Zugriff aus Heimnetz ins Gastnetz

[SaxnPaule]

Hallo Community,

ich habe hier folgendes Setup:

Router AX88U (Merlin-WRT) mit zwei WIFI Netzen

• Heimnetz (192.168.0.0/24)
• Gastnetz (192.168.101.0/24) - Keine Möglichkeit das Subnetz manuell zu ändern

Jetzt möchte ich mit einem Gerät aus dem Heimnetz auf ein Gerät im Gastnetz zugreifen. Mein Router scheint auf den ersten Blick keine entsprechende Möglichkeit zu bieten.


Konkret geht es um ein Balkonkraftwerk, welches ich ins Gastnetz gesperrt habe und dessen integrierte DTU ich gern auslesen möchte. Das funktioniert aber nur, wenn sich mein Smart-Home Server (Debian) und das BKW im gleichen Netz befinden bzw. ein Zugriff vom Server auf das BKW gegeben ist.

Hat jemand einen Lösungsansatz, der ohne zusätzliche Hardware auskommt?

 

[mfJade]

Der Sinn des Gastnetzes ist ja dass man nicht auf das Heimnetz zugreifen kann. Vllt könntest du bridgen wenn du den Server per WLan oder zweitem LAN-Port noch zusätzlich ins Gastnetz holst.

 

[SaxnPaule]

Dass man aus dem Gastnetz nicht ins Heimnetz kommt ist mir klar und soll natürlich auch so bleiben. Darum ist das BKW ja auch im Gastnetz .
Mir geht es um den umgekehrten Weg (Heim => Gast).

Aktivieren der WIFI NIC im Server wäre noch eine Idee. Braucht natürlich wieder extra Strom. Zudem ist dann fraglich, ob Home-Assistant (im Docker Container) mit zwei NICs zurechtkommt.

 

[Michael]

Homeassistant kommt mit zwei NIC zurecht. Genau so habe ich es bei mir am Laufen. WIFI im Gastnetz und die andere NIC im LAN.

 

[Pete11]

Meldet sich Dein BKW an einem externen Server an oder kannst Du das einrichten?

 

[SaxnPaule]

Sowohl als auch. Das BKW funkt alle 30 Minuten in die Hoymiles Cloud. Per DTU bekomme ich aber alle 60 Sekunden aktuelle Werte.

Zusätzlich kann ich noch per Smartplug den erzeugten Strom abgreifen. Per DTU bekomme ich aber viel detailliertere Infos.

 

[d3nso]

Open- bzw ahoy DTU nutzen und die dann ins Heimnetz hängen ist keine Option?

 

[Raijin]

Ich kenne des Asus nicht, aber prinzipiell ist es Sinn und Zweck eines Gastnetzwerks, dass es vollständig vom Hauptnetzwerk isoliert ist. Ein gegenseitiger Zugriff - egal in welche Richtung - ist konzeptionell nicht vorgesehen und das ist auch richtig so.

Unabhängig ob Asus, Fritzbox oder was auch immer wäre daher die einzige Möglichkeit eine separate Verbindung zwischen Haupt- und Gastnetzwerk, sei es durch eine zweite Schnittstelle am Zielgerät oder durch einen kleinen Router zwischen den Netzen. Das ist allerdings mit größt möglicher Vorsicht zu genießen, da eben dieser zusätzliche Übergang die Sicherheit des Gesamtsystems bestimmt.

Das funktioniert aber nur, wenn sich mein Smart-Home Server (Debian) und das BKW im gleichen Netz befinden bzw. ein Zugriff vom Server auf das BKW gegeben ist.

Was heißt das genau? Meinst du damit, dass sich die beiden auf Layer 2 also MAC-Ebene finden und zB mittels Broadcasts, o.ä. kommunizieren? Das würde dann nämlich bedeuten, dass beide tatsächlich im selben Netzwerk liegen müssen und Routing nicht ausreicht. Man könnte höchstens mit einem Broadcast-Relay arbeiten, aber das ist auch nicht so das wahre.

Eine Alternative wäre ggfs eine VPN-Verbindung zwischen den beiden Geräten, aber auch da stündest du vor dem Layer2 Problem, wenn es denn ein Problem ist und der Asus überhaupt VPN zwischen den beiden Netzen erlaubt.

Alles in allem bleibt es aber dabei, dass ein Gastnetzwerk auch genau das ist was der Name impliziert, es ist für Gäste gedacht. Man kann es nicht mit einem universellen restriktiven Netzwerk an einem MikroTik, EdgeRouter, etc. vergleichen, weil man da natürlich volle Kontrolle über die Firewall hat. Wenn man es für Dinge wie Balkonkraftwerke o.ä. nutzt, wird das Gastnetzwerk sogesehen zweckentfremdet und kann ggfs nicht das leisten, was man sich davon erhofft.

 

[SaxnPaule]

Open- bzw ahoy DTU nutzen und die dann ins Heimnetz hängen ist keine Option?

Die funktionieren nicht mit den neuen HMS Wechselrichtern und sind wegen der integrierten DTU auch nicht mehr notwendig.

Meinst du damit, dass sich die beiden auf Layer 2 also MAC-Ebene finden und zB mittels Broadcasts, o.ä. kommunizieren?

Nein. Direkte Kommunikation über IP, also L3.

Alles in allem bleibt es aber dabei, dass ein Gastnetzwerk auch genau das ist was der Name impliziert, es ist für Gäste gedacht.

Dachte ich mir schon. Dann bleibt wohl tatsächlich nur der Weg über die zweite NIC.

 

[riversource]

Wenn du irgendwo eine Brücke zwischen Gast- und Heimnetz baust - egal in welche Richtung - kannst du dir den Aufwand der Trennung auch direkt sparen. Dazu gehört auch ein 2. NIC in einem Rechner im Netz.

 

[SaxnPaule]

@riversource Kannst du das bitte näher erläutern?

Meine Annahme war, dass es eventuell eine Möglichkeit gibt für ein dediziertes Gerät eine Route anzulegen, die es ermöglicht aus dem Heimnetz in das Gastnetz zu kommunizieren.

Wenn ich jetzt in Form des Servers beide Netze physisch miteinander verbinde, heißt das doch noch lange nicht, dass die Geräte der beiden Netze miteinander kommunizieren können. Außer natürlich, wenn der Server irgendwelche Routingaufgaben für andere Geräte im Netzwerk übernimmt.

 

[Raijin]

@riversource meint genau dasselbe wie ich es schon angedeutet habe. JEDE zusätzliche Verbindung zwischen Haupt- und Gastnetzwerk weicht das Sicherheitskonzept auf und hebelt es ggfs komplett aus, weil plötzlich Geräte zum potentiellen Gateway werden, die überhaupt nicht dafür geeignet und nicht gegen Missbrauch gesichert sind. Stark vereinfacht ausgedrückt: Wenn ein anderes Gerät im Gastnetzwerk eben das "Brückengerät" als Gateway verwendet, könnte es womöglich Zugriff auf das Hauptnetzwerk erlangen.

Wie wahrscheinlich das ist? Klar, das muss ein kompromittiertes Gerät sein, welches aktiv nach Zielen sucht, aber deswegen nutzt man ja das Gastnetzwerk, weil man den Geräten darin grundsätzlich nicht traut. Mam fürchtet also, dass sie allgemein ein gewisses Bedrohungspotenzial haben. Hebelt man die Sicherheitsmaßnahmen aktiv aus, kann man sie sich gleich komplett sparen.

 

[SaxnPaule]

Muss man dazu nicht explizit die beiden NICs in diesem Gerät auch brücken? Unter Windows als "Netzwerkbrücke" bezeichnet.

Ich dachte, wenn das nicht geschieht, gibt es eben keine Verbindung zwischen den Netzen, die durch andere Geräte nutzbar ist.

Ja, wenn jemand Zugriff auf den Server bekommt, kann er von dort aus weiter in das andere Netz gelangen. Wenn das passiert, hab ich aber ganz andere Probleme

 

[Raijin]

Denken heißt nicht wissen

Die Sache ist die: Im Router ist die Firewall explizit so konfiguriert, dass sie gegenseitige Zugriffe blockiert, weil das sein Job ist. Bei anderen Geräten ist es nicht sicher wie sie reagieren. IP forwarding ist womöglich aktiviert und die Firewall schlimmstenfalls auf default allow - und zack ist das offene Gateway komplett. Man kann das natürlich abstellen, aber es ändert nichts daran, dass das Sicherheitskonzept aufgeweicht wird, weil es zwei Angriffsvektoren gibt.

Im Prinzip ist es wie jede Hintertür zu einem Haus und jedes Fenster. Das schwächste Element entscheidet über die Einbruchssicherheit.

 

[SaxnPaule]

Mhh das ist natürlich blöd.

 

[norKoeri]

Kannst Du im Merlin-WRT – kenne das zu wenig – nicht eine dritte SSID anlegen, also ein zweites Heimnetz? Darin dann Dein böses Gerät. Und fallweise schaltest Du Deinen Computer dort rein.

 

[Raijin]

Niemand kann dir verbieten, es trotzdem zu tun. Das Risiko - wie groß oder klein es auch sein mag - trägst schließlich du und du bist auch derjenige, der dem Balkonkraftwerk misstraut. Inwiefern dieses Misstrauen gerechtfertigt ist, lässt sich von außen nicht beurteilen.

Wenn's so funktioniert wie @norKoeri vorschlägt, wäre es natürlich eine bessere Lösung.

 

[SaxnPaule]

@norKoeri Nein. Ich kann maximal 3 Wifis aufspannen. 2,4GHz, 5GHz und Guest.

Das fallweise "reinschalten" meines Computers geht nicht. Ich polle minütlich die Informationen von meinem Balkonkraftwerk. Daher benötige ich eine dauerhafte Lösung.

@Raijin Klar kann mir das niemand verbieten. Und ob das Misstrauen gerechtfertigt ist, weiß ich auch nicht. Letztenendes werde ich es vermutlich so machen wie mit meinen Kameras und dem Saugroboter auch. Ins Heimnetz hängen und den Zugriff nach draußen sperren. Durch die DTU habe ich ja eine rein lokale Lösung und mir fehlt lediglich die komfortable Konfigurationsmöglichkeit über die Cloud-Weboberfläche. Wenn von Nöten kann ich ja für diesen Zweck den Zugang wieder öffnen oder das Teil kurzzeitig ins Gästenetzwerk hängen. Rudimentäre Konfigurationen lassen sich ja auch mit dem geräteeigenen Hotspot durchführen.