Heimnetzwerk segmentieren

[LouisCy]

Hallo Alle,

ich bin gerade dabei mein Heimnetz ein wenig "sicherer" zu machen.

Ich würde am liebsten eine VLAN Lösung umsetzen, letztlich kann ich mich aber auch mit einer Router Kaskade zufrieden geben.

Wichtig ist mir, die beiden Netzwerke zu trennen in 2 bis 3 Segmente. Also mein Desktop PC und Laptop sollen, von Smartphone, Gästegeräte und RasPi(Pi Hole) getrennt sein. Letzteres eventuell ganz alleine.

Es wäre schön, wenn ich ich später noch NAS(Cloud), VPN(OpenVPN) ergänzen könnte.

Zur VErfügung stehen mir 2 Router( Vodafone piiiiiep, Fritzbox4040) und ein RasPi4. Der RasPi soll irgendwann vllt auch gleich neben dem PiHole, ein lokalen Upstream DNS Server hosten, das muss ich also bei der Konfig berücksichtigen.

Weiß jemand ob ich mit der vorhanden Hardware überhaupt ein VLAN aufbauen kann?  Falls ja wie sollte ich am besten ran gehen?

 

Danke für eure Hilfe.

 

[awesomenik]

Damit kommst du nicht weit und könntest höchstens kaskadieren. Die Fritzbox unterstützt zwar rudimentär VLANs mit ihrem Gast-Zugang, dort kannst du aber nicht viel konfigurieren.

Besser wäre für deinen Einsatz ne Firewall - kann ja was einfaches wie opensense sein - und nem managebaren Switch. Damit kannst du verschiedene Netze anlegen und über die Firewall die Zugriffe dazwischen verwalten.

[Rasimur]

Der Vodafone piiiiiep kann das ab Firmware 8869.01 

Auf diese firmware solltest du Updaten dann geht es auf jeden Fall 

ich mach das zu Hause auch so und bin sehr zufrieden

wahrscheinlich werden wir bei der Arbeit bald auch einen Vodafone piiiiiep im Betrieb nehmen aber dann als Cluster 

😂😂😂

 

die FRITZ!Box kann es nicht so wirklich 

ich würde awsomnik beipflichten. Kauf dir was richtiges 

[Chief Wiggum]

Man möge bitte die korrekte Modellbezeichnung des providereigenen Routers nennen.

[LouisCy]

vor 2 Stunden schrieb awesomenik:

Besser wäre für deinen Einsatz ne Firewall - kann ja was einfaches wie opensense sein

Okay klingt interessant. Wo  hoste ich denn eigentlich die Firewall?

Bin Frischling was Netzwerk angeht.

vor 2 Stunden schrieb Rasimur:

Der Vodafone piiiiiep kann das ab Firmware 8869.01 

Auf diese firmware solltest du Updaten dann geht es auf jeden Fall

Okay. Reden wir tatsächlich vom gleichen Gerät? ( Vodafone Station, Firmware 3.0.28-IMS-KDG)

Das scheint mir verdammt weit weg von 8869.01 zu sein.

Ich hab mir die 4040 geholt, weil ich quasi mehr Einstellungen wollte. Bei dem VF Router kann ich quasi nichts konfigurieren.

[FBDIMM]

Ich nutze für sowas ähnliches ein Konstrukt mit einem Raspberry Pi 4 Router und OpenWrt. Als ROAS betreibe ich das ganze. Kostet eigentlich nix und kann alles.

 

Mindestens 1 VLAN fähiger Switch vorausgesetzt.

 

Bearbeitet 5. März 2021 von FBDIMM
bild

[LouisCy]

@FBDIMM

Also du hast quasi OpenWRT auf den RasPi gebügelt und ihn dann auch gleich als managed switch genutzt? falls ja dann läuft dein WLAN über den ISP/DSL Router ?

Und trotzdem kaskadiert? oder lese ich die topologie flasch?

Das mit OpenWRT sieht lustig aus, man kann es wohl auch in alte Hardware pressen und die so quasi zum managed switch biegen.

