Zwei Router hintereinander = DMZ für Arme?

[DFFVB]

Hallo zusammen,

ich hoffe, ich bringe mein Anliegen /meine Frage richtig rüber:

Ich habe vom Netzbetreiber eine Fritzbox 7530 - die ist soweit auch okay, aber das WLAN ziemlich mau. Zusätzlich habe ich einen Asus RT 88 U Router (ohne Modem), dahinter. Der hat sehr gutes WLAN. Im reinen Access Point Modus hat er Probleme mit dem Multiroom Lautsprechern zu kommunizieren, bzw vergisst sie immer bis zum nächsten Reboot. Es gibt jetzt zwei Möglichkeiten:

1. Man kann die FB auf Werkseinstellungen zurücksetzen und keine Zugangsdaten eintragen und Clients erlauben eigene PPPoe Verbindungen aufzubauen. So verhindert man doppeltes NAT.

2. Man kann aber auch den Asus Router glauben lassen er sei Router und ihm ne feste IP von der FB geben. Nachteil doppeltes NAT, wobei das Performance-mäßig bei mir wenig Auswirkungen zeigt. Mit Portweiterleitung und dem eingebauten DynDNS von AVM kann, man aber sogar den OpenVPN Server vom Asus nutzen.

So nun zum eigtl Punkt: Ich betreibe eine Nextcloud, auf welche ich bisher nur per OpneVPN zugegriffen habe. Letztlich geht das aber etwas auf die Performance und den Akku. Bei der Alternative die NC direkt ins Netz zu hängen (exposed host auf der FB, DMZ bei Asus), ist mir immer nicht so ganz wohl, auch wenn es da Tests von Qualys etc gibt. Insbesondere, wenn ich das richtig verstanden habe, die FB den exposed host nicht im Netz isoliert.

Die Idee: Wenn man nun im Setup 2, einen zweite NC Instanz dran hängt, mit den nicht so vertraulichen Daten, also vertretbaren Verlust, wenn sie gehackt werden würde, hat man doch noch theoretisch den zweiten Layer des Asus Router? Freilich würde ich versuchen auch hier zu härten, aber der Teufel ist ja ein Eichhörnchen :-)

Danke und Weihnachten.

 

[byJona]

Also ich verstehe das richtig, Du hast eine Fritzbox wo dein Internet vom Provider reingeht. An die Fritzbox ist ein Asus Router angeschlossen(Wie du beschreibst hoffentlich im WAN Port) Jetzt ist deine Idee deine Nextcloud an die Fritzbox zu hängen, und den Rest vom Netzwerk an den Asus Router damit es "sicherer" ist, richtig?

 

[arvan]

Warum gibst du dem ASUS nicht eine feste IP innerhalb des Netzes der FB (außerhalb des DHCP)?
Somit haben alle Geräte das gleiche Subnetz und können fehlerfrei kommunizieren und du hast kein doppeltes NAT und keinerlei Probleme und trotzdem gutes WLAN.

PPPoE Verbindungen mehrfach wird vermutlich nicht funktionieren, da kaum ein ISP das noch ermöglicht und es ist auch dermaßen unsicher.

 

[DFFVB]

@byJona - Jup LAN von der FB geht ins WAN des Asus. Die Idee ist eine NC an die FB zu hängen, mit Portforwardign auf diese NC Instanz. Diese soll dann direkt aus dem Netz erreichbar sein, ohne VPN. Hier sind auch weniger kritische Daten drinnen. Per VPN wird dann, wenn nötig auf die verschlüsselte NC am Asus zugegriffen.

@arvan Ich bin mir nicht sicher, inwiefern ich Dir folgen kann. In welchem Modus würde ich den Asus betreiben? Router oder Access Point? Und ich mache ja keine mehrfach PPPoE da ich die Fritzbox ja nicht anmelde, quasi blind lasse. Oder in Möglichkeit zwei, glaubt der Asus ein Router zu sein, bekommt aber einfach eine private IP von der FB

 

[Raijin]

Zusätzlich habe ich einen Asus RT 88 U Router (ohne Modem), dahinter. Der hat sehr gutes WLAN. Im reinen Access Point Modus hat er Probleme mit dem Multiroom Lautsprechern zu kommunizieren, bzw vergisst sie immer bis zum nächsten Reboot.

