FHEM Forum

Verschiedenes => Off-Topic => Thema gestartet von: darkness am 27 März 2019, 10:28:37

Titel: (W)LAN absichern/separieren
Beitrag von: darkness am 27 März 2019, 10:28:37
Hallo Zusammen,

Ich möchte meine (W)LAN Landschaft überarbeiten und so die Sicherheit (hoffentlich) etwas erhöhen.

Was habe ich bisher:
Als Router eine Fritzbox und div. Geräte per LAN/WLAN und PowerLAN zusammen geschlossen.

Dabei sind Computer/Handy/Alexa... alle in einem Netz.

Jetzt habe ich schon ein wenig gelesen, dass es sinnvoll sein könnte, die Geräte von einander zu trennen. Vielleicht schon mal Computer/Handy in ein Netz und Alexa&Co in ein anderes.
Und die Zahl der Geräte wird wahrscheinlich auch eher zunehmen.

Wie kann ich sowas umsetzen? Ein Anfang wäre wohl z.B. ein Ubiquiti Accesspoint. Damit könnte ich ja schon mal mehrere WLANs aufspannen.
Aber wie geht es dann weiter? Den AP einfach an die Fritzbox anklemmen reicht da ja wohl nicht.

In einem ersten Schritt möchte ich mir erst mal eine Übersicht erstellen, welche Geräte ich überhaupt im Netzt habe und wie diese angebunden sind.
Habt ihr vielleicht Ideen/Tipps wie ich das ganze angehen sollte?

Vielen Dank
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 27 März 2019, 10:44:08
eine gute Herausforderung ;-)

Ich würde als erstes den DNS und den DHCP von der Fritte runternehmen ...

entweder als "kleine" Lösung: PI-Hole oder direkt auf die Kombination bind9 und isc-dhcpd setzen

danach kannst Du "gemütlich" die Geräte in Deinem physikalischen Netzwerk in "SubNetze" aufteilen (per DHCP feste Adressen zuweisen)

z.B.:
172.16.1.0 --> Default
172.16.2.0 --> Heimautomation
172.16.3.0 --> Media
172.16.4.0 --> Zocken
...
172.16.255.0 --> das letzte ;-)

Dann gibst Du der Fritte z.B. die 172.16.1.1 mit der Netzmaske 255.255.0.0

Wenn dann noch alles geht --> fragen wie es weiter geht 8)

Ziel des Ganzen ist es das 16er Netz in mehrere 24er zu ändern um so die einzelnen Bereiche ggfls. mit 'ner Firewall und und/oder VLANs zu versorgen

PS.: via IPV6 können in dieser Konfiguration immer alle mit allen Kommunizieren
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 27 März 2019, 11:17:10
Ok, ich werde mal schauen, wann ich das ganze, möglichst belästigungsfrei für die Familie, umsetzen kann.

Aber zum Verständnis.

Mein PC ist dann im Subnetz 172.16.4.0 und mein Raspi kommt ins 172.16.1.0, richtig? Übrigens läuft da PI-Hole und FHEM drauf.

Um dann vom PC auf den PI zuzugreifen muss ich das ganze mittels Firewallregel einstellen? Oder ignoriere ich das erst mal, da ich mit IPv6 eh zugriff habe?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wernieman am 27 März 2019, 12:00:45
Beim obigen Vorschlag:
Zitat255.255.0.0
Damit kann der PC den Pi direkt erreichen. Langrisfstig solltest Du bei einem solchen Konstrukt Dir über einen router Gedanken machen. Da sollte sich nur lieber Wuppi68 nochmals äußern.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Morgennebel am 27 März 2019, 12:51:35
Du hast dann immer noch alle Geräte in einem Netzwerk. Ein sehr großes Netzwerk, aber eines.

Da ist nur ein ganz ganz wenig Struktur dabei, um einzelne Geräte gezielt in einzelne Bereiche (nicht in einzelne Netzwerke) zu schubsen und ein wenig Ordnung zu schaffen. Sicherheit gibt Dir das nicht.

Erst VLANs und getrennte WiFi-Netzwerke für bestimmte Anwendungsbereiche helfen da, oder eine Firewall. Das hängt dann von Deinen Anforderungen ab. Für Ubiquiti brauchst Du den AP, das Gateway (alternativ einen Pi) und einen Ubiquiti Switch mit VLAN-Unterstützung. Und viel Zeit, Grundlagen der Netzwerktechnik zu erlenen...

Ciao, -MN
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 27 März 2019, 15:05:56
Zitat von: Morgennebel am 27 März 2019, 12:51:35
Du hast dann immer noch alle Geräte in einem Netzwerk. Ein sehr großes Netzwerk, aber eines.

Da ist nur ein ganz ganz wenig Struktur dabei, um einzelne Geräte gezielt in einzelne Bereiche (nicht in einzelne Netzwerke) zu schubsen und ein wenig Ordnung zu schaffen. Sicherheit gibt Dir das nicht.

Erst VLANs und getrennte WiFi-Netzwerke für bestimmte Anwendungsbereiche helfen da, oder eine Firewall. Das hängt dann von Deinen Anforderungen ab. Für Ubiquiti brauchst Du den AP, das Gateway (alternativ einen Pi) und einen Ubiquiti Switch mit VLAN-Unterstützung. Und viel Zeit, Grundlagen der Netzwerktechnik zu erlenen...

Ciao, -MN

habe ich doch geschrieben, dass es am Anfang der Migration ein 16er Netz ist ... und immer noch jeder alles mit allem kann

Wenn der DHCP und der Router laufen kann er problemlos auf 24er Netze umstellen und DANN greift erst die Sicherheit als 1. Schritt ;-)
Schritt 2 ist dann Firewallregeln und VLans

Am Ende hat die Fritte dann wieder z.B. die 192.168.178.1 und eine Route für das 172.16/16er Netz auf den internen Router
Wenn jetzt der DHCP für nicht defnierte Clients die Adressen nur aus dem Pool 192.168.178.0/24 vergibt wird aus ganzen ein tragfähiges Konstrukt, was man sogar "im Betrieb" umkonfigurieren kann (--> Neustart des Clients zum holen der neuen Netzdaten)

und wenn es "günstig" sein soll, dann kommt als Router ein neuer Raspi als einziges hinzu, womit dann ca. 300MBit auf dem Ethernet möglich sind. Der macht dann auch noch DNS und DHCP so nebenbei mit.
Wenn es nicht ganz so günstig sein braucht, geht noch besser ein Ubiquitti Router
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 28 März 2019, 10:58:20
Kleiner Zwischenbericht:

Die Umstellung des DHCP von der Fritte auf den Pi hat gekalppt.
Jetzt muss ich erst mal die ganzen (W)LAN-Geräte "einsammeln". Mir war nicht bewusst, dass es so viele sind :o

Besonders toll, wenn diese sich auch ohne Hostname im Netzwerk anmelden.

Melde mich, wenn alles sortiert ist.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 28 März 2019, 12:42:13
da Du ja pihole benutzt, setze für die festen MAC Adressen auch direkt ein entsprechendes Tag, damit Du später auch das Gateway für die verschiedenen Netze setzen kannst ;-)

Infos dazu findest zu z.B. hier: https://stackoverflow.com/questions/29453522/how-to-specify-two-or-more-gateways-in-dnsmasq
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 28 März 2019, 14:25:53
Kann ich das direkt in der Weboberfläche?

Die 02-pihole-dhcp.conf scheint ja dynamisch erzeugt zu werden.

Edit

Wenn ich das richtig sehe, kann ich die 04-pihole-static-dhcp.conf anpassen, oder?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 28 März 2019, 15:17:16
Zitat von: darkness am 28 März 2019, 14:25:53
Kann ich das direkt in der Weboberfläche?

Die 02-pihole-dhcp.conf scheint ja dynamisch erzeugt zu werden.

Edit

Wenn ich das richtig sehe, kann ich die 04-pihole-static-dhcp.conf anpassen, oder?

sorry, keine Ahnung ;-) Ich benutze den isc-dhcpd ... ich würde das einfach ausprobieren
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 28 März 2019, 17:13:52
so, geschafft. Alles aufgeteilt und noch erreichbar.

Frage:
Ich habe einige Geräte die keinen Hostnamen haben

dhcp-host=0C:47:C9:02:20:E1,172.16.2.15,unknown,set:vlan2

kann ich denen manuell ein Hostnamen vergeben?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 28 März 2019, 17:52:15
Zitat von: darkness am 28 März 2019, 17:13:52
so, geschafft. Alles aufgeteilt und noch erreichbar.

Frage:
Ich habe einige Geräte die keinen Hostnamen haben

dhcp-host=0C:47:C9:02:20:E1,172.16.2.15,unknown,set:vlan2

kann ich denen manuell ein Hostnamen vergeben?

sollte auch gehen ... ist ja nur für den DHCP Server intern ...

Jetzt kannst Du mal schauen, ob Du den einzelnen Clients andere "Default" Einstellungen per DHCP unterschieben kann ;-)

Zum Testen würde ich einfach Dein Smartphone nehmen und als DHCP Option für den DNS die Fritzbox eintragen ... bekommst Du Werbung angezeigt, klappt es .... (siehe Link ein paar Posts vorher von mir)
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 28 März 2019, 17:58:31
Ok, teste ich mal.

Aber der DHCP an der Fritzbox ist ja deaktiviert da dhcp auf dem pi an ist

Hat sich erledigt. Ja, nur den DNS.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 28 März 2019, 18:00:43
Zitat von: darkness am 28 März 2019, 17:58:31
Ok, teste ich mal.

Aber der DHCP an der Fritzbox ist ja deaktiviert da dhcp auf dem pi an ist

DHCP soll ja auch NUR das piHole machen ...
und es soll ja auch nur EIN Client einen anderen DNS zugewiesen bekommen - deshalb ja auch die "Tags"
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 28 März 2019, 18:19:32
ja, hatte ich falsch verstanden  :-[

Der Test hat geklappt
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 28 März 2019, 23:58:39
Zitat von: darkness am 28 März 2019, 18:19:32
ja, hatte ich falsch verstanden  :-[

Der Test hat geklappt

sieht doch gut aus ;-)

Die Vorarbeit ist schon gemacht (y)
jetzt brauchst Du nur noch einen Router für das interne Netz ....

und dann kannst Du das große 172.16/16er Netz in viele kleine 172.16.x/24er Netze aufteilen und entsprechend routen ...

wenn Du Lust hast, kannst Du den Phiole auch schon ein wenig routen lassen .... für die Performance übernehme ich keine Verantwortung ;-)

1. Anlegen einer 2. IP Adresse auf dem Pi Hole mit  z.B 192.168.178.2/24 (255.255.255.0). https://askubuntu.com/questions/313877/how-do-i-add-an-additional-ip-address-to-etc-network-interfaces
2. Pihole die DHCP Einstellungen für das neue Netz hinzufügen: Gateway=192.168.178.1 (!!!); DNS=192.168.178.1 (!!!).  --> z.B. Gastnetz
3. Routing auf dem Phiole einschalten https://linuxconfig.org/how-to-turn-on-off-ip-forwarding-in-linux

bis hierhin ist alles komplett unterbrechungsfrei möglich ;-)

Jetzt ist auch ein sehr guter Zeitpunkt die Fritzbox zu sichern ;-) pihole am besten auch mit der SD Karte

Istzustand:
Fritte 172.16.1.1
PiHole ETH0 172.16.1.2 und ETH0:0 192.168.178.2

Sollzustand:
Fritte 192.168.178.1
PiHole ETH0 172.16.1.1 und ETH0:0 192.168.178.2

Jetzt kommt der knifflige Teil und die Reihenfolge ist wichtig ;-) und den Phiole am besten mit Tastatur und Monitor bestücken ... das Netz fliegt "kurz" weg

Step a) Auf der Fritte eine Route für 172.16.0.0/16 oder 255.255.0.0 auf das Ziel 192.168.178.2 einstellen
Step b) Setzen der Fritte auf die IP Adresse 192.168.178.1 - nicht wundern, jetzt ist die Fritzbox NICHT erreichbar
Step c) jetzt auf dem Phiole die Datei /etc/network/interfaces die Adressen für ETH0 und ETH0:0 wie Sollzustand eintragen und bei Gateway für eth0 die Adresse der Fritte 192.168.178.1 angeben

noch einen beherzten Reboot des Piholes und wenn wir beide keinen Fehler gemacht haben sollte es immer noch alles laufen und nur der Internetverkehr wird über den Phiole geroutet und das mit nur ein paar Minuten Downtime ;-)

Wenn es nicht geklappt hat, einfach die Datensicherungen wieder einspielen (dauert aber ein wenig länger als 5 Minuten)

Mehr zum Routen würde ich dem Pi aber noch nicht zumuten!!!

