IOT-Netzwerk

Horti · 24 April 2021, 21:12:27

Guten Abend,

wir hatten mal kürzlich an einem virtuellen Stammtisch eine Diskussion über Smarthome/IOT und wie man am besten seine Infrastruktur gegen Gefahren, die in diesem Umfeld lauern, absichert.

Mein Smarthome beschränkt sich im Moment (noch) auf FHEM/piVCCU und HomeMatic (IP), aber aus der Family kommen immer häufiger Rufe nach Gerätschaften, die es dem Vernehmen nach in jedem anderen Haushalt mittlerweile gibt, nur nicht bei uns: Alexa, SmartTV, Smarter Saugrobotor natürlich bedienbar über App u.s.w.

Mein erster naiver Ansatz wäre, all diese Geräte zumindest in ein eigens Netz zu sperren und dafür zu sorgen, dass sie zwar aus dem eigenen Netz erreichbar sind, aber umgekehrt in dem eigenen Netz kein Unheil anrichten können. Ich habe mehrere Abende lang nach einer Anleitung gesurft, bin aber immer noch nicht wesentlich weiter bezüglich der Frage "wie mache ich es denn nun konkret?" Vorhanden ist eine FritzBox mit einigen daran hängenden Switches und 2 WLAN-APs, die zwar beide mit OpeWRT laufen, aber vermutlich für ernste Aufgaben zu alt/schwachbrüstig sind. Gäste-WLAN kann wohl jedes der 3 Geräte, aber es geht ja nicht nur um WLAN und dann muss es ja auch AP-übergreifend sein, und dann auch noch Zugriff aus dem Haupt-Netz? Fragen über Fragen...

Hat jemand eine Anleitung bzw. eine Quelle, die nicht unbedingt bei Adam und Eva anfängt aber auch nicht unbedingt für absolute IT-Cracks gedacht ist?

Danke im Voraus!

KölnSolar · 24 April 2021, 21:48:45

Zitatwie man am besten seine Infrastruktur gegen Gefahren, die in diesem Umfeld lauern, absichert

So gut wie unmöglich.

Leider haben die üblichen WLAN-Geräte die folgenden Eigenschaften:
- funktionieren nur über die Cloud, also kein reiner lokaler Betrieb möglich.
- sie sind Datensammler. Gerne funken sie Dinge wie WLAN-Kennung u. Passwort, sowie MAC des Routers(über die sich mehr oder weniger dessen Standort ermitteln lässt).

Also Obacht bei der Gerätewahl.

An Alexa kommt man kaum vorbei.

Bei meinem Sauger hab ich es geschafft ihn mit FHEM ins lokale Netz zu zwängen. Müsste bei allen Ecovacs funktionieren. Bei Xiaomi ist es modellabhängig.

TV ? Böse Quasseltaschen.

Sensorik(Cam, Mikro, Geste...), Fernwartung... würd ich meiden/abschalten. Mit pi-hole wenigstens ein paar Standarddomains sperren. Vielleicht sogar Netzzugang sperren, solange man das Netz nicht wirklich z.B. zum Streamen benötigt

Zitatnatürlich bedienbar über App

Genau das ist das Argument für die Gerätehersteller und der Freibrief für ihr böses Tun.

Absicherung: separates WLAN, keine Ports nach außen öffnen

Martin Fischer · 24 April 2021, 22:53:28

Auch wenn eine Fritzbox für solch Zwecke nicht die Hardware erster Wahl ist, habe ich das bei mir dennoch damit umgesetzt. Ich hatte noch mehrere Fritzboxen liegen und damit eine Routerkaskade aufgebaut. Damit habe ich 4 Netze aufgespannt sowie mit entsprechenden Smartswitches VLANs konfiguriert.

Fritzbox 7490 "Edge" (orange)
Netzwerk 192.168.1.0/24 LAN/WLAN
IP extern: Provider
IP intern: 192.168.1.1
IoT Komponenten wie Amazon Echo(s), Google Nest Mini, AirPurifier, Rasenmäher, HUE, Surveillance Server, IP-Cams, Birdcam, etc.
plus Gastnetz 192.168.179.0/24 LAN/WLAN (hellblau)

Fritzbox 7490 "Home" (blau)
Netzwerk 192.168.10.0/24 LAN/WLAN
IP extern: 192.168.1.2
IP intern: 192.168.10.1
Internetzugang via "eigenem Anbieter Fritzbox Edge"
Notebooks, Smartphones, Tablets, Hostserver für Virtualisierung, NAS, Smart-TVs, Bue ray Player, SAT Receiver, Kodi, Drucker, etc.

Fritzbox 4040 "Grid" (grün)
Netzwerk 192.168.100.0/24 LAN/WLAN
IP extern: 192.168.1.3
IP intern: 192.168.100.1
Internetzugang via "eigenem Anbieter Fritzbox Edge"
FHEM Main Server (virtualisiert), div. FHEM "Satelliten" auf Raspberry PI, HMLANs, CUN, CUNO, etc.

Mittels gezielter Portfreigaben auf den "Home" und "Grid" Boxen kann dann auch netzübergreifend zugegriffen werden. Auf den FHEM Server 192.168.100.101 z.B. via 192.168.1.3:8080. Aus den "inneren" Netzen, also "Home" und "Grid" kann bequem auf die IoT Geräte im "Edge" Netz zugegriffen werden. Sind dann halt Geräte in meinem "privaten Internet" / DMZ.

Auch wenn Smart-TVs und auch Smartphones, Tablets, etc. mindestens genau so gesprächig sein "können", wie andere IoT Geräte sind diese denoch in meiner "privaten" Umgebung. Der Zugriff auf Inhalte und Median auf dem NAS ist dann etwas bequemer. Irgend ein Tot muss man halt sterben

Läuft bei mir seit Jahren ohne irgendwelche Probleme. In den Jahren haben sich so einige Komponeten angesammelt. Ich habe gerade mal in mein IPAM geschaut: aktuell sind 116 IP Adressen über die Netze verteilt vergeben... upsala...

Horti · 24 April 2021, 23:20:09

@Martin:
Das könnte eine Möglichkeit für mich sein, Router-Kaskaden findet man ja sofort, wenn man nach den Stichwörtern sucht. Aber genau dieses "mit entsprechenden Smartswitches VLANs konfiguriert" bzw. "Mittels gezielter Portfreigaben", da wird es dann ganz schnell dünn

@Markus:
- Bei meinem Samsung TV, gekauft letzten Sommer, verweigere ich die Zustimmung zu AGB, damit wird wohl nicht nach Hause telefoniert, aber damit liegen auch die ganzen smarten Funktionen brach. Wäre ja nur halb so schlimm, aber der "Akzeptieren"-Knopf ist so einladend platziert, dass es schon an ein Wunder grenzt, dass bis jetzt noch niemand drauf geklickt hat

- Bei dem Samsung-Roboter wird es wohl ein RoboRock werden, da habe ich leider keinerlei Mitspracherecht

Hier muss ich dann einen Kompromiss zwischen WAF und Sicherheit finden

KölnSolar · 25 April 2021, 07:36:21

Zitates wohl ein RoboRock

Die Modellpalette ist groß. Die Hacker-community auch.

Vielleicht lieber ein älteres(gehacktes) Modell wählen. Gerade Xiaomi macht sich sehr unbeliebt als Datensammler.

Wenn sich die Wahl lokal betreiben lässt, dann bereits Obacht bei der Ersteinrichtung:
- unkritisches WLAN, sonst sind die Daten für immer in China
- Router nutzen, der nicht 24/7 im Netz hängt, sonst weiß der Chinamann(*in

) auch noch, wo das WLAN zu finden ist.

Und allgemein kann ich nur tools wie z.B. pi-hole oder Wireshark(mit Dump[versteckte Funktionalität] der Internetaktivität aus der Fritte) empfehlen, um überhaupt mal ein "Bild" zu bekommen, was da an Unmengen Kommunikation abläuft.

Zitatverweigere ich die Zustimmung zu AGB, damit wird wohl nicht nach Hause telefoniert

Glaub ich fast nicht.

Mediathek nicht möglich ? Kein Digitaltext ?
Um wenigstens mein SamsungAV/DLNAController nutzen zu können

, sperr den Netzzugang in der Fritte.

Ich pflege da mittlerweile einen bewussteren Umgang. Selbst sowas wie eigentlich ausgediente Geräte, die man vielleicht als Ersatz" verwahrt, werden bei Außerbetriebnahme gesperrt(oder Neugeräte wie der airpurifier

)

yersinia · 25 April 2021, 10:23:35

Routerkaskaden sind ganz nett und einfach einzurichten, aber spätestens wenn man weitere APs oder Geräte verschiedener Netzwerkgruppen in einem anderen Raum per Kabel anbinden will, wird es schwierig. Für sowas gibt es VLAN.
Der Vorteil an OpenWRT ist, das man auf Consumer-Hardware ein relativ mächtiges und mittlerweile gut konfigurierbares RouterOS hat. Dadurch kann man auf dem gleichen WLAN-Kanal auch mehrere SSIDs für die verschiedenen VLAN-Segmente konfigurieren.
@horti: was hast du Router-Hardware deiner APs?
Natürlich wird man auch im SOHO oder Profifbereich fündig, zahlt teilweise wesentlich mehr - aber die Konfiguration ist dann auch größtenteils weniger frickelig.

Es gab mal einen Thread für VLAN Strukturen, meine Konfiguration hat sich seitdem kaum geändert:

Zitat von: yersinia am 25 Januar 2020, 15:37:51Ich habe mit OpenWRT geflashten Router (1x Router + AP) und 2 managed Switches folgendes scenario:
- VLAN 1 (inklusive eigenes WLAN; 192.168.10.0/24): internes Netzwerk in denen die PCs, Drucker, NAS, Scanner, FHEM sind (Vollzugriff)
- VLAN 2 (inklusive eigenes WLAN; 192.168.20.0/24): Mediengeräte wie Smartphone, Tablet, SAT Receiver (und SAT2IP ), Internetradios usw (nur Internet)
- VLAN 3 (inklusive eigenes WLAN; 192.168.30.0/24): FHEM Netzwerk für WLAN eingebundene Geräte (kein Internetzugriff)
- VLAN 4 (192.168.40.0/24): Kapselung für den PiHole (nur Internet)
~~- VLAN 5 (inklusive eigenes WLAN): Gästenetz (nur Internet)~~
(- VLAN 6: WAN -> Anschluss an die FB (192.168.188.0/24)
Die Routen sind über die Firewall geregelt.

Das Gäste-WLAN reguliert allerdings nun die Fritte, was ich dynamisch einschalten kann.

Im Grunde bekommen Geräte, die kein Internet benötigen, auch keinen Zugriff darauf. Der Smart-TV wird nur als Anzeigedisplay genutzt, natürlich bekommt dieser weder WLAN noch Netzwerk. Ansonsten werden solche Geräte entweder über piHole oder OpenWRT (Firewall) ruhig gestellt, wenn man sie doch noch irgendwie im Netzwerk benötigt.
Aber man muss nicht jeden App-Driss (aka Hersteller möchte Daten erfassen und diese für Aquisezwecke mißbrauchen) unterstützen.
Bei uns gibt es für Alexa und co keinen Bedarf, ich muss von Unterwegs die Heizung nicht regulieren können und zum Licht/Rolläden steuern genügt mir FHEM und der physische Schalter.
Es stellt sich immer die Frage, welche Digitalisierung einen wirklichen Mehrwert bringt. App-gesteuerte Kühlschränke und Geschirrspüler? Dafür fehlt, zumindest uns, einfach der sinnvolle Anwendungsfall.

KölnSolar · 25 April 2021, 10:46:56

ZitatAber man muss nicht jeden App-Driss (aka Hersteller möchte Daten erfassen und diese für Aquisezwecke mißbrauchen) unterstützen.
Bei uns gibt es für Alexa und co keinen Bedarf, ich muss von Unterwegs die Heizung nicht regulieren können und zum Licht/Rolläden steuern genügt mir FHEM und der physische Schalter.
Es stellt sich immer die Frage, welche Digitalisierung einen wirklichen Mehrwert bringt. App-gesteuerte Kühlschränke und Geschirrspüler? Dafür fehlt, zumindest uns, einfach der sinnvolle Anwendungsfall.

Sowas von Zustimmung.

Nur das

Zitatmuss nicht jeden App-Driss....unterstützen

würd ich so

Zitatmuss keinen App-Driss...unterstützen

ersetzen.

Horti · 25 April 2021, 16:29:58

Zitat von: yersinia am 25 April 2021, 10:23:35
@horti: was hast du Router-Hardware deiner APs?

Wie gesagt, beide schon recht betagt, Dlink DIR-600 und TP-Link TL-WA850RE. Die Fritte ist auch nicht mehr die Jüngste: 7390.

2 Switches können sogar VLAN und die anderen ließen sich wahrscheinlich so nutzen, dass sie nur einem VLAN zugeordnet werden könnten.

Aber ich würde ja auch aufrüsten, solange die Kosten nicht gleich 4-stellig werden. Es fehlt mir aber eine Idee, ein Konzept, wie ich das als Ganzes angehen kann.

Und von wegen Schnickschnack: ich bin hier voll bei Euch, deswegen gibt es ja bis jetzt auch keine Alexa, kein SmartTV und keine Klicki-Bunti-SmartPhoneApp für FHEM

Aber die Stimmen werden immer lauter

Wolle02 · 25 April 2021, 16:48:27

Zitat von: Horti am 25 April 2021, 16:29:58

Aber ich würde ja auch aufrüsten, solange die Kosten nicht gleich 4-stellig werden. Es fehlt mir aber eine Idee, ein Konzept, wie ich das als Ganzes angehen kann.

Ich hatte die gleichen Überlegungen wie Du und bin dann mit meiner FritzBox damals auch an Grenzen gestoßen. Ich habe dann schon etwas Geld in die Hand genommen und bin komplett auf Unifi umgestiegen. War nicht billig, aber Netzwerkequipment kostet halt Geld. Niedriger 4-stelliger Betrag ist es dann aber schon geworden.

Dafür laufen bei mir jetzt aber auch 6 mit VLAN von einander getrennte Netze (inklusive den entsprechenden WLAN Netzen), deren Kommunikation untereinander und/oder ins Internet gezielt mit Firewallregeln gesteuert werden können.

Ich habe ein Netz für meine Frau und mich.
Ich habe ein Netz für unseren Sohn, das so gut wie keinen Zugriff auf andere Netze hat (da kann er sich mit Viren und trojanischen Pferden selbst verseuchen)
Ich habe ein komplett gekapseltes Netz für die Alexas. Die dürfen nur ins Internet und sonst nix.
Ich habe ein gekapseltes Gäste-Netz.
Ich habe ein restriktiv mit Firewallregeln reguliertes IoT Netz.
Ich habe ein gekapseltes Netz für den VPN-Zugriff in die Firma.

Bislang bin ich mit dem Konzept eingentlich ganz gut gefahren und wenn alles mal eingerichtet ist läuft es recht geschmeidig.

yersinia · 25 April 2021, 16:57:04

Zitat von: Horti am 25 April 2021, 16:29:58Wie gesagt, beide schon recht betagt, Dlink DIR-600 und TP-Link TL-WA850RE.

Definitv. TL-WA850RE und DIR-600 (revB) sind definitiv (aus OpenWRT-Sicht) veraltet und taugen maximal als AP. Möglicherweise könnte man noch ein OpenWRT (tiny) Image selber bauen, aber damit würde ich solange warten bis du mit OpenWRT, sofern es die Lösung wird, firm wirst.

Zitat von: Horti am 25 April 2021, 16:29:58Aber ich würde ja auch aufrüsten, solange die Kosten nicht gleich 4-stellig werden. Es fehlt mir aber eine Idee, ein Konzept, wie ich das als Ganzes angehen kann.

Bedarfsanalyse. Wie würdest du dein Netz aufteilen wollen? Welche Geräte sollen miteinander kommunizieren/welche auf keinen Fall? Wie ist die physische Infrastruktur vor Ort? Welche Geräte sind vorhanden und lassen sich ggf wiederverwenden? Und dies mal aufzeichnen.
Welchen Netzwerk-Bedarf gibt es? Streaming? MagentaTV?

Und dann schauen, was man machen kann.

Zitat von: Horti am 25 April 2021, 16:29:58Und von wegen Schnickschnack: ich bin hier voll bei Euch, deswegen gibt es ja bis jetzt auch keine Alexa, kein SmartTV und keine Klicki-Bunti-SmartPhoneApp für FHEM Aber die Stimmen werden immer lauter

Dann frag doch mal Stimmen, warum man das wirklich benötigt und wo der Mehrwert liegt. Licht einschalten von der Couch aus anstelle des Schalters? Was sind die eigentlichen tatsächlichen Bedarfe? Wenn es um die Sprachsteuerung geht, dann gehen vlt auch Alternativen wie Rhasspy...

Zitat von: Wolle02 am 25 April 2021, 16:48:27Ich hatte die gleichen Überlegungen wie Du und bin dann mit meiner FritzBox damals auch an Grenzen gestoßen. Ich habe dann schon etwas Geld in die Hand genommen und bin komplett auf Unifi umgestiegen. War nicht billig, aber Netzwerkequipment kostet halt Geld. Niedriger 4-stelliger Betrag ist es dann aber schon geworden.

Ich habe für das Setup oben (drei OpenWRT Router (einen als Reserve) und drei managed Switche) keine 300€ bezahlt - exklusive Arbeitszeit und Kabel. Dafür aber auch kein Unifi, da ist wahrscheinlich mit der OpenWRT-Lösung der Arbeitsaufwand höher.

Wolle02 · 25 April 2021, 18:26:39

Zitat von: yersinia am 25 April 2021, 16:57:04
Ich habe für das Setup oben (drei OpenWRT Router (einen als Reserve) und drei managed Switche) keine 300€ bezahlt - exklusive Arbeitszeit und Kabel. Dafür aber auch kein Unifi, da ist wahrscheinlich mit der OpenWRT-Lösung der Arbeitsaufwand höher.

Ja, war schon viel, aber ich wollte halt mal was Vernünftiges. Du kennst das wahrscheinlich mit dem "Haben-will-Faktor".
Und je nach dem was du machen willst brauchst du halt auch ein paar Komponenten. Ich habe mein 5-stöckiges Haus vom Keller bis zum Dach komplett auf neue Netzwerktechnik umgestellt. Dafür habe ich jetzt

1 UDM Pro
1 24 Port Switch mit PoE
2 8 Port Switche mit PoE
3 AccessPoints

An einen kleinen Serverschrank muss man dann auch noch denken.

yersinia · 25 April 2021, 19:57:00

Zitat von: Wolle02 am 25 April 2021, 18:26:39Ja, war schon viel, aber ich wollte halt mal was Vernünftiges. Du kennst das wahrscheinlich mit dem "Haben-will-Faktor".

Ja, der Haben-Will-Faktor wird, auch gerne mehrfach, schnell durch rationale Beweggründe (Kanonen, Spatzen usw) wieder ganz schnell zerschlagen.

Zitat von: Wolle02 am 25 April 2021, 18:26:39Und je nach dem was du machen willst brauchst du halt auch ein paar Komponenten. Ich habe mein 5-stöckiges Haus vom Keller bis zum Dach komplett auf neue Netzwerktechnik umgestellt.

Voll und ganz korrekt - je nach Anforderungen und Qualitätsansprüchen wird es gern etwas kostenintensiver.
Dafür hat man auf der Habenseite auch was Vernünftiges (auch im Sinne der Bedienung bzw. Ärgerpotentials) - und wenn man damit zufrieden ist, ist die Investition sicher gut angelegt.

