ComputerBase Menü
Aktuelles

LAN/Switch vom Heimnetz separieren

stna1981

stna1981

Commander
Registriert
März 2007
Beiträge
2.509
Hallo zusammen,

ich habe in der Garage einen Switch mit ein paar Geräten dran, den ich prinzipiell vom Heimnetz separieren möchte. Hintergrund: falls mal jemand in die Garage eindringt, möchte ich nicht, dass er ohne Weiteres Zugang zu meinem LAN bekommt. Gleichzeitig möchte ich aber von meinem LAN - wenn möglich - auf das LAN in der Garage zugreifen können, u. a. auf Überwachungskamera. Ins Internet exponieren möchte ich die Kamera nicht.

Eine Trennung wäre erstmal über den Gastzugang der Fritz!Box machbar. Dann ist über das LAN-Kabel kein Zugriff aufs LAN möglich. Aber gibt es dann irgendeine Möglichkeit, den Zugriff auf dieses Netzwerk von meinem eigenen LAN zu bewerkstelligen? Sobald ich irgendwelche Routen o. ä. herstelle, könnte ein Dritter durch Anstöpseln an den Switch ja wieder Zugriff bekommen. IP- und Macfilter sind ja keine wirksame Methode (oder sagen wir, man kann es mit ein wenig Fachwissen umgehen).

Gibt es irgendeine Möglichkeit, den Zugriff auf das LAN nur für bestimmte Geräte zu ermöglichen, der einigermaßen sicher ist? Ich erwarte jetzt keinen Hacker-Angriff, es sollte aber schon etwas schwerer sein, als einfach einen Laptop an den Switch zu stecken und dann auf meine Shares zuzugreifen. Als letzte Option bliebe dann nur, das Garagen-LAN per VPN zuzugreifen, ist aber halt nicht ganz so komfortabel.

Viele Grüße

Stefan
 
Wenn du Zugriff von einem Netz in ein anderes Netz haben willst aber nicht umgekehrt brauchst du eine Firewall zwischen den Netzen auf der du eine entsprechende Regel festlegen kannst.
Dafür gibt es gefühlt unendlich verschiedene Möglichkeiten, einfach mit einer Fritzbox geht es jedoch nicht.
Am flexibelsten wärst du mit einem Mini PC der mit dem Router OS deiner Wahl bestückt wird (pfsense/opnsense z.B.). Unter dem Stichwort Firewall PC findet man beim großen amerikanischen Versandhaus zahlreiche Varianten dieser Rechner mit in der Regel mindestens vier Gigabit Ports.
 
  • Gefällt mir
Reaktionen: Roesi und spcqike
Ginge das auch mit einem Raspberry? Den habe ich für mein normales Netz eh schon am Start wegen PiHole und als VPN-Server, wenn ich mich von Remote einwählen will.
 
Würde gehen, aber er muss dann Zwischen beide Netze geschaltet werden. Und da aller Traffic dann durch den PI geht, bist du auf dessen Bandbreite limitiert. Wenn dir das reicht, geht es.
 
Dafür brauch der RPi doch Zugang zu beiden Netzen, also 2 LAN Ports.
Sowas hat der aber von Haus aus nicht.
 
Würde WLAN als Schnittstelle nicht funktionieren? Also
FB - WLAN - Raspi - LAN - Switch
Ansonsten gibts doch auch USB-LAN-Adapter für den Raspi.
 
meph!sto schrieb:
Dafür brauch der RPi doch Zugang zu beiden Netzen, also 2 LAN Ports.
Sowas hat der aber von Haus aus nicht.
Zum Vergrößern anklicken....
Es gibt mehrere Wege.
USB-LAN Adapter, WLAN-LAN Brücke, VLAN-fähiger Switch, ...

Ich denke, am einfachsten ist ein alter PC mit bereits genanntem OPNSense / PFSense oder, wenn Hardware angeschafft werden soll, bspw. ein kleiner EdgeRouter. (oder gebrauchte Router die OpenWRT können, oder halt doch ein PC mit OPNSense/PFSense und mehreren NICs oder mit VLAN-Switch, ......)