Den Part kann ich gerade nicht nachvollziehen. Was/wie/wo sollte der Asus als AP "vergessen"? Ein AP ist ein reiner Zugangspunkt wie der Name schon sagt. DHCP-Reservierungen übernimmt der Hauptrouter, da hat der AP also nix zu merken. Womit sich ein Client verbinden will, ist Sache des Clients. Auch hier hat der AP also nix zu melden. Die Probleme mit dem Asus erschließen sich mir daher nicht wirklich.

Wenn die Lautsprecher regelmäßig die Verbindung zum Asus verlieren, ist das natürlich etwas anderes, aber ich kann mir beim besten Willen nicht vorstellen, dass das nicht passiert, wenn der Asus nicht AP, sondern Router ist. Das WLAN an sich bleibt ja dasselbe?!

Wie dem auch sei, eine DMZ definiert sich dadurch, dass hier im Prinzip alle nach außen exponierten Geräte reingestellt werden. Die DMZ wird vom Rest des Netzwerks mittels Firewall getrennt. Diese Firewall ist so eingestellt, dass sie von der DMZ ins LAN ausschließlich antwortenden Verkehr zulässt, jedoch keinen Initialverkehr. Der Grundgedanke ist dabei, dass ein gehackter Server quasi in der DMZ eingeschlossen ist und nicht von sich aus das Hauptnetzwerk infiltrieren kann.

Request : LAN --> DMZ = erlaubt
Reply : LAN <-- DMZ = erlaubt

Request : DMZ --> LAN = verboten
Reply : gibt's nicht, weil der Request nie ankommt

Mit einem fortgeschrittenen Router mit mehreren LAN-Interfaces (nein, Fritzboxxen sind diesbezüglich so 08/15 wie Asus, TP-Link und Co) kann man die DMZ mit einer einstufigen Firewall isolieren, sieht dann so aus:


(Quelle: Wikipedia)

Da man bei einem 08/15 Heimrouter wie du ja weißt kein separates Netzwerk anlegen kann (zB eben für besagte DMZ), benötigt man ein zweistufiges Firewall-Konzept für die DMZ.
So sieht das dann aus:


(Quelle: Wikipedia)


"Exposed Host" braucht man dabei nicht - das beschreibt in 9 von 10 Heimroutern lediglich eine globale Portweiterleitung, die ganz banal TCP+UDP Port 1-65535 weiterleitet, also buchstäblich alles. Mehr passiert bei dieser Einstellung in der Regel nicht, auch nicht, wenn der Hersteller diese Funktion fälschlicherweise als DMZ bezeichnet. Daher ist "Exposed Host" oder die falsche DMZ genau genommen sogar ein immenses Sicherheitsrisiko, da im Zweifelsfalle auch zB SMB-Ports oder dergleichen aus dem Internet erreichbar sind, wenn der Exposed Host hier nicht selbst eine Firewall mitbringt, die das blockt!

Das bedeutet, dass man im Internetrouter nach wie vor nur die nötigen Portweiterleitungen einrichtet und diee dann auf den/die Server in der DMZ zeigen lässt. Fies wird es nun allerdings, wenn ein VPN-Server, über den man ins Hauptnetzwerk kommen soll, ins Spiel kommt. Dieser müsste ja im Idealfall in der DMZ stehen und nicht der Asus-Router sein. Obige Firewallregeln würden dann aber nicht mehr funktionieren, da vom VPN aus ja durchaus ein Zugriff auf das LAN stattfinden soll, vom VPN-Server (DMZ) aus initiiert. An dieser Stelle hat man mit 08/15 Equipment dann kaum eine andere Wahl als den Asus doch als VPN-Server zu nutzen. Das Problem ist nämlich, dass im oben beschriebenen zweistufigen Konzept der Asus ja immer noch ein 08/15 Router bleibt und somit kaum Möglichkeiten für Routing bzw. Firewall bietet, um an dieser Stelle ohne explizite Portweiterleitungen auszukommen. Dafür bräuchte man eben eine echte Hardware-Firewall, die zB auch NAT abschalten kann, also reines Routing+Firewall.

