IOT-Knast fürs Smarthome: Was kann die Fritzbox? VLAN/Subnetze/DMZ Lösungen?

[Loading--------]

Moin Computerbaser/innen,

hätte eine Smarthome-Challenge für euch. Denn niemand hat wohl die Absicht, Tuya Wifi-Lampen und anderen Schlauheimn-Kram ordentlich zu patchen.

Es geht um die Anschaffung einer Fritzbox 7590 AX u.a. wegen WiFi 6, zusätzlich müssen aber IOT-Sicherheitsprobleme entschärft werden. Daher möchte ich klären ob mit der Fritzbox meine Anforderungen erfüllt werden können oder andere/weitere Hardware notwendig ist.

Anforderungen

• IOT Geräte im Smarthome (WLAN-Lampen etc.) abschirmen durch Netztrennung
• IOT-Netz ist aus dem Haupt-LAN und von außen errechbar, über einen VPN-Sprungserver:
• Ein vorhandener Raspberry Pi 4 mit OpenVPN, der Füße in beiden (Sub)Netzen haben muss. Der Pi ist gleichzeitig Homeassistant Smarthome-Hub und muss sowohl IOT-Geräte steuern als auch lokal über SSH/Web GUI aus dem Hauptnetz erreichbar sein. Pi wird evtl. in Zukunft durch eine VM konsolidiert, aber das sollte keine Rolle spielen.

Überlegungen soweit

• Getaggtes VLAN über WLAN kann die Fritzbox wohl nicht, dann wäre Anschaffung VLAN-fähiger WLAN APs notwendig (Ubiquiti Unify o.Ä.)
• Mögliche Lösung wie folgt von der Fritzbox unterstützt? Layer3 Ethernet-Switch mit mind. portbasiertem VLAN Support hinter der Fritzbox mit aktiviertem Gastznetz, physisch an Port 2 und 4 der Fritzbox angebunden und somit Füße in beiden Netzen. Trennung über Switch-Firewallregeln. Raspberry Pi konfiguriert als einziger Host, der in beide Netze darf. Dieser würde dann an einem der RJ45 Switchports hängen.

Fragen zu klären

• Gastnetz der Fritzbox ausreichend für die Anforderungen?
• Wie realisiere ich Zugang zum IOT-Netz (LAN und WLAN) von innen + IOT-LAN von außen? Raspberry Pi mit OpenVPN als Sprungserver in beide Netze war gedacht.
• VLAN-Lösung: Brauche ich einen Layer3-Switch (mindestens portbasiertes VLAN), der Füße in beiden Netzen hat?
• Anderer Ansatz? Mit Subnetzen statt VLAN arbeiten? DMZ mit 2 Routern?

Würde mich über Kommentare/Vorschläge dazu freuen. Bei Unklarheiten oder fehlendem Kontext stehe ich selbstverständlich für Nachfragen jederzeit offen.

Vielen Dank!

 

[benneq]

Die Quick and Dirty Lösung wäre wohl das Gast WLAN zu nutzen und den Raspberry Pi via LAN in's normale Heimnetz und via WLAN in's Gäste WLAN zu bringen - oder alternativ einen USB Ethernet Adapter nutzen. Dann musst du nur noch auf dem Pi dafür sorgen, dass die HomeAssistant GUI vom Heimnetzwerk erreichbar ist, und IoT nur über WLAN angesprochen wird.

Die FritzBox selbst ist ansonsten überhaupt nicht auf sowas ausgelegt.

 

[till69]

Dir ist bewusst, das viele IOT Geräte nur über Broadcasts gefunden werden, sodass getrennte Netze schon deshalb keine gute Idee ist?

IOT Geräte im Smarthome (WLAN-Lampen etc.) abschirmen durch Netztrennung

Abschirmen wovor?

 

[Loading--------]

@benneq interessanter Ansatz, dann schau ich mal nach einer Lösung für den Pi, den Datenverkehr zwischen dem Ethernet-und WLAN-Adapter zu trennen.

 

[benneq]

Abschirmen wovor?

Den Chinesen, Sicherheitslücken, etc.
Du hast doch schließlich auch einen Router mit Firewall, damit nicht jeder von außen in dein Heimnetzwerk kommt.
Und wenn so ein Smarthome Gerät mit seinem Hersteller kommuniziert, kann der Hersteller natürlich auch zurückfunken und sitzt in deinem Heimnetzwerk.

 

[Loading--------]

Dir ist bewusst, das viele IOT Geräte nur über Broadcasts gefunden werden, sodass getrennte Netze schon deshalb keine gute Idee ist?

Abschirmen wovor?

Broadcast etc. ist kein Problem da Controller-Host samt Zigbee-Stick im gleichen Netz und vieles lokal läuft. Falls die Dinger nach Hause/China tetefonieren wollen dürfen sie nach wie vor raus ins Internet.
Abschirmen der Netze voneinander sprich Trennung des Hauptnetzes und des IOT-Netzes. Meine WLAN-Lampen brauchen müssen und sollen nicht mit meinen PCs oder NAS kommunizieren. Ich sag nur WiFi-Passwörter im Klartext und unverschlüsseltes http.

 

[GrumpyCat]

Ich würde da einen 30€-Router hinstellen und OpenWrt draufmachen, da kann man dann alles inkl. VLANs etc. frei konfigurieren.

 

[till69]

Meine WLAN-Lampen brauchen müssen und sollen nicht mit meinen PCs oder NAS kommunizieren.

OpenWRT und Bridge Firewall

Ich würde da einen 30€-Router hinstellen

Oder erst mal in einer VM testen

 

[Loading--------]

OpenWRT und Bridge Firewall

Meinst du Flashen der Fritzbox von FritzOS auf OpenWRT oder zweiten OpenWRT-Router dahinter? Dann würde man den OpenWRT Router in der Fritzbox als DMZ einrichten, korrekt?

 

[till69]

oder zweiten OpenWRT-Router dahinter?

So ist es.

Bridge Firewall = Firewall im lokalen Netz (du brauchst kein getrenntes Netz, nur ein paar iptables Regeln)

 

[xexex]

Würde mich über Kommentare/Vorschläge dazu freuen.

Alles was über "Baumarktrouter" Funktionalitäten hinausgeht kann die FB weder im WLAN noch im LAN Bereich, also wieso überhaupt nach Lösungen suchen um diese Unzulänglichkeiten in den Griff zu bekommen? Wenn du nicht gerade durch den Provider gezwungen bist ein solches Gerät einzusetzen, würde ich an erster Stelle mich um einen Router kümmern, mit einer vernünftigen Firewall und VLAN Unterstützung.

Es gibt Ubiquity, Microtik, Lancom, Cisco und einige Hersteller mehr, die können dir all das bieten was du willst und noch viel mehr.

 

[Loading--------]

Alles was über "Baumarktrouter" Funktionalitäten hinausgeht kann die FB weder im WLAN noch im LAN Bereich, also wieso überhaupt nach Lösungen suchen um diese Unzulänglichkeiten in den Griff zu bekommen? Wenn du nicht gerade durch den Provider gezwungen bist ein solches Gerät einzusetzen, würde ich an erster Stelle mich um einen Router kümmern, mit einer vernünftigen Firewall und VLAN Unterstützung.

Tja, ich überlege mir schon fast einen 30 € VDSL Modem zu kaufen und einen vernünftigen pfSense/OpenWRT Router zu kaufen / selber basteln. Oder nen Mikrotik, die sollen nicht schlecht sein. Ggf. Ubiquiti Unify APs fürs WLAN. Würde das Budget etwas sprengen aber hätte wohl auch seine Vorteile.

 

[till69]

würde ich an erster Stelle mich um einen Router kümmern, mit einer vernünftigen Firewall und VLAN Unterstützung.

Gibts aber selten bezahlbar mit DSL Modem, außer evtl. von Draytek.
Läuft also immer auf 2 Geräte hinaus: Modem + Router oder Fritzbox + OpenWRT

 

[M-X]

Für dein vorhaben die ist die Fritzbox völlig ungeeignet. Die einzige "trennung" die die drauf hat ist eine Guest WIFI/LAN. Die Fritzbox ist ein ein klassischer DAU Router der 1-2 mehr Funktionen hat als ein Speedport. Deine idee mit pfSense/Opnsense/OpenWRT oder Microtik macht da mehr Sinn, benötiget aber auch mehr Zeit um sich einzuarbeiten. Von Ubiquiti würde ich aktuell aufgrund von Sicherheitsproblemem und cloud zwang (zumindest bei DM Modellen) Abstand nehmen.

 

[Loading--------]

Hm ja eben gegoogelt... Supervectoring VDSL2-Modems > 100 Teuro. Dazu Router und evtl. noch Unify AP. Beides nicht ganz günstig im vgl. zu einer einzigen Fritzbox.

 

[xexex]

Gibts aber selten bezahlbar mit DSL Modem, außer evtl. von Draytek.

Bezahlbar ist relativ, wenn du stattdessen managebare Switche brauchst um solche Lösungen zu realisieren. Ich würde grundsätzlich immer anstreben WLAN und Router zu trennen und der Router kann dann gerne auch ein integriertes Modem haben.

Klar bekommst du von Lancom kein 1zu1 Ersatz für eine 7590AX, aber die kostet auch 250€ und die kann man auch sinnvoller investieren.

Aber ja auch DrayTek würde ich nicht vernachlässigen.
https://www.draytek.de/vigor2865-serie.html#datenblatt

 

[Loading--------]

Für dein vorhaben die ist die Fritzbox völlig ungeeinet. Die einzige "trennung" die die drauf hat ist eine Guest WIFI/LAN.

Deswegen der ganze OP. Hab gehofft die Gastnetz-Funktion ist ausreichend wenn man den Pi schlau konfiguriert. Bridge und Bridge Firewall scheint er zu können. Aus dem Gastznetz muss man dann immer über den Pi wenn man ins Hauptnetz will. Das WLAN-Interface des Pi hängt am Fritz-Gast-WLAN und der Ethernetport geht ins Hauptnetz der Fritz wie von benneq in der ersten Antwort vorgeschlagen.
edit: für debian hab ich auf die schnelle das gefunden: https://www.debian.org/doc/manuals/securing-debian-manual/bridge-fw.de.html

 

[Raijin]

nicht ganz günstig im vgl. zu einer einzigen Fritzbox.

Das ist eben der Unterschied zwischen reinen Consumergeräten aus dem Massenmarkt, die als eierlegende Wollmilchsau von allem etwas können wollen, aber nichts davon wirklich gut, und spezialisierter semiprofessioneller Hardware, die deutlich mehr als die 08/15 Funktionen bietet. Fritzboxxen und Co sind für anspruchslose Kunden wie Otto Normal, die teilweise schon von einer Zeichnumg im A5 Format mit Schnellstartanleitung überfordert wären, hätte man Kabel/Stecker und Ports nicht farblich markiert.

Du hast Ansprüche, die deutlich über das 08/15 Szenario eines 08/15 Routers hinausgehen, und das führt unweigerlich dazu, dass du vom Consumermarkt in den semiprofessionellen Markt einsteigst.

In solchen Fällen tauscht man entweder den 08/15 Router gegen ein fähigeres Modell, was angesichts des sehr überschaubaren Markts an fortgeschrittenen DSL-Routern nicht einfach ist, oder man degradiert den DSL-Router zum reinen Internetlieferanten und setzt dahinter einen Router von/mit MikroTik, EdgeRouter, OpenWRT, pfSense, Sophos oder einem sonstigen Router-OS ein. Mit diesem Router kannst du nach Belieben Netzwerke erstellen, sie via VLANs über (smart) managed Switches verteilen und in der Firewall die gegenseitigen Zugriffe reglementieren.
Sofern der Internetrouter die Eingabe von statischen Routen bietet, ist Doppel-NAT dabei kein Problem, weil der kaskadierte Router am WAN dann keinerlei NAT machen muss - geroutete(s) Netzwerk(e) only.


Krücken wie ein PI im Haupt- und Gast-Netzwerk des 08/15 Routers würde ich vermeiden, weil man damit ganz schnell das Sicherheitskonzept des Gastnetzwerks aushebeln kann, indem man ein zweites Gateway schafft - ein echtes und zuverlässig Gastnetz gibt es dann nicht mehr. Ein EdgeRouter-X kostet mit knapp 50 Euro beispielsweise ähnlich viel wie ein PI mit SD-Karte, Gehäuse und Netzteil, kann dafür aber das obige Szenario bedienen, das deutlich flexibler und mächtiger ist bzw sein kann. Ein MikroTik hEx (S) oder ein hAP ac2 kosten nur marginal mehr, letzterer bietet aber gleich noch WLAN falls ein AP ausreichen sollte. Einige setzen auch zB MikroTiks CloudRouterSwitches (CRS) ein, die sich mit MikroTiks Router-OS flashen lassen und somit funktionsmäßig zum vollwertigen Router mit zB 24 Ports werden. Allerdings gilt zu bedenken, dass die Routingperformance der CRS Grenzen hat, weil es am Ende eben doch nur ein Switch ist.

 

[Crumar]

@Raijin
Ich klinke mich mal ein. Ich hab ein zentrales managed Switch und vlan fähige aps.
Momentan nutze ich noch die Fritzbox 7590, diese Bieten aber ja leider keinen Modem Betrieb mehr an.

Eigentlich hatte ich vor mir einen draytek vigor 167 (wars glaub ich) zu holen, der unterstützt aber wohl kein Annex B.
Zusätzlich hab ich noch einen archer C7 v2 mit openwrt hier.

Du sagst aber mit statischen routen kann man die Fritzbox auch gut als Modem nutzen?

 

[snaxilian]

Grundlegend kannst es mit der Fritzbox so trennen indem du IoT ins Gästenetz packst, dann macht die Fritzbox eine Trennung. Ein Pi der dann in beiden Netzen hängt, hebelt das wieder auf sobald Konfigurationsfehler entstehen oder Lücken bekannt werden und ein Angreifer aus dem IoT Netz ausbrechen möchte.
@Raijin hat es ja schon ausführlicher erklärt. Am Ende musst du für dich entscheiden ob du das Risiko eingehen und akzeptieren möchtest mit dem Pi. Hier solltest dann entsprechend mit einer Host-Firewall arbeiten, das IP-Forwarding deaktiviert lassen (default = aus) und nicht jeden Kram als root laufen lassen, zeitnah Updates einspielen, usw.
Beruflich würde ich dies nie machen weil so ein Konstrukt eben Lücken aufreißen kann, die man nicht will, privat muss jeder für sich das Risiko ab- und einschätzen. Die technisch saubere Lösung wären getrennte VLANs und Subnetze mit all dem daraus resultierenden Overhead.

@Crumar Nein, du musst schon genau lesen, was da steht und nicht Dinge hinein interpretieren, die da nicht stehen. Eine Fritzbox ist dann weiterhin Modem und Router (und bei Bedarf AP und 'TK-Anlage', etc) aber es ist kein doppeltes NAT notwendig wenn man die Routen korrekt setzt.