Kenny16352
New member
Hallo,
Ich lese mich bereits seit einiger in das Thema Heimnetzwerke ein, da ich ein NAS an den Start bringen möchte, aber erstmal meine Infrastruktur aufräumen/planen sollte.
Ich komme zwar aus der IT und habe sogar mal eine Ausbildung zum Netzwerktechniker gemacht,aber das ist zwei Dekaden her.
Ich entschuldige mich also schonmal für einiges nicht-wissen, bin aber bereit micht mit der Materie zu beschäftigen ...
Folgende Situation
Fritzbox 6690 cable als internetrouter mit VPN Zugang
Daran an Port 1 ein tp Link 2.5 G 8 Port Switch unmanaged
Am Switch selber hängen alle geräte des netzwerks die eben über Kabel angebunden werden können, der Rest wie Drucker oder WiFi only smart Geräte kommen über WLAN der FB, das mit einem repeater erweitert ist.
Am Switch hängt im Moment testweise ein 2x2.5gb Nas mit unraid als OS, auf der ich später private Daten ablegen möchte (Zugriff von außen nur per VPN später, auf keinen Fall irgendwas Exposed ins Netz)
Ebenso im Netz gibt es homeassistant für die smarthome steuerung
Ein pihole hängt da auch noch im Netz und alle Geräte nutzen als DNS dessen IP als adblocker/filter. Das Gastnetz ist derzeit gänzlich ungenutzt, soll aber in Zukunft tatsächlich für gäste sein. Die iot geräte einfach dorthin zu verfrachten macht also wenig Sinn bzw. Wird wohl nicht ausreichen
Es sind derzeit also alle Geräte im gleichen Netz was ich gern mit einführung mehrerer VLANs ändern möchte, gerade in Hinblick auf wachsende und potenziell unsichere iot geräte, Fernseher etc., die ja potenzielle Einfallstore sein können.
Wenn ich das richtig verstehe, bleiben mir mit der Fritzbox als hauptzentrale nur folgende Möglichkeiten
1. Router Kaskade
Ich stecke einfach einen weiteren Router an den bisherigen und verfrachte die kritische Infrastruktur dorthin. Unsichere Sachen bleiben in den Netzen des ersten Router.
Da ich zwar noch eine Fritzbox rumliegen hätte, wäre das wohl die einfachste und unkomplizierteste Lösung, allerdings kann der alte Router kein 2.5gb ... (Spielt das eine Rolle in diesem Fall?).
Eine wirkliche Kontrolle über wer mit wem kommunizieren darf, hat man trotzdem nicht, oder? Also man könnte zum Beispiel nicht die smarthomezentrale aus dem Netz der Fritzbox nr2 mit den "unsicheren" smart Home Sensor aus dem WLAN der FB Nr 1 kommunizieren lassen(?)
2. Managed Switch + weiterer vlan fähiger Router
Den aktuellen unmanaged Switch weg, einen managed Switch hin und per vlan-fähigen Router verbinden. Der weitere Router müsste dann zwischen Fritzbox und dem managed Switch und verursacht dann doppeltes NAT(?). Hier könnte man doch zumindest einen Router nehmen, der anders als die FB grundlegende Sicherheitseinstellungen (integrierte Firewall?) zu konfigurieren lässt, sodass man zum Beispiel Zugriff auf das NAS nur von expliziten IPs zulässt,oder irre ich mich da?
3. Layer 3 Switch
Klingt für mich eigentlich nach der elegantesten lösung, weil ich nur den Switch tauschen müsste, der dann zusätzliche vlans bereitstellen und eben selbst Routen kann. Auch explizite Zugriffe und Regeln könnte man hierüber managen. Allerdings ist die konfig wohl echt kompliziert, wenn ich mir das so in diversen Tutorials anschauen. Bin mir nicht sicher, ob da was "sicheres" bei mir rauskommt oder ob es hinterher nicht unsicherer ist als vorher
Was mich zum nächsten Punkt bringt ...
Safety First! Ich möchte am liebsten nach wie vor den "Schutz" der aktuellen FB konfig genießen und mir nicht mit irgendwelchen Einstellungen aufgrund von "keine Ahnung" irgendwelche löcher in mein derzeitiges Setup reißen, was wohl z.b. ein pfsense und den FB Router im "Durchlassmodus" mehr oder weniger ausschließt, oder?
Kann mir jemand eine Richtung geben, in die ich schauen kann? Wie würdet ihr Vorgehen? Schade wäre es, das komplette Fritz Setup wegzuwerfen, da ich damit grundsätzlich mit allen Sachen sehr zufrieden bin, aber wenn es nicht anders geht ...
Danke!
Ich lese mich bereits seit einiger in das Thema Heimnetzwerke ein, da ich ein NAS an den Start bringen möchte, aber erstmal meine Infrastruktur aufräumen/planen sollte.
Ich komme zwar aus der IT und habe sogar mal eine Ausbildung zum Netzwerktechniker gemacht,aber das ist zwei Dekaden her.
Ich entschuldige mich also schonmal für einiges nicht-wissen, bin aber bereit micht mit der Materie zu beschäftigen ...
Folgende Situation
Fritzbox 6690 cable als internetrouter mit VPN Zugang
Daran an Port 1 ein tp Link 2.5 G 8 Port Switch unmanaged
Am Switch selber hängen alle geräte des netzwerks die eben über Kabel angebunden werden können, der Rest wie Drucker oder WiFi only smart Geräte kommen über WLAN der FB, das mit einem repeater erweitert ist.
Am Switch hängt im Moment testweise ein 2x2.5gb Nas mit unraid als OS, auf der ich später private Daten ablegen möchte (Zugriff von außen nur per VPN später, auf keinen Fall irgendwas Exposed ins Netz)
Ebenso im Netz gibt es homeassistant für die smarthome steuerung
Ein pihole hängt da auch noch im Netz und alle Geräte nutzen als DNS dessen IP als adblocker/filter. Das Gastnetz ist derzeit gänzlich ungenutzt, soll aber in Zukunft tatsächlich für gäste sein. Die iot geräte einfach dorthin zu verfrachten macht also wenig Sinn bzw. Wird wohl nicht ausreichen
Es sind derzeit also alle Geräte im gleichen Netz was ich gern mit einführung mehrerer VLANs ändern möchte, gerade in Hinblick auf wachsende und potenziell unsichere iot geräte, Fernseher etc., die ja potenzielle Einfallstore sein können.
Wenn ich das richtig verstehe, bleiben mir mit der Fritzbox als hauptzentrale nur folgende Möglichkeiten
1. Router Kaskade
Ich stecke einfach einen weiteren Router an den bisherigen und verfrachte die kritische Infrastruktur dorthin. Unsichere Sachen bleiben in den Netzen des ersten Router.
Da ich zwar noch eine Fritzbox rumliegen hätte, wäre das wohl die einfachste und unkomplizierteste Lösung, allerdings kann der alte Router kein 2.5gb ... (Spielt das eine Rolle in diesem Fall?).
Eine wirkliche Kontrolle über wer mit wem kommunizieren darf, hat man trotzdem nicht, oder? Also man könnte zum Beispiel nicht die smarthomezentrale aus dem Netz der Fritzbox nr2 mit den "unsicheren" smart Home Sensor aus dem WLAN der FB Nr 1 kommunizieren lassen(?)
2. Managed Switch + weiterer vlan fähiger Router
Den aktuellen unmanaged Switch weg, einen managed Switch hin und per vlan-fähigen Router verbinden. Der weitere Router müsste dann zwischen Fritzbox und dem managed Switch und verursacht dann doppeltes NAT(?). Hier könnte man doch zumindest einen Router nehmen, der anders als die FB grundlegende Sicherheitseinstellungen (integrierte Firewall?) zu konfigurieren lässt, sodass man zum Beispiel Zugriff auf das NAS nur von expliziten IPs zulässt,oder irre ich mich da?
3. Layer 3 Switch
Klingt für mich eigentlich nach der elegantesten lösung, weil ich nur den Switch tauschen müsste, der dann zusätzliche vlans bereitstellen und eben selbst Routen kann. Auch explizite Zugriffe und Regeln könnte man hierüber managen. Allerdings ist die konfig wohl echt kompliziert, wenn ich mir das so in diversen Tutorials anschauen. Bin mir nicht sicher, ob da was "sicheres" bei mir rauskommt oder ob es hinterher nicht unsicherer ist als vorher
Was mich zum nächsten Punkt bringt ...
Safety First! Ich möchte am liebsten nach wie vor den "Schutz" der aktuellen FB konfig genießen und mir nicht mit irgendwelchen Einstellungen aufgrund von "keine Ahnung" irgendwelche löcher in mein derzeitiges Setup reißen, was wohl z.b. ein pfsense und den FB Router im "Durchlassmodus" mehr oder weniger ausschließt, oder?
Kann mir jemand eine Richtung geben, in die ich schauen kann? Wie würdet ihr Vorgehen? Schade wäre es, das komplette Fritz Setup wegzuwerfen, da ich damit grundsätzlich mit allen Sachen sehr zufrieden bin, aber wenn es nicht anders geht ...
Danke!
