Heimnetz überdenken

[herrpiefke]

Hallo miteinander,

ich möchte - nein muss mein aktuelles Heimnetzwerk überdenken. Im Zuge von vermehrten IoT Geräten die hinzugekommen sind und einer Vielzahl von Sachen die raus und rein funken, möchte nun gerne auch die Geräte intern voneinander trennen.

Meine Kenntnisse: Ich würde sagen nicht unwissend aber mit viel Luft nach oben

Meine Geräte bzw. IST-Zustand: Fritzbox 7590 (wohl der "bottleneck) samt Meshrepeater via LAN verbunden. Funzt bei uns im Haus mit allen Geräten zuverlässig und reibungslos (auch mit den Apple Geräten). Ebenfalls vorhanden Zyxcel Switch der Generation GS1900. Alle Kabel gehen sternförmig zum Switch. Der kann VLAN; QoS und Link Aggregation. Im Netzwerk tummeln sich Macbooks und PC's die mir und meiner Frau gehöhren, sowie diverse iPhone und iPads Apple TV's (schaue hierüber Magenta TV deswegen muss IGMPv3 laufen) und Homepods. Teilweise per Lan angeschlossen, teilweise per WLAN. Ebenfalls vorhanden eine Vielzahl an smarten und weniger smarten Lampen, chinesische Staubsauger usw. Auch hier mal per Lan mal per Wifi angebunden. Darüber hinaus habe ich eine Synology Diskstation und 2 raspberry PI, wobei eine die Homebridge ist und der andere Phile, Unbound und Wireguard bedient. Weiterhin besitze ich eine Handvoll Außenkameras die über die Diskstation bzw. über die synology surveillance station laufen. Abschließend habe ich noch einen Firmen-Laptop, der über LAN angeschlossen ist. Diesen nutze ich ab und zu im HomeOffice. Auch diesen möchte ich natürlich logisch von allen anderen Geräten trennen.
Ports nach außen habe ich lediglich Wireguard 51820 geöffnet. Ansonsten keine. Für die Synology nutze ich Quickconnect.

Aktuell nutze ich kein VLAN und auch keine Trennung im WLAN (lediglich das Guest Netz für die Gäste ist aktiv). Hintergrund ist der, dass ich zu Hause viel mit dem Apple Homekit Protokoll arbeite und eine Homebridge habe und somit die Geräte immer in einem Netzwerk sein müssen. Bei VLAN viel hier vermehrt das Stichwort mDNS womit man die Problematik überwinden könnte (kann die Fritzbox aber natürlich nicht bzw. ist mir nicht bekannt).

Soll Zustand. Ich möchte gerne eine logische Trennung zwischen den Geräten aufbauen. Dies soll sowohl im WLAN als auch im LAN möglich sein. Soll bspw. der Saubsauger (WLAN 2,4ghz) in seinem eigenen Netz rumdümpeln, aber dennoch durch die Homebridge (LAN) angesprochen werden. Die iPhones, PC's und Mac's dürfen gerne in einem Netzwerk zusammen mit der Diskstation sein. Hier sollten dann wahrscheinlcih ebenfalls die PI's mit rein. Der FirmenLaptop soll sein eigenes Netz bekommen ebenso die Kameras und die Hue Lampen, die wiederum über das Homekit Protokoll vom Homepod oder vom Apple TV angesprochen werden müssen.

Darüber hinaus möchte ich eigentlich meine aktuelle Hardware weiter verwenden, ggf. um neue Geräte aufrüsten und weniger komplett in eine neue Produktreihe investieren (Stichwort Ubiquiti).
Ich verspreche mir hier vor allem Sicherheit für meine wichtigen Daten und eine sichere Spielwiese für alle IOT Produkte. Weiterhin möchte ich gerne so wenig wie möglich an Ports nach außen öffnen, da mir hier weder das wissen noch die Zeit und Lust fehlt um dies adäquat zu administrieren.

Wenn man sich ein wenig mit den Themen DMZ usw. bzw. Wlan einschränken und Verwaltung von VLAN anschaut, erkennt man schnell, dass die Fritzbox als Router an ihr Ende kommt. Wie erwähnt bin ich mit dem WLAN zufrieden und nutze auch die DECT funktion insofern würde ich gerne die Fritte als Wlan Extender behalten. Das Internet kommt bei uns direkt per FTTH - also Glasfaser aus der Wand und wird in einem Modem von der Telekom verarbeitet. Ich könnte hierüber dann direkt in den WAN Port und loslegen. Insofern hatte ich mir überlegt, dass die Unify Security Gateway (ich glaube hierzu brauche ich dann optional den Cloudkey???) genau meine Probleme löst. Ich löse also das Routing der Fritte ab und gehe über die USG. Nun frage ich mich, ob diese dann auch alle Geräte, die per Wlan an der Fritzox hängen voneinander trennen kann? Andernfalls könnte ich mir noch eine zweite (kleinere Fritzbox) holen und dort folgenden Punkt deaktviere:
Die unten angezeigten aktiven WLAN-Geräte dürfen untereinander kommunizieren.

Also das ist jetzt mal mein erster Gedankenversuch und ich würde mich über eure Anregungen freuen.

 

[BoeserBrot]

Für die Trennung im WLAN müsstest du dir noch Access-Points besorgen, die VLAN beherrschen und mehrere WLAN-Netzwerke erstellen können. Die Access-Points von Ubiquiti können das eigentlich alle, würde ja gut passen, wenn du dir eine USG holen möchtest.
Den Cloud-Key brauchst du nicht unbedingt. Auf dem Cloud-Key läuft die Software von Ubiquiti, die die Geräte der Unifi-Serie provisioniert. Diese Software kann auch auf einem Synology-Gerät via Docker installiert werden oder auf einem Raspberry.

 

[herrpiefke]

Danke dir für die Antwort. Access-Points bedeutet ich brauche für jedes WLAN was ich aufbauen und mit Geräten füllen will einen eigenen Access Point bspw. bei mir 1x Wlan für alle wichtigen Geräte 1x. Wlan für alle IOT Geräte. Welche AP's würdest du vorschlagen? Macht es dann überhaupt noch Sinn die Fritzbox zu halten?
Ich hatte in der Zwischenzeit noch ein wenig im Forum gestöbert und gelesen, dass eine logische Trennung der WLAN tatsächlich noch heute sehr sportlich ist bspw. Hue birnen in WLAN 1 und Iphone mit Hue App in Wlan 2 können nicht miteinander kommunizieren?

 

[BoeserBrot]

Access-Points bedeutet ich brauche für jedes WLAN was ich aufbauen und mit Geräten füllen will einen eigenen Access Point

Nein, das ist nicht der Fall. Die Access-Points von Ubiquiti können mehrere SSIDs über einen einzigen Access-Point verteilen. Den SSIDs wird dann jeweils ein VLAN-Tag zugeordnet.

Wie groß ist denn die Fläche, die mit WLAN versorgt werden muss? Wenn vorher die FritzBox und ein Repeater nötig waren, dann ist wahrscheinlich die Anschaffung von zwei Access-Points sinnvoll. Das hängt aber auch von der Aufstellung ab.
Ich würde sagen du guckst mal ob der Unifi AP AC Lite was für dich wäre.

Die Kommunikation über zwei Subnetze ist tatsächlich nicht so einfach bei manchen IoT-Geräten. Dass Hue nicht gut funktioniert über zwei Netze habe ich auch schon gehört, aber selber nicht ausprobiert.

Ergänzung (22. Januar 2021)

Die FritzBox ist schon kein schlechtes Gerät, aber wenn du tiefergehende Einstellungen bezüglich des Netzwerks vornehmen möchtest, dann muss ein anderes Gerät her.
Ich selber habe eine USG im Einsatz, aber die Konfiguration ist da mit mehr Aufwand verbunden und IPv6 bei wechselnden Präfixen bedarf der Anpassung von den "lifetime"-Parametern.

 

[snaxilian]

Woohoo Trommelwirbel! Der hundertste Thread zum gleichen Thema^^
Ernst gemeinter Rat weil ich bisher 0 Mehrwert oder Erkenntnisse sehe bisher: Hier im Forum gibt es einen wunderbaren User namens @Raijin und der hat das schon gefühlt drölfzighundertmal herunter gebetet was VLANs für Folgeprobleme haben können und warum eine Fritzbox damit nicht klar kommt und warum IoT und Trennung zwar sinnvoll klingt aber am Ende technisch nur mit Glück und viel Aufwand umzusetzen ist. Stöbere in seinen Postings der letzten 1-2 Jahre.

Selbst wenn du keine Ports öffnest: Funkt irgendein Elektroschrott-IoT mit einer Halbwertszeit von knapp 2 Jahren zum Hersteller, hättest du auch mit VLANs keinerlei Mehrwert geschaffen denn dafür müsstest du die ausgehenden Verbindungen verhindern und das geht auch mit einer Fritzbox.

Wenn du auch verschiedene SSIDs mit getrennten Netzen willst brauchst entweder auch VLAN-fähige APs oder weiterhin einen nicht-VLAN-fähigen-AP pro SSID und VLAN von denen jeder einen dedizierten Port an einem VLAN-fähigen Switch bräuchte.
Wenn du das also wirklich willst macht ein vernünftiger neuer AP schon Sinn und die Fritzbox wird reine DECT-Basis und kümmert sich um die Telefonie.

Bei IPv6 und ggf. auch weiterhin bei IGMPv3 heißt es bei Ubiquiti: Ausflüge auf die CLI oder tiefgreifende Settings. Wenn du dann vom Provider auch nur ein /64 IPv6 bekommst, was ja nicht weiter aufteilbar ist, dann kannst zwar mit VLANs arbeiten aber hast ein identisches Subnetz bei mehreren VLANs was lustige Nebeneffekte zur Folge haben kann.

Wenn du dann doch diesen Weg gehen willst musst du erstmal alle möglichen Kommunikationsbeziehungen aller Geräte untereinander heraus finden, also Protokolle und Ports und das in die Firewallregeln einpflegen.
Schwieriges Thema, selbst bei angeblicher "Enterprise" Software scheitern manche Hersteller schon daran, so eine vernünftige Kommunikationsmatrix direkt bekannt zu geben.

 

[BoeserBrot]

@snaxilian Welche Einstellungen in der CLI muss man vornehmen für IPv6?

Ergänzung (22. Januar 2021)

Der Nutzen von VLAN für IoT-Geräte in einem separaten Netz hält sich meines Ermessens auch in Grenzen.

 

[Binalog]

Ein chinesischer Staubsauger hierzulande über WLAN verbunden mit, ...ähm, was eigentlich?

Die Überschrift des threads ist m. E. gut gewählt.

"Das Einfachste ist nicht immer das Beste, aber das Beste ist immer einfach!"

 

[snaxilian]

@BoeserBrot:

[...] Ausflüge auf die CLI oder tiefgreifende Settings.

Besser verständlich für dich und bevor der nächste etwas anmerkt: Ja, das gilt nicht pauschal für alle Ubiquiti Geräte und/oder für jedwede FW-Version. Aber jedes Mal wenn ich mir alle 6 Monate Ubiquiti ansehe ob die nicht doch ggf. in Frage kommen dann ist es immer noch so^^

 

[Lutscher]

Wenn du Entertain nutzt wird es mit Ubiquiti Bastelei. Da alle USGs kein IGMPv3 beherrschen...

 

[herrpiefke]

Also die Antworten finde ich schon richtig gut. Es bewahrheitet meine Befürchtungen schon immer mehr.
@snaxilian vollkommen richtig, der 1000 Thread zu diesem Thema - zeigt aber auch, das hier Potentialie liegen die bis heute weder auf Consumer noch Prosumer Seite zu lösen sind. Die Geräte von Ubiquiti scheinen hier auch nicht die eierlegendewollmilchsau zu sein (soweit ich weiß bspw. Kein dns over tls oder anscheinend das Problem mit dem igmp, was ich hier so lese).
Selbstredend habe ich mich bereits schon etwas in die Materie eingelesen und bin auf Threads gestoßen in denen klar gesagt wird, das eine Unterteilung der IoT Geräte nicht wirklich funktioniert. Und ich glaube genau hier muss man sich überlegen was doch der persönliche grad an bequemheit ist. Bspw mein chinesischer saubsauger @Binalog gemeint ist ein roborock s5 Max. Der funkt über das 2,4ghz und sendet die Daten in die cloud. Er ist per app vom smartphone steuerbar, in meinem Fall noch per Homebridge die aber auch nur eine Verbindung zum Xiaomi Server aufbaut. Oder halt per Knopfdruck am Sauger. Bin ich also bereit auf die Optionen 1 und 2 zu verzichten, kann ich das Gerät auch einfach in das Gäste wlan der FritzBox packen und habe Ruhe (es wäre tatsächlich auch nur der Sauger, der mich primär im aktuellen wlan Netzwerk stört, alles andere genießt den Status „Safe“ bspw iPhones und iPads). Was ich damit sagen will, ich möchte vermeiden mit Schrot auf Spatzen zu schießen, denn ich bin weder besonders vermögend noch interessant genug, dass es sich lohnt mein Netzwerk zu infiltrieren.
Aber dennoch steigt ja auch mit der Anzahl der Geräte exponentiell die Gefahr und vor allem ein (wahrscheinlich irrational) persönliches Unbehagen. Andersherum versuche ich schon drauf zu achten was ich da kaufe und welche Firma respektive Software und Update Politik ich mir da ins Netz hole. Bspw. Käme es mir nicht in den Sinn meinen Fernseher ins lan zu stecken wenn ich dort ein Apple TV angeschlossen habe der das alles kann und noch mehr (ich vertraue also Apple bei dem Thema Sicherheit und Update Politik mehr als LG für tv xyz126362837).
Ein schwieriges Thema. Ich hatte gehofft mir mit der USG ein wenig mehr Sicherheit und administrationsfreiheit in das heimnetz zu holen aber die Einstellungen scheinen dann auch nicht trivial zu sein? Würde mir doch erhoffen, damit wenigstens mein VLAN etwas logischer zu trennen.

ich hoffe ihr versteht was ich meine. Wenn ich mir jetzt ein Netzwerk Monster schaffe was ich selber hinterher nicht verstehe nur um meinen Staubsauger und meine Lampen mehr in Schach zu halten, dann ist doch irgendwas falsch oder 😂

 

[BoeserBrot]

Konsequent ist es doch sich nur Geräte ins Haus zu holen, denen man auch vertraut oder man muss nachträglich eine andere Firmware aufspielen. Dadurch wird die Trennung von Netzwerken mittels VLAN gar nicht erst nötig.

Wenn das nicht möglich ist, dann kannst du Geräte wie den Staubsauger durchaus mit einem VLAN und einer entsprechenden Firwall-Regel im Router von deinen anderen Geräten abschirmen. Über die Xiaomi-Cloud kannst du dann immer noch mit dem Sauger kommunizieren.

Beides ist allerdings mit Aufwand verbunden und ob für dich Aufwand und Nutzen im richtigen Verhältnis stehen, musst du für dich entscheiden. Wenn du Lust hast ein Projekt anzufangen und Freude daran hast dich mit Netzwerken zu beschäftigen, dann würde ich sagen "los geht's". Wenn das einzige Problem ist, dass dein Staubsauger dir verdächtig vorkommt, dann würde ich sagen bleibst du womöglich lieber beim Status Quo, schließlich kostet neue Hardware auch Geld.

 

[[AlphaRC]Eraser]

Moin,

Aus deinem letzten Post lese ich raus, dass das hauptproblem der Roborock ist, richtig?

Hast du diesbzgl. schonmal drueber nachgedacht den Robo einfach zu rooten sodass er nicht mehr nach Hause funkt?
Das geht relativ easy mit ValetudoRE und habe das bei meinem S5 auch gemacht.

Dann hast du vielleicht ein Problem weniger und musst nicht das ganze Netzwerk umkrempeln;-)

 

[herrpiefke]

@BoeserBrot du hast es ja auf den Punkt gebracht und mich bestätigt. Immerhin ist es so, dass selbst wenn ich im Intranet übergreifende Rechte habe, indem ich diese eben nicht logisch via VLAN's trenne, so müssen ja immer noch für die meisten Geräte ein Passwort eingegeben werden, bspw. für den Nas oder für den Raspberry. Sicherlich kann man aber viele andere Schweinerein machen wie Netzwerkverkehr mitlesen oder was auch immer man möchte...

Der Staubsauger wäre jetzt mal sicherlich das Produkt, welchem ich am wenigsten traue. Aktuell hängt er in meinem Gastnetz der Fritzbox wo er nichts kaputt machen kann, aber leider kann ich so nicht mehr mit der Homebridge zugreifen, die im normalen Netzwerk hängt. Hier wäre es dann schon genial beide miteinander zu verheiraten.
ValetudoRE ist mir übrigens bekannt und steht auf meiner to-do Liste. Ich muss aber sagen das der Sauger über die Xiaomi Cloud recht gut läuft.

Mich würde interessieren, welche Einschränkungen ich mit der Unify Security Gateway und einem Glasfaseranschluss-Telekom-MagentaTV habe. Dieser scheint mir doch ein günstiger Einstieg, um mit meiner jetzigen Hardware mal ein wenig tiefer in den Bereich VLAN(routing) einzusteigen? Ich lese das MagentaTV sportlich ist (aber nicht unmöglich, wobei der Weg dahin schreckt mich ab). Andernfalls habe ich aber nicht den Telekom Receiver sondern spiele die einzelnen Streams im Apple TV. Ebenfalls lese ich immer wieder mit Problemen zum Thema IPv6? Was hat es da mit auf sich? Wie schaut es mit DNS over TLS/https aus?