(W)LAN absichern/separieren

Begonnen von darkness, 27 März 2019, 10:28:37

Vorheriges Thema - Nächstes Thema

darkness

Hallo Zusammen,

Ich möchte meine (W)LAN Landschaft überarbeiten und so die Sicherheit (hoffentlich) etwas erhöhen.

Was habe ich bisher:
Als Router eine Fritzbox und div. Geräte per LAN/WLAN und PowerLAN zusammen geschlossen.

Dabei sind Computer/Handy/Alexa... alle in einem Netz.

Jetzt habe ich schon ein wenig gelesen, dass es sinnvoll sein könnte, die Geräte von einander zu trennen. Vielleicht schon mal Computer/Handy in ein Netz und Alexa&Co in ein anderes.
Und die Zahl der Geräte wird wahrscheinlich auch eher zunehmen.

Wie kann ich sowas umsetzen? Ein Anfang wäre wohl z.B. ein Ubiquiti Accesspoint. Damit könnte ich ja schon mal mehrere WLANs aufspannen.
Aber wie geht es dann weiter? Den AP einfach an die Fritzbox anklemmen reicht da ja wohl nicht.

In einem ersten Schritt möchte ich mir erst mal eine Übersicht erstellen, welche Geräte ich überhaupt im Netzt habe und wie diese angebunden sind.
Habt ihr vielleicht Ideen/Tipps wie ich das ganze angehen sollte?

Vielen Dank

Wuppi68

#1
eine gute Herausforderung ;-)

Ich würde als erstes den DNS und den DHCP von der Fritte runternehmen ...

entweder als "kleine" Lösung: PI-Hole oder direkt auf die Kombination bind9 und isc-dhcpd setzen

danach kannst Du "gemütlich" die Geräte in Deinem physikalischen Netzwerk in "SubNetze" aufteilen (per DHCP feste Adressen zuweisen)

z.B.:
172.16.1.0 --> Default
172.16.2.0 --> Heimautomation
172.16.3.0 --> Media
172.16.4.0 --> Zocken
...
172.16.255.0 --> das letzte ;-)

Dann gibst Du der Fritte z.B. die 172.16.1.1 mit der Netzmaske 255.255.0.0

Wenn dann noch alles geht --> fragen wie es weiter geht 8)

Ziel des Ganzen ist es das 16er Netz in mehrere 24er zu ändern um so die einzelnen Bereiche ggfls. mit 'ner Firewall und und/oder VLANs zu versorgen

PS.: via IPV6 können in dieser Konfiguration immer alle mit allen Kommunizieren
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

#2
Ok, ich werde mal schauen, wann ich das ganze, möglichst belästigungsfrei für die Familie, umsetzen kann.

Aber zum Verständnis.

Mein PC ist dann im Subnetz 172.16.4.0 und mein Raspi kommt ins 172.16.1.0, richtig? Übrigens läuft da PI-Hole und FHEM drauf.

Um dann vom PC auf den PI zuzugreifen muss ich das ganze mittels Firewallregel einstellen? Oder ignoriere ich das erst mal, da ich mit IPv6 eh zugriff habe?

Wernieman

Beim obigen Vorschlag:
Zitat255.255.0.0
Damit kann der PC den Pi direkt erreichen. Langrisfstig solltest Du bei einem solchen Konstrukt Dir über einen router Gedanken machen. Da sollte sich nur lieber Wuppi68 nochmals äußern.
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Morgennebel

Du hast dann immer noch alle Geräte in einem Netzwerk. Ein sehr großes Netzwerk, aber eines.

Da ist nur ein ganz ganz wenig Struktur dabei, um einzelne Geräte gezielt in einzelne Bereiche (nicht in einzelne Netzwerke) zu schubsen und ein wenig Ordnung zu schaffen. Sicherheit gibt Dir das nicht.

Erst VLANs und getrennte WiFi-Netzwerke für bestimmte Anwendungsbereiche helfen da, oder eine Firewall. Das hängt dann von Deinen Anforderungen ab. Für Ubiquiti brauchst Du den AP, das Gateway (alternativ einen Pi) und einen Ubiquiti Switch mit VLAN-Unterstützung. Und viel Zeit, Grundlagen der Netzwerktechnik zu erlenen...

Ciao, -MN
Einziger Spender an FHEM e.V. mit Dauerauftrag seit >= 24 Monaten

FHEM: MacMini/ESXi, 2-3 FHEM Instanzen produktiv
In-Use: STELLMOTOR, VALVES, PWM-PWMR, Xiaomi, Allergy, Proplanta, UWZ, MQTT,  Homematic, Luftsensor.info, ESP8266, ESERA

Wuppi68

Zitat von: Morgennebel am 27 März 2019, 12:51:35
Du hast dann immer noch alle Geräte in einem Netzwerk. Ein sehr großes Netzwerk, aber eines.

Da ist nur ein ganz ganz wenig Struktur dabei, um einzelne Geräte gezielt in einzelne Bereiche (nicht in einzelne Netzwerke) zu schubsen und ein wenig Ordnung zu schaffen. Sicherheit gibt Dir das nicht.

Erst VLANs und getrennte WiFi-Netzwerke für bestimmte Anwendungsbereiche helfen da, oder eine Firewall. Das hängt dann von Deinen Anforderungen ab. Für Ubiquiti brauchst Du den AP, das Gateway (alternativ einen Pi) und einen Ubiquiti Switch mit VLAN-Unterstützung. Und viel Zeit, Grundlagen der Netzwerktechnik zu erlenen...

Ciao, -MN

habe ich doch geschrieben, dass es am Anfang der Migration ein 16er Netz ist ... und immer noch jeder alles mit allem kann

Wenn der DHCP und der Router laufen kann er problemlos auf 24er Netze umstellen und DANN greift erst die Sicherheit als 1. Schritt ;-)
Schritt 2 ist dann Firewallregeln und VLans

Am Ende hat die Fritte dann wieder z.B. die 192.168.178.1 und eine Route für das 172.16/16er Netz auf den internen Router
Wenn jetzt der DHCP für nicht defnierte Clients die Adressen nur aus dem Pool 192.168.178.0/24 vergibt wird aus ganzen ein tragfähiges Konstrukt, was man sogar "im Betrieb" umkonfigurieren kann (--> Neustart des Clients zum holen der neuen Netzdaten)

und wenn es "günstig" sein soll, dann kommt als Router ein neuer Raspi als einziges hinzu, womit dann ca. 300MBit auf dem Ethernet möglich sind. Der macht dann auch noch DNS und DHCP so nebenbei mit.
Wenn es nicht ganz so günstig sein braucht, geht noch besser ein Ubiquitti Router
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

Kleiner Zwischenbericht:

Die Umstellung des DHCP von der Fritte auf den Pi hat gekalppt.
Jetzt muss ich erst mal die ganzen (W)LAN-Geräte "einsammeln". Mir war nicht bewusst, dass es so viele sind :o

Besonders toll, wenn diese sich auch ohne Hostname im Netzwerk anmelden.

Melde mich, wenn alles sortiert ist.

Wuppi68

da Du ja pihole benutzt, setze für die festen MAC Adressen auch direkt ein entsprechendes Tag, damit Du später auch das Gateway für die verschiedenen Netze setzen kannst ;-)

Infos dazu findest zu z.B. hier: https://stackoverflow.com/questions/29453522/how-to-specify-two-or-more-gateways-in-dnsmasq
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

#8
Kann ich das direkt in der Weboberfläche?

Die 02-pihole-dhcp.conf scheint ja dynamisch erzeugt zu werden.

Edit

Wenn ich das richtig sehe, kann ich die 04-pihole-static-dhcp.conf anpassen, oder?

Wuppi68

Zitat von: darkness am 28 März 2019, 14:25:53
Kann ich das direkt in der Weboberfläche?

Die 02-pihole-dhcp.conf scheint ja dynamisch erzeugt zu werden.

Edit

Wenn ich das richtig sehe, kann ich die 04-pihole-static-dhcp.conf anpassen, oder?

sorry, keine Ahnung ;-) Ich benutze den isc-dhcpd ... ich würde das einfach ausprobieren
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

so, geschafft. Alles aufgeteilt und noch erreichbar.

Frage:
Ich habe einige Geräte die keinen Hostnamen haben

dhcp-host=0C:47:C9:02:20:E1,172.16.2.15,unknown,set:vlan2

kann ich denen manuell ein Hostnamen vergeben?

Wuppi68

Zitat von: darkness am 28 März 2019, 17:13:52
so, geschafft. Alles aufgeteilt und noch erreichbar.

Frage:
Ich habe einige Geräte die keinen Hostnamen haben

dhcp-host=0C:47:C9:02:20:E1,172.16.2.15,unknown,set:vlan2

kann ich denen manuell ein Hostnamen vergeben?

sollte auch gehen ... ist ja nur für den DHCP Server intern ...

Jetzt kannst Du mal schauen, ob Du den einzelnen Clients andere "Default" Einstellungen per DHCP unterschieben kann ;-)

Zum Testen würde ich einfach Dein Smartphone nehmen und als DHCP Option für den DNS die Fritzbox eintragen ... bekommst Du Werbung angezeigt, klappt es .... (siehe Link ein paar Posts vorher von mir)
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

Ok, teste ich mal.

Aber der DHCP an der Fritzbox ist ja deaktiviert da dhcp auf dem pi an ist

Hat sich erledigt. Ja, nur den DNS.

Wuppi68

Zitat von: darkness am 28 März 2019, 17:58:31
Ok, teste ich mal.

Aber der DHCP an der Fritzbox ist ja deaktiviert da dhcp auf dem pi an ist

DHCP soll ja auch NUR das piHole machen ...
und es soll ja auch nur EIN Client einen anderen DNS zugewiesen bekommen - deshalb ja auch die "Tags"
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

ja, hatte ich falsch verstanden  :-[

Der Test hat geklappt