Sauber wäre eine ordentliche, zentrale Firewall, die zwei Netzwerke erstellt. sei es physisch getrennt (mindestens 3 NIC) oder virtuell (VLAN).
 
meph!sto schrieb:
Dafür brauch der RPi doch Zugang zu beiden Netzen, also 2 LAN Ports.
Sowas hat der aber von Haus aus nicht.
Zum Vergrößern anklicken....
NanoPi R2C maybe?
 
du kannst Radius probieren.... aber welche IP-cam kann schon wpa2 enterprise?
..und du brauchst Auth Server.
Ich stand auch vor dem Problem mit Terasse habe dann Switch durch Wlan AP abgelöst..... und ja ab ins Internet exponieren und über ddns zugreifen.
 
meph!sto schrieb:
Dafür brauch der RPi doch Zugang zu beiden Netzen, also 2 LAN Ports.
Sowas hat der aber von Haus aus nicht.
Zum Vergrößern anklicken....
Ein USB zu LAN Adapter kostet ein paar Euro. Also daran sollte es nicht scheitern.
 
WLAN geht nicht, da durch Wände und Decken kaum was durchgeht. Der neue Raspi 4 ist ja eigentlich recht leistungsfähig mit Gbit Ethernet...

Im Haus arbeiten zwei ZyXEL GS1900 Series Smart Managed Switches, die können VLAN. Hab ich das richtig verstanden, dass dann auch ein Ethernet-Port am RPi reichen würde, wenn auch nicht die ideale Lösung? Wie sähe da dann das Setup aus?
 
das WLAN könnte ja auch vor dem Zielort genutzt werden. bspw. direkt neben dem Router. Wo der Übergang zum LAN ist, ist ja egal.

Wenn du VLAN fähige Switche hast, um so besser.

du könntest du bspw. IPFire auf einem Raspberry installieren.
Oder auch OpenWRT. eine Softwarefirewall die dir gefällt. Da kannst du dann alles einstellen.

Du kannst die neue Raspberry-Firewall als Client in deinem Netzwerk installieren, also als Kaskade.
Sauberer wäre es natürlich, mit einer zentralen Firewall, die alle deine Netze bedient.

die Zugriffsberechtigungen erstellst du am Ende in den Firewallregeln der neuen Firewall. also das das dortige "LAN" nicht aufs "WAN" kommt (wohl aber ins Internet, dein aktuelles internes LAN ist ja aber für das zu erstellende Netzwerk das WAN), dass wohl aber das "WAN" (dein internes LAN) auf das neue "LAN" zugreifen kann.
bei der Kaskadenlösung brauchst du am Ende noch eine statische Route in der Fritz!Box.

Ich selber hab ne OPNSense Firewall auf einem alten mITX PC, meine Fritz!Box hat die Firewall als exposed Host, damit hab ich soweit keine Probleme. meine 4 VLANs laufen alle prima :)
 
Und inwifern spielt das VLAN da dann eine Rolle? Kennst du einen Guide, wo so ein Setup beschrieben ist, den man als Nicht-Netzwerktechniker nachbauen kann? :)
 
Schalte doch am Gastnetzwerk dhcp aus und vergib allen Garagen Geräte eine statische ip wie 10.1.56.x . Wenn der Einbrecher dummerweise einen pc mitbringt und daddeln möchte wird er keine Verbindung zum Internet haben.
Am Router selber kannst du sonst auch fremde macadressen blocken, so das nach dem Aufbau des pc der Einbrecher keine Lust mehr hat und du Montag morgen zusätzlich und gratis einen pc in der Garage hast.
Beim gastzugang kannst du, je nach Modell, eine zeitlimite eingeben 07.00-23.00 Uhr), oder Tickets….
 
Klar das würde, die Kombination aus IP und Macfilter wäre eine Option, aber wie leicht ist das zu fälschen ggf.? Oder ist das eher unrealistisch, dass sich jemand so viel Arbeit macht? Er müsste dann ja genau wissen, welche Kombinationen aus Mac und IP zulässig sind?
 
stna1981 schrieb:
Eine Trennung wäre erstmal über den Gastzugang der Fritz!Box machbar. Dann ist über das LAN-Kabel kein Zugriff aufs LAN möglich. Aber gibt es dann irgendeine Möglichkeit, den Zugriff auf dieses Netzwerk von meinem eigenen LAN zu bewerkstelligen?
Zum Vergrößern anklicken....

chrigu schrieb:
Schalte doch am Gastnetzwerk dhcp aus und vergib allen Garagen Geräte eine statische ip wie 10.1.56.x .
Zum Vergrößern anklicken....
Dann kommt er doch aber nicht auf die Kamera. die Fritzbox erlaubt, soweit ich weiß, kein Routing zwischen den Netzen.

