IOT-Knast fürs Smarthome: Was kann die Fritzbox? VLAN/Subnetze/DMZ Lösungen?

[Raijin]

Du sagst aber mit statischen routen kann man die Fritzbox auch gut als Modem nutzen?

Nein. Die Fritzbox kann man in keinem Fall mehr als Modem nutzen. Ein Modem ist "nur ein Telefonhörer" und wählen muss jemand anders.

In dem von mir beschriebenen Szenario wählt die Fritzbox sich aber nach wie vor selbst mit ihrem eigenen Modem ein und bleibt ein stinknormaler Internetrouter. Durch eine statische Route in der Fritzbox kann man jedoch eine Route in ein Netzwerk hinter einem zweiten Router setzen und somit benötigt dieser zweite Router eben kein NAT mehr an seinem WAN-Port, weil die Verbindung Fritzbox <-> ZweitRouterNetzwerk über die statische Route geregelt ist.

 

[majusss]

Hier die einfachste Lösung: https://en.avm.de/service/knowledge...tricting-internet-use-with-parental-controls/

 

[snaxilian]

@majusss Du hast das Problem nicht vollständig verstanden.
Ja, der IoT Schrott soll ggf. vom Internet abgeschottet werden. Das klappt mit deinem Vorschlag. Zusätzlich soll aber der IoT Kram nicht unbedingt auf andere Geräte (NAS, PCs, etc.) zugreifen können. Ein Gerät mit deiner vermeintlich einfachsten Lösung kann trotzdem weiterhin auf Layer 2 im eigenen Subnetz kommunizieren wie es möchte.

 

[Hans Meier620]

@Loading--------
Ich hab das Thema gerade mit der Fritzbox durchgemacht.
Ich rate dir ab, eine FB zu benutzen.
Sie kann kein richtiges VLAN sonder stellt nur Regeln auf.
Aber das größte Problem ist, dass sie nicht alles kann, was drauf steht und schon gar nicht gleichzeitig.

Man darf zum Beispiel nicht die Fritz APs per Switch mit der FB verbinden. Damit kommt Sie nicht klar. Man muss jeden AP direkt an die FB tun. Das heißt es bleiben maximal 4 APs und eine Switch für die Fritzbox.
Die ganze switching Kapazität leistet dann die FB und das ohne 2.5gbit.....
Wenn man das Mesh benutzen will, muss die FB der Meshmaster sein mit eingeschalteten WLAN.
Wenn man mehr als 2 Nummern verwalten will, muss die FB die Telefonstation sein.

Beachtet man davon irgendetwas nicht oder möchte viele Sachen gleichzeitig nutzen, überhitzt das blöde Teil und wird total langsam oder fällt aus (ohne Warnung oder Information).

Wir hatten hier viele Fritz Produkte und haben darum drauf gesetzt.

Wenn ich aber von 0 anfange, 2 APS und VLAN möchte, würde ich schon nicht mehr zu Fritz greifen.

 

[Loading--------]

@Raijin wow danke für den ganzen Input! Den EdgeRouter X werde ich mir näher anschauen weil Mikrotik ist mir mit seinem RouterOS etwas komplex da müsste ich wahrscheinlich immer wieder nen Bekannten nerven der beruflich viel mit Mikrotik arbeitet. Denke Ubiquiti ist etwas einfacher zu managen.

 

[Raijin]

Die geben sich aber beide nicht so viel. Zwar ist die GUI der EdgeRouter nicht so voll wie die von MikroTik, aber das bedeutet eher, dass man ab und an auf die Kommandozeile runter muss, wenn man Dinge konfigurieren möchte, die nicht in der GUI sind. Für "normale" VLAN-Szenarien ist das aber nicht nötig.

 

[Loading--------]

Hier die einfachste Lösung: https://en.avm.de/service/knowledge...tricting-internet-use-with-parental-controls/

Ne das bringt mir nix, die Dinger müssen teilweise in ihre Cloud raus um richtig zu funktionieren und brauchen somit Internet (Alexa Skills sind cloudabhängig z.B. und der lokale Homeassistant versteht noch nicht alle Alexa-Anfragen um alles darüber zu machen) Klar ich könnte alle Lampen (bei Stromleisten wirds schon gefährlich bin kein Elektriker) etc aufreißen, Firmware flashen und Zeugs dranlöten damit die Dinger komplett vom Hersteller abkoppeln und 100% lokal steuern aber das tue ich mir nicht an. Soll IOT ihr eigenes Netz kriegen und gut ist, mehr als Lichtfarbe meiner Lampen können Angreifer dann nicht ändern. Nur auf diesem Wege Daten vom NAS usw. ziehen soll nicht möglich sein.

 

[M-X]

EdgeRouter X kann auf der UI auch nur Basis Zeug und das auch nur mehr schlecht als recht. Wenn du mehr machen willst musst du wohl oder übel in die CLI.

Da es dir ja augenscheinlich um Sicherheit geht wäre ich auch mit Ubiquiti vorsichtig. Die Edgerouter haben zwar noch keinen Cloud zwang, aber Ubiquiti hat sich ein Sachen Security in letzter Zeit nicht mit Ruhm bekleckert. Siehe Cloud Hack oder Fraggattack Thematik. Würde ich mir gut überlegen ob das Ding dein Tor zum internet sein soll.

 

[Loading--------]

Huch, interessant. Schön wäre ne Balance aus anwenderfreundlich und sicher, aber sicher und bequem schließen sich ja bekanntlich aus.
Vom Speedport Smart 3 der nicht mal manuelle IP-Zuweisung im DHCP kann direkt zu Mikrotik wechseln das wird ein One-Man Google-DDOS werden

 

[M-X]

Ja das ist der "Nachteil" wenn man in den Semi Professionellen Bereich geht. Da wird nicht mehr soviel wert darauf gelegt alles zu erklären und mit Wizards zu vereinfachen. Man geht davon aus das jemand der VLANs anlegen will und sich mit Subnetzen auseinandersetzt schon einiges in der Materie versteht. Ein Open-WRT/DD-Wrt könnte noch eine Alternative sein. Da ist noch sehr viel über die UI zu lösen.

 

[GrumpyCat]

Schön wäre ne Balance aus anwenderfreundlich

Was heißt denn "anwenderfreundlich" im Zusammenhang mit nichttrivialen Dingen wie komplexer Netzwerkkonfiguration, um die es hier wohl geht? Ich finde Konfigurationsdateien (zu denen man im Netz haufenweise Doku findet) da allemal handhabbarer als Web-UIs mit zwanzig Bildschirmseiten Checkboxen ohne Doku, völlig unklarem Zusammenspiel und meist auch noch vielen Bugs.

 

[Loading--------]

@GrumpyCat hast wohl recht, das ist dann evtl sogar schneller wenn man alles über Konsole macht. Bin halt Windows mit seiner clicki-bunti GUI eher gewohnt als Linux-Konsole und dort kann man Dinge normalerweise nicht so schnell zerschießen wie config-files manuell zu bearbeiten.

 

[GrumpyCat]

Ich behaupte das Gegenteil. Von Konfigurationsdateien habe ich ein Backup und kann diff oder sogar git zur Verwaltung benutzen, bei einer UI weiß ich im Mittel nicht, was ich gemacht habe, und erst recht nicht, was gestern eingestellt war...

 

[Raijin]

Ubiquiti hat sich ein Sachen Security in letzter Zeit nicht mit Ruhm bekleckert

Ersetze Ubiquiti mit einem beliebigen anderen Hersteller, setze den Zeitrahmen entsprechend und der Satz ist allgemeingültig. Ich gebe dir Recht, dass die aktuellen Änderungen im Unifi-Bereich bezüglich Cloudzwang - die bis dato jedoch nur den CloudKey betreffen und keine selbst gehosteten Controller - grenzwertig sind. Auch das jüngste Sicherheitsproblem ist sehr unschön, aber wie gesagt, es betrifft alle, irgendwann. Selbst der Platzhirsch Cisco, der ja nu mal weit weg ist vom semiprofessionellen Bereich, war schon mehrfach in der Presse wegen Sicherheitslecks. Ich erinnere mich da noch vage an einen Vorfall vor ein paar Jahren, bei dem rauskam, dass es eine unverschlüsselte Service-Schnittstelle mit Standard-Login gab. Die genauen Details weiß ich nicht mehr und ich suche das jetzt auch nicht raus, weil es im Prinzip auch egal ist.

Würde man auf jede dieser News so reagieren, dass man diesen Hersteller fortan meidet, hätte man kaum noch "kaufwürdige" Hersteller übrig. Sicherheitslecks entstehen und sie werden (hoffentlich) rechtzeitig gepatcht.

 

[M-X]

Sowas kann jedem passieren keine Frage, gerade aber bei den Cloud Hack haben sie es bisher schön heruntergespielt und es ist noch gar nicht alles aufgeklärt. In Verbindung mit dem Cloud Zwang (Dream Maschines brauchen zum einrichten immer Cloud) hat das schon einen Faden Beigeschmack. Auch haben sie sich nach wie vor nicht zu der Fraggattacks Sache geäußert obwohl das schon von vielen anderen gefixt wurde. Ich sage nicht "kaufe die nie wieder", ich finde nur man sollte das schon mit betrachten da sich hier ein Trend abzeichnet.

Es ist eine Sache eine Sicherheitslücke zu haben, die andere ist wie man dann damit umgeht.

 

[till69]

@Loading--------
Besorg Dir für 5-10€ bei kleinanzeigen einen OpenWRT Router (z.B. FB 7412 / 7362SL) und probiere die Bridge-Firewall.
Reicht vollkommen, um ein paar IOT Devices die LAN-Verbindungen zu blockieren.

 

[Loading--------]

Reicht vollkommen, um ein paar IOT Devices die LAN-Verbindungen zu blockieren.

Aha, also 7362SL lässt sich auf OpenWRT flashen,. was bridge firewall ermöglicht. Der VDSL2 Modem da drin unterstützt aber leider kein Supervectoring 35b für den Telekom 250er Anschluss und das verbaute WLAN hat kein 802.11 ac was ich mindestens fürs Hauptnetz brauche. Brauch ich also Supervectoring-Modem und nen schnellen WLAN AP dazu... Damit sind die Funktionen bis auf das Routing irrelevant und reiner Router mit pfSense/OpenWRT/RouterOS/Unifi tut's auch.
Wie beschrieben laufen die ganzen Smarthome-Geräte über 2,4 GHz WLAN.

 

[till69]

@Loading--------
Die OpenWRT Kiste kommt hinter Deinen aktuellen Router Und hat gutes 2,4er WLAN für Deine IOTs.

 

[Loading--------]

Achso ja den gemieteten Speedport zum Modem degradieren ja das kann man sich überlegen ob sich's lohnt auf Dauer. Als Router will ich den Smart 3 definitiv ablösen, der taugt einfach nix nur das WLAN ist ganz gut. Deswegen mindestens durch ne Fritzbox ersetzen oder eben Modem+Router+AP getrennt kaufen für das Vorhaben.

 

[till69]

Als Router will ich den Smart 3 definitiv ablösen

Dann besorg Dir eine 7530AX (gerade für 100€ zu haben) und eine OpenWRT Kiste (z.B. hier) für den IOT Kram.