ComputerBase Menü
Aktuelles

Sinnhaftigkeit für Netzwerk im Netzwerk bevor ins Internet?

P

PeterO

Newbie
Registriert
Jan. 2021
Beiträge
3
Hi,

ich habe eine Frage zur Absicherung meines Netzwerkes.

Mein Sohn surft recht häufig auf dubiosen Seiten (streaming etc) im Internet herum. Ich kann viel sperren und verbieten, aber das ist am Ende auch nicht sonderlich wirkungsvoll, da es die Kreativität bei ihm natürlich weiter steigert. Ich nutze ebenfalls einen Firmenrechner hier in meinem Netzwerk und mein privates Netzwerk soll natürlich auch unabhängig von dem Firmenrechner und am besten auch von den Surfgewohnheiten meines Sohns abgesichert sein.

Macht es Sinn bzw. ist es überhaupt technisch möglich, dass ich mir über weitere Router, weitere WLan Netzwerke generiere.

Um es mal zu verdeutlichen:
Mein PC verbindet sich über router 1 zu WLAN 1 (nennen wir es mal mein Heimnetzwerk)....
router 1 mit dem Heimnetzwerk verbindet sich mit router 2 zum gesamten Heimnetzwerk (inkl. dem Netz für meinen Sohn, er kommt aber nicht in "mein" heimnetzwerk")
Router 2 geht dann an meinen Router ins Internet auf dem sich dann auch mein Firmenrechner mit einloggen kann...

Man kann sich das im Prinzip wie drei Luftballons ineinander vorstellen... klingt sicher nach einer umständlichen Lösung... Dennoch würde ich gern Firma, privat und Sohn gern komplett separat betrachten. Also ist dies technisch möglich? und wenn ja an welche Stelle binde ich das Netzwerk meines Sohnes ein? Kann man auch in jede Ebene ein VPN mit einbinden um die eigene anonymität zu erhöhen? oder macht ein VPN in VPN keinerlei Sinn?

Wie sicher ist dann mein Netzwerk von dem meines Sohnes?

Grüße

Peter
 
Nein das macht wenig Sinn.

Was du brauchst ist ein Router (Layer 3) und eine Trennung auf Layer 2 (Switch). Entweder über eine physische Trennung oder logische Trennung (VLANs). Damit trotzdem eine Kommunikation möglich wäre bzw. auch mit dem Internet, brauchst du einen Layer 3 Router mit Firewall. Hier gibt es freie Distributionen die wirklich sehr gut sind wie z. B. pfSense, Opnsense, Sophos usw.

Dann trennst du dein Söhnchen logisch von deinem Netz mittels VLAN, über die pFSense kannst du dann gewisse Ports/Dienste etc. für ihn sperren oder einschränken. Mit Plugins wie z. B. ngblocker für pfSense kannst du das dann noch besser machen.

Zusätzlich noch z. B. pihole als DNS im Internen Netzwerk für ihn oder euch und eine Einschränkung, dass DNS Auflösungen auch nur mittels PiHole geschehen darf, dann hat er quasi keine Chance mehr sich noch groß auf dubiosen Seiten rumzutreiben.
 
  • Gefällt mir
Reaktionen: 3faltigkeit und PeterO
Was für einen Router habt ihr.
Wenn es eine Fritzbox ist ,kannst du ihn über das gastnetzwerk von deinem Netzwerk abtrennen.
Einfachste Lösung.
Aber ansonsten hat Overlord recht.
 
  • Gefällt mir
Reaktionen: Nuke8472 und -Overlord-
Eh, also man kann das schon bauen und die Gegeneinander isolieren, aber nicht genau so. Ein äußerer Router und 3 an diesen hängen mit deren WAN Ports. Jeder unterschiedliche Subnetze. Am äußeren Router keine anderen Geräte anbinden. Dem äußeren Router KEINE ROUTEN zu den „inneren Netzen“ eintragen. Die inneren Router müssen NAT machen nach außen. Dann kommt jedes Netz ins Internet aber keines kann das jeweils andere erreichen.
So bekommst du aber Frequenzprobleme beim WLAN. Man baut das normal auch nicht so.
Oben hast du eine korrektere Beschreibung, setzt aber Kohle und Verständnis voraus.
Vorschlag: Sohnemann ins FritzBox Guest Netz verbannen.
 
  • Gefällt mir
Reaktionen: Raijin und PeterO
KWMM schrieb:
Du möchtest also wissen, wie man als Elternteil das Fehlverhalten
seines Kindes das illegale Dienste nutzt unterstützt, indem man
sich aus der Verantwortung zieht?

