ComputerBase Menü
Aktuelles

Eigenes Netzwerk absichern / Einliegerwohnung / Fritz!Box

S

sxhor

Cadet 3rd Year
Registriert
Dez. 2006
Beiträge
37
Hallo zusammen,
ich habe vor, mein Heimnetz zu modernisieren und für eine Einliegerwohnung W-LAN sowie einen Router anzubieten. Folgende Konfiguration habe ich mir überlegt:

Im zentralen Patchfeld laufen alle Netzwerkdosen zusammen und hängen an einem Managed 8-Port-Swith von Cisco (cbs250). Auf Port 1 hängt die Fritz!Box (Master-Mesh und Internet) und auf Port 8 hängt eine alte Fritz!Box, die in der Einliegerwohnung angeschlossen ist. Hinter dieser Fritzbox hängen dann die Geräte vom Einlieder-Mieter. Die anderen Ports auf dem Cisco Switch sind mit diversen anderen Geräten belegt (z.B. Fritz Repeater für das eigene Heimnetz), die der Nutzer in der Einliegerwohnung nicht sehen und finden soll. Nun habe ich zwei Sicherheitsmechanismen ausgedacht, um den Netzverkehr abzusichern:

1) Mac-Access Control auf Port 8, d.h. nur die alte Fritzbox wird dort für Netzwerkverkehr aktiviert, wenn eine andere MAC angeschlossen wird geht der Port auf disabled

2) in einem VLAN (durch den Cisco-Switch definiert) dürfen nur Port 8 und Port 1 miteinander kommunizieren. In einem zweiten VLAN sind dann Port 1-7

Folgendes Problem: An der Fritzbox meines Heimnetzes hängen zwar keine weiteren LAN-Geräte mehr, aber sie ist der Mesh-Master für das private W-LAN. Jetzt wäre es ja theoretisch möglich, dass jemand sich manuell die Mac-Adresse der alten Fritzbox faked und sich dann direkt an die Gast-Dose hängt. Dann sieht er war die Geräte auf dem Switch Port 2-7 nicht aber könnte z.B. eine Sonos-Box im Badezimmer finden, die über W-LAN an der Mesh-Master Fritzbox hängt. Habt ihr eine Idee, wie ich das noch absichern könnte? Ich habe mir schon überlegt, noch einen IP-Filter im Cisco Switch einzufügen, der keine Kommunikation mit dem lokalen Netzwerk außer 192.168.1.1 (=Internetrouter) ermöglicht. Habt ihr noch weitere Ideen?

Danke!! und Grüße!
 
Das Netz für die Einliegerwohnung auf den Gast-LAN (Port 4) legen.

Aber wenn du deinem Untermieter sowenig vertraust, dass du dir darüber Gedanken machst, willst du wirklich dein Internet mitnutzen lassen? Einen eigenen Anschluss (DSL, KAbel etc.) für die Einliegerwohnung gibt es nicht?
 
  • Gefällt mir
Reaktionen: TomH22, redjack1000, rg88 und 3 andere
Viel einfacher ist es, wenn Du einfach einen Freifunk-Router hinstellst, der nutzt Dein Netzwerk, bohrt sich aber einen Tunnel zum nächsten Freifunk-Knoten und baut intern sein eigenes WLAN auf. Du kannst in der Einstellung bestimmen, wieviel Bandbreite Du dabei rausrückst.
Damit ist ein offener WLAN Accesspoint entstanden, den jeder nutzen kann, auch Gäste bei Dir.
Wenn man dort in der Einliegerwohnung wohnt kann man sich ja einen weiteren Router am LAN-Port des Freifunkrouters aufbauen und hat dann sein eigenes Netz das gegen Zugriffe geschützt ist.

Wichtig: das Netz des Freifunkrouters ist komplett entkoppelt von Deinem, Du siehst bei Dir nur den Router im Netz als Gerät, was da dranhängt ist für Dich nicht sichtbar und Du bist von dort aus nicht sichtbar.
Und, Du bist auch komplett aus der Haftung, Deine eigene IP ist nach draußen nicht sichtbar, da der "Eintritt" ins Internet über den Freifunk-Knoten und dessen IP geschieht.
Zusätzlich trägst Du auch noch zur Verbreitung eines freigen I-Net Zuganges bei.

