Neuaufbau Heimnetzwerk - Bitte um Tipps beim Aufteilung/HW-Kauf

[Raijin]

Ich glaube mittlerweile sind so ziemlich alle Möglichkeiten ausdiskutiert und wir fangen an, uns im Kreis zu drehen. Erst VLANs, dann RADIUS, Routerkaskade ohne VLANs, wieder RADIUS, dann Routerkaskade mit VLANs, dann wieder VLANs und so weiter. Alles in allem ist das nicht zielführend und ich habe nicht das Gefühl, dass @eehm auf Seite 4* auch nur einen Schritt näher an einer Lösung dran ist als in Beitrag #1.




* Ok, jetzt hab ich hiermit Seite 5 gestartet...

 

[eehm]

Ich glaube mittlerweile sind so ziemlich alle Möglichkeiten ausdiskutiert und wir fangen an, uns im Kreis zu drehen. Erst VLANs, dann RADIUS, Routerkaskade ohne VLANs, wieder RADIUS, dann Routerkaskade mit VLANs, dann wieder VLANs und so weiter.

Ja, da hast du leider recht. Wobei ich eigentlich dachte, dass die Routerkaskade mit VLANs meine Lösung sein könnte. Aber wie bender sicher richtig schreibt, habe ich hier auch wieder einen Denkfehler drin und muss da sicher einen anderen Weg einschlagen.

Also wenn Du vor der Entscheidung stehst, ob Router-Kaskade oder UniFi, dann bitte UniFi.

Nur um mir jetzt mal alle Möglichkeiten aufzuzeigen.
Welche HW würdest du mir empfehlen unter den Gegebenheiten und der Voraussetzung, dass die Fritzbox mindestens als DSL-Modem und für die Telefonie bleiben muss?


Aber alles im allem muss ich hier wohl noch viel mehr lesen und mich schulen oder wohl leider nur bei den Fritz-Produkten bleiben.

 

[norKoeri]

Hatte ich eigentlich schon gepostet. Aber ich meine inzwischen, Du lernst besser am Beispiel, also mit Deinem bisherigen Kenntnisstand einfach mal praktisch anfangen. So würde ich das Stand heute machen:

1. DSL-Modem: gebrauchte Digitalisierungsbox Basic (in der Betriebsart Modem-Modus) oder …
2. Router: UDM-Pro; hier dann bitte auf IPv6 erstmal verzichten
3. Switch: USW-24-POE
4. WLAN: U6-PRO
5. Telefonie: gebrauchte FRITZ!Box mit FRITZ!OS 7.5x (aktuell zu sehen im FRITZ!Labor; später hier …)
   im Modus IP-Client und mit automatischer Portweiterleitung (Punkt 8.1) oder wenn alles DECT, dann Gigaset GO-Box 100 über eBay-Auktion unter dem Stichwort „gigaset go“.

 

[bender_]

Mal Butter bei die Fische, wie ich das angehen würde:

Zyxel:

• 20 € für die Digitalisierungsbox Basic als DSL-Modem, gebraucht
• 40 € für die FRITZ!Box 4040 als Internet-Router, gebraucht
• 450 € für den Zyxel GS1920-24HP als PoE-Switch
• 500 € für sechs Zyxel NWA50AX als WLAN-Access-Points
• Kameras überlasse ich Dir.

TP-Link:

• 20 € für die Digitalisierungsbox Basic
• 40 € für die FRITZ!Box 4040
• 300 € für den TP-Link TL-SG2428P
• 500 € für sechs TP-Link Omada EAP615-Wall (Wand) oder TP-Link Omada EAP610 (Decke)
• Kameras überlasse ich Dir.

So würde ich das Stand heute machen:

1. DSL-Modem: gebrauchte Digitalisierungsbox Basic (in der Betriebsart Modem-Modus) oder …
2. Router: UDM-Pro; hier dann bitte auf IPv6 erstmal verzichten
3. Switch: USW-24-POE
4. WLAN: U6-PRO
5. Telefonie: gebrauchte FRITZ!Box mit FRITZ!OS 7.5x (aktuell zu sehen im FRITZ!Labor; später hier …)
   im Modus IP-Client und mit automatischer Portweiterleitung (Punkt 8.1) oder wenn alles DECT, dann Gigaset GO-Box 100 über eBay-Auktion unter dem Stichwort „gigaset go“.

