beispiel gezeigt:
https://www.amazon.de/Glovary-Firewall-N100-Ethernet-Appliance/dp/B0CJ5L7SH6/
Oder Du kaufst was semiprofessionelles wie sowas hier (auch nur als Beispiel gedacht):
https://www.amazon.de/Zyxel-ZyWALL-VPN-Firewall-empfohlen-Benutzer/dp/B0B85KQGGH/

Da gibt es zig Anbieter auf dem Markt. Aber das bedeutet für Dich eine entsprechend hohe Lernkurve mit viel Lernen über Netzwerk und Technik.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: JumpingCat
klapproth schrieb:
Warum sollte man das VPN dauernd an und aus ausmachen? Oder verstehe ich dich flasch?
Entweder habe ich grad nen Denkfehler oder ich habe mich unklar ausgedrückt… mein Verständnis nach wenn ich via Handy zb. Auf einen der Dienste wie nextcloud, bitwarden zugreifen möchte, muss ich ja den VPN aktivieren, sonst komme ich nicht in mein lokales Netz. Durch die Aktivierung wäre aber mein Verständnis nach Surfen nicht mehr über den Monilfunk möglich, sondern der ganze Verkehr würde über meine FRITZ!box gehen, korrekt? Das würde zu Hause beim zocken ja auch meine Bandbreite, ping etc massiv beeinflussen, wenn 6-7 Handys immer im VPN über meine Leitung gehen. Oder habe ich einen Denkfehler? Kann der wireguard mobil Client nur anwendungspezifisch durch den VPN Routen, also gewissen Traffic Bypassen?



nutrix schrieb:
Oh je, zu hohe Ansprüche mit zuwenig Wissen. Ich würde an Deiner Stelle einfach mal einen Netzwerkprofi dazuholen, der mit Dir zusammen die Sache einrichtet.

Nur mal auf die kurze Art und ganz grobe Beschreibung:
Eine Lösung wäre verschiedene Subnetze + VLANs, eine gescheite Firewall mit mehreren getrennten Ports und Switche, die VLAN beherrschen. Mit der Firewall regelst Du die dedizierten Übergänge auf die jeweiligen Dienste, die von außen erreichbar sein sollten, per Port (z.B. ssh Port 22 usw.).
Aber das würde ich - wie oben richtig erwähnt, nur über einen VPN-Tunnel zulassen. Sprich, Du schaltest einen VPN Server davor (openVPN), und läßt dann nur über die VPN Clients den Zugang zu. Besser noch, Du verwendest eine Firewall, die Wireguard unterstützt.

Einfach für Dich, Du schaltest vor Deiner Fritzbox eine entsprechende Firewall mit OpenSense, pfSense etc. und Wireguard, nur mal als Beispiel gezeigt:
https://www.amazon.de/Glovary-Firewall-N100-Ethernet-Appliance/dp/B0CJ5L7SH6/
Oder Du kaufst was semiprofessionelles wie sowas hier:
https://www.amazon.de/Zyxel-ZyWALL-VPN-Firewall-empfohlen-Benutzer/dp/B0B85KQGGH/
Das wäre sicherlich die beste Option, bezogen auf die Sicherheit, aber genau das Gegenteil von einfacher Administration und wenig Geräten. Für meine Mietwohnung zu viel und da ich es nicht all vollzeithobby betreiben möchte, würde das meine Freizeit auch auffressen. Daher war mir die Mischung aus Sicherheit und Aufwand wichtig

Ich dachte immer die Firewall würde hinter die FRITZ!box kommen, sodass die Fritze nur noch als Modem fungiert und die Firewall/Router übernimmt dann den „Rest“
 
Du hast 6 Smartphones die konstant hohen Traffik erzeugen? Sicher? Aber die sind doch auch irgendwann zuhause im WLAN... du musst dann einen schnelleren Internetzugang besorgen.

Wireguard: Das hängt von der Netzmaske ab.

Aber wenn du alles durch das VPN + piHole / Werbefilter in OpnSense leistet, dann sparst du auf den Smartphones Traffik und Webseiten laden schneller. Eigentlich möchtest du genau das.

Gleichzeitig kannst du das VPN dann in OpnSense niedriger priorisieren als das "Zocken".
 
Capone1423 schrieb:
Ich dachte immer die Firewall würde hinter die FRITZ!box kommen, sodass die Fritze nur noch als Modem fungiert und die Firewall/Router übernimmt dann den „Rest“
Ja, genau so meinte ich es, vor Deinem internen Netzwerk kommt die Firewall. Deine Fritzbox ist nur der Internetzugang, alles andere im Netz routet und verteilt Deine Hardwarefirewall.
 
Zurück
Oben