Fritz und VLAN für IoT+SmHo

[Die wilde Inge]

Hallo,

ich habe mal eine Frage zum Thema Heimnetzwerk.

Ich habe aktuell ein Setup aus einem Telekomrouter der mich ins Internet bringt (HybridTarif) und eine nachgeschaltete Fritzbox fürs WLAN und Co. Zusätzlich habe ich noch einen Mesh Repeater von AVM.

Demnächst steht bei uns der Wechsel auf Glasfaser an. Wenn ich das auf Geizhals richtig sehe, gibt es fast keine Router die ootb schon ein GF-Modem verbaut haben. Neben den beiden Fiber-Fritzboxen ist da noch was Ubiquiti, das wars. Von der Telekom selber gibt es noch den Smart 4, aber ich bin von der Telekom Hardware nicht so sehr überzeugt. Auf der anderen Seite muss ich fairerweise gestehen, dass man im Router natürlich auch nicht ständig irgendwas konfiguriert. Aber ich möchte mein Heimnetz nicht mit nem Telekom-Router und Telekom Mesh-Repeater aufbauen.

Worum es mir mit diesem Thread aber eigentlich geht ist die eher spezielle Frage, ob ich über einen Dritt-Anbieter WLAN-Switch (bzw genau genommen ist es dann ja ein Router) ein VLAN für meine Smarthome und IoT einrichten kann, deren Mitglieder ins Internet können, die aber NICHT mit der sonstigen Netzwerk-Mitgliedern sprechen können, weder im gleichen VLAN noch mit den Geräten die im "Frirtzbox-Netz" hängen. Mit meinem Handy und meinem PC aber schon (feste IP).

Zur Verdeutlichung habe ich mal diese extrem aufwendige Grafik erstellt:

Das Kernnetz besteht also aus einer Fiber-Fritzbox und passenden MEsh-Repeater, die per LAN-Brücke verbunden sind.

Dazu käme optional ein 3rd Party WLAN-Router der ein oder mehrere VLAN aufspannt. 2x 2,4Ghz WLAN wäre super.

Im Fritzbox Netz hängen alle 0815 Geräte die irgendwie innerhalb des Netzes miteinander kommunizieren müssen (Smartphone->TV; TV->NAS; usw.) Alle anderen Geräte aus dem Bereich IoT würde ich aber gerne in das VLAN stecken, sodass diese Geräte bei einer Kompromitierung nicht das FB-Netz erreichen können. Das knifflige ist jetzt eigentlich nur der Nachsatz: Per Handy will in in das VLAN/1/2/3 kommunizieren können. Manchmal muss man ja die IoT-Geräte konfigurieren, häufig geht das nur per App und dafür will ich nicht das (W)LAN wechseln müssen.

Ich bin ausdrücklich dazu bereit meine Hardware auch komplett zu wechseln. Die (Fiber-)Fritzbox selber ist ja schon nicht VLAN fähig, die Repeater die ich schon habe sind alte Fritzboxen die gerade noch so Mesh beherrschen, nichts mit einem sonderlich hohen Restwert.

Wenn jetzt also jemand einen ganz anderen Router empfehlen kann, der einige der Funktionen bereits ootb bietet, dann wäre das für mich auch eine Option. An einem zusätzlich GF-Modem soll es zudem auch nicht scheitern. DECT sollte der neue Router aber haben.

Nur für den Fall das: Ich suche hier nicht nach einer Konfigurationsanleitung, das kriege ich dann schon noch selber hin. Ansonsten bietet Google gute Suchtreffer wie diese Seite: https://www.tutonaut.de/fritzbox-vlan-subnetze-per-switch-einrichten/

Aber diese Anleitung klärt nicht meinen Frage aus dem Nachsatz, bezüglich des Handys und eine Empfehlung für bestimmte Hardware gibt mir Google auch nicht. Dass irgendwo "VLAN: ja" steht, heißt leider nicht, dass Inter-VLAN-Routing und Co. unterstützt wird.

Ich hoffe ich habe jetzt nicht zu viel geschrieben und ihr seid nicht auf der Hälfte der Strecke schon ausgestiegen :-D

Bin dankbar für jede Empfehlung oder Anregung zu dem Thema.