Also, was jetzt?
DSL Modem braucht er nicht, da ne Fritze schon da ist. Extra Router und Telefonie entfällt dadurch auch.
Aber über 1000€ für Ubiquiti Spielzeug ausgeben bei dem man auf IPv6 verzichten und noch ne GoBox kaufen soll?
Denkst Du eigentlich auch mal nach, was Du den Leuten empfiehlst oder erzählst Du von deinem feuchten Traum aus der vergangenen Nacht?

 

[Engaged]

Noch eine Frage zum Fritz Gastzugang und den Broadcasts.
Kann es eigentlich sein, dass ich eine Tonies-Box nicht ins Gast-WLAN bekommen habe, weil hier ggf. Broadcasts unterbunden werden?

Wahrscheinlich musst du für den gastzugang nur HTTP Verbindung mit freigeben, warum das default gesperrt ist keine Ahnung, ohne das Gehen schon einfachste Sachen nicht.

 

[eehm]

Vielleicht muss ich nochmal kurz schreiben, was ich gerne hätte, da ich eigentlich dachte ich wäre mit der ausgewählten HW und der Kaskade am Ziel.

• Internetzugang zum Provider und Telefonie über die Frizbox
• LAN1 und LAN4 der Fritzbox auf den Switch (POE)
  • LAN1 -> VLAN10 (Hauptnetz)
  • LAN4 -> VLAN30 (Gast)
• Access-Points am Switch (POE) per Trunk-Port
  • 2 SSIDs für
    • VLAN10
    • VLAN30
• Eingruppierung der Geräte in die entsprechende VLANs
  • An den Netzwerkdosen: über MAC-Filter
  • An den Access-Points: über SSIDs
• 2. Router für die Kaskade
  • Verbindung mit Fritzbox LAN2 -> WAN (Router2)
  • LAN1 (Router 2) geht auf den Switch (POE) und bildet VLAN20
    • hier hängen dann die Außen-Kameras

 

[bender_]

Vielleicht muss ich nochmal kurz schreiben, was ich gerne hätte

Das steht da nicht. Da steht, wie Du meinst gewisse Ziele umsetzen zu müssen.
Was Du gerne hättest ist, denke ich:

1. Internetzugang zum Provider über DSL und Telefonie mit Fritzbox
2. Einen AP auf jeder Etage mit Gast WLAN
3. Außenkameras
4. Schutz vor ungewollter Verwendung der Außenanschlüsse durch Eindringlinge

Wir wiederholen:

1. ist ja schon durch.

2. löst Du über Fritz Repeater oder APs, die selbst Gast WLAN können. Dafür ist kein VLAN nötig, außer Du möchtest ein Gast LAN damit verknüpfen. Dann würde auch ein VLAN fähiger Switch Sinn ergeben.
Du hast dann 2 VLAN die von der Fritzbox statisch vorgegeben sind und die Du nur darüber reglementieren kannst. Nicht mehr und nicht weniger.

3. wenn mit PoE, dann halt per Injektor oder extra Switch - Produkte wurden empfohlen. Ein MAC Filter bringt keine Sicherheit. MAC Spoofing ist der wahrscheinlich älteste Trick im Netzwerkhacking und vergleichbar mit dem Abkleben des Schlüssellochs der Eingangstür mit Tesafilm auf dem draufsteht, dass der Schlüssel unter der Fußmatte liegt.

4. Routerkaskade, wie empfohlen. Dazu brauchst Du kein VLAN. Die Empfehlung ist Subnetz mit whitelist der benötigten Ports. Im Gegensatz zum MAC Filter, setzt Du eine Firewall zwischen die Anschlüsse und deinem Netzwerk, die nicht auf Basis der Kennung der Endgeräte funktioniert sondern eine Netzzone erschafft, die deinen Regeln unterliegt, die Du flexibel anpassen kannst und nicht abhängig von den MAC Adressen der Endgeräte ist. Wenn die whitelist sagt, es geht nur Port 5555 durch, dann kommt derjenige nur über diesen Port durch dein Netzwerk bis ins Internet - nicht rechts und nicht links davon. Er schafft es bis zur Firewall des Router 2 und nicht weiter.

War alles auf Seite 2 mit den ergänzenden Beiträgen #33 und #37 geregelt...dachte ich zumindest.

 

[eehm]

Was Du gerne hättest ist, denke ich:

1. Internetzugang zum Provider über DSL und Telefonie mit Fritzbox
2. Einen AP auf jeder Etage mit Gast WLAN
3. Außenkameras
4. Schutz vor ungewollter Verwendung der Außenanschlüsse durch Eindringlinge

Ja, das trifft es fast.
Dazu hätte ich es aber gerne noch, dass ich per MAC-Filter definieren kann in welches VLAN bzw. logisches Netz der Fritzbox ein Endgerät eingereiht wird, wenn es an eine Netzwerkdose angeschlossen wird.

