hobbybedingt sammeln sich mit der Zeit immer mehr IoT-Clients in meinem Heimnetzwerk. (Gateway: FB7590, DNS-Server: PiHole mit TLS (Docker), Homeassistant-Server, NAS und div. Clients)
Bis auf ganz wenige Ausnahmen sind alle mit alternativer Firmware geflasht und von ihren dubiosen Clouds befreit.
Alles was nur lokal genutzt wird, wird per FB-Kindersicherung blockiert. Ich bildete mir lange ein, dass es damit gelöst wäre.
Leider beobachte ich aber, dass es bei vereinzelten IoT-Clients nicht so richtig und zuverlässig funktioniert. Eine Fehlersuche diesbezüglich ist für mich sehr schwierig, da ich überhaupt nicht nachvollziehen kann, wie diese „Firewall“ in der FB überhaupt funktioniert und umgesetzt wird. Weitere „dubiose“ Verhaltensweisen der Box, trüben meine Vorstellung von Verlässlichkeit und Vertrauen.
Nun stelle ich mir die Frage, ob es nicht besser wäre, zu diesem Zweck zusätzlich eine einfache Firewall einzusetzen. Die FB würde ich gerne behalten wollen, da die Vorteile für mich noch überwiegen und ich mich nicht wirklich an einen richtigen Router herantraue. Zudem ist dies auch eine finanzielle Frage.
Wäre eine zusätzliche Firewall überhaupt eine umsetzbare und funktionierende Lösung für mein Anliegen?
Falls ja, hat jemand einen Vorschlag oder Erfahrung mit einer ganz einfachen Firewall (HW und/oder nur SW) und wie müsste diese ins Heimnetz intergriert werden?
Zum Kindersicherungsfeature der Fritzbox kann ich leider nichts sagen, da bin ich nicht firm.
Dein Problem kommt mir aber bekannt vor; ich habe dazu im Pihole eine separate Gruppe für die (in meinem Fall) SmartTVs angelegt und wende in diesem Whitelisting (alles verboten, explizite Freigaben) anstatt wie sonst im Pihole üblich Blacklisting (alles erlaubt, explizite Verbote) an.
Dazu habe ich dieser separaten Gerätegruppe die Regex-Domain „.*“ (Punkt Stern, nicht die Anführungszeichen) hinzugefügt und anschließend einzelne Domains freigegeben.
Vielleicht reicht dir das, vielleicht möchtest du aber tatsächlich eine richtige Firewall einsetzen, was aber ungleich komplexer wäre. Die Frage, die sich anschließt, wäre nämlich, wie du effektiv (und mit sinnvollem Ergebnis!) die für deine IoT erreichbaren IPs im Internet pflegen möchtest.
Mein Ansatz funktioniert natürlich überhaupt nicht, sollten Hersteller ihren Geräten keine Domains sondern direkt die IP Adressen einpflanzen, weil keine DNS Auflösung mehr stattfinden muss.
Falls du viel Spieltrieb mitbringst, wäre ich an den Ergebnissen einer Kombination der Ansätze interessiert: Erst im Pihole mittels .* sämtliche DNS-Auflösung dieser Geräte blocken und anschließend auf der Firewall sehen, ob oder wie die Geräte trotzdem irgendwo hin funken.
Leider ist eine Blockierung „nur“ auf DNS-Ebene nicht das, was ich möchte.
Ziel ist es einen Client daran zu hindern, alle möglichen Anfragen ins WAN zu senden.
Diese Clients brauchen auch überhaupt nichts aus dem WAN. Der Zeitserver, Udpates, Datensammlung etc. ist alles Lokal. Falls ich doch mal von Fern Zugriff auf einen der Clients möchte, mache ich dies per VPN zur FB ins Heimnetz.
Eventuell wäre auch noch eine andere Vorgehensweise möglich. Und zwar per VLan-Netz für alle IoT-Devices. Nur brauche ich dann auch wieder eine vertrauenswürdige Instanz, die den Zuriff des VLan ins WAN blockt. (Das läuft wohl wieder auf das selbe hinaus.)
Läuft aller Traffic über/durch das Kuchenloch?
Falls ja, kann man auch dort theoretisch alles blockieren.
Für die Geräte in der Fritte ein Zugangsprofil verwenden was keinen Internetzugang zulässt?
Falls da trotzdem irgendwas durchgehen sollte sollte sich der Hersteller das mal angucken.
Ich habe das Standard-Profil der Fritte auf „Internet gesperrt“ gesetzt und ein neues Profil für „Internetzugang“ angelegt.
Vorteil: Alles was neu dazukommt ist automatisch gesperrt und muss bewusst frei gegeben werden.
Das Problem mit der FB ist, dass wenn man vieles konfiguriert, umstellt und damit rumwerkelt, trifft man früher oder später auf Probleme und erfahrungsgemäss endet dies mit einer Neukonfiguration der FB from scratch.
Das gleiche nun mit dieser „Firewall“. Es treten wieder mal Fehler auf, die so nicht sein sollten und mormalerweise auch nicht sind.
Den Support interessiert sowas wenig bis überhaupt nicht, weil das ist ja nicht das Allerwelts-Szenario darstellt. Da habe ich inzwischen aufgehört, Fehlerbilder zu melden.
Pihole ist ein DNS Server und keine Firewall, deshalb frage ich hier nach Erfahrungswerten und Tipps bezüglich einer einfachen und rudimentären Alternative. Und ob sowas überhaupt Sinn ergibt bei der vorhandenen HW.
Ich kann in der FB auch alles wieder neu konfigurieren, dann geht es höchstwahrscheinlich problemlos bis zum nächsten bug.
Eventuell wäre für mich eine zusätzliche Firewall auch ein weiterer Schritt weg von der FB.
PiHole läuft bei mir als Dockercontainer auf einem NAS.
Ein Raspi wäre wahrscheinlich eine mögliche Hardware, welche ich auch zur Verfügung hätte.
Ich glaube aber, dass in diesem Fall die Software die größere Rolle spielt. Mir geht es in erster Linie um Ratschläge und Erfahrungswerte.
Wenn es mit der Fritzbox nicht so funktioniert, entweder einen OpenWrt-Router (z.B. Flint2) hinter die Fritzbox und über diesen die Firewall-Regeln setzen oder einen stromsparenden Mini-PC/dedizierte Hardware mit Firewall-Lösung (z.B. Netgate pfsense). Bei letzterem bräuchtest du je nach Netzwerk ggf. noch einen AP und Managed Switch.
Ich würde zwischen Fritzbox und dem restlichen Netzwerk bzw zwischen Fritzbox und IoT Geräten einen OpenWRT Router hinstellen.
Die teure Variante könnte der Flint2 sein. Der hat ordentlich Leistung, was bei Firewall Einsatz gut für den Durchsatz ist und ich habe da jetzt sogar Pihole im Docker drauf laufen.
Die low budget Variante wäre bspw eine alte Fritzbox 4040 auf OpenWRT zu flashen oder ein tplink Archer C6. Die 4040 bekommst du gebraucht oft zwischen 20€ und 40€. Habe meine für 20€ bekomme und hat gute Dienste getan. Steht jetzt bei meinen Eltern.
Mit OpenWRT kannst du die IoT Geräten in ein eigenes Netzwerk abtrennen und den Internetzugriff sperren. Die Firewall ist sehr mächtig und funktioniert stabil.
Die 4040 schafft mit Firewall Einsatz je nach Konfiguration allerdings nicht mehr die 1gbit.
Je nach Konfiguration war bei mir mal bei 500mbit, mal bei 800mbit Schluss. da würde der Flint 2 helfen.
Wireguard schafft die 4040 bei mir nur 11mbit mit OpenWRT. Auch hier ist der Flint2 deutlich schneller und teurer. Aber braucht man nicht unbedingt.
Es stellt sich mir nun doch wieder die Frage, weg von AVM und was „richtiges“ oder weiter rumbasteln.
OpenWRT wäre wahrscheinlich ein Zwischenschritt zwischen consumer und professional.
@Kjabl Ist der Flint2 die Routerempfehlung für openWRT oder gibt es noch andere empfehlenswerte und aktuelle Router, welche vollumfänglich unterstützt werden?
Ich frage deshalb, weil die Liste ist lang, aber es funktionieren vermutlich nicht alle Router wirklich einwandfrei oder sind schon älter.
Das kann ich dir jetzt leider nicht ultimativ beantworten. der Flint2 ist, was die Leistung angeht auf jeden Fall sehr weit vorne mit dabei.
Ich habe das jetzt sogar so weit, dass PiHole im Docker mit MACVLAN direkt auf dem Flint2 läuft. Ich spare mir so ein weiteres Gerät und mögliche Verbindungsprobleme. Wenn die Geräte den Router erreichen, dann auch mein PiHole und sollte der Router nicht erreichbar sein, sind PiHole Probleme erstmal nebensächlich
Es gäbe noch den Banana Pi R3 und R4, da musst du aber selbst ein bisschen puzzlen mit Gehäuse, Antennen usw. dafür haben die SFP Slots, wo man wohl auch ein Glasfasermodul einstecken kann. Ich habe Glasfaser bis in die Wohnung und dazwischen halt noch eine original Fritzbox. Bräuchte ich die nicht für DECT, könnte ich mit einem R4 und entsprechendem Modul drauf verzichten.
Es gibt neuerdings auch den OpenWRT One. Der ist vom OpenWRT Projekt entwickelt. Der hat aber nur 2 RJ45 Ports. Da bräuchtest du also noch einen (managed) Switch.
Danke für den kurzen Einblick.
Es hilft doch sehr, wenn man die Lösungen und Ideen anderer User erklärt bekommt.
DECT fürs Festnetz in Kombintion mit einem zusätzlichen VoIP-Server und dem FritzPhone ist bei mir momentan noch der Punkt, welcher mich tendenziell bei der FB bleiben lässt.
Das Verrückte an der ganzen Sache, während der Suche und dem Überlegen für einen vernünftigen Ersatz, macht die FB ihren Job wieder fehlerfrei. Mehrere Reboots und eine etwas rabiatere Ansprache, haben vorerst geholfen. Es gibt keine DNS Anfragen von IoT Clients im Moment.
update:
Habe nun ausführlich nach einem Router gesucht und bin mir immer noch nicht schlüssig, ob überhaupt und was es denn werden soll.
Der Flint2 ist als Geamtpacket ganz verlockend und mit gutem passivem Kühlblock. Könntest du @Kjabl bitte noch was zum WIFI-Problem sagen und mit welcher FW hast du das Teil laufen? Es gibt wohl noch immer Probleme mit den Treibern, was mich sehr abschreckt, da der Router nicht erst seit heute auf dem Markt ist.
Der OpenWRT One ist leider nicht, was ich mir als Heimrouter vorstelle. Ich tendiere z.Zt eher zum BPI-R3 mini.
Ich hoffe, ich rede nicht am Thema vorbei. Wenn bestimmte an der FRITZ!Box angemeldete Clients keinen Zugriff nach außen haben sollen, wäre es dann nicht effektiver, diese in der Fritz!Box zu sperren? Es besteht dann für diese immernoch Zugriff auf das lokale Netzwerk.
Genau die FB verursacht ja das Problem, da sie nicht zuverlässig blockt, weil sie eben keine vollwertige und fehlerfreie Firewall hat.
Das Ding ärgert mich in letzter Zeit sowieso mit verschiedenen Sperenzchen. Im großen und ganzen läuft die Kiste ja recht ordentlich, wenn man sie aber ausreizt, zeigen sich häufiger mal Probleme als einem lieb ist.
Ein OpenWRT-Ersatz kommt bald, dann wird die FB zur Telefonanlage degradiert oder kommt in die Kiste für Elektronikersatzteile
Ich habe parallel zu OpenWRT eine FRITZ!Box 4040 mit FRITZ!OS rein als Netzwerk-Firewall laufen, da ich nebenbei auch Lösungen für meinen Kreis teste. Diese Kombination läuft sauber und problemlos. Natürlich darf diese nicht mit einer vollwertigen Firewall, wie z.B. OpenWRT, verglichen werden, doch diese blockt sauber und zuverlässig angeschlossene Geräte, die keine Verbindung nach draußen haben dürfen. Und das Einsatz-Szenario ist keine 0815-Anwendung sondern schon recht komplex. Beide Firewalls managen verschiedene Netzwerke so, wie ich das möchte. Auch die werksseitige Beschränkung auf 500 Einträge für Black- und Whitelist der FRITZ!OS-Firwall läßt sich damit aufheben. Aber genug damit, ich hatte deine Schilderung also doch richtig verstanden. Keine Ahnung, warum bei dir die Sperrung des Clients nicht korrekt funktioniert.
Da muss ich aber etwas schmunzeln, dass du die Kiste genau dafür brauchst, wofür sie bei mir keinen Taug hat. Aber schön und gut, wenn es funktioniert.
Ich kenne die Problematik meiner FB schon ein wenig.
Wenn ich sie zurücksetzen, neu flashen und from scratch wieder alles neu konfigurieren würde, würde die Kiste wieder richtig ticken. Nur ist mir das langsam zu mühsam.
Nun ja. Die Lösung habe ich inzwischen gefunden. Ich brauche einen Router bei dem man die config-Dateien bearbeiten kann und sieht was geht und was nicht anstelle einer ominöse Box mit diversen Knöpfen die irgend etwas machen. (Klar kann man bei der FB die config extern bearbeiten, aber nicht wieder einspielen.)
Ich hatte vor Jahren mal OpenWrt auf einem TP-Link-Router. Aber was da inzwischen alles mehr als vor etwa 6 - 8 Jahren im Rahmen der Weiterentwicklung geht, weiß ich nicht.
Aus meiner Sicht würde sich allerdings OpnSense anbieten. Den Router kannst du komplett frei konfigurieren wie du es haben willst. Egal ob mehrere Netzwerkschnittstellen, Vlans etc …
Das System deckt einfach alles ab, was dir zu Hause netzwerktechnisch in den Sinn kommt.
Egal ob massenweise Firewall-Regeln, AdGuardHome, DNS-Sperrlisten mit unbound direkt auf OpnSense … Ist im Zweifelsfall nur eine Frage der CPU und Speicherauslegung.
Nachteile:
OpnSense benötigt passende Hardware mit Intel-Netzwerkchips (ist eine Treiberfrage weil OpnSense auf BSD-Unix basiert) aber auch die kostet nicht die Welt.
Wlan macht OpnSense nicht, du bräuchtest als ggf. einen vlan-fähigen Wlan-Ap.
Du benötigst zwingend ein Modem bzw. ONT. Oder ggf. die Fritte, OpnSense als exposed Host dahinter und doppeltes NAT. Letzteres stört aber nur, wenn du von außen auf dein Heim-Netz zugreifen willst.
Die Lernkurve ist sehr steil, eben weil man auf dem System alles manuell konfigurieren kann - aber eben auch muss. Es gibt aber eine ziemlich gute Dokumentation. Kenntnisse der Netzwerkgrundlagen sind aber mehr als angebracht. Geht komplett über die Oberfläche (WEB), Shell braucht man praktisch nicht.
Wenn du viele Geräte im LAN hast und die trennen willst, brauchst du auch einen managed Switch.
Habe gestern den BPI-R3mini erhalten und bin gerade nur begeistert.
(OpenWRT, 2x2,5GbE, 5Watt mit WiFi2.4 und 5, gute Reichweite)
Werde ihn nun ausgiebig testen, bevor er mein Hauptrouter hinter einem 5G-Modem wird.
Nun, ich kenne OpnSense nicht. Für meine Bedürfnisse reicht OpenWRT vollkommen. Ich wüsste nicht, was man „Routermäßig“ damit nicht machen könnte. Das OS ist super schlank, device bootet in Sekunden, viele Packages für alles mögliche und auch ein integriertes WiFi, das gefällt.
Hier mein Aufbau wie die IoT Geräte mittels FritzBox und pfSense Firewall verwaltet werden. System hat einen Notfall-Modus, eine DMZ und ist gut erweiterbar. Strom-Verbrauch etwas erhöht da ich eine weitere FritzBox 7490 betreibe als reine DECT Station - aber die war schon da (hat 10 Jahre gedient - und funktioniert immer noch - also warum nicht weiter nutzen?). Ist auch Teil vom Notfall-Modus damit dann auch Telefon funktioniert (müsst lesen - steht soweit alles beschrieben). Kann als Input für eigene Ideen herhalten.
Nutzen keine Cloud. Stattdessen nur Syncthing (synchronisiert alle notwendigen Daten zwischen Notebook und Smartphone. Backups auf externen NVMe-Festplatten - geht blitzschnell und ist günstig / portabel.
