- Registriert
- 14 Juli 2013
- Beiträge
- 6.925
Hallo zusammen,
ich bin gerade wieder mal dabei, eine Zauberlösung für mein Heimnetzwerk zu basteln und bräuchte da mal kurz eine zweite Meinung dazu. Folgendes ist hier Sache:
Ich habe von unserem Haus aus mehrere Netzwerkkabel in Nebengebäude gelegt. Unter anderem sind dort Solarwechselrichter angebunden und auch das Gartenhaus über DLAN. Nun wäre es ja rein theoretisch jederzeit möglich, dass ein Fremder z. B. in das Gartenhaus eindringt und sich an mein Netzwerk anstöpselt. Macht zwar normalerweise hier niemand aber mir gefällt der Gedanke einfach nicht, dass das möglich wäre.
Außerdem habe ich hier im Zimmer immer einen Netzwerkport liegen, an den ich immer mal wieder fremde Geräte anstecke. Da auf den Geräten alles mögliche an Schadsoftware oben sein könnte, sollte auch dieser vom restlichen Netz abgeschottet sein. Und last but not least - auch WPA2 war schonmal sicherer und WPA3 ist noch in weiter Ferne. Also sollte auch ein WLAN-Accesspoint in das abgeschottete Netz.
Netzwerk sieht gerade wie folgt aus:
Router und Odroid (Mini-Server) hängen mittlerweile an einer USV da hier immer mal wieder die Sicherung fliegt. Am Router hängt wiederum ein Switch, welcher auf die anderen Geräte im Netzwerk verteilt. Örtlich ist das allerdings nicht so "einfach" verteilt wie in dem Schaubild.
Korrekte Vorgehensweise wäre nun:
Zwischen den Zyxel-Router und dem Switch einen weiteren Router/Server/whatever einbauen und somit eine DMZ bauen. Alle Geräte, die nicht in der DMZ sein sollen (Wechselrichter, Gartenhaus), direkt an den Router. Leider ist das allerings nicht so einfach, da die Geräte örtlich dafür eher dämlich stehen. Außerdem schafft man sich das eine oder andere Problem damit. Der Odroid-Server sollte nämlich weiterhin von außen erreichbar sein (Konfigurationsaufwand, Firewallregeln), zusätzliche Latenzzeiten für die Clients, das zusätzliche Gerät müsste auch an die USV, etc.
Nun kam mir die Idee: Wie wäre es denn nun, wenn ich Wechselrichter/Gartenhaus an einem separaten Router anschließe und einfach an den anderen Geräten "vorbeitunnel"? Also sozusagen die DMZ verkehrtherum aufbaue. Ein kurzer Griff in die Bastelkiste brachte einen Signamax 065-1507 hervor (erstmal zum Probieren, wenn das geht, kommt ggf. was neueres dorthin). Das ist ein Uralt-Router mit WAN-Port. Das Netzwerk würde ich nun so aufbauen:
Heißt, auf dem Signamax-Router kommt ein eigener DHCP-Server zum Einsatz und er versorgt das Netz 192.168.1.x als IP-Client in meinem Netz 192.168.5.x. Das Routing habe ich wie folgt konfiguriert:
Signamax als IP-Client am Zyxel:
Alle Anfragen auf die IP-Range 192.168.5.x auf's LAN umleiten (kein Zugriff mehr auf die Clients):
Aber auf den Zyxel 192.168.5.1 wollen wir zugreifen:
Kommunikation in die andere Richtung auf die Wechselrichter (192.168.1.21-23):
So sind die Wechselrichter über die Adressen 192.168.5.11-13 für mich ganz normal im Heimnetz erreichbar.
So sind nun die einzigen zwei Geräte, die noch erreichbar sind, wenn man einen Client am Signamax-Router ansteckt, der Signamax-Router und der Zyxel-Router. Alle weiteren Geräte kann ich nicht mehr anpingen. Auch über IPv6 sehe ich da keine Möglichkeit, da der Signamax-Router das einfach noch nicht kann.
Nun stellen sich mir aber die Fragen:
ich bin gerade wieder mal dabei, eine Zauberlösung für mein Heimnetzwerk zu basteln und bräuchte da mal kurz eine zweite Meinung dazu. Folgendes ist hier Sache:
Ich habe von unserem Haus aus mehrere Netzwerkkabel in Nebengebäude gelegt. Unter anderem sind dort Solarwechselrichter angebunden und auch das Gartenhaus über DLAN. Nun wäre es ja rein theoretisch jederzeit möglich, dass ein Fremder z. B. in das Gartenhaus eindringt und sich an mein Netzwerk anstöpselt. Macht zwar normalerweise hier niemand aber mir gefällt der Gedanke einfach nicht, dass das möglich wäre.
Außerdem habe ich hier im Zimmer immer einen Netzwerkport liegen, an den ich immer mal wieder fremde Geräte anstecke. Da auf den Geräten alles mögliche an Schadsoftware oben sein könnte, sollte auch dieser vom restlichen Netz abgeschottet sein. Und last but not least - auch WPA2 war schonmal sicherer und WPA3 ist noch in weiter Ferne. Also sollte auch ein WLAN-Accesspoint in das abgeschottete Netz.
Netzwerk sieht gerade wie folgt aus:
Router und Odroid (Mini-Server) hängen mittlerweile an einer USV da hier immer mal wieder die Sicherung fliegt. Am Router hängt wiederum ein Switch, welcher auf die anderen Geräte im Netzwerk verteilt. Örtlich ist das allerdings nicht so "einfach" verteilt wie in dem Schaubild.
Korrekte Vorgehensweise wäre nun:
Zwischen den Zyxel-Router und dem Switch einen weiteren Router/Server/whatever einbauen und somit eine DMZ bauen. Alle Geräte, die nicht in der DMZ sein sollen (Wechselrichter, Gartenhaus), direkt an den Router. Leider ist das allerings nicht so einfach, da die Geräte örtlich dafür eher dämlich stehen. Außerdem schafft man sich das eine oder andere Problem damit. Der Odroid-Server sollte nämlich weiterhin von außen erreichbar sein (Konfigurationsaufwand, Firewallregeln), zusätzliche Latenzzeiten für die Clients, das zusätzliche Gerät müsste auch an die USV, etc.
Nun kam mir die Idee: Wie wäre es denn nun, wenn ich Wechselrichter/Gartenhaus an einem separaten Router anschließe und einfach an den anderen Geräten "vorbeitunnel"? Also sozusagen die DMZ verkehrtherum aufbaue. Ein kurzer Griff in die Bastelkiste brachte einen Signamax 065-1507 hervor (erstmal zum Probieren, wenn das geht, kommt ggf. was neueres dorthin). Das ist ein Uralt-Router mit WAN-Port. Das Netzwerk würde ich nun so aufbauen:
Heißt, auf dem Signamax-Router kommt ein eigener DHCP-Server zum Einsatz und er versorgt das Netz 192.168.1.x als IP-Client in meinem Netz 192.168.5.x. Das Routing habe ich wie folgt konfiguriert:
Signamax als IP-Client am Zyxel:
Alle Anfragen auf die IP-Range 192.168.5.x auf's LAN umleiten (kein Zugriff mehr auf die Clients):
Aber auf den Zyxel 192.168.5.1 wollen wir zugreifen:
Kommunikation in die andere Richtung auf die Wechselrichter (192.168.1.21-23):
So sind die Wechselrichter über die Adressen 192.168.5.11-13 für mich ganz normal im Heimnetz erreichbar.
So sind nun die einzigen zwei Geräte, die noch erreichbar sind, wenn man einen Client am Signamax-Router ansteckt, der Signamax-Router und der Zyxel-Router. Alle weiteren Geräte kann ich nicht mehr anpingen. Auch über IPv6 sehe ich da keine Möglichkeit, da der Signamax-Router das einfach noch nicht kann.
Nun stellen sich mir aber die Fragen:
- Übersehe ich da was? Kann man aus diesem "Gefängnis" mit diesen Routing-Regeln noch irgendwie ausbrechen und auf die Clients zugreifen? Ich mein, ja, wenn man das Kennwort vom Zyxel oder Signamax knackt, dann kann man das sicherlich. Aber jemand der in der Nacht in's Gartenhaus einsteigt, wird da wohl kaum die Zeit dazu haben.
- Mittelfristig sehe ich da nun noch kein Problem mit dem Setup aber langfristig gesehen werde ich durch die mangelnde IPv6-Fähigkeit auf Probleme stoßen. Kann man das dort ebenfalls so konfigurieren/umsetzen? Bin leider mit dem Thema IPv6 noch eher wenig bewandert.
- Weitere Anmerkungen?