Interessant.....
Zum Vergrößern anklicken....

Davon abgesehen, dass es Offtopic ist: Wir reden von Kindern. Wenn man denen etwas verbietet, machen sie es trotzdem. Das gehört mit zur Abgrenzung. Da ist es nur verantwortungsbewusst, dass man für solche Fälle Vorkehrungen trifft.
 
  • Gefällt mir
Reaktionen: razzy, Merle, xXDarthGollumXx und 6 andere
:daumen:👍
 
KWMM schrieb:
Du möchtest also wissen, wie man als Elternteil das Fehlverhalten
seines Kindes das illegale Dienste nutzt unterstützt, indem man
sich aus der Verantwortung zieht?

Interessant.....
Zum Vergrößern anklicken....
Dann bist Du wohl noch nicht Elter (ja, das ist richtig so) geworden. Wo gibt es Kinder, die auf Eltern hören, oder gar die Konsequenzen ihrer Handlungen im Netz überschauen können? Ich habe hatte 3 davon schon durch, da kann man sich den Mund fusselig reden...

Aber in Gesprächen mit anderen Eltern sind wir hier nicht alleine.
Ergänzung ()

Wilhelm14 schrieb:
https://heise.de/-1825801
Da wäre genau erklärt, wie man das Heimbüro usw. voneinander trennen kann.
Zum Vergrößern anklicken....
Das wollte ich als "günstige" Lösung auch eben vorschlagen.
 
  • Gefällt mir
Reaktionen: xXDarthGollumXx und PeterO
Hi,

vielen Dank für die zahlreichen Antworten binnen so kurzer Zeit.

Ich selbst bin einfach nur user, also mein tiefergehender Kenntnisstand zu Administrationen von Netzwerken ist quasi bei fast 0.

Auch wenn sich die Lösung von Overlord technisch interessant anhört, umsetzen kann ich die als Laie sicher kaum (wobei mein grundsätzliches PC Verständnis sicher nicht ganz soo schlecht, zumindest im Vergleich mit anderen normales "Usern"). Merle schreckt mich dann noch etwas mehr mit dem Punkt "Kohle" ab. IT ist nicht billig und ich möchte mir nicht für 1000 EUR hard und software zusammenkaufen um dann etwas "hinzubasteln" was ggf. dann auch noch nicht einmal von Erfolg gekrönt sein wird, weil mein Verständnis zur Einrichtung nicht ausreicht.

Zum Thema Fritz.box Guest... Da ist er mittlerweile schon. Es läuft halt beides über die gleiche hardware und von daher habe ich noch immer bedenken. Wie sicher ist diese Trennung der beiden Netzwerke? Vielleicht löst sich ja doch schon alles in Schall und Rauch auf :)

@KWMM: Das ist ziemlich leicht dahergesagt. Ich will mich nicht aus der Verantwortung ziehen. Du kennst meines Situation nicht. Ich kläre natürlich auf. Kids sind halt kids. Abgrenzung hat Overlord sehr gut als Begriff dafür genutzt. Ich will hauptsächlich mich, mein Banking und all meine anderen privaten Sachen davor schützen, wenn er sich irgendwelche Viren oder ähnliche Schadsoftware auf seinen Rechner holt und dann mein Ganzes Netzwerk verseucht wird. Dinge sind schnell im Internet "verloren" bzw. auch dort verteilt. Das Rückgängig zu machen ist schier unmöglich. Von daher ist mein Wunsch zumindest legitim :)

Gruß
 
-Overlord- schrieb:
Zusätzlich noch z. B. pihole als DNS im Internen Netzwerk für ihn oder euch und eine Einschränkung, dass DNS Auflösungen auch nur mittels PiHole geschehen darf, dann hat er quasi keine Chance mehr sich noch groß auf dubiosen Seiten rumzutreiben.
Zum Vergrößern anklicken....

TLS VPN über TCP Port 443 und deine Lösung stürzt ein wie ein Kartenhaus. Aber nicht den Kids verraten :D
 
@ Wilhelm14: Der Beitrag sieht auf dem ersten Blick ziemlich genau nach dem aus, was ich suche... von 2013 ist der Beitrag... in IT Zeiten wäre das ja vergleichbar mit Steinzeit... Funktioniert das im Prinzip noch genauso oder hat sich da mit der Zeit so viel geändert, dass nur die Grundlage dieser Idee noch umsetzbar ist?

Gruß
 
PeterO schrieb:
Zum Thema Fritz.box Guest... Da ist er mittlerweile schon. Es läuft halt beides über die gleiche hardware und von daher habe ich noch immer bedenken. Wie sicher ist diese Trennung der beiden Netzwerke?

... Ich will hauptsächlich mich, mein Banking und all meine anderen privaten Sachen davor schützen, wenn er sich irgendwelche Viren oder ähnliche Schadsoftware auf seinen Rechner holt und dann mein Ganzes Netzwerk verseucht wird.
Zum Vergrößern anklicken....
Dafür reicht der Gastzugang aus.
Darüber haben Geräte keinen Zugriff auf Geräte im restlichen Heimnetz.

Zusätzlich sollte man auf keinen Fall einen am PC des Sohnes verwendeten USB Speicherstick an einem anderen Rechner verwenden. Das ist dann nämlich die Hintertür, die der Gastzugang nicht abdeckt.
Ein guter Virenscanner auf den PCs wäre natürlich auch nicht verkehrt, sondern zu empfehlen.
 
wayne_757 schrieb:
TLS VPN über TCP Port 443 und deine Lösung stürzt ein wie ein Kartenhaus. Aber nicht den Kids verraten
Zum Vergrößern anklicken....
Das ist gar nicht notwendig, einfach DoH im Browser aktivieren und ab geht die Lutzi :D.
 
PeterO schrieb:
Auch wenn sich die Lösung von Overlord technisch interessant anhört, umsetzen kann ich die als Laie sicher kaum
Zum Vergrößern anklicken....
Dann wäre evtl eine einfache Router-Kaskade die Lösung für dich.

Heise hat dazu einen sehr ausführlichen Artikel und wie das ganze einzurichten ist veröffentlicht:

Router-Kaskaden Lokale Netze mit mehreren Routern trennen

Als günstiger und sehr empfehlenswerter Router würde sich z.B. der MikroTik RouterBOARD hEX (RB750Gr3) eigenen.
 
Das Gast ist logisch getrennt. Ähnlich wie die vorgeschlagene VLAN Trennung und Zusammenführung an der L3-Instanz. Irgendwo muss der Traffic halt zusammengeführt werden bei nur einer Leitung. Für nicht kommerzielle Nutzung war das bei mir immer ausreichend. Interne Geräte können nicht erreicht werden.
*edit: Und das Thema Kohle ist relativ... Man braucht für ein Netzdesign mit Segmentierung halt entweder je Netz einen Router und wieder einen, der das zusammenführt, oder einen managed Switch (L2) und einen VLAN/Subinterfacefähigen Router oder einen L3 Switch und einen Router. Das kann je nach Ausstattung zwischen 150-500€ liegen oder so. Es gibt zu viele Möglichkeiten. Aber jede erfordert ein reflektiertes Design um keine Übergänge ungesichert und unabsichtlich zu hinterlassen. Das erfordert Kenntnis.
Ich würde an deiner Stelle das Gastnetz nehmen bis weitere Anforderungen auftauchen.
*edit2: Der Heise-Artikel stellt schön meinen Vorschlag aus dem letzten Post dar!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin
PeterO schrieb:
Funktioniert das im Prinzip noch genauso oder hat sich da mit der Zeit so viel geändert
Zum Vergrößern anklicken....
Das funktioniert im Grunde noch immer so. Die Vorgehensweise mit Layern oder "Gastnetz" funktioniert technisch ähnlich, nur im gleichen Gerät. Mit mehreren Routern in einer Kaskade muss man eigentlich kaum konfigurieren, das ist an sich sicher, bzw. müsste man erst per Port-Weiterleitung ein Loch bohren. Als Hinweis zum Fritzbox Gastnetz, das geht je nach Modell auch an einem LAN-Port und nicht nur via WLAN, falls der Sohn für Spiele auf LAN besteht.
 
Das gast wlan/lan der fritzbox trennt physisch. Also so als wären es zwei Netzwerke die getrennt sind. Am Gastlwlan/lan kannst du in der fritzbox vieles steuern. Aber es wird durch ein Werksreset auch wieder gelöscht.
das wird aber über lang oder kurz wenig bringen, denn dein sprössling wird immer einen Schritt weiter sein als du. Deshalb gibt es eigentlich nur eine Methode: Router abstecken und in Schrank einsperren, bis er sich an die Regeln die ihr zusammen aufstellt, hält.
 
  • Gefällt mir
Reaktionen: Skysnake und Nutzerkennwort
Ironie an:

Router und internet weg sperren
Und kindern nen stift und zettel geben.
Und raus in die Natur.und zeichnet was schönes.
Und schaut euch die schöne Natur an.
Aber mit FFP2 maske damit man nicht krank wird.

Ironie aus.:

War nur so ein Gedanke sorry:);)
 
Die vorgeschlagene Routerkaskade ist genau der richtige Weg für dich. Das was @-Overlord- beschreibt wäre zwar die fachgerechte Variante, die so oder in ähnlicher Form sicherlich bei vielen Leuten hier im Forum läuft (zB bei mir), ist aber ohne halbwegs fundiertes KnowHow nicht sinnvoll umsetzbar - ganz abgesehen davon, dass man schlimmstenfalls sämtliche Switches, Access Points, etc austauschen muss, wenn dort ebenfalls die VLANs getrennt sein sollen.

Der Vorteil eines Setups mit mehreren Routern ist dagegen, dass man sich die Standardeinstellung der Router zu Nutze macht. Würde man zB eine Firewall/Router mit pfSense, o.ä. aufsetzen, müsste man einige Zeit in die Konfiguration stecken, eine Routerkaskade steckt man weitestgehend nur zusammen und die Werkseinstellungen (Firewall+NAT) erledigt den Rest. Einzig die Subnetze muss man anpassen.

www
|
(WAN)
Internetrouter
(LAN)
|
| DMZ-Netzwerk @ 192.168.0.1-192.168.0.254)
|
+--- (WAN) Router (LAN+WLAN) --- Netzwerk #1 @ 192.168.1.1 - 192.168.1.254
|
+--- (WAN) Router (LAN+WLAN) --- Netzwerk #2 @ 192.168.2.1 - 192.168.2.254

Nach Bedarf kann man das natürlich noch mit dem Gastnetzwerk kombinieren, wenn man noch etwas feiner aufteilen will und zB #1 für Home und #2 für Office nutzen, den Sohnemann aber im Gastnetz von #1 unterbringen möchte.

Hat man einen Netzwerkdrucker, ein NAS oder sonstige Geräte, die gemeinsam genutzt werden sollen, dann verbindet man diese direkt mit dem Internetrouter. Dessen Netzwerk fungiert in diesem Setup nämlich als DMZ.
 
  • Gefällt mir
Reaktionen: meph!sto, Merle und PHuV
PeterO schrieb:
@KWMM: Das ist ziemlich leicht dahergesagt. Ich will mich nicht aus der Verantwortung ziehen. Du kennst meines Situation nicht. Ich kläre natürlich auf. Kids sind halt kids. Abgrenzung hat Overlord sehr gut als Begriff dafür genutzt. Ich will hauptsächlich mich, mein Banking und all meine anderen privaten Sachen davor schützen, wenn er sich irgendwelche Viren oder ähnliche Schadsoftware auf seinen Rechner holt und dann mein Ganzes Netzwerk verseucht wird. Dinge sind schnell im Internet "verloren" bzw. auch dort verteilt. Das Rückgängig zu machen ist schier unmöglich. Von daher ist mein Wunsch zumindest legitim :)
Zum Vergrößern anklicken....
Das kannst du auch nicht. Vor 25Jahren war das alles noch Wilder Westen, aber heute musst du eigentlich nur drauf warten bis du ne Abmahnung bekommst oder gleich die Polizei vor der Tür stehen.

Sorry, keine Ahnung wie alt dein Junge ist, aber wenn du weißt das er so ne Scheiße macht, dann Internet erstmal ne Woche oder zwei komplett weg und danach erstmal ne gewisse Zeit nur noch mit whitelist. Da wird er fürchterlich kotzen, aber anders lernt man es nicht in der Jungend....

Die Störerhaftung ist halt beschissen... ich hab da keinen Bock drauf.

Rechner abriegeln und auf nen eigenen DNS setzen bei dem man die Requests protokolliert. Dann weiß man ja wohin geht und wenn das flasch ist nen Monat erstmal aussetzen...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

X
  • Geschlossen
Wie kann ich ein VPN Netzwerk neben den Heimnetzwerk realisieren?
2
Antworten
24
Aufrufe
1.339
Markchen
Markchen
N
Heim Netzwerk Neu aufsetzen
Antworten
5
Aufrufe
582
NetzJo3
N
merlin34
Gaming-PC ins Netzwerk bringen - beste Alternative zum LAN
2
Antworten
28
Aufrufe
1.392
merlin34
merlin34
S
Heimnetzwerk mit TP-LINK ER605 + Multi-WAN (2 x Fritz.Box) - F1!
Antworten
9
Aufrufe
1.184
svenie81m
S
GoetzCebu
Wie muss ich meine Router ins Netzwerk einbinden?
Antworten
19
Aufrufe
1.697
GoetzCebu
GoetzCebu
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz