• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

DMZ "rückwärts"

thom53281

SYS64738
Teammitglied

Registriert
14 Juli 2013
Beiträge
6.908
Hallo zusammen,

ich bin gerade wieder mal dabei, eine Zauberlösung für mein Heimnetzwerk zu basteln und bräuchte da mal kurz eine zweite Meinung dazu. Folgendes ist hier Sache:

Ich habe von unserem Haus aus mehrere Netzwerkkabel in Nebengebäude gelegt. Unter anderem sind dort Solarwechselrichter angebunden und auch das Gartenhaus über DLAN. Nun wäre es ja rein theoretisch jederzeit möglich, dass ein Fremder z. B. in das Gartenhaus eindringt und sich an mein Netzwerk anstöpselt. Macht zwar normalerweise hier niemand aber mir gefällt der Gedanke einfach nicht, dass das möglich wäre.

Außerdem habe ich hier im Zimmer immer einen Netzwerkport liegen, an den ich immer mal wieder fremde Geräte anstecke. Da auf den Geräten alles mögliche an Schadsoftware oben sein könnte, sollte auch dieser vom restlichen Netz abgeschottet sein. Und last but not least - auch WPA2 war schonmal sicherer und WPA3 ist noch in weiter Ferne. Also sollte auch ein WLAN-Accesspoint in das abgeschottete Netz.

Netzwerk sieht gerade wie folgt aus:



Router und Odroid (Mini-Server) hängen mittlerweile an einer USV da hier immer mal wieder die Sicherung fliegt. Am Router hängt wiederum ein Switch, welcher auf die anderen Geräte im Netzwerk verteilt. Örtlich ist das allerdings nicht so "einfach" verteilt wie in dem Schaubild.

Korrekte Vorgehensweise wäre nun:
Zwischen den Zyxel-Router und dem Switch einen weiteren Router/Server/whatever einbauen und somit eine DMZ bauen. Alle Geräte, die nicht in der DMZ sein sollen (Wechselrichter, Gartenhaus), direkt an den Router. Leider ist das allerings nicht so einfach, da die Geräte örtlich dafür eher dämlich stehen. Außerdem schafft man sich das eine oder andere Problem damit. Der Odroid-Server sollte nämlich weiterhin von außen erreichbar sein (Konfigurationsaufwand, Firewallregeln), zusätzliche Latenzzeiten für die Clients, das zusätzliche Gerät müsste auch an die USV, etc.

Nun kam mir die Idee: Wie wäre es denn nun, wenn ich Wechselrichter/Gartenhaus an einem separaten Router anschließe und einfach an den anderen Geräten "vorbeitunnel"? Also sozusagen die DMZ verkehrtherum aufbaue. Ein kurzer Griff in die Bastelkiste brachte einen Signamax 065-1507 hervor (erstmal zum Probieren, wenn das geht, kommt ggf. was neueres dorthin). Das ist ein Uralt-Router mit WAN-Port. Das Netzwerk würde ich nun so aufbauen:



Heißt, auf dem Signamax-Router kommt ein eigener DHCP-Server zum Einsatz und er versorgt das Netz 192.168.1.x als IP-Client in meinem Netz 192.168.5.x. Das Routing habe ich wie folgt konfiguriert:

Signamax als IP-Client am Zyxel:



Alle Anfragen auf die IP-Range 192.168.5.x auf's LAN umleiten (kein Zugriff mehr auf die Clients):



Aber auf den Zyxel 192.168.5.1 wollen wir zugreifen:



Kommunikation in die andere Richtung auf die Wechselrichter (192.168.1.21-23):



So sind die Wechselrichter über die Adressen 192.168.5.11-13 für mich ganz normal im Heimnetz erreichbar.


So sind nun die einzigen zwei Geräte, die noch erreichbar sind, wenn man einen Client am Signamax-Router ansteckt, der Signamax-Router und der Zyxel-Router. Alle weiteren Geräte kann ich nicht mehr anpingen. Auch über IPv6 sehe ich da keine Möglichkeit, da der Signamax-Router das einfach noch nicht kann.


Nun stellen sich mir aber die Fragen:

  • Übersehe ich da was? Kann man aus diesem "Gefängnis" mit diesen Routing-Regeln noch irgendwie ausbrechen und auf die Clients zugreifen? Ich mein, ja, wenn man das Kennwort vom Zyxel oder Signamax knackt, dann kann man das sicherlich. Aber jemand der in der Nacht in's Gartenhaus einsteigt, wird da wohl kaum die Zeit dazu haben.
  • Mittelfristig sehe ich da nun noch kein Problem mit dem Setup aber langfristig gesehen werde ich durch die mangelnde IPv6-Fähigkeit auf Probleme stoßen. Kann man das dort ebenfalls so konfigurieren/umsetzen? Bin leider mit dem Thema IPv6 noch eher wenig bewandert.
  • Weitere Anmerkungen?
Danke! :)
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Übersehe ich da gerade was, oder ist das, was du suchst, ein simples VLAN? Das kann ja so ziemlich jeder managed switch. Weiß nicht, ob der Zyxel 5501 damit umgehen kann, ich nutze das Ding immer nur als Modem und hänge einen Ubiquiti EdgeRouter dahinter.
 

