Brauche Beratung für Coreboot Router/Modem vor Heimnetzwerk
- Ersteller suber
- Erstellt am
suber
New member
Hab gerade festgestellt da gibt ja eine Menge Fehler noch bei den DrayTek Modems. Das ist ja schon echt eine Menge.
Und die sind aus Oktober. Auch wenn schon Patches kamen finde ich sieht man ja echt das diese Modems immer noch echte Probleme haben. Gerade wenn man sein Modem nach Aussen hin frei gibt. In dem Artikel wird zwar vorgeschlagen 2FA zu nutzen und die Freigabe von Aussen zu deaktivieren. Aber dann fährt man ja trotz dem noch auf nem mangelhaften Modem durch die Gegen.
https://thehackernews.com/2024/10/alert-over-700000-draytek-routers.html
Was gibts da für echt sichere Modems die nicht mangelhaft ausgearbeitet wurden? Jemand nen Tipp?
Und die sind aus Oktober. Auch wenn schon Patches kamen finde ich sieht man ja echt das diese Modems immer noch echte Probleme haben. Gerade wenn man sein Modem nach Aussen hin frei gibt. In dem Artikel wird zwar vorgeschlagen 2FA zu nutzen und die Freigabe von Aussen zu deaktivieren. Aber dann fährt man ja trotz dem noch auf nem mangelhaften Modem durch die Gegen.
https://thehackernews.com/2024/10/alert-over-700000-draytek-routers.html
Was gibts da für echt sichere Modems die nicht mangelhaft ausgearbeitet wurden? Jemand nen Tipp?
the other
Well-known member
Moinsen,
zum einen:
wenn das Ding (kenne ich mich selber nicht mit aus, nie einen besessen) im reinen Modem Modus läuft (oder als bridge oder ähnlich, eben OHNE Router Modus), dann brauchst du die Oberfläche eigentlich so gut wie nie.
Zum anderen: egal wie, ich würde meinen Router (oder auch andere Geräte im Heimnetz) eh nicht nach außen freigeben. Warum sollte ich? Da kommt maximal der VPN Port als Freigabe / Weiterleitung rein. Somit bleibt der Rest (https) zu.
Und mangelhaft ist relativ. CVEs findest du für vermutlich fast alle Geräte, nicht jede Meldung ist sofort ein Supersicherheits GAU.
Nochmal: das Modem macht nur die Signalwandlung. Da muss nix freigegeben werden. Dahinter sitzt dann zukünftig deine Firewall, die macht für von außen kommende Dinge eh zu.
Alternativ: die Fritzbox behalten, dahinter als 2. Router eben die pfsense. Ob du dann mit oder ohne Doppel-NAT fahren willst, kannste dir selbst überlegen.
Die Draytek Router werden sicherlich immer irgendwo ne Lücke haben. Ebenso wie alle (ketzerische Behauptung ohne Datengrundlage) anderen auch. Draytek ist aber durchaus für regelmäßige Updates und Patches bekannt. Ich denke also, solange du als Anwender weißt was du da einstellst, ist das durchaus sicher genug. Wenn du allerdings einfach alles nach außen freigibst...dann kann da Draytek (oder irgendwer sonst) auch nix zu, dann hauen solche Lücken natürlich auch nochmal anders ins Kontor (bzw werden dadurch erst "gefährlich").
Also: nicht auf alle Panikmeldungen eingehen, überlegen, ob dich ein solches Szenario überhaupt tangieren muss, überlegen, ob du ohne einen solchen (gefährdeten) Dienst leben kannst...
zum einen:
wenn das Ding (kenne ich mich selber nicht mit aus, nie einen besessen) im reinen Modem Modus läuft (oder als bridge oder ähnlich, eben OHNE Router Modus), dann brauchst du die Oberfläche eigentlich so gut wie nie.
Zum anderen: egal wie, ich würde meinen Router (oder auch andere Geräte im Heimnetz) eh nicht nach außen freigeben. Warum sollte ich? Da kommt maximal der VPN Port als Freigabe / Weiterleitung rein. Somit bleibt der Rest (https) zu.