 

[DFFVB]

Danke erstmal für die ausführliche Antwort

Wenn die Lautsprecher regelmäßig die Verbindung zum Asus verlieren, ist das natürlich etwas anderes, aber ich kann mir beim besten Willen nicht vorstellen, dass das nicht passiert, wenn der Asus nicht AP, sondern Router ist. Das WLAN an sich bleibt ja dasselbe?!

Wenn ich da eine Lösung für hätte... alle Clients spielen mit, außer die Musiccast Lautsprecher. Hab hier schon einige Stunden investiert (IGMP Snooping) etc. und es hat nixhts gebracht. Lief jetzt für ein paar Wochen, hab dann aber nochmal die PPPoE Kiste getestet, seitdem zicken die Lautsprecher wieder.


Unabhängig davon: Bzgl. des Expsoed Host bin ich etwas durcheinander gekommen, wie Du sagst, den brauche ich ja gar nicht. Für die NC 1 leite ich einfach die entsprechenden Ports in der FB weiter, die NC Instanz freilich gehärtet mit Firewall etc. Damit hätte ich ja die NC1 isoliert im LAN der FB, und wenn ich per VPN (weitergeleitet von der an den Asus) dann auf den Asus zugreife, kann ich hier auf die NC2 zugreifen?

Das heißt letzten Endes, für den Privatanwender, ist das ein gangbarer Weg, und wie der Titel schon sagt, eine DMZ für Arme?

 

[Raijin]

Das ist im Prinzip schon ein gangbarer Weg, aber das Doppel-NAT ist nun mal komplett überflüssig, lässt sich mit Consumer-Hardware aber nicht umgehen. Bei Routern wie Fritzboxxen, Asus und Co kann man leider das NAT am WAN-Port nicht abschalten. Dadurch verliert man am 2. Router die Möglichkeit, den eingehenden Traffic innerhalb der Firewall ganz gezielt zu erlauben oder nicht, weil man dazu stets eine Portweiterleitung einrichten müsste, die nun mal nur einen Ziel haben kann. Auch kann ein Server in der DMZ nicht mehr erkennen welches Gerät aus dem HauptLAN nun auf ihn zugreift, weil der 2. Router eben alles aus dem HauptLAN maskiert.

Man kann das so machen, aber bedenke, dass du so ein Setup auch warten können musst. Je komplexer das Setup umso zahlreicher die Fehlerquellen, insbesondere wenn Doppel-NAT im Spiel ist.

Einfacher zu handhaben wäre ein Setup mit einem fortgeschrittenen Router wie einem MikroTik oder einem EdgeRouter oder auch einer pfSense-Appliance oder einer vergleichbaren Hardware-Firewall (ohne NAT konfiguriert) anstelle des Asus. Selbiger würde dann wieder zum AP degradiert werden. Das könnte dann so aussehen:

www
|
Fritzbox
|
(LAN1 = WAN ohne NAT)
Router --- (LAN2) --- DMZ
(LAN3)
|
HauptNetzwerk

Dabei würde der 2. Router dann sowohl die DMZ als auch das Hauptnetzwerk verwalten, inkl. Firewall und ohne NAT-Gedöns. So läuft das beispielsweise bei mir mit einem Speedport und einem EdgeRouter. Mein Speedport ist ausschließlich Internet-Lieferant und hat mit dem Netzwerk als solchem nix mehr am Hut. Ich habe lediglich zwei seiner LAN-Ports in ein VLAN gepackt, um dort der Einfachheit halber direkt meine beiden Entertain-Receiver anzuschließen.

Aber wie gesagt, das Setup steht und fällt mit dem KnowHow des Einrichters. Wenn irgendwas nicht funktioniert und zB eine Spielekonsole auf Teufel komm raus nicht den richtigen NAT Typ anzeigt und es Probleme in Spielen und/oder Voicechats gibt, dann kann die Fehlersuche für unerfahrene Anwender extrem anstrengend sein.

Keep It Simple, Stupid - kurz: KISS. Das ist eine Faustregel in der IT. Wenn du die Sicherheit erhöhen willst, sich dadurch aber die Komplexität des Setups ebenfalls erhöht und dir im worst case sogar über den Kopf wächst, sind Probleme und eben auch Sicherheitsrisiken durch falsche Konfiguration fast schon vorprogrammiert.

 

[DFFVB]

Ja stimmt natürlich. Aber wie gesagt der Asus meckert im AP Modus. Ein Edge Router ist zwar sehr mächtig und dafür fast geschenkt, Problem ist halt, der ist ab Werk offen und setzt wirkliches Knowhow voraus. Da bin ich mit meiner Krücke erstmal (noch) versorgt. Ich werde in der "DMZ" auch mal einen Honeypot installieren und schauen, was da so abgeht. Danke aber auf jeden Fall fürs Feedback !!!

 

[Raijin]

der ist ab Werk offen und setzt wirkliches Knowhow voraus

Das ist richtig.

Ich werde in der "DMZ" auch mal einen Honeypot installieren und schauen, was da so abgeht.

What?!? Das setzt noch mehr KnowHow voraus, weil du damit aktiv Hacker und/oder Skript-Kiddies in deine Bude einlädst. Mach das, wenn du unbedingt möchtest, aber das grenzt an Wahnsinn oder besser noch Dummheit, sorry. Gerade wenn das ganze Firewallkonzept auf Consumer-Hardware basiert...

Ein Honeypot "zum Ausprobieren" ist trotz allem kein Spielzeug in Laienhänden! Es ist dein Netzwerk, aber ich warne davor...

 

[DFFVB]

Ich meine ja eher im gesicherten Netzwerk i um überhaupt zu schauen, ob was reinkommt - aber danke :-)

 

[Raijin]

Spiel nicht mit dem Feuer, wenn du nicht weißt wie man mit einem Feuerlöscher umgeht....

Hast du mal das Log eines öffentlich erreichbaren SSH-Servers gesehen? Da scrollen die Bruteforce-Attacken nur so durch. Im Zweifelsfalle ist ein Angreifer immer schlauer als du und ich.

Wenn du dein KnowHow in einem öffentlichen Forum sammelst und das ganze dann noch mit Consumer-Geräten umsetzt, wundere dich nicht, wenn dein Honeypot am Ende größere Bären anlockt als dir lieb ist. Die Chancen stehen gut, dass ein Angreifer mehr Sicherheitslücken kennt als du. Es reicht nicht, ein paar Tutorials, Youtube-Videos und Foren abzuklappern, um sowas umzusetzen.

Naja, am Ende musst du das selbst wissen. Mach was du willst, aber du solltest das nicht auf die leichte Schulter nehmen....

 

[DFFVB]

Ich wollte das Thema nochmal aufwärmen...

Wenn die Lautsprecher regelmäßig die Verbindung zum Asus verlieren, ist das natürlich etwas anderes, aber ich kann mir beim besten Willen nicht vorstellen, dass das nicht passiert, wenn der Asus nicht AP, sondern Router ist. Das WLAN an sich bleibt ja dasselbe?!

Du hattest wohl Recht, der Asus vergisst auch als Router - sofern er per Zeitschaltuhr an- und ausgeschaltet wird. Habe weiter gegooglet und werde mal versuchen die Airtime Fairness zu deaktivieren, das hat bei Sonos geholfen.

What?!? Das setzt noch mehr KnowHow voraus, weil du damit aktiv Hacker und/oder Skript-Kiddies in deine Bude einlädst.

Ich wollte auch nochmal auf den Honey Pot zu sprechen kommen. Ich nehme die Bedenken diesbezüglich ernst, wollte aber auch sicher gehen, dass wir die gleiche Ausgangslage haben.