 

Das mit dem ROAS verstehe ich nicht.

 

Aber danke auf jeden Fall für den Einblick

 

[FBDIMM]

Ja also genau. Die Sache ist beim Raspberry Pi, du hast halt nur 1 Interface. Deswegen brauchst du VLAN Interfaces zwischen denen du routest. Deswegen geht der Raspberry Pi4 nur in Kombination mit einem managed Switch.

 

ROAS heisst Router on a Stick, also du hast nur ein Kabel das zum Router geht, und nicht wie sonst, mehrere Verbindungen.

Bei alten Routern die über mehere Ports verfügen kannst du in der Regel OpenWrt drüberbügeln, und diese dann auch als "Managed Switch" verwenden, bzw. VLANs auflegen. Das ist in aller regel problemlos möglich.

 

WLAN habe ich über mein VLAN 3,110,220 mit 3x Access Points gefahren, und von denen dann jeweils zum Router. Diese habe ich aber nicht auf der Netztopologie eingezeichnet gehabt.

[LouisCy]

@FBDIMM

Okay. das werde ich mal ausprobieren.

Das Pihole werd ich auch sein lassen und den Ad Block auch über Open WRT machen.

Ich besorg mir erstmal die HArdware(switch) und dann frag ich sicher nochmal nach.

 

Brauch ich dann eigentlich opnsene/firewall noch?

Kennst du oder wer noch ein annehmbares Tool zum Topologie zeichen für Linux/Windows?

 

Danke erstmal.

[FBDIMM]

Prima, melde dich gerne wieder. Mit OpenWrt habe ich inzwischen auch seit Jahren zutun, super Sache.

ADBlock in OpenWrt ist genau das gleiche Programm was du auch beim PiHole hast.

Firewall ist da integriert mit firewalld, wie bei jedem normalen Router auch.

Topologien zeichne ich unter draw.io

[Crash2001]

@FBDIMM:
Der Sinn der beiden Router da unten erschließt sich mir nicht wirklich. Die Route (wofür auch immer die benötigt wird) könnte doch genauso auch oben von dem Router mit geroutet werden.

[LouisCy]

@Crash2001

Ich stell mir mein Netzwerk erstmal so vor. Ist das Sinnvoll?

VLAN_Topo.pdf

[FBDIMM]

Am 8.3.2021 um 08:23 schrieb Crash2001:

@FBDIMM:
Der Sinn der beiden Router da unten erschließt sich mir nicht wirklich. Die Route (wofür auch immer die benötigt wird) könnte doch genauso auch oben von dem Router mit geroutet werden.

Ui, da haste Recht. Mein Netzwerk sieht nun ein bisschen anders aus.

 

 

 

Habe jetzt mein Pi als Gateway, eine OpenWrt VM weil im Server genau Rechenpower ist, und unten ein OpenWrt Router weil der im Gegensatz zur Fritte OSPF kann.

 

@LouisCy

Sieht doch top aus!

[Crash2001]

vor 13 Stunden schrieb LouisCy:

@Crash2001

Ich stell mir mein Netzwerk erstmal so vor. Ist das Sinnvoll?

VLAN_Topo.pdf 52.42 kB · 8 Downloads

Für vlan 2 das soll ein Smartphone darstellen, oder?

Der Raspberry Pi hat doch nur einen Netzwerk-Port. Wie willst du den also zwischen ISP Router und Switch verbinden mit 2 Ports? Oder willst du noch einen Netzwerkport per USB anschließen?

Du kannst es auch mit nur einem Port lösen, wenn du den ISP-Router direkt an den Switch ansteckst und den Raspberry Pi als Router on a stick konfigurierst mit 4 vlans.
vlan 10 = L2 durchgereicht vom ISP Router
vlan 20 = dein normales Netzwerk
vlan 30 = Smartphones & Co
vlan 40 = Gäste

vlan 1 sollte man wenn möglich nicht nutzen, wenn man vlans nutzt, da das bei 802.1q per default (kann man umstellen, aber dann kann man