Wenn Du jetzt vom DHCP nur noch automatisch Adressen vom neuen 192.168.178/24er (Gast?)Netz verteilen läßt (alles was Du nicht fest definiert hast) und per Firewall (iptables) auf dem Phiole das 192.168.178/er Netz aussperrst haben diese Geräte keinen Zugriff mehr auf Dein 172.16/16er Netz ;-)
Sollen die "Gäste" auch vom PiHole DNS profitieren, dann musst Du "nur" noch die Firewall für DNS (Port 53 UDP/TCP) aufmachen UND den DNS Eintrag für das Netz von 192.168.178.1 auf 192.168.178.2 setzen ...

Selbst Entertain (IPTV) funktioniert noch in dieser Konfiguration

Viel Erfolg

Ralf

PS.: Schau Dir am besten vorher genau die Umkonfiguration an damit Du handwerklich das richtige machst - Verstehen wäre vorher auch von Vorteil ;-)
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 29 März 2019, 06:42:24
Guten Morgen,

klingt alles machbar so weit. Folgende Fragen hätte ich aber noch:



Das ganze wird aber ein wenig dauern, da ich am Wochenende wohl nicht dazu kommen werde.

Ich danke die aber schon vielmals für deine Mühen! Top!

Wenn du nichts dagegen hast, werde ich das ganze am Ende in einen Wiki-Artikel packen. Vielleicht kann/möchte der ein oder andere das auch umsetzen.

Von mir schon mal ein schönes Wochenende

Viele Grüße


Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Benni am 29 März 2019, 07:49:53
Zitat von: Wuppi68 am 28 März 2019, 23:58:39
jetzt brauchst Du nur noch einen Router für das interne Netz ....

Gibt's da irgendwelche konkreten empfehlungen?
Ohne gleich mit teuren Enterprise-Kanonen auf den Heimgebrauch zu schießen?

Wenn vielleicht auch nicht eine konkrete Empfehlung für ein bestimmtes Gerät, so vielleicht wenigstens die wichtigsten Anforderungen und die No-Gos.

Gruß Benni.


Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wernieman am 29 März 2019, 08:09:09
Wie immer kann man schlecht sagen, was eine Empfehlung wäre.

Grundsätzliche Fragen:
- Wie groß ist das Netz (Nodes)
- Wie viel geht Über das Netz (Traffik)
- Wie viele Netze (WLAN etc.)

Ich persönlich würde im Heimbereich anstatt eines "echten Routers" ein Minirechner (Intel NUC, Zotac etc.) mit mindestens 2 Netzwerkkarten und VLAN-fähigen managebaren Switch einsetzen... aber das ist schon etwas "spezieller"
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: pcbastler am 29 März 2019, 09:26:42
Ich bevorzuge da die TP-Link-Modelle und flashe diese mit OpenWRT. Das sollte für den Heimbedarf reichen.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 29 März 2019, 10:03:39
Zitat von: darkness am 29 März 2019, 06:42:24
Guten Morgen,

klingt alles machbar so weit. Folgende Fragen hätte ich aber noch:



  • Ich habe die DHCP-Konfiguration für den PI-Hole bisher in der Datei dhcpcd.conf durchgeführt und meine mal gelesen zu haben, dass die Interfaces nicht mehr genutzt werden soll?
    Das sollte aber kein Problem darstellen, oder?
  • Ich habe noch einen ungenutzten PI3 "herumliegen". Ich werde vor der Umstellung diesen mal als PI-Hole aufsetzen und diesen dann als Router einsetzen. Oder wäre es besser, diesen nur als Router zu verwenden?
  • Backups werde ich natürlich machen. Habe mich aber auch gestern schon paar mal "verkonfiguriert". Mein PC hat WLAN und LAN. Dann manuell eine IP zugewiesen und klappte das mit dem Zugriff. Im Zweifel auch die SSD des PIs am PC mounten und Dateien ändern. Aber, ich werde sehen ob es diesmal auch so einfach klappt.

Das ganze wird aber ein wenig dauern, da ich am Wochenende wohl nicht dazu kommen werde.

Ich danke die aber schon vielmals für deine Mühen! Top!

Wenn du nichts dagegen hast, werde ich das ganze am Ende in einen Wiki-Artikel packen. Vielleicht kann/möchte der ein oder andere das auch umsetzen.

Von mir schon mal ein schönes Wochenende

Viele Grüße

Moin moin,

zu 1) es sollte funktionieren .... habe aber selber keine Erfahrung mit dem pihole ;-)
zu 2) ein Pi3 hat nur ein 100Mbit Interface und schafft dank USB auch keine Vollauslastung wenn andere USB (SSD) Geräte noch bedient werden müssen - als pihole wäre der ideal aber Routen - hmmmm - es wird bestimmt super schnell eng wenn Dein Internetanschluss >= 25MBit ist


Ein Wiki Eintrag daraus --> MEGA

Viel Erfolg

Ralf

PS.: mein Kodi auf nem Pi3 mit USB CD-Laufwerk hakt im Netz extrem wenn ich dort die CD auslese und gleichzeitig die Daten via Netz kopiere
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 29 März 2019, 10:55:54
Das bedeutet ich sollte dann auch noch in einen Hardware-Router investieren? Ode reicht dafür die Fritzbox?

Edit:
Kann die Fritzbox nicht, da ich ja einen VLAN-Fähigen Router brauche?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 29 März 2019, 11:45:11
Zitat von: Benni am 29 März 2019, 07:49:53
Gibt's da irgendwelche konkreten empfehlungen?
Ohne gleich mit teuren Enterprise-Kanonen auf den Heimgebrauch zu schießen?

Wenn vielleicht auch nicht eine konkrete Empfehlung für ein bestimmtes Gerät, so vielleicht wenigstens die wichtigsten Anforderungen und die No-Gos.

Gruß Benni.

Zusätzlich zu Werniemanns Fragen:

Wie viele WLAN Geräte?
Wie schnell ist dein Internetanschluss?

zu dem WLAN Geraffel - Smartphones, Tabletts, Laptops, EPS8266 (Shelly, Sonoff & Co) .... zählen da auch mit - und es werden bestimmt schnell mehr

-------------------

Für das WLAN ist meine einzige Empfehlung --> Ubiquitti Access Points (Controller funktioniert auch auf einem Pi und geht auch ohne; für nen Cubietruck fehlt MongoDB als Repository)

Als Router bei einem Internetzugang bis 50MBit Cisco 890er Serie bei Ebay unter 100 (ca. 48Mbit NAT Performance) +ggfls. DSL Modem
Internet >50MBit: openWRT? Ubiquitti? (beide günstig) LanCOM relativ teuer
Alternative[xxx]: Bestehender Internetzugang bleibt bestehen (Fritte o.ä) und zwischen eigenem Netz und Internet kommt der zusätzliche Router (ohne NAT, nur routen(wie im Fred oben durchgeführt))

Switch(e):
ich habe große Probleme mit dem Management Interface auf den günstigen Netgear Switchen (stürzt ab (kein Ping) - aber Switch selber funktioniert noch)
reines (Layer 2)Switching: Cisco SG2x0 er Serie (SG200 End of Sale - günstig bei Ebay mit VLan und ggfls auch POE (802.3af))
(Layer 3) Switching: Cisco SG3x0 (SG300 End of Sale) kann dafür aber auch das statische Routing [xxx] übernehmen und hat auch direkt eine Firewall und einen DHCP Server und und und (aktuelle Uptime von einem SG300 8 Port Switch: 374 days ...)
Hinweis für Cisco Small Office Produkten: SG = Gigabit; SF = Fast Ethernet (100Mbit)

mein persönliches Fazit (Switche müssen managebar sein wegen VLan):
Ubiquitti Wifi: +++ extrem günstige wirklich funktionierende professionelle Access Points mit sehr gutem Hersteller Support (FHEM Unterstützung)
Ubiquitti Switch: keine Ahnung, aber auch sehr positive Reaktionen hier im Forum und im Internet (FHEM Unterstützung)
Ubiquitti Router: keine Ahnung, aber auch sehr positive Reaktionen hier im Forum und im Internet
Ubiquitti Gesamt: eine kostenlose Controllersoftware mit übersichtlicher Oberfläche für alle Unifi Produkte
Netgear: keine Empfehlung - immer wieder Probleme mit gehabt und dadurch das Vertrauen an billige Hersteller - auch noName - verloren hat
Cisco: meine absolut bevorzugte Umgebung - da auch Bedienung einheitlich
LanCOM: Switche --> OK; Router --> OK - aber Management der Router/Switche mit komplett anderer Bedienung (imho Switche sind grausam)
Enterprise Geräte (CISCO, HP, LanCOM, ...) machen NUR das was man ihnen sagt. Nicht mehr und nicht weniger
günstige gebrauchte Enterprise Geräte brauchen noch mehr Strom (Cisco SG300-20 Port ca. 15W vs. Cisco C3560-20 20 Port 35W)
Cisco Switch Preise schwanken saisonal bei EBay extrem stark (SG300-20 für 80 zu bekommen mit ein wenig abwarten)
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 29 März 2019, 12:08:16
Zitat von: Wuppi68 am 28 März 2019, 23:58:39
2. Pihole die DHCP Einstellungen für das neue Netz hinzufügen: Gateway=192.168.178.1 (!!!); DNS=192.168.178.1 (!!!).  --> z.B. Gastnetz

Jetzt habe ich doch noch mal eine Frage :)

Das bedeutet, die Fritzbox wird quasi als Standartgateway/DNS eingetragen. Die bekannten Geräte bekommen dann mittels Tag den Pihole als Router und DNS mitgeteilt. Soweit richtig?

Was mache ich mit IPv6? Das kommt dann später?

Meine Idee war die Fritzbox als Modem und für VOIP weiter einzusetzen und dahinter dann sowas wie ein Ubiquiti ER-X Netzwerk/Router.
Aktuell habe ich eine 50er Leitung mit der Möglichkeit auf 100 aufzustocken. Im Netzwerk sind um die 20 WLAN-Geräte.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Benni am 29 März 2019, 12:21:27
Na das sind ja schon mal eine ganze Menge an Infos!  8)
Vielen Dank! Das muss ich mir mal in Ruhe durchschauen.

Bei mir ist es so, dass ich aktuell einen 50MBit-DSL-Anschluss habe.

Mir geht es momentan v.a. um 3 Dinge:


WLAN ist bei mir bereits durch TP-Link EAP225 die an einem TP-Link Managed POE-Switch SG3424P hängen abgedeckt.
(ist beides vielleicht auch schon etwas über Standard-Hausgebrauch ;D )

Stromverbrauch ist für mich jetzt dank PVA nicht so Kriegsentscheident :)

Zur Anzahl der Netzwerkgeräte ... inzwischen ne ganze Menge und irgendwie ständig mehr ;)

Gruß Benni.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 29 März 2019, 12:59:46
Zitat von: darkness am 29 März 2019, 12:08:16
Jetzt habe ich doch noch mal eine Frage :)

Das bedeutet, die Fritzbox wird quasi als Standartgateway/DNS eingetragen. Die bekannten Geräte bekommen dann mittels Tag den Pihole als Router und DNS mitgeteilt. Soweit richtig?

Was mache ich mit IPv6? Das kommt dann später?

Meine Idee war die Fritzbox als Modem und für VOIP weiter einzusetzen und dahinter dann sowas wie ein Ubiquiti ER-X Netzwerk/Router.
Aktuell habe ich eine 50er Leitung mit der Möglichkeit auf 100 aufzustocken. Im Netzwerk sind um die 20 WLAN-Geräte.

1. Teil absolut richtig :-) Am Anfang wird halt ein wenig Arbeit damit sein weil man immer mal wieder die Gastgeräte in das richtige Netzwerk schubsen muss

Wenn Du IPV6 richtig machen möchtest muss der DHCP Server auch Prefix Delegation können (vermutlich! kann das der PiHole nicht). Eine Fritte kann von der Telekom auch ein 56er Subnetz beziehen (Prefix Delegation dann möglich) default ist "nur" ein 64er Subnetz. Damit Auto IPV6 aber funktioniert brauchst Du für jedes logische Netz ein 64er Netz ...
Da ist es vermutlich einfacher z.B. über SIXX einen IPv6 Tunnel mit ner 52er Maske kostenlos zu ordern und dann dieses Netz intern entsprechend auf zu dröseln. Die Ubiquitti Router sollen auch IPv6 Tunnel können (Dann fällt auch die Prefix Delegation weg :-) ) "Gäste" würden dann weiterhin IPv6 von der Fritte bekommen.

Mein persönlicher Vorschlag:
Fritte (ohne WLAN) --> OK
Cisco SG300-xx Switch als Layer 3 (IP Routing + Firewall)
Raspberry 3B+ / Cubietruck (Vorteil: SATA Schnittstelle + LiPo Akku Anschluss) (1GBit !!!) für piHole + isc-dhcpd (IPv6) + (SIXX) IPv6 Tunnel Endpunkt

Mit den Ubiquitti Routern sollte auch funktionieren und hat in Verbindung mit den Accessponts den charmanten Vorteil einer gemeinsamen Oberfläche

Du nutzt nicht zufällig auch noch Entertain/MagentaTV oder einen anderen Multicast IPTV Anbieter?

Bei der Anzahl der Switchports nicht sparen - es werden ganz schnell mehr benötigt als man jemals dachte gebrauchen zu müssen (Anekdote: 640kb RAM reichen immer ... MS in den 80ern)

Viel Erfolg

Ralf

PS.: lass das ganze Konzept erst einmal "sacken" - sonst weist Du vermutlich "morgen" schon nicht mehr wie das ganze aufgebaut wurde - und Routing/VLans/Switching/IPv4|6 sollten halbwegs verstanden sein
PPS.: bei Bedarf hätte ich hier noch einen Cisco SG300-20 rumliegen
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 29 März 2019, 13:24:14
Zitat von: Benni am 29 März 2019, 12:21:27
Na das sind ja schon mal eine ganze Menge an Infos!  8)
Vielen Dank! Das muss ich mir mal in Ruhe durchschauen.

Bei mir ist es so, dass ich aktuell einen 50MBit-DSL-Anschluss habe.

Mir geht es momentan v.a. um 3 Dinge:


  • Fritzbox nur noch als DSL-Modem und für Telefonie verwenden
  • "Bessere" Netzwerkaufteilung (Im Moment habe ich über VLAN, bzw. WLAN-Trennung 3 völlig getrennte Netze realisiert, einmal für Geräte, die Internet brauchen, die ich aber in meinem normalen LAN nicht haben will. Dann mein "normales" LAN, wo ich alles im Zugriff habe und zu guter Letzt noch das Gäste LAN)
  • DNS, DHCP und Routing besser als die Fritte machen (lassen) :)

WLAN ist bei mir bereits durch TP-Link EAP225 die an einem TP-Link Managed POE-Switch SG3424P hängen abgedeckt.
(ist beides vielleicht auch schon etwas über Standard-Hausgebrauch ;D )

Stromverbrauch ist für mich jetzt dank PVA nicht so Kriegsentscheident :)

Zur Anzahl der Netzwerkgeräte ... inzwischen ne ganze Menge und irgendwie ständig mehr ;)

Gruß Benni.

Hallo Benni,
gehst ja schon gut Vorbereitet an den Start.

Der Switch ist "nur" ein L2 Switch, also benötigst Du auf jeden Fall noch einen Router... Ubiquitti oder z.B. microtic (Gute Anlaufstelle: www.administrator.de); Cisco890er funktioniert auf jeden Fall
Die Entscheidung ob PiHole +isc-dhcpd (IPv6) oder bind9 + isc-dhcpd(IPv4|6) liegt bei Dir IPv6 Tunnel brauchst Du keinen, also kann auch DNS und DHCP auf "irgendeinen" Unix Rechner mitlaufen (FHEM?)

Ein Vorteil bei Verwendung von isc in Verbindung mit bind9 ... die per DHCP vergebenen IP Adressen können automatisch in die lokale Domain registriert werden
Ein Nachteil bei Verwendung von bind9 ... DNS Filterung ist nicht ganz so "einfach" wie beim PiHole
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 31 März 2019, 11:07:48
So, die Einstellungen habe ich gemacht. Aber leider läuft es nicht so richtig.  :'(

Die Fritzbox ist vom Server aus nicht erreichbar.

Zitat1. Anlegen einer 2. IP Adresse auf dem Pi Hole mit  z.B 192.168.178.2/24 (255.255.255.0).

Habe ich gemacht.

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:3a:3d:b9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.2/24 scope global eth0
       valid_lft forever preferred_lft forever
    inet 172.16.2.1/16 brd 172.16.255.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 2003:c5:5f48:3200::1e4/128 scope global noprefixroute dynamic
       valid_lft 86146sec preferred_lft 86146sec
    inet6 2003:c5:5f48:3200:ba27:ebff:fe3a:3db9/64 scope global mngtmpaddr noprefixroute dynamic
       valid_lft 7084sec preferred_lft 1591sec
    inet6 fe80::ba27:ebff:fe3a:3db9/64 scope link
       valid_lft forever preferred_lft forever


Zitat2. Pihole die DHCP Einstellungen für das neue Netz hinzufügen: Gateway=192.168.178.1 (!!!); DNS=192.168.178.1 (!!!).  --> z.B. Gastnetz

hat auch geklappt

dhcp-authoritative
dhcp-range=192.168.178.100,192.168.178.150,24h
dhcp-option=option:router,192.168.178.1
dhcp-leasefile=/etc/pihole/dhcp.leases


Zitat3. Routing auf dem Phiole einschalten

Ist eingeschaltet

net.ipv4.ip_forward = 1

ZitatStep a) Auf der Fritte eine Route für 172.16.0.0/16 oder 255.255.0.0 auf das Ziel 192.168.178.2 einstellen
Step b) Setzen der Fritte auf die IP Adresse 192.168.178.1 - nicht wundern, jetzt ist die Fritzbox NICHT erreichbar

Habe ich gemacht.
Wenn ich meinem Desktop eine IP aus dem 192.168.178.0 Bereich gebe, komme ich auch ins Internet. Ein ping auf den Pi-Hole ist aber nicht möglich.

ZitatStep c) jetzt auf dem Phiole die Datei /etc/network/interfaces die Adressen für ETH0 und ETH0:0 wie Sollzustand eintragen und bei Gateway für eth0 die Adresse der Fritte 192.168.178.1 angeben

Hier scheint es nicht zu klappen.

In der dhcpcd.conf habe ich folgende Einstellung:

profile static_eth0
static ip_address=172.16.2.1/16 
static routers=192.168.178.1
static domain_name_servers=172.16.2.1


mittels
ip address add 192.168.178.2/24 dev eth0
weise ich die zweite Adresse zu

route sagt folgendes:

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         192.168.178.1   0.0.0.0         UG    202    0        0 eth0
10.10.0.0       10.10.0.2       255.255.255.0   UG    0      0        0 tun0
10.10.0.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
172.16.0.0      0.0.0.0         255.255.0.0     U     202    0        0 eth0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.178.1   0.0.0.0         255.255.255.255 UH    202    0        0 eth0


aber ein Ping auf 192.168.178.1 geht nicht durch.

und vom pi-hole zu google

root@fhem-server:/# ping -4 google.de
PING google.de (172.217.22.35) 56(84) bytes of data.
^C
--- google.de ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1000ms



Ich nehme an, dass ich irgendwas übersehe...


Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 31 März 2019, 12:47:41
kleines Update und jetzt läuft es:

Ich habe die routen noch mal angepasst. Der aktuelle Stand ist jetzt so:

default         192.168.178.1   0.0.0.0         UG    0      0        0 eth0
10.10.0.0       10.10.0.2       255.255.255.0   UG    0      0        0 tun0
10.10.0.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
172.16.0.0      0.0.0.0         255.255.0.0     U     202    0        0 eth0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0


damit komme ich vom pihole zumindest schon mal ins Internet:

Nur der Wückweg von der Fritzbox zum pihole hat nicht geklappt. Nach dem 10 mal kontrollieren und nachlesen ist mir aufgefallen, dass die Route in der Fritzbox falsch war.

Statt

Netzwerk  Subnetzmaske  Gateway 
172.16.0.0 255.255.0.0 192.168.178.2


hatte ich

Netzwerk  Subnetzmaske  Gateway 
172.168.0.0 255.255.0.0 192.168.178.2


Also ins falsche Netz geroutet. Ich brauch ne Brille....

Jetzt scheint es erstmal zu laufen. Ich beobachte jetzt mal alles in Ruhe.

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 31 März 2019, 14:32:30
Respekt !!!!!

War ein echter Kraftakt - weil alles "nur" einfache Dinge - aber die Summe macht es extrem Komplex
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 31 März 2019, 16:18:31
Ja, viele kleine Dinge. Aber dank deiner ausgezeichneten Hilfe hat es geklappt. Danke noch mal.

Wie geht es jetzt weiter?

Erstmal werde ich das 192.168.178.0/24 mittels Firewall von dem 172.16.0.0/16 trennen.
Dann wollte ich mir den Ubiquiti UniFiSwitch 8 holen. Dieser sollte doch dann entsprechend das Routing übernehmen können, oder

Danach kann ich dann Anfangen dass 172.16.0.0 weiter aufzuteilen.
Macht es Sinn IPv6 im Heimnetz auch anzuwenden?

ZitatDu nutzt nicht zufällig auch noch Entertain/MagentaTV oder einen anderen Multicast IPTV Anbieter?

Prime Video und die div. Mediatheken. Aber die sind kein IPTV, oder?



Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 31 März 2019, 22:41:25
Zitat von: darkness am 31 März 2019, 16:18:31
Ja, viele kleine Dinge. Aber dank deiner ausgezeichneten Hilfe hat es geklappt. Danke noch mal.

Wie geht es jetzt weiter?

Erstmal werde ich das 192.168.178.0/24 mittels Firewall von dem 172.16.0.0/16 trennen.
Dann wollte ich mir den Ubiquiti UniFiSwitch 8 holen. Dieser sollte doch dann entsprechend das Routing übernehmen können, oder

Danach kann ich dann Anfangen dass 172.16.0.0 weiter aufzuteilen.
Macht es Sinn IPv6 im Heimnetz auch anzuwenden?

Prime Video und die div. Mediatheken. Aber die sind kein IPTV, oder?

okay, schon mal gut - kein IPTV (Multicast) :-)

der Unifi Switch 8 kann nur Layer 2, als KEIN Routing

Willst Du keinen extra Router, dann solltest einen Cisco SG3xx Switch nehmen ("lifetime" Garantie --> Austausch solange nicht End Of Life) habe ich auch schon einmal gebraucht. Heute ne Störung eingestellt, morgen schon der Ersatz da mit Paketrückmarke und ner Rechnung, die genullt wird, wenn Du den defekten zurück geschickt hast ... Wenn Du nicht Gigabit brauchst, kann es auch ein "älter" Switch sein ... zum Beispiel: Cisco 3560-24 mit POE kostet ca. 40-60 Euro bei Ebay, kann POE und hat auch 2 Gigabit Ports, ist aber kein Klicki Bunti konfigurieren - aber trotzdem super easy
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 01 April 2019, 06:36:15
Guten Morgen.

Ach herrje, immer diese Details :)

Ich würde es jetzt mal mit einem Cisco SG350-10 versuchen.

Eine Frage zur "Verkabelung". Mehrere WLAN-Netze aufspannen, um so die Geräte zu trennen sollte ja kein Problem sein, soweit ich das verstanden habe.
Das ich bei mir keine LAN-Kabel im Haus habe und diese auch nicht nachträglich ziehen kann nutze ich PowerLAN. Da wäre ja keine Trennung der einzelnen VLANs.
Kann ich dann am Ende des PowerLANs in einen Switch setzen, der dann die Pakete entsprechend des VLAN auf die einzelnen Ports und damit auf die Geräte aufteilt?

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 01 April 2019, 09:26:35
Ich habe gerade auch mit dem Wiki-Artikel angefangen. Was bietet sich denn da als Seitentitel an?
"LAN-Sicherheit" oder gibt es da was treffenderes?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 01 April 2019, 13:28:56
Zitat von: darkness am 01 April 2019, 06:36:15
Guten Morgen.

Ach herrje, immer diese Details :)

Ich würde es jetzt mal mit einem Cisco SG350-10 versuchen.

Eine Frage zur "Verkabelung". Mehrere WLAN-Netze aufspannen, um so die Geräte zu trennen sollte ja kein Problem sein, soweit ich das verstanden habe.
Das ich bei mir keine LAN-Kabel im Haus habe und diese auch nicht nachträglich ziehen kann nutze ich PowerLAN. Da wäre ja keine Trennung der einzelnen VLANs.
Kann ich dann am Ende des PowerLANs in einen Switch setzen, der dann die Pakete entsprechend des VLAN auf die einzelnen Ports und damit auf die Geräte aufteilt?

ich hoffe Deine PowerLan Teile können 802.1q  ohne dem bekommst Du keinen Trunk (mehrere/alle VLANs getagged) darüber

ansonsten hast Du im PowerLan NUR 1 VLAN und 4 bzw. 8 für die verschiedenen WiFi's ((2,4 + 5)GHz * 4)
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 01 April 2019, 13:31:31
Zitat von: darkness am 01 April 2019, 09:26:35
Ich habe gerade auch mit dem Wiki-Artikel angefangen. Was bietet sich denn da als Seitentitel an?
"LAN-Sicherheit" oder gibt es da was treffenderes?

"Trennung/Aufteilung von TCP/IP Netzen zur Erhöhung der Sicherheit"

würde ich es nennen ;-)
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 01 April 2019, 13:56:43
Zitat von: Wuppi68 am 01 April 2019, 13:28:56
ich hoffe Deine PowerLan Teile können 802.1q  ohne dem bekommst Du keinen Trunk (mehrere/alle VLANs getagged) darüber

ansonsten hast Du im PowerLan NUR 1 VLAN und 4 bzw. 8 für die verschiedenen WiFi's ((2,4 + 5)GHz * 4)

steht natürlich nichts dabei im Datenblatt. Das Netz sagt mal so, mal so  :o
Sind von TP Link. Devolo und Fritz können es wohl

Also mal testen und schauen was Wireshark sagt.  Aber mal eins nach dem anderen
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 01 April 2019, 13:58:59
Zitat von: Wuppi68 am 01 April 2019, 13:31:31
"Trennung/Aufteilung von TCP/IP Netzen zur Erhöhung der Sicherheit"

würde ich es nennen ;-)

Das geht ja leicht von der Zunge :)
Habe ich mal angelegt:
https://wiki.fhem.de/wiki/Trennung/Aufteilung_von_TCP/IP_Netzen_zur_Erh%C3%B6hung_der_Sicherheit
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 01 April 2019, 14:32:46
Zitat von: darkness am 01 April 2019, 13:58:59
Das geht ja leicht von der Zunge :)
Habe ich mal angelegt:
https://wiki.fhem.de/wiki/Trennung/Aufteilung_von_TCP/IP_Netzen_zur_Erh%C3%B6hung_der_Sicherheit

Cool .... Toller Start !!!!!

Mit dem Speedport klappt es nicht ;-) siehe Wiki

und in der Einleitung wäre es vermutlich sinnvoll noch die Info zu sagen, dass es wirklich nur ab Fortgeschrittene Anwender gemacht werden sollte
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 01 April 2019, 14:40:02
Zitat von: darkness am 01 April 2019, 13:56:43
steht natürlich nichts dabei im Datenblatt. Das Netz sagt mal so, mal so  :o
Sind von TP Link. Devolo und Fritz können es wohl

Also mal testen und schauen was Wireshark sagt.  Aber mal eins nach dem anderen
ohne Switch, der Dir ggfls. die Geräte in die entsprechenden VLANs packt, wirst Du die normalen Consumer Geräte nicht davon überzeugen können Ihre Netwerkpakete entsprechend im VLAN zu taggen ...

aktuell würde ich mir ernsthaft überlegen auch VLANs für NICHT direkt an Switch oder WIFI angebundene Geräte einzuführen.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 02 April 2019, 20:23:50
Der CISCO-Router ist da  ;D

Bevor ich mich um die VLANS weiter kümmere, werde ich mich wohl damit beschäftigen müssen.

Ich nehme an in einem ersten Schritt muss ich das Routing von der Fritzbox und vom PiHole auf dem Cisco einrichten, oder?
DHCP bleibt auf dem PiHole.

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 02 April 2019, 22:14:56
Zitat von: darkness am 02 April 2019, 20:23:50
Der CISCO-Router ist da  ;D

Bevor ich mich um die VLANS weiter kümmere, werde ich mich wohl damit beschäftigen müssen.

Ich nehme an in einem ersten Schritt muss ich das Routing von der Fritzbox und vom PiHole auf dem Cisco einrichten, oder?
DHCP bleibt auf dem PiHole.

so ein SG350 ist ein Switch mit Routing Funktionen :-)

aber vom Grundsatz her "super easy"

1. Switch auf Layer 3 Modus stellen
2. Reboot --> steht dann wieder auf Werkseinstellung

3. Management IP festlegen (liegt im VLAN 1) also der Standard
4. VLANs definieren
5. IP Adressen für die VLANs festlegen

kleiner Hinweis am Rande: Hast Du ein 16er Netz konfiguriert, wirst Du dort keine 24er Netze definieren können ... aber ich glaube Du hast die nächsten Tage noch einmal ganz viel Neues zu erleben

Du kannst ja ein 192.168.x/24er Netz in VLAN nehmen und dann einen PC entsprechend routen
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 02 April 2019, 22:21:40
Das klingt bei dir immer so leicht :)
Aber im Vergleich zur Fritzbox GUI doch mal was anderes.

Noch mal zum DHCP. Das macht weiterhin der Pi, oder?
Nur das Routen zwischen den Netzen macht dann halt nicht mehr der Pi/Fritzbox?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 03 April 2019, 06:47:43
Zitat von: darkness am 02 April 2019, 22:21:40
Das klingt bei dir immer so leicht :)
Aber im Vergleich zur Fritzbox GUI doch mal was anderes.

Noch mal zum DHCP. Das macht weiterhin der Pi, oder?
Nur das Routen zwischen den Netzen macht dann halt nicht mehr der Pi/Fritzbox?

ich habe dieses auch schon komplett durch gemacht - bei mir habe ich aber noch als kleine "Performance Baustelle" das Entertain mit Multicast (klappt so einfach bei VLANs nicht mehr) ;-)

DNS mach der PiHole --> Fritte
DHCP macht der PiHole - oder auch der Cisco Switch
Routing --> Cisco Switch (nur Statisches Routing)

macht DHCP der PiHole musst Du in jedem VLAN auf dem Switch das DHCP Relay und Option 82 aktivieren UND die IP Adresse des DHCP Servers eintragen
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: yersinia am 03 April 2019, 10:09:19
Zitat von: darkness am 01 April 2019, 13:58:59
https://wiki.fhem.de/wiki/Trennung/Aufteilung_von_TCP/IP_Netzen_zur_Erh%C3%B6hung_der_Sicherheit
Cool! Sieht super aus! [Klugscheiss]Kleiner typo (hier (https://wiki.fhem.de/wiki/Trennung/Aufteilung_von_TCP/IP_Netzen_zur_Erh%C3%B6hung_der_Sicherheit#Aufteilung_in_Subnetze)):
ZitatSpäter können diese 24er Netze durch Firewallregeln und VLAN-TAgs entsprechende Zugrissrechte bekommen und voneinander abgegrenzt werden.
[/Klugscheiss]

Das Subnetting finde ich ganz spannend und sicher für den erfahrenen Laien mit einer Fritzbox sehr gut. Ich bin etwas über diese Aussage gestolpert:
ZitatDadurch das als Subnetmaske die 255.255.0.0 (entspricht /16) gewählt wurde, sind die Geräte auch weiterhin noch untereinander erreichbar. Die Fritzbox (der Router) bekommt die Adresse 172.16.1.1 mit der Netzmaske 255.255.0.0 Nach dieser Umstellung sollten alle Geräte wie gewohnt erreichbar sein
Ist der Sinn des ganzen Subnettings hier nicht eher, dass die Geräte der verschiedenen Subnetze eben nicht unbedingt untereinander kommunizieren sollen bzw. dürfen? Ok, es ist implizit weiter oben beschrieben:
ZitatSpäter können diese 24er Netze durch Firewallregeln und VLAN-TAgs entsprechende Zugriffrechte bekommen und voneinander abgegrenzt werden
Aber ich habe das Gefühl, dass man hier nur eine Scheinsicherheit erhält, wenn man bei dem Konzept ohne Firewallregeln und VLANs bleibt. Ein Netzwerk-Client könnte theoretisch mit einer statischen IP in ein anderes Subnetz gelangen.

Zumal ich den Pflegeaufwand auch recht hoch halte - vergibt der DHCP automatisch die richtige IP an neue Netzwerkgeräte oder muss das manuell konfiguriert werden?

Wenn man PiHole aufsetzt, sollte man auch gleich über DNSCrypt (gute Anleitung (https://itchy.nl/raspberry-pi-3-with-openvpn-pihole-dnscrypt) oder direkt von der Quelle (https://github.com/pi-hole/pi-hole/wiki/DNSCrypt-2.0)) nachdenken - sowie über freie DNS Server (hier (https://www.kuketz-blog.de/dns-unzensierte-und-freie-dns-server-ohne-protokollierung/) oder hier (https://dnscrypt.info/public-servers/) zum Beispiel).

Wer sowieso Bastelfreudig ist und mit Linux nicht fremdelt, kann sich auch im Bereich OpenWRT (https://openwrt.org/) (oder äquivalente alternativen Router Software) und zB unterstützte TP-Link-Router (https://openwrt.org/toh/start?dataflt%5BBrand*%7E%5D=TP-Link) ansehen. Darüber kann man dann wesentlich flexibler und einfacher VLANs, Subnetze, etc. anlegen. Man kann auch mehrere WLAN-SSID generieren und diese verschiedenen VLANs zuweisen. Routing zwischen VLANs ist grundsätzlich nicht aktiviert, kann aber über Firewall Regeln einfach konfiguriert werden. Managed Switches lassen sich so auch sehr gut anbinden und nutzen.
Für Experten ist dies sowieso nur Spielerei. Da kommt man mit pfsense, IPFire usw und entsprechender Hardware weiter. Oder man nutzt direkt Business bzw semi-professionelle Geräte...
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wernieman am 03 April 2019, 10:46:38
Er hatz es doch expliziert gesagt, das Einteilen in Netze ist der erste Schritt zur zusätzlichen Absicherung. Natürlich kommt dann im 2. Schritt eine Absicherung durch Router/Firewall. Nur muß geht man bei solchen Einrichtugnen immer "Step-by-Step" vor, also in kleinen Schritten vorwärts. Bringt nichts, gleich den "Großen Schritt" zu wagen ...
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 03 April 2019, 10:58:08
Zitat von: yersinia am 03 April 2019, 10:09:19
Cool! Sieht super aus! [Klugscheiss]Kleiner typo (hier (https://wiki.fhem.de/wiki/Trennung/Aufteilung_von_TCP/IP_Netzen_zur_Erh%C3%B6hung_der_Sicherheit#Aufteilung_in_Subnetze)):[/Klugscheiss]

Das Subnetting finde ich ganz spannend und sicher für den erfahrenen Laien mit einer Fritzbox sehr gut. Ich bin etwas über diese Aussage gestolpert:Ist der Sinn des ganzen Subnettings hier nicht eher, dass die Geräte der verschiedenen Subnetze eben nicht unbedingt untereinander kommunizieren sollen bzw. dürfen? Ok, es ist implizit weiter oben beschrieben:Aber ich habe das Gefühl, dass man hier nur eine Scheinsicherheit erhält, wenn man bei dem Konzept ohne Firewallregeln und VLANs bleibt. Ein Netzwerk-Client könnte theoretisch mit einer statischen IP in ein anderes Subnetz gelangen.

Zumal ich den Pflegeaufwand auch recht hoch halte - vergibt der DHCP automatisch die richtige IP an neue Netzwerkgeräte oder muss das manuell konfiguriert werden?

Wenn man PiHole aufsetzt, sollte man auch gleich über DNSCrypt (gute Anleitung (https://itchy.nl/raspberry-pi-3-with-openvpn-pihole-dnscrypt) oder direkt von der Quelle (https://github.com/pi-hole/pi-hole/wiki/DNSCrypt-2.0)) nachdenken - sowie über freie DNS Server (hier (https://www.kuketz-blog.de/dns-unzensierte-und-freie-dns-server-ohne-protokollierung/) oder hier (https://dnscrypt.info/public-servers/) zum Beispiel).

Wer sowieso Bastelfreudig ist und mit Linux nicht fremdelt, kann sich auch im Bereich OpenWRT (https://openwrt.org/) (oder äquivalente alternativen Router Software) und zB unterstützte TP-Link-Router (https://openwrt.org/toh/start?dataflt%5BBrand*%7E%5D=TP-Link) ansehen. Darüber kann man dann wesentlich flexibler und einfacher VLANs, Subnetze, etc. anlegen. Man kann auch mehrere WLAN-SSID generieren und diese verschiedenen VLANs zuweisen. Routing zwischen VLANs ist grundsätzlich nicht aktiviert, kann aber über Firewall Regeln einfach konfiguriert werden. Managed Switches lassen sich so auch sehr gut anbinden und nutzen.
Für Experten ist dies sowieso nur Spielerei. Da kommt man mit pfsense, IPFire usw und entsprechender Hardware weiter. Oder man nutzt direkt Business bzw semi-professionelle Geräte...

in diesem Wiki Beitrag soll die Migration beschrieben werden ... wenn die 16er Maske funktioniert, kann man im Normalfall auch danach problemlos auf die 24er Maske umstellen und es wird aus der Sache ein Schuh

Ist die Migration (mit oder ohne VLANs) vollzogen bekommen neue Geräte erst einmal das "Gastnetz" und haben darüber Internetzugang und müssen dann administrativ in das entsprechen Netz/VLAN gepackt werden ...

DNSCrypt ist cool, aber solange DNSSec noch nicht einmal flächendeckend verfügbar ist  ...

Wichtig bei diesem Konzept ist, dass man entsprechend flexibel ist und entsprechen Erweiterungen/Umbau "unterbrechungsfrei" im laufenden Betrieb umsetzen kann und ganz klar für private Umgebungen
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 03 April 2019, 11:24:44
Zitat von: Wuppi68 am 03 April 2019, 10:58:08
wenn die 16er Maske funktioniert, kann man im Normalfall auch danach problemlos auf die 24er Maske umstellen und es wird aus der Sache ein Schuh

So weit die Theorie. Ich habe damit gerade angefangen. Alles auf 172.16.[1-5].0/24 umgestellt. Jedes Netz für sich klappt auch. Nur zwischen den Netzen nicht.

Meine Idee war das ganze erst mal ohne VLAN umzustellen. Der Router steht noch auf L2-Routing (kann man beim 350 übrigens pro Port festlegen).

Ich habe 4 Interfaces angelegt:
VLAN 1 Static 172.16.1.254 255.255.255.0 Valid
VLAN 2 Static 172.16.2.254 255.255.255.0 Valid
VLAN 3 Static 172.16.3.254 255.255.255.0 Valid
VLAN 4 Static 172.16.4.254 255.255.255.0 Valid


Nur leider klappt das nicht. Ich erreiche die 172.26.2.254 nilcht.

eth0:
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:3a:3d:b9 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.2/24 scope global eth0
       valid_lft forever preferred_lft forever
    inet 172.16.2.1/24 brd 172.16.2.255 scope global eth0
       valid_lft forever preferred_lft forever
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 03 April 2019, 11:33:30
looks strange ....

ist das Routing auf dem Switch auch eingeschaltet? Und hängt die Unix Kiste (Pi?) auch im richtigen VLAN? Du hast ja welche entsprechend konfiguriert
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 03 April 2019, 11:40:24
ICh habe das Routing zumindest nicht ausgeschaltet.

Wenn ich es richtig sehe, hat der Pi kein VLAN. Dieser bekommt die IP statisch und da habe ich noch kein VLAN zugewiesen.
Wollte ich ändern, wenn alles wieder läuft.

Nur die DHCP-Geräte bekommen einen VLAN Tag.

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: yersinia am 03 April 2019, 12:10:22
Zitat von: darkness am 03 April 2019, 11:24:44
So weit die Theorie. Ich habe damit gerade angefangen. Alles auf 172.16.[1-5].0/24 umgestellt. Jedes Netz für sich klappt auch. Nur zwischen den Netzen nicht.

Meine Idee war das ganze erst mal ohne VLAN umzustellen. Der Router steht noch auf L2-Routing (kann man beim 350 übrigens pro Port festlegen).

Ich habe 4 Interfaces angelegt:
VLAN 1 Static 172.16.1.254 255.255.255.0 Valid
VLAN 2 Static 172.16.2.254 255.255.255.0 Valid
VLAN 3 Static 172.16.3.254 255.255.255.0 Valid
VLAN 4 Static 172.16.4.254 255.255.255.0 Valid


Nur leider klappt das nicht. Ich erreiche die 172.26.2.254 nilcht.
Ist die Subnetzmaske wirklich 255.255.255.0?
Laut Wiki Artikel (https://wiki.fhem.de/wiki/Trennung/Aufteilung_von_TCP/IP_Netzen_zur_Erh%C3%B6hung_der_Sicherheit#Aufteilung_in_Subnetze) sollte diese doch 255.255.0.0 sein, oder nicht?
ZitatDadurch das als Subnetmaske die 255.255.0.0 (entspricht /16) gewählt wurde, sind die Geräte auch weiterhin noch untereinander erreichbar.

EDIT
Und du hast wirklich VLANs eingerichtet?
Wenn ja, dann musst du die Ports entsprechen un/taggen um damit vernünftig zu kommunizieren zu können (=> https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen).
MWn wird der VLAN Tag am Port gesetzt. Hängt der PI direkt am Switch/Router, musst du den Port dem VLAN zuweisen und auf untagged setzen (= die Netzwerkpakete auf diesem Port haben keinen VLAN tag). Der Port, der mehrere VLANs haben kann (zB zum Router, anderer Switch usw) wird allen (betroffenen) VLANs zugewiesen und auf tagged gesetzt (= alle Netzwerkpakete auf diesem Port haben ein VLAN Tag).

In deinem Fall (Vorsicht: ich benutze eine trübe Glaskugel) wird es wahrscheinlich besser sein, VLANs erstmal aussen vor zu lassen.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 03 April 2019, 12:39:03
@yersinia

Den Wiki-Artikel bitte mal außen vor lassen. Das waren die ersten Schritte. Ich bin mittlerweile bei der Einrichtung der 24er Netzt.

@all

Ich bin mal zurück auf Anfang (also beim 16er Netz)

Folgendes Setup habe ich jetzt.

Port 1 --> Pi direkt
Port 2 --> PowerLAN (hier weiß ich noch nicht, ob das wirklich VLAN-Tag unterstüzt)
Port 7 --> Laptop direkt
Port 10 --> Fritzbox direkt

WLAN noch von der Fritzbox.

Da der DHCP auf dem Pi die Tags vergibt, klappt es dort natürlich.

Frage zu den VLAN-Tags: Ist der VLAN-Tag vom DHCP = VLAN-NAME im Cisco?

Da ich nicht weiß, ob VLAN-Tags richtig klappten,  wollte ich erst mal das 24er Netz einrichten und schauen, dass alle Geräte untereinander erreichbar sind.
Oder sollte ich ich erst um das VLAN kümmern?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: yersinia am 03 April 2019, 12:59:44
Zitat von: darkness am 03 April 2019, 12:39:03
Ich bin mal zurück auf Anfang (also beim 16er Netz)

Folgendes Setup habe ich jetzt.

Port 1 --> Pi direkt
Port 2 --> PowerLAN (hier weiß ich noch nicht, ob das wirklich VLAN-Tag unterstüzt)
Port 7 --> Laptop direkt
Port 10 --> Fritzbox direkt

WLAN noch von der Fritzbox.

Da der DHCP auf dem Pi die Tags vergibt, klappt es dort natürlich.
PowerLAN sollte VLAN tags unterstützen - oder anders ausgedrückt: den Netzwerkstream ansich unberührt lassen.
Ich bin mir nicht sicher ob der DHCP auch VLAN tags vergibt, mWn nicht. Man kann einen DHCP service für verschiedene VLANs nutzen, aber der Tag wird dort nicht gesetzt. Der DHCP vergibt mWn "nur" IP Adressen (und ein bisschen mehr). Dabei muss der DHCP für jedes VLAN einzeln konfiguriert werden.

Zitat von: darkness am 03 April 2019, 12:39:03Frage zu den VLAN-Tags: Ist der VLAN-Tag vom DHCP = VLAN-NAME im Cisco?
AFAIK nein. Wie gesagt, der DHCP vergibt mWn keine VLAN tags. VLAN sind, wie der Name sagt, virtuelle Strukturen auf physischer Hardware.
Der Router muss die VLANs definieren (dieser Routet auch nach WAN und in andere VLANs, der Switch segmentiert diese dann entsprechend der ID (tags)).

Zitat von: darkness am 03 April 2019, 12:39:03Oder sollte ich ich erst um das VLAN kümmern?
Ich weiss nicht, ob VLANs schon das richtige Thema für dich ist. In deinem Fall würde ich zunächst den Switch dumm stellen und schauen, das es erstmal normal läuft (vorallem physisch!). Dann kannst du mit den IP Bereichen im /16 Netz via DHCP arbeiten wie im Artikel beschrieben.
Um mit VLANs weiter zu abeiten wirst du mit der Fritzbox wahrscheinlich nicht weit kommen. MWn kann die Fritzbox kein VLAN - außer das Gastnetzwerk, und dieses müsstest du gesondert (extra Kabel) an den Switch anschließen.
Wenn der CISCO Switch auch routen kann, dann fang langsam an indem du alles auf VLAN 1 umstellst und dann sukzessive die Geräte in neue VLAN schiebst.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 03 April 2019, 13:04:32
Nur zum Verständnis. Welchen Artikel meinst du?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 03 April 2019, 14:44:55
hmmmm,

@yersinia: Klingt gut Deine Info

@Darkness:

DHCP kennt keine VLANs
zur Zeit sollte Dein Netz folgendermaßen aussehen:

Fritte:
IP 192.168.178.1/24 -> 255.255.255.0
Route 1: 172.16.0.0/16 --> 255.255.0.0 auf 192.168.178.2
Route 2: 192.168.x.0/24 --> 255.255.255.0 evtl. wenn die Fritte es kann auch 192.168.0.0/16 --> 255.255.0.0 auf 192.168.178.2

Switch:
Routing global eingeschaltet
Port Gi10:
- VLAN 1 (default)
- untagged
- IP Adresse: 192.168.178.2/24

Interface Vl1:
- IP Adresse 172.16.x.x/16

Port Gi1:
- VLAN1
- untagged

Port Gi2:
- VLAN1 default
- untagged
- trunk für die restlichen VLANs

Eigentlich sollte es jetzt laufen ;-)

Zum Testen würde ich den Laptop auf Port7 folgendermaßen konfigurieren

Laptop: feste IP 192.168.200.100/24; Gateway 192.168.200.1 kein VLAN --> Vl1
Switch Gi7: VLAN1 untagged; IP 192.168.200.1/24
Fritte: Route für 192.168.200/24 geht nach 192.168.178.2 (wenn nicht schon von oben mit 192.168/16 erledigt)

Wenn jetzt der Laptop funktioniert kannst Du schauen, ob Du den Laptop in ein eigenes VLAN packen kannst ;-)

Laptop: Konfig bleibt gleich
Switch: Gi7: VLAN666 untagged; no IP address !!!!!!!
Switch: VL666 IP 192.168.200.1

Alles OK?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 03 April 2019, 15:30:29
ah, jetzt lichtet sich etwas der Nebel.

Zitat, setze für die festen MAC Adressen auch direkt ein entsprechendes Tag

in dnsmasq

dhcp-option=tag:vlan5,3,192.168.178.1

hat mich in die irre geführt. Dachte das hängt auch schon mit vlan zusammen.

Werde testen und berichten.

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: yersinia am 03 April 2019, 15:46:08
Zitat von: darkness am 03 April 2019, 15:30:29in dnsmasq

dhcp-option=tag:vlan5,3,192.168.178.1

hat mich in die irre geführt. Dachte das hängt auch schon mit vlan zusammen.
Korrekt, der tag gibt meines Verständnisses nach dem Netzwerk einen Namen/Id/tag:
ZitatThe optional set:<tag> sets an alphanumeric label which marks this network so that dhcp options may be specified on a per-network basis. When it is prefixed with 'tag:' instead, then its meaning changes from setting a tag to matching it. Only one tag may be set, but more than one tag may be matched.
(http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html)

Zitat von: Wuppi68 am 03 April 2019, 14:44:55
Switch: Gi7: VLAN666 untagged; no IP address !!!!!!!
Switch: VL666 IP 192.168.200.1
gefällt mit. :D The evil VLAN.  8)

EDIT:
Was mir noch einfällt, nicht immer sind die VLAN ids frei wählbar. Bei OpenWRT hatte ich schonmal Probleme damit und habe entsprechend nur fortlaufende VLAN ids... -.- Also wenn es mit VLAN666 aus irgendeinem Grund nicht klappt, erstmal mit 2, 3 usw versuchen...
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 03 April 2019, 16:48:08
Zitat von: yersinia am 03 April 2019, 15:46:08
EDIT:
Was mir noch einfällt, nicht immer sind die VLAN ids frei wählbar. Bei OpenWRT hatte ich schonmal Probleme damit und habe entsprechend nur fortlaufende VLAN ids... -.- Also wenn es mit VLAN666 aus irgendeinem Grund nicht klappt, erstmal mit 2, 3 usw versuchen...

der Cisco kann das :-)

der hat auch einen großen Gap zwischen dem Default (1) und Voice (50 oder 60) VLAN

und der würde sogar in Bielefeld mit dem vl42 klar kommen ;-)

back to topic ;-)

vermutlich würde es jetzt Sinn machen den DHCP Server auf den Cisco zu legen, damit das ganze VLAN Geraffel an nur einer Stelle im Netz zu administrieren ist ;-) Und das forwarding aus den einzelen VLANs der DHCP Pakete würde komplett entfallen
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 03 April 2019, 17:03:41
Zitat von: Wuppi68 am 03 April 2019, 14:44:55


Fritte:
IP 192.168.178.1/24 -> 255.255.255.0
Route 1: 172.16.0.0/16 --> 255.255.0.0 auf 192.168.178.2
Route 2: 192.168.x.0/24 --> 255.255.255.0 evtl. wenn die Fritte es kann auch 192.168.0.0/16 --> 255.255.0.0 auf 192.168.178.2

Switch:
Routing global eingeschaltet
Port Gi10:
- VLAN 1 (default)
- untagged
- IP Adresse: 192.168.178.2/24

Interface Vl1:
- IP Adresse 172.16.x.x/16

Port Gi1:
- VLAN1
- untagged

Port Gi2:
- VLAN1 default
- untagged
- trunk für die restlichen VLANs

Eigentlich sollte es jetzt laufen ;-)



Nur bedingt.

Dem Gi10 weise ich die Adresse 192.168.178.2/24 zu.
Zitat
   VLAN 1   Static   172.16.2.254    255.255.0.0    Valid
   GE10   Static   192.168.178.2    255.255.255.0    Valid

Auf dem pi entferne ich die Adresse:

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:3a:3d:b9 brd ff:ff:ff:ff:ff:ff
    inet 172.16.2.1/16 brd 172.16.255.255 scope global eth0
       valid_lft forever preferred_lft forever


Danach ist das Internet/Fritzbox nicht mehr erreichbar. Ein ping vom Pi zur Box klappt nicht mehr.

Zum Verständnis.
Die IP 192.168.178.2/24 ist ja bisher als zweite Adresse auf dem PI. Dadurch das die Ports 1,2,10 im VLAN1 sind ist alles, was auf der 192.168.178.2 ankommt automatisch "im VLAN1". Technisch vielleicht nicht korrekt ausgedrückt, aber so habe ich es jetzt verstanden.

Das Trunk bei Port 2 bedeutet. Das hier alle VLAN Zusammengeschaltet werden?
Somit dann theoretisch das VLAN666 ereichbar sein sollte?

Edit:
Routing IPv4 ist global an:

IPv4 Interface
IPv4 Routing:    Enable

Edit2
Muss ich auf L3 Routing umschalten? Nur ist danach kein Gerät mehr erreichbar
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 03 April 2019, 19:05:39
Zitat von: darkness am 03 April 2019, 17:03:41
Nur bedingt.

Dem Gi10 weise ich die Adresse 192.168.178.2/24 zu.
Auf dem pi entferne ich die Adresse:

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:3a:3d:b9 brd ff:ff:ff:ff:ff:ff
    inet 172.16.2.1/16 brd 172.16.255.255 scope global eth0
       valid_lft forever preferred_lft forever


Danach ist das Internet/Fritzbox nicht mehr erreichbar. Ein ping vom Pi zur Box klappt nicht mehr.

Zum Verständnis.
Die IP 192.168.178.2/24 ist ja bisher als zweite Adresse auf dem PI. Dadurch das die Ports 1,2,10 im VLAN1 sind ist alles, was auf der 192.168.178.2 ankommt automatisch "im VLAN1". Technisch vielleicht nicht korrekt ausgedrückt, aber so habe ich es jetzt verstanden.

Das Trunk bei Port 2 bedeutet. Das hier alle VLAN Zusammengeschaltet werden?
Somit dann theoretisch das VLAN666 ereichbar sein sollte?

Edit:
Routing IPv4 ist global an:

IPv4 Interface
IPv4 Routing:    Enable

Edit2
Muss ich auf L3 Routing umschalten? Nur ist danach kein Gerät mehr erreichbar

was sagen denn die Pings/Traceroutes?

Pi --> Switch
Pi --> Fritte
Switch --> Pi
Switch --> Fritte
Fritte --> Pi
Fritte --> Switch

und wie sehen die Routing Tabellen aus?
Pi, Switch und Fritte
Cisco: console login --> sh ip route

Das du das 192er Netz vom Pi weggenommen hast war richtig ;-) Das sollte ja jetzt der Switch Routen

ich vermute hier noch ein Problem mit dem Switch und dem Routing .... das sollten wir jetzt als erstes in den Griff bekommen ... ohne Routing können wir nicht wirklich weitermachen ;-)

Um den Betrieb nicht extrem zu gewfährden, können wir den "alten" Zustand wieder herstellen und dem Switch die 192.168.178.3 geben. Eine Route auf der Fritte in ein "neues" 192er Netz setzen und dann ein neues VLAN definieren (42?); Gi7 kommt dann ins Vl42 und der PC dadran bekommt eine feste Adresse aus dem neuen Netz mit dem Gateway vom Interface Vl42 und als DNS dann 192.168.178.1.

Trunk bedeutet: Native VLAN untagged (default 1) und alle anderen VLANs nur getagged. Bei den Small Business Switches musst Du die anderen VLANs von Hand mit dazuhocken (zumindest bei der 300er Serie)


Viel Erfolg

Ralf

PS.: ggfls müssen wir zum klären des Routings mal auf die Tonspur wechseln
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 03 April 2019, 20:04:43
GI10 auf Switchmode L3 und IP zugewiesen

Pi --> Switch

PING 172.16.2.254 (172.16.2.254) 56(84) bytes of data.
64 bytes from 172.16.2.254: icmp_seq=1 ttl=64 time=1.22 ms
64 bytes from 172.16.2.254: icmp_seq=2 ttl=64 time=1.20 ms
64 bytes from 172.16.2.254: icmp_seq=3 ttl=64 time=1.18 ms
64 bytes from 172.16.2.254: icmp_seq=4 ttl=64 time=1.23 ms


Pi --> Fritte

PING 192.168.178.1 (192.168.178.1) 56(84) bytes of data.
From 172.16.2.1 icmp_seq=1 Destination Host Unreachable
From 172.16.2.1 icmp_seq=2 Destination Host Unreachable
From 172.16.2.1 icmp_seq=3 Destination Host Unreachable
From 172.16.2.1 icmp_seq=4 Destination Host Unreachable


traceroute to 192.168.178.1 (192.168.178.1), 30 hops max, 60 byte packets
1  fhem-server (172.16.2.1)  2308.895 ms !H  2308.859 ms !H  2308.845 ms !H


Switch --> Pi

Pinging 172.16.2.1 with 18 bytes of data:

18 bytes from 172.16.2.1: icmp_seq=1. time=0 ms
18 bytes from 172.16.2.1: icmp_seq=2. time=0 ms
18 bytes from 172.16.2.1: icmp_seq=3. time=0 ms
18 bytes from 172.16.2.1: icmp_seq=4. time=10 ms


Switch --> Fritte

Ping 192.168.178.1 with 18 bytes of data:

18 bytes from 192.168.178.1: icmp_seq=1. time=0 ms
18 bytes from 192.168.178.1: icmp_seq=2. time=0 ms
18 bytes from 192.168.178.1: icmp_seq=3. time=0 ms
18 bytes from 192.168.178.1: icmp_seq=4. time=0 ms


Fritte --> Pi
Fritte --> Switch
klappen nicht. Sobald ich den Port auf SwitchMode L3 stelle und die IP 192.168.178.2 zuweise, komme ich nicht mehr auf die Box.


Routen auf dem Switch:

Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: enabled
Codes: > - best, C - connected, S - static


C   172.16.0.0/16 is directly connected, vlan 1                           
C   192.168.178.0/24 is directly connected, gi10       


Wobei die 192.168.178.0 von mir manuell angelegt ist.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 03 April 2019, 21:02:39
mach mal bitte auf der Console vom Switch:

show running-config interface gi10

und

sh run int gi1
das ist die Kurzform

sh ip route von der Console

das Teil routed noch nicht ...

Liebe Grüße

Ralf

PS: Wenn Du möchtest, kannst Du mir Deine Switch Config (sh run) per Forum Mail zukommen lassen .... Inhalte werden vertraulich behandelt

PPS: Bei mir sieht so ein sh int ungefähr so aus (im reinen L2 Mode)

sh ip route
Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: disabled
Codes: > - best, C - connected, S - static


D   0.0.0.0/0 [1/2] via 192.168.99.254, 578:02:03, vlan 1                 
C   192.168.99.0/24 is directly connected, vlan 1

sh run int gi1
interface gigabitethernet1
speed 100
description "GE1 WAN/DSL Cisco892"
spanning-tree link-type point-to-point
macro description switch
switchport trunk native vlan 7
!next command is internal.
macro auto smartport dynamic_type unknown
!



Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 04 April 2019, 09:51:23
Zitatshow running-config interface gi10

interface GigabitEthernet10
ip address 192.168.178.2 255.255.255.0
!


Zitatsh run int gi1

Empty configuration


Zitatsh ip route von der Console
Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: enabled
Codes: > - best, C - connected, S - static


C   172.16.0.0/16 is directly connected, vlan 1                 


Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 04 April 2019, 12:56:49
Zitat von: darkness am 04 April 2019, 09:51:23
interface GigabitEthernet10
ip address 192.168.178.2 255.255.255.0
!


Empty configuration

Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: enabled
Codes: > - best, C - connected, S - static


C   172.16.0.0/16 is directly connected, vlan 1                 


Oki, es fehlen noch 2 Routen ;-)

Default (0.0.0.0) soll die 192.168. er IP von der Fritte zeigen

normalerweise sollte automatisch die Adresse von dem Interface GE10 erhalten .... (2 Möglichkeiten)
a) explizit ins VLAN 1 mit aufnehmen
b) der Link muss UP sein - also Kabel aktiv und gesteckt

Sollte das beides nicht zum Erfolg führen.

sh run in eine Textdatei sichern (oder über die WebGui sichern)
Switch einmal komplett Werksreset ;-)
Config neu einspielen (entweder Console und Text Datei pasten oder über die WebGui und danach noch einmal neu starten)

Ein Rücksetzen ist normalweise nicht notwendig - normalerweise laufen die und laufen die werden umkonifguriert und laufen weiter ...

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 04 April 2019, 14:32:22
Wenn ich port 10 auf Layer3 umstelle, ist die Route:

C   172.16.0.0/16 is directly connected, vlan 1                           
C   192.168.178.0/24 is directly connected, gi10


vorhanden.

Aber die Default ist nicht vorhanden und lässt sich von mir auch nicht setzen.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 04 April 2019, 14:54:47
Zitat von: darkness am 04 April 2019, 14:32:22
Wenn ich port 10 auf Layer3 umstelle, ist die Route:

C   172.16.0.0/16 is directly connected, vlan 1                           
C   192.168.178.0/24 is directly connected, gi10


vorhanden.

Aber die Default ist nicht vorhanden und lässt sich von mir auch nicht setzen.

hmmm,

den https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/csbms/350_/cli_guide/CLI_Tesla_Sx350_2_2_5.pdf kennst Du?

geb mal auf der Console folgendes ein:

ip routing
ip route 0.0.0.0 0.0.0.0 <IP der Fritzbox>
sh ip route


und zeige mal die Ausgabe der Befehle
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 04 April 2019, 15:16:39
ok,

wenn ich den Switch entsprechend einstelle sieht es so aus:

Maximum Parallel Paths: 1 (1 after reset)
IP Forwarding: enabled
Codes: > - best, C - connected, S - static


S   0.0.0.0/0 [1/4] via 192.168.178.1, 00:00:27, gi10                     
C   172.16.0.0/16 is directly connected, vlan 1                           
C   192.168.178.0/24 is directly connected, gi10


so weit, so gut.

Muss ich dann auch die Ports 1 und 2 auf Layer 3 umstellen? Oder "läuft" es da über das VLAN?

Am Pi lösche ich die IP 192.168.178.2.
Meine Route sieht aber so aus:

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         192.168.178.1   0.0.0.0         UG    0      0        0 eth0


Muss ich da jetzt den switch als Router angeben?




Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 04 April 2019, 15:46:30
Ok, die Frage konnte ich selber beantworten.

JEtzt läuft es, Juhu.

Also, Port 10 steht jetzt auf Layer 3.
Default-Route habe ich hinzugefügt.
IP des Switch als Router für den PI und angeschlossene Geräte.

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 04 April 2019, 16:59:20
perfekt !!!!

jetzt solltest Du erst einmal deinen routenden Switch kennen lernen. Geh am besten mal ein paar Bits mit ihm trinken ;-)

Noch mal ein paar Gedanken machen, wie es in deiner Situation mit den VLANs am besten zu regeln ist ...
DHCP am besten auch auf den Switch umziehen (dann brauchst Du nur noch deine Clients in das richtige VLAN zu packen und nicht mehr im piHole alles von Hand machen) - der Cisco kann in jedem VLAN eigene Pools haben ...
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 05 April 2019, 10:25:50
Guten Morgen,

es klappt nicht  :-[  ;D

Mal eine Verständnisfrage:

Alles was im LAN ist und über Port1 und 2 kommt, kann ich eine IP aus dem Bereich 172.16.X.X zuweisen
Alles was über WLAN kommt, kann nur eine IP aus dem Bereich 192.168.178.X bekommen. 172.16.X.X klappt nicht.

Ich verstehe das jetzt so. Port 10 ist der Routingport um von VLAN1 zum 192.168.178.1 Netz zu kommen. Aus dem 192.168.178er Netz komme ich nicht ins VLAN1 da ich ja sonst die Trennung der Netze aufhebe, oder?

Solange ich also kein getrenntes WLAN für Gäste/VLAN habe, können die Geräte im jetzigen WLAN keine IP aus dem 172.16.er Bereich bekommen?

Liege ich mit meiner wirren Vermutung halbwegs richtig?


Ok, Clients, welche die IP vom Switch bekommen, kann ich aus dem 192.168.178er Netz per WLAN erreichen. Nur das Zuweisen von 172.16er IPs im WLAN klappt nicht.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 05 April 2019, 22:15:32
2 Lösungsansätze ;-)

a) Gi10 explizit auch auf das VLAN1 setzen
b) die 192er IP auf das Interface VLAN 1 legen ;-)

in der Console:
conf t
int ge10
no ip addr 192.168.178.2
int vl1
ip addr 192.168.178.2 255.255.255.0


mach am besten vorher einen wr mem dann kannst Du auf jeden Fall durch Neustarten den Zustand von vorher herholen
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 06 April 2019, 13:28:58
Zitat von: Wuppi68 am 05 April 2019, 22:15:32
2 Lösungsansätze ;-)

a) Gi10 explizit auch auf das VLAN1 setzen
b) die 192er IP auf das Interface VLAN 1 legen ;-)

in der Console:
conf t
int ge10
no ip addr 192.168.178.2
int vl1
ip addr 192.168.178.2 255.255.255.0


mach am besten vorher einen wr mem dann kannst Du auf jeden Fall durch Neustarten den Zustand von vorher herholen

Zusatz: Wenn das Interface VL1 2 IP Adressen hat, muss der Port GI10 nicht mehr routen und sollte im Layer 2 Modus sein ;-)

PS.: Jetzt habe ich schon die entsprechende Doku vom Switch punktuell gelesen, obwohl ich gar keinen habe ;-)
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 07 April 2019, 18:16:23
Zitat von: darkness am 05 April 2019, 10:25:50
Ok, Clients, welche die IP vom Switch bekommen, kann ich aus dem 192.168.178er Netz per WLAN erreichen. Nur das Zuweisen von 172.16er IPs im WLAN klappt nicht.

die Unterscheidung kann ja auch "nur" aufgrund des VLAN's oder MAC Adressen erfolgen ...
via MAC Adressen hast Du ja schon auf dem piHole angelegt
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 07 April 2019, 19:40:40
Hey. Danke für die Tipos/Erklärungen und den dezenten Wink zur Anleitung ;)

Grundsätzlich läuft es auch. Alle WLAN Geräte bleiben erst mal im 192er Netz. Ein zweites VLAN habe ich auch zum testen.

Ich wollte mir jetzt noch die ACLs mal näher ansehen. Das scheint ja auf den ersten Blick die "Firewall" zu sein, oder?

Kann ich auch ein Portforwarding einrichten? Auf dem PI läuft ein OpenVPN. Fritzbox leitet weiter bis zum Switch. Nur der Weg Switch zum Pi klappt noch nicht. Oder geht das auch mit ACLs?

Bisher ist die Variante das GE10 im VLAN1 ist. Die IP vom PI direkt in die Fritzbox geht nicht.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 07 April 2019, 21:26:11
Zitat von: darkness am 07 April 2019, 19:40:40
Hey. Danke für die Tipos/Erklärungen und den dezenten Wink zur Anleitung ;)

Grundsätzlich läuft es auch. Alle WLAN Geräte bleiben erst mal im 192er Netz. Ein zweites VLAN habe ich auch zum testen.

Ich wollte mir jetzt noch die ACLs mal näher ansehen. Das scheint ja auf den ersten Blick die "Firewall" zu sein, oder?

Kann ich auch ein Portforwarding einrichten? Auf dem PI läuft ein OpenVPN. Fritzbox leitet weiter bis zum Switch. Nur der Weg Switch zum Pi klappt noch nicht. Oder geht das auch mit ACLs?

Bisher ist die Variante das GE10 im VLAN1 ist. Die IP vom PI direkt in die Fritzbox geht nicht.
hier steht welche Ports Du für OpenVPN auf die IP vom PI weiterleiten musst: https://praxistipps.chip.de/openvpn-diese-ports-muessen-sie-freigeben_92701

Klappt der Ping von der Fritte auf den Pi? Wenn Nein, was sagt der Traceroute? Sonst müssten wir uns noch einmal das Routing von dem "Switch" anschauen ... dazu bräuchte ich dann noch einmal sh ip route und die IPs von Fritte, Switch und Pi

ansonsten kannst Du auch Methode Brutalo machen: Policy Based Routing auf dem Switch, ist aber total unfair und wird auch komplett mit der CPU gemacht

ACL = Access Control List --> Firewall ;-)

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 08 April 2019, 08:24:14
In der "Vor-switchzeit" hatte der Zugriff auf dem Pi geklappt.

Ich vermute das Problem in der Fritzbox.

Für den Pi (172.16.1.1) versuche ich das Fowarding einzurichten. Dabei meckert die Fritzbox, dass der Eintrag bereits vorhanden ist.
In der Geräteübersicht ist der Pi mit der IP 192.168.178.2 (an LAN4 der Box) vorhanden.

Ich vermute es liegt am Routingeintrag auf der Fritzbox (172.16.0.0/24 an 192.168.178.2). Routing von der Fritzbox auf den GI10 am Switch.
Den Ping usw. werde ich später mal Testen. Aber da die Namensauflösung aus dem 192.168.178er Netzt klappt (Pi-Hole), gehe ich davon aus das es läuft.

Edit:
Ansonsten werde ich mal schauen dem PI auch eine Adresse aus dem 192.168.178er Netzt zu geben.

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 09 April 2019, 14:22:07
Hey,

Macht es einen Unterschied mit 172.16.0.0/16 oder mit 172.16.X.0/24 ein Routing zu machen?

Bisher dachte ich, das sei egal, da ja alles was 172.16 ist zum Switch geroutet werden soll.
Oder muss ich für jedes VLAN-Subnetz eine eigene Route erstellen?


Zweite Frage.

Bisher habe ich ja den WLAN-Teil noch über die Fritzbox laufen, was zu den Problem mit der Portweiterleitung führt.
Wenn ich ein VLAN-Fähigen AP habe, kann ich da darüber die WLAN-Geräte trennen (entsprechende VLANS). Die Fritzbox kommt auch in ein eigenes VLAN.

Am Ende hätte ich meine VLANs 172.16.[1-5].0/24
Fritzbox VLAN 172.16.6.1

Ist das so richtig?

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 09 April 2019, 16:03:18
am einfachsten ist das Routing folgendermassen:

Fritte:
172.16/12 --> Switch IP  (alles aus dem 172.16er Netz werden zum Cisco geschickt)
192.168/16 --> Switch IP (alle 192.168er netze werden auch zum Cisco geschickt - sollte funktionieren)
10/8 --> Switch IP (optional, dann werden quasi alle privaten Netze an den Switch geschickt)

Cisco Interfaces:
172.16.1.1/24 VLAN1
172.16.2.1/24 VLAN2
172.16.3.1/24 VLAN3
...
172.16.255.1/24 VLAN254

192.168.1.1/24 VLAN512
...
192.168.255.1/24 VLAN786

wenn Du auch ein "Gastnetz" hast, dann kannst Du auch LAN-4 von der Fritte auf den Switch stecken und den Port dann Access Untagged GastVLAN einstellen

Die Fritzbox würde ich ganz normal im VLAN1 belassen - mach die Sache nur komplizierter ;-)

Eher macht es Sinn, den Zugriff auf den Switch via ACL einzuschränken ...

Vorschlag:
Management IP 172.16.1.1
Allow from VLAN1 443,22 Destination 172.16.1.1
Deny * Destination 172.16.1.1

Damit wäre NUR HTTPS (443)und SSH (22) via Netz auf den Switch möglich

Wenn Du das einstellst, solltest Du notfalls via Konsolenkabel Zugriff haben ;-)

Tante Edit hat die Subnet Masken korrigiert ;-)
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: helmut am 09 April 2019, 19:44:57
Zitat von: Wuppi68 am 09 April 2019, 16:03:18
am einfachsten ist das Routing folgendermassen:

Fritte:
172.16/24 --> Switch IP  (alles aus dem 172.16er Netz werden zum Cisco geschickt)
192.168/24 --> Switch IP (alle 192.168er netze werden auch zum Cisco geschickt - sollte funktionieren)
Einspruch: Die privaten 172er und 192er Netze haben die Netzmasken 12 und 16.
In diesem speziellen Fall hiesse das 172.16.0.0/16 und 192.168.0.0/16.

Gruss Helmut
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 09 April 2019, 21:48:48
Zitat von: helmut am 09 April 2019, 19:44:57
Einspruch: Die privaten 172er und 192er Netze haben die Netzmasken 12 und 16.
In diesem speziellen Fall hiesse das 172.16.0.0/16 und 192.168.0.0/16.

Gruss Helmut

hatte mich da vertippt ;-) Die Netzmasken hatten wir ja schon weiter oben :-)

Danke für den Hinweis - habe es korrigiert
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 10 April 2019, 06:19:43
So, wieder etwas weiter  ;)

VLAN und SSH läuft jetzt. Das Problem war wirklich die Fritzbox. Da der Pi in der Geräteübersicht bereits mit der Adresse 192.168.178.2 (GI10) vorhanden war, konnte ich kein Portforwarding auf die 172.16.1.1 anlegen. Jetzthabe ich einfach ein Portforwarding auf die 172.16.1.25 angelegt und anschließend die IP dem PI zusätzlich zugewiesen. Nun läuft es.

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 10 April 2019, 06:24:36
ZitatDie Fritzbox würde ich ganz normal im VLAN1 belassen - mach die Sache nur komplizierter ;-)

Eher macht es Sinn, den Zugriff auf den Switch via ACL einzuschränken ...

Vorschlag:
Management IP 172.16.1.1
Allow from VLAN1 443,22 Destination 172.16.1.1
Deny * Destination 172.16.1.1

Ok, die ACLs kommen jetzt als nächstes dran. Wenn ich das richtig sehe, können die VLAN munter untereinander kommunizieren. Also trenne ich die untereinander ab und erlaube nur den Zugriff auf den PI(DNS) und die Fritte, sowie die Dienste, welche benötigt werden?

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: helmut am 10 April 2019, 09:02:59
Zitat von: Wuppi68 am 09 April 2019, 21:48:48
hatte mich da vertippt ;-)
Das dachte ich mir und wollte nur den Frustfaktor bei darkness herabsetzen, besser ganz vermeiden.

Gruss Helmut

Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 10 April 2019, 10:25:43
Zitat von: helmut am 10 April 2019, 09:02:59

Das dachte ich mir und wollte nur den Frustfaktor bei darkness herabsetzen, besser ganz vermeiden.

Gruss Helmut

Hey hey, ganz so schlimm ist es bei mir dann doch nicht (auch wenn der Eindruck entstehen könnte)  ;D
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 10 April 2019, 11:40:59
Zitat von: darkness am 10 April 2019, 06:24:36
Ok, die ACLs kommen jetzt als nächstes dran. Wenn ich das richtig sehe, können die VLAN munter untereinander kommunizieren. Also trenne ich die untereinander ab und erlaube nur den Zugriff auf den PI(DNS) und die Fritte, sowie die Dienste, welche benötigt werden?

Vergiss bitte nicht auch die DHCP Freigabe ... bei der ACL und dann auch den DHCP (IP) helper entsprechend einzurichten ;-)
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 10 April 2019, 12:04:12
Du sprichst von UDP Relay/IP Helper?

Ist es eigentlich richtig, das VLANs untereinander kommunizieren können?

Also ein Client aus VLAN 10 kann einen Client aus VLAN 20 erreichen. (Der jeweilige Port ist nur einen VLAN zugeordent).
Ich hatte es so verstanden, das diese sicher per Default nicht erreichen können?


Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 10 April 2019, 18:03:25
Zitat von: darkness am 10 April 2019, 12:04:12
Du sprichst von UDP Relay/IP Helper?

Ist es eigentlich richtig, das VLANs untereinander kommunizieren können?

Also ein Client aus VLAN 10 kann einen Client aus VLAN 20 erreichen. (Der jeweilige Port ist nur einen VLAN zugeordent).
Ich hatte es so verstanden, das diese sicher per Default nicht erreichen können?

Yup, der UDP Relay Helper (kannst Du global für alle VLANs setzen) (bei Problemen könnte auf der Konsole ein debug ip dhcp ... helfen - zumindest auf "normalen" Routern)

Auf Layer 2 (Switching) können VL10 und VL20 sich definitiv nicht sehen, wenn dann auf Layer 3 (Routing)

Du hast bestimmt Global das Routing eingeschaltet ;-) Also routed er alles was er kennt ... und kann dann wiederum nur mit ACLs verhindert werden ;-)


Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 10 April 2019, 19:50:33
Zitat von: Wuppi68 am 10 April 2019, 18:03:25
Du hast bestimmt Global das Routing eingeschaltet ;-) Also routed er alles was er kennt

So ein Lümmel... ;D Ok, macht Sinn.

Alternativ wäre das globale Routing aus und alles individuell machen? Dann sind die ACLs wahrscheinlich einfacher
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 10 April 2019, 20:56:16
Zitat von: darkness am 10 April 2019, 19:50:33
So ein Lümmel... ;D Ok, macht Sinn.

Alternativ wäre das globale Routing aus und alles individuell machen? Dann sind die ACLs wahrscheinlich einfacher

Naja, es geht nur mit ACL's .... VRF kann der bestimmt nicht und wenn dann eine Route bekannt ist wird diese auch genutzt ....

Wie Du siehst, es ist ein spannendes Projekt mit einer vermutlich mega Lernkurve ... jetzt brauchst Du den Switch eigentlich nicht mehr zu booten - wenn Du ACLs einstellst, solltest Du "immer" einen Konsole Zugang haben, oder dieses via Konsole mache und vor dem setzen der ACL einen reload in 00:10 (10 Minuten machen) .... hat es funktioniert reload cancel ansonsten die Zeit abwarten ;-) Und nicht vergessen - die Konfiguration muss explizit gespeichert werden (wr mem) sonst ist beim Neustart alles weg

Legst Du die DHCP Pools auch auf den Switch um?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 11 April 2019, 08:34:05
Zitat von: Wuppi68 am 10 April 2019, 20:56:16
Legst Du die DHCP Pools auch auf den Switch um?

Habe ich schon. DHCP macht nur noch der Switch. Hatte du mir schon mal als Tipp gegeben, da es dann etwas leichter wird.

Die Lernkurve... ja, fühlt sich manchmal eher wie eine Lernrutsche an. Immer wenn ich denke etwas im Ansatz zu verstehen, ist es wieder ganz anders. Aber es hat ja auch seinen Grund, dass es Leute gibt die sowas lange lernen...

Eine Frage zum VLAN 1 default habe ich. Das VLAN1 scheint ja ein bisschen der Buhmann zu sein :)
Ich habe noch Geräte im VLAN 1 (zb. der PiHole).
Wenn ich es richtig verstanden habe, sollen keine Geräte im VLAN1 sein. Außerdem verwende ich auch noch Native VLAN 1 in den Porteinstellungen.

Ich habe es jetzt so verstanden, dass das Native VLAN alles auffängt, was ohne VLAN-Tag am Port ankommt und es eben in dieses VLAN packt. Soweit richtig?

Zum testen habe ich mir mal ein SG250 dazu geholt. Am SG350 habe ich auch ein Trunk-Port eingerichtet, der VLAN 40+50 Tagged und Native VLAN1 ist. Ebenso der GI1 am SG250.

VLAN40 ist mein Zocken-LAN.

Kann ich denn jetzt das Native VLAN auch auf 40 setzen? Nur ist dann der SG250 nicht mehr erreichbar (Adminoberfläche, hat eine IP aus dem 172.16.1 Netz).   Oder brauche ich das Native VLAN auch, um die Switchverwaltung durchzuführen?
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 11 April 2019, 09:03:29
Zitat von: darkness am 11 April 2019, 08:34:05
Habe ich schon. DHCP macht nur noch der Switch. Hatte du mir schon mal als Tipp gegeben, da es dann etwas leichter wird.

Die Lernkurve... ja, fühlt sich manchmal eher wie eine Lernrutsche an. Immer wenn ich denke etwas im Ansatz zu verstehen, ist es wieder ganz anders. Aber es hat ja auch seinen Grund, dass es Leute gibt die sowas lange lernen...

Eine Frage zum VLAN 1 default habe ich. Das VLAN1 scheint ja ein bisschen der Buhmann zu sein :)
Ich habe noch Geräte im VLAN 1 (zb. der PiHole).
Wenn ich es richtig verstanden habe, sollen keine Geräte im VLAN1 sein. Außerdem verwende ich auch noch Native VLAN 1 in den Porteinstellungen.

Ich habe es jetzt so verstanden, dass das Native VLAN alles auffängt, was ohne VLAN-Tag am Port ankommt und es eben in dieses VLAN packt. Soweit richtig?

Zum testen habe ich mir mal ein SG250 dazu geholt. Am SG350 habe ich auch ein Trunk-Port eingerichtet, der VLAN 40+50 Tagged und Native VLAN1 ist. Ebenso der GI1 am SG250.

VLAN40 ist mein Zocken-LAN.

Kann ich denn jetzt das Native VLAN auch auf 40 setzen? Nur ist dann der SG250 nicht mehr erreichbar (Adminoberfläche, hat eine IP aus dem 172.16.1 Netz).   Oder brauche ich das Native VLAN auch, um die Switchverwaltung durchzuführen?

VLAN1 sollte für "normale" Umgebungen das Management und native VLAN bleiben, es erspart Dir jede Menge Knoten im Kopf wenn Du z.B. einen neuen Switch bekommst (Neuer Switch hat VLAN1 default --> muss also an einen untagged Port im Mgmt LAN angeschlossen werden ... und jetzt stell den mal bitte auf das Mgmt LAN um ...)

Gedanklich würde ich das VLAN 1 als Infrastruktur VLAN sehen - dort sind alle wichtigen Netzgeräte mit ihren Mgm IPs vorhanden (Switche, PiHole, DNS, Fritte, APs, Unifi-Controller...)

Ich würde im Vl1 den DHCP Pool auch auf nur eine Adresse setzen und diese IP dann auch "nur" von einem ganz begrenzten Kreis Zugriff erlauben (z.B. Vl40) - quasi als Quarantäne

wenn Dein Mgm PC direkt via Kabel am Switch hängt kannst Du z.B. den Port auf untacked 40 (Zocken) stellen und gleichzeitig Vl1 tagged erlauben, jetzt kannst Du eine 2. (virtuelle) Netzwerkarte direkt im Vl1 am PC anlegen, Interface Down --> kein direkter Zugriff auf Infrastruktur; Interface Up --> Du hast Zugriff
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 11 April 2019, 10:53:36
Ok, werde ich test.

Ich habe jetzt jedem VLAN auch ein IP gegeben. Damit habe ich wohl unbewusst das InterVLAN-Routing ermöglicht.
Anders herum, wenn ein VLAN keine IP bekommt, kann ich wahrscheinlich auch kein Internetzugriff ermöglichen, da keine Route zur Fritzbox besteht, oder?
Da können sich nur alle Geräte innerhalb des VLAN erreichen.
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 11 April 2019, 14:25:08
Zitat von: darkness am 11 April 2019, 10:53:36
Ok, werde ich test.

Ich habe jetzt jedem VLAN auch ein IP gegeben. Damit habe ich wohl unbewusst das InterVLAN-Routing ermöglicht.
Anders herum, wenn ein VLAN keine IP bekommt, kann ich wahrscheinlich auch kein Internetzugriff ermöglichen, da keine Route zur Fritzbox besteht, oder?
Da können sich nur alle Geräte innerhalb des VLAN erreichen.

Du mischst noch 2 Themen miteinander ;-)

ein VLAN ist nur ein "LAN Kabel" --> NUR Layer 2 Switching - jeder in diesem VLAN sieht alle Pakete (wenn kein Bridging (ein Switch tut es) gemacht wird)

Packst Du in das VLAN ein TCP/IP Routerinterface wird auch Layer 3 Kommunikation darüber via TCP möglich - ohne Tricks klappt es auch nicht mit Broadcasts und Multicasts über die VLAN Grenzen hinweg ;-)

Für Deinen Fall: Also ohne Interface im VLAN keine Verbindung nach außen möglich
Titel: Antw:(W)LAN absichern/separieren
Beitrag von: darkness am 29 April 2019, 10:01:04
Hallo,

kleiner Zwischenstand von meinem Projekt.

Mittlerweile habe ich den Zugriff auf den Switch geregelt. Allerdings nicht über die ACLs sondern mittels Management Access Method.
Und nachdem ich das mit In-/Outbound Traffic verstanden habe, kann ich auch ACL richtig einsetzen.

Für das WLAN habe ich einen Ubiquiti access Point im Einsatz, welcher mehrere WLANs aufspannt.
Die Fritzbox ist jetzt lediglich als Internet-Router und für die Telefone da.

Den Tag habe ich mal Versucht mittels VLC meinen Desktop auf meine VUSolo2-Box zu streamen. Hat auf die schnelle nicht geklappt. Kommt hier der Punkt MultiCast zum tragen? Habe ich mich bisher noch nicht mit beschäftigt.

Der Switch+VLAN ist wieder so ein Projekt, welches noch bisher nicht geahnte Folgeprojekte hervorruft ;)



Titel: Antw:(W)LAN absichern/separieren
Beitrag von: Wuppi68 am 29 April 2019, 23:26:13
Zitat von: darkness am 29 April 2019, 10:01:04
Hallo,

kleiner Zwischenstand von meinem Projekt.

Mittlerweile habe ich den Zugriff auf den Switch geregelt. Allerdings nicht über die ACLs sondern mittels Management Access Method.
Und nachdem ich das mit In-/Outbound Traffic verstanden habe, kann ich auch ACL richtig einsetzen.

Für das WLAN habe ich einen Ubiquiti access Point im Einsatz, welcher mehrere WLANs aufspannt.
Die Fritzbox ist jetzt lediglich als Internet-Router und für die Telefone da.

Den Tag habe ich mal Versucht mittels VLC meinen Desktop auf meine VUSolo2-Box zu streamen. Hat auf die schnelle nicht geklappt. Kommt hier der Punkt MultiCast zum tragen? Habe ich mich bisher noch nicht mit beschäftigt.

Der Switch+VLAN ist wieder so ein Projekt, welches noch bisher nicht geahnte Folgeprojekte hervorruft ;)

klingt doch gut ;-)

Streamen als Unicast ist kein Thema ;-)

Multicast geht dann wirklich nur noch im selben VLAN ...PIM kann der Switch/Router nicht

Mach am Anfang nicht zu viel und lass zwischen durch immer wieder mal das gelernte Sacken ... das ganze wird extrem schnell dann extrem komplex