Neues Konzept mit Mikrotik CRS Switch / RouterOS, Fritzbox, VLAN, etc.

[linuxnutzer]

Ich überlege mir wie ich mit dem neuen Mikrotik CRS326-24G-2S+IN das Netzwerkkonzept verändern soll.

Primäre Überlegung ist aber, wie möglichst viel noch funktioniert, auch wenn der Mikrotik ausfällt, außer es gibt sehr gute Sicherheitsgründe dafür den Mikrotik einzubinden. Da ich eine private Fritzbox habe, wird es als Reserve eine Fritzbox vom ISP geben, zwar ein schlechteres Modell, aber besser als nichts. Es wird einen neuen ISP im Sommer geben.

Ich habe versucht die Situation etwas darzustellen, aber ohne detaillierte Endgeräte, sollte egal sein und die Performance spielt keine Rolle, reize ich sowieso kaum aus,

Es gibt da also eine Fritzbox 6890 mit 5 LAN-Ports, da ich WAN nicht brauche. Internetanbindung wird VDSL2 mit vermutlich 50Mbit werden.

An dieser Fritzbox hängt 1 Netgear R7800 (OpenWRT) verbunden via Kabel zum jetzigen Switch (sollte in Zukunft Mikrotik sein), der hat am meisten zu tun. Der ist auch Master für die Wireless Bridge, die ich erwähne, aber da keine Kabelverbindung, hier nicht näher berücksichtigt werden muss.
Neben Wireless-AP wird der Netgear auch als Switch für TV und andere Multimedia-Geräte verwendet.

Dann hängt an der Fritzbox noch ein Archer C7 (OpenWRT) via Kabel zu einem anderen Teil des Hauses
Der C7 ist wieder Wireless AP und Switch für TV, etc.

Weiters hängt an der Fritzbox noch ein Archer C7 (OpenWRT) via Kabel für das Gastnetz / IOT. Im Gastnetz hängt ein Mini-PC für IoT (im Aufbau) und dieser C7 ist AP für Steckdosen, Waschmaschine, etc.

Ich denke das soll so bleiben, dann gibt es keine Probleme wenn der Mikrotik ausfällt. Kommunikation / Austausch ins Gastnetz ist nicht zwingend notwendig, mache ich über WLAN und ein Notebook, aber ganz selten

Bleiben also die beiden Switche, (2 Netze) die ersetzt werden wollen für den Mikrotik. Verwendet werden soll Router OS.

Da es um 2-3 Netze geht, wird es ohne VLAN nicht gehen.

Einerseits gibt es das Standard.Fritzbox-Netz mit 192.168.178.x und dann gibt es das PC-Netz mit 192.168.2.x

Es gibt einen PC / Server mit 3 NICs:

NIC intern: 192.168.178

PCI-NIC 1: 192.168.2

PCI-NIC 2: unbenutzt

Die Client-PCs sind alle in 192.168.2.x (2er.Netz) und können nur in das Internet, wenn der Server-PC eingeschaltet ist bzw. an PCI-NIC 1 ein Kabel angeschlossen ist. Das ist bewusst so gewollt. So muss man auch noch den Linux-Server überwinden um an die Clients zu kommen.

Hier stelle ich mir vor ein VLAN zu erstellen, und zwar untagged. (alles möglichst simpel, ich habe am Mikrotik viel mehr Ports als benötigt und auch Kabelverbindungen sind kein Problem, alle Geräte sind in der Nähe des Servers und der Fritzbox)

Die Frage ist, ob ich meine 3. NIC (= PCI NIC 2) zur ausschließlichen Konfiguration des Switches nutzen soll und somit ein 3. VLAN einrichten soll. Aus dem internen Netz gibt es von Usern vor Ort keine Gefahr.

Meine hauptsächlichen Fragen, sind also die, ob es dringend Bedarf für ein anderes Netzwerkkonzept gibt und wie ich die VLANs konzipiere. Den IP.-Bereich des Gastnetzes mit 192.168.179.x will ich nicht ändern, da müsste ich sehr viel umkonfigurieren.

 

[Nizakh]

So muss man auch noch den Linux-Server überwinden um an die Clients zu kommen.

Welchen Zweck soll das haben? Gerade letzteres klingt nach "Security" und ist erstmal nicht ganz plausibel. Wird auf dem Server irgendwas IDS/IPS-mäßiges gemacht?

Hier stelle ich mir vor ein VLAN zu erstellen, und zwar untagged. (alles möglichst simpel, ich habe am Mikrotik viel mehr Ports als benötigt und auch Kabelverbindungen sind kein Problem, alle Geräte sind in der Nähe des Servers und der Fritzbox)

Wenn es möglichst simpel sein soll, dann spricht vieles gegen RouterOS. ;-)

Die Frage ist, ob ich meine 3. NIC (= PCI NIC 2) zur ausschließlichen Konfiguration des Switches nutzen soll und somit ein 3. VLAN einrichten soll. Aus dem internen Netz gibt es von Usern vor Ort keine Gefahr.

Kann man machen, aber wir sprechen hier immer noch von einem Heimnetzwerk. Generell ist es natürlich nicht schlecht ein dediziertes Management-Netzwerk aufzubauen. Aber dazu braucht man nicht unbedingt einen dedizierten NIC. Man kann ja einfach aus einem anderen Netz routen und via Firwall entscheiden, welche Clients zugreifen dürfen.

 

[Groug]

Ein Server zum trennen von Netzen ist eine schlechte Idee, jeder zusätzliche Dienst ist ein Angriffspunkt.
Der CRS braucht kein extra Managment Netz. Parametriere ihn einfach das der Zugriff nur von einer internen Maschine möglich ist.
Und ganz ehrlich, von deinem ganzen Consumer Zeug ist der CRS wahrscheinlich das Gerät was als letztes ausfällt. Und das WLan würde ich sauber vom internen Netz trennen.

 

[linuxnutzer]

Und das WLan würde ich sauber vom internen Netz trennen.

Und genau das ist das Problem. Vermutlich kann man da mit einem managed Switch was verbessern. Genau deswegen habe ich das 2er-Netz hinter dem PC, das ist WLAN-frei. Der Server bietet nur interne Dienste an und von intern sehe ich wenig Gefahr, da ja nur die Familie zugreift.

Ich brauche unbedingt Dateienaustausch zwischen Server und Handys bzw. Enigma-Boxen. 2 Enigma Boxen (die wichtigsten) hängen an einem Wireless Bridged Router. Die Identifizierung erfolgt in der Regel über Keys, auch bei den Handys. Wobei kein Gerät sich zum Server verbinden darf, sondern nur immer der Server irgendwo hin.

Gerne Ideen dazu, wie man das klüger machen kann.

Und ganz ehrlich, von deinem ganzen Consumer Zeug ist der CRS wahrscheinlich das Gerät was als letztes ausfällt.

Statistisch gesehen mag es sein, im Einzelfall will ich aber möglichst das Netzwerk weiterhin nutzen können. Deswegen habe ich mir ja auch die FB 6890 gekauft. Falls der Bagger das Kabel durchtrennt, kann ich sofort auf LTE umsteigen. Blöderweise gibt es gerade immer dann was ganz wichtiges, wenn irgendwelche externen Dinge passieren, etc. Die Redundanz ist mir etwas Geld wert.

Der CRS braucht kein extra Managment Netz. Parametriere ihn einfach das der Zugriff nur von einer internen Maschine möglich ist.

Ich habe Ports im Überfluss. 1 2m Kabel zum Mikrotik ist kein Problem und einen NIC-Port habe ich frei. Kommt also darauf an, was simpler zu konfigurieren ist, vermutlich beides nicht sehr aufwendig.

Ein Server zum trennen von Netzen ist eine schlechte Idee, jeder zusätzliche Dienst ist ein Angriffspunkt.

Ok, aber wie schon geschrieben, Netzwerkdienste werden nur intern zur Verfügung gestellt. Da müsste man also die Fritzbox hacken. Das Motherboard hat zwar auch WLAN integriert, aber wenn die Antennen nicht aufgeschraubt sind, sieht man zwar das WLAN, aber es funktioniert nicht. Ich hatte kürzlich probiert das Handy 30cm neben die Antennbuchsen vom Mobo zu legen, klaptte erst, als ich Antennen anschraubte und normalerweise ist WLAN am Server auch nicht aktiv geschaltet.

Wenn es möglichst simpel sein soll, dann spricht vieles gegen RouterOS. ;-)

Ok, ich schau mal, ob ich es mit RouterOS schaffe.

Aber dazu braucht man nicht unbedingt einen dedizierten NIC. Man kann ja einfach aus einem anderen Netz routen und via Firwall entscheiden, welche Clients zugreifen dürfen.

Dann muss ich mir wieder Firewall-Regeln überlegen und wie schon geschrieben, es ist von der Hardware kein Aufwand, alles vorhanden.

Gerade letzteres klingt nach "Security" und ist erstmal nicht ganz plausibel

Es ist alles gewachsen und es wurden unmanaged Switch verwendet. An die PCs hinter dem Server (2er Netz) kommt man nicht per WLAN, auch ein Handy kann dahin nicht direkt verbinden.

 

[Groug]

Gerne Ideen dazu, wie man das klüger machen kann.

Sicher Router mit Firewall und sauber trennen. HEX S oder RB2/3/4011 sollten das leisten. Und dann kannst du sauber per Firewall den Spass trennen.

Ok, aber wie schon geschrieben, Netzwerkdienste werden nur intern zur Verfügung gestellt.

Du hast den Server als zusätzliche Schwelle zwischen zwei Netzen dargestellt, ich sehe da eher ein Sprungbrett ins andere Netz und jeder laufende Dienst ist eine Möglichkeit. Und er hängt zusammen in einem Netz mit deinem WLan. Das ist nicht wirklich intern.

 

[linuxnutzer]

Sicher Router mit Firewall und sauber trennen. HEX S oder

So ein MikroTik RouterBOARD hEX S (RB760iGS) um ca. 60€ ist sicher noch im Budget drinnen. Ich bin mir nicht sicher was du mit RB2/3/4011 gemeint hast, vermutlich Mikrotik-Router. Ich will auf keinen Fall was mit Rackmount, das ist mir viel zu groß. Gibt es da noch was kleines, maximal so groß wie der CRS326-24G-2S+IN

https://mikrotik.com/product/crs326_24g_2s_in

CPU	98DX3236
CPU core count	1
CPU nominal frequency	800 MHz
Dimensions	285 x 144 x 44 mm
RouterOS license	5
Operating System	RouterOS / SwitchOS
Size of RAM	512 MB
Storage size	16 MB
Storage type	FLASH

https://mikrotik.com/product/hex_s

CPU core count	2
CPU nominal frequency	880 MHz
CPU Threads count	4
Dimensions	113 x 89 x 28 mm
RouterOS license	4
Operating System	RouterOS
Size of RAM	256 MB
Storage size	16 MB
Storage type	FLASH

https://mikrotik.com/product/RB2011UiAS-IN

CPU	AR9344
CPU core count	1
CPU nominal frequency	600 MHz
Dimensions	214mm x 86mm for PCB
RouterOS license	5
Operating System	RouterOS
Size of RAM	128 MB
Storage size	128 MB
Storage type	NAND

Erst der RB2011UiAS-IN hat eine L5 Lizenz, dafür scheint der Hex S eine schnellere CPU zu haben. Ich finde aber 16GB relativ wenig bei Storage. Keine Ahnung ob man den Unterschie 600MHz zu 880MHz in der Praxis merkt.

Ich verstehe es nur noch nicht, wie du sauber WLAN und okales Netz mit FW-Regeln (iptables ?) trennen willst. Vielleicht kannst du das in wenigen Worten erklären.

Meinst du den Hex S an die Fritzbox anschließen, und den Switch an den HEX S?

Wieviel Ports sind dann am Hex S belegt? Der RB2011UiAS-IN hat nur 5 GBit-Ports, die anderen haben nur 100Mbit, brauche ich nicht bzw. kann ich eher nicht brauchen. Der einzige Vorteil ist die L5 Lizenz, die eine ganze Menge kostet: https://www.mikrotik-store.eu/de/mikrotik-routeros-level-5 Keine Ahnung, ob die Sinn macht, wenn der Switch L5 hat.

Der Hex S hat 5 Ports. Wieviel brauche ich? Bitte immer daran denken, ich muss über die Fritzbox ins Internet. Das Gastnetz werde ich wohl zumindest vorerst an der Fritzbox lassen, aber die Firewall sollte genügend Anschlüsse haben, um das später mal zu ändern.

Das ist nicht wirklich intern

Da hst du schon recht, es ändert sich alles im Laufe der Zeit. Früher hatte ich mal für jeden Dienst einen alten Linux.PC und die Firewall war auch ein eigener PC, aber der Stromverbrauch wird irgendwann zu viel und ich habe es dann reduziert.

 

[Groug]

Die Lizenz ist nicht so wichtig. Und der Speicher ist in der Regel groß genug. Du sollst ja keine Daten auf den Geräten speichern. Gemeint habe ich RB2011, RB3011 oder RB4011. Ich persönlich würde den HEX S oder den RB4011 nehmen.

Meinst du den Hex S an die Fritzbox anschließen, und den Switch an den HEX S?

Fritzbox -> Firewall dann jeweils ein Segment WLan, LoT, Lan und ggf DMZ. Und dann per Firewall nur das explizit freigeben was zwischen den Zonen notwendig ist und wer ins Internet darf und wer nicht.

 

[linuxnutzer]

Die Lizenz ist nicht so wichtig

Bei den Optionen / Einschränkungen sehe ich das auch so. Nach meinen Recherchen kann man mit L4 auf RouterOS 5 updaten, bei L5 auf RouterOS 6. Das könnte sicherheitsrelevant sein.

Ich persönlich würde den HEX S oder den RB4011 nehmen.

Der RB4011iGS+RM ist mir entgangen, weil da RM dabei steht, aber das Teil dürfte kleiner sein

https://mikrotik.com/product/rb4011igs_rm

CPU core count	4
CPU nominal frequency	1400 MHz
Dimensions	228 x 120 x 30 mm
RouterOS license	5
Operating System	RouterOS
Size of RAM	1 GB
Storage size	512 MB
Storage type	NAND

Ein Preis von > 160€ ist schon heftig, das sind über 100€ mehr gegenüber dem HEX S. Aber ich würde es noch nicht ausschließen. Ich habe schlechte Erfahrung früher mit Routern gemacht, die bei der Hardware sehr sparsam gebaut wurden.

Fritzbox -> Firewall dann jeweils ein Segment WLan, LoT, Lan und ggf DMZ

Meinst du mit LoT IoT oder verstehe ich die Abkürzung nicht?

Ich blick leider noch immer nicht durch, wie der Schutz funktionieren soll. Für eine sinnvolle DMZ bräuchte ich wohl noch eine Box?

Bitte bedenke, es gibt auch Wireless Bridged Router und jeder OpenWRT-Router, also auch die Wireless Bridges sind auch Access Point. Ich brauche die AP, da das WLAN von 1 Router nicht fürs ganze Haus reicht. Am meisten verwendet wird aber der verkabelte Netgear.

Wenn nun zB eine Enigmabox, die per Kabel an einem Wireless-Bridged-Router hängt, Files zum Server überträgt, was wäre das dann für eine FW-Regel? Wenn jemand die Enigma-Box (Linux) übernommen hat, dann ist er im Netz. Die PW sind in der Regel gut.

 

[0-8-15 User]

Die Lizenz spielt absolut keine Rolle.

Das könnte sicherheitsrelevant sein.

All Licenses:

• never expire ...
• offer unlimited software upgrades

Ich blick leider noch immer nicht durch, wie der Schutz funktionieren soll.

Du packst die verschiedenen WLANs in eigene Subnetze und definierst die Zugriffsregeln je nach Bedarf.

 

[Groug]

Bei den Optionen / Einschränkungen sehe ich das auch so. Nach meinen Recherchen kann man mit L4 auf RouterOS 5 updaten, bei L5 auf RouterOS 6. Das könnte sicherheitsrelevant sein.

ATM werde die Geräte mit RouterOS 6.x ausgeliefert. Vieles bezieht sich darauf wenn du RouterOS auf eigener Hardware nutzt.

Der RB4011iGS+RM ist mir entgangen, weil da RM dabei steht, aber das Teil dürfte kleiner sein

Ist er (Dimensions 228 x 120 x 30 mm) aber es sind größere Winkel bei um ihn in ein Rack zu montieren.

Meinst du mit LoT IoT oder verstehe ich die Abkürzung nicht?

Jup, Tipfehler.

Ich blick leider noch immer nicht durch, wie der Schutz funktionieren soll. Für eine sinnvolle DMZ bräuchte ich wohl noch eine Box?

Klassisch ja, aber du kannst an jedem Interface ein eigenes Segment aufmachen und dann per passenden Firewallregeln die DMZ abdichten.

Bitte bedenke, es gibt auch Wireless Bridged Router und jeder OpenWRT-Router, also auch die Wireless Bridges sind auch Access Point. Ich brauche die AP, da das WLAN von 1 Router nicht fürs ganze Haus reicht. Am meisten verwendet wird aber der verkabelte Netgear.

Die hängst du in ein eigenes Segment das nur über die Firewall ins Internet oder wenn nötig ins Lan kann.

Wenn nun zB eine Enigmabox, die per Kabel an einem Wireless-Bridged-Router hängt, Files zum Server überträgt, was wäre das dann für eine FW-Regel? Wenn jemand die Enigma-Box (Linux) übernommen hat, dann ist er im Netz. Die PW sind in der Regel gut.

Das kommt auf das Protokoll an. Ich würde das per ssh über einen anderen Port machen.
Ansonsten WLan ist nicht gerade sehr sicher. Bei mir kommt man aus dem WLan ins Internet, an meinen DNS und NTP Server. Rest ist dicht, bei Bedarf halt ssh an.

Also Beispiel:
forward connection-state=established,related allow
forward tcp quellip serverip port allow
forward wlannetz lannetz drop

Rest der nötig jeweils vor der drop Regel einfügen.

 

[linuxnutzer]

Du packst die verschiedenen WLANs in eigene Subnetze und definierst die Zugriffsregeln je nach Bedarf.

Alle APs liegen im Fritzbox-Netz, also 192.168.178.x

Vieles bezieht sich darauf wenn du RouterOS auf eigener Hardware nutzt

Aah, jetzt verstehe ich es, aktuelle Geräte werden sowieso mit Router OS 6 ausgeliefert.

Klassisch ja, aber du kannst an jedem Interface ein eigenes Segment aufmachen und dann per passenden Firewallregeln die DMZ abdichten.

Ok, da frage ich dann, wenn ich soweit bin. Am Mittwoch bekomme ich vermutlich den Switch, dann kann ich mich konkret mit Router OS beschäftigen.

Das kommt auf das Protokoll an. Ich würde das per ssh über einen anderen Port machen.

ssh / scp / rsync ist mit den Enigma-Boxen deutlich langsamer, da bin ich auf ftp umgestiegen, bei den Handys verwende ich rsync zum Dateien übertragen. Server am Handy ist https://play.google.com/store/apps/details?id=com.arachnoid.sshelper Aber ssh wird Google wohl in Zukunft unterbinden, stelle gerade fest, die Webseite des Entwicklers ist verschwunden.

Ansonsten WLan ist nicht gerade sehr sicher

Genau deswegen bin ich ja bereit noch was zu investieren. Trage mich schon immer mit dem Gedanken einer Hardware-Firewall.

Also Beispiel:
forward connection-state=established,related allow
forward tcp quellip serverip port allow
forward wlannetz lannetz drop

Du erlaubst also nur Datenübertragung zwischen der (bekannten) IP zB des Handys und dem Server. Wenn das Android-Handy also gekapert wurde, dann hilft mir die Firewall auch nichts, oder?

Was mir beim RB4011 noch nicht sicher klar ist.

https://mikrotik.com/product/rb4011igs_rm
RB4011 series - amazingly powerful routers with ...

Ich finde nur den RB4011iGS+RM

Verstehe ich es richtig, dass es eigentlich nur um ein Gerät mit Router OS geht, und ich den CRS genauso für die Firewall verwenden könnte? Der CRS bietet ja auch Router-Funktionalität. Was hat es für einen Vorteil ein Gerät aus dem Router-Bereich zu nehmen, wenn beide ca. gleich viel kosten?

Beim HEX-S irritiert mich noch immer der Speicher, die 16MB braucht Router-OS, somit bleibt kein Platz für Logs, etc, aber vielleicht kann man das auf eine SD-Karte auslagern. Der RB4011 hat keinen SD-Slot, der HEX-S schon.

Wo sind die Vorteile des RB4011 gegenüber dem HEX S. Nachteil beim RB4011 (edit) sehe ich den höheren Stromverbrauch.

https://mikrotik.com/product/rb4011igs_rm

Max power consumption	33 W
Max power consumption without attachments	18 W

https://mikrotik.com/product/hex_s

Max power consumption	24 W
Max power consumption without attachments	6 W

Wenn es Sinn macht, dann bin ich bereit die 100€ mehr für den RB4011 zu zahlen. Sicher bin ich mir auch nicht, ob die Ports beim HEX-S reichen. Ich blicke bei der Verkabelung noch nicht durch. Können das mehr als 2 Kabel am HEX-S werden? 1x zur Fritzbox und 1x zum Switch sind es auf jeden Fall. 1 Port ist reserviert, dann wären also vielleicht 2 Ports frei.

 

[Groug]

Du erlaubst also nur Datenübertragung zwischen der (bekannten) IP zB des Handys und dem Server. Wenn das Android-Handy also gekapert wurde, dann hilft mir die Firewall auch nichts, oder?

Handys dürfen nicht in mein Lan. Ansonsten setzt ssh immer noch ein Password voraus. Und selbst wenn wären alle anderen Verdindungen verboten. Bei dir wäre es im gleichen Netz wie alle anderen Geräte und es könnten alle möglichen Sicherheitslücken genutzt werde.

Ich finde nur den RB4011iGS+RM

RB4011iGS+5HacQ2HnD-IN der hat zusätzlich WLan.

Verstehe ich es richtig, dass es eigentlich nur um ein Gerät mit Router OS geht, und ich den CRS genauso für die Firewall verwenden könnte? Der CRS bietet ja auch Router-Funktionalität. Was hat es für einen Vorteil ein Gerät aus dem Router-Bereich zu nehmen, wenn beide ca. gleich viel kosten?

Weil die RB als Router gedacht sind und entsprechende Rechenleistung haben. Gerade wenn komplexe FIrewallregeln angewendet werden wird der CRS das nur mit Einbußen können. Die Rechenleistung von den RBs ist höher. Aber kleinere Sachen kannst du zur Not auch mit dem CRS machen.

Beim HEX-S irritiert mich noch immer der Speicher, die 16MB braucht Router-OS, somit bleibt kein Platz für Logs, etc, aber vielleicht kann man das auf eine SD-Karte auslagern. Der RB4011 hat keinen SD-Slot, der HEX-S schon.

Wo sind die Vorteile des RB4011 gegenüber dem HEX S. Nachteil beim HEX-S sehe ich den höheren Stromverbrauch.

Die Logs sind im Normalfall eh eingeschränkt. Wenn man die richtig nutzen will würde ich sie zu einen syslog Server schicken. Der RB4011 hat eine deutlich höhere CPU Leistung, einen SFP+ Port (10 GBit/s) und doppelt so viele Ports.

