HomeOffice & LAN-Segmentierung

fk1

Lieutenant
Registriert
Aug. 2017
Beiträge
512
Mahlzeit,

ich möchte gerne mein Netzwerk segmentieren. Zurzeit habe ich folgende Hardware:

PRIVAT
  • 1x FritzBox 6591 Cable
  • 1x Win11 Desktop (10gbps LAN)
  • 1x Debian11 NAS (10gbps LAN)
  • Smartphone & Tablet (WiFi)
  • QNAP 10 & 2.5 gbps unmanaged switch

SMARTHOME
  • Diverse Lampen (WiFi)
  • Roborock Sauger (WiFi)

OFFICE:
  • 1x Macbbook Pro (WiFi oder LAN)
  • 1x iPhone (WiFi)

Bisher lief SMARTHOME & OFFICE einfahc über das Gastnetz WiFi der FritzBox. Jetzt habe ich aber inzwischen VMs und diverse Docker Dienste auf dem NAS laufen auf die ich vom Macbook zugreifen möchte. Also läuft das Macbook inzwischen doch im privatem Netzwerk. Soweit ich weiss kann man aus dem Gastnetzwerk nicht auf Freigaben aus dem primären Netzwerk der FritzBox zugreifen, oder doch?

Was wäre die beste Lösung für mein Problem? Managed Switch mit VLANs?
 
Ein managed Switch alleine reicht nicht aus, zusätzlich benötigst Du einen Accesspoint der VLANs unterstützt. Sofern der AP kein Routing kann, noch einen Router um den Traffic zur FritzBox zu routen und Firewallregeln anwenden zu können.
Deinen 10G Switch kannst Du weiter verwenden.
Ich würde min. 4 VLANs und somit auch 4 WLANs erstellen und das WLAN in der FB aus schalten.
Welches Budget hast Du für die Segmentierung eingeplant?
 
Managed Switch alleine reicht nicht für getrennte Netze, auch muss der Router 2 Netze trennen können.
Bedeutet, das auch DHCP, DNS und Subnetz komplett getrennt werden müssen.
 
@cbtaste420 budget habe ich mir noch nicht konkret gedanken zu gemacht. Bin aber nicht abgeneigt bis zu 500€ zu investieren, sofern sinnvoll. Vielleicht bringt die neue hardware weitere sicherheitsfunktionen mit wie FW und/oder paket inspection.

Wenn ich die fritze nur noch als internet router nutze: wie realisiere ich die 4vlans/4aps am besten? Alles mit einem weiteren geräa realisierbar? Ich denke an einen neuen router mit mehreren wifis und vlans und vlt routerOS, damit ich da auch mal erfahrungen sammeln kann?!
 
Ich habe einen hap AX² am Glasfaser und bin damit ziemlich zufrieden, muss man aber konfigurieren können und 5 GHz WLAN hat halt eine begrenzte Reichweite, die für meine kleine 46 m² Wohnung so reicht, etwas größer braucht man dann aber APs.
Kann aber auch sein, das z. B. der hap AX³ da etwas besser ist, aber viel Unterschied wird es nicht machen.
 
fk1 schrieb:
Wenn ich die fritze nur noch als internet router nutze: wie realisiere ich die 4vlans/4aps am besten? Alles mit einem weiteren geräa realisierbar? Ich denke an einen neuen router mit mehreren wifis und vlans und vlt routerOS, damit ich da auch mal erfahrungen sammeln kann?!
RouterOS ist sicherlich eine Option, der von @martinallnet genannte hap AX³ bringt alle Funktionen mit, die Du benötigst. Das Setup ist sehr aufwändig, z.B. um Hostnamen über den eingebauten DNS auflösen zu können, benötigt man ein Skript im DHCP um Leases automatisch an den DNS zu melden. Bei Routing und Firewall fängt man bei null an, muss man wollen. Ohne Vorkenntnisse nicht zu empfehlen.
Ich empfehle OpenWrt auf einem MT7621 (gibt AC und AX Geräte die kompatibel sind) Gerät, ist zwar DIY und auch nicht unbedingt intuitiv zu bedienen aber nimmt einem in Relation zu RouterOS viele Aufgaben ab. DHCP, DNS und Firewall sind relativ einfach zu handhaben. Routing kann grafisch konfiguriert werden.
Ein hap AX³ oder eine OpenWrt Alternative unterstützen VLANs, dort richtest Du 4 VLANs ein. Eins für privat und Internet Uplink und eins für das Gastnetz der FB, die Adressvergabe und DNS macht in den Netzen weiterhin die FB. Dann noch ein Netz für Office, das richtest Du auf der privaten Seit ein und konfigurierst eine Return-Route/Static Route in der FB. Zusätzlich, im Grunde optional, noch ein IoT Netz auf der Gastseite, dort kann man allerdings in der FB keine statische Route konfigurieren, doppel NAT ist aber meistens ok für diese Geräte. Routing, DHCP und DNS über nimmt für diese Netze der AP. WLANs lassen sich für jedes der anliegenden Netze aufsetzten.
 
fk1 schrieb:
@cbtaste420 gibt es einen grund für ein device mit SOC MT7621?
Mehrere, günstig (ab 30€ gebraucht oder 45€ neu), einfach in der Handhabung (Installation von OpenWrt meistens ohne Umwege möglich), AX auch im 2.4GHz Band, Switch mit VLAN Unterstützung (gut haben andere Targets auch), geringer Stromverbrauch, Hardware-Routing-Engine für 1Gbit bi-directional Routing (zwischen WAN und LAN Ports), guter Support von Mediatek (mehrere Kernel Maintainer arbeiten an OpenWrt mit). Mir fallen sicher noch weitere ein...

Ich habe die Seite gefunden https://wiki.freifunk-dresden.de/index.php/MT7621 und würde mir da spontan einen xiaomi router rauspicken. alternativ habe ich nach openWRT router gegoogled und bei dem hier wäre es bereits vorinstalliert, ist das zu empfehlen bzw kann es was ich brauche? https://geizhals.de/gl-inet-gl-ax1800-flint-gl-ax1800-a2695021.html
Die Seite ist etwas veraltet, inzwischen gibt es deutlich mehr AX/WiFi 6 Gräte, die von OpenWrt unterstützt werden. In Deutschland gut verfügbar ist der Cudy X6 (Neuware, 40€, auf ebay). Eine Alternative, falls Du weitere Dienste auf dem AP bereiben willst und CPU Leistung benötigst, wären die Filogic Modelle. Die sind aber teurer und die Installation ist stellenweise nur über Exploits oder Serielleconsole möglich.
https://openwrt.org/toh/views/toh_e....4GHz*~]=ax&dataflt[Ethernet+1Gbit+ports_*~]=
 
Wie steht es denn bei Stabilitätum openwrt vs routeros? könnte mir vorstellen dass openwrtgefrickel diese beeinflusst. dann wäre ich lieber bei einem umständlich konfigurierbaren hapax3
 
Stabilität ist eher bei Mikrotik ein Problem, imho da weniger stark verbreitet. Es kam schon bei Gräten zu Memleaks, Neustarts, etc.. Insbesondere die Zusatzpakete für WiFi machen gerne mal Probleme bei Updates, das Mikrotik Forum ist voll davon. OpenWrt hingegen wird von diversen OEMs genutzt um ihre FW darauf aufzubauen (Devolo, GL.iNet, Cudy, Xiaomi, usw.).

Ich empfehle Dir vor dem Kauf ein YT Video zur Konfiguration von Mikrotik Geräten anzusehen (Winbox als Stichwort). Habe beides hier, RouterOS (2x CRS326 + hEX) und OpenWrt virtuell und auf Hardware (Cudy X6, D-Link DAP-X1860, diverse Realtek basierte Switche und ältere ath79 APs), betreibe aber so gar OpenWrt auf Mikrotik Geräten (hEX, hEX PoE), weil es einfach komfortabler ist.
 
Zuletzt bearbeitet:
fk1 schrieb:
Bisher lief SMARTHOME & OFFICE einfahc über das Gastnetz WiFi der FritzBox. Jetzt habe ich aber inzwischen VMs und diverse Docker Dienste auf dem NAS laufen auf die ich vom Macbook zugreifen möchte. Also läuft das Macbook inzwischen doch im privatem Netzwerk. Soweit ich weiss kann man aus dem Gastnetzwerk nicht auf Freigaben aus dem primären Netzwerk der FritzBox zugreifen, oder doch?

Was wäre die beste Lösung für mein Problem? Managed Switch mit VLANs?
Probiere mal folgendes:

Richte in der Fritzbox VPN ein. Verbinde dich vom Macbook im Gastnetzwerk mit dem FritzVPN. Ich bin mir nicht ganz sicher ob die Fritzbox das so mitmacht, aber wenn, dann kannst du vom Gastnetzwerk aus über die VPN-Verbindung auf dein NAS im Hauptnetz zugreifen. Jetzt müsste man nur noch in der Fritzbox einstellen worauf der VPN-Client zugreifen darf.
Alternativ bietet womöglich auch das NAS selbst einen VPN-Server und das Macbook kann sich vom Gastnetz aus mit diesem verbinden. Dazu müsste man allerdings eine Portweiterleitung in der Fritzbox auf den VPN-Port des NAS einrichten.

Lösungen mit fortgeschrittenen Routern wie MikroTiks und Co sind natürlich in jedem Fall möglich, aber alles andere als trivial und eben auch mit Kosten verbunden, weil man in der Regel nicht nur den Router benötigt, sondern ggfs eben auch fortgeschrittene Switches und APs, je nachdem wie groß man das aufziehen möchte.


Eine weitere Möglichkeit wäre natürlich auch eine Routerkaskade inkl. DIY-DMZ. Die steckt man weitestgehend nur zusammen und fertig ist die Laube. Möglicher Nachteil: Doppel-NAT. "Möglich" deswegen, weil Doppel-NAT nicht zwingend ein Problem darstellen muss, da es darauf ankommt ob man Anwendungsfälle hat, bei denen NAT überhaupt eine erweiterte Rolle spielt.
 
fk1 schrieb:
PRIVAT
[*]1x FritzBox 6591 Cable
[*]1x Win11 Desktop (10gbps LAN)
[*]1x Debian11 NAS (10gbps LAN)
[*]Smartphone & Tablet (WiFi)
[*]QNAP 10 & 2.5 gbps unmanaged switch
SMARTHOME
[*]Diverse Lampen (WiFi)
[*]Roborock Sauger (WiFi)
OFFICE:
[*]1x Macbbook Pro (WiFi oder LAN)
[*]1x iPhone (WiFi)
fk1 schrieb:
Also läuft das Macbook inzwischen doch im privatem Netzwerk.

Um es mal kurz ganz pragmatisch zusammenzufassen.
Wenn das Macbook sowieso im Heimnetz läuft, dann gehts eigentlich nur noch um das berufliche iPhone.
Warum kommt das überhaupt ins heimische Netz?
Du wirst da drauf ja keine Videos streamen, was das Datenvolumen wegballert, oder? Das könntest du also auch einfach im Mobilfunknetz lassen.

Dann müsstest du eigentlich nur noch Smarthome und Rest trennen.
Das geht wiederrum mit der bestehenden Fritzbox und dem Gastnetz.

Klar geht dein Grundsätzliches Vorhaben mit VLAN.
Aber ich sehe da jetzt nicht die Notwendigkeit haufenweise Kohle rauszuhauen und ein kompliziertes Netzwerksetup aufzubauen.

Nimm dir mal ein leeres Blatt Papier.
Überlege für jedes Netzwerkgerät wo es zugreifen muss und welche anderen auf dieses Gerät zugreifen müssen. Verbinde auf dem Zettel miteinander.

Jede Gruppe, die dann individuell behandelt werden muss, ist ein separates VLAN.
Am Ende kommt dann noch ein Management VLAN dazu, von wo du (fast) alle Netze erreichen kannst.
 
Zuletzt bearbeitet:
Das Macbook soll ja eben nicht ins private Netz. Es ist da kurzfristig reingekommen weil ich eben doch VMs vom NAS zum testen benötigte. Wenn ich das MAcbook ins Gästenetz verfrachten kann und trotzdem Zugriff auf VMs vom NAS aus dem Primary LAN realisieren kann hast du vlt recht und ich brauche keine extra HW für VLANs.

Eine Zeichnung folgt.

e: Jetzt mit Skizze. Links privates Equipment, Rechts Dienstequipment, unten die SmartHome Devices. Gestrichelte Linien sind WiFi Verbindungen, ansonsten soll der Doppelpfeil nochmal verdeutlichen: Zugriff von Dienstmacbook auf private NAS Ressourcen wie VMs, Dockercontainer o.ä. Services als Service freigabe oder Port weiterleitung.

Soweit ich weiss geht das nicht mit der Fritzbox, also Portweiterleitung aufs Gastnetz, daher die Idee mit einem VLAN fähigem device dazwischen der sich um saubere Segmentierung kümmert. edit: ok, also ich habe es gerade selbst probiert: Die VM bekommt eine seperate IP und dann kann ich eine Portweiterleitung darauf einrichten dann erreiche ich aus dem Gästenetz die VM per SSH. ist aber nicht so ganz dafür gedacht: Jetzt ist die VM auch von außerhalb exposed. Ich denke ein openWRT Router/Switch ist eine gute Lösung für das Problem
 

Anhänge

  • lan.drawio.png
    lan.drawio.png
    142,8 KB · Aufrufe: 109
Zuletzt bearbeitet:
fk1 schrieb:
Die VM bekommt eine seperate IP und dann kann ich eine Portweiterleitung darauf einrichten dann erreiche ich aus dem Gästenetz die VM per SSH. ist aber nicht so ganz dafür gedacht: Jetzt ist die VM auch von außerhalb exposed. Ich denke ein openWRT Router/Switch ist eine gute Lösung für das Problem
Oder eben ein VPN vom Gast ins Hauptnetz wie oben beschrieben.

Es drängt sich aber folgendes Problem auf:

Du willst das Firmen-Macbook vom Privatnetzwerk trennen, aber trotzdem auf das private NAS zugreifen, weil du dort VMs offenbar für die Arbeit benutzt. Das ist nix halbes und nix ganzes, egal wie man es dreht und wendet. Netzwerksicherheit erlangt man nur durch saubere Trennung und nicht durch mit Ausnahmen aufgeweichte Hintertüren wie Router zwischen Haupt- und Gastnetz, Portweiterleitungen durch das WAN oder eben VPNs über das WAN. Entweder Sicherheit und Trennung oder keine Sicherheit und irgendwie verhackstückte Mischmasch-Trotzdem-Kommunikation. Wenn du wirklich Sicherheitsbedenken hast, dann solltest du es auch richtig machen. Entweder setzt du deine Testumgebung mit den VMs in der Firma auf und arbeitest via Firmen-VPN mit ihnen - aus dem Gastnetzwerk heraus - oder du setzt einen zweiten VM-Host auf, der sich mit im Gastnetz befindet.
 
  • Gefällt mir
Reaktionen: andy_m4
@Rajin01 das ist die Ideallösung. Die kommt für mich gerade nicht in Frage:

1. Klar kann ich auf die Arbeitgeber Ressourcen pochen, die dann in der Firmencloud statt finden. Wenn die aber mal wieder Probleme hat kann ich die Testsysteme nicht erreichen. Da ich im Homelab aber die Ressourcen bereits habe arbeite ich daher aktuell am liebsten lokal bei mir und muss mir keine Gedanken darum machen wie und ob die Firmen ressourcen heute laufen, ob ich Adminzugriff darauf habe/bekomme usw.

2. Extra für den Job einen zweiten VM-Host installieren: Ja, kann man für wenig Geld machen, ist dann wieder ne extra Kiste die Strom verbraucht. Ich mein wozu hab ich denn mein üppig dimensioniertes nas? ;)

VPN von Gast ins Hauptnetz: läuft das dann nicht erst über internet?!

Ansonsten ist es natürlich nicht genau so sicher wie ein komplett seperates netzwerk. Aber immer noch besser als komplett exposte private Elemente, die fröhlich hin und her funken. Ich könnte auch alles mit UFW vom NAS-OS denyen. Ich fand eine LAN Segmentierung aber auch ganz interessant, vor allem weil mich Router mit opensource OS auch interessieren. Jenachdem was openWRT so kann auch Firewalling, DPI und andere sicherheitsfeatures die mir eine FritzBox so allein nicht bieten kann.

Also: Ja, mir ist klar dass das nicht die beste Sicherheitslösung ist. Aber schon mal eine deutlich größere Hürde für Angreifer rum zu schnüffeln wenn ich VMs und Dienste als Service route statt einfach das Macbook mittem im Heimnetzwerk alles erreichen zu können, sämtliche Dienste aufzulisten und den kompletten LAN Traffic abgreifen zu können.
 
fk1 schrieb:
Klar kann ich auf die Arbeitgeber Ressourcen pochen, die dann in der Firmencloud statt finden. Wenn die aber mal wieder Probleme hat kann ich die Testsysteme nicht erreichen. Da ich im Homelab aber die Ressourcen bereits habe arbeite ich daher aktuell am liebsten lokal bei mir und muss mir keine Gedanken darum machen wie und ob die Firmen ressourcen heute laufen, ob ich Adminzugriff darauf habe/bekomme usw.
Naja, im Büro wirst du ja auch irgendwie arbeiten müssen, oder? Das heißt dort wird es vermutlich die Ressourcen bereits geben, wenn du sie offenbar benötigst?

Du musst auch bedenken, dass es natürlich auch rechtlich oder zumindest Firmen-Regeltechnisch durchaus Gründe gibt, eben genau sowas nicht zu tun, also private Ressourcen für die Arbeit einzusetzen. Je nachdem was du mit den VMs so treibst, landen da ggfs auch Firmendaten drauf, die dann ungeachtet der wie-auch-immer-realisierten Trennung des Macbooks von deinem Privatnetzwerk auf einem NAS innerhalb deines Privatnetzwerks liegen.

Zu Hause habe ich auch diverse Möglichkeiten, die ich in der Firma nicht habe, aber ich werde einen Teufel tun und private Ressourcen für das HomeOffice zu nutzen. Genau deswegen gibt es ja VPN-Verbindungen im Home Office, weil man die Ressourcen der Firma nutzen kann als befände man sich am Schreibtisch im Büro.


fk1 schrieb:
VPN von Gast ins Hauptnetz: läuft das dann nicht erst über internet?!
1. Nein (unten dazu mehr)
2. Hast du doch das gleiche bereits ausprobiert, nur eben mit SSH
fk1 schrieb:
ok, also ich habe es gerade selbst probiert: Die VM bekommt eine seperate IP und dann kann ich eine Portweiterleitung darauf einrichten dann erreiche ich aus dem Gästenetz die VM per SSH
VPNs sind von der eigentlichen Verbindung her nichts anderes als SSH. Es sind 08/15 UDP oder ggfs TCP Verbindungen, über die eben "zufällig" ein verschlüsseltes VPN läuft anstelle von SSH, HTTP oder was auch immer.

Bezüglich Internet ja/nein: Wenn man von innerhalb des lokalen Netzwerks eines Internetrouters dessen öffentliche IP ansteuert, merkt der Router das, weil er ja selbst angesprochen werden soll. Mittels NAT-Loopback dreht er die eigentlich ausgehende Verbindung daraufhin noch im WAN-Port um und lenkt sie wieder in den WAN-Port rein bevor auch nur ein einziges Bit den WAN-Port nach außen verlassen hat. Nicht jeder Router unterstützt NAT-Loopback, aber die Fritzboxxen tun es und das hast du ja selbst schon anhand von SSH unter Beweis gestellt. Anstelle von TCP 22 leitest du dann eben in der Fritzbox zB UDP 1194 für OpenVPN, UDP 500+4500 für IPsec oder UDP 51820 für Wireguard an dein NAS weiter - je nachdem welchen VPN-Server dein NAS bietet. VPN einrichten, Haken bei "Zugriff auf Netzwerk des VPN-Servers erlauben" entfernen (VPN-Zugriff geht dann ausschließlich auf das NAS selbst), verbinden, zugreifen.

Alternativ sollte das aber auch mit der VPN-Funktion in der Fritzbox funktionieren, aber dann muss man dem VPN-User entsprechend die Rechte einschränken, dass nur das NAS bedient werden darf.

Über diesen Weg kannst du also eine Verbindung vom Macbook auf das NAS realisieren, ohne auch nur einen Cent für zusätzliche Hardware auszugeben. Auch dieser Weg ist natürlich von der Sicherheit her nur mäßig, aber immer noch besser als wenn du dir jetzt einen MikroTik, o.ä. kaufst und ohne Kenntnisse vermutlich ein halbes Dutzend Lücken reinkonfigurierst. Sicherheit kommt nämlich nicht durch den bloßen Einsatz von (semi)professioneller Hardware, sondern durch ihre fachgerechte Konfiguration.
 
Schön und gut aber die VPN Ports sind dann aus dem Internet genau so erreichbar wie im LAN, wäre meine allerletzte Wahl um das Problem zu lösen
 
Und? VPN ist doch genau dazu da, Verbindungen über unbekannte Netze herzustellen. Ein offener VPN-Port ist als sicher anzusehen.

Abgesehen davon kann man die Portweiterleitung auch auf die Quell-IP beschränken und dann ist sie nur noch von dieser IP erreichbar.


Aber was red ich, mir ist es egal ob du Geld ausgibst und ggfs mit der Konfiguration kämpfst bevor du Alternativen ausprobierst. Was ich beschrieben habe funktioniert, ist ausreichend sicher und kostet nix. Mach was du für richtig hälst.
 
Zurück
Oben