Netzwerk für das ganze Haus

trkiller

Lt. Junior Grade
Registriert
Jan. 2010
Beiträge
441
Hallo Zusammen,

ich möchte gerne in unserem Haus, 3 einzelne Wohnungen mit einer Internetleitung betreiben um Kosten zu sparen. Jede Wohnung bekommt einen eigenen Access Point und als Modem fungiert eine Fritzbox Cable.

Ich würde gerne Torrents und Movie Seiten direkt blockieren, so das man keine Probleme mit irgendwelchen Anwälten bekommt. Ist leider wieder vor 4 Monaten passiert. Daher ist eine Sperre unbedingt notwendig. Hier habe ich gedacht das ich ein pihole einsetze. Ich möchte keine Werbung direkt blockieren, das ist mir zu Anfang erst einmal egal. Wichtig ist, Filesharing und Torrent soll nicht funktionieren.

Da ich bereits auch in meinen Gewerberäumen TPLink EAP Hotspots einsetze, würde ich gerne wieder auf diese gehen. Welche ich nehme, habe ich noch nicht entschieden.

Jetzt zum Vorhaben:

  • Jedes Geschoss bekommt ein Access Point
  • Angeschlossen an einem Switch mit 3 unterschiedlichen VLANs für die Access Points

Funktioniert der Einsatz eines piholes in dieser Konstelation? Kann ich später identifizieren wer mist gebaut hat wenn wieder ein Brief ankommt? Da ja eigentlich die IP des Modems zur Identifikation genommen wird und nicht die IP des Gerätes.

Wäre super wenn mir einer eine Info geben könnte, ob das so klappt
 
trkiller schrieb:
Kann ich später identifizieren wer mist gebaut hat wenn wieder ein Brief ankommt? Da ja eigentlich die IP des Modems zur Identifikation genommen wird und nicht die IP des Gerätes.
Datenschutz hallo! Du willst also (böse formuliert) alle aufgerufenen Webseiten deiner Wohnungsmieter mitschneiden und unbefristet aufbewahren?

Das klingt nach einer ziemlich doofen Idee, es sei denn DU möchtest demnächst einen Brief vom Anwalt haben.
Was du machen kannst ist für jeden ein VLAN erstellen, DNS-based blocking betreiben (lässt sich natürlich umgehen) und gewisse Ports sperren. Loggen wer was aufruft geht rein praktisch natürlich auch.
 
  • Gefällt mir
Reaktionen: NJay und mojitomay
Datenschutz?
Mit pihole siehst du dann sämtliche DNS-Aufrufe deiner Mitbewohner.
Theoretisch kannst du aber immer sämtlichen Traffic einsehen, wenn du das Netzwerk betreibst.

Außerdem wird es immer wieder Seiten geben, die gesperrt sind und du musst die dann freischalten.
Lokal bei mir wird aktuell gerade "duden.de" gesperrt, weil plötzlich in irgendeiner Sperrliste enthalten ist.
Und wenn sich jemand etwas auskennt, umgeht er den pihole einfach.

Hört sich eher danach an, dass jeder selbst um sein Internet kümmern sollte.
 
Es sind keine Mieter, es sind Familienmitglieder. Mir gehört die Internetverbindung und möchte es teilen mit den Eltern im 2. Geschoss und mit dem Bruder im DG. Somit sparen wir an der Leitung, denn die Geschwindigkeit langt für uns alle
 
trkiller schrieb:
ich möchte gerne in unserem Haus, 3 einzelne Wohnungen mit einer Internetleitung betreiben um Kosten zu sparen. Jede Wohnung bekommt einen eigenen Access Point und als Modem fungiert eine Fritzbox Cable.
Sind das 3 verschiedene Wohnparteien? Wenn ja, rate ich von einem gemeinsamen Netzwerk wie du es offenbar planst ab. Hintergrund ist nicht nur die Problematik mit Filesharing, o.ä., die das Internet im weitesten Sinne betrifft, sondern auch Sicherheitsbedenken zwischen den einzelnen Wohnungen und Parteien. Da wäre zum Beispiel dein NAS, das deine Nachbarn dann im Netzwerk sehen würden, oder die smarte Beleuchtung im Schlafzimmer nebenan, das du munter steuern könntest, oder oder oder..
Selbst innerhalb der Familie wäre ich da vorsichtig, da du beispielsweise keine Kontrolle über etwaige Gäste der anderen Familienteile hast. Ich wohne auch neben meiner Schwester und weil sie "zu faul" ist, sich das Passwort für das Gast-WLAN zu merken, bekommt jeder Gast das Hauptpasswort. Le** mi** am **sch würde ich an die Decke gehen, wenn wir ein gemeinsames Netzwerk hätten...

trkiller schrieb:
Ich würde gerne Torrents und Movie Seiten direkt blockieren, so das man keine Probleme mit irgendwelchen Anwälten bekommt. Ist leider wieder vor 4 Monaten passiert. Daher ist eine Sperre unbedingt notwendig.
Sperren ist gar nicht so einfach wie du denkst.


trkiller schrieb:
Hier habe ich gedacht das ich ein pihole einsetze. Ich möchte keine Werbung direkt blockieren, das ist mir zu Anfang erst einmal egal. Wichtig ist, Filesharing und Torrent soll nicht funktionieren.
Pihole ist ein DNS. Das heißt er übersetzt lediglich "computerbase.de" in die dazugehörige IP-Adresse. Für "irgendwasillegal.es" macht er das dann eben nicht, ok. Das hindert aber niemanden daran, deinen pihole als DNS zu umgehen und zB direkt 8.8.8.8 zu verwenden. Auch hilft die das nichts, wenn DNS-over-TLS oder gar DNS-over-Https verwendet wird. Dann läuft der DNS-Traffic sogar verschlüsselt an dir vorbei.
 
Eltern und Bruder?
Dann brauchst du gar keine Sperre. Reden hilft.
 
  • Gefällt mir
Reaktionen: Qyxes, mojitomay, Lotsenbruder und eine weitere Person
Es geht so wie du es vorgeschlagen hast. Wenn du TP-Link nehmen möchtest:

ER605 als Router, da dann 3 Ports mit einem eigenen VLAN konfigurieren (geht nur im Standalone Mode, nicht mit Omada). Dann Kabel auf die passenden Switche pro Partei oder direkt einen "großen" managed Switch kaufen. Daran dann jeweils die APs und es funktioniert. Dann z.B. einen Pi Zero W für Pihole oder irgendwas in der Richtung.

Aber wie schon gesagt, PiHole kann man recht einfach umgehen, das ist recht simpel.
 
Habe das bei einem unserer Häuser gemacht. unterschiedliche SSIDs mit VLANs. Die VLANs denen ich nicht traue, die gehen via MullvadVPN raus. Problem solved.
 
pihole ist ja eigentlich nur ein Werbeblocker bzw. DNS-Blocker. Dafür ist er gedacht und er wird halt auch für andere Dinge missbraucht. Bei einem Werbeblocker wäre es verschmerzbar, wenn man den umgeht, aber bei deinem Thema eher nicht.

Du brachst eher eine Firewall, die sämtlichen Traffic kontrolliert, blockt, durchlässt,... Wenn du schon deinen Familienmitgliedern nicht vertrauen kannst...
 
Danke erstmal für die Antworten.
Reden und Vertrauen ist nicht das Problem. Es sind auch Kinder und auch mal Besuch da und die wollen auch mal ins Internet weil die Netzabdeckung nicht gut ist.
Leider geht es recht schnell das jemand mal einen blöden Link klickt und zack hat man 10 Sekunden was angeschaut und schon flattert ein Brief rein.
 
Leider geht es recht schnell das jemand mal einen blöden Link klickt und zack hat man 10 Sekunden was angeschaut und schon flattert ein Brief rein.
naja also torrent ist nicht mal eben mit "upsi" zu erklären, da braucht man einen client pipapo für
 
  • Gefällt mir
Reaktionen: Raijin, NJay, mojitomay und 2 andere
Und dann ist man geschützt? Kenne mich mit dem Freifunk Thema nicht aus, aber wenn es dienlich ist das zusätzlich zu integrieren, warum nicht
 
Hi,

wie in anderen Threads hier, die Technik nimmt dir nicht das Risiko! Du kannst nur eine Umgebung aufbauen und mit den Boardmitteln dies steuern. Am Ende bleibt der Mensch das Problem. Und da sehe ich eher "Unwissende" (egal welches Alter), als Risiko. Ob Besucher oder die Familie. Sie umgehen sofern es geht die Regeln.

Ein Grundaufbau nimmt dir einiges ab, aber der "Schaden" entsteht heute durch andere Ursachen. Nicht nur Filesharing birgt gefahren, sondern viele andere Themen auch:

Arten von Angriffen:

  1. Phishing: Hierbei handelt es sich um betrügerische Versuche, an sensible Daten wie Benutzernamen, Passwörter und Kreditkartendetails zu gelangen, indem man sich als vertrauenswürdige Einheit ausgibt.
  2. Malware: Dies sind schädliche Softwareprogramme wie Viren, Würmer, Trojaner, Ransomware, Spyware, Adware, Scareware usw.
  3. Man-in-the-Middle-Angriffe (MitM): Bei diesen Angriffen fängt der Angreifer die Kommunikation zwischen zwei Parteien ab und kann sie möglicherweise manipulieren.
  4. Denial-of-Service-Angriffe (DoS): Diese Angriffe überfluten ein Netzwerk oder einen Server mit Traffic, um ihn lahmzulegen und den legitimen Benutzern den Zugang zu verwehren.
  5. Brute-Force-Angriffe: Hierbei handelt es sich um Versuche, Passwörter oder Schlüssel durch wiederholtes Ausprobieren zu erraten.
Schwachstellen:

  1. Ungepatchte Software: Software, die nicht auf dem neuesten Stand ist, kann bekannte Sicherheitslücken aufweisen, die von Angreifern ausgenutzt werden können.
  2. Schwache Passwörter: Einfache und leicht zu erratende Passwörter können ein leichtes Ziel für Angreifer sein.
  3. Offene Netzwerke: Unverschlüsselte oder offene WLAN-Netzwerke können es Angreifern leicht machen, den Datenverkehr abzufangen.
  4. Physischer Zugriff: Wenn jemand physischen Zugriff auf das Notebook hat, kann er möglicherweise auf Daten zugreifen oder Malware installieren.
 
  • Gefällt mir
Reaktionen: trkiller
Gäste kommen auch ohne Internet aus.

Und mal "daneben" klicken...ja, möglich, aber dass dann sofort ein Brief rein flattert, wohl eher nicht. Da muss man schon öfters daneben klicken...
 
mach dich mit OPNSense bekannt und Zenarmor, das deckt deine Bedürfnisse.
 
  • Gefällt mir
Reaktionen: wahli, Raijin und trkiller
Das man natürlich nicht alles abdecken kann ist mir klar aber wenn man zumindest mal einen Grundschutz hat, ist das ok.

Gäste können natürlich ohne auskommen, aber wie es so ist, wird man das nicht umgehen können.
 
trkiller schrieb:
Reden und Vertrauen ist nicht das Problem. Es sind auch Kinder und auch mal Besuch da und die wollen auch mal ins Internet weil die Netzabdeckung nicht gut ist.
Dazu kann ich nur sagen, dass man als Gastgeber in keinster Weise dazu verpflichtet ist, seinen Gästen den Zugang zum Internet zu ermöglichen, wenn diese schlechten Empfang oder gar einfach nur kein Datenvolumen mehr haben. Ich persönlich kann diesen Gedankengang nicht wirklich nachvollziehen, weil ich selbst nie auf die Idee käme, das bei anderen einzufordern, wenn ich dort zu Besuch bin. Klar bin ich auch irgendwie 24/7 online, aber ich krepiere nicht gleich, wenn ich mal Freunde oder Familie besuche und eine Zeit lang kein Internet habe. Musst du natürlich selbst wissen, just my 2 cents.

trkiller schrieb:
Leider geht es recht schnell das jemand mal einen blöden Link klickt und zack hat man 10 Sekunden was angeschaut und schon flattert ein Brief rein.
Ganz so schnell geht das dann doch nicht. Aber wie schon erwähnt ist der Schutz vor sowas gar nicht so einfach. DNS-Blocker sind binnen Sekunden zu umgehen und selbst IP oder Port basierte Sperren können nur das blocken, was die Sperrlisten hergeben - von Anwendungen mit dynamischen Verbindungen ganz zu schweigen.
VPN-Verbindungen hebeln lokale Sperren sowieso komplett aus und darüber kann letztendlich jeder Mist gebaut werden, den du dir vorstellen kannst.


Man muss schon Geschütze auffahren, die in Richtung professionell gehen, um einigermaßen abzusichern. Das geht dann aber schon ziemlich tief und braucht ggfs auch reichlich Performance, zB wenn DPI zum Einsatz kommt, womit auch VPNs erkennbar und blockbar wären. Der Aufwand kann daher beträchtlich sein und dennoch gibt es stets Möglichkeiten, auch diese Maßnahmen zu umgehen.


Das A und O ist und bleibt daher zwischenmenschliche Kommunikation und Aufklärung, auch und insbesondere mit Kindern. Ich habe solche Gespräche beispielsweise mit meinem Neffen geführt, weil er von einem Kumpel den Tipp bekam, dass man Anime-Serien auf bestimmten Seiten ja kostenlos gucken könne. Natürlich hätte ich da auch ne dicke Firewall mit allem pipapo hinstellen können, aber dann hätte er irgendwann den Tipp mit VPN bekommen und ich hätte nachrüsten müssen. Und wenn alle Stricke reißen, nimmt er sein Handy als Hotspot oder was weiß ich.


Wie auch immer, Firewalls wie OPNsense ergänzt durch Plugins wie Zenarmor gehen in die Richtung, aber man muss sich immer dessen bewusst sein, dass die Sicherheit nicht durch den bloßen Einsatz solcher Systeme kommt, sondern durch die fachgerechte Konfiguration. Wenn man der Firewall nicht sagt, dass sie etwas blocken soll, wird sie es auch nicht tun. Weiß man nicht was man der Firewall dazu sagen soll, weil einem die Lücke gar nicht bewusst ist, bleibt sie offen.
 
  • Gefällt mir
Reaktionen: wahli und duAffentier
Zurück
Oben