Da ich nur vier Stockwerke (Keller->Dachgeschoß) eines 1955er Hauses abdecken muss und nicht viele WLAN-Endgeräte habe, reicht mein Setup für mich aus. Andere Gegebenheiten, andere Anforderungen, andere Lösungsoptionen.

rob · 26 April 2021, 09:51:23

In der c't 2017/08 hatte ich mal einen Beitrag zu dem Thema gelesen. Stichwort ist wohl Cisco-ASA-Konzept (Zonen basierte Firewall). Im Artikel wird es dann doch via kaskadierter Fritzboxen und jeweils aufgetrennten WLANsen quasi-umgesetzt. Wenn ich mich noch recht entsinne, waren es wohl vier Zonen: Gäste, Privat, Media/NAS und IOT.
Das Warum und die Befugnisse der Zonen fand ich gut erklärt. Das Wie verdarb mir schnell den Lesespaß, als ich sinngemäß las: "... geht alles mit OpenWRT, wir sagen aber nicht wie, weils den Rahmen sprengt, sondern zeigen alles mit hintereinander geschalteten Fritten...".
Seit dem such ich immer mal wieder nach einer Anleitung, wie man das mit OpenWRT realisieren könnte. Find aber nix. Gute Lektüre zum Thema Zonen-Konzept für Heimuser scheint rar/ nicht vorhanden.

VG
rob

yersinia · 26 April 2021, 10:28:55

Wie detailliert muss denn die Anleitung sein? Schon Erfahrung mit OpenWRT?
Man kann diese Zonen mit VLAN -erstmal unabhängig vom RouterOS- realisieren, aber auch mit Routerkaskaden. Letzteres ist deutlich einfacher für den 'normalen' Anwender zu pflegen.
Bevor man mit VLAN und OpenWRT beginnt, sollte man, wenn man gerade anfängt, sich einen PlanB überlegen. Was, wenn ich mich selbst ausgesperrt habe? Was wenn ich den Router Softbricke? -> Vorher Backup der Konfiguration und Failsafe-Mode verinnerlichen. Ggf noch einen zweiten Router als Reserve? Man darf nicht vergessen, dass man an der zentralen Schnittstelle in das Internet rumbastelt, wenn das ausfällt hat man erstmal Mühe überhaupt Hilfe im dann nicht vorhandenen Internet zu bekommen...

Ein recht verbreitetes Videoportal bietet allerhand Tutorials an, wie man VLANs in OpenWRT konfiguriert.
Für den Einstieg ist der unterschied zwischen tagged und untagged ports wichtig - kurz gesagt:
tagged, der Traffic auf dem port bringt die VLAN-ID (den tag) mit; ein port kann als solches Mitglied in mehreren VLANs sein (logisch); nutzt man für die Verbindungen zwischen Switch und Router/Switchen/APs
untagged, der Traffic auf dem port kommt ohne VLAN-ID; der port kann als solches nur Mitglied in einem VLAN sein; hier sind die klassischen Clients angeschlossen, die einem bestimmten VLAN zugeordnet werden sollen; das Tagging übernimmt dann der Switch

OpenWRT bringt in der Standardausführung bereits zwei VLAN mit: #1 für WAN und #2 für LAN. Schaut man sich die Konfiguration für LAN an (ganz bequem über LuCI, das webinterface), dann kann man diese, fürs erste, in ein neues Interface sukzessive analysieren, kopieren und übertragen (zB MEDIA, VLAN #3) und kann dann einen(!) Netzwerkport aus dem LAN-VLAN in das MEDIA-VLAN übertragen - und dann mit einem dort angeschlossenen client testen. Bei der Anlage des neuen Interfaces navigiert man ganz bequem durch die Einstellungsoptionen, konfiguriert IP bereiche, DHCP, DNS, grundlegende Firewallregeln (die Zone MEDIA wird praktischerweise gleich mit angelegt; die regeln für DNS und DHCP (Clients dürfen den Router bezgl DHCP und DNS anfragen) müssen noch explizit konfiguriert werden, was via LuCI einfach ist). Und dann tastet man sich langsam ran, die Lernkurve ist dabei sehr steil (nach oben

).

gotmoon · 26 April 2021, 12:53:01

... dachte ich gebe auch mal meinen Senf dazu.

Ich habe ebenfalls lange darüber nachgedacht wie man SmartHome, Datenschutz, Bequemlichkeit, Gäste-WLAN, Server, VPN etc. alles unter einen Hut bekommt. Die VLAN Lösung könnte ich zwar fahren, aber ich habe mich im Grunde dagegen entschieden, weil zu kompliziert.
Dazu kommt, dass ich in der Switch-Wahl auf einen D-Link beschränkt bin (viele MagentaTV Geräte) und als Router auf eine FritzBox (VPN Vernetzung, MagentaTV Unterstützung, Telefon)

Geworden ist es ein 2-Gespann aus Pi-Hole und FritzBox. Mit dem Pi-Hole habe ich mich auch extra etwas tiefer beschäftigt.

Der PiHole arbeitet mit Gruppen, in die ich die Clients eingeteilt habe. Dort ist recht detailliert geklärt welches Gerät welche Server im Netz anfunken kann und welche nicht.
Also alle normalen Geräte wie Handys und Rechner landen in einer Default Gruppe, in der fast alles geht. (Kann man noch unterteilen wenn man möchte. Meine Geräte können z.b. alle nicht mit Facebook reden)
Alle weitergehenden Geräte wie Fernseher oder Saugstauber werden daraufhin untersucht wen sie so anrufen und dann wird selektiv blockiert/freigegeben.
Genauso auch die Server, nur dass es dort andere Regeln gibt.
Alle Netzwerk-Geräte die gar nix im Internet zu suchen haben (Netzwerkkamera, Heizung, switch, AccessPoint etc) werden dort komplett blockiert.
Zusätzlich bekommen diese Geräte auch eine Internetblockade über die Fritzbox Kinderschutzfunktion.

Wenn ich mal nicht zu Hause bin, komme ich an alles noch über das VPN ran.

WLAN & Gäste WLAN machen bei mir eine Hand voll Ubiquitis, die damit sehr gut funktionieren. Die Gäste-WLAN-Geräte landen im PiHole in der Default Gruppe und in den Ubiquitis ist es so konfiguriert, dass sie keine lokale IP ansurfen dürfen.

Ich bin mir sehr wohl im Klaren, dass das keine 100% Lösung ist. Aber es ist übersichtlich, leicht eingestellt und bewahrt mich vor ständig nölenden Familienmitgliedern, weil immer irgendwas nicht so will wie es gerade soll.
Wer etwas sucht bekommt auch recht gute Lern-Kurse im Netz (Udemy, YouTube)

PS: Einen Sprachassistenten gibt es bei mir aus Prinzip nicht (Dafür weiß ich einfach viel zu viel darüber wie Dinge im Internet funktionieren). Ich fühle mich auch bei Freunden immer etwas unwohl wenn ich einen sehe.

Gruß

rob · 26 April 2021, 13:12:19

Wünschen würde ich mir ein Buch oder wenigstens eine Art Sonderheft-Workshop von einschlägigen Verlagen. Eine sehr gut aufbereitete Infoquelle im Internet ist dazu jedenfalls der Kuketz-Blog (https://www.kuketz-blog.de/fritzbox-4040-und-netzwerkaufbau-openwrt-teil1/).
Schade, dass die Printmedien ggü. dem Internet regelmäßig kapitulieren.
OpenWrt Erfahrung: geht so. Habe naiv angenommen, dass man die Interfaces genauso strukturiert, wie man Zonen benötigt. Wie genau und ob VLAN dabei nötig ist, habe ich noch nicht weiter vertieft. Steile Lernkurven muss man oft mit viel Zeit finanzieren - so Themen gibts halt viele

In der Praxis scheiterts oft schon an kleinen Dingen. Beispiel: der petzende LG-TV lässt sich via Fhem top steuern und wird ins LAN eingesperrt. Jetzt kommt aber die Family und möchte Dutube und Nettflink an dem TV machen. Beide Dienste haben zig IPs und per default arbeitet OpenWRTs Firewall mit IP, MAC oder Port.
Da ist man noch weit weg von irgendeinem Zonen-Konzept. Also gibt man nach und das TV petzt wieder nach Hause...

Werd mir wohl die VLAN-Geschichte näher anschauen müssen

VG
rob

yersinia · 26 April 2021, 13:36:17

Wenn man des Englischen nicht oder schlecht mächtig ist, wird es leider wirklich schnell dünn im Netz - zumindest aus deutscher Sicht. Aber wenn man [suchmaschine] bemüht, sollte man auf den seiten 2, 3 oder 4 auch fündig werden, eventuell sogar auf der Videoplattform.
Dieses Video gibt es zB auch mit deutschen Untertitel: How to configure OpenWRT as Firewall for your home network and guest wifi and iptables explained
und (bezgl VLAN): extend a guest wifi on second access point with OpenWrt using VLANs

Aber es scheint auch Bücher zu geben, die das Thema OpenWRT zumindest anschneiden:
https://www.rheinwerk-verlag.de/computer-netzwerke/
https://www.rheinwerk-verlag.de/pc-netzwerke-das-umfassende-handbuch/
Letzteres scheint gute Grundlagen über Netzwerk etc. abzudecken. Gelesen habe zumindest ich diese nicht und kann deren Inhalte nicht beurteilen.

Zitat von: rob am 26 April 2021, 13:12:19In der Praxis scheiterts oft schon an kleinen Dingen. Beispiel: der petzende LG-TV lässt sich via Fhem top steuern und wird ins LAN eingesperrt. Jetzt kommt aber die Family und möchte Dutube und Nettflink an dem TV machen. Beide Dienste haben zig IPs und per default arbeitet OpenWRTs Firewall mit IP, MAC oder Port.
Da ist man noch weit weg von irgendeinem Zonen-Konzept. Also gibt man nach und das TV petzt wieder nach Hause...

Durch VLAN-Zonen kann man den LG-TV von dem 'internen' Netzwerk trennen, wenn der TV doch zu neugierig -oder gar ein Einfallstor- werden sollte, kann er nicht auf das interne LAN zugreifen - die firewall würde die Zugriffe in andere Zonen schlicht blockieren.

MMn ist IP/DNS sperren nicht primär die Aufgabe des Routers/Switches (Thema VLAN), ja, das kann man mit einer Firewall (zB basierend auf der MAC) machen, die Pflege ist aber aufwendig (wie du sagst, die IPs nachhalten ist schwierig). Dafür (DNS basiertes Blocking) bietet sich eher zB piHole an, auch in dem Aufbau die getmoon beschreibt. Ist die Router-Hardware potent genug, kann man AdBlock auf OpenWRT nutzen.

Wuppi68 · 26 April 2021, 14:14:37

ich würde wenn VLAN fähige Switch vorhanden sind einfach Ubiqiti AP's nehmen und einen zentralen Server mit mehreren Netzwerkkarten.
der Internet Router bekommt nur einen Anschluss an den Server der auch direkt Firewall und ggfls. Multicast Router sowie PiHole ist.
Der Server hat dann direkt die Aufgabe den Unifi Controller, NAS und FHEM zu bedienen.
wenn genug Memory vorhanden ist, kann auch auf dem Server Proxmox installiert werden und dann läuft alles Virtuell

Beste Grüße

Wuppi

kleines Rechenbeispiel:

Server mit 4*GBit Netz; 1HE; Supermicro Board *-LN4 immer wieder für 50€ bei Ebäh zu schnappen (Günstige Kombi: Supermicro X8SIE-LN4)
ggfls. CPU Upgrade 30-40@; RAM Upgrade auf 32GB 80€.
In einem kurzen 1HE Gehäuse passen dann noch 2 * 3,5 Festplatten und eine SSD rein.

Mein Server X8SIE-LN4 mit 4/8 fach Xeon; 32GB RAM (max); 1 * 10GBE; 2 Platten + Sag braucht unter Normallast 55Watt. Sparen tue ich damit mein NAS (35W); FHEM Server ....