Zum Beispiel:

Gerät (z.B.)	LAN/WLAN	VLAN/Netz	Methode
PC (bekannt)	LAN	VLAN10/LAN1 (Fritz)	MAC bekannt, dann Einlass
PC (unbekannt)	LAN	VLAN30/LAN4 (Fritz)	MAC nicht bekannt, dann in VLAN30/LAN4 (Fritz)
Handy (bekannt)	WLAN	VLAN10/LAN1 (Fritz)	SSID_VLAN10/LAN1
Handy (unbekannt)	WLAN	VLAN30/LAN4 (Fritz)	SSID_VLAN30/LAN4

wenn mit PoE, dann halt per Injektor oder extra Switch - Produkte wurden empfohlen. Ein MAC Filter bringt keine Sicherheit. MAC Spoofing ist der wahrscheinlich älteste Trick im Netzwerkhacking und vergleichbar mit dem Abkleben des Schlüssellochs der Eingangstür mit Tesafilm auf dem draufsteht, dass der Schlüssel unter der Fußmatte liegt.

Das wurde dann leider falsch verstanden.
Der MAC-Filter wäre für den Usecase im Haus.
Allerdings jetzt noch eine Frage zu diesen Punkt.
Durch die Router Kaskade und die Withelist ist ein MAC-Filter an der Stelle so und so nicht nötig, weil nur die Kameras zur Fritz-Box ins "LAN1" durchgelassen werden. Alles andere bleibt für die Fritz Box unsichtbar.
Allerdings verstehe ich nicht, was dagegen sprechen würde die beiden LAN-Ports vom Router 2 für die Kameras auf den Switch zu legen und dann über einen weiteren LAN-Port (inkl. POE) auf die Kameras zu gehen und so den POE-Injektor einzusparen, weil der Switch schon POE kann?

 

[bender_]

Dafür taugt dein MAC Filter aber nicht. Schon heute verwenden viele Geräte zufällig generierte MAC Adressen.
Für die Umsetzung deiner Tabelle benötigst du Policy based Routing, dass wie gesagt keines deiner angedachten Geräte kann.
Dazu kommt, dass sowohl in Subnetzen und auch VLANs normalerweise keine gerätebasierten Regeln aufgestellt werden, sondern der Zugriff der Netze untereinander reglementiert wird.
Gerätebasierter Zugriff macht man normalerweise per Authentifizierung. Das gienge mit nem Captive Portal oder halt eben Radius.

Aber auch jetzt hast du wieder deine selbst ausgedachte Lösung für ein nicht definiertes Problem dargestellt.

 

[eehm]

Dafür taugt dein MAC Filter aber nicht. Schon heute verwenden viele Geräte zufällig generierte MAC Adressen.
Für die Umsetzung deiner Tabelle benötigst du Policy based Routing, dass wie gesagt keines deiner angedachten Geräte kann.

OK, bei mir funktioniert mein MAC-Filter in der Fritzbox aktuell zwar, aber wenn da immer mehr Geräte kommen welche die MAC generieren, dann kann man das sein lassen auf diese Art. Danke für deine Info.
Ich denke ich habe es jetzt langsam eingesehen.
Ich werde mit meinem Wissen wohl leider exklusiv bei den Fritz Produkten bleiben müssen und nur die Kamera an die Router-Kaskade hängen.
Mehr ist mit meinem Wissen wohl leider nicht zu bewerkstelligen!
Ist zwar bitter die Erkenntnis, aber besser als ein offenes Scheunentor!

 

[bender_]

Ich werde mit meinem Wissen wohl leider exklusiv bei den Fritz Produkten bleiben müssen und nur die Kamera an die Router-Kaskade hängen.
Mehr ist mit meinem Wissen wohl leider nicht zu bewerkstelligen!
Ist zwar bitter die Erkenntnis, aber besser als ein offenes Scheunentor!

Das klingt gerade so, als wäre das ne Bankrotterklärung.
Willst Du der Technik dienen oder soll die Technik dir dienen? Mir ist es wurscht, mit was Du deine Lebenszeit verbringst, für deine Anforderungen reicht halt AVM Zeug um dir zu dienen.
Mein Ansatz war dir eine einfache, beherrschbare und relativ günstige Lösung für deine Anforderung aufzuzeigen. Das muss Dich ja nicht davon abhalten Spielzeug zu kaufen. Viele Wege führen zum Ziel. Und zumindest für WLAN und Gast-WLAN musst Du nicht unbedingt auf Fritz Produkte setzen.
VLANs machen dein Setup nicht besser sondern nur komplexer. Hast Du Spaß daran die komplexere Struktur zu betreuen, go-for-it!

 

[eehm]

Das klingt gerade so, als wäre das ne Bankrotterklärung.

Nein, wirklich nicht.
Ich bin nur zu dem Entschluss gekommen, dass ich nichts aufbauen kann, was ich nicht mal von Außen testen kann, ob es am Ende auch sicher ist. Somit muss ich zu bewerten und sicherem greifen oder mich langsam und stetig rantasten.

Und zumindest für WLAN und Gast-WLAN musst Du nicht unbedingt auf Fritz Produkte setzen.

Also das andere ist jetzt wirklich abgehackt, aber auch das Thema APs verstehe ich noch nicht ganz, wenn ich nicht bei den Fritz Produkten bleibe.
Folgendes Szenario:
Ich möchte an einer Doppelnetzwerkdose an der beide Anschlüsse auf ein Switch (POE-Switch oder Injektor ist jetzt mal egal) gehen einen WLAN-AP mit POE anschließen.
Der AP soll mindestens folgendes bereitstellen:

• SSID_1: LAN1 (Fritzbox)
• SSID_2: LAN4 (Fritzbox-Gast)

Dann sehe ich ohne VLAN nur zwei theoretische Möglichkeiten.

• Je ein separater AP für SSID_1 und SSID_2
  • jeder dieser AP hängt an einem separaten LAN-Kabel
• AP mit zwei LAN-Eingängen
  • je LAN Eingang stellt er eine SSID bereit

In beiden Fällen ist die gesamten Netzwerkdose belegt, weil ich mit einem LAN-Kabel nicht auskomme.
Oder ich habe es immer noch nicht verstanden und das geht auch mit einem Kabel (kein Fritz AP), dann wäre ja alles super!

 

[rezzler]

Oder ich habe es immer noch nicht verstanden und das geht auch mit einem Kabel (kein Fritz AP), dann wäre ja alles super!

Ohne VLAN hast du allerdings recht.

Du könntest natürlich zur Bastellösung Kabel splitten greifen, dann gingen beide LANs über ein Kabel. Nachteil: Beide LANs sind dann auf maximal 100 MBit/s gedrosselt. PoE wäre dann auch zu beachten, weil der PoE-Switch/Injektor dann Phantomspeisung beherrschen muss.

Ein Problem gelöst, zwei neue aufgemacht

 

[bender_]

Der AP soll mindestens folgendes bereitstellen:

• SSID_1: LAN1 (Fritzbox)
• SSID_2: LAN4 (Fritzbox-Gast)

Wozu denn?
Welche Anwendung denkst Du muss ein GastWLAN mit einem GastLAN verknüpfen?
Welche Anwendung hast du überhaupt für ein GastLAN?

 

[eehm]

Also aktuell missbrauche ich das Gast-LAN (LAN4 an der Fritzbox) als auch das Gast-WLAN für meine Arbeits-Notebook im Home-Office. Das Gerät möchte ich bestimmt nicht in meinem Hauptnetz haben, aber ich möchte es im Haus theoretisch an jedem Ort mit WLAN und an jeder Dose benutzen können.
Das wäre jetzt ein Anwendungsfall den ich in der alten Wohnung über ein Jahr so zufriedenstellend nutzen konnte.
Falls es kein Grund ist, dann bitte aufklären und ich bin dankbar dafür!

Edit: in der Wohnung hatte ich nur einen Netzwerkanschluss wo das GastLAN ging. Sonst musste ich am Switch umstecken!

 

[bender_]

meine Arbeits-Notebook im Home-Office

Wie baust Du die Verbindung zu deinem Arbeitgeber auf?
Wieso glaubst Du dieses Gerät ist eine Bedrohung für dein Heimnetz?

 

[eehm]

Wie baust Du die Verbindung zu deinem Arbeitgeber auf?

Per VPN-Verbindung.
Aber vor dem Aufbau der Verbindung ist es in meinem LAN.

Wieso glaubst Du dieses Gerät ist eine Bedrohung für dein Heimnetz?

Überhaupt keine, aber ich möchte es halt nicht in meinem Heimnetz haben.
Das ist denke ich ähnlich wie Leute per Anhalter im Auto mitnehmen. Passieren tut wahrscheinlich so gut wie nie etwas, aber machen tun es in meinem Bekanntenkreis eigentlich so gut wie keiner.

 

[bender_]

Per VPN-Verbindung.
Aber vor dem Aufbau der Verbindung ist es in meinem LAN.

Beides ist weniger bedenklich als eine Alexa oder deine Smartphones in dein Hauptnetz zu lassen. Da sowohl der Laptop als auch das Firmennetz in Profihand weit sicherer sein werden.
Sobald dein Firmenlaptop im VPN Tunnel hängt, läuft über dein LAN nur noch die verschlüsselte Kommunikation, außer Du oder deine IT haben eine explizite Brücke aktiviert, was ich für sehr unwahrscheinlich halte - und selbst wenn stellt das eine geringere Bedrohung für dein Netz als übliche Consumer-Endgeräte.

 

[eehm]

Ich denke Du meinst das Richtige und es wird auch so funktionieren, wie Du dir das denkst.
Ich bediene mich mal einem Schaubild aus dem PC Magazin:
Anhang anzeigen 1307085
Deine Fritze bildet Netzwerk 1 (die Kamera 1 musst Du dir ins Subnetz denken)
Der zusätzliche Router der Kaskade bildet Netzwerk 2
An Router 2 stellst Du ein, welche Dienste aus dem Netzwerk 1 an welchen Geräten in Netzwerk 2 erlaubt sind.
Du öffnest dazu die Firewall nur für die IP-Adressen und Ports der Kameras. Alle anderen Verbindungen zum Netzwerk 1 werden blockiert.
Jedes weitere Gerät, dass Du an den LAN Anschlüssen oder am WLAN des Router 2 betreibst, unterliegt den gleichen Regeln, die Du für die Kommunikation zwischen Router 1 und Router 2 durch die Firewall von Router 2 definiert hast.

Ich habe mich jetzt mit dem Thema Netzwerk schon einige Zeit beschäftigt und hätte nochmals eine Frage/Anmerkung zu diesem Vorschlag.

Wenn die Kamera 1 im Subnetz wäre und man davon ausgeht, dass die Ports von außen zugänglich sind, dann würde das heißen, dass man einfach vom Subnetz ins Hauptnetz kommt.
Man ist im Subnetz durch anstecken des Kabels nämlich im LAN des Subnetzes und jeder Standard-Router interpretiert LAN als "gut". Somit kommt man durch diesen Tunnel ohne Probleme ins WAN ("böse") und somit ins Hauptnetz.
Anders herum würde man in der Standard-Konfiguration der Router nicht vom LAN des Hauptnetzes in das LAN des Subnetzes kommen, weil der Router 2 diese Richtung als das "böse Internet" interpretieren würde.

Soll heißen nach meinen Verständnis wäre es der Gau es so aufzubauen.
Hast du vielleicht doch gemeint die Kamera bleibt im Hauptnetz und das Subnetz wird mein "neues hauptnetz"?

 

[h00bi]

Schutz vor ungewollter Verwendung der Außenanschlüsse durch Eindringlinge

ich realisiere das übrigens so (an einem sackteuren und uralten HP Procurve Switch):
Jeder Kamera Port muss bei Link aktiv freigeschaltet werden. Trennt jemand die Kamera, verliert der Switch den Link. Der Port bleibt beim Anschluss eines neuen Geräts tot, bis er wieder aktiviert wurde.

Nachteil:
Manuelles aktivieren im Fehlerfall bzw. bei Manipulationsversuch
Vorteil:
Port aus = Handlungsbedarf weil Fehler oder Manipulationsversuch

Ich wüsste jetzt keinen anderen Switch der das kann, weil ich auch nicht weiß wie dieses Feature genau heißt. Aber da kann sicher jemand hier Licht ins Dunkel bringen.

Ergänzung (22. Januar 2023)

bei mir funktioniert mein MAC-Filter in der Fritzbox aktuell zwar, aber wenn da immer mehr Geräte kommen welche die MAC generieren, dann kann man das sein lassen auf diese Art. Danke für deine Info.

Geräte verwenden i.d.R. die gleiche generierte MAC für die gleiche SSID.
Man kann das auch umstellen auf immer die gleiche oder bei jedem Connect eine neue MAC. Macht aber kaum jemand, >90% sind in der Standardeinstellung.
Trotzdem sind MAC Filter unnötig. Sobald Datenverkehr in deinem Netz ist, sniffe ich mir innerhalb weniger Sekunden eine gültige MAC und verwende die. Das ist keine Hürde für jemanden, der dein WPA2 Passwort knacken kann. Es macht dir nur unnötigen Administrationsaufwand.