Trennung zweier LANs mit OpenWrt-Router

[grünerbert]

Aus Sicherheitsgründen möchte ich gern einige smarte Geräte von meinem Heimnetz trennen, also zwei separate LANs haben. Hauptrouter ist eine FritzBox 7530 mit FritzOS, die den Haushalt per DSL100 mit dem Internet verbindet. Die Geräte im zweiten Netz (genannt ENTERTAIN) sollen Internetzugang haben, aber nicht auf die Geräte in HOME zugreifen können, ähnlich wie hier dargestellt.
Umgekehrt sollen allerdings Geräte aus HOME auf ENTERTAIN zugreifen können, z.B. für Miracast. Dafür werde ich die Geräte in ENTERTAIN an einen OpenWrt-Router per LAN-Kabel anschließen, diesen per LAN an die FritzBox, und den Router entsprechend konfigurieren. Hier mal schematisch skizziert:

Eine Besonderheit: Der Fileserver soll zwar zum HOME-LAN gehören, jedoch physisch am OpenWrt-Router hängen, weil das vom Standort her besser passt.

Habe zwar schon Erfahrung mit OpenWrt, aber zur genauen Konfiguration habe ich noch ein paar Fragen.
1. Brauche ich dafür zwingend VLANs? Geht das überhaupt mit VLANs, da die FritzBox diese nicht beherrscht?
2. Wie konfiguriere ich die Ethernet-Ports, Subnetze und Firewall am OpenWrt-Router, sodass das Setup wie gewünscht funktioniert?

Hier noch zwei Bonus-Anforderungen:
1. Kann ich auf dem OpenWrt-Router einen Werbeblocker (AdBlock, AdGuard Home o.ä.) installieren, der die Werbung in ENTERTAIN (und idealerweise auch in HOME) filtert?
2. Kann ich auf dem OpenWrt-Router Tailscale o.ä. installieren, um aus der Ferne auf HOME zuzugreifen? Zugriff auf ENTERTAIN aus der Ferne wird nicht benötigt.

Bin dankbar für eure Hinweise. Falls die Bonus-Anforderungen mit dem geplanten Setup nicht umsetzbar sind, könnt ihr gerne Verbesserungsvorschläge äußern. Finanziell sollte es allerdings im zweistelligen Euro-Bereich bleiben.

 

[h00bi]

In dem Moment wo du den OpenWRT Router an die Fritzbox klemmst, haben ALLE entertain Geräte Zugriff aus Home Netz.

Mit VLAN kannst du hier nicht arbeiten, du müsstest mir Routing oder einer Firewall auf dem OpenWRT Router arbeiten.

Ich denke du solltest die Fritzbox als reines Gateway nutzen, dahinter einen OpenWRT Router als Exposed Host und dann alles auf dem OpenWRT Router konfigurieren.
Du verlierst dann halt das WLAN der Fritzbox.

 

[Zeroflow]

Unabhängig von der technischen Lösung:

Ich rate dir davon ab, die Geräte zu trennen, wenn du Dinge wie Miracast o.ä. machen willst. Das macht nur Probleme.

Sonst brauchst du "einfach" ein sauberes Setup mit VLANs. Ich kenne mich leider mit Fritz-Boxen nicht aus, aber generell bräuchtest du dafür keinen OpenWRT router sondern einen VLAN aware Switch. Damit kannst du dann "einfach" den Server in das HOME netzwerk konfigurieren und die anderen Ports auf ENTERTAIN.

 

[chr1zZo]

Also die beste Lösung ist ein entsprechendes Endgerät hinter der FritzBox, und dann teilst du auf. Wenn es um WLAN geht, kannst du ja mit Ubiquity arbeiten. Ansonsten eine schöne opnsense, dann kannst du auch am jeweiligen Port einen eigenen Adressbereich aufbauen und brauchst nicht Zwingend VLANs.

Ich sehe kein Problem mit entsprechenden Lösungen wie Miracast usw. wenn es entsprechend durchgeroutet wird.

 

[Zeroflow]

Ansonsten eine schöne opnsense, dann kannst du auch am jeweiligen Port einen eigenen Adressbereich aufbauen und brauchst nicht Zwingend VLANs.

Er schreibt, dass der Fileserver physisch bei den ENTERTAIN Geräten steht, aber logisch ins HOME Netz soll. Dann braucht TE entweder ein 2. LAN Kabel oder eben einen VLAN-kompatiblen Switch.

 

[Der_Dicke82]

Moin moin,

hier kurz meine Lösung:

1. Gastnetz in der FB aktivieren (LAN1)
2. Wiregard als VPN in der FB aktivieren
3. openWRT an LAN 1 der FB
4. fileserver per VPN mit der FB verbinden

Das sollte dann funktionieren. Sauberer wäre aber eine VLAN Lösung oder routing Lösung per Firewall. Opnsense wäre hier mein Kandidat.
Falls möglich den openwrt als WAN Router nutzen und die FB dahinter

Ohne VPN könntest du auch ein zweites LANkabel zwischen FB und OpenWRT ziehen und dort dann der port des fileservers bridgen. Aber dann könntest du auch ein kabel bis zum fileserver ziehen.

 

[Bodennebel]

Sieht nach einer klassischen Routerkaskade aus. Wenn ich deine Anforderungen richtig verstanden habe, brauchst du doch einfach nur deine Geräte im "Home" hinter den OpenWRT-Router klemmen und die Geräte aus dem "Entertainment" direkt an die Fritzbox.

Siehe dazu https://www.heise.de/ratgeber/Router-Kaskaden-1825801.html

 

[grünerbert]

Danke erstmal für die bisherigen Antworten.

die Fritzbox als reines Gateway nutzen

und die Geräte aus dem "Entertainment" direkt an die Fritzbox.

Zurzeit bin ich recht stark ins Fritz Ökosystem investiert, mit MyFritz, Fritzfon, DECT, SmartHome etc. Dafür jeweils Ersatz zu finden wäre sehr aufwändig. Sprich, die FritzBox muss in irgendeiner Form erhalten bleiben, wenn auch nicht zwingend als Haupt-Router.

keinen OpenWRT router sondern einen VLAN aware Switch

Ich weiß, der Einstieg kostet je nach Modell 30-60 €. OpenWrt-Router habe ich halt genug rumliegen, und da OpenWrt VLAN und Firewall kann, war das mein erster Gedanke.

Falls möglich den openwrt als WAN Router nutzen und die FB dahinter

Leider nicht mit jedem beliebigen (OpenWrt-)Router möglich, da DSL-Anschluss. Dann bräuchte ich zunächst ein separates DSL-Modem oder eine mit OpenWrt geflashte FritzBox, auf der ich dann den Internetzugang einrichten müsste. Technisch zwar möglich, aber nur mit deutlich erhöhtem Konfigurations- und Wartungsaufwand.

Siehe dazu https://www.heise.de/ratgeber/Router-Kaskaden-1825801.html

Lese ich mir mal in Ruhe durch, hieße aber, dass ich statt 2 dann 3 Router bräuchte!?

 

[Bodennebel]

hieße aber, dass ich statt 2 dann 3 Router bräuchte!?

Nein, nicht zwingend. Du willst ja nur zwei Netze. Im Heise-Artikel wäre das dann die "Sparfüchse"-Variante (die untere Grafik auf der ersten Seite. Deine "Entertain"-Geräte (Smart-TV, Internetradio und Konsole) wären dann in der roten Zone (DMZ), die Geräte aus dem "Home" (Laptop, iPad, Fileserver) in der grünen Zone.
Wenn das entsprechend eingerichtet ist (Artikel lesen), kannst du wie gewünscht aus Home auf Entertain zugreifen, aber nicht umgekehrt und hast Internet über die Fritzbox in beiden Netzen.

 

[h00bi]

Ich weiß, der Einstieg kostet je nach Modell 30-60 €.

Du musst hier unterscheiden zwischen einem Switch der VLANs trennen und weiterleiten kann und einem Switch, der zwischen VLANs routen kann.

Da du Zugriff von einem ins andere VLAN willst, reicht eine simple Trennung nicht.

in der grünen Zone.

Ohne auf den Link geklickt zu haben war mit klar dass der Artikel steinalt ist. Der geht ja noch auf die ipcop Farbesegmente zurück.

Ja grundsätzlich kann man natürlich immer noch sein eigentliches Heimnetz per NAT Firewall abkapseln, aber damit verpasst man seinem Heimnetz eine Routerkaskade, die dann evtl. an anderer Stelle wieder Probleme verursacht.

Außerdem wird Miracast (meiner laienhaften Einschätzung nach) nicht über die Routerkaskade hinweg funktionieren.

 

[norKoeri]

separates DSL-Modem

Bekommst Du für wenig Geld …

 

[Bodennebel]

Ohne auf den Link geklickt zu haben war mit klar dass der Artikel steinalt ist.

Stimmt, der ist von 2013. Aber am Prinzip hat sich ja seitdem nichts geändert. Grundsätzlich würde ich auch zu einer Trennung per VLAN tendieren, aber dann braucht der @TE doch neue Technik (VLAN-fähiger Switch und Router), die dann vermutlich das angestrebte Budget (zweistellig) sprengt. Oder gibt es Layer-3-Switche in dem Preisbereich? @TE: Der könnte dann das Routing übernehmen und die Fritzbox würde nur als Modem genutzt werden. Allerdings wäre dann auch die WLAN-Funktion der Fritzbox nicht nutzbar. Sehe gerade, dass das anscheinend nicht (mehr) funktioniert.

Zu MiraCast kann ich nichts sagen, würde aber erwarten, dass das bei korrekt eingerichteten Routen auch kein Problem macht.

 

[h00bi]

Miracast ist ja eigentlich WiFi Direct, also ohne die Verwendung eines bestehenden Netzwerks.
Aber die Gerätesuche ist oftmals hakelig, wenn die Geräte unmittelbar vor Verbindungsaufbau in unterschiedlichen Netzwerken sind.

Grundsätzlich könnte man auch einfach vor dem Miracast ankurbeln nurz das Netzwerk wechseln oder das vorherige Netzwerk trennen. Das kommt ein bisschen drauf an wie und wie häufig es verwendet wird.

 

[grünerbert]

Wahrscheinlich habe ich das Ganze zu kompliziert gedacht. Nach dieser Lektüre (und in Erinnerung an diese Serie vom Kuketz-Blog) ist wahrscheinlich der Tipp von @Bodennebel der richtige, hatte ihn bloß nicht richtig übertragen.

brauchst du doch einfach nur deine Geräte im "Home" hinter den OpenWRT-Router klemmen und die Geräte aus dem "Entertainment" direkt an die Fritzbox.

Hier eine aktualisierte Skizze, wie es gehen könnte (die SSIDs in lila):

Der zweite Router (hier als Beispiel eine FritzBox 4040, könnte auch OpenWrt sein) würde das eigentlich HOME machen, inkl. WLAN. Dazu würde ich das Kabel von einem LAN-Port der 7530 in den WAN-Port der 4040 führen. Die beiden entscheidenden Konfigurationen wären dann:

1. FritzBox 4040 als Router (und nicht als IP-Client oder Mesh-Repeater) konfigurieren, damit schützt deren Firewall die Geräte dahinter (also in HOME) vor dem Zugriff aus ENTERTAIN,
2. Statische Route in FritzBox 7530 auf HOME,
3. die paar Dienste aus HOME, die in ENTERTAIN genutzt werden sollen (z.B. Jellyfin auf dem Fileserver), per Portweiterleitung (port forwarding) nach ENTERTAIN freigeben.

Obwohl es etliche Anleitungen gibt, wie man Miracast auch über verschiedene Subnetze zum Laufen bekommt, ist tatsächlich das einfachste (wie ihr bereits meintet), das iPad dann ins andere WLAN zu bringen, wenn Miracast gebraucht wird. Die Geräte in ENTERTAIN laufen sowieso nur abends, dann könnte ich entsprechend das WLAN "Bad_virus" per Zeitschaltung auf die Abendstunden beschränken.
Die DECT-Geräte (FritzFon, Fritz Smart Energy) melde ich an der 7530 an (dafür muss diese natürlich auf FritzOS bleiben ☺️).
Was meint ihr, klappt das so wie gedacht?
Zwei Fragen habe ich noch:

1. Wo ist es günstiger, den WireGuard-Server laufen zu lassen? Ich nutze WireGuard gerne von unterwegs, um in offenen WLANs meinen Internettraffic zu tunneln, entgangene Anrufe zu checken und um auf Dateien auf dem Fileserver zuzugreifen. Einrichten könnte ich es theoretisch auf beiden Routern!?
2. Wo müsste ich einen (noch einzurichtenden) Mini-PC mit Proxmox anschließen, auf dem AdGuard Home LXC als DNS-Server laufen soll? Vermutlich an die 7530!? Dann wären 5 LAN-Ports belegt und ich bräuchte einen Switch, den man bereits für 17-25 € bekommt.

 

[webtaz]

Anhang anzeigen 1674298

Das Bad_virus Netzwerk könnte man auch einfach als DMZ betrachten...

1. Wo ist es günstiger, den WireGuard-Server laufen zu lassen? Ich nutze WireGuard gerne von unterwegs, um in offenen WLANs meinen Internettraffic zu tunneln, entgangene Anrufe zu checken und um auf Dateien auf dem Fileserver zuzugreifen. Einrichten könnte ich es theoretisch auf beiden Routern!?

Günstiger ist schwer zu sagen. Ich würde mal schauen ob jeweils die selben Standards unterstüzt werden, ob die Performance auf einem Gerät schlecht ist, und und udn
Aber eigentlich möchtest du ja mit dem VPN ins "Innere" kommen können, in deinem Fall hast du zwar aktuell keinen Service der nicht auch vom DMZ aus erreichbar wäre, aber evtl. für die Zukunft.

2. Wo müsste ich einen (noch einzurichtenden) Mini-PC mit Proxmox anschließen, auf dem AdGuard Home LXC als DNS-Server laufen soll? Vermutlich an die 7530!? Dann wären 5 LAN-Ports belegt und ich bräuchte einen Switch, den man bereits für 17-25 € bekommt.

Den Kannst du prinzipiell überall laufen lassen.
An der Fritzbox erstmal ohne echten Mehraufwand (er sollte als DNS im DHCP von beiden Routern eingetragen werden, erreichen können ihn die Clients aus dem HomeLan erstmal via Default Route).

Hängst du ihn an den Openwrt, dann müssen auf der Fritzbox halt die Routen passen.

Theoretisch wäre es auch möglich, den Port fürs DNS zu forwarden, auf der OPENWRT, dann käme
die IP des OpenWRT im Bad-Virus Netz als DNS ins DHCP/auf die Geräte in diesem Netz. Aber evtl. mag das der Router nicht (weil er ja normal selbst auch nen DNS Dienst hat) und evtl. finden es Geräte nicht cool, dass die Antwort nicht von der IP kommt, die angefragt wurde.

Willst du per VPN den Adguard nutzen, musst du auch dann schauen, dass in der VPN Konfig der DNS-Server mitverteilt wird.