stna1981 schrieb:
Und inwifern spielt das VLAN da dann eine Rolle? Kennst du einen Guide, wo so ein Setup beschrieben ist, den man als Nicht-Netzwerktechniker nachbauen kann? :)
Zum Vergrößern anklicken....
das VLAN spielt eine Rolle, da auch mein mITX PC nur eine Netzwerkschnittstelle hat. dazu sind 3 der 4 VLANs per WLAN erreichbar, auch jeder Accesspoint hat nur eine Schnittstelle. Um die Netzwerke voneinander zu trennen, bedarf es halt der VLANs. (oder halt eine physische Trennung durch mehrere Hardware Switche und Accesspoints...)

nein einen Guide kenne ich nicht. ich fand meine Einrichtung mit OPNSense damals eigentlich fast selbsterklärend. 1 Kabel in die Kiste rein, "intern" virtuell 5 Schnittstellen erstellt (WAN zur Fritzbox, Intern, Gast, Iot und Management). die Fritzbox steckt in einem Port im VLAN fähigen Switch, der auf das entsprechende VLAN getagged ist. die Accesspoints "sprechen" ebenfalls VLAN. genauso wie das NAS und der Server. (nur der PC im Keller hat noch einen intern getaggten Port am Switch)

Das ist halt ein "klassisches" Setup, keine Netzwerk-Kaskade (mit Ausnahme vom FritzBox LAN, aber das wird nicht genutzt. die brauch ich quasi nur als Modem)


Du könntest sowas quasi auch machen, wobei es dann Probleme mit dem WLAN gibt. (das WLAN der Fritzbox kann so ja nicht verwendet werden).

einfacher wird bei dir wahrscheinlich die Kaskade. (https://www.dasheimnetzwerk.de/03-2018/Netzwerk-sicher-durch-Bereiche.html ungefähr so wie da die DMZ, nur "anders herum")
 
Danke für den Link. Habe ich das richtig verstanden, dass bei einer solchen Routerkaskade die Geräte aus dem Heimnetz Zugriff auf die Geräte aus dem "bösen" Netzwerk haben, also zum Beispiel die Kamera, aber umgekehrt ein Zugriff aus diesem LAN auf die Geräte im Heimnetz nicht möglich ist?

EDIT:
sowas als zweiter Router würde doch reichen oder?
https://www.tp-link.com/de/business-networking/vpn-router/er605/
 
Zuletzt bearbeitet:
Ja das ist richtig. Mit normalen Consumer Firewalls geht das allerdings nur so, wie abgebildet. Also die DMZ „außen“. Die sichere Insel „innen“ bzw. dahinter.

Damit hast du allerdings im internen LAN ein doppeltes NAT, was hier und da Probleme machen könnte.

Um dein bestehendes Heimnetzwerk nicht komplett umkrempeln zu müssen und keine Probleme mit doppelten NAT zu bekommen , würde ich die DMZ „einfach“ hinter das bestehende LAN hängen. Dafür brauchst du dort allerdings eine Firewall, die Regeln erlaubt, dass du von „außen“(deinem internen LAN) eine Verbindung nach innen (in die neue DMZ) aufbauen kannst. Und auch eine ausgehende Regel, die den Zugriff von Innen (DMZ) nach außen (ins interne LAN) verhindert. Ob der tp link das kann, weiß ich nicht.
 
Ich hab jetzt beim Überfliegen der Antworten nichts direkt gefunden: sollen die Geräte die in der Garage angeschlossen sind Internetzugang haben oder nicht?

wenn nein: dann sollte ein billiger Router mit dem Beitrag von @spcqike reichen, weil du damit ja dein LAN (und den Internet Zugang) vor der "bösen Garage" schützt. Für die Garage brauchst dann einen DHCP Server, wenn du die IP Adressen nicht manuell vergibst. Wenn die Geräte in der Garage jetzt trotzdem Internetzugang haben sollen, bist du wieder beim konfigurieren einer Firewall etc...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Krakadil
2.5G LAN Switch im Vergleich zur 1G - wozu 10G SFP Port?
2
Antworten
23
Aufrufe
1.861
Krakadil
Krakadil
T
LAN-Switch oder anders?
Antworten
15
Aufrufe
1.891
DJKno
DJKno
B
Un-/managed Switch im Heimnetz? -> Anbindung NAS
Antworten
10
Aufrufe
2.673
alexx_pcfreak
alexx_pcfreak
L
LAN Switch aus einem LAN Kabel zwei machen
Antworten
7
Aufrufe
1.347
Lu2000
L
Sandro_1995
LAN-Switch ohne weiteres möglich?
Antworten
5
Aufrufe
2.724
Sandro_1995
Sandro_1995
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz