Frage zum Netzwerk im Haus, Sicherheit und Zugriff

[raVenDeniZ]

Mahlzeit Freunde der sicheren Netzwerke,

Ich bräuchte mal Hilfe / Ideen / Verbesserungsvorschläge zum Aufbau und der Sicherheit meines Netzwerks zu Hause. Vorab: Ich bin kein Netzwerk-Profi und lasse mich gerne von dem ein oder anderen Experten hier beraten

Der aktuelle Aufbau im Haus sieht folgendermaßen aus:

Fritzbox 5690 Pro mit Telekom DSL

• Relativ neu in der Config: DNSv4-Server-Einstellungen zeigen auf AdGuard Container auf der Synology-NAS, siehe weiter unten. Fallback die gute 1.1.1.1. DNSv6 läuft noch über den ISP, DNS over TLS ist ausgeschaltet.
• Reolink-Kameras sind mit Internetsperre belegt (mehr Infos weiter unten)
• Kein VPN / Wireguard eingerichtet
• Portfreigaben sind aktuell aus, müssen aber jederzeit möglich sein, da ich ab und zu Kundenprojekte über Port 80/443 auf meinem NAS via DynDNS / eigener Domain zugänglich mache
• Fritzbox nicht über Internet erreichbar, Zertifikat ist self-signed (falls das von Relevanz ist)

Zyxel XGS 1930-28 Managed Switch hinter Patch-Panel
- Ehrlicherweise übersteigen die ganzen Funktionen von dem Teil meine Netzwerkkenntnisse. Als wir unser Haus damals gekauft haben und ich knapp 200m Cat-Kabel verlegt habe war mein Glaube daran groß, mich zeitnah tiefer mit der Materie zu beschäftigen - kam aber nie dazu.

Synology DS 918+ (angeschlossen am Switch)

• AdGuard Container als DNS-Server mit aktuell lediglich 2 großen Blocklisten ( https://github.com/StevenBlack/hosts und https://big.oisd.nl/ ) sowie manuellem Block der Reolink p2p-Server (p2p.reolink.com, p2p1.reolink.com usw.)
• Erreichbar übers Internet via QuickConnect ID
• Aktuell ist nur das selbst signierte Synology SSL-Zertifikat vorhanden
• Einfaches SMB-Share an meine PCs

6 Reolink Kameras
- eingebunden in Synology Surveillance Station. So konfiguriert, dass, wenn ich oder meine Frau das Haus verlassen, per Geo-Tagging in den Aufnahme-Modus gewechselt wird. Zugriff über DS Cam App, entweder über QuickConnect (falls wir mal unterwegs oder bei Nachbarn sind) oder direkt per IP-Adresse (falls zu Hause). Wurden einmalig eingerichtet und dann mit einer Internetsperre in der Fritzbox belegt. AdGuard listet die Reolink p2p-URLs mit Abstand als am häufigsten geblockte Domains, das aber nur am Rande.


Was sonst noch im Netzwerk unterwegs ist:

• 2 TP-Link Archer C6 im Access Point Modus
• Der übliche Kram wie Fernseher, Streaming-Sticks, PCs, Laptops, Handys, iPad usw
• Viessmann Heizungsanlage via WLAN und Fritz Heizkörperthermostate
• eufy Doorbell mit zusätzlicher Verteilung auf Alexa-Geräte

Meine Ziele bzw. Wünsche:

• Aktuelle Funktionen sollten natürlich weiter bestehen bleiben
• Möglichst hohe Sicherheit für den Kamera-Zugriff und die Heizungsanlage. Ich hatte vor längerer Zeit mal mit den VLAN Einstellungen des Managed Switches gespielt, kam dann hier aber an meine Grenzen was den Zugriff auf die Cams betrifft. Manche Kameras sind per Kabel und einige per WLAN angebunden, manche direkt an der Fritzbox, andere hinter den APs in anderen Etagen. Das hat mich zwangsweise immer über DHCP-Probleme stolpern lassen. Im besten Fall sollte der externe Zugriff über QuickConnect / DynDNS erhalten bleiben, gerne so sicher wie möglich.
• Das NAS bestmöglich zu schützen aufgrund der dort liegenden Projekte/Fotos etc. und der angebundenen Kameras
• Blocken möglichst vieler dubioser / böswilliger Server und nerviger AdServer. Dazu die Möglichkeit, für unsere 2 Kids gewisse Dinge zu sperren. Der AdGuard macht bisher einen guten Job, das geht aber bestimmt noch besser (Block-List Empfehlungen?)
• VPN-Verbindungen für alle Geräte außer PCs / Laptops dauerhaft nutzen, da hier dran gerne mal gezockt wird und ich (noch) schlechte(re) Pings oder Geschwindigkeitseinbußen vermeiden will. Proton oder NordVPN wären vorhanden
• Externer Zugriff via Domain/DynDNS auf Docker-Container, die ich wahlweise auf meinem Haupt-PC (Windows + CachyOS) oder meinem Test-Lab (Dell Optiplex mit Debian) laufen lasse. Ist kein Muss, wäre aber schön
• Alle Verbindungen, auch hausintern, über SSL verschlüsselt
• keine Zugänge oder "kritische Daten" bei irgendeinem Anbieter hinterlegen müssen

Wie würdet Ihr an meiner Stelle verfahren und wie würdet Ihr die genannte Hardware zusammenschalten und konfigurieren? Habe ich irgendwo noch eklatante Lücken übersehen? Das wahrscheinlich nicht alles möglich ist ist mir bewusst. Trotzdem wäre interessant, wie Ihr das ganze angehen würdet. Danke schon mal im Voraus

 

[Tornhoof]

Irgendwie beißen sich deine Vorstellungen oder einfach nur ggf das fehlende Wissen von der Technik.
Auf der einen Seite soll alles so funktionieren wie jetzt.
Dann willst du alles "sicherer" machen, hast aber Geräte auf die du remote zugreifen willst, anscheinend auch nicht gerade wenige (NAS, Container).
Dann steht da noch adguard mit Blocklisten und
Irgendwelche VPN Provider.
Zu guter Letzt hast du noch Geräte die mit Alexa reden wollen.

Gegen was willst du absichern?
Du hast Unmengen Kameras, hast du Angst vor physikalischen Zugriff auf das Gebäude?
Du hast VPN, das dauerhaft für die externe Kommunikation eingesetzt werden soll, was soll dir das bringen?
Du willst intern überall TLS nutzen, hast du Angst das Geräte in deinem Netzwerk existieren, die alles mitschneiden?

 

[Azghul0815]

Bin da ein bisschen bei @Tornhof.

Wer soll von aussen Zugriff haben, du oder auch andere?

Wenn nur du bzw. deine Geräte auf einzelne Dienste zugreifen sollen, Stichwort Tailscale oder klassisch WireGuard. Dann brauchst du praktisch keine offenen Ports mehr.

Wenn fremde Leute auf einzelne Dienste zugreifen müssen, Reverse Proxy vor die Dienste und nur eine kontrollierte Freigabe statt direkt alles veröffentlichen.

DNS Blocklisten sind nicht nur Werbung, sondern gerade bei IoT und Kameras schon eine echte Sicherheitsmassnahme, mehr aber auch nicht. Die Geräte telefonieren trotzdem aktiv nach draussen, nur eben weniger.

Willst du wirklich steuern was Geräte raus dürfen, kommst du langfristig an einer richtigen Firewall wie OPNsense oder pfSense kaum vorbei. Das ist kein Klick mehr in der Fritzbox.

Entweder ersetzt du die Fritzbox komplett durch einen eigenen Router oder du hängst die Firewall dahinter und lebst mit doppeltem NAT. Je nach Anschlussmodell landest du zusätzlich noch in einer CGNAT Struktur vom Provider, dann hast du faktisch eine NAT Kaskade.

Das funktioniert, erhöht aber die Komplexität massiv, vor allem bei eingehenden Verbindungen, VPN Erreichbarkeit und Fehlersuche. Das sollte man bewusst entscheiden und nicht nur aus einem Sicherheitsgefühl heraus machen.

Alexa und andere IoT brauchen möglicherweise zwingend Cloud Verbindungen. Da kannst du nicht komplett dicht machen, nur minimieren und beobachten.

Die interessanten Fragen sind eher, schon von @Tornhoof geschrieben.

• Gegen was willst du dich konkret absichern?
• Fremdzugriff aufs NAS?
• Kompromittierte IoT Geräte?
• Datenabfluss?
• Oder einfach möglichst sicher fühlen?

VPN dauerhaft für Geräte bringt oft weniger als gedacht, weil die Geräte selbst Verbindungen aufbauen und nicht du.

Und Portfreigaben sind nicht automatisch böse, aber direkte Freigaben auf Geräte ohne Proxy und Auth sind die klassische Einfallstelle. Mit Proxy davor ist es eine ganz andere Liga.

Kurz, erst Bedrohungsmodell klarziehen, dann Architektur bauen, nicht andersrum.

 

[rezzler]

• Das NAS bestmöglich zu schützen aufgrund der dort liegenden Projekte/Fotos etc. und der angebundenen Kameras

Regelmäßiges Backup. Ein NAS oder deren Platten können auch so mal kaputt gehen.

• VPN-Verbindungen für alle Geräte außer PCs / Laptops dauerhaft nutzen, da hier dran gerne mal gezockt wird und ich (noch) schlechte(re) Pings oder Geschwindigkeitseinbußen vermeiden will. Proton oder NordVPN wären vorhanden

Lieber den Internetanbieter wechseln.

• keine Zugänge oder "kritische Daten" bei irgendeinem Anbieter hinterlegen müssen

Beißt sich mit dem VPN-Wunsch.

Wie würdet Ihr an meiner Stelle verfahren und wie würdet Ihr die genannte Hardware zusammenschalten und konfigurieren? Habe ich irgendwo noch eklatante Lücken übersehen? Das wahrscheinlich nicht alles möglich ist ist mir bewusst. Trotzdem wäre interessant, wie Ihr das ganze angehen würdet. Danke schon mal im Voraus

VLAN kannst du von wegen FritzBox eher vergessen. Damit könntest du deine Kameras oder höchstens ins Gästenetzwerk stecken und damit von deinen Geräten separieren. Zugriff dann halt zwangsweise via Internet/Server beim Anbieter/App.

 

[chrigu]

Port 80 (http) und 443 (https) sind immer erreichbar, von jedem Gerät, ausser der Router wird anders konfiguriert.
Wenn deine syno und die Kameras schlau sind, kannst du diese Ports manuell auf freie Ports konfigurieren. Damit kriegst du von innen oder aussen mit der url (deine öffentlich erreichbare ip:dein eigener Port z.b. 22.123.123:8081 direkt Zugriff, aber bitte nur über wireguard VPN oder direkt mit der Geräte IPv6

 

[raVenDeniZ]

Moin und erstmal danke für das Feedback. Ich versuche mal das so gut wie möglich aufzudröseln.

Irgendwie beißen sich deine Vorstellungen oder einfach nur ggf das fehlende Wissen von der Technik.

Das ist (leider) richtig. Wie anfangs geschrieben bin ich mir durchaus bewusst, dass nicht alle Wünsche zu realisieren sind. Ich habe relativ plump einfach mal alles aufgeschrieben. Die Technik hier ist mit der Zeit immer weiter angewachsen, das Know-How aber nicht. Daher auch meine Frage nach einem Konzept, wie Ihr das angehen würdet bei den vorhandenen Gerätschaften. Tipps wie "Streich den Wunsch XY, das ist so nicht umsetzbar oder bringt nichts" sind auch in Ordnung.

Du hast Unmengen Kameras, hast du Angst vor physikalischen Zugriff auf das Gebäude?

Richtig. Es gab hier bereits Versuche ins Haus zu kommen. Mit einigen baulichen Maßnahmen haben wir dem schon entgegengewirkt. Aufgrund von Denkmalschutz sind wir allerdings etwas limitiert. Die Kameras kamen dann als zusätzliche "Sicherheit" dazu. Dazu nutzen wir eine Kamera als Babyphone und eine dazu, dem 3D-Drucker auf die Finger zu schauen.

Du hast VPN, das dauerhaft für die externe Kommunikation eingesetzt werden soll, was soll dir das bringen?

Das ist mehr oder weniger Bestandteil meiner "Frage". Würde mir das an irgendeiner Stelle bzw für irgendein Gerät einen sicherheitsrelevanten Nutzen bringen? Genutzt wird es aktuell nur ab und an am Haupt-PC, um bei einigen Projekten regionsabhängige Features zu testen (Language-Detection etc). Dachte ggbf. auch als Ersatz / Ergänzung zu AdGuard.

@Azghul0815 Die Variante mit doppeltem NAT ist interessant, für jemanden wie mich aber wohl keine Lösung, da ich mich dafür zu wenig auskenne. Und es würde, wie du geschrieben hast, auch zu Einschränkungen führen.

• Gegen was willst du dich konkret absichern?
• Fremdzugriff aufs NAS?
• Kompromittierte IoT Geräte?
• Datenabfluss?
• Oder einfach möglichst sicher fühlen?

Um es kurz zu machen: Das NAS und der Zugriff auf die Kameras sollten bestmöglich geschützt sein.

Ein Proxy scheint, wenn ich das richtig raushöre, ein Ansatz sein.

Regelmäßiges Backup. Ein NAS oder deren Platten können auch so mal kaputt gehen.

Wird regelmäßig gemacht auf 2 externen Festplatten - eine im Haus, eine hinterlegt bei der Verwandschaft.

Lieber den Internetanbieter wechseln.

Ist keine Option hier. Vodafone Cable war 2020 noch super. Irgendwann ab 2024 hatte ich aber mit den bekannten Problemen in Stoßzeiten zu kämpfen (hohe Latenzen, geringe Bandbreite) und bin letzten September zur Telekom gewechselt. Hab zwar nur noch 200Mbit statt Gigabit, dafür keine der genannten Probleme mehr. Glasfaserausbau ist hier nicht geplant und wird auch nicht passieren, da die Besitzverhältnisse der Straße nicht geklärt sind (Fehler in den Kaufverträgen aus den 80er Jahren. Komplexes Thema, was den Rahmen hier sprengen würde).


Zusammenfassend, etwas konkreter und deutlich abgespeckter:
Das NAS und die Kameras sollen bestmöglich abgesichert werden, während der externe Zugriff für mich erhalten bleibt. Für Kundenprojekte könnte ich eine andere Lösung finden, muss halt wie früher wieder ein Server gemietet und synchronisiert werden. Wäre Wireguard + AdGuard + ReverseProxy eine sinnvolle Variante?

 

[h00bi]

Für dein Vorhaben (wie sinnvoll das ist sei mal dahingestellt) ist eine Fritzbox das völlige falsche Produkt.
Diese unterstützt nämlich weder VLAN noch irgendwelche Regeln für ausgehendes VPN.

Hier wäre ein Asus "gaming" Router genau das richtige für dich.

Den Quickconnect aufs NAS kneifst du dir dann zukünftig und verbindest dich per (Wireguard) VPN nach Hause aufs NAS.

Ergänzung (15. Februar 2026)

Wäre Wireguard + AdGuard + ReverseProxy eine sinnvolle Variante?

Du verknüpfst hier einfach Buzzwords, oder?

 

[rezzler]

Ist keine Option hier. Vodafone Cable war 2020 noch super. Irgendwann ab 2024 hatte ich aber mit den bekannten Problemen in Stoßzeiten zu kämpfen (hohe Latenzen, geringe Bandbreite) und bin letzten September zur Telekom gewechselt. Hab zwar nur noch 200Mbit statt Gigabit, dafür keine der genannten Probleme mehr.

Telekom klingt nach DSL, also wäre auch sowas wie 1&1 oder o2 möglich?

Zusammenfassend, etwas konkreter und deutlich abgespeckter:
Das NAS und die Kameras sollen bestmöglich abgesichert werden, während der externe Zugriff für mich erhalten bleibt. Für Kundenprojekte könnte ich eine andere Lösung finden, muss halt wie früher wieder ein Server gemietet und synchronisiert werden. Wäre Wireguard + AdGuard + ReverseProxy eine sinnvolle Variante?

Wireguard als VPN-Server auf deiner FB, mit der du dich dann nach Bedarf zwecks Zugriff auf die heimatlichen Geräte verbindest, wäre in der Tat eine sinnvolle Variante. Zu Adguard und ReverseProxy kann ich nichts sagen.

 

[Dat IT Nerd]

Alles in Minuten erreichbar, wenn Du Cloudflare oder eine Alternative dazu einsetzt. Domain buchen bei der Du die DNS Server selbst konfigurieren kannst, diese umleiten auf Cloudflare oder alternativ gewählte Anbieter, entsprechende Applikation im Webinterface des entsprechenden Anbieters auf Deine lokale IP mit gewähltem Namen konfigurieren, im Nest einen vom Anbieter bereitgestellten Container starten der die Verbindung bereitstellt, fertig.

NTZA könnte auch was für Dich sein, ansonsten oder ein handelsübliches VPN für die Endgeräte, auch eine Möglichkeit.

Habe hier auch einige Dienste, die extern zur Verfügung stehen und in der Firewall ist keinerlei extra Config oder Portöffnung nötig. Alles zu und dicht, Tunnel läuft per SSL, Zertifikate auch für interne Dienste werden über den entsprechenden Tunnel mittels Let´s Encrypt gesichert.

Hier ein nettes Beispiel mittels Cloudflare Zero Trust:

https://blog.berrybase.de/homelab-mit-cloudflare-zero-trust/

 

[hildefeuer]

Kann ich nicht nachvollziehen, besonders wenn man Alexa hat. Das Ding höhrt doch die ganze Zeit mit.
Da braucht man sich keine Gedanken mehr zu machen, um Datenschutz usw. weil es ist eh ein Tor sehr weit offen.

 

[Engaged]

Noch wichtiger als alexa zu erwähnen, wäre an erster Stelle auch, wenn man ein Smartphone hat, denn dieses ist mobil, und hat noch viel mehr Sensoren, und auch sensiblere Daten.
Marke und alles ist dabei egal, ist im Endeffekt sowieso alles dasselbe blackrock gesteuerte geraffel. 😅

 

[norKoeri]

Wie würdet Ihr an meiner Stelle verfahren

Immer überall Software-Updates einspielen. Fertig. Alles Andere ist entweder Zeitverschwendung oder Unsinn. Oder alles auf einmal, definitiv nicht machbar; Du müsstest das in Etappen umsetzen. Beispiel:

Alle Verbindungen, auch hausintern, über SSL verschlüsselt

Das ist so, erstmal ein unsinniges Ziel, siehe auch den aktuellen Parallel-Thread … Solange das Kennwort über HTTP-Digest-Auth/MD5 läuft, ist das im Heimnetz erstmal sicher. Wenn Du Dich auch gegen interne Lauscher wären willst, dann nimmst Du die (langsamere) HTTPs-Schnittstelle. Willst Du stupide die Fehlermeldung wegbekommen, müsstest Du alle Zertifikate importieren oder eigene Certificate-Authority aufbauen.

DNSv4-Server-Einstellungen zeigen auf AdGuard Container auf der Synology-NAS, siehe weiter unten. Fallback die gute 1.1.1.1. DNSv6 läuft noch über den ISP

Wenn Du Probleme hast, dem NAS eine statische IPv6-Adresse zu entlocken, kannst Du auf der FRITZ!Box auch einfach den DNSv6-Server ausschalten …

[Internet-Anbieter zu wechseln ist] keine Option hier. Vodafone Cable war […]

Du sollst auch nicht die Internet-Technologie sondern lediglich den Anbieter wechseln, also zu O₂, EasyBell, 1&1 … Hauptsache weg von der Telekom Deutschland und deren Internet-Peering.

Zyxel XGS1930-28

Das Einzig sinnvolle, was ich hier sehe, dass Du Dir ein Strom-Messgerät holst und wir zusammen durchgehen, dass bei jenem Switch die Energie-Spar-Optionen alle an sind. Verkaufen und gegen was Einfacheres eintauschen macht halt keinen Sinn, weil Du für jenen Zyxel quasi gebraucht nichts bekommst.

VLAN Einstellungen des Managed Switches gespielt

Ist auch die falsche Baustelle. Du bräuchtest einen Internet-Router der mehrere Netz-Segmente unterstützt.

2 TP-Link Archer C6 im Access Point Modus

Die gegen FRITZ!-Produkte tauschen, also z. B. gebrauchte FRITZ!Box 7520 für jeweils 20 € das Stück. Dann hast Du im ganzen Haus wenigstens ein Gast-WLAN. Oder:

FRITZ!Box 5690 Pro […] Glasfaserausbau […] wird auch nicht passieren

Die verkaufen und gegen eine FRITZ!Box 4060 tauschen und überall FRITZ!Box 4060 bzw. FRITZ!Repeater 6000 platzieren. Dazu dann noch ein DSL-Modem für lau. Dann hast Du nicht nur Gast-WLAN sondern auch ein einheitliches WLAN mit vier Spatial-Streams überall, ideal für Abdeckung und WLAN-Roaming.