Ich arbeite mich aufgrund meiner Probleme mit der FRITZ!Box gerade in OpenWrt ein. Dafür habe ich einen OpenWrt-Router im Moment noch hinter meiner FRITZ!Box und konfiguriere ihn nach und nach.
Mittelfristig möchte ich mir aber ein DSL-Modem kaufen und den OpenWrt-Router direkt dahinter - also direkt am Internet-Anschluss - betreiben. (Die FRITZ!Box ist gemietet und ich würde sie gerne zurückgeben.)
Das unterscheidet sich von dem Setup, das @kuketzblog fährt. Da ich noch relativ frisch in diesem Gebiet bin, wollte ich mich mal erkundigen, wie euer Netzwerkaufbau mit OpenWrt aussieht? Ist es einigermaßen sicher, OpenWrt direkt am Internetanschluss zu betreiben?
Ich habe allerdings auch den Router vom Provider am Internet, dann den OpenWrt Router. Der Grund ist Zwang (in der Schweiz gibt es kein “freie Router-Wahl Gesetz”), sprich der Provider will einen proprietären Router verkaufen.
Was soll dir der Netzwerkaufbau von anderen bringen? Du brauchst einen Netzwerkaufbau auf deine Bedürfnisse zugeschnitten. Dazu müsstest du allerdings deine Geräte und Anforderungen nennen.
Ich habe eigentlich ein ganz normales privates Heimnetz, bislang mit einer FRITZ!Box. An dieser sind eine Handvoll Geräte per LAN-Kabel angeschlossen. Eine weitere Handvoll Geräte ist per WLAN verbunden.
Auf OpenWRT möchte ich hauptsächlich deshalb umsteigen, weil die FRITZ!Box bei mir Probleme mit verschlüsselten DNS-Anfragen macht.
Als Anforderung habe ich darüber hinaus eigentlich nur, dass ich mich per Wireguard in mein Heimnetzwerk verbinden kann, damit die unterwegs genutzten Mobiltelefone (iPhones), PiHole oder ggf. auch gleich das AdBlock-Addon direkt auf dem OpenWRT-Router benutzen können.
Gerade aufgrund des letzten Punkts hatte ich bislang daran gedacht, die FRITZ!Box einfach durch den OpenWrt-Router zu ersetzen. Da ich aber ein DSL-Modem benötige, hätte ich in dieser Konstellation ein Modem von bspw. DrayTek (Vigor 167) davor gehängt.
Alternativ könnte ich mir natürlich auch eine günstige FRITZ!Box (z.B. 7510) besorgen, deren WLAN abschalten und hätte so eine (weitere) Firewall vor dem OpenWrt-Router. Unklar ist mir nur, wie das dann mit der WireGuard-Verbindung zum PiHole (hinter dem OpenWrt-Router) oder zum OpenWrt-Router selbst (AdBlock-Addon) läuft - also wie mein Mobiltelefon sich dann „bis dahin“ verbindet.
Mit solch vagen Informationen kann man keine Empfehlung abgeben.
Verschlüsseltes DNS is höchstens für Clients relevant, die keine eigene TLS-Verschlüsselung haben und dann eigentlich gar nicht ins Internet sollten. Für alles andere ist es unnötig, da der Client (z.B. dein Browser) manipulierte DNS-Anfragen aufdecken würde. Datenschutztechnisch hat man auch nichts gewonnen wegen unverschlüsseltem Client Hello. Wenn du etwas bewirken willst, verwende ein VPN.
Verstehe ich das richtig, dass das hier dann sinnlos ist, solange ich nicht zumindest auch einen VPN einsetze?
EDIT:
Danke für den hilfreichen Input bis hierhin. Dann versuche ich es noch einmal neu:
Ich habe mich entschlossen, OpenWrt erstmal weiter einzusetzen, um mehr über Netzwerkaufbau und -begrifflichkeiten zu lernen. Aus Sicherheitsgründen würde ich den OpenWrt-Router zunächst eine Weile hinter der FRITZ!Box betreiben. Dafür würde ich das Setup von @kuketzblog (mittels statischem Routing) wählen.
Nochmal zu meiner Ausgangssituation:
Aktuell habe ich eine Fritzbox, an der per LAN-Kabel ein AppleTV, eine SONOS-Box und ein Switch angeschlossen ist. Hinter dem Switch hängen ein privater und ein Arbeits-PC sowie ein Arbeits-IP-Telefon (ich arbeite viel aus dem HomeOffice). Im WLAN befinden sich mehrere Smartphones der Familie und ein Familien-iPad.
Mein Ziel ist es, die FRITZ!Box (vorerst) weiter als Router/Gateway zu verwenden, den OpenWrt-Router damit per LAN-Kabel zu verbinden und dann alle Geräte, die bislang an der FRITZ!Box (ob per LAN oder drahtlos) hingen, mit dem OpenWrt-Router zu verbinden.
Die FRITZ!Box hätte dann noch folgende Aufgaben:
Einwahl in das Internet
Wireguard, damit ich von außen in mein Netz komme
DynDNS-Updates an meinen DynDNS-Provider schicken (für Wireguard)
Der OpenWrt-Router sollte insbesondere Folgendes bereitstellen:
DNS-Server (mit AdBlock-Addon)
möglichst zwei VLANs (eines für meine privaten Geräte und eines für meine Arbeits-Geräte)
Lösen würde ich das Ganze, wie im Artikel von @kuketzblog beschrieben, über ein statisches Routing.
Hierzu habe ich folgende Verständnisfragen:
Wie kommt ein Client (bspw. ein iPhone), dass sich per WireGuard mit meiner FRITZ!Box befindet in das Netz des OpenWrt-Routers? (Ich glaube, ich habe das Konzept des statischen Routings noch nicht ganz verstanden.)
Ist das überhaupt erforderlich, wenn ich eigentlich nur möchte, dass das Gerät, das per Wireguard verbunden ist, den OpenWrt-Router als DNS-Server verwendet (für AdBlock)?
Solltet ihr noch weitere Infos brauchen, lasst es mich gerne wissen. Danke für eure Unterstützung.
Hi, für deine Frage gibt es verschiedene Lösungen:
Wie kommt ein Gerät von draußen per Wireguard ins Netz vom OpenWrt Router?
Dafür stellst du die Wireguard Verbindung am besten nicht mehr der Fritzbox her. Auf der Fritzbox richtest du eine Portweiterleitung an den OpenWrt Router ein und dort den WG Server. Smartphone und Co verbinden sich dann direkt zu OpenWrt durch die Fritzbox hindurch.
Wenn es wirklich nur um DNS geht, könntest du die WG Verbindung natürlich auch zur FritzBox aufbauen, in Wireguard dann die IP des OpenWrt Routers im Fritzbox Netz und dann in der OpenWrt Firewall den entsprechenden Port öffnen. ABER das würde ich nicht empfehlen und lässt sich auch nicht übertragen, wenn du die Fritzbox später weglässt.
Mit dem statischen Routing hat das erstmal auch nichts zu tun, da die OpenWrt Firewall keine Zugriffe von außen zulässt. Das statische Routing hilft in dem Beispiel eher dabei, dass Anfrangen die von drinnen nach draußen gehen auch beantwortet werden können.
Eine Ergänzung noch. @Chief1945 hat natürlich einen Punkt. Wenn es dir ausschließlich um DNS Blockierung bzw Filterung geht, dann könntest du überlegen, ob ein VPN das passende Mittel ist.
Grundsätzlich könntest du das bspw auch auf dem Endgerät mit Rethink DNS bei Android Geräten machen. Du könntest auch auf dem Smartphone/Tablet/Laptop DNS Server bspw von Mullvad einrichten, die Filter integriert haben.
Genauso kann es aber natürlich Gründe geben, warum du dies mit einer zentralen Lösung wie Pi hole oder AdBlock umsetzen möchtest.