Heimnetz planen - Segmentierung

overflow

OpenBSD Enthusiast
BSDForianer,

wie bei vielen Ottonormalverbrauchern gibt es bei mir im Heimnetzwerk keine richtige Administration.

Fritzbox rein und los geht. Ich möchte etwas Struktur und Ordnung reinbringen.
Ich brauche aber hier euren Rat :)

Nachfolgend eine Auflistung meiner Hardware und siehe Anhang:
  • Fritzbox 6490 Cable (vom Provider, wird demnächst abgelöst)
  • DNS-Server auf Basis Debian+AdGuard Home
  • Devolo Dlan
  • Diverse Endgeräte (PC, Laptop, Tablet, Smartphone)
  • Mehrere Raspberry PI 4 mit 8GB (noch nicht Produktiv im Einsatz)
Ziel ist es
  • das gesamte WLAN abzuschalten und durch Devolo PowerLAN abzulösen
  • ein mobiles WLAN Hotspot einzurichten um bei Bedarf kurzfristig zu aktivieren
  • sichere Netzwerkumgebung
Ich habe nun folgendes Szenario vor Augen:
  • Fritzbox erhält die IP 10.10.10.1
  • 1 Raspberry PI mit ESXI bekommt OPNSense
    • IP für ESXI 10.10.11.1
    • IP für OPNSense 10.10.12.1
      • Weitere Raspberry PIs werden später im Cluster hinzugeschaltet und die IPs für ESXI entsprechend fortgeführt
  • Arbeitsrechner (PC/Laptop) erhalten 10.10.13.XXX
  • WLAN Geräte erhalten 10.10.99.XXX
Die Fragen, die ich mir Stelle sind:
  • Muss ich bei der Vergabe der IPs bzw. Subnetmasks aus Performancen-Gründen etwas beachten? Sprich ist ja ein Unterschied ob ich 32 oder 254 Geräte für Hosts reserviere (A, B oder C Klasse Netzwerk)
  • Gibt es ein Best Practice (auch wenn jedes Netzwerk individuell ist) für ein Heimnetzwerk?
  • Wie stelle ich sicher, dass bspw. die Anfrage von einem Endgerät (10.10.13.3) bei der Fritzbox (10.10.10.1) ankommt?
  • Wie stelle ich sicher, dass die Fritzbox nicht heimlich nach Hause telefoniert?
Ist vermutlich viele Anfänger-Fragen. Ich habe einiges an Zeit in recherchiert gesteckt und bin nun noch unsicherer als vorher...

Vielen Dank im Voraus für eure Zeit und Mühe
 

Anhänge

  • netzwerk-skizze-bsdforen.JPG
    netzwerk-skizze-bsdforen.JPG
    191,5 KB · Aufrufe: 244
Muss ich bei der Vergabe der IPs bzw. Subnetmasks aus Performancen-Gründen etwas beachten?
Nicht wegen der Subnetze, sondern wegen des PIs. Der ist zu schwachbrüstig fürs Filtern zwischen den Netzen, als dass es Spaß machen würde. Da es als VM laufen soll, gibts nochmal obendrauf eine auf die Mütze. Das soll dich nicht entmutigen, im Gegenteil. Lerneffekt hat es so oder so und auf Messungen wäre ich sogar gespannt. :)

Gibt es ein Best Practice
Nicht wirklich. Grob: Lieber gezielt Löcher pieksen, als Wasserfall abdichten. Szenarien durchdenken (jemand knackt mein WLAN/DLAN, wie weit kommt er? jemand stöpselt sein Laptop per Ethernet mal irgendwo rein)
Sei konsistent bei der IP-Vergabe, schreibe dir alles auf (Doku).

Wie stelle ich sicher, dass bspw. die Anfrage von einem Endgerät (10.10.13.3) bei der Fritzbox (10.10.10.1) ankommt?
FW-Regeln, das ist routing.
Wie stelle ich sicher, dass die Fritzbox nicht heimlich nach Hause telefoniert?
Keine Fritzbox nutzen bzw. keine mit ISP-Firmware.
 
@mr44er Danke für die schnelle Antwort. Ich dachte, man kann das Routing direkt in der Fritzbox durchführen, aber OPNSense übernimmt ja hier die Aufgabe. Zu Fritzbox - Ich habe hier einen Docsis 3.0 Anschluß. Gute Geräte zu finden, die nicht von AVM sind, sind kaum vorhanden. Ich habe aber auch nur nach Docsis 3.1 gesucht, damit ich nicht in paar Jahren wieder einen neuen Modem kaufen muss.

PS:
Vielleicht als Info für die anderen. Ich bereue den Kauf der Raspberry Pi's. Odroid H2+ ist für Netzwerkaufgaben wesentlich besser geeignet.
Odroid H2+ kommt auch mit 2x 2,5Gbit Ethernet :)
 
Ich dachte, man kann das Routing direkt in der Fritzbox durchführen, aber OPNSense übernimmt ja hier die Aufgabe.
Wozu dann OPNSense, wenn nicht fürs Routing? :p
Fritzboxen können zwar viel und neues Zeug wird ja gerne mal implementiert - aufgrund mangelnder Kenntnis, was aktuelle Fritzen leisten, kann ich das aber auch nicht ausschließen.

Wenn die FW deiner Box nicht kastriert ist, kannst du sie normalerweise in einen modem-only-Modus schalten und OPNSense inkl. Einwahl alles machen lassen. Das wäre so meine Herangehensweise.
 
Ich weiss noch nicht so ganz wie du dir das vorstellst. Ich habe meine OPNsense zwischen Fritzbox und internem Netz hängen. Damit brauchst du allerdings (mindestens) zwei Ethernet-Ports an deiner OPNsense. Damit sprerrst du dann deine Fritzbox aus deinem Netz aus. Dahinter kannst du dann treiben was du willst. Die nächste Frage ist wie deine Netze in deine OPNsense kommen. Vermutlich willst du hier VLANs betreiben, das sollte dann allerdings dein Switch können.
Das Beste ist eigentlich einen Netzplan zu zeichnen, deine Subnetze dort einzutragen und mal aufzuzeigen wer mit wem sprechen muss. Dann kannst du dir Gedanken um dein Routing und dein Subnetting machen. So sollen ja z.B. vermutlich alle Clients an deinen DNS kommen etc.
So ein Firewallregelwerk wird schnell unübersichtlich oder man erkennt erst später, dass man sich gerade verrannt hat.
Geht ohne WLAN eigentlich noch? Es gibt leider so viele Geräte die gar kein Ethernet mehr mit bringen (Smartphone, Switch, ....). Aus welchem Grund willst du das WLAN loswerden?
 
wie bei vielen Ottonormalverbrauchern gibt es bei mir im Heimnetzwerk keine richtige Administration.

Ziel ist es
  • das gesamte WLAN abzuschalten und durch Devolo PowerLAN abzulösen
  • ein mobiles WLAN Hotspot einzurichten um bei Bedarf kurzfristig zu aktivieren
  • sichere Netzwerkumgebung
Ich habe eher die Erfahrung gemacht das DLAN in vielen fällen schlechter funktioniert - hast du im WLAN-Bereich so große Probleme?
Am besten funktioniert meiner Meinung nach mehrere APs zu verwenden die per Ethernet verbunden sind.
Soweit ich weiß ist die DLAN-Sicherheit nur um Nuancen besser als die von WLAN und dazu noch mehr oder weniger Closed.

  • Muss ich bei der Vergabe der IPs bzw. Subnetmasks aus Performancen-Gründen etwas beachten? Sprich ist ja ein Unterschied ob ich 32 oder 254 Geräte für Hosts reserviere (A, B oder C Klasse Netzwerk)
Nein, du kannst selbst ein /16 oder so nehmen.

Würde so aus dem bauch heraus /24 nehmen, gibt ja genug.


  • Gibt es ein Best Practice (auch wenn jedes Netzwerk individuell ist) für ein Heimnetzwerk?
  • Wie stelle ich sicher, dass bspw. die Anfrage von einem Endgerät (10.10.13.3) bei der Fritzbox (10.10.10.1) ankommt?
  • Wie stelle ich sicher, dass die Fritzbox nicht heimlich nach Hause telefoniert?

Zum nachhause telefonieren (Zu AVM? Irgend ner Regierung? Dem Provider?)> Das wirst du kaum sinnvoll überprüfen können - allerdings auch bei OpenSense nur sehr eingeschränkt. Wenns ne Provider Box ist würde ich grundsätzlich "leicht misstrauisch" sein. Das sind komische Unternehmen, gerade im Kabel-Sektor.

Zu den Best Practices:
Das ist kaum zu beantworten. Eine aktuelle durchgepatchte (eigene) Fritzbox mit nem guten WLAN-Kennwort und sauberer Konfiguration und std. gesicherte Clients (Updates, Einstellungen, Kennwörter e.t.c.) und nen gutes Backupkonzept macht schon einiges richtig denke ich.

Dadrüber hinaus kann man auch privat "unendlich viel" machen.
Man sollte sich aber vorher Fragen, da es ja meist um Sicherheit und Privatsphäre geht:

Was ist das Ziel?
Wogegen will ich mich konkret schützen?
Wer sind die potentiellen Angreifer?
Welche Systeme will ich wie und weshalb schützen?
Was ist mir das an Aufwand, Bequemlichkeit, Geld, Stromverbrauch, Öko e.t.c. Wert?
Welche Funktionalität brauch ich?
e.t.c.

Einfach nur "irgendwas" mehr als die "Basics" zu machen ist meiner erfahrung nach nicht zielführend, da selbst eine Fritzbox und nen sauber konfiguriertes OS heutzutage schon ne ganze menge Sicherheitsfunktionen bietet.

Und dann kann man sich natürlich auch noch Fragen ob man da im lokalen Netzwerk anfängt oder ggf. ein oder zwei ebenen höher schauen möchte, gerade auch mit dem Gedanken nen Notebook auch z.B. mal Mobil, in fremden WLANs oder per LTE o.ä. zu betreiben.

Mir ist z.B. überhaupt nicht klar was an und abschalten des WLANs bringen soll?
 
hast du im WLAN-Bereich so große Probleme
Ich habe schon in sehr problematischen Umgebungen WLAN-Netzwerke gebaut. Und ich kann dazu nur sagen: Es gibt kein schlechtes WLAN, es gibt nur miese Access Points. Spätestens, seitdem man bei uns in Europa nicht mehr auf 2,4 GHz eingeschränkt ist, findet man eigentlich immer Spektrum und mit genügend Sendeleistung kommt man auch durch Stahlbeton und andere Abschirmungen gut durch und mit wenig Access Points ohne allzu große Abschattungen aus.

Soweit ich weiß ist die DLAN-Sicherheit nur um Nuancen besser
Man darf nicht dem Irrglauben aufsitzen, dass mit DLAN hinter dem eigenen Sicherungskasten Schluss ist. Gerade in Mehrfamilienhäusern strahlt das schon mal über mehrere Sicherungskästen hinweg durch alle Wohnungen im Aufgang. Und dann hängt die Sicherheit wie bei WLAN ausschließlich wieder an der Verschlüsselung.

Dazu als Tipp: Wenn man der integrierten Verschlüsselung von WLAN oder DLAN nicht traut, kann man auch ein VPN oben rüber legen, was noch mal verschlüsselt. Und alles, was nicht über das VPN läuft, wird verworfen.
 
Bzgl. des WLAN's benenne ich meine Gründe lieber nicht... Ich möchte einfach kein WLAN im Haus haben :)
Die Smartphones haben genügend Datenvolumen (30GB) und das sollte reichen.

Mit einem Raspberry PI Projekt baue ich mir bei Zeiten dann ein AP mit An- und Ausschalteknopf.
Wenn es dann mal unbedingt nötig sein sollte.

Wirklich zufrieden bin ich mit dem DLAN auch nicht. Kabel quer durch Wohnung will ich in einer Mietwohnung auch nicht legen.
Also bleiben wenig Alternativen übrig, wenn man auf WLAN verzichten will.

Nach reichlicher Überlegung bin ich zum Entschluss gekommen auf eine Serverarchitektur auf Basis von Raspberry Pi's zu verzichten.
Einen werde ich behalten um zu experimentieren und kleinere Dienste wie AdGuard laufen zu lassen.

Ich muss, wie auch bereits von euch empfohlen, mir genauer Gedanken machen, was ich im Haus haben möchte.
Dann kaufe ich die entsprechende Hardware.
 
Zurück
Oben