thom53281

SYS64738
Teammitglied

Registriert
14 Juli 2013
Beiträge
6.908
  • Thread Starter Thread Starter
  • #3
Weder der Zyxel, noch der Switch können mit VLAN umgehen. Ist halt ganz normale Consumerhardware hier. Ansonsten hätte ich das so gemacht, z. B. mit einer Fritzbox hätte man den Gastzugang auf LAN4 freischalten können und dann mit einem VLAN-fähigen Switch verteilen. Aber die Fritzboxen haben leider immer noch Stabilitätsprobleme an Vectoring-VDSL und wenn man der Fritzbox ein anderes Modem vorschaltet, geht der Gastzugang afaik nicht mehr. Ansonsten kommen außer dem Zyxel nicht viele IAD in Frage, da ich einen S0-Bus brauche und mir wär da wirklich keines bekannt, welches einen Gastzugang bzw. sogar VLAN könnte. Daher kann auch ein anderer Router, dem Zyxel nachgeschaltet, nicht die Einwahl übernehmen, weil sonst die IP-Telefonie flachfällt.

Außer man würde den S0-Bus abbauen und die Telefone durch IP-Telefone ersetzen. Aber dann müsste ich drei Telefone neu kaufen und alles umverdrahten.
 

eraser

Stinkstiefel

Registriert
21 Juli 2013
Beiträge
3.775
An WPA2 hat sich trotz aller Panikmache gar nix geändert. Krack wurde gepatcht und die neue Sicherheitslücke ist nur ein Schrei nach Aufmerksamkeit.
Hashes konnte man schon immer mitsniffen. Vorher musste man eben warten bis sich jemand neu angemeldet hat (oder man eben DEAUTH-Packets gesendet hat) und nun klappt das eben einfacher.
Den Hash zu entschlüsseln (2^256 Möglichkeiten) bei nem 256 Bit Schlüssel dauert noch genauso lang wie vorher auch. Das macht absolut 0 Unterschied.

Die einzige vernünftige Lösung für dein Anliegen sind VLANs.
Deine DLAN Adapter übertragen übrigens aufgrund ihres Layers das VLAN mit.
 

thom53281

SYS64738
Teammitglied

Registriert
14 Juli 2013
Beiträge
6.908
  • Thread Starter Thread Starter
  • #5
Ok, drücken wir das mit dem WLAN nochmal anders aus: Dann könnte ich auch mit weniger Bauchweh das WLAN hier Gästen zur Verfügung stellen. ;)

Ja, VLAN wäre die sauberste Lösung. Aber dafür müsste ich hier halt einiges umbauen und meinen Switch wegwerfen. Und ein VLAN-fähiger Switch mit mindestens 16 Ports kostet ja durchaus auch etwas Geld. Aber so im Grunde bin ich eigentlich der Meinung, dass meine Lösung mit dem Router auch funktionieren sollte. Zumindest habe ich nach etwas Ausprobieren keinerlei Möglichkeit gefunden, aus dem Netz auszubrechen und auf meine Clients zuzugreifen.

  • Zugriff auf 192.168.5.1 wird auf den WAN-Port geroutet.
  • Zugriff auf alle anderen Adressen im Netz 192.168.5.x werden auf die LAN-Ports geroutet.
Ich wüsste da nun nicht, wie ich aus dem Netz auf die Clients in 192.168.5.x zugreifen sollte. Selbst wenn ich meinem Gerät von Hand am DHCP-Server vorbei im Netz 192.168.5.x eine Adresse gebe, leitet der Router immer noch alle Zugriffe auf 192.168.5.x auf die LAN-Buchsen und nicht auf den WAN-Port. Aber wie schon gesagt: Übersehe ich da gerade irgendwas? Habe ich da irgendeinen kapitalen Denkfehler drin?
 

eraser

Stinkstiefel

Registriert
21 Juli 2013
Beiträge
3.775
Client statisch konfigurieren und Route per Hand eintragen?
Allerdings wird das schon ausreichen vermute ich.

Zum Thema IPv6: Da brauchst du dir noch keine Sorgen machen. Noch immer nutzen das die allerwenigsten wirklich und wenn man dann mal um die Ecke sieht zu Vodafone, dann bemerkt man sogar, dass die noch nichtmal IPv6 ihren Kunden anbieten, welche ihren Router im Bridge-Modus als reines Modem verwenden. Die bekommen tatsächlich ausschliesslich eine IPv4 und können weder über IPv6 erreichen oder gar erreicht werden. :D
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
@thom53281: wenn der Signamax-Router nicht von potentiellen Einbrechern zugänglich ist, passt das so. Du willst dich ja hier nicht vor Hackern schützen, sondern vor Gelegenheitsnoobs.

Empfehle einen Ubiquiti EdgeRouter ER-X. Der hat eine richtige Firewall und kann GBit Ethernet, für <60€.
 

thom53281

SYS64738
Teammitglied

Registriert
14 Juli 2013
Beiträge
6.908
  • Thread Starter Thread Starter
  • #8
Der Router kommt auch in den Serverschrank direkt neben den Zyxel. "Gelegenheitsnoobs" ist imho genau der treffende Begriff. Alles was mehr als ne halbe Stunde Zeit verbrennt, schätze ich da als ausreichend ein.
 
Oben