Das ganze kostet Dich zwischen 20 und 50 Euro für einen geeigneten Router auf dem die Firmware für Freifunk geflasht werden kann. Du musst diesen Router dann einfach mit Deinem Router via LAN zum WAN-Port des anderen Routers verbinden.
https://freifunk.net/ als Einstieg, ggf. gibt es bei Dir auch eine lokale Freifunk-Gruppe, die helfen bei der Auswahl eines Routers und beantworten Fragen (bei mir gibt es eine).
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: h00bi und toxic999
Gefühlt 5 mal im Monat das Thema hier.
  • Freifunk (nicht kommerzielles Projekt, kein SLA)
  • sorglosiminternet (kommerziell, kostenpflichtig, SLA, managed appliance)
  • VLAN, was du durch ein VPN raus routest (Mullvad)
Je nachdem, wie die Kenntnisse, bzw das Budget ist.
 
  • Gefällt mir
Reaktionen: redjack1000, Asghan und BoeserBrot
Blöd gefragt, warum nicht einfach nur WLAN anbieten und den Router für die Einliegerwohnung physisch vor Zugriff sichern. Dann kann keiner an das LAN ran und das WLAN könntest du als Gastnetz aufspannen.
 
Bei meinem Mieter habe ich das über das Gastnetzwerk der Fritzbox (LAN und WLAN) gelöst. So sieht mein Mieter nichts von meinen Geräten hat gutes WLAN überall und läuft seit Jahren.
 
Hallo zusammen,
Vielen Dank für die Antworten, das hilft mir schon sehr weiter. Ich denke ich werde die Sache mit dem Freifunk – roter machen. Eigentlich habe ich ja Vertrauen, bin mir aber eben nicht 100 % sicher und wollte wissen, ob es vielleicht eine gute und schlaue Lösung gibt. Wenn ich den Route aber physisch zugänglich mache, dann besteht immer das Risiko, dass jemand sich an meinem Laden zu schaffen macht, oder? Auch mit Freifunk – roter… (Jemand zieht ihn ab und steckt sein eigenes Endgerät daran.), oder kann ich es noch anders absichern?
Vielen Dank.
Grüße
 
Du kannst den Freifunk-Router (nicht roter) einfach bei Dir lassen, WLAN geht dann immer.
Wenn keiner physisch dran kommt, dann kann keiner was dran machen.
 
Besten Dank - der roter kam aus der Spracherkennung 😉
 
DJKno schrieb:
Blöd gefragt, warum nicht einfach nur WLAN anbieten und den Router für die Einliegerwohnung physisch vor Zugriff sichern.
Zum Vergrößern anklicken....
Wegen Störerhaftung.
Der TE hat vermutlich kein Gastgewerbe und auch keinen auf das aufs Gastgewerbe laufenden Geschäftskundentarif.
 
Aus aktuellem Anlass kann ich da den Xiaomi Mi Router 4A "Gigabit" sehr empfehlen, da er einen sehr hohen VPN-Durchsatz zu einem günstigen Preis bietet. Die Ersteinrichtung dürfte einen Anfänger überfordern, da man zig Schritte befolgen muss, um aus dem Ding einen Freifunk-Router zu machen, aber der Durchsatz ist es wert. Falls das Modell in der lokalen Freifunk-Community noch unbekannt ist, vielleicht mal dort erwähnen, dass es sich sehr lohnt.

Ich habe an einem Solchen noch zwei "dumme" APs über die freien LAN-Buchsen im Betrieb, der Router fungiert dann zusätzlich als sogenannter Offloader und schaufelt so ungefähr 120 Mbit/s, was in der Preisklasse einzigartig ist.
 
@sxhor
Dann solltest Du mal an der Spracherkennung "arbeiten". :D
Du kannst - wenn der Freifunkrouter in der Einliegerwohnung ist - den an die Fritzbox anschließen und den LAN-Port als Gäste-LAN konfigurieren.
https://avm.de/service/wissensdaten...0/949_LAN-Gastzugang-in-FRITZ-Box-einrichten/

Dann kann nichts passieren, wenn der Freifunkrouter abgezogen wird und ein eigener angesteckt wird.
Wenn sowas auftaucht einfach die IP knallhart aussperren.

Der Vorteil am Freifunkrouter ist eben, dass Du aus der Haftung bist.
Beim Vorschlag von @DLMttH, der interessant klingt, besteht diese Haftung immer noch.
Den Ärger kannst Du Dir vom Hals halten.
 
Vielen Dank für den Support - ich mache das so mit dem Gast-Netz!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz