Heim-Netzwerk erneuern und absichern

[maxim.webster]

Moin zusammen,

ich hab aktuell eine - wie ich denke - nicht ungewöhnliche Netzwerk-Situation zu Hause:

• Gigabit-Kabelanschluß an Fritzbox 6561 mit echtem Dual-Stack
• ein WLAN Netz, ein WLAN Gastnetz via Fritzbox und Fritz Repeater 3000
• LAN-Dosen in verschiedenen Zimmern inkl. nachgelagerter Switches, an denen PCs, "Smarthome"-Geräte und Unterhaltungselektronik angeschlossen sind.
• außerdem einen "Server", der Dienste im Internet anbietet, realisiert über Port-Freigaben (Port 80,443) der Fritzbox. Die Dienste laufen als Docker-Container auf einem Linux-Host

Diesen Setup möchte ich nun renovieren und dabei auch (endlich) ein Auge auf die Sicherheit werden. Folgende Veränderungen sind geplant:

• "Professionalisierung" der Netzwerk-Infrastruktur durch Komponenten der Firma Ubiquiti. Konkret geplant sind die Dream Machine Pro, ein 16-24 Port Switch mit PoE Ports (z.B. USW-16-POE), 3-4 kleinere Managed Switches (Flex Mini) und 2 Access Points (Flex HD).
• Verwendung der Firewall-Funktion und diverser VLANs zur Separierung der internen Netze, insbesondere Isolation der Multimedia-Geräte (Playstation, Smart-TVs, etc.) vom Heimnetz.
• Portierung der öffentlichen Dienste vom aktuellen Server auf einen (bereits eingerichteten) Kubernetes-Cluster.

Die Fritzbox (ist meine eigene) kann als Modem bestehen bleiben oder wird ggfs. gegen ein Kabel-Modem ersetzt.

Ich bin zwar Informatiker, aber mehr im Bereich Software aktiv. Was Netzwerke angeht reicht mein Wissen für den heimischen Setup, bei IPv6 wird es schon mühseelig, VLANs verwende ich (wissentlich) aktuell nicht, aber ich lese mich gerade in das Thema ein.

Meine Fragen an euch:

• im genannten Setup bzw. geplanten Setup, wie sieht ein sinnvoller Schnitt bzgl. VLANs aus? Ich habe wie gesagt eigene Geräte (Desktop-PCs) mit denen gearbeitet wird. Diese müssen Zugang ins Internet und zu anderen Geräten im Heimnetz haben. Ich werden einen Kubernetes-Cluster haben, den ich von "innen" (via SSH) administrieren muss, der Services via https anbietet und der - im Falle eines Einbruchs - keinen Zugriff auf das Heimnetz haben soll. Und ich habe Geräte, die ohne mein Wissen mit Internet-Anbietern kommunizieren, die ebenfalls nicht ins Heimnetz kommen sollen (z.B. Playstation).
• lässt sich mit der oben genannten Hardware (UniFi) ein Load-Balancer ins (V)LAN realisieren? Der Kubernetes Cluster besteht aus 3 Nodes (1 Control Plane, 2 Worker Nodes), ich bräuchte also einen (Round Robin) Load Balancer über zwei Nodes.

Würde mich über Feedback freuen und kann gerne weitere Informationen beisteuern, wenn nötig.

Gruß

Maxim

 

[christu90]

Oh, wow, da bin ich auch überfragt... was hast du vor? Fort Knox ist ja dann ein Witz dagegen ...
Aber dann Hardware aus China verwenden ... das geht garnicht ;-)

 

[maxim.webster]

Oh, wow, da bin ich auch überfragt...

Kein Problem. Jemand anderes vielleicht?

 

[razzy]

Ich kenne jetzt den Funktionsumfang der UDM-Pro nicht, Aber du kannst pro VLAN ja auf einer Firewall auch ein L3-Interface ( Gateway des Netzes ) halten und zwischen den Netzen ACLs bauen, was wer wo darf.

Das kannst du ja für dich auch so umbauen, jedoch kA mit der UDM.

Mit dem Loadbalancer sollte es doch möglich sein, wenn man das mit einem Reverseproxy laufen lässt?

IMHO:
Habe den ganzen Tag nur mit Netzwerk zu tun, da bin ich froh, wenn ich zu Hause da nicht mehr mit arbeiten muss. Finde das ein bisschen zu "übertrieben" Die Fritzbox sichert ein Netzwerk schon gut genug ab, wenn man es entsprechend konfiguriert hat (z.B. UPNP deaktivieren).
OK, VLANs gehen nicht, aber da kann man sich auch mit einem normalen L3-Switch behilflich sein

 

[Falc410]

Also den Kubernetes Cluster abtrennen vom restlichen Netz weil er Dienste im Internet anbietet, kann ich noch verstehen, aber beim Rest frage ich mich immer wofür..eine Playstation ist nicht dafür bekannt, Malware ins lokale Netz zu schleusen und wenn der Smart-TV abgekoppelt wird, verliert man die Möglichkeit z.B. vom Handy aus mal eben einen Film zu casten.

Ob du PoE brauchst kannst auch nur du selbst wissen. Im Endeffekt gehen alle Geräte über die Fritzbox ins Internet, ob man da einen Load-Balancer benötigt bei einer Gigabit-Anbindung ist auch mal dahin gestellt. Ich würde wie bei Software erstmal KISS beibehalten und wie gesagt mich höchstens um den Server kümmern und den versuchen so weit wie möglich vom internen Netz zu trennen. Das kann man über VLANs machen, oder über eine entsprechende Firewall die dazwischen geschaltet ist und z.B. keine Verbindung ins LAN zulassen - da reicht eine Fritzbox natürlich nicht aus, da müsste man schon entweder pfSense nehmen oder ein Linux Gateway dazwischen mit entsprechenden Firewall-Modul (ehemals iptables, jetzt je nach Distro ufw, etc.)

 

[maxim.webster]

Ich kenne jetzt den Funktionsumfang der UDM-Pro nicht, Aber du kannst pro VLAN ja auf einer Firewall auch ein L3-Interface ( Gateway des Netzes ) halten und zwischen den Netzen ACLs bauen, was wer wo darf.

Äh, ja Da hab ich wohl noch ein Thema zum Nachlesen.

Mit dem Loadbalancer sollte es doch möglich sein, wenn man das mit einem Reverseproxy laufen lässt?

Aber der Reverse Proxy (Traefik, HA Proxy) muss ja auch auf einer Maschine (oder im Container) laufen, also auf einer IP. Damit verlagere ich die Herausforderung ja nur.

IMHO:
Habe den ganzen Tag nur mit Netzwerk zu tun, da bin ich froh, wenn ich zu Hause da nicht mehr mit arbeiten muss. Finde das ein bisschen zu "übertrieben" Die Fritzbox sichert ein Netzwerk schon gut genug ab, wenn man es entsprechend konfiguriert hat (z.B. UPNP deaktivieren).
OK, VLANs gehen nicht, aber da kann man sich auch mit einem normalen L3-Switch behilflich sein

Ohne Zweifel, die FritzBox kann viel und da es meine eigene ist, bin ich auch keinen Beschränkungen seitens des Kabelanbieters unterworfen. Aber wenn jemand "in bösartiger Absicht" den Server mit den öffentlichen Diensten (Wordpress, etc.) "hackt", dann steht wenig zwischen diesem Rechner und den anderen Systemen im Haus (Rechner für Heim Automatisierung, NAS, etc.). Darum die Überlegungen (zzgl. der Tatsache, dass ich die Verkabelung überarbeite und in ein Rack überführe).

In jedem Fall: Danke für die Rückmeldung.

 

[d4nY]

Also prinzipiell ist das alles möglich und auch nicht wirklich schwierig oder mit viel aufwand umzusetzen (relativ gesehen natürlich, aber mit ein bisschen know-how ist da nix großartig dabei)

Ich hab mein Netzwerk auch mit VLANs aufgeteilt und route mit ner OPNsense zwischen den Netzen. Wenn du mit VLANs arbeitest bist du sowieso völlig flexibel was du machst.

Ich hab bei mir bspw. folgende Netze:
WAN - da hängt die Fritzbox dran und geht zur FW, wird irgendwann abgelöst durch direkte Einwahl
LAN - da hängt alles an normalen CLient und Multimedia drin
Server - da sind die Server drin (wer hätte das gedacht? )
Smarthome - alle IoT/Smarthome Komponenten (Shellies, Homematic, Alexa usw.)

An der FW sind dann nur die Verbindungen freigegeben die notwendig sind

Ist natürlich alles Spielerei und absolut unnötig...aber das macht ein Hobby ja eben aus

 

[maxim.webster]

Also den Kubernetes Cluster abtrennen vom restlichen Netz weil er Dienste im Internet anbietet, kann ich noch verstehen, aber beim Rest frage ich mich immer wofür..eine Playstation ist nicht dafür bekannt, Malware ins lokale Netz zu schleusen und wenn der Smart-TV abgekoppelt wird, verliert man die Möglichkeit z.B. vom Handy aus mal eben einen Film zu casten.

Richtig. Neben der Definition der VLANs werden die Übergänge dazwischen eine Herausforderung. Auch der Netzwerk-Drucker soll ja von den Desktop-PCs und von dem Mobiltelefonen ansteuerbar sein.

Und Thema Playstation: Ja, sie steht wahrscheinlich unter Beobachtung, was sie so im Netz anstellt. Aber für Smarthome-Hardware gilt (inkl. vernetzte Saugroboter) gilt das vielleicht nicht.

Ob du PoE brauchst kannst auch nur du selbst wissen. Im Endeffekt gehen alle Geräte über die Fritzbox ins Internet, ob man da einen Load-Balancer benötigt bei einer Gigabit-Anbindung ist auch mal dahin gestellt.

Der Load Balancer soll die Kubernetes Nodes ... balancieren. Nicht wegen der Performance, aber darauf werden ja auch Updates gefahren, d.h. eine Node geht mal vorübergehend down. Nichts davon ist "mission critical" (sonst würde es nicht im Homelab laufen), aber irgendwie scheint mir ein Cluster ohne Load Balancer sinnfrei.

Ich würde wie bei Software erstmal KISS beibehalten und wie gesagt mich höchstens um den Server kümmern und den versuchen so weit wie möglich vom internen Netz zu trennen. Das kann man über VLANs machen, oder über eine entsprechende Firewall die dazwischen geschaltet ist und z.B. keine Verbindung ins LAN zulassen - da reicht eine Fritzbox natürlich nicht aus, da müsste man schon entweder pfSense nehmen oder ein Linux Gateway dazwischen mit entsprechenden Firewall-Modul (ehemals iptables, jetzt je nach Distro ufw, etc.)

Stimmt. Das geht. Könnte man sogar auf einem Gerät mit Reverse Proxy kombinieren. Realisierbar über eine Linux-basierte Bastellösung oder eine dedizierte "Appliance". Es fehlt dann die gemeinsame Verwaltungsoberfläche, die Einstellungen der FritzBox müssten mit der Firewall konform gehen.

Ja, eine valide Alternative, danke für den Vorschlag.

Ergänzung (16. Februar 2022)

Ich hab mein Netzwerk auch mit VLANs aufgeteilt und route mit ner OPNsense zwischen den Netzen. Wenn du mit VLANs arbeitest bist du sowieso völlig flexibel was du machst.

Dazu mal eine Frage: VLANs definieren doch nur die Zugehörigkeit einer Netzwerkverbindung zu einem oder mehreren logischen Netzen. Wie definiert man denn die Übergänge, das z.B. das Mobiltelefon aus VLAN 20 und der Desktop auf VLAN 10 auf den Drucker im VLAN 30 zugreifen können, aber z.B. nicht untereinander?

Ich hab bei mir bspw. folgende Netze:
WAN - da hängt die Fritzbox dran und geht zur FW, wird irgendwann abgelöst durch direkte Einwahl
LAN - da hängt alles an normalen CLient und Multimedia drin
Server - da sind die Server drin (wer hätte das gedacht? )
Smarthome - alle IoT/Smarthome Komponenten (Shellies, Homematic, Alexa usw.)

Alle diese Funktionen bietet doch die Dream Machine Pro in einer "applicance" und mit einer gemeinsamen Management-Oberfläche an, richtig?

Ist natürlich alles Spielerei und absolut unnötig...aber das macht ein Hobby ja eben aus

Es ist solange Hobby, bis das Youtube nicht mehr funktioniert. Dann wird es für einige Familienmitglieder bitterer Ernst und eine lebensbedrohliche Krise.

Danke d4nY.

 

[d4nY]

Dazu mal eine Frage: VLANs definieren doch nur die Zugehörigkeit einer Netzwerkverbindung zu einem oder mehreren logischen Netzen. Wie definiert man denn die Übergänge, das z.B. das Mobiltelefon aus VLAN 20 und der Desktop auf VLAN 10 auf den Drucker im VLAN 30 zugreifen können, aber z.B. nicht untereinander?

Generell: Über Routing. Damit hast du aber eine any-to-any Verbindung, wenn du granular bestimmen willst, dass ein bestimmtes Gerät nur mit einem bestimmten anderem Gerät in einem anderen Netz kommunizieren darf, dann brauchst du eine Firewall

Die FW bekommt in jedes VLAN ein Interface und eine IP, die IP ist dann das Default Gateway für jedes Netzwerk. Dann stellst du über die Regeln ein, wer mit wem quatschen darf

Ehrlich gesagt sind das aber Basics die du schon verstehen solltest, bevor du dich an sowas ran wagst (zumindest wenns "produktiv" genutzt werden soll)...sonst hast du damit nur Ärger oder sogar Probleme

 

[Raijin]

Aber wenn jemand "in bösartiger Absicht" den Server mit den öffentlichen Diensten (Wordpress, etc.) "hackt", dann steht wenig zwischen diesem Rechner und den anderen Systemen im Haus (Rechner für Heim Automatisierung, NAS, etc.).

Dafür gibt es das Konzept einer DMZ. In der DMZ stehen Server, die ausschließlich Dienste anbieten, aber selbst keine nutzen können. Realisiert wird das durch eine einseitig durchlässige Firewall, die Zugriffe nur in einer Richtung erlaubt (und die dazugehörigen Antworten). Ein gekaperter Server kann dadurch nicht so ohne weiteres als Brückenkopf genutzt werden, da er von sich aus keine Verbindungen in die anderen Netzwerke aufbauen darf.

Eine DMZ lässt sich beispielsweise mit einer Routerkaskade ohne tiefergehende Konfiguration aufbauen.

www
|
(WAN)
Internetrouter
(LAN)
|
| (DMZ mit Servern)
|
(WAN)
Router#2
(LAN+WLAN)
|
Heimnetzwerk

Durch den WAN-Port nebst Firewall in Router#2 können die Geräte aus dem Heimnetzwerk zwar die Server in der DMZ erreichen, aber andersherum geht das nicht - aus Sicht des Verbindungsaufbaus. Wird ein Server angegriffen und übernommen, kann dieser also nicht "einfach so" das Heimnetzwerk angreifen, zumindest nicht direkt. Ist das zB ein Fileserver, können natürlich die Daten mit Malware infiziert werden, um auch das Heimnetzwerk zu kompromittieren - 100%igen Schutz gibt es eben nicht.


Natürlich lässt sich sowas auch mit einem fortgeschrittenen Router wie einer UDM (Pro), pfSense, o.ä. erreichen. Generell sollte man jedoch bedenken, dass weniger manchmal mehr ist. Du sprachst zB auch von Multimedia und smarten Geräten. Dazu muss man sagen, dass viele Apps in der smarten Welt gar nicht so smart sind wie der Name suggeriert. Befindet sich das Smartphone/Tablet mit der App in einem anderen Netzwerk - sei es ein physisches (W)LAN oder ein VLAN - als das smarte Device (zB Heizungsthermostat, o.ä.) stehen die Chancen leider gut, dass die App das Device nicht findet. Solche Apps suchen nämlich häufig nur via Broadcast im lokalen Netzwerk nach entsprechenden Geräten und sind nicht Multi-Netzwerk-fähig.

Beispiel? Philips Hue. Sitzt die Bridge zB im VLAN für SmartHome, das Smartphone jedoch im Haupt-VLAN, klickst du in der App auf "Bridge suchen" und die App meldet "Keine Bridge gefunden". Die Hue-App bietet aber glücklicherweise die Möglichkeit, anschließend eine Bridge direkt via IP-Adresse zu verbinden. Das ist aber eher die Ausnahme denn die Regel.

 

[maxim.webster]

Ehrlich gesagt sind das aber Basics die du schon verstehen solltest, bevor du dich an sowas ran wagst (zumindest wenns "produktiv" genutzt werden soll)...sonst hast du damit nur Ärger oder sogar Probleme

Mach ich ja. Firewalls (iptables bzw. ufw "Frontend") kenne ich, mir war nur unklar wie die Abbildung auf VLANs stattfindet, aber es scheint ja analog zu "klassischen" Netzen zu gehen.

Ergänzung (16. Februar 2022)

Dafür gibt es das Konzept einer DMZ

DMZ kenne ich. Ohne weitere Hardware bekomme ich die aber auch nicht realisert. Bzw. es gibt im Fritz!OS die Möglichkeit eines "Exposed Hosts". Oder man könnte einen Switch an einen LAN-Port stecken, den man dem Gastzugang zuweist.

Gute Idee, danke.

Ergänzung (16. Februar 2022)

Damit hast du aber eine any-to-any Verbindung, wenn du granular bestimmen willst, dass ein bestimmtes Gerät nur mit einem bestimmten anderem Gerät in einem anderen Netz kommunizieren darf, dann brauchst du eine Firewall

Das war tatsächlich zu weit gedacht, any-to-any auf VLAN Ebene wäre ausreichend: Alle Geräte in LAN und WLAN sollen drucken können, aber Geräte im Gast-Netz nicht.

Ergänzung (16. Februar 2022)

Erstmal danke an alle für die hilfreichen Antworten. Ihr habt mir den Eindruck vermittelt, dass ich das Ganze zu groß aufziehe, bei zuwenig Know-How in relevanten Bereichen. Das ist vermutlich korrekt.

Ich denke, ich konzentriere mich auf die netzwerk-technische Isolation des Kubernetes Clusters from Rest der Hausnetze. Den Reverse Proxy für die Nodes kann ich auf die Control Plane Node setzen, die hat in der Regel keine Pods und wenn sie ausfällt ist sowieso Essig im Cluster.

Ob ich das mit den Möglichkeiten der Fritzbox geregelt bekomme, muss ich noch gucken. Evtl. läuft es doch auf eine UDM Pro oder die kleinere Variante Unifi USG hinaus, bei nur einem Unifi-Gerät muss auch m.W. kein Cloud Key Controller sein bzw. ich könnte die Software auf in einem Container laufen lassen.

Ergänzung (16. Februar 2022)

Gerade nochmal nachgeschaut: Der "Exposed Host" der Fritzbox ist kein DMZ. Der Exposed Host bleibt im LAN der Fritzbox und wird nicht vom Rest des Hausnetzes getrennt. Man verzichtet lediglich die freizugebenden Ports zu benennen und jede eingehende Anfrage, die nicht von einer anderen, eingerichteten Portfreigabe abgefangen wird, geht an den Exposed Host.

Quelle: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/131_DMZ-in-FRITZ-Box-einrichten/

Gastzugang an LAN ginge noch, obwohl ich - im Home Office - ein Kundengerät im Gäste WLAN habe. Damit ein Cluster im Gastnetz aber funktioniert, muss ich die Kommunikation der Geräte im Gastnetz untereinander aktivieren. Auch nicht gut.

Ich fürchte, ohne dedizierte Hardware geht es nicht.

 

[Raijin]

Bzw. es gibt im Fritz!OS die Möglichkeit eines "Exposed Hosts".

Exposed host hat nichts mit einer DMZ zu tun. Das ist prinzipiell nichts anderes als eine Portweiterleitung, die ALLE Ports an den exposed weiterleitet. Also effektiv Portweiterleitung TCP/UDP 1-65535 => exposed host.
Deswegen sollte man diese Option NUR dann nutzen, wenn der exposed host ein zweiter Router bzw. eine Hardware-Firewall ist, da genau dort dann die letzte Verteidigungslinie zwischen dem bösen Internet und dem heimischen Netzwerk sitzt.

DMZ kenne ich. Ohne weitere Hardware bekomme ich die aber auch nicht realisert.

Wobei die weitere Hardware ein banaler Router mit oder ohne WLAN für <50 Euro sein kann. Jeder WLAN-Router mit WAN-Port ist für die oben dargestellte Routerkaskade mit DIY-DMZ geeignet. Und wenn es "professioneller" sein soll, nimmt man eben einen günstigen MikroTik, einen EdgeRouter-X oder einen Router mit OpenWRT, etc. Erst dann, wenn es eine pfSense oder dergleichen werden soll, ist es letztendlich nach oben offen.

Evtl. läuft es doch auf eine UDM Pro oder die kleinere Variante Unifi USG hinaus, bei nur einem Unifi-Gerät muss auch m.W. kein Cloud Key Controller sein bzw. ich könnte die Software auf in einem Container laufen lassen.

Die UDM Pro hat im Gegensatz zum USG bereits den Controller integriert.

Das war tatsächlich zu weit gedacht, any-to-any auf VLAN Ebene wäre ausreichend: Alle Geräte in LAN und WLAN sollen drucken können, aber Geräte im Gast-Netz nicht.

Das wiederum klingt danach als wenn ein banales Gastnetzwerk schon ausreicht. Es ist wenig sinnvoll, einfach nur eine Handvoll (V)LANs einzurichten, wenn man nicht vorhat, sie in irgendeiner Form im Zugriff zu reglementieren. Dann kann man unterm Strich auch einfach die IP-Adressen in ein- und demselben Subnetz "sortieren", anstatt ein vollgeroutetes Setup mit mehreren (V)LANs aufzuziehen, wo sowieso jeder mit jedem darf. Im Threadtitel steht ja was von "absichern" und das führt bei der Verwendung von VLANs unweigerlich dazu, dass man auch eine Firewall dazwischen braucht - sei es nun eine autarke Firewall in Form eines Routers oder auch "nur" die ACLs in einem Layer3-Switch mit Inter-VLAN-Routing.

Ergänzung (16. Februar 2022)

Mach ich ja. Firewalls (iptables bzw. ufw "Frontend") kenne ich, mir war nur unklar wie die Abbildung auf VLANs stattfindet, aber es scheint ja analog zu "klassischen" Netzen zu gehen.

iptables kennt mehr oder weniger nur IP-Adressen bzw. Subnetze und Interfaces. Ob das nun ein VLAN ist oder peng, spielt keine Rolle. Endgeräte haben in der Regel sowieso keine Ahnung ob da überhaupt ein VLAN im Spiel ist oder nicht, weil sie an einem untagged Port hängen - es kommen also nie irgendwelche VLAN-Tags beim Endgerät an. Nur dann, wenn zB ein Server mit einem Trunk-Port verbunden ist, also mehrere VLANs über einen tagged Port bekommt, würde der Server etwas von den VLANs mitbekommen.

Und selbst wenn: VLANs sind effektiv nur normale Interfaces im System. Statt "eth0" gibt es dann eben die Interfaces "eth0.10" und "eth0.20" für VLAN-IDs 10 und 20. Diese Bezeichner verwendet man dann in iptables und Co, wenn man Interface-spezifische Regeln erstellt, und/oder man verwendet die Subnetze, die in den jeweiligen VLANs verwendet werden, zB 10.123.10.0/24 und 10.123.20.0/24.

Vielleicht solltest du dich erstmal in einem Testaufbau oder zB in einem Tool wie PacketTracer grundsätzlich mit der Thematik beschäftigen. Am offen Herzen operieren ist für den Anfang keine gute Idee. Und vor allem solltest du als Berufskollege () ja das KISS-Prinzip kennen, also backe am Anfang erstmal kleine Brötchen - zB nur Haupt- und Gastnetzwerk - bevor du ein Setup mit einem halben Dutzend VLANs aufbaust. Das kann am Ende nämlich beliebig komplex werden, insbesondere dann, wenn man merkt, dass bestimmte Geräte nicht für Multi-Netzwerk-Umgebungen geeignet sind (wie das Beispiel SmartHome von oben)

 

[maxim.webster]

Und vor allem solltest du als Berufskollege () ja das KISS-Prinzip kennen

Vorsicht, ich bin auch Consultant

Aber ist schon richtig, aus viel wird schnell zuviel. Eigentlich geht es primär darum, aus dem WAN / Internet verfügbare Dienste vom Heimnetz zu trennen, aber die Verwaltung aus dem Heimnetz zu ermöglichen. Leider ist gerade der letzte Punkt m.W. mit dem Fritzbox Gastzugang nicht möglich (LAN -> GAST). Eine DMZ Aufbauen wäre eine Lösung, aber dafür muss eine zusätzliche (dedizierte) Firewall her. Und die muß leistungsfähig sein, wenn das 95GB Call-of-Duty-Update nur mit 15MB/s statt 92 durch die Leitung "tröpfelt" geht auch wieder die Welt unter.

Ich les' mich mal weiter in DMZ ein (kann jemand eine gute Einführung empfehlen), mir ist z.B. noch nicht klar, wie denn der Zugriff aus dem WLAN (= Fritz-Mesh) auf die Rechner im LAN stattfinden soll. Brauch ich für WLAN, LAN und DMZ dann getrennte Netze?

 

[Raijin]

Eine DMZ Aufbauen wäre eine Lösung, aber dafür muss eine zusätzliche (dedizierte) Firewall her. Und die muß leistungsfähig sein, wenn das 95GB Call-of-Duty-Update nur mit 15MB/s statt 92 durch die Leitung "tröpfelt" geht auch wieder die Welt unter.

Ich bin mir nicht sicher ob du wirklich alle Beiträge sorgfältig liest oder das Geschriebene nur ignorierst.

Eine DIY-DMZ mit Routerkaskade lässt sich mit JEDEM Popel-Router bewerkstelligen. Für die Geräte IN der DMZ ändert sich effektiv nichts, weil sie nach wie vor direkt hinter dem Internetrouter hängen. Die Client-Geräte werden jedoch hinter einem zweiten Router versteckt und somit vollautomatisch gegenüber der DMZ abgesichert.

Die (Internet)Geschwindigkeit der Clients hängt vom schwächsten Glied in der Kette Internet-Bandbreite / WAN<>LAN Performance von Router#2 ab. Bei Internet mit 1 Gbit/s benötigt man als Router#2 also einen, der WAN<>LAN mit 1 Gbit/s schafft, oftmals Modelle, die explizit für Glasfaser beworben werden. Ist der Internetanschluss kleiner, reicht tendenziell auch ein kleineres Modell, wenn einem die Performance zwischen lokalen Clients und DMZ ausreicht (wenn dort zB ein NAS steht).

 

[maxim.webster]

Ich bin mir nicht sicher ob du wirklich alle Beiträge sorgfältig liest oder das Geschriebene nur ignorierst.

Ersteres, aber zwischen Lesen und Verstehen steht immer noch die Interpretation und daran mag es noch hapern.

Ich bilde mir ein zu verstehen, was eine DMZ ist und dass ein weiterer Router für die Realisierung notwendig ist. Nun überlege ich eben die konkrete Abbildung:

Die FritzBox ist am Kabel, die Maschinen des DMZ kämen an den integrierten Switch der Box. Dazu Portfreigaben auf 80 & 443 gemäß der betriebenen Dienste.

Ebenfalls an die FritzBox kommt ein zusätzlicher Router, für welchen die Box das WAN bereitstellt. Die integrierte Firewall des Routers sperrt erstmal alles aus dem WAN ins LAN. Die Geräte aus dem LAN (nicht DMZ) können ungehindert Verbindungen ins Internet und in die DMZ aufbauen.

Gehe ich Recht in der Annahme, das der „innere“ Router auch DHCP Server ist (für die nachgelagerten Geräte)?

Was ist mit WLAN? Das wird von der FritzBox bereitgestellt, die Geräte im WLAN kämen doch nicht mehr ans Heimnetz, oder?

Und - ich betreibe PiHole als DNS. Nicht nur für AdBlock, sondern auch um im Heimnetz mit öffentlichen Domains zu arbeiten. Das betrifft in erster Linie „Apps“ auf Mobil-Telefonen, die im WLAN und unterwegs meine Services unter einer Domäne ansprechen möchten. PiHole müsste dann auch hinter den 2. Router, korrekt?

 

[Raijin]

Ebenfalls an die FritzBox kommt ein zusätzlicher Router, für welchen die Box das WAN bereitstellt. Die integrierte Firewall des Routers sperrt erstmal alles aus dem WAN ins LAN. Die Geräte aus dem LAN (nicht DMZ) können ungehindert Verbindungen ins Internet und in die DMZ aufbauen.

Das ist korrekt.

Gehe ich Recht in der Annahme, das der „innere“ Router auch DHCP Server ist (für die nachgelagerten Geräte)?

Ebenfalls korrekt. Bei einer Routerkaskade gibt es zwei ineinander verschachtelte und autark verwaltete private Netzwerke.

1. das private Netzwerk des Internetrouters, das als DMZ fungiert, inkl. DHCP im Internetrouter
2. das private Netzwerk des zweiten Routers, das als Heimnetzwerk fungiert, inkl. DHCP im zweiten Router

Was ist mit WLAN? Das wird von der FritzBox bereitgestellt, die Geräte im WLAN kämen doch nicht mehr ans Heimnetz, oder?

Das WLAN der Fritzbox befindet sich im selben Netzwerk die das LAN der Fritzbox, also in der DMZ. Für das Heimnetzwerk ist ausschließlich der zweite Router verantwortlich, inkl. dessen WLAN.

Und - ich betreibe PiHole als DNS. Nicht nur für AdBlock, sondern auch um im Heimnetz mit öffentlichen Domains zu arbeiten. Das betrifft in erster Linie „Apps“ auf Mobil-Telefonen, die im WLAN und unterwegs meine Services unter einer Domäne ansprechen möchten. PiHole müsste dann auch hinter den 2. Router, korrekt?

Nicht zwingend. Pihole kann auch in der DMZ laufen, wenn die Geräte in der DMZ ggfs auch pihole als DNS nutzen sollen. Entweder würde man dann den WAN-DNS des zweiten Routers auf pihole zeigen lassen oder aber man konfiguriert den DHCP im zweiten Router so, dass die Clients die pihole-IP als DNS bekommen.
Benötigt man in der DMZ keinen Adblocker/Custom-DNS, kann man pihole natürlich auch ins Heimnetzwerk hinter den zweiten Router umziehen.


Im übrigen wirst du immer vor dem Problem stehen, dass das WLAN des Internetrouters nur noch bedingt nutzbar ist, wenn du mehrere Netzwerke aufziehst, als DMZ oder über VLANs. Da Fritzboxxen keine VLANs beherrschen, kann man das WLAN dort eben auch nicht aufteilen, sondern es wird immer Fritz-WLAN bleiben, in welchem Netzwerk auch immer sich die Fritzbox in der jeweiligen Konstellation auch bewegen mag, sei es in einer Routerkaskade oder einem voll gerouteten Netzwerk mit einem halben Dutzend VLANs.
In komplexen Netzwerken ist es daher nicht unüblich, (semi)professionelle APs einzusetzen, die mittels Trunk-Port in allen VLANs eine SSID bereitstellen können.

 

[maxim.webster]

Nicht zwingend. Pihole kann auch in der DMZ laufen, wenn die Geräte in der DMZ ggfs auch pihole als DNS nutzen sollen.

Eigentlich nicht notwendig, denn die Geräte in der DMZ sollen ja keine Verbindungen initiieren, sondern nur antworten.

Obwohl, eine Ausnahme gibt es, die SSL-Zertifikate der Services in der DMZ werden via Traefik regelmäßig aktualisiert. Das wäre dann eine initiierte Verbindung aus der DMZ ins Internet.

PiHole braucht es aber auch dafür nicht.

m übrigen wirst du immer vor dem Problem stehen, dass das WLAN des Internetrouters nur noch bedingt nutzbar ist, wenn du mehrere Netzwerke aufziehst, als DMZ oder über VLANs.

Ich könnte das Gäste-WLAN der FritzBox weiter anbieten und für das Hausnetz ein neues aufspannen.

Obwohl - auch doof, weil ich nur einen Fritz!Repeater habe (der als Access Point eingerichtet ist). Und zwei nebeneinander scheint mir nicht zielführend. Ich muss auch mit den Kanälen aufpassen, da ich auch Zigbee im Haus habe und das im 2,4GHz Band mit WLAN kollidiert.

Ich würde lieber sukzessive neue Hardware aufbauen und dann die Fritz-Hardware verkaufen bzw. gegen ein Kabel-Modem austauschen. Darum kam ich ja auf die UniFi-Produkte, mit der Dream Machine Pro (und vermutlich auch den kleineren Produkten) lassen sich doch Hausnetz und DMZ mit einem Gerät realisieren.

 

[Raijin]

Ich könnte das Gäste-WLAN der FritzBox weiter anbieten und für das Hausnetz ein neues aufspannen.

Klar ginge das, würde ich aber tendenziell nur im Szenario mit der Routerkaskade machen. Wenn du deinen Plan mit der UDM (Pro) weiterverfolgst, würde ich das Gastnetzwerk eher über die UDM und dazu passenden UAPs bzw. U6 realisieren. Nicht weil das Gastnetzwerk der Fritzbox irgendwie "schlecht" ist, sondern weil man bei der UDM mehr Kontrolle darüber hätte und es etwas einfacher ist, das Gastnetzwerk auch im LAN zu verteilen. Bei der Fritzbox ginge das zwar via LAN4, aber dann hat man am Ende eine Kreuz-und-Quer-Verkabelung.

Darum kam ich ja auf die UniFi-Produkte, mit der Dream Machine Pro (und vermutlich auch den kleineren Produkten) lassen sich doch Hausnetz und DMZ mit einem Gerät realisieren.

Sicher. Mit einer UDM (Pro) kann man unterm Strich alles realisieren was man sich im Heimnetzwerk so vorstellen kann. Ich persönlich bin allerdings nicht so der Fan von den Unifi-Routern, weil ich den Controller im Bereich Routing, Firewall und Co als etwas eingeschränkt empfinde, aber ich bin da auch etwas voreingenommen, ich sowohl privat wie auch beruflich die Schwesterserie EdgeMax einsetze, die über autarke GUIs und ssh konfiguriert werden - für meine Zwecke deutlich flexibler, da ich auch zahlreiche custom scripts auf meinen EdgeRoutern gewöhnt bin. Abgesehen davon habe ich einige pfSense und OPNsense laufen - und wenn ich von EdgeRoutern und einigen *sense spreche, meine ich das wörtlich nerdiges Netzwerklabor im Keller lässt grüßen 😅
Nur MikroTik fehlt mir bisher, aber das plane ich schon laaaaange, komme nur nicht dazu..



Zwar verfolge ich den Thread seit geraumer Zeit nicht mehr, aber du kannst ja mal einen Blick reinwerfen.
UniFi Dream Machine Pro [UDM-Pro] - erste Erfahrungen
Eventuell gewinnst du dadurch einen besseren Einblick in die Vor- und Nachteile einer UDM (Pro)

 

[maxim.webster]

Eventuell gewinnst du dadurch einen besseren Einblick in die Vor- und Nachteile einer UDM (Pro)

Das - und es hat mich daran erinnert, dass ich auch noch VoIP und DECT Telefonie über die FritzBox abwickle.

Es wird wohl notwendig sein, ein neues Kabel-Modem zu kaufen und die FritzBox noch einige Zeit hinter der UDM als IP-Client ( heißt das so?) laufen zu lassen. Den Komfort eines zentralen Telefonbuchs, Anrufbeantworters und dem Versand eingegangener Nachrichten via E-Mail möchte ich nicht missen.

 

[Raijin]

Spricht nichts dagegen, die Fritzbox quasi als Telefonzentrale weiterhin zu nutzen. Kann ich nachvollziehen. Bei mir nutze ich die Telefonfunktion des Routers (Speedport) allerdings nicht, weil ich ein IP-Telefon habe (Gigaset Go-Box).