Sinnvoller Netwerkaufbau für zu Hause + Wireguard + OpenWRT

Verfügbare Hardware:

  • FB 7490 für den DSL-Zugang
  • FB 4040 mit OpenWRT
  • Bruder MuFu Drucker mit LAN
  • Linux-Recher mit nur einer Netzwerk-Karte (W-LAN will ich nicht nutzen)
  • diverse Notbooks und Mobilgeräte im W-LAN

Der Linux-Rechner ist derzeit ein einfaches NFS Datengrab und hängt am Fernseher, um ab und an einen Film anzusehen.

Konfig derzeit:

Folgende Änderung:
grün und blau hängen zusammen wegen der Erreichbarkeit.
FB 6490 heißt bei mir FB 7490 (DSL Modem)
(ich habe das Bild von hier aus dem Blog geklaut, weil ich faul bin, hoffe das ist nicht schlimm)

  1. Frage:
    Warum die Trennung? Mir erschließt sich der Sinn noch nicht.
    Wenn ich trennen würde, wie könnte ich NFS und Drucker in beiden Sub-Netzen erreichbar machen?

  2. Frage:
    Wenn ich mit Wireguard VPN den Werbeblocker von OpenWRT von unterwegs nutzen möchte, dann muss ich OpenWRT als Exposed Host konfigurieren und Wireguard auf OpenWRT nutzen? Oder gibt es eine andere Alternative? DynDNS müsste dann aber wiederum die FB 7490 machen.

  3. Frage:
    Oder wäre es sinnvoller ein Pi-hole ins gelbe Netz zu stellen und den VPN die FB 7490 machen zu lassen? Ist das sicherer? OpenWRT Werbeblocker vs Pi-hole?

Wenn ich einen Matrix-Server aufsetzen würde, käme der klar ins gelbe Netz. Aber da ist mir die Haftungsfrage bei Missbrauch zu unklar, wenn ich Freunden einen Zugang bereit stelle. So kommt mein Linux-Rechner ins grüne Netz und fertig.

Auch mit DAVx und MBO bin ich zufrieden, so dass ich keinen Grund sehe eine NextCloud oder ähnliches selber aufzusetzen.

Was könnte man sonst noch rum spielen?

Danke und Grüße
Chris

DSL oder Kabel wie im Bild - passt nicht zusammen.

Mir auch nicht. Was willst Du eigentlich erreichen? Oder Spieltrieb?

Weil ich faul bin, habe ich das Bild aus dem Kuketz Blog geklaut, dachte das sollte mittlerweile auch hier im Forum bekannt sein. Die FB 6490 heißt bei mir 7490 :wink: - ich werde es oben noch ergänzen.

Also lasse ich WiFi und LAN einfach zusammen, vielleicht kann @kuketzblog was dazu sagen.

@audofriemler
Ich bin jetzt kein Netzwerkexperte, aber ich könnte mir vorstellen, dass grundsätzlich eine Trennung zwischen LAN und WLAN in unterschiedliche Netzwerksegmente Sinn macht:

  • die Verbindung per LAN würde ich als zuverlässiger und sicherer einschätzen
  • im WLAN habe ich u.U. (GAFAM) Mobilgeräte, denen ich nie ganz trauen kann (?)

Meinem Verständnis nach kannst du die „Erreichbarkeit“ zwischen den beiden Segmenten durch Einträge in der Routingtabelle herstellen, falls überhaupt gewünscht.

Beschäftige mich auch gerade mit dem Thema der von @kuketzblog vorgeschlagenen Einrichtung einer DMZ und stelle mir u.a. folgende Fragen:

  1. Nicht-googlefreie Mobilgeräte und „Smart“-TVs
    Sollte ich die nicht gleich besser in die DMZ (also in das WAN Segment meines openWRT Routers bringen?

  2. Mobiles Arbeiten
    Wenn ich beruflich zuhause arbeite, muss ich ein W11 Laptop meines Arbeitgebers verwenden, dieses ist per VPN mit der Firma verbunden. Warum dieses nicht auch in die DMZ (gelbes Netz) setzen? Wenn ich auf Dienstreise bin, habe ich ja auch keinen openWRT Router mit dabei.

  3. Bedrohungsszenario in der DMZ
    Vielleicht bin ich ja zu naiv, aber einen gewissen Schutz habe ich doch auch in der DMZ im Vergleich zum „bösen“ Internet. Kritisch sind offene Ports u.a. wegen Providerzugriff wegen TR-069, oder? Theoretisch kann der Provider beliebige Firmware auf dem Exposed Host (hier Fritz!Box) aufspielen, Info über mein dahinterliegendes Netz bekommen, Wifi-Keys auslesen (?) etc. - daher kommt alles, was ich für wirklich schützenswert halte in mein internes Netz hinter den openWRT.

Bin gespannt, wie ihr das seht …

Der Grund für den Netzwerkaufbau ist klar im Beitrag kommuniziert, aus dem das Diagramm entnommen wurde:

Gerade als Kunde von einem Kabelnetzbetreiber bekommt man häufig eine FRITZ!Box gestellt. Allerdings hat man meist nur eingeschränkte Möglichkeiten, die Einstellungen zu verändern oder Zusatzoptionen wurden vom Netzbetreiber beschnitten. Grundsätzlich gilt: Das Gerät gehört dem Provider und damit auch das anliegende Netz. Ihr geht damit also eine Vertrauensbeziehung zu eurem Provider ein, der sich theoretisch jederzeit über die FRITZ!Box in euer WLAN bzw. Hausnetz einklinken könnte, ohne dass ihr es bemerkt.

Über das Webinterface der FRITZ!Box unter »Diagnose → Sicherheit« werden »nach draußen« geöffnete Ports aufgelistet. Unter anderem wird dort der Port 8089 aufgelistet, den ihr als Kabelkunde (normalerweise) nicht schließen könnt. Der TCP-Port 8089 dient der Autokonfiguration von eurem Internetzugang und der Internettelefonie, sowie für automatische Updates der FRITZ!Box. Dieser Rückkanal bzw. Fernwartungsport TR-069 stellt allerdings auch ein Sicherheitsrisiko dar.

Gerade für Kunden von Kabelanschlüssen, die auf ein Kabelmodem bzw. eine FRITZ!Box angewiesen sind, ist es daher empfehlenswert, eine zusätzliche »Barriere« zwischen Provider und ihrem (Haus-)Netz zu integrieren. Dies lässt sich bspw. mit OpenWrt realisieren.

1 „Gefällt mir“

Dankeschön, bis hier ist „alles klar soweit“.

Unklar ist mir noch die Trennung von LAN (grün) und WiFi (blau). Welchen Hintergrund hat das?

Das ist eine Netzsegmentierung, die ich vornehme. Man kann WiFi-/LAN-Clients auch alle in ein Subnetz packen. Ich trenne dies.

ja, aber WARUM ?

Das ist eine proaktive Sicherheitsmaßnahme, da ich am LAN-Interface sensiblere Geräte/Clients betreibe.

3 „Gefällt mir“

Jetzt ist zumindest deine 1. Frage beantwortet …
Die 2. bzw. 3. Frage finde ich auch noch interessant - oder hast du da neue Erkentnisse?