(W)LAN absichern/separieren

Begonnen von darkness, 27 März 2019, 10:28:37

Vorheriges Thema - Nächstes Thema

darkness

Ja, viele kleine Dinge. Aber dank deiner ausgezeichneten Hilfe hat es geklappt. Danke noch mal.

Wie geht es jetzt weiter?

Erstmal werde ich das 192.168.178.0/24 mittels Firewall von dem 172.16.0.0/16 trennen.
Dann wollte ich mir den Ubiquiti UniFiSwitch 8 holen. Dieser sollte doch dann entsprechend das Routing übernehmen können, oder

Danach kann ich dann Anfangen dass 172.16.0.0 weiter aufzuteilen.
Macht es Sinn IPv6 im Heimnetz auch anzuwenden?

ZitatDu nutzt nicht zufällig auch noch Entertain/MagentaTV oder einen anderen Multicast IPTV Anbieter?

Prime Video und die div. Mediatheken. Aber die sind kein IPTV, oder?




Wuppi68

Zitat von: darkness am 31 März 2019, 16:18:31
Ja, viele kleine Dinge. Aber dank deiner ausgezeichneten Hilfe hat es geklappt. Danke noch mal.

Wie geht es jetzt weiter?

Erstmal werde ich das 192.168.178.0/24 mittels Firewall von dem 172.16.0.0/16 trennen.
Dann wollte ich mir den Ubiquiti UniFiSwitch 8 holen. Dieser sollte doch dann entsprechend das Routing übernehmen können, oder

Danach kann ich dann Anfangen dass 172.16.0.0 weiter aufzuteilen.
Macht es Sinn IPv6 im Heimnetz auch anzuwenden?

Prime Video und die div. Mediatheken. Aber die sind kein IPTV, oder?

okay, schon mal gut - kein IPTV (Multicast) :-)

der Unifi Switch 8 kann nur Layer 2, als KEIN Routing

Willst Du keinen extra Router, dann solltest einen Cisco SG3xx Switch nehmen ("lifetime" Garantie --> Austausch solange nicht End Of Life) habe ich auch schon einmal gebraucht. Heute ne Störung eingestellt, morgen schon der Ersatz da mit Paketrückmarke und ner Rechnung, die genullt wird, wenn Du den defekten zurück geschickt hast ... Wenn Du nicht Gigabit brauchst, kann es auch ein "älter" Switch sein ... zum Beispiel: Cisco 3560-24 mit POE kostet ca. 40-60 Euro bei Ebay, kann POE und hat auch 2 Gigabit Ports, ist aber kein Klicki Bunti konfigurieren - aber trotzdem super easy
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

Guten Morgen.

Ach herrje, immer diese Details :)

Ich würde es jetzt mal mit einem Cisco SG350-10 versuchen.

Eine Frage zur "Verkabelung". Mehrere WLAN-Netze aufspannen, um so die Geräte zu trennen sollte ja kein Problem sein, soweit ich das verstanden habe.
Das ich bei mir keine LAN-Kabel im Haus habe und diese auch nicht nachträglich ziehen kann nutze ich PowerLAN. Da wäre ja keine Trennung der einzelnen VLANs.
Kann ich dann am Ende des PowerLANs in einen Switch setzen, der dann die Pakete entsprechend des VLAN auf die einzelnen Ports und damit auf die Geräte aufteilt?


darkness

Ich habe gerade auch mit dem Wiki-Artikel angefangen. Was bietet sich denn da als Seitentitel an?
"LAN-Sicherheit" oder gibt es da was treffenderes?

Wuppi68

Zitat von: darkness am 01 April 2019, 06:36:15
Guten Morgen.

Ach herrje, immer diese Details :)

Ich würde es jetzt mal mit einem Cisco SG350-10 versuchen.

Eine Frage zur "Verkabelung". Mehrere WLAN-Netze aufspannen, um so die Geräte zu trennen sollte ja kein Problem sein, soweit ich das verstanden habe.
Das ich bei mir keine LAN-Kabel im Haus habe und diese auch nicht nachträglich ziehen kann nutze ich PowerLAN. Da wäre ja keine Trennung der einzelnen VLANs.
Kann ich dann am Ende des PowerLANs in einen Switch setzen, der dann die Pakete entsprechend des VLAN auf die einzelnen Ports und damit auf die Geräte aufteilt?

ich hoffe Deine PowerLan Teile können 802.1q  ohne dem bekommst Du keinen Trunk (mehrere/alle VLANs getagged) darüber

ansonsten hast Du im PowerLan NUR 1 VLAN und 4 bzw. 8 für die verschiedenen WiFi's ((2,4 + 5)GHz * 4)
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

Wuppi68

Zitat von: darkness am 01 April 2019, 09:26:35
Ich habe gerade auch mit dem Wiki-Artikel angefangen. Was bietet sich denn da als Seitentitel an?
"LAN-Sicherheit" oder gibt es da was treffenderes?

"Trennung/Aufteilung von TCP/IP Netzen zur Erhöhung der Sicherheit"

würde ich es nennen ;-)
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

Zitat von: Wuppi68 am 01 April 2019, 13:28:56
ich hoffe Deine PowerLan Teile können 802.1q  ohne dem bekommst Du keinen Trunk (mehrere/alle VLANs getagged) darüber

ansonsten hast Du im PowerLan NUR 1 VLAN und 4 bzw. 8 für die verschiedenen WiFi's ((2,4 + 5)GHz * 4)

steht natürlich nichts dabei im Datenblatt. Das Netz sagt mal so, mal so  :o
Sind von TP Link. Devolo und Fritz können es wohl

Also mal testen und schauen was Wireshark sagt.  Aber mal eins nach dem anderen

darkness

Zitat von: Wuppi68 am 01 April 2019, 13:31:31
"Trennung/Aufteilung von TCP/IP Netzen zur Erhöhung der Sicherheit"

würde ich es nennen ;-)

Das geht ja leicht von der Zunge :)
Habe ich mal angelegt:
https://wiki.fhem.de/wiki/Trennung/Aufteilung_von_TCP/IP_Netzen_zur_Erh%C3%B6hung_der_Sicherheit

Wuppi68

Zitat von: darkness am 01 April 2019, 13:58:59
Das geht ja leicht von der Zunge :)
Habe ich mal angelegt:
https://wiki.fhem.de/wiki/Trennung/Aufteilung_von_TCP/IP_Netzen_zur_Erh%C3%B6hung_der_Sicherheit

Cool .... Toller Start !!!!!

Mit dem Speedport klappt es nicht ;-) siehe Wiki

und in der Einleitung wäre es vermutlich sinnvoll noch die Info zu sagen, dass es wirklich nur ab Fortgeschrittene Anwender gemacht werden sollte
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

Wuppi68

Zitat von: darkness am 01 April 2019, 13:56:43
steht natürlich nichts dabei im Datenblatt. Das Netz sagt mal so, mal so  :o
Sind von TP Link. Devolo und Fritz können es wohl

Also mal testen und schauen was Wireshark sagt.  Aber mal eins nach dem anderen
ohne Switch, der Dir ggfls. die Geräte in die entsprechenden VLANs packt, wirst Du die normalen Consumer Geräte nicht davon überzeugen können Ihre Netwerkpakete entsprechend im VLAN zu taggen ...

aktuell würde ich mir ernsthaft überlegen auch VLANs für NICHT direkt an Switch oder WIFI angebundene Geräte einzuführen.
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

#40
Der CISCO-Router ist da  ;D

Bevor ich mich um die VLANS weiter kümmere, werde ich mich wohl damit beschäftigen müssen.

Ich nehme an in einem ersten Schritt muss ich das Routing von der Fritzbox und vom PiHole auf dem Cisco einrichten, oder?
DHCP bleibt auf dem PiHole.


Wuppi68

Zitat von: darkness am 02 April 2019, 20:23:50
Der CISCO-Router ist da  ;D

Bevor ich mich um die VLANS weiter kümmere, werde ich mich wohl damit beschäftigen müssen.

Ich nehme an in einem ersten Schritt muss ich das Routing von der Fritzbox und vom PiHole auf dem Cisco einrichten, oder?
DHCP bleibt auf dem PiHole.

so ein SG350 ist ein Switch mit Routing Funktionen :-)

aber vom Grundsatz her "super easy"

1. Switch auf Layer 3 Modus stellen
2. Reboot --> steht dann wieder auf Werkseinstellung

3. Management IP festlegen (liegt im VLAN 1) also der Standard
4. VLANs definieren
5. IP Adressen für die VLANs festlegen

kleiner Hinweis am Rande: Hast Du ein 16er Netz konfiguriert, wirst Du dort keine 24er Netze definieren können ... aber ich glaube Du hast die nächsten Tage noch einmal ganz viel Neues zu erleben

Du kannst ja ein 192.168.x/24er Netz in VLAN nehmen und dann einen PC entsprechend routen
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

darkness

Das klingt bei dir immer so leicht :)
Aber im Vergleich zur Fritzbox GUI doch mal was anderes.

Noch mal zum DHCP. Das macht weiterhin der Pi, oder?
Nur das Routen zwischen den Netzen macht dann halt nicht mehr der Pi/Fritzbox?

Wuppi68

Zitat von: darkness am 02 April 2019, 22:21:40
Das klingt bei dir immer so leicht :)
Aber im Vergleich zur Fritzbox GUI doch mal was anderes.

Noch mal zum DHCP. Das macht weiterhin der Pi, oder?
Nur das Routen zwischen den Netzen macht dann halt nicht mehr der Pi/Fritzbox?

ich habe dieses auch schon komplett durch gemacht - bei mir habe ich aber noch als kleine "Performance Baustelle" das Entertain mit Multicast (klappt so einfach bei VLANs nicht mehr) ;-)

DNS mach der PiHole --> Fritte
DHCP macht der PiHole - oder auch der Cisco Switch
Routing --> Cisco Switch (nur Statisches Routing)

macht DHCP der PiHole musst Du in jedem VLAN auf dem Switch das DHCP Relay und Option 82 aktivieren UND die IP Adresse des DHCP Servers eintragen
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

yersinia

Zitat von: darkness am 01 April 2019, 13:58:59
https://wiki.fhem.de/wiki/Trennung/Aufteilung_von_TCP/IP_Netzen_zur_Erh%C3%B6hung_der_Sicherheit
Cool! Sieht super aus! [Klugscheiss]Kleiner typo (hier):
ZitatSpäter können diese 24er Netze durch Firewallregeln und VLAN-TAgs entsprechende Zugrissrechte bekommen und voneinander abgegrenzt werden.
[/Klugscheiss]

Das Subnetting finde ich ganz spannend und sicher für den erfahrenen Laien mit einer Fritzbox sehr gut. Ich bin etwas über diese Aussage gestolpert:
ZitatDadurch das als Subnetmaske die 255.255.0.0 (entspricht /16) gewählt wurde, sind die Geräte auch weiterhin noch untereinander erreichbar. Die Fritzbox (der Router) bekommt die Adresse 172.16.1.1 mit der Netzmaske 255.255.0.0 Nach dieser Umstellung sollten alle Geräte wie gewohnt erreichbar sein
Ist der Sinn des ganzen Subnettings hier nicht eher, dass die Geräte der verschiedenen Subnetze eben nicht unbedingt untereinander kommunizieren sollen bzw. dürfen? Ok, es ist implizit weiter oben beschrieben:
ZitatSpäter können diese 24er Netze durch Firewallregeln und VLAN-TAgs entsprechende Zugriffrechte bekommen und voneinander abgegrenzt werden
Aber ich habe das Gefühl, dass man hier nur eine Scheinsicherheit erhält, wenn man bei dem Konzept ohne Firewallregeln und VLANs bleibt. Ein Netzwerk-Client könnte theoretisch mit einer statischen IP in ein anderes Subnetz gelangen.

Zumal ich den Pflegeaufwand auch recht hoch halte - vergibt der DHCP automatisch die richtige IP an neue Netzwerkgeräte oder muss das manuell konfiguriert werden?

Wenn man PiHole aufsetzt, sollte man auch gleich über DNSCrypt (gute Anleitung oder direkt von der Quelle) nachdenken - sowie über freie DNS Server (hier oder hier zum Beispiel).

Wer sowieso Bastelfreudig ist und mit Linux nicht fremdelt, kann sich auch im Bereich OpenWRT (oder äquivalente alternativen Router Software) und zB unterstützte TP-Link-Router ansehen. Darüber kann man dann wesentlich flexibler und einfacher VLANs, Subnetze, etc. anlegen. Man kann auch mehrere WLAN-SSID generieren und diese verschiedenen VLANs zuweisen. Routing zwischen VLANs ist grundsätzlich nicht aktiviert, kann aber über Firewall Regeln einfach konfiguriert werden. Managed Switches lassen sich so auch sehr gut anbinden und nutzen.
Für Experten ist dies sowieso nur Spielerei. Da kommt man mit pfsense, IPFire usw und entsprechender Hardware weiter. Oder man nutzt direkt Business bzw semi-professionelle Geräte...
viele Grüße, yersinia
----
FHEM 6.3 (SVN) on RPi 4B with RasPi OS Bullseye (perl 5.32.1) | FTUI
nanoCUL->2x868(1x ser2net)@tsculfw, 1x433@Sduino | MQTT2 | Tasmota | ESPEasy
VCCU->14xSEC-SCo, 7xCC-RT-DN, 5xLC-Bl1PBU-FM, 3xTC-IT-WM-W-EU, 1xPB-2-WM55, 1xLC-Sw1PBU-FM, 1xES-PMSw1-Pl