phylanx schrieb:
Hi, ich stehe vor einem ähnlichen Problem.
@bart1983 hast du dein Projekt umgesetzt und wenn ja, was ist dein Set-up?
Ja, habe es gelöst. Habe mein Netzwerk umgebaut.
Dafür muss ich aber meine Gedanken im Vorfeld erörtern:
Ich wollte relativ geringe Kosten bei maximaler Flexibilität, Stromersparnis und Sicherheit.
Meine eigene Fritzbox 6690 samt deren Funktionen (also als Modem, wifi6, Wireguard-VPN, Smarthome-Zentrale, DVB-C Streaming, Telefonie, NAS) sollte weiterhin der zentrale Punkt sein. War damit zufrieden & musste jetzt auch nicht verkompliziert werden. Die alte Fritzbox 6490 habe ich nicht genutzt, da die Firmware zu wenig Optionen bietet & es ein Providergerät ist.
Wegen Wartung und Problemanalyse - auch durch andere Familienmitglieder - wollte ich dazu eine einfache und normale SOHO-Konfiguration behalten.
Dh der Weg des normalen Heimnetzes sollte weiterhin der Standard: "Kabelinternet-coax -> Fritzbox -> Heimnetz" sein.
Also nix crazy mit einem neuen Modem, samt Hardwarefirewall. Okay, nutze pihole als DNS mit einem RaspberryPi, aber mehr "Spielerei" ist nicht.
Wie habe ich aber die Client-Isolierung und mein IoT-Netz neu aufgebaut?
Ganz vereinfacht gesagt:
Fritzbox -> ethernetkabel -> OpenWRT Router -> Ehternetkabel -> Proxmox-Rechner -> virtueller Server
Habe also einen OpenWRT-Router genommen, dann ein Proxmox-cluster mit drei stromsparenden MiniPCs (11W pro PC) aufgebaut. Die Webserver/Server sind also virtuelle Rechner.
Die MiniPCs haben 2 Netzwerkkarten. Eine für die Administration und Zugriff über das Fritzbox-Netz und die andere NUR für die virtuellen Server/clients. So das die virtuellen Server keinen Zugriff auf das FB-Netz haben.
Kommt eine 443er Anfrage über die DynDNS-url, landet sie zuerst bei der Fritzbox, dort gibt es natürlich eine Portfreigabe und leitet es dann an den OpenWRT-Router weiter.
Der OpenWRT-Router schaut, welcher Port angefragt ist & leitet die Anfrage je nach Port an den entsprechenden virtuellen Server (der ja nur auf einem Proxmox-Nods läuft) weiter.
Im OpenWRT-Router habe ich 2 getrennte Netze eingerichten. Beide haben ihre eigenen DHCP-Adressbereich.
Das schon erwähnte für die virtuellen Rechner ist rein Ethernetkabel-basiert (daran sind die drei Proxmox-Nodes angeschlossen) und das OpenWRT-Wifi ist nur für IoT-Geräte reserviert. Alle Netze sind natürlich von einander per OpenWRT Firewall getrennt ("alle Packages werden gedropt")
Zugriff von den virtuellen Server auf den OpenWRT-Router selbst ist - je nach Einsatzgebiet der virtuellen Server - per Proxmox-firewall geblockt, so das diese virtuellen Server absolut keine Chance haben auf den OpenWRT-Router (auch nicht per Telnet, SSH und sogar nicht mal per ping) zuzugreifen.
Das Positive mit Proxmox: Es kostet absolut nichts, ist sehr flexibel, man hat die Vorteile von virtuellen Maschinen wie Sicherung, Duplizieren und kann HA (high availability: Die virtuelle Maschine kann bei Hardwaredefekt auch von einem anderen Proxmox-Node bereitgestellt werden & das automatisch).
Klar geht es sicherlich professioneller. Mit der Lösung bin ich aber sehr zufrieden.
Sie ist sicher, recht flexibel (Hypervisor Proxmox kann man für vieles andere auch nutzen), ich habe damit mein IoT-Netz gebändigt und dadurch das der ganze Proxmox-Kladderadatsch "hinter" der Fritzbox liegt (also es ist ja nur ein Ethernetkabel), ist es für den Betrieb des Hauptnetzes absolut nicht relevant und kann von Jedem gewartet werden, selbst wenn ich mal nicht da bin.
Es ist auch relativ kostengünstig.
Habe mir einen TP-Links Router der die neueste OpenWRT-Firmware erlaubt für 10€ über Kleinanzeigen geholt.
Dazu zwei Mini-PCs (einen hatte ich schon) für jeweils 90€ und drei 2,5Gbit Netzwerkkarten für jeweils 23€.
Das war es.
Wenn du kein HA brauchst, reicht auch nur ein Mini-PC oder eben irgendwein altes Gerät.
Proxmox basiert aud Debian, dh anders als VMWare ist es nicht zickig & läuft beinahe überall.
Ein anderer positiver Effekt von dieser Lösung: Wenn ich mal einen anderes Gerät (zB. RaspberryPi) in ein sichere Netz hauen muss, einfach an eines der beiden OpenWRT-Netze anschließen. Kein große Konfiguration im Router, kein Gäste-WLAN. Anscluss und schon ist man in einem sicheren/isolierten Netz.
Oh, sehe gerade, viel zu viel geschrieben. Wenn noch Fragen sind, einfach anhauen.
@norKoeri
Du hast sicherlich recht mit deiner Router-Kaskaden Bemerkung. Dieses Vorgehen löste aber am besten die von mir gewünschten Vorgaben. Geht sicherlich schlauer/besser, aber für meine Belange reicht es.