Können das mehr als 2 Kabel am HEX-S werden? 1x zur Fritzbox und 1x zum Switch sind es auf jeden Fall. 1 Port ist reserviert, dann wären also vielleicht 2 Ports frei.

Ein einziger Port zur Fritzbox (wir wollen ja eine Firewall nutzen), ein Port fürs Lan, ein Port fürs WLan und einer fürs IoT (W)Lan.

 

[linuxnutzer]

Handys dürfen nicht in mein Lan

Bei mir auch nicht. Genauer, der Server darf sich mit Keys zum Handy ohne PW verbinden, aber das Handy / anderes Gerät, darf sich nicht zum Server verbinden. Man kann ja immer scp oder rsync von der Quelle oder vom Ziel starten.

Ansonsten setzt ssh immer noch ein Password voraus

Ich denke Keys sind noch sicherer. Der SSH-Server am Handy(!) ist aber noch nicht so konfiguriert, dass eine Verbindung nur per Keys möglich ist und PW abgelehnt werden.

Bei dir wäre es im gleichen Netz wie alle anderen Geräte und es könnten alle möglichen Sicherheitslücken genutzt werde.

Ja eben, aber vielleicht kann man da noch was verbessern. Ich brauche rsync zum Handy. Das aktualisiert bestimmte Verzeichnisse am Server und kopiert sie auf das Handy, andererseits werden vom Handy bestimmte Verzeichnisse zum PC synchronisiert, wobei immer gegeben ist, dass das Handy nicht auf den Server zugreifen kann, nur umgekehrt.

Gerade wenn komplexe FIrewallregeln angewendet werden wird der CRS das nur mit Einbußen können

Ok, Das spricht also auch gegen den Hex S. Mein Bauchgefühl fürchtet, dass ich nach dem Hex S was besseres kaufen will.

würde ich sie zu einen syslog Server schicken.

Meinst du eigenen PC für Syslog, das finde ich overkill. Meine Syslogs am PC gehen über. Kann man mit RouterOS so was ähnliches wie "journalctl --vacuum-size=" machen? 512MB ist nicht die Welt, aber wenn man das packt? Kann man interne Mails versenden?

Ein einziger Port zur Fritzbox (wir wollen ja eine Firewall nutzen), ein Port fürs Lan, ein Port fürs WLan und einer fürs IoT (W)Lan.

Das verstehe ich auch noch nicht ganz. Ich habe da also zB einen meiner weiteren OpenWRT-Router zu dem führt genau 1 Kabel (vermutlich) vom Switch. Wie will ich da die 2 Netze trennen. Brauche ich dann auch VLAN am OpenWRT-Router und muss taggen?

Das mit IoT mag irgendwann kommen, das alles zu konfigurieren, wird sowieso dauern, IoT bleibt vorerst an Port 4 der FB.

Ich muss mir auch schon langsam überlegen, welche IP-Adressen ich verwenden soll und welcher DHCP-Server die IP-Adressen vergibt. Keine Ahnung was das für eine Katastrophe wird, wenn meine Geräte über andere IP-Adressen angesprochen werden. Da werden einige Scripts aussteigen, aber gut in meiner Naivität riskiere ich das mal.

Ich überlege mir die Verbindungen über die MAC-Adressen zu erlauben, wobei ich mir noch nicht klar bin, ob das mit den Handys klappt. Habe bei mir schon Handys gesehen, die regelmäßig die MAC-Adresse ändern um Tracking zu erschweren.

Schau gerade mal bei einem OpenWRT-Router nach was alles im FB-Netz liegt.

config/firewall:# option src_ip 192.168.45.2
config/firewall:# option dest_ip 192.168.16.235
config/firewall:# option src_ip 192.168.45.2
config/firewall:# option src_ip 192.168.45.2
config/network: option ipaddr '192.168.178.55'
config/network: option gateway '192.168.178.1'
config/network: option dns '192.168.178.1'
init.d/dnsmasq: # --dhcp-host=..:..:..:..:..:..,lap
init.d/dnsmasq: # --dhcp-host=lap,192.168.0.199,[::beef]
rc.d/S19dnsmasq: # --dhcp-host=..:..:..:..:..:..,lap
rc.d/S19dnsmasq: # --dhcp-host=lap,192.168.0.199,[::beef]

Also DNS und Gateway werde ich an 4 OpenWRT-Routern ändern müssen.

 

[0-8-15 User]

Nachteil beim HEX-S sehe ich den höheren Stromverbrauch.

Der HEX-S braucht weniger Strom.

Trage mich schon immer mit dem Gedanken einer Hardware-Firewall.

NRG Systems IPU672 + (pfSense oder OPNsense)

Brauche ich dann auch VLAN am OpenWRT-Router und muss taggen?

Nur wenn du mehr als ein Netzwerk pro Access Point aufspannen willst.

Also DNS und Gateway werde ich an 4 OpenWRT-Routern ändern müssen.

Das würde ich alles zentral in der Firewall / bzw. im Hauptrouter konfigurieren.

Keine Ahnung was das für eine Katastrophe wird, wenn meine Geräte über andere IP-Adressen angesprochen werden.

Dann wird es Zeit, dass du auf Hostnamen umsteigst und die Adressvergabe dem DHCP-Server überlässt.

 

[linuxnutzer]

Der HEX-S braucht weniger Strom.

Ja hast natürlich recht, hatte es falsch formuliert, aber oben die richtigen Werte zitiert. Der RB braucht 3x soviel Strom bei "Max power consumption without attachments", stellt sich nur die Frage was beide in idle brauchen.

NRG Systems IPU672 + (pfSense oder OPNsense)

Habe mittlerweile den RB4011iGS+RM bei meinem lokalen Händler bestellt. Der NRG ist mir zu teuer. Beim HEX s war ich mir nicht sicher, ob die Ports in der Zukunft reichen, könnte 1 zu wenig sein.

Nur wenn du mehr als ein Netzwerk pro Access Point aufspannen willst.

Hier muss ich noch nachhaken, weil ich es nicht verstehe. Da gibt es also einen Archer-C7-OpenWRT-Router, der WLAN-AP ist und einen Switch mit einer Enigma-Box im LAN. Dieser C7 wird nun mit dem CRS326 mit 1 Kabel verbunden.

Wie erkennt der CRS326 was nun vom Handy (WLAN) und was von der Enigma-Box (LAN) kommt?

Dann wird es Zeit, dass du auf Hostnamen umsteigst und die Adressvergabe dem DHCP-Server überlässt.

Das hatte ich schon mal, inklusive Alias-Namen. Ich weiß jetzt nicht mehr, was da letztlich Probleme machte, sodass ich auf IP-Adressen umstieg. Ich weiß mittlerweile die IPv4 Adressen größtenteils auswendig und komme damit gut zurecht.

 

[0-8-15 User]

stellt sich nur die Frage was beide in idle brauchen.

Der RB4011 braucht im Idle (nur Stromkabel dran) 7.5 W.

Der NRG ist mir zu teuer.

Ist aber auch nicht wirklich vergleichbar und war nur ein Beispiel, wie eine Firewall noch aussehen kann.

ob die Ports in der Zukunft reichen, könnte 1 zu wenig sein.

Du hast doch mehr als genug Ports am Switch und via VLAN kannst du die beliebig belegen.

Hier muss ich noch nachhaken, weil ich es nicht verstehe.

Der normale Weg wäre, sich erst die Theorie draufzuschaffen und dann die passende Hardware zu kaufen.

Wie erkennt der CRS326 was nun vom Handy (WLAN) und was von der Enigma-Box (LAN) kommt?

Indem der Router an dem Handy und Enigma-Box hängen, den Paketen, die zum Switch geschickt werden, einen der Quelle entsprechenden VLAN-Tag mit auf die Reise gibt.

 

[Groug]

Das verstehe ich auch noch nicht ganz. Ich habe da also zB einen meiner weiteren OpenWRT-Router zu dem führt genau 1 Kabel (vermutlich) vom Switch.

Falsch, der kommt an einen Port der Firewall. Ansonsten hast du die Netze ja nicht getrennt.

Ich muss mir auch schon langsam überlegen, welche IP-Adressen ich verwenden soll und welcher DHCP-Server die IP-Adressen vergibt.

Auch dafür würde ich die Firewall nutzen. Ändern würde ich da wo es den wenigsten Aufwand macht. In deinem Fall wahrscheinlich:

IP der Fritzbox auf 192.168.100.1

Firewall 192.167.100.2
192.168.178.1 WLan (ggf. 2 Port als Bridge und da das WLan vom Anbau ran)
192.168.179.1 IoT
192.168.180.1 Lan

Switch 192.168.180.2 und alle Netzgebunden Lan Clients an den Switch ins 192.168.180.0/24 Netz.

 

[linuxnutzer]

Falsch, der kommt an einen Port der Firewall. Ansonsten hast du die Netze ja nicht getrennt.

Vielen Dank, das war aber jetzt ein ganz wichtiger Hinweis, damit wäre der HEX S, die falsche Wahl gewesen. Ich muss also die 3 bis event. 5 vorhandenen Router (mit jeweils 1 Kabel) an die Firewall anschließen. Im Diagramm oben sieht man, dass ich 3 verkabelte Router habe und 2 Wireless. Die Umstellung von 1 Wireless auf Kabel ist schon von den Teilen vorbereitet. Der 5. Router ist etwas schwieriger zu verkabeln, aber nicht ausgeschlossen.

Indem der Router an dem Handy und Enigma-Box hängen, den Paketen, die zum Switch geschickt werden, einen der Quelle entsprechenden VLAN-Tag mit auf die Reise gibt.

Hast du bitte vielleicht noch ein paar Stichworte zum Recherchieren bzw. um Tutorial Videos anzusehen?

Muss ich somit für jedes mögliche Handy eine IP- oder MAC-Adresse definieren? Es können sich da relativ viele verschiedene Handys anschließen, zB um die 10-15, muss mal darüber nachdenken, wieviele Handys es in der Familie gibt.

IP der Fritzbox auf 192.168.100.1

Hmm, kann sein, dass das die einfachste Möglichkeit ist, ich hätte gerne, dass die IP der FB nicht geändert wird. Keine Ahnung, ob ein Update der FB die IP auf default zurücksetzt, vermute aber schon.

Ich versuche mal einen Vorschlag und ich hoffe, du bist mir nicht böse, wenn ich den von dir geposteten Vorschlag nicht gleich akzeptiere. Dein Vorschlag hat mir aber schon geholfen, einen eigenen zu erstellen. Kritik natürlich gerne willkommen.

Switch 192.168.180.2 und alle Netzgebunden Lan Clients an den Switch ins 192.168.180.0/24 Netz.

192.168.88.1/24 Switch - ist bei Router OS default. Warum sollte es nicht bleiben? Erspare ich mir eine Änderung.

192.168.99.1 Firewall (99 ist leicht zu merken)


Es war eine ziemliche Spielerei den TP-Link mit OpenWRT zu flashen und dann auf die Fritzbox abzustimmen. Dazu musste ich 2x die IP-Adresse ändern und dann die IP-Adresse eingeben, sodass nichts mehr funktionierte und danach das Stromkabel ziehen um einen Neustart zu erzwingen.

Die IP-Adressen der OpenWRT-Router kann ich nun vermutlich einmalig relativ leicht ändern, per ssh verbinden und mit vi die Konfiguration editieren und dann reboot. Danach brauche ich natürlich einen PC oder Notebook mit dem ich auf das neue Netz zugreifen kann.

Damit stellt sich schon die nächste Frage, welche Box DHCP Server ist bzw. ob es sinnvoll ist, wenn das weiter die FB macht. Ich habe bei OpenWRT DHCP einfach deaktiviert, damit im FB-Netz nur mehr die FB als DHCP-Server übrig bleibt. Im 2er-Netz war der PC-Server auch DHCP-Server, wobei da sehr viel statisch konfiguriert war. Vermute aber, dass das bei den VLANs mit der FB als DHCP-Server nicht möglich ist.

OpenWRT-DHCP config:

config dnsmasq
option domainneeded '1'
option boguspriv '1'
option filterwin2k '0'
option localise_queries '1'
option rebind_protection '1'
option rebind_localhost '1'
option local '/lan/'
option domain 'lan'
option expandhosts '1'
option nonegcache '0'
option authoritative '1'
option readethers '1'
option leasefile '/tmp/dhcp.leases'
option resolvfile '/tmp/resolv.conf.auto'
option nonwildcard '1'
option localservice '1'

config dhcp 'lan'
option interface 'lan'
option ignore '1'

config dhcp 'wan'
option interface 'wan'
option ignore '1'

config odhcpd 'odhcpd'
option maindhcp '0'
option leasefile '/tmp/hosts/odhcpd'
option leasetrigger '/usr/sbin/odhcpd-update'
option loglevel '4'

192.168.111.1 Lan 1

Wie kommst du auf 180, einfach von 179 hochgezählt? Ich kann mir 111 für LAN 1 vorstellen.

192.168.122.1 Lan 2

Das sind die Client-PCs, die an der PC-NIC hängen, die sollen ein eigenes Netz haben und bestens geschützt sein.

Switch 192.168.180.2 und alle Netzgebunden Lan Clients an den Switch ins 192.168.180.0/24 Netz.

Spricht was dagegen dem Switch einen eigenen Bereich zu geben? Gibt ja genug Adressen.

Die Client-PCs sollen ins Internet können, aber brauchen nur mit dem Server-PC und untereinander kommunizieren können. Ich bin mir nicht ganz sicher, aber ich vermute 2 PCs haben ein eigenes Kabel vom Patchpanel (nähe Router und Switch) in andere Räume und weitere PCs werden eigentlich nicht mehr genutzt, könnte aber wieder kommen. Bin mir nicht sicher, ob man die an die FW oder den Switch hängt.

192.168.133.1 Haupt-WLAN über die 3 OpenWRT-Router, wobei alle OpenWRT-Router im gleichen Netz sein sollen.

Ich hoffe, dass es kein großes Problem darstellt die IP-Adressen für das Haupt-WLAN zu ändern. Hauptsächlich sind das sowieso Handys, die die IP per DHCP bekommen, allerdings habe ich in der FB eine IP-Adresse vorgegeben, sodass es eigentlich statisch ist. Letztlich sollen die Handys über die MAC-Adresse eine statische IP bekommen. Statisch könnte man auch direkt am Handy konfigurieren, aber das ist dann umständlich, wenn man sich wo anders einloggt, das DHCP braucht. DIe Handys werden per Script über die IP-Adresse erkannt und ich muss dann einmalig die Variable im Script ändern.

192.168.178.1 WLan (ggf. 2 Port als Bridge und da das WLan vom Anbau ran)

192.168.178.1 DSL/LTE Gateway

Das WLAN der FB 6890 wird bis auf den Drucker nicht verwendet. Zum einen ist es ziemlich schwach, warum auch immer, Ich vermute irgendeine Störquelle. Zum Drucken reicht es gerade. Es ist mir wichtig, dass der WLAN-Drucker aus dem FB-Netz drucken kann. Ich konnte schon nicht mehr drucken, weil ich die OpenWRT-Router änderte und außerdem ist der Drucker etwas aufwendig nur über USB und WIndows umzukonfigurieren. Der Drucker wird extrem selten benötigt, 10x im Jahr können viel sein und dann ist der Inhalt fast öffentlich, zB Adress-Labels.

192.168.179.1 IoT

ok, das ist das FB-Gastnetz, an dem sich zur Zeit nichts ändern soll. Wenn ich es richtig verstanden habe, dann kann ich das später irgendwann an die Firewall anstecken und entsprechend konfigurieren.

Ich hätte ein Problem die IP-Adressen vom Gastnetz zu ändern, da ich die Steckdosen nicht umkonfigurieren will/kann und vor habe die mit alternativer FW zu flashen, ist aber nicht so einfach. Zum Ändern müsste ich ein SW-Update machen mit dem Flashen alternativer FW sicher nicht mehr geht, mit der vorhandenen vielleicht. Ok, sollen mir die Chinesen zur Zeit ein Gerät ein- oder ausschalten können, ist nicht wirklich schlimm und ist noch nie passiert, Nutzungsverhalten ist was anderes, aber auch nicht so tragisch, wenn die das wissen.

Ich hoffe, dass es bei meinem Vorschlag keine Kollisionen mit Default-IP-Adressen gibt, hatte ich früher schon und musste alles wieder umstellen. Aber so schnell kommt sowieso keine andere Hardware mehr dazu.

Du hast doch mehr als genug Ports am Switch und via VLAN kannst du die beliebig belegen.

Dank @Groug ist mir mittlerweile klar geworden, dass ich mehr als 5 Ports an der Firewall brauche. In meinem Kopf schwirrt irgendwie rum, je mehr VLANs, umso komplizierter wird es.

Der normale Weg wäre, sich erst die Theorie draufzuschaffen und dann die passende Hardware zu kaufen.

Mag sein, ich habe einige Testberichte und Videos zu Routern gelesen / gesehen und da ist die Meinung, dass die Software stark entscheidend ist. An anderer Stelle wurde ja schon geschrieben, dass Router OS zum Besten gehört. Ich vermute, dass die Empfehlung des RB4011iGS+RM ein sehr guter Vorschlag war, über irgendwas meckern kann man immer.

Ob was passend, über- oder unterdimensioniert ist, merkt man immer erst nach einiger Zeit im Betrieb. Nachdem bei mir Rackmount-Größe zumindest sehr problematisch ist, habe ich auch nur eine eingeschränkte Auswahl.

 

[0-8-15 User]

Hast du bitte vielleicht noch ein paar Stichworte zum Recherchieren bzw. um Tutorial Videos anzusehen?

Theorie:

• 802.11Q

Praxis:

• Using RouterOS to VLAN your network
• Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

das war aber jetzt ein ganz wichtiger Hinweis

Der falsch ist, da du zwischen Router / Firewall und Switch nur ein einziges Kabel als Trunk benötigst und dann alle weiteren Geräte am Switch angeschlossen werden können, ohne dass deswegen alle Geräte im gleichen Subnetz sein müssten. Stichwort: Router on a stick

192.168.88.1/24 Switch - ist bei Router OS default. Warum sollte es nicht bleiben?

Die Default-Konfiguration macht keinen Sinn, wenn du das Teil als Switch betreiben willst. Ich würde den Switch an deiner Stelle auf SwOS umschalten, bis du die Grundlagen verstanden hast. Die Lernkurve bei RouterOS ist extrem steil und ohne mehr Vorwissen halte ich es für nahezu ausgeschlossen, dass du eine vernünftige und sichere Konfiguration hinbekommst.

ob es sinnvoll ist, wenn das weiter die FB macht

Definitiv nicht, wenn du hinter die FB eine eigene Firewall packst.

Bin mir nicht sicher, ob man die an die FW oder den Switch hängt.

Alles an den Switch.

Es ist mir wichtig, dass der WLAN-Drucker aus dem FB-Netz drucken kann.

Wenn du mit deiner Konfiguration fertig bist, dann hängt außer der Firewall nichts mehr im FB-Netz.

Dank @Groug ist mir mittlerweile klar geworden, dass ich mehr als 5 Ports an der Firewall brauche.

Die Firewall braucht genau zwei Ports: 1 x WAN, 1 x LAN (als Trunk).

Ich vermute, dass die Empfehlung des RB4011iGS+RM ein sehr guter Vorschlag war, über irgendwas meckern kann man immer.

Das Teil ist top, aber ob du damit am Ende glücklich werden wirst, kann ich dir nicht sagen.

Nachdem bei mir Rackmount-Größe zumindest sehr problematisch ist, habe ich auch nur eine eingeschränkte Auswahl.

PC Engines APU.4D2 + CRS326-24G-2S+IN -> alles machbar, was du möchtest.

Die IP-Adressen der OpenWRT-Router kann ich nun vermutlich einmalig relativ leicht ändern

Die Zeit, die du bisher mit der manuellen Adresskonfiguration vergeudest, solltest du lieber darauf verwenden, dich weiterzubilden.

Muss ich somit für jedes mögliche Handy eine IP- oder MAC-Adresse definieren?

Wir sind im Jahr 2021. 🤦‍♂️

 

[linuxnutzer]

Der falsch ist, da du zwischen Router / Firewall und Switch nur ein einziges Kabel als Trunk benötigst und dann alle weiteren Geräte am Switch angeschlossen werden können, ohne dass deswegen alle Geräte im gleichen Subnetz sein müssten. Stichwort: Router on a stick

Glaube ich dir, bin aber schon gespannt was @Groug dazu meint. Meistens haben Dinge Vor- und Nachteile und deswegen ist die Diskussion darüber gut. Wenn möglich bevorzuge ich einfachere Konzepte, die leichter verständlich sind. Die vielen VLANs (bezogen auf Router on a stick) werden mir vom Verständnis schön langsam zu viel.

PC Engines APU.4D2 + CRS326-24G-2S+IN -> alles machbar, was du möchtest.

Bundle mit Netzteil und blauem Gehäuse

+19,00 = 154,00 €​

Da sind jetzt ca. 10€ Unterschied zum RB4011. Vermutlich reichen die beiden für mich mehr als aus.
Coreboot Open Source System BIOS (unterstützt Booten von SD, USB, mSATA, SATA und iPXE)

Ich verstehe das "Boot" so, dass das kein OS ist und man da noch was installieren muss und damit gibt es eine weitere Software mit der man sich auseinander setzen muss.

Es scheint auch so, dass man über "1 x 9-polige serielle Schnittstelle (Konsolenanschluß)" konfigurieren muss, dazu fehlt mir aber Hardware, womit es teurer wird als beim RB4011.

Wir sind im Jahr 2021.

Das hilft mir aber nicht weiter, ein paar Stichworte zum Thema, nach denen ich suchen kann, bringen mich sicher mehr weiter. Damit sagst du nur "ich habe Ahnung", das unbestritten ist.
Du hast noch immer nicht für mich nachvollziehbar erklärt oder angedeutet wie die Unterscheidung läuft, muss ja nicht im Detail sein. Deine Links werde ich heute noch lesen und zu verstehen versuchen.

Indem der Router an dem Handy und Enigma-Box hängen, den Paketen, die zum Switch geschickt werden, einen der Quelle entsprechenden VLAN-Tag mit auf die Reise gibt.

Wenn ich nichts übersehen habe, dann ist das das einzige, wo du näher auf meine Frage eingegangen bist. Wenn ich darüber nachdenke, dann finde ich es gar nicht so abwegig, zu definieren welche Handys in das LAN-Netz dürfen und welche nicht.

Die Zeit, die du bisher mit der manuellen Adresskonfiguration vergeudest, solltest du lieber darauf verwenden, dich weiterzubilden.

Ich denke für die Weiterbildung ist diese Zeit viel zu kurz. Mit einem managed Switch mag das anders sein, Wenn ich in meinen Scripts die IP-Adresse verwende, dann funktioniert das auch ohne Namen bei einem neu aufgesetzten PC definiert zu haben. Ich habe die IP-Adressen alle im Kopf, da sie logisch strukturiert sind.

Übrigens denke ich auch, dass ich bei den OpenWRT-Routern schon das WLAN-Netz und LAN-Netz strikt trennen könnte. Nur was bringt es, wenn ich dann erst wieder eine Firewall brauche, die die Verbindungen erlaubt und eine Firewall ist eben besser ein eigenes Gerät.