Da ich nach dem Vertragsabschluss schon über 2 1/2 Jahre auf Glasfaser warte und noch nicht einmal eine Hausbegehung stattgefunden hat habe ich derzeit noch VDSL(2) in 100 mbps down und 20 mbps up.
Als Modem fungiert eine gerootete 7490 von AVM / Fritz! hinter der über "
Exposed Host" eine ARM-Firewall mit openWRT (
FriendlyElec NanoPi R4S 4GB RAM mit RK3399) läuft. Auf dem R4S sind einige Module installiert die das Leben im Internet sicherer und bequemer machen.U.a. adblock (mit vernünftiger Auswahl der Blocklisten) und ping zum 1. IP hop des Internet-Providers mit logging und Benachrichtigung. Sichere und verschlüsselte DNS-Server ohne Zensur. Echtzeit-Analyse und Warnungen. Mögliches (aber derzeit ungenutztes) failover per USB 4G huawei root Modem.
Hinter der Firewall habe ich für die Telefonie ein kabelgebundenes (PoE / Power over Ethernet) VoIP-Telefon laufen, das nur Zugriff zum VOIP-Stack der Fritz!Box Zugriff hat. Die Telefonie-Funktion der Fritz!Box ist (leider) so gut und bequem, das ich darauf nicht verzichten wollte und Asterisk wäre für mein eines Telefon (das ich kaum benutze) und evtl. ein Linux-Softphone overkill.
Für WLAN hängt am lüfterlosen 2,5GB/s PoE-Switch ein WiFi6 Access-Point von AVM/Fritz!, der Repeater 1200 AX. Kein mesh, da ich WLAN hauptsächlich nur fürs Handy und für den Raumluftsensor (AirGradient One) zu Hause nutze.
Im (verkabelten RJ45) LAN hängt ein leiser Windows 11 PC rein zum Zocken (AMD Ryzen 7600X3D, 32GB DDR5 6000 CL28 R1 RAM, Nvidia RTX 4060 low profile, undervolted und underclocked, 2560x1080 34").
Ein Linux-PC (Ubuntu) für alles andere (AMD 7840HS undervolted max 35W/75°C in einem ITX Aluminium-Passiv-Kühl-Gehäuse, 48GB DDR5 5600, integrierte Grafik, 1920x1080 34") u.a. auch als NAS (USB drives), Print-Server (USB Laser), Scanner, Faxserver, Softphone, Matrix-Client, Media-Center (sogar noch mit nie genutzten BluRay Brenner) mit ordentlicher homebrew-Sound-Anlage (450W Class-D AMP, 2x300W gute Standboxen, plus 450W aktiv-Sub) dahinter.
Ein weitestgehend abgesichertes Handy mit Android, insofern man überhaupt davon sprechen kann so was absichern zu können (force DNS over IPv4 nur über eigenen Server auf der Firewall möglich und somit nicht an den blocklisten vorbei, deny DNS over IPv6, interner tracker control mit Abschiebung in VPN=Null, apps hauptsächlich über F-Droid). Viel zu viel Aufwand, da verschlüsselter Traffic über random port oder HTTPS trotzdem vorbei geht. Aber besser als nix gemacht.
Ein Linux-Handy das man nicht als daily driver verwenden möchte. Schade. Viel verschenktes Potenzial.
Je nach Bastelprojekt weitere Geräte. Über DHCP mit zugesicherter IP per MAC. Traffic-Freischaltung für neue MAC's nur manuell.
Kein Internet-Browser ohne adblock, cookie blocker und shredder, trace-blocker und Canvas-Spoofer.
Alternative Clients wenn möglich für Datenkraken-Services wie z.B. Youtube oder Twitch. Keine social-media Konten bei Datenkraken (ja, ich bin alt und habe seit den 80/90ern die Internet-Entwicklung als Erfahrung) und dort alle Daten löschen lassen. E-Mail services aus der EU, für die man etwas zahlen muss aber immerhin einen Rechts-Rahmen bekommt der gut klingt.
Eine Homepage auf der mein Name mit einer E-Mail-Kontaktmöglichkeit und privatsphäre-freundlichen Messengern (schlecht maschinen-lesbar als Bild) steht, mehr nicht. Das als einziger auffindbarer Hinweis im Netz auf meine Existenz in Suchmaschinen und Verzeichnissen (moderne AI fügt aber mit Leichtigkeit 1 und 1 zusammen und findet mich mit falschen Ergebnissen von vor 20 Jahren die ich schon zig mal habe löschen lassen).
Seit mehreren Jahren keinen Eintrag auf
shodan und anderen Sites die das gleiche machen. Keine offenen Lücken bei
haveibeenpwned. Keine offenen Lücken oder mehr Angriffsoberfläche als nötig bei regelmäßigen Eigen-pentests festgestellt. Überall wo möglich
Multi-factor authentication oder die Nutzung meines
FIDO (Fast IDentity Online) sticks.
Die Nutzung eines Passwort-Managers der sicherheitstechnisch gut abschneidet.
Kopf an und Konzentration bei Dingen die Phishing sein könnten.
Backups! Mit großem Ausrufezeichen.
============
Sollte der Wechsel zu Glasfaser sich endlich mal weiter bewegen habe ich auch schon für Hardware gesorgt. Dafür habe ich mehrere für Deutschland gängig kompatible GPON SFP-Glasfaser-Module die mit down 2.4 Gb/s und up 1.25 Gb/s Datenrate GPON voll ausschöpfen können und bei denen man die Seriennummer und PLOAM Kennung händisch konfigurieren kann (siehe "hack GPON" / u.a.
ODI Realtek DFP-34X-2C2 und
Anime4000 / Anime4k firmware bei github oder ein
Modell von FS). Diese stecken in einem
Medienwandler zu 2.5GB/s Ethernet der auch HSGMII (für das GPON-Modul) unterstützt.
Als Router und Firewall hinter dem Glasfaser-Modem und für PPPoE und eventueller VLAN-Tag in Richtung WAN ist entweder ein
FriendlyElec NanoPi R6S (8GB RAM) oder ein
NanoPC T6 (LTS) (16GB RAM) vorhanden. Damit kann ich mich entscheiden ob ich bei der bisherig bestehenden WLAN-Lösung mit dem Access Point bleibe oder direkt mit einem WiFi7-Modul (
Mediatek mt7925, funktioniert größtenteils schon per open source treiber unter Linux als AP / Access Point) das im NanoPC T6 eingebaut ist WLAN verteile.
Ich habe mich für diese Lösung entschieden, da beide Geräte einen (relativ stromsparenden 2-8W) Rockchip (RK)3588 nutzen, bei dem schon die meisten Funktionen "open source" und im Linux upstream sind und ich somit, wie auch beim VDSL mit dem R4S (der auch mit RK3399 inzwischen 99% softwareseitig open source ist) openWRT verwenden kann. Und weil die neueren (R6S / PC T6) 2,5GBit/s und somit auch nahezu die volle Bandbreite von GPON unterstützen.
Warum für Glasfaser kein Provider-Modem? Einfache Antwort: kein Gerät mit Zugriff auf mein LAN bei dem ich nicht weiß und keinerlei Kontrolle habe was darauf läuft und über TR69 gemacht werden kann was halt darüber geht und wichtige Sicherheits-Updates alle Schaltjahre kommen, und 2., und das ist für mich auch wichtig, kein doppeltes NAT **geändert: scheinbar ist doppeltes NAT in Deutschland bei einigen oder mehreren Providern weniger das Problem. So, zufrieden?
Wer es einfacher will kann sich natürlich eine Fritz!Box fiber öffnen. Nur gingen die Firmen- , Produkt- und Firmware-Entwicklungen die letzten Jahre bei AVM (jetzt Fritz!) nicht wirklich in eine offenere sondern eher in eine geschlosssenere Richtung. Und openWRT ist zwar für den Normalverbraucher klar komplizierter als eine Fritz!Box, aber mit etwas Zeit zum Einlesen kommt ein findiger Mensch damit auch zurecht.
Wer mehr erfahren möchte, in der Suchmaschine deines Vertrauens mal "Hack GPON" eingeben und auf die Links in diesem Thread achten und weiter recherchieren.