 

[Tepesch]

Das ist schon eine kleine Herausforderung, die du hier hast. Mit der Fritte allein wird das nix werden, die kann schon gar kein VLAN. Dafür benötigt man dann schon einen deutlich besseren Router, da nun aber bei dir noch Policy-based hinzu kommt, wird es auch mit einem Router schon wieder eher schlecht, da kommen wir dann eher bei so etwas wie OPNSense raus. Alternativ halt ne SecurePoint oder Sophos oder eine Alternative nach Wunsch. Denn: Routing zwischen LANs oder VLANs ist von der zugrundeliegenden Funktion identisch. Nur einmal halt pyhsich (LAN) oder logisch (VLAN). Und diese Dinger können für gewöhnlich auch kein DECT.

Daher würde ich es so angehen:
Fritte für Glasfaser -> UTM (OPNSense, SecurePoint, etc.) -> alle Netzwerke

Dazu benötigt man dann natürlich Switches, die VLANs beherrschen, ebenso entsprechende WLAN-APs.

Und wenn man dann alles hat, kommt die Konfiguration noch dazu. Für die Technik im Netzwerk selbst nutze ich z.B. Technik von Unifi / Ubiquiti. Da macht sich dann wieder ein dauerhaft laufender Controller gut, da man doch immer mal Änderungen vornehmen möchte, sowie Monitoring betreibt.

Das Gastnetz könnte man aber z.B. von der FritzBox über den Port 4 nutzen und als VLAN direkt auf den Switch mit legen und über die WLAN-APs ausstrahlen lassen, die Vorschaltseite geht dennoch.

Ein guter Netzwerkadmin an deiner Seite wäre auf jeden Fall von Vorteil.

 

[derchris]

Kannst eine UDM-Pro oder UDM-SE nehmen und da ein Gbic von Zyxel rein stecken, dann hast du kein externes Glasfasermodem (wenn Telekom FTTH).

Die UDM-SE kann PoE, damit kannst du auch Unifi APs anbinden. Die APs machen 4 SSIDs, wo du unterschiedliche VLANs zuweisen kannst. Routing zwischen VLANs macht die UDM auch und bei bedarf kannst du weitere Switche nachrüsten. Alles recht easy über klicky bunt Webinterface zu konfigurieren.

Ist zwar sicher nicht die preiswerteste Lösung, aber man will ja auch was haben was stabil läuft.

 

[norKoeri]

DECT sollte der neue Router aber haben.

Würde ich nicht integrieren, sondern über eine Gigaset GO-Box 100 lösen.

fast keine Router die ootb schon ein GF-Modem verbaut haben

Hat der Router einen SFP-Eingang könntest Du auch direkt ohne ONT ran, siehe diesen Thread …

An einem zusätzlich GF-Modem soll es zudem auch nicht scheitern.

Dann kannst Du erstmal „jeden“ Router nehmen. Was Deine Frage nicht beantwortet, denn Du möchtest eine konkrete Empfehlung. Ich würde es anders herum machen, und nach einer Anleitung genau mit Deinen wünschen bezüglich Segmentierung plus Telekom Deutschland / 1&1 / O₂ – also PPPoE über VLAN 7 – suchen. Am Ende wirst Du Dich zwischen den Extremen OPNSense versus Ubiquiti UniFi entscheiden (müssen).

Fiber-Fritzbox […] 3rd Party WLAN-Router

Das würde ich alles nicht machen. Stattdessen nur ein Router, der alles macht.

 

[Die wilde Inge]

Okay, schon mal danke für die Impressionen und Empfehlungen.

Im Prinzip wäre dann doch ein Router mit SFP+ Modul, oder eben ein einzelnen GF-Modem, für mich das Richtige. Ein Router der eine ausgepfeiltere, regelbasierte Firewall mitbringt, oder? Sofern der Router nicht gleich selber mehrere 2,4Ghz SIDs bereitstellen kann, würde ich dann die Ports mit versch. VLANs belegen und daran weitere APs per Lan-Brücke hängen. DECT mache ich über z.B. eine Gigaset Go-Box (gefällt mir gut die Idee, lässt sich einzeln auch besser positionieren als mit dem Router irgendwo im Technik-Raum).

