Heim-Netzwerk erneuern und absichern

[whispet]

Abgesehen davon habe ich einige pfSense und OPNsense laufen

Warum nutzt man denn noch pfSense wenn mann auch OPNsense hat/nutzt?

 

[Raijin]

"Nutzen" ist der falsche Begriff. Ich hab mir eine Art Teststation im Keller aufgebaut, ein Netzwerklabor, in dem ich allerhand Dinge ausprobiere und Situationen nachstelle.

 

[h00bi]

Es wird wohl notwendig sein, ein neues Kabel-Modem zu kaufen

Die Vodafone Station lässt sich mittlerweile auch im Unitymedia Netz bridgen und funktioniert als Modem einwandfrei.

und die FritzBox noch einige Zeit hinter der UDM als IP-Client ( heißt das so?) laufen zu lassen. Den Komfort eines zentralen Telefonbuchs, Anrufbeantworters und dem Versand eingegangener Nachrichten via E-Mail möchte ich nicht missen.

das kann aber auch (fast) jede beliebige 15-50€ Fritzbox von Ebay. Dafür würde ich keine 6591 verwenden. Die kannst du aktuell für richtig teuer Geld verkaufen. Wichtig ist nur, dass du sie beim Netzbetreiber sauber abmeldest.

EDIT: Denkfehler meinerseits, zumindest im ex-Unitymedia Netz gibts keine SIP Daten, wenn das Providermodem verwendet wird. Telefonie läuft dann auf der Vodafone Station.

 

[maxim.webster]

Die Vodafone Station lässt sich mittlerweile auch im Unitymedia Netz bridgen und funktioniert als Modem einwandfrei.

Sowas hatte ich nie. Ich hab ursprünglich einen Unitymedia 2Play Vertrag mit gemieteter Fritzbox gehabt.

das kann aber auch (fast) jede beliebige 15-50€ Fritzbox von Ebay. Dafür würde ich keine 6591 verwenden. Die kannst du aktuell für richtig teuer Geld verkaufen. Wichtig ist nur, dass du sie beim Netzbetreiber sauber abmeldest.

Das wird (eine weitere) Herausforderung. Im Moment ist ja Home Office angesagt, hier im Haushalt betrifft das 2 Personen. Internet muß laufen! Und man muß ja eigene Geräte am Kabel anmelden, das dauert in der Regel 1-2 Stunden und dabei wird das aktuelle Gerät abgemedelt.

Einfach umstöpseln, gucken ob es funktioniert und im Fehlerfall wieder zurückstöpseln ist leider nicht.

Ergänzung (17. Februar 2022)

Es wird wohl notwendig sein, ein neues Kabel-Modem zu kaufen und die FritzBox noch einige Zeit hinter der UDM als IP-Client ( heißt das so?) laufen zu lassen.

So heißt es wohl nicht, die entsprechende Einstellung der Fritzbox erklärt es ja ganz gut (s.u.). Mit Modem wäre es wohl "Internetzugang über 'LAN 1'".

 

[whispet]

"Nutzen" ist der falsche Begriff. Ich hab mir eine Art Teststation im Keller aufgebaut, ...

Dann kann man das verstehen.

Gibt es denn eine Vorliebe für pfSense oder OPNsense? Ich habe mich darauf eingeschossen eine der beiden zu Verwenden. Doch wenn man das so liest gibt es im Grunde zwei Lager. Eine Seite schwört auf pf, die andere auf OPN.
Aber so objektiv betrachtet findet man wenig Infos.

Wie sind Deine Erfahrungen?

 

[Raijin]

[OffTopic]

Die Bedienung von OPNsense macht mehr "sense", wenn ich mich dieses Wortspiels mal bedienen darf. Man findet sich besser zurecht und es wirkt angenehmer. pfSense hat hingegen (noch) die breitere Unterstützung in der Community und es gibt eine größere Auswahl an Plugins, zB pfBlockerNG (pihole-like), das ich so bisher noch nicht bei OPNsense gefunden habe. Mag aber sein, dass es dort mittlerweile ein vergleichbares Plugin gibt, hab länger nicht mehr nachgeschaut. Da man aber natürlich nicht alle Plugins braucht, ist es fraglich inwiefern das ein echter Vorteil von pfSense und ein Nachteil von OPNsense ist.

Mehr kann und möchte ich dazu aber nicht sagen, weil pfSense vs OPNsense ziemlich polarisiert und das in diesem Thread auch OffTopic ist. Ich rate jedem dazu, es selbst auszuprobieren und abzuwägen welches für die persönlichen Belange besser geeignet ist.

Produktiv setze ich zur Zeit immer noch einen EdgeRouter ein, weil der seit Jahren absolut rock solid läuft und ich bisher keinen Grund gesehen habe, ihn abzulösen - abgesehen davon, dass ich vor einiger Zeit auf einen ER-4 .. ... "upgegradet wurde" (no details 🤐).

[/OffTopic]

 

[maxim.webster]

www
|
(WAN)
Internetrouter
(LAN)
|
| (DMZ mit Servern)
|
(WAN)
Router#2
(LAN+WLAN)
|
Heimnetzwerk

Ich überlege gerade, ob ich nicht mit einer 2. Non-Cable Fritzbox alle Anforderungen mit geringstem Aufwand und Kosten realisieren kann. Statt einer 2. Fritzbox ginge natürlich auch ein anderer WLAN Router, aber der Repeater ist auch von AVM und auf der Oberfläche der FritzBox kenne ich mich aus.

Also so:

 

[Raijin]

Mit einer Fritzbox geht das natürlich auch. So ziemlich jeder handelsübliche WLAN-Router kann als zweiter Router fungieren - egal ob mit oder ohne Modem. Entscheidend ist nur, dass der Router über einen WAN-Port verfügt oder einer der LAN-Ports als WAN konfiguriert werden kann.

 

[maxim.webster]

Okay, danke,

wenn man das ohne physische Router-Kaskade machen möchte, also in einem Gerät wie der Dream Machine, dann findet die Definition und Trennung der Netze in Software statt? Also man definiert z.B. 3 Netze und regelt die Kommunikation untereinander und mit dem WAN über entsprechende Routing und Firewall-Regeln? Letztendlich ist die Unterteilung in DMZ, Heim- und Gastnetz ja Definitionssache.

Wäre es dann auch möglich die Ports des integrierten 8-Port-Switches zuzuordnen, d.h. eth0 für das Heimnetz (mit nachgelagertem Switch), eth1 fürs Gastnetz (im einfachsten Fall ein einzelner WLAN AP) und eth2-7 für die DMZ? Wäre dann vielleicht sogar Load Balancing über die Nodes des Kubernetes-Clusters möglich, wenn jede Node direkt an den internen Switch angeschlossen wird?

Und (wenn's erlaubt ist): Da die aktuelle Fritzbox Cable ja ein Multifunktionsgerät ist und die Umstellung auf dedizierte Komponenten nicht trivial und kostenintensiv - wäre das unten stehende Schaubild ein valides Migrationsszenario?

Sind eigentlich Probleme mit IP-Telefonie zu erwarten?

 

[Raijin]

wenn man das ohne physische Router-Kaskade machen möchte, also in einem Gerät wie der Dream Machine, dann findet die Definition und Trennung der Netze in Software statt? Also man definiert z.B. 3 Netze und regelt die Kommunikation untereinander und mit dem WAN über entsprechende Routing und Firewall-Regeln? Letztendlich ist die Unterteilung in DMZ, Heim- und Gastnetz ja Definitionssache.

Korrekt. Man definiert VLANs, ordnet ihnen ein Subnetz zu, konfiguriert die VLANs nach Belieben auf die Ports und anschließend richtet man die Firewall ein, die den Zugriff untereinander reglementiert.

Wäre es dann auch möglich die Ports des integrierten 8-Port-Switches zuzuordnen, d.h. eth0 für das Heimnetz (mit nachgelagertem Switch), eth1 fürs Gastnetz (im einfachsten Fall ein einzelner WLAN AP) und eth2-7 für die DMZ?

Ja, genau so wird's gemacht
Unterm Strich ist der interne Switch nichts anderes als ein VLAN-Switch, den man in tagged/untagged VLANs unterteilen kann.

wäre das unten stehende Schaubild ein valides Migrationsszenario?

Prinzipiell schon, auch wenn ich den zweier Gastnetzwerke nicht so ganz nachvollziehen kann. Sieht für mich nach einem copy paste Fehler aus und sollte wohl "Heimnetz" heißen?

Sind eigentlich Probleme mit IP-Telefonie zu erwarten?

Es werden Portweiterleitungen für die SIP-Ports benötigt, um die eingehenden Verbindungen von außen bis zu den Telefonen zu bekommen. Anleitungen dazu gibt es zu Haus. Standardport ist TCP+UDP 5060, wenn ich mich nicht täusche. Das sollte aber grundsätzlich kein Problem sein.

 

[maxim.webster]

Sieht für mich nach einem copy paste Fehler aus und sollte wohl "Heimnetz" heißen?

Korrekt. Der Text in der "Wolke" ist der richtige.

Es werden Portweiterleitungen für die SIP-Ports benötigt, um die eingehenden Verbindungen von außen bis zu den Telefonen zu bekommen. Anleitungen dazu gibt es zu Haus. Standardport ist TCP+UDP 5060, wenn ich mich nicht täusche. Das sollte aber grundsätzlich kein Problem sein

Hmm .. das maskiert das GUI der Fritzbox wohl weg, mehr als Benutzername, Passwort und Registrar muss ich nicht eingeben.

Aber gut, wird schon klappen.

Nochmals vielen Dank für die zahlreichen Antworten, besonders Dir Raijin. Hat mir sehr geholfen!

 

[Raijin]

Die Portweiterleitungen werden in dem/den Router(n) benötigt, die zwischen einem IP-Telefon und dem www stehen. Wenn die Fritzbox, die selbst ein IP-Telefon ist, direkt im Internet hängt, braucht sie natürlich keine Portweiterleitungen, weil sie die benötigten Ports einfach öffnet. Setzt man allerdings einen Router davor, zB die UDM, kann die Fritzbox noch so viele Ports öffnen, aber es wird nie etwas bei ihr ankommen - es sei denn im Internetrouter ist UPNP aktiv (nicht empfohlen). Deswegen muss man TCP/UDP 5060 in der UDM an die Fritzbox weiterleiten. Hat man gar mehrere IP-Telefone, also zB eine Fritzbox und noch eine Go-Box von Gigaset, zählt man die Ports hoch (5061, ..) und konfiguriert das Telefon entsprechend.

 

[maxim.webster]

Übrigens kurzes Update:

• das Wochenende mit Strippen ziehen verbracht, alle LAN-Dosen in den einzelnen Zimmern enden jetzt an zentraler Stelle im Rack, auf einem Patchfeld (mit Keystone Modulen). Aktuell sind es 8 Räume mit LAN
• am Patchfeld hängt aktuell ein einfacher 8-Port Switch (war noch übrig)
• der Kubernetes-Cluster (3 "ThinClient" PCs) steht auch schon im Rack.
• Internet kommt von der Fritzbox aus dem Raum mit Kabelanschluß, von dort zum Rack via der dortigen LAN-Dose. Die "Beratungen" bzgl. der Verlagerung des Kabelanschlusses in den Keller laufen noch.
• Vodafone Station wurde angefordert (steht mir als Vertragsinhaber ja zu, war auch kein Problem). Soll im Bridge Modus als Modem dienen, dahinter erstmal weiter die Fritzbox.

Kurzfristig kommen dann noch die UDM Pro und ein 16 Port PoE Switch. Das Rack ist natürlich schon voll, also 2. bestellt.

Für die Zimmer mit mehr als einem kabelgebundenen Gerät und ohne geplanten WLAN AP hab ich den ersten Schwung neue Switches bestellt, 3er Set Unifi USW-Flex-Mini-3. Ich werde ca. 5 Räume mit Switches à la Flex-Mini ausstatten, aber in 2 Fällen soll ein WLAN AP dahinter, möglichst PoE. Dort brauche ich also eine Flex Mini Variante mit PoE Out (am liebsten durchgereicht). Sowas sehe ich aber im Ubiquiti Portfolio nicht, nur kleinere Switche wie den Switch Lite 8 PoE, die aber ihrerseits ein Netzteil brauchen.

 

[b1nb4sh]

pfSense hat hingegen (noch) die breitere Unterstützung in der Community und es gibt eine größere Auswahl an Plugins, zB pfBlockerNG (pihole-like), das ich so bisher noch nicht bei OPNsense gefunden habe.

Produktiv setze ich zur Zeit immer noch einen EdgeRouter ein, weil der seit Jahren absolut rock solid läuft und ich bisher keinen Grund gesehen habe, ihn abzulösen - abgesehen davon, dass ich vor einiger Zeit auf einen ER-4 .. ... "upgegradet wurde" (no details 🤐).

pfblockerNG kannst du im opnsense via Unbound bzw. bind erreichen, die können Werbung und IPs blockieren.
Auf meinem opnsense Cluster laufen nur die Plugins clamav und zenarmor, der Rest ist im Grundpaket erhalten.
Ein ER-X habe ich auch noch laufen, aber mit openwrt, weil mir das Interface zu langsam war und die CLI bisschen gewöhnungsbedürftig war. Mit der UCI von openwrt kann man mittlerweile alles und die Dinger werden bei mir via netmiko gesteuert.
Im Grunde versuche ich gerade mein gesamtes Netzwerk auf ein Grafana Dashboard unterzubringen, mit dem Problem, dass es zu viele Werte gibt

 

[maxim.webster]

Die Portweiterleitungen werden in dem/den Router(n) benötigt, die zwischen einem IP-Telefon und dem www stehen. Wenn die Fritzbox, die selbst ein IP-Telefon ist, direkt im Internet hängt, braucht sie natürlich keine Portweiterleitungen, weil sie die benötigten Ports einfach öffnet. Setzt man allerdings einen Router davor, zB die UDM, kann die Fritzbox noch so viele Ports öffnen, aber es wird nie etwas bei ihr ankommen - es sei denn im Internetrouter ist UPNP aktiv (nicht empfohlen). Deswegen muss man TCP/UDP 5060 in der UDM an die Fritzbox weiterleiten. Hat man gar mehrere IP-Telefone, also zB eine Fritzbox und noch eine Go-Box von Gigaset, zählt man die Ports hoch (5061, ..) und konfiguriert das Telefon entsprechend.

Gerade durch Zufall gesehen, dass man unter "Diagnose -> Sicherheit" die Liste der offenen Ports sehen kann, getrennt nach eigenen Freigaben und welchen, die die Box selber vornimmt.

 

[Raijin]

Ich habe keine Fritzbox, aber das sind mutmaßlich die Ports, die die Fritzbox selbst am WAN-Port exponiert. Da die Fritzbox VoIP macht, ist eben auch der Port 5060 am WAN offen, so wie zB UDB 500/4500 für den internen VPN-Server der Fritzbox benötigt werden. Das gilt aber nur für das WAN der Fritzbox und eben nicht für einen potentiell vorgelagerten Router in einer Routerkaskade.

Innerhalb einer Routerkaskade kann der zweite Router noch so viele Ports offen haben, aber wenn der erste Router sie nicht weiterleitet, kommt am zweiten Router nichts an.

www >--eingehendPort5060--> (WAN) Router1 (LAN) |--nixmehrPort5060--| (WAN) Router 2

www >--eingehendPort5060--> (WAN) Router1 (LAN) >--Portweiterleitung5060--> (WAN) Router 2

Nu kann Router1 aber mittels UPnP automatische Portweiterleitungen einrichten, wenn ein Gerät in seinem Netzwerk eine benötigt. UPnP gilt allerdings als Sicherheitsrisiko, da es nicht unterscheiden kann ob es sich um eine gute oder böse Portweiterleitung handelt. Heißt: Malware kann ebenso Portweiterleitungen bekommen.

Um die im Screenshot gelisteten Ports bzw. die Dienste dahinter aus dem www nutzen zu können, muss also zu jedem Port bzw. jeder Portrange eine Portweiterleitung in der UDM eingerichtet werden. Wobei man natürlich nur die Ports weiterleiten sollte, die auch benötigt und genutzt werden, in diesem Falle also die Telefonie-Ports.

 

[maxim.webster]

Um die im Screenshot gelisteten Ports bzw. die Dienste dahinter aus dem www nutzen zu können, muss also zu jedem Port bzw. jeder Portrange eine Portweiterleitung in der UDM eingerichtet werden. Wobei man natürlich nur die Ports weiterleiten sollte, die auch benötigt und genutzt werden, in diesem Falle also die Telefonie-Ports.

Verstanden. Portfreigaben via UPnP kann die Box, muss man aber pro Client aktivieren. Die Playstations (3,4 und 5 im Haus) verwenden dies teilweise für Online-Spiele. Der Anteil nimmt aber ab, weil mehr und mehr Spiele das über das Playstation Network regeln.

Übrigens kommt die UDM Pro heute an, die Vodafone Station morgen. Ich bin ein wenig aufgeregt und gleichzeitig angespannt ob meines forschen Anliegens bei gleichzeitiger Ahnungslosigkeit

Naja, wird schon klappen.

 

[Raijin]

Portfreigaben via UPnP kann die Box, muss man aber pro Client aktivieren.

Das ist schon mal ein Mindestmaß an Sicherheit bei UPnP. Bei Spielekonsolen kommt man da teilweise nicht drumherum, da explizite Portweiterleitungen voraussetzen, dass man alle nötigen Ports kennt, die sich von Spiel zu Spiel unterscheiden können, wenn das PSN nicht genutzt wird, wie du schon sagst. Ein Beispiel wären separate Ingame-Voice-Chats.

Während die Gefahr für Malware auf einer Xbox oder einer Playstation relativ niedrig ist, gilt das jedoch nicht für PCs und Co. Gerätespezifisches UPnP gibt aber nur alles oder gar nichts frei - es sei denn man kann noch weitere Einstellungen vornehmen wie zB Portranges oder so. Aber dann kann man auch gleich explizite Portweiterleitungen einrichten

 

[maxim.webster]

Ich hätte noch eine Frage: Ich hab eine Fritzbox 6591 und einen Fritz Repeater 3000 (im Mesh). Der Plan ist ja, die Fritzbox durch eine Vodafone Station abzulösen, welche als Model fungiert. Dahinter die UDM Pro. Aktuell steht die Fritzbox am Kabel, die UDM ist as "Exposed Host" dahinter. Ich hab bereits 2 Netzwerke eingerichtet (LAN und DMZ) und entsprechend ihre Funktion mit Firewall-Regeln abgesichert.

Allerdings kann ich jetzt nicht weitermachen, weil die "Fritte" WLAN liefert, aber für die UDM Pro das WAN darstellt. Würde ich jetzt z.B. den Drucker in das neue LAN, also hinter die UDM klemmen, wäre Drucken via Mobile nicht mehr möglich.

Aber - ich könnte das Mesh doch auflösen, das WLAN auf der FritzBox ausschalten und den Repeater hinter die UDM stecken. Der wäre doch dann Teil des neuen LAN, damit im gleichen Netz wie der Drucker und alles wäre fein. Die FritzBox kann weiterhin VoIP/DECT machen.

Oder hab ich da einen Denkfehler? Also so:

 

[Raijin]

Klar, der FritzRepeater fungiert so als herkömmlicher Access Point hinter der UDM - ohne jedwede Mesh-Funktion, da die Fritzbox sich nicht im selben Netzwerk befindet.

Ob du das WLAN der Fritzbox ausschaltest oder eingeschaltet lässt, hängt davon ab ob du einen Anwendungsfall dafür hast. So hätten eben alle Geräte im WLAN der Fritzbox Internet ohne die UDM und die dortigen Reglementierungen (falls vorhanden), also gewissermaßen ungefilterten Internetzugriff rein über die Fritzbox. Das ließe sich also als eine Art Gastnetzwerk nutzen.

Wenn du hinter der UDM ein Gastnetzwerk aufbauen möchtest, benötigst du dort ein 3. Netzwerk (zB 192.168.4.0/24) und entweder einen VLAN-fähigen AP (zB von Unifi) oder aber separate APs für das 2er und 4er Subnetz.


Übrigens: Ich rate dir dazu, gleich von Anfang an Abstand von den Standardsubnetzen zu nehmen.
RFC1918 sieht für private Netzwerke folgende Adressräume vor:

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Sobald du mit VPN-Verbindungen in Kontakt kommst, zB wenn du vom Ferienhaus im Urlaub auf dein Heimnetzwerk zugreifen möchtest, ist das Konfliktpotential bei den Standard-Subnetzen relativ hoch. Sei also kreativ und beschränke dich nicht künstlich auf den Anfangsbereich von 192.168..., da gefühlt 93,693% aller privaten Subnetze in diesem Bereich liegen (neben dem klassischen AVM-Subnetz und noch einigen anderen Hersteller-Netzen).