WLAN zu Hause für Gäste halbwegs sicher segmentieren

Bei mir im Heimnetz gibt es vier Arten von Geräten:
a) dienstlicher PC
b) privater PC
c) eigenes Smartphone
d) Gäste-Smartphones

Ich frage mich, ob ich bei gegebener Hardware ein akzeptables Sicherheitsniveau erreicht habe. Bedenken habe ich ggü. Schadsoftware und ggü. Tracking.

A, B, C habe ich selbst konfiguriert, google-frei und „sicher“
D habe ich konfigurativ nicht unter Kontrolle.

Als Router läuft eine Fritzbox, nur LAN. Daran hängen A und B
Am „Gastzugang-Port“ hängt ein separater W-Lan Accesspunkt (EAP 225), der u. a. Isolierung von Clients gegeneinander bereitstellt. Daran hängen C und D.

Haltet ihr das Setup in Bezug auf Gast-Geräte für vertretbar sicher bzw. mit geringem Aufwand noch für optimierbar?
Ich möchte vermeiden, dass durch Gast-Geräte meine Privatsphäre (IP-Haushaltstracking, …) oder meine Netzwerksicherheit arg leidet.

Ideen:

  • Zusätzlich zum filternden DNS-Server noch eine Blacklist auf der Fritzbox anlegen, um z. B. google.com zu filtern
  • ein separates W-LAN im Accesspunkt aufbauen (separate SSID, VLAN)
  • ein separates W-LAN über die Fritzbox anbieten, nur für Gäste

eine halbwegs aktuelle Fritzbox 7xxx kann zwei WLANs aufspannen. Warum hast Du stattdessen den EAP 225 im Einsatz?

Also Bastellösungen gibt es reichlich aber zum einen kann die Fritz das out of the box[1]. Des Weiteren, wenn es etwas größer gedacht sein soll, würde ich auf die Möglichkeiten von Ubiquiti hinweisen[2]. Damit kann man für relativ kleines Geld eine ziemlich professionelle Lösung aufbauen.

[1] https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/294_WLAN-Gastzugang-in-FRITZ-Box-einrichten/
[2] https://ui.com/wifi

HTH CD

aus topologischen Gründen (Standort der Geräte, Abdeckung)

Ich habe mit OpenWrt ein WLAN für private Geräte die ins interne Netzwerk müssen, eins für weitere private Geräte, eins für dienstliche Geräte und eins für IoT ohne Internetzugang angelegt, jeweils mit eigenem VLAN. Für Gäste gibt es Freifunk über einen extra Router.

1 „Gefällt mir“

Ist der Accesspoint über Ethernet oder über WLAN angeschlossen? Könntest Du die Fritzbox verlegen?
Selbst wenn der Accesspoint C und D trennen kann, den Zugriff auf A+B wird er ohne zusätzliche Maßnahmen wahrscheinlich nicht verhindern.

Der Accesspunkt fürs WLAN hängt über Ethernet am „Gastzugang“-Port der Fritzbox.
Nach meinem Verständnis kommen WLAN-Geräte somit nicht an die LAN-Geräte der Fritzbox.

Elegante Lösung. Besonders als Trackingschutz :slight_smile:

1 „Gefällt mir“