Wenn ich hinter der Fritzbox, welche ganz normal funktioniert, und ggf ein, zwei Ports weiterleitet, einen Honeypot installiere, auf einem Gerät welches gehärtet ist, dann sollte ja im Idealfall nie etwas erscheinen, da ja die FB sicher sein sollte. Wenn hier doch etwas passiert, dann konnte ein Angreifer ja die Fritzbox überlisten, und das Szenario hier eine gehärtete Nextcloud hinzustellen ist ohnehin hinfällig? Theoretisch könnte da ja sogar ein Exposed Host eingerichtet werden, weil die NC ja auch eine Firewall hätte. Wenn dann trotzdem was passiert, würde das ja zeigen, dass was falsch konfiguriert wurde.

Oder übersehe ich da was? AFAIK ist ein Honeypot doch ähnlich wie Canary Files, nur dass er eteas detaillierter zeigt, wer was macht... ?

 

[Raijin]

Wenn ich hinter der Fritzbox, welche ganz normal funktioniert, und ggf ein, zwei Ports weiterleitet, einen Honeypot installiere, auf einem Gerät welches gehärtet ist, dann sollte ja im Idealfall nie etwas erscheinen, da ja die FB sicher sein sollte. Wenn hier doch etwas passiert, dann konnte ein Angreifer ja die Fritzbox überlisten, und das Szenario hier eine gehärtete Nextcloud hinzustellen ist ohnehin hinfällig? Theoretisch könnte da ja sogar ein Exposed Host eingerichtet werden, weil die NC ja auch eine Firewall hätte. Wenn dann trotzdem was passiert, würde das ja zeigen, dass was falsch konfiguriert wurde.

Je nachdem was der Honeypot hinter der FB tun soll und welche potentiellen Sicherheitslücken dieser aufweist, kann das gesamte Netzwerk gefährdet sein.

Wenn der Honeypot beispielsweise einen Datendienst anbietet (FTP oder was auch immer) und nur von den Daten her angreifbar ist, kann der Eindringling nur Daten entwenden oder sie ggfs mit Malware infizieren.

Wenn dieser Datendienst hingegen auch auf Systemebene angreifbar ist und im worst case gar root-Zugriff gewährt, dann kann der Angreifer das gesamte System übernehmen und als Brückenkopf für die Infiltration des restlichen Netzwerks nutzen - genau hier setzt eine richtige DMZ an.

Bei einer richtigen DMZ wie #5 dargestellt ist das eigentliche Hauptnetzwerk vom DMZ-Netzwerk getrennt. Ein Angreifer kommt von außen ausschließlich in die DMZ, aber von dort nicht ins Hauptnetzwerk. Dafür sorgt die DMZ-Firewall. Diese lässt keinerlei Verbindungen zu, die von der DMZ in das Hauptnetzwerk hergestellt werden. Ein Hacker könnte also von einem gehackten Server in der DMZ nicht mal eben so ins Hauptnetzwerk rein, weil er dazu erstmal die DMZ-Firewall überlisten müsste. Andererseits stehen in der DMZ ja in der Regel auch Server, die vom Hauptnetzwerk aus bedient werden sollen (zB FileServer). Die DMZ-Firewall lässt Verbindungen vom Hauptnetzwerk ins DMZ-Netzwerk zu und die dazugehörige Antwort.
Eine fachgerecht aufgebaute DMZ verhindert daher, dass ein Angreifer einen gehackten Server in der DMZ als Ausgangspunkt für Attacken auf das Hauptnetzwerk nutzt - mal von potentiell Malware-verseuchten Daten abgesehen.

 

[Grimba]

Entschuldigt die Thread-Nekromantie, aber da ich derzeit ein ganz ähnliches Setup plane, und zu dem Thema dieser Thread relativ weit oben von Google ausgepuckt wird, dachte ich, ich frage hier noch einmal nach. Vielleicht kann ich auch von @Raijin und seinem Wissen profitieren Vielleicht sind ja beim TE auch über die Jahre ganz neue Erkenntnisse entstanden.

Mein Setup ist im Großen und Ganzen identisch, sprich: aktuell Fritzbox Cable als Internet-Router, Asus Router als WLAN AP konfiguriert. Geplant ist ebenso ein DMZ ähnlicher Bereich aus Lern-/Bastelgründen, der sich das vorhandensein beider Geräte zu nutze macht, so dass man im Prinzip nur Kabel umstöpseln muss. Am Ende sollen Server nur das Internet oder andere Server sehen, das Heimnetz soll sowohl die Server als auch das Internet sehen.

Die kann-Empfehlung hier lautet ja FB und ASUS beide im Routermodus, Server an die Fritzbox, Heimnetz am ASUS, Verbindung ASUS WAN PORT -> FB, ausschließlich benötigte Ports an die Server in der FB forwarden und gut. Die Empfehlung geht klar gegen die Verwendung der Exposed Host Funktion. Klar, warum etwas aufmachen, was nicht auf sein muss.

Hier aber meine Frage: Durch diese Routerkaskade kann es ja zusätzlichen Aufwand bedeuten, wie bereits beschrieben, wenn Verbindungen im Heimnetz mit Diensten im Internet oder anderen Rechnern dort bei Multiplayer etc. nicht sicher zu Stande kommen, 2 Firewalls mit NAT eben. Wäre es vor diesem Hintergrund nicht auch ein gangbarer Weg, die Exposed Host Funktion doch zu nutzen, aber damit auf den ASUS Router zu zeigen?

Wenn ich hier nicht furchtbar falsch liege, und das ist sehr leicht möglich, so wäre dann ja die Situation so, dass der ASUS Router dann ja für alle Ports außer jenen, die in der Fritzbox fest an die Server vergeben wurden, erreichbar wäre, weil die alle durchgeleitet werden, so dass dieser sich für das Heimnetz scheinbar direkt am Internet befindet mit Ausnahme weniger Ports. Damit wäre zwar faktisch die Firewall in der Fritzbox deaktiviert, aber für das Heimnetz wäre es identische Sicherheit zu vorher, und die Server wollen auf ihren Ports ja eh erreichbar sein. Somit hätten ja sämtliche Dienste im Heimnetz nicht mehr die extra Hürde Fritzbox.

Andererseits weiß ich nicht, ob in Zeiten, in denen sich UDP Nat Hole Punching doch arg verbreitet hat, solche Späße überhaupt noch nötig sind. Aber falls jemand dazu was erhellendes hat, ich lausche bzw. lese gespannt

 

[DFFVB]

Wäre es vor diesem Hintergrund nicht auch ein gangbarer Weg, die Exposed Host Funktion doch zu nutzen, aber damit auf den ASUS Router zu zeigen?

Das geht natürlich, solange Du Asus genausoviel oder mehr als AVM traust, dass es keine Sicherheitslücken gibt, die eine FB blockt, Asus aber nicht. Das ist schwer einzuschätzen - AsusWRT ist zwar super mächtig, und verteilt auch deutlich häufiger Updates als AVM, aber wenn ich mir die Qualität der Builds anschaue, die sie momentan auf die ET12 Nutzer loslassen, dann wird es mir ganz anders...

ja für alle Ports außer jenen

Spannende Frage, die FB kann ja grundsätzlich nur einen Port weiterleiten, wenn man dann Exposed Host aktiviert, ob das dann automatisch minus der Forwards ist... oder ob dann ggf gar keine Forwards mehr möglich sind... Müsste man probieren.

---
Generell: ich hab mal nen Honeypot im geschlossenen Netz betrieben, ist, wie zu erwarten, nichts passiert. Würde das auch eher als Canary nutzen, sprich in einem geschlossenen Netz, und wenn da was passiert weiß man etwas ist nicht dicht. Ich hab aber Abstand vom Netz öffnen genommen eben wegen so Kisten wie UDP Hole Punching (Tailscale, Zero Tier etc.) dazu kommt, ich hab mittlerweile immer EndGeräte mit 128 / 256 GB, ergo fällt der Hauptgrund Zugriff von unterwegs weg (für mich), Plex kann ja mittlerweile auch Hole Punching...

Ein Bekannter von mir (Programmierer) kennt sich mE ganz gut aus, frgat warum ich mir da so ins Hemd mache, er hat einfach mal mit ipv6 alles auf entsprechende Clients durchgereicht... Mir persönlich ist es Risiko/ Nutzen im Moment nicht wert. Zocken klappt AOE2 und Xbox aber ohen Probleme. Man kann, je nach Gegebenheit auch die Xbox direkt an die FB schließen...


Was man sich aber noch überlegen könnte:
DMZ hinter der Fritzbox, mit bspw. einer Nextcloud Installation mit Ende zu Ende Verschlüsselung / Cryptomator Container. Hinter dem Asus ist eine zweite Nextcloud. Dann eine VM die in den per Autostart entschlüsselnden Cryptomator synced... der wiederum speicher in der NC in der DMZ nur verschlüsselt, das kann man dann mit den Endgerät wieder entschlüsseln....

Also ja die "Silver Bullet" hab ich leider nicht.

Was ist denn Dein angedachters Szenario?

 

[Grimba]

aber wenn ich mir die Qualität der Builds anschaue, die sie momentan auf die ET12 Nutzer loslassen, dann wird es mir ganz anders...

Ich nutze die Merlin Firmware. Aber diese ändert nicht zwingend grundlegende Design-Entscheidungen der Main-Entwickler. Hatte dazu mit dem Dev von Merlin mal im Forum ein kleines Gespräch zu einer Funktion, die per Design auch bei ihm unsicher ist. Das ist aber lange her, ich weiß nicht mehr so genau, was das war.

Dafür werden in Merlin neben der extra VPN Funktionalität auch so Sachen wie OpenSSL etc. aktueller gehalten als im Hauptzweig. Was das Vertrauen in Sicherheit angeht, also dieser Router (bzw. sein Vorgängermodell) war jahrelang direkt hinter einem Modem. Inzwischen hat Vodafone (früher Unitymedia) komplett auf Router umgestellt und ich habe die Gelegenheit genutzt, meine eigene FB zu betreiben. Jetzt nach Docsis 3.1 ist inzwischen die zweite FB dran und das WLAN ist noch immer mieser als bei ASUS, daher habe ich da auch nachgezogen. Ja, ich weiß, teuer. Aber es funktioniert.

Und AVM wie ASUS traue ich beiden gleich weit... nämlich so weit ich sie werfen kann. Ich sehe da ehrlich gesagt keinen großen Qualitätsunterschied, im Gegenteil, ich finde eher die scheinbare Ruhe bei AVM was Updates etc. angeht mindest als ähnlich unbehaglich wie dein Unbehagen bei ASUS. Die Merlin Firmware nimmt mir bei ASUS das Blackbox-Gefühl, was ich bei AVM einfach habe. Schöner Kompromiss zu nativer Software und OpenWRT. Aber es bleiben beides Plaste-Router, da beißt die Maus keinen Faden ab.

Spannende Frage, die FB kann ja grundsätzlich nur einen Port weiterleiten, wenn man dann Exposed Host aktiviert, ob das dann automatisch minus der Forwards ist... oder ob dann ggf gar keine Forwards mehr möglich sind... Müsste man probieren.

Wie gesagt, ich kann die Funktion auch furchtbar falsch verstanden haben und beides geht nicht.

DMZ hinter der Fritzbox, mit bspw. einer Nextcloud Installation mit Ende zu Ende Verschlüsselung / Cryptomator Container. Hinter dem Asus ist eine zweite Nextcloud. Dann eine VM die in den per Autostart entschlüsselnden Cryptomator synced... der wiederum speicher in der NC in der DMZ nur verschlüsselt, das kann man dann mit den Endgerät wieder entschlüsseln....

äh.... Das wäre dann der Komplexitätsgrad, den ich nicht mehr warten wollen würde. Da scheint mir die Gefahr zu groß, sich dabei selbst zu verknoten.

Was ist denn Dein angedachters Szenario?

Einfach eine DMZ ähnliche Zone im Netz, damit 1-2 Server, die ich plane einzusetzen, nicht als Sprungbrett für mein Heimnetzwerk genutzt werden können. 1 Server davon wird meine persönliche Bastelecke, und Nextcloud ist jetzt nicht gerade ganz oben auf der Liste, aber was nicht ist, kann noch werden. Der andere Server ist was berufliches, auf das ich hier nicht näher eingehen kann.

Was deinen Honeypott angeht: Da hast du aber Glück. Wenn es dich nämlich dann trifft, dann meistens voll. Dann schreibt dein Server plötzlich Gigabyteweise Logs. Mehrfach bei verschiedenen Systemem beobachtet, selbst bei kleineren Test VMs in der Firma. Das dauert meist nicht lange, dann wirst du bombardiert. Sowas würde ich auch nicht machen, wenn ich damit nicht genau wüsste, was ich damit vorhätte. Die Geister die ich rief, undso.

 

[Raijin]

Wäre es vor diesem Hintergrund nicht auch ein gangbarer Weg, die Exposed Host Funktion doch zu nutzen, aber damit auf den ASUS Router zu zeigen?

Spannende Frage, die FB kann ja grundsätzlich nur einen Port weiterleiten, wenn man dann Exposed Host aktiviert, ob das dann automatisch minus der Forwards ist... oder ob dann ggf gar keine Forwards mehr möglich sind... Müsste man probieren.

Genau das ist die Frage. "Exposed Host" ist bei der Fritzbox unterm Strich nichts anderes als eine Portweiterleitung mit TCP/UDP 1-65535 an den exposed host. Es wäre einen Versuch wert ob die Fritzbox parallel dazu separate Portweiterleitungen zulässt. Ich tippe ehrlich gesagt auf nein, aber Probieren geht über Studieren. Vermutlich steht dazu sogar etwas in der AVM Wissensdatenbank, die ja doch recht viel Informationen enthält.

Alternativ zum exposed host kann man natürlich auch von Hand die "restlichen" Ports an den Asus weiterleiten. Ob das sinnvoll ist, steht auf einem anderen Blatt. Ich persönlich würde es nicht machen, aus keinem speziellen Grund, sondern primär weil das echtes Stückwerk werden kann, je nachdem was für Server man in der DMZ betreibt. Sinnvoller wäre es meiner Meinung nach nur die benötigten Ports auch zum Asus durchzureichen, weil alles, was außen vor im Internet bleibt, bleibt erstmal da. Reicht man durch die DMZ durch, öffnet man womöglich Angriffsvektoren, von denen man nichts weiß, und der Angreifer könnte Zugriff auf die DMZ erlangen. Wie? Keine Ahnung, ich bin kein Hacker. Aber wie gesagt, Internet bleibt Internet und in die DMZ kommt nur das, was da auch hingehört - ebenso wie das, was zum Asus soll - der Rest bleibt draußen. So wäre meine Sicht der Dinge.

 

[Grimba]

Ja, da gebe ich dir vollständig Recht. Ich selbst hätte auch zunächst davon abgesehen, es von Anfang an so zu konfigurieren, weil ohne Grund tut das ja nicht Not. Ich habe mir die Frage nur gestellt für den berühmten Fall dass... Idee war im Bedarfsfall Komplexität aus dem System zu nehmen, auch wenn das zugegeben aus mindestens einer Sichtweise eine ziemlich nukleare Option ist.

 

[Bob.Dig]

@Grimba Exposed Host lässt nur durch, was nicht selbst gebraucht wird. Das zeigt die Fritzbox auch alles an unter Diagnose > Sicherheit, sehr vorbildlich.
Apropos Asus, Merlin ist gut, aber Fresh Tomato ist noch besser, damit gibt es sogar VLANs. 😘

 

[norKoeri]

[O]b die Fritzbox parallel dazu separate Portweiterleitungen zulässt[?]

Ja. Und für alle Server-Dienste auf dem Exposed-Host muss man das sogar zusätzlich machen …