Dann noch mal konkret gefragt, kann mir jemand einen Switch/Router empfehlen, der eine regelbasierte Firewall mitbringt?
Ich gehe davon aus, dass wenn ein Gerät sowas hat, dass dann Sachen wie VLAN und inter-vlan-Routing sowieso mit dabei sind. Wäre ja sonst Quatsch.

OPNSense und Co erscheinen mir im ersten Blick tatsächlich mit Kanonen auf Spatzen zu sein ... Einfach nen Router mit entsprechend aufgebohrter FW Option gibts nicht zum halbwegs normalen Preis?

 

[Tepesch]

Als Router fällt mir der LANCOM 1790EF ein, is aber auch von der Konfiguration her etwas gewöhnungsbedürftig und nicht wirklich für n Äppl und n Ei zu bekommen. Alternativ dann n kleinen PC mit nem SFP-Port und OPNSense, die hätte auch bessere Möglichkeiten für VPN-Zugriff von extern. VLANs und das Routing dazu können jedenfalls beide.

Switch/e und APs von Unifi, wie schon @derchris geschrieben hatte. Die habe ich auch selbst im Einsatz und die laufen Super, nur an den Controller dabei denken dann können die auch schön das Handover zwischen den APs, wenn man mitm Handy durch die Wohnung spaziert.

 

[hanse987]

nur an den Controller dabei denken dann können die auch schön das Handover zwischen den APs,

Das Handover zwischen den APs funktioniert meines Wissens nach auch ohne laufenden Controller.

 

[derchris]

Es macht aber so viel einfacher, wenn man eine UDM(-Pro/SE) oder UDR mit integriertem Controller hat aber ja, soll wohl auch ohne Controller funktionieren.

 

[Raijin]

Alle anderen Geräte aus dem Bereich IoT würde ich aber gerne in das VLAN stecken, sodass diese Geräte bei einer Kompromitierung nicht das FB-Netz erreichen können. Das knifflige ist jetzt eigentlich nur der Nachsatz: Per Handy will in in das VLAN/1/2/3 kommunizieren können. Manchmal muss man ja die IoT-Geräte konfigurieren, häufig geht das nur per App und dafür will ich nicht das (W)LAN wechseln müssen.

Leider ist das nicht so einfach wie du es dir scheinbar vorstellst. IoT arbeitet häufig mit Broadcasts, die nicht geroutet werden. Das heißt, dass die IoT-App XY auf deinem Smartphone im Hauptnetz die dazugehörigen IoT-Geräte im IoT-Netz nicht finden würde. Nur einige wenige IoT-Systeme bieten tatsächlich die explizite Anbindung von Geräten via IP-Adresse, was dann auch über Routergrenzen hinweg funktioniert. Ein Beispiel wäre die App für Philips Hue, die nach einer erfolglosen Suche nach einer lokalen Bridge (=>Broadcasts) die Eingabe einer IP-Adresse anbietet.

Je nachdem was du nun konkret aus dem IoT-Kosmos einsetzt und wie gut es auf komplexe Netzwerke vorbereitet ist - oder eben nicht - wirst du womöglich gar nicht drumherum kommen, mit dem Smartphone/Tablet in das IoT-Netz zu wechseln, um etwas zu konfigurieren oder zu bedienen. Hier musst du also ganz genau hinschauen was du einsetzt und was es kann.

Ich kann den Gedanken, IoT in einem sicheren Bereich kapseln zu wollen, gut nachvollziehen, aber es ist eben nicht so einfach und zum Teil auch gar nicht möglich. Wenn man konkrete Zweifel an der Sicherheit eines Systems hat, ist und bleibt die beste Lösung, dieses System gar nicht erst einzusetzen.

 

[Die wilde Inge]

@Raijin Guter Einwurf, gilt es auf jeden Fall zu bedenken. Habe schon überlegt, ob man dann ggf. ein altes Smartphone nimmt oder ein Tablet, dass fest im VLAN hängt, wenn man Sachen konfigurieren will. Das würde auf jeden Fall vieles deutlich vereinfachen.

Es geht mir z.B. um Küchengeräte mit Wlan-Schnittstelle ( Wie konnte es nur so weit kommen ), Philips Hue vielleicht, auf jeden Fall mein Rapsberry auf dem die eigentlich Lichtsteuerung und andere SM Applikationen laufen.

Interesannt wäre gewesen einzelne Geräte miteinander sprechen zulassen. Den SmartTV also ins VLAN zu packen, den Weg vom Handy zum TV aber offen zu lassen. Fairerweise muss ich gestehen, dass ich das aber so selten dann auch wirklich mache, dass ich wohl nicht bereit bin mir beswegen ein hochgezüchtetes Heimnetzwerk hinzustellen. Das wäre dann irgendwie drüber ...

 

[Raijin]

Habe schon überlegt, ob man dann ggf. ein altes Smartphone nimmt oder ein Tablet, dass fest im VLAN hängt, wenn man Sachen konfigurieren will. Das würde auf jeden Fall vieles deutlich vereinfachen.

Das ist definitiv die einfachste und auch sicherste Lösung.

Interesannt wäre gewesen einzelne Geräte miteinander sprechen zulassen.

Problematisch ist dabei, dass jede zugelassene Verbindung das Sicherheitskonzept aufweicht. Potentielle Angriffe oder Malware verbreitet sich nicht selten über "erlaubte" Wege, wenn du verstehst was ich meine.
Du möchtest einerseits Sicherheit und setzt dir eine 20cm dicke Stahltür ans Haus, lässt aber andererseits drei Fenster bewusst auf Kipp.

Wie gesagt, wenn man konkrete Sicherheitsbedenken in Bezug auf die eingesetzten IoT-Systeme hat, ist es am sichersten, sie gar nicht erst einzusetzen. Hacker und/oder Malware sind im Zweifelsfalle um ein Vielfaches schlauer als du, was dich irrtümlicherweise in Sicherheit wiegt, weil du dir dessen womöglich gar nicht bewusst bist.

In der IT gibt es eine ungeschriebene Regel, dass KISS-Prinzip. Gestalte das Setup so komplex wie nötig, aber so einfach wie möglich. Meide potentielle Sicherheitsrisiken im Vorwege und wenn du sie nicht vermeiden kannst, reduziere das Risiko auf ein Minimum. Je komplexer ein Netzwerk ist, umso schwieriger wird es, letzteres zu tun.

"Es darf nichts, weil Sicherheit!! Aber das darf doch, das auch, das auch und das muss auch und das erst recht"
--> nicht zielführend..

Eine gute Lösung für solche Probleme können Universelle SmartHome-Applikationen sein, die verschiedene Systeme unter einen Hut bringen. Statt also die individuellen Apps für das smarte Licht, den smarten Kühlschrank und die smarten Thermostate zu verwenden, nutzt man zB openHAB als zentrale Steuerung. So reduziert sich die Gefahr letztendlich auf ein einziges System, das sich einfacher absichern lässt als ein halbes Dutzend verschiedener Systeme, die dir jeweils andere Knüppel zwischen die Beine werfen können.

 

[Die wilde Inge]

Hi,

noch mal ein Nachsatz von mir. Ich bin über den Test des Synology RT6600ax gestoßen.
Er hat kein Modem und kein DECT und ist nicht gerade günstig, kann aber VLANs aufmachen, mehrere Netze bereitstellen und hat wohl eine benutzerfreundliche Steuerung für Firewall-Regeln.

In der Dokumentation bin ich dann auf folgenden Artikel gestoßen:

https://kb.synology.com/de-de/SRM/tutorial/how_to_best_configure_network_isolation_and_firewall

"In diesem Artikel erfahren Sie, wie Sie die Kommunikation zwischen zwei lokalen Netzwerken (z. B. das primäre Netzwerk und das IoT-Netzwerk) blockieren und gleichzeitig einigen Geräten den gegenseitigen Zugriff erlauben."

Das ist ulkigerweise exakt mein Fragestellung gewesen. Ich bin davon zwar wieder ein Stück abgerückt, aber dieser Router würde meine Anforderung wohl erfüllen. Die Regeln können (laut der Anleitung) offenbar ziemlich easy konfiguriert werden und wenn man sich anguckt über welche Ports die jeweilige Applikation angesprochen wird, kann man den Zugriff noch weiter einschränken.

802.11s unterstützt er auch (Mesh Standard), leider gibt es von Synology (noch?) kein passenden 802.11s-AP :-(

 

[Raijin]

Das ist ulkigerweise exakt mein Fragestellung gewesen. Ich bin davon zwar wieder ein Stück abgerückt, aber dieser Router würde meine Anforderung wohl erfüllen. Die Regeln können (laut der Anleitung) offenbar ziemlich easy konfiguriert werden und wenn man sich anguckt über welche Ports die jeweilige Applikation angesprochen wird, kann man den Zugriff noch weiter einschränken.

Jein. Das sind stinknormale 08/15 Firewall-Regeln und die GUI ist ehrlich gesagt in keinster Weise etwas besonderes und sieht bei so ziemlich allen (fortgeschrittenen) Routern ähnlich aus. Wenn das für dich schon eine Offenbarung ist, stellt sich die Frage inwiefern das Vorhaben nicht sowieso schon von vornherein zum Scheitern verurteilt ist. Hast du dich denn überhaupt schon mal mit Routern und Firewalls jenseits von Fritzboxxen und Co beschäftigt? Letztere lassen keinerlei Zugriff auf die eigentlichen Funktionen im Hintergrund zu, sondern bieten lediglich Wizards an, die allerhand automatisch tun. Bei fortgeschrittenen Routern ist das anders, weil man dort vollen, direkten Zugriff auf die Firewall-Regeln hat - und auch entsprechend viel falsch konfigurieren kann.

Mit IoT inkl. Broadcasts hat das im übrigen nichts zu tun. Broadcasts sind eine ganz andere Baustelle.

 

[norKoeri]

kein passenden 802.11s-AP

WRX560 und andere … ich meine sogar, der WRX560 würde Dir als Router dicke reichen.

benutzerfreundliche Steuerung für […]

… und IPv6 im SRM zum Laufen zu bekommen, ist reinstes Try-and-Error.

Kanonen auf Spatzen zu sein ... Einfach nen Router mit entsprechend aufgebohrter FW Option gibts nicht zum halbwegs normalen Preis?

Jein. Die gibt es haufenweise. Allerdings scheue ich mich etwas zu empfehlen, weil man so ein Setup wie Deinen Wunsch dann auch selbst damit laufen haben sollte. Mein Tipp wäre eine große Community und Open-Source, also OPNsense oder OpenWrt. Im schlimmsten Fall, kannst Du dann unter der Haube nachsehen, was genau passiert bzw. schief geht. Ansonsten hast Du wirklich auch schon ein großes Rudel:

• Cisco C1111-8PWE, demnächst mit Wi-Fi 6: Cisco C1131-8PWE
• DrayTek Vigor2135FVac (bisher nur Wi-Fi 5)
• Keenetic Hero
• Lancom 1800EFW
• Sophos XGS 87w (bisher nur Wi-Fi 5)
• Turris Omnia Wi-Fi 6
• Zyxel USG Flex 100W (bisher nur Wi-Fi 5)

… um nur die mit SFP und WLAN zu nennen. Router mit SFP aber ohne WLAN bekommst Du auch von TP-Link und Ubiquiti. Der einzige Hersteller davon, der für einen Endkunden ohne ITK-Systemhaus bzw. Einrichter gedacht ist, wäre Keenetic. Mehrere Netzsegmente sind dort sogar quasi auf dem Niveau von Drag-and-Drop. Fang doch damit mal an, schau es Dir an – und ja, ich spekuliere darauf, dass Du den wieder zurückgibst und ich mir das dann als Schnäppchen aus dem Amazon-Warehouse hole.

 

[Die wilde Inge]

Der WRX560 unterstützt kein 802.11s. Die Auswahl an solchen Geräten ist extrem Bescheiden.