Und mangelhaft ist relativ. CVEs findest du für vermutlich fast alle Geräte, nicht jede Meldung ist sofort ein Supersicherheits GAU.
Nochmal: das Modem macht nur die Signalwandlung. Da muss nix freigegeben werden. Dahinter sitzt dann zukünftig deine Firewall, die macht für von außen kommende Dinge eh zu.
Alternativ: die Fritzbox behalten, dahinter als 2. Router eben die pfsense. Ob du dann mit oder ohne Doppel-NAT fahren willst, kannste dir selbst überlegen.
Die Draytek Router werden sicherlich immer irgendwo ne Lücke haben. Ebenso wie alle (ketzerische Behauptung ohne Datengrundlage) anderen auch. Draytek ist aber durchaus für regelmäßige Updates und Patches bekannt. Ich denke also, solange du als Anwender weißt was du da einstellst, ist das durchaus sicher genug. Wenn du allerdings einfach alles nach außen freigibst...dann kann da Draytek (oder irgendwer sonst) auch nix zu, dann hauen solche Lücken natürlich auch nochmal anders ins Kontor (bzw werden dadurch erst "gefährlich").
Also: nicht auf alle Panikmeldungen eingehen, überlegen, ob dich ein solches Szenario überhaupt tangieren muss, überlegen, ob du ohne einen solchen (gefährdeten) Dienst leben kannst...
suber
New member
Okay das heisst es geht wirklich nur um die Signalumwandlung, durch den Modus weiss der quasi schon das alles andere an die Firewall abgegeben wird.
Also der kommt ja Morgen an mit Amazon. Hatte ja schon bestellt.
Ja ich mach mir halt Gedanken, weil Unwissenheit ist halt immer der erste Schritt der ausgenutzt wird von wem auch immer. Alles theoretisch halt.
Von Aussen werden dann aber schon Dienste verfügbar sein.
NextCloud, Matrix Element, Webseite/Blog.
Die werde ich wohl mit Podman oder Docker auf Proxmox umsetzen.
the other
Well-known member
Moinsen,
Möglichkeiten gibt es viele.
Du könntest zB...
...den Server für die Website/Blog auslagern (gemieteter Server). Dannn ist das unabhängig von deinem Heimnetz.
...einen Server, der (ohne VPN) direkt aus dem Internet erreichbar sein soll, hinter einen Reverse Proxy stellen, damit du nicht dutzende an Ports aufmachen musst. Dazu dann aber natürlich auch gut absichern...
...den Server mit den zu erreichenden Diensten in die Zone zwischen dem Draytek (dann im Router Modus betrieben) und der pfsense stellen (also ins LAN des Draytek). Damit wäre das Gerät dann erreichbar, steht aber NICHT ein deinem eigenen LAN (das erst hinter der pfsense beginnt)
...
Ich selber nutzte durchaus auch diverse Dienste, die ich hier betreibe, von unterwegs. Aber das dann eben immer und nur über VPN.
Möglichkeiten gibt es viele.
Du könntest zB...
...den Server für die Website/Blog auslagern (gemieteter Server). Dannn ist das unabhängig von deinem Heimnetz.
...einen Server, der (ohne VPN) direkt aus dem Internet erreichbar sein soll, hinter einen Reverse Proxy stellen, damit du nicht dutzende an Ports aufmachen musst. Dazu dann aber natürlich auch gut absichern...
...den Server mit den zu erreichenden Diensten in die Zone zwischen dem Draytek (dann im Router Modus betrieben) und der pfsense stellen (also ins LAN des Draytek). Damit wäre das Gerät dann erreichbar, steht aber NICHT ein deinem eigenen LAN (das erst hinter der pfsense beginnt)
...
Ich selber nutzte durchaus auch diverse Dienste, die ich hier betreibe, von unterwegs. Aber das dann eben immer und nur über VPN.
suber
New member
Da muss ich mich reinarbeiten.
Wäre es denn ok zb die Firewall mit pfSense als Reserve Proxy zu nutzen und über den Proxmox Server noch mal ne eigene Firewall VM vor alles zu setzen? Hab da nen Artikel gefunden so ähnlich https://medium.com/@nathan.c.cole/using-pfsense-as-a-reverse-proxy-c5034c603b10
blurrrr
Well-known member
Lass vielleicht erstmal die Kirche im Dorf... Überleg Dir erstmal ein sauberes Konzept. Reverse-Proxy "kann" man auf der Firewall laufen lassen, meines erachtens nach ist die Firewall allerdings primär "Firewall" und nix weiter. Reverse-Proxy-Lösungen gibt es auch wie Sand am Meer, sowas kann man auch im Container/in einer VM laufen lassen, zumal Du dadurch auch noch weiter sauber segmentieren könntest, z.B.: Internet <-> Modem <-> Firewall <-> Reverse-Proxy (VLAN X) <-> Ziel (VLAN Y)
the other
Well-known member
Moinsen,
wie gesagt, möglich ist viel, kommt eben immer auf viele Faktoren an...
Und ja, die pfsense bringt (als Zusatzpaket) auch einen Reverse Proxy mit.
Sobald eben irgendwas ins Netz geöffnet dasteht, wird das auch gerne unter die Lupe genommen. Da wird dann angeklopft, versucht sich anzumelden...je nachdem, was du da wie anbietest.
Meine Meinung: bevor ich Dienste offen ins Netz stelle muss ich so viel Ahnung mitbringen (oder eben Todessehnsucht), dass ich weiß, was ich da tue. Also wirklich weiß. Nicht nur, wie ich irgendwas nach Anleitung gemacht habe, sondern wirklich begriffen habe, was da passiert. Damit dann eben nix oder zumindest weniger passiert...
Bedenke aber auch: mach nicht zuviel auf einmal. Du wechselst gerade deinen Router gegen einen neuen, du willst dein Netzwerk umgestalten...auch wenn es verlockend erscheint: mach lieber eine Sache richtig als 5 so la la, gerade wenn du vorhast, da Dienste offen ins Netz stellen zu wollen. Mach dir einen Plan (langweilig mit Zettel und Stift), mach ne Skizze, schreib deine Fragen auf, lies dich ein. Anders wird das früher oder später nur frustran und ggf sogar gefährlich (für deine Datensicherheit).
jm2c
edit: hier eine ähnliche Diskussion dazu... https://forum.heimnetz.de/threads/topologie-auf-den-ersten-blick-euer-bauchgefuehl.5640/
wie gesagt, möglich ist viel, kommt eben immer auf viele Faktoren an...
Und ja, die pfsense bringt (als Zusatzpaket) auch einen Reverse Proxy mit.
Sobald eben irgendwas ins Netz geöffnet dasteht, wird das auch gerne unter die Lupe genommen. Da wird dann angeklopft, versucht sich anzumelden...je nachdem, was du da wie anbietest.
Meine Meinung: bevor ich Dienste offen ins Netz stelle muss ich so viel Ahnung mitbringen (oder eben Todessehnsucht), dass ich weiß, was ich da tue. Also wirklich weiß. Nicht nur, wie ich irgendwas nach Anleitung gemacht habe, sondern wirklich begriffen habe, was da passiert. Damit dann eben nix oder zumindest weniger passiert...
Bedenke aber auch: mach nicht zuviel auf einmal. Du wechselst gerade deinen Router gegen einen neuen, du willst dein Netzwerk umgestalten...auch wenn es verlockend erscheint: mach lieber eine Sache richtig als 5 so la la, gerade wenn du vorhast, da Dienste offen ins Netz stellen zu wollen. Mach dir einen Plan (langweilig mit Zettel und Stift), mach ne Skizze, schreib deine Fragen auf, lies dich ein. Anders wird das früher oder später nur frustran und ggf sogar gefährlich (für deine Datensicherheit).
jm2c
edit: hier eine ähnliche Diskussion dazu... https://forum.heimnetz.de/threads/topologie-auf-den-ersten-blick-euer-bauchgefuehl.5640/
suber
New member
Danke ja.
Ja genau das denke ich ja auch.
Fest für mich steht ich muss für Firma einen kleinen Kreis von Leuten zB. Dokumente zur Verfügung stellen.
Hab mir auch schon überlegt ob ein simpler FTP Server reicht.
Mir geht es vor allem darum meine Daten selber zu verwalten und für mein Team einen internen Massengerdienst anzubieten.
Weil es halt einfach nicht geht das Mitarbeiter über Skype oder Whatsapp offen über Firmeninterna reden die halt niemandem was angehen. Ob Matrix da die perfekte Lösung ist weiss ich noch nicht.
Und ja irgendwie sollte ich es separieren, aber ProxMox mit Podman (non root) auf irgendeinem Linux ist doch gut genug abgeschottet?
Proxmox separiert ja die einzelnen VMs und die kann man zwar vernetzen, muss man aber nicht.
Wie blurrr schon sagt einfach einen Reversproxy in einen ProxMox LXC wo alle Dienste ansprechbar sind.
Klingt im Moment am viel versprechensten für mich.
Aber das wäre dann halt auf dem Homeserver und nach der FIrewall.
Ist das so schlimm, kann man das nicht einstellen das das separat ist vom Heimnetz?
Ich fange ja gerade an es zu verstehen und stelle halt so komische Fragen weil ich nicht weiss wie so was geht und vor allem wie man Fehler im Vorfeld vermeidet aus Unwissen.
the other
Well-known member
Moinsen,
gibt halt verschiedene Ansätze....
Du kannst den Server natürlich in ein eigenes VLAN verfrachten, klar. Das macht Sinn, kommt dann aber natürlich auch darauf an, wie die Zugriffrechte (auf der Firewall, auf dem Server selbst) gesetzt sind. Ideal (aber teuer und umständlich) wäre natürlich ne saubere Trennung in beruflich und privat.
Weißt, wie ich mein?
Das ist nicht doof gemeint. Ich will eher sagen: das erfordert (gerade wenn es berufliche Aspekte bekommt, dieses Forum ist heimnetz.de) eben dann auch nochmal mehr Wissen, Zeit und Gründlichkeit. Willst du alles selber machen auch Grundlagenwissen und Ahnung von Netzwerk und Rechtsachen (DSGVO usw, Aufbwahrungsfristen, Backups).
Deine Fragen sind absolut willkommen, ich wollte nur etwas Realitätsnähe einbringen.
gibt halt verschiedene Ansätze....
Du kannst den Server natürlich in ein eigenes VLAN verfrachten, klar. Das macht Sinn, kommt dann aber natürlich auch darauf an, wie die Zugriffrechte (auf der Firewall, auf dem Server selbst) gesetzt sind. Ideal (aber teuer und umständlich) wäre natürlich ne saubere Trennung in beruflich und privat.
Wenn die damit klar kommen...klar. Andererseits ist das kein Argument gegen einen Zugang per VPN, machen sogar riesige Firmen so (auch wenn die MA im Home office nur "ein paar Dateien" austauschen müssen.)
Vollste Zustimmung.
Sind gar keine komischen Fragen. Mal direkt aber freundlich gemeint formuliert: Ich warne nur eben davor, 10 Projekte gleichzeitig anzugehen, dazu noch Teile davon von außen erreichbar zu machen, das ganze doch zu Teilen vermischt mit privaten Dingen und eben gerade noch unsicher beim Unterschied Modem vs Router...
Weißt, wie ich mein?Das ist nicht doof gemeint. Ich will eher sagen: das erfordert (gerade wenn es berufliche Aspekte bekommt, dieses Forum ist heimnetz.de
) eben dann auch nochmal mehr Wissen, Zeit und Gründlichkeit. Willst du alles selber machen auch Grundlagenwissen und Ahnung von Netzwerk und Rechtsachen (DSGVO usw, Aufbwahrungsfristen, Backups).Deine Fragen sind absolut willkommen, ich wollte nur etwas Realitätsnähe einbringen.
suber
New member
Eben ist mir was über den Weg gelaufen. Nextcloud Talk. So könnte man das Risiko auf eine VM mit einer Nextcloud begrenzen wo man halt Massenger und Cloud verbindet. Scheint ja auch ne App zu geben.
Das mit dem VPN ja wäre toll wenn alle das verstehen. Es wird wohl eher so sein das ich jedem einzeln auf seinem Handy und PC einen VPN einstellen muss und wenn es nur für Nextcloud ist.
Da wäre halt auch die Idee, einen eigenen VPN zu hosten. Denn noch sind viele Leute da total uninformiert und nutzen so was nicht und es wäre eventuell auch ein Problem im Alltag für manche.
Cool wäre wenn man die Nextcloud App ob Desktop oder Mobil direkt mit einem VPN verbinden könnte.
Ich spring schon wieder zum nächsten Thema ich weiss. Und ich mach auch nix voreilig. Erst mal Konzept mit draw.io oder so.
Dafür muss ich halt nur verstehen was geht und was nicht.
2 Punkte hab ich gerade noch verstanden.
1. Reserve Proxy ist wichtig für Dienste
2. Nextcloud reicht wohl für alles da es Nextcloud Talk gibt
Ich führe gerade nur grob Dinge zusammen damit ich ein Gesamtbild bekomme.
Aber als aller erstes kommt dann natürlich neuer Router und Firewall dahinter.
Da fallen mir direkt so Filter und Regeln ein die es eventuell schon gibt die Facebook, Google und Co Server im Vorfeld fern halten.
Wenn es so was gibt für pfSense.
Das mit dem VPN ja wäre toll wenn alle das verstehen. Es wird wohl eher so sein das ich jedem einzeln auf seinem Handy und PC einen VPN einstellen muss und wenn es nur für Nextcloud ist.
Da wäre halt auch die Idee, einen eigenen VPN zu hosten. Denn noch sind viele Leute da total uninformiert und nutzen so was nicht und es wäre eventuell auch ein Problem im Alltag für manche.
Cool wäre wenn man die Nextcloud App ob Desktop oder Mobil direkt mit einem VPN verbinden könnte.
Ich spring schon wieder zum nächsten Thema ich weiss. Und ich mach auch nix voreilig. Erst mal Konzept mit draw.io oder so.
Dafür muss ich halt nur verstehen was geht und was nicht.
2 Punkte hab ich gerade noch verstanden.
1. Reserve Proxy ist wichtig für Dienste
2. Nextcloud reicht wohl für alles da es Nextcloud Talk gibt
Ich führe gerade nur grob Dinge zusammen damit ich ein Gesamtbild bekomme.
Aber als aller erstes kommt dann natürlich neuer Router und Firewall dahinter.
Da fallen mir direkt so Filter und Regeln ein die es eventuell schon gibt die Facebook, Google und Co Server im Vorfeld fern halten.
Wenn es so was gibt für pfSense.
blurrrr
Well-known member
Wenn irgendwas passiert und sich herausstellt, dass man selbst (ohne entsprechenden Hintergrund) rumgefummelt hat, wird das auch keine Versicherung der Welt dafür einspringen, das sei nur nochmal so am Rande erwähnt (von etwagigen Reputationsschäden mal ganz abgesehen). Sinniger wäre es schon, wenn man einen entsprechenden IT-Dienstleister in Anspruch nehmen würde.
Da schauste Dir mal die Thematik "VPN on demand" an.
Punkt 2 - Vermutlich, kann man sicherlich machen.
Punkt 1 - Jain, man kann nicht "einfach so" alles hinter einen Reverse-Proxy packen, s. dazu z.B. den Wikipedia-Artikel zu HA-Proxy, wo es da heisst:
Es kommt also immer auf die Applikationen an - nicht alles klappt mit allem und manchmal braucht man Sonderlocken-Lösungen, oder es funktioniert einfach "garnicht".
suber
New member
Danke für den Tipp. Das ist ein interessantes Thema. Das sieht sehr brauchbar aus mit dem VPN on demad WireGuard ist da ja echt praktisch was ich so sehe und lese.
Zuletzt bearbeitet von einem Moderator:
suber
New member
Hab mal meinen Wissensstand und Vorstellungen visualisiert.
- als Reverse Proxy macht es zB jemand von Youtube so das er das auf den Router über pfSense bereitstellt. Welche Pros und Contras gibt es da? (Er benutzt da NGINX Proxy Manager für)
- dann die Frage ob PPPoE oder DHCP, gibt es da Gründe für oder gegen was?
Mich in die ganze IP Vergabe zu wurschteln und alles zu verknüpfen ordentlich wird spannend.
Aber hab ich es mit einem Dienst geschafft, schaff ich es wohl auch mit anderen.
Das ganze Port IP und Domainzeug ist für mich schon immer etwas undurchsichtig gewesen. Lerne halt so gut es geht alles.
Ihr habt hier ja auch schon echt einiges zusammengetragen.
- als Reverse Proxy macht es zB jemand von Youtube so das er das auf den Router über pfSense bereitstellt. Welche Pros und Contras gibt es da? (Er benutzt da NGINX Proxy Manager für)
- dann die Frage ob PPPoE oder DHCP, gibt es da Gründe für oder gegen was?
Mich in die ganze IP Vergabe zu wurschteln und alles zu verknüpfen ordentlich wird spannend.
Aber hab ich es mit einem Dienst geschafft, schaff ich es wohl auch mit anderen.
Das ganze Port IP und Domainzeug ist für mich schon immer etwas undurchsichtig gewesen. Lerne halt so gut es geht alles.
Ihr habt hier ja auch schon echt einiges zusammengetragen.
Zuletzt bearbeitet von einem Moderator:
Meinem Eindruck nach schmeißt du weiterhin Modems und Router in einen Topf, denn du schreibst über fehlerhafte Modems und verlinkst Fehler eines Routers.
Ein Router schaltet Routen - zwischen Geräten und/oder Netzwerkanschlüssen
Ein Modem macht, wie es m.E. auch hier im Thread bereits erwähnt wurde, "nur" Umsetzung zwischen verschiedenen Medien.
Die ollen Telefonmodems seinerzeit (Akustikkoppler) haben Tonfolgen in elektrische Computersignale übersetzt (und umgekehrt), Glasfasermodems übersetzen Lichtimpulse aus der Glasfaser in elektrische Impulse fürs Kupferkabel und umgekehrt ... DSL-Modems leisten Vergleichbares.
Es sind unterschiedliche Geräteklassen und wenn du dir was Feines aufbauen willst, dann musst du entweder einen Fachmann suchen oder du musst dich auf den Hosenboden setzen und endlich verschiedene Dinge auch verschieden betrachten und auseinanderhalten können.
suber
New member
Ne ich habs inzwischen verstanden.
Hast du meinen letzten Beitrag nicht gelesen wo ich meinen Wissensstand mit euch geteilt habe?
Hast du meinen Plan Foto angeschaut? Hab ich selbst gemacht. Wenn dir daran was verbesserungswürdig scheint.
Immer raus damit gerne. Noch ist nix installiert.
Auf keinen Fall. Ich vertraue mein Netzwerk doch nicht irgend einer 3. Person an. Und geb dafür noch Kohle aus.
Ja so ein guter Freund mit Netzwerkkenntnis wäre schon toll. Ausserdem bin ich nicht auf den Kopf gefallen, es ist nur alles noch neu für mich. Bin aber ein Linuxfreak bin es gewohnt alles selbst machen zu müssen und anlesen usw.
Lernen braucht halt Zeit und etwas Unterstützung.
Will meinen Thread hier nicht tot quatschen so das jeder den Faden verliert.
