Netzwerkaufbau allgemein; Vlans mit Freetz auf der Fritzbox

[neuerb]

Hallo liebe digital eliteboard Community,

ich bin angehender Systemintegrator und möchte die Netzwerksicherheit in meinem Heimnetz verbessern.
Bald möchte ich mein NAS integrieren und einige VMs auf dem Server laufen lassen, um mich weiterzuentwickeln.

Kurz zur Situation: Ich habe die Fritzbox 6690 gekauft, aber sie kann nach meinem jetzigem Netzwerkplan (Netzwerkplan01) nur als Access Point (AP) nutzen, was mich ziemlich ärgert.

Ich habe gehofft, mit Freetz könnte ich die Fritzbox in mehrere VLANs unterteilen, um nicht zwei Geräte (Modem und AP) betreiben zu müssen.
Mein Ziel ist es, den Bridge-Modus für einen externen Router zu nutzen, ohne auf das WLAN der 6690 zu verzichten. Also kurzgefasst möchte ich lediglich die Routing/firewall-aufgabe an ein externes Gerät weitergeben.
Das Gästenetz hilft mir dabei nicht. Ich habe von cpmaccfg über Freetz gehört, aber habe keine aktuellen Infos dazu und weiß nicht, ob meine Idee damit so umsetzbar ist (Netzplan02).

Hier ist mein aktueller Netzwerkplan als Bild. In einem anderen Forum wurde ich kritisiert, dass Ottonormalverbraucher keine Firewall/Router brauchen. Aber ich möchte mehr als das - später möchte ich auch PiHole/AdGuard auf dem Router/Firewall nutzen.

I.) Ich schätze, dass es so nicht möglich ist (Netzplan02), das wäre ja auch zu schön, aber hätte da jemand eine Idee, wie ich das am besten umsetzen könnte ohne noch ein Vlan fähigen Switch dazu zu kaufen ?
II.) Weiß jemand, wie das ist mit der SIP Telefonie ist, wenn die Fritzbox im Bridgemode läuft?
III.) Ich möchte eigentlich auch auf den zusätzlichen Router verzichten, und würde Opensense und alles was dazugehört lieber via VM auf dem Server realisiern über getrennte NIC's wäre das auch am Netzplan01 und an einem Verbesserten Netzplan02 möglich?

Ich Danke im Voraus, und hoffe, dass ich mit den Informationen etwas ernster genommen werde als in anderen Foren .

 

[conga]

Aus Sicherheitsaspekte würde ich dir zu Netzwerplan1 raten. Opensense übernimmt die Firewall funktion und es ist alles dahinter absichert. Ein WLAN wie ein TP-Link C6 bekommt man für unter 40€, wenn etwas besser sein soll dann sieh dir den AX55 an.

Der Netzwerkplan2 ist mit dem Bridge/Router viel zu kompliziert gedacht und ein Risiko. Du kommst über den Bridge/Router vom Internet zu deinen internen Netz und übergibst es an Opensense die als Firewall fungiert mit “WAN“ und internes LAN. Das LAN gibst du wieder zurück an den Bridge/Router der VLANs macht und WLAN und LAN für dein internes Netzwerk. Richtig? Das Security technisch nicht zu empfehlen, da VLANs nicht als Firewall dienen und ein Security Risiko darstellen. Wenn du das mit dem Plan 2 machen willst, dann besorg dir ein Gerät, was als Router und Firewall fungieren kann und richte mehrere Netze ein, wie WAN, DMZ, LAN, WLAN, usw. mit eigenen Schnittstellen. Das kannst du mit Opensense machen. Aber da bist wieder fast bei Plan1 ohne zusätzlichen WLAN Gerät.

 

[neuerb]

Vielen Dank für deine Antwort also brauche ich doch ein Vlan fähigen Switch so wie ich das richtig verstanden habe ?

 

[dezember2011]

Nicht unbedingt. Du könntest deine Firewall etwas aufbohren und statt zwei, vier Netzwerkkarten einbauen. Da drüber kannst du dann deine Netze trennen.
Aber VLAN fähige Switche gibt es mittlerweile auch für kleines Geld. z.B. den Netgear G308E gibt es für unter 30€. Ansonsten wenn es größer sein soll, lohnt es sich auch auf Kleinanzeigen oder ähnlichen Portalen mal zu schauen.

 

[neuerb]

ich danke euch erstmal nochmals für eure Antworten @dezember2011 und @conga
Und hätte noch eine Nachfrage, und zwar würde das hier (Siehe Screenshot) Neuer_Netzwerkplan1
auch so funktionieren?

Ich möchte eigentlich auf so viele Geräte wie möglich verzichten, daher würde ich gerne den Router/Firewall über eine VM
auf dem Sever laufen lassen. Mir ist klar, dass das einige Nachteile mit sich zieht z.B wenn der Server mal abschmiert, hat keiner
mehr Internet etc. aber das Risiko gehe ich ein, wenn ich mir die zukünftigen Stromkosten ersparen kann.

Oder wenn es ein Gerät gäbe, was mir Vlans ermöglicht und als Wifi AP dient, würde ich dies auch bevorzugen, aber sowas hab ich
leider nicht gefunden.

 

[dezember2011]

Das kann man so machen. Als Gerät würde mir jetzt alle APs mit openwrt Support einfallen.

 

[salidos]

Hol dir sowas (das ist jetzt nur ein Beispiel!!!)

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Mit WLAN.
4 Lan Anschlüsse.
Ipfire (hab ich) oder Opensense drauf und gut ist's.
Ich hab meine Hardware Firewall (für die Praxis) von einem kleinen Anbieter (komme nicht mehr auf den Namen). Aber die unterscheiden sich nicht großartig je nach Preisklasse)
Fritzbox davor als exposed Host und fertig.

Für Zuhause finde ich das alles allerdings überdimensioniert. Aber jeder wie er möchte.

 

[dezember2011]

Da werden aber keine Virtuellen Maschinen laufen.

 

[salidos]

Das ist wohl wahr.
Aber eine Firewall in einer VM zu betreiben...
Da sind dann gleich mehrere Angriffsflächen eröffnet: der Host, die VM, die Firewall und schwupps ist man aus dem Hypervisor raus...
Zu Testzwecken, alles gut.
Aber im Einsatz nicht wirklich zu empfehlen.

 

[conga]

Hier wurde schon alles genannt, Opense oder openWRT als Firewall hinter deiner Fritz!Box. Router Firewall auf einer VM ist sicherheitstechnisch nicht zu empfehlen, zu viele Sicherheitsrisiken, wie auch schon vorher genannt. Dann benutze besser deine Fritz!Box als Übergangspunkt zum Internet als Router und Firewall und spare dir einen Rechner der VM bereitstellt, dass ist sicherer und spart auch Strom. Besonders, wenn keine Erfahrung mit Firewall konfiguration gegeben ist.

Wenn du unbedingt deine Fritz!Box als Bridge benutzen willst, dann besorg dir eine 7520 Fritz!Box für kleines Geld und mache OpenWRT drauf. Das kann dann als Router und Firewall dienen, VLANs und WLAN bereit stellen und verbraucht auch nicht viel Strom. Wenn du mehr ausgeben willst, dann nimm das Gerät was @salidos empfohlen hat plus ein WLAN AP, was aber um das 5 bis 6 fache kostet und auch mehr Strom verbraucht.

Die VMs kannst du auf dein NAS laufen lassen, da kannst du was vorgefertigtes wie Synology oder QNap nehmen oder du baust dir was selber mit OMV. Da kannst du auch piHole/Adguard laufen lassen. Wobei bei piHole auch ein raspi der ersten Generation reicht und der langweilt sich auch.

Mit openWRT, Opensense und OMV kannst du sich super weiterentwickeln ;-)

 

[dezember2011]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Schon richtig, aber zum Stromsparen ist es das beste Konzept. Für ein Homelab nicht schlimmer als mach 0815 Plaste Router.

 

[neuerb]

Vielen dank nochmals an alle die sich die Zeit genommen haben und mir zahlreich unter die Arme gegriffen haben, denn in das Thema rein zu kommen ist nicht relativ einfach. Man schaut sich zahlreiche Videos/Forenbeiträge/Blogs etc an und jeder macht gefühlt etwas andes.

In der Schule/Ausbildung lernt man natürlich grundlegende Basics und auch Theorie wie Subnetting etc., aber wie man ein "spizelles" Netzwerk in der Realität aufbaut muss man sich selber aneignen. Bzw bei Unklarheiten höflich um Hilfe fragen , und nicht jedes Forum empfängt einen Anfänger in dem Bereich so nett.

Also ich hab auf jedenfall mitgenommen

• Wenn ich mir ein Opensense Router baue, sollte er nicht auf einer VM laufen -> Sicherheits/-Performacebedingt.
• Wenn ich das ganze ohne Vlan fähigem Switch betreiben möchte, benötige ich ein NUC/MiniPC/Alten Laptop mit ausreichend Ports, damit kann ich nicht nur WAN und LAN bestimmen, sondern dem AP noch ein zusätzliches Netz zuweisen.
• Meine alte Fritzbox kann ich entweder nur als Modem im Bridge-Modus laufen lassen und das WAN an den Router/Firewall
  weitergeben, oder aber ich setze den Router als Exposed Host.
  Beides klingt für mich ähnlich, aber das eine geht in die Richtung DMZ und das andere ist eher eine komplette Weiterleitung.
  Ich denke, ich ziehe die Richtung der kompletten Weiterleitung vor, da dies für mich etwas sicherer klingt. Leider weiß ich
  nicht, ob bei der Fritzbox im Bridge-Modus noch das Haustelefon funktionieren würde, das über SIP läuft.
  Sollte das im Bridge-Modus nicht laufen, nehme ich den Weg über den Exposed Host.

 

[conga]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Für ein Lab ist eine Firewall VM bestimmt ausreichend, aber in einer Echtumgebung ist das nicht zu empfehlen.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Wenn du dir Kenntnisse aneignen willst, dann baue dir eine Testumgebung und lerne damit. Security Experimenten in einer Echtumgebung mit Internet Anbindung sind keine gute Idee. Vielleicht entwickelst du erst einmal ein Konzept von den was du machen willst und wozu es dienen soll. Schließlich macht du eine Ausbildung in dem Thema und solltest von vornherein lernen professionell damit umzugehen, das kommt dir später in deinem Beruf und Kunden zugute. Oder teile mal deine Zielvorstellung mit und Eckpunkte von dem was du möchtest, dann kann man was vorschlagen. Aus deinen bisherigen Posts kann ich nicht erkennen, was deine Motivation ist, dass so aufzubauen: Stromsparen, Lernen, was möchtest du mit den VLANs, usw.

 

[neuerb]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Ziel ist es ein NAS Server über das NAS-Betriebssystem Unraid zu betreiben, sodass man auch von Außen druf zugreifen kann. Anfangs sollte das nur via VPN (WireGuard) möglich sein, wenn ich tiefer in der Materie bin, würde ich gerne über Portfreigaben für vereinzelte Dienste nachdenken, ohne mich einem Sicherheitsrisiko auszusetzen. Letzeres ist jedoch Zukunftsmusik, und für mich aktuell nicht von großer Relevanz.

Was mich jetzt hier dran motiviert ist, von allem ein wenig, ich muss mich weiterbilden und was lernen. Ich bekomme natürlich viel gezeigt in der Schule und im Betrieb, durchlaufe die einzelnen Bereiche, aber wenn ich was mitnehmen will muss ich mich mit dem Bereich auch selbst auseinandersetzen.

Ansonsten ist der andere Punkt einfach, dass ich irgendwo anfangen muss, und das würde ich gerne am Netzwerk bei mir machen. Mein Netzwerk würde ich gerne so aufbauen, dass es eine Energieeffiziente Langzeitlösung ist. EIn anderes Ziel in der Zukunft ist das Thema Smart Home ... Da würde ich für die Zukunft unbedingt ein getrenntes Netz für die ganzen China Geräte haben wollen.

Also zusammengefasst meine Motivation ist aus dem Persönlichem Interesse und Lernzwecken zusammengewachsen.

Edit:

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Also ich würde hier so ein Mittelding nehmen. Ich habe ein kleinen sehr energieeffizeienten aber sehr leistungsstarken Thinclient für unter 100€ bei ebay bekommen. Der hat zwar leider nur ein Ethernet Port, aber das würde ich mit einem USB auf Ethernet Adapter lösen, oder alternativ ein M.2 auf 2x Ethernet Adapter bestellen, und diesen dann da an geeigneter Stelle am Gehäuse dran basteln.

 

[conga]

Wenn du ein Unraid NAS betreiben willst, dann baue dir das NAS Gerät und hänge es in deinen Netz und greifen von Auserhalb darauf mit wireguard zu. Wenn du jetzt schon ein Fritz!Box benutzt, die können auch schon wireguard. Eine Fritz!Box ist sehr wahrscheinlich sicherer als ein BridgeModus und irgendein VM Eierlengende wollmichsau und Firewall. Strom sparst du auch mit der ersten Methode.

Für den Rest, wenn du lernen willst, baue dir ein Lab (Testumgebung) in einer Virtuellen Umgebung, kannst du mit Virtual Box oder Proxmox machen. Du kannst alle Geräte Virtualisieren, z. B. Opensense, openWRT, usw. und Netzwerke simulieren. Bei Virtual Box kannst du bis zu vier Adapter jeden Gerät zuweisen mit folgen konfiguration:

• Nicht angeschlossen
• NAT
• Netzwerkbrücke
• Internes Netzwerk
• Host-only Adapter

Bei Proxmox gehen erweiterte konfigurationen:

• NAT
• Bridge oder Router Modus
• Masquerading
• Port forwarding
• Routed Configuration
• Masquerading (NAT) with iptables,

Als Übung- und Lernprojekt, nimm dir ein der von mir genannten VM Lösungen. Virtual Box ist glaube ich für den Anfang einfacher. Proxmox ist komplexer und ist für dein Endziel geeigneter. Nimm dein Rechner oder Thincleint, erstelle ein Konzept und baue drauf die VM Umgebung. Als Übergang in dein Netz erstelle eine FW wie, IPfire, Opensense und/oder eine openWRT. Überlege dir, FW getrennte Netze, wie WAN, LAN, DMZ, WLAN. Baue ein weiters VM Gerät, hier musst du überlegen, welche VLANs du brauchst und ob die sich miteinander unterhalten müssen, Routet Netze. Jetzt baue deine VMs die deine Dienste (NAS, piHole, Clients) abbilden und verbinde die im VM Netzwerk entsprechend deiner Netze. Schau mal, wie die untereinander kommunizieren, ob du in sInternet kommst …

Als Stufe 2 kannst du Proxmox nehmen die FW weglassen und die Bordmitteln benutzen, wie Port forwarding, Masquerading (NAT) with iptables, usw. um die Security herzustellen, baue VM für deine Dienste und lass es mit den anderen Clients in deinen Netzwerk interagieren. Wenn du das beherrschst, dann kannst du die Frage selber beantworten, ob ein VM Umgebung hinter einer Bridge als FW und VM Dienste als Sicher eingestuft werden kann oder nicht.

Weiterhin musst du bedenken, dass deine VM Umgebung Gerät als VM und VM FW auch Leistungsstark genug sein muss und genügend Hardware Ports haben muss, was ein Vielfaches kostet und du am Ende damit kein Strom sparst gegenüber der Lösung aus Post #10, Fritz!Box als Bridge, eine 7520 Fritz!Box mit OpenWRT und ein Gerät für Unraid für deine VMs. Hier hättest du auch eine WLAN Lösung die in Gastnetz, VLAN betrieben werden kann. Es ist auch einfacher zu realisieren, zu verstehen, zu warten und aus Security Sicht besser zu beherrschen.