Auf der anderen Seite wäre mir der WRX560 als Repeater eindeutig zu teuer aber ja, als Router würde er wohl ausreichen (eigentlich). 3 Stück davon sind dann aber auch wieder zu teuer. Ich brauche im Prinzip kein .ax und auch kein 2.5GbE.

Bei Synology hakt es am Okösystem, da es gar keine Repeater von denen gibt. Man kann beim RT6600ax nur den Weg über 802.11s gehen, hat dann aber nicht mehr alles aus einer Hand (und kaum Auswahl). Der WRX560 ist genau aus dem Grund komplett raus. Da müsste ich mir dann Haus mit teuren Routern vollstellen um Mesh zu nutzen.

Merkwürdige Entscheidung vom Hersteller einen >=300€ Router auf den Markt zu werfen und dann nicht zumindest zeitnahe auch ein verträglich teuren Repeater dazu anzubieten. Der RT6600ax ist jetzt auch nicht gerade gestern erschienen ...

Ich werde mir als nächstes mal OpenWRT und OPNSense angucken.

VG

 

[norKoeri]

Habe oben auch noch Cisco und Turris ergänzt. Letzterer wäre vielleicht wirklich eine Idee für Dich. Ich mag die Plattform gar nicht, weil Änderungen einfach aufwendig sind und mir viele Werkeinstellungen eher als wilde Eigenheiten aufstießen. Aber für Dich vielleicht das Beste aus loslegen-sofort-spielen-später.

 

[Raijin]

Der WRX560 unterstützt kein 802.11s. Die Auswahl an solchen Geräten ist extrem Bescheiden.

Was durchaus Gründe hat.

Auch wenn ich gerne gegen die Bezeichnung "Mesh" bei AVM und Co wettere, weil sie kein 802.11s unterstützen, bezieht sich meine Kritik weitestgehend auf die irreführende Nutzung des Begriffs Mesh, weil sie nun mal keine Meshs sind, es aber durch das Marketing Buzzword suggerieren. Das heißt aber nicht, dass echtes Mesh inkl. 802.11s der heilige Gral und alles andere für die Tonne ist!

Bei echtem Mesh roamen auch die Nodes (Mesh Access Points) untereinander. Das heißt, dass die Uplinks zwischen ihnen dynamisch sind und sich das Mesh stets neu anordnet, wenn ein Node ausfällt. Um das aber überhaupt nutzen zu können, müssen ausreichend Nodes zur Verfügung stehen. Wenn man je Stockwerk einen Node aufstellt und dieser jeweils nur den Node vor/hinter sich in Reichweite hat, kann 802.11s genau gar nichts tun, wenn einer der Nodes ausfällt, weil es keine Alternativroute gibt - zB über einen zweiten Node auf derselben Etage. Alles hinter dem defekten/gestörten Node wäre somit offline, so offline wie bei einem 08/15 Repeater-WLAN.

Hinzu kommt aber, dass diese Dynamik auch bei ausreichenden Nodes nicht ganz unkritisch ist, weil jede Dynamik stets das Risiko von .. .. .. dynamischen Fehlern birgt. Ich habe vor ein paar Jahren einen sehr interessantes Interview mit einem hochrangigen Ingenieur bei .. .. ich glaube es war Zyxel .. gelesen. Er ging genau auf den letzten Punkt ein und merkte dabei an, dass sich 802.11s durchaus auch negativ auswirken kann, wenn das Routing nicht sauber läuft. Leider finde ich das Interview auf die Schnelle nicht wieder, ich muss mal in Ruhe danach suchen.

Ich würde mich daher nicht zu sehr auf 802.11s versteifen. Wichtiger sind in meinen Augen 802.11k, v und r. Diese beinhalten erweiterte Metadaten der APs und Repeater sowie einen beschleunigten Roaming-Prozess. k und v unterstützt zB AVMs Pseudo-Mesh auch, aber letzteres faken sie durch gewaltsame Trennung von Clients nebst Neuverbindungs-Block. Sowas ist aber kein Roaming, sondern aktives Beinstellen und warten bis der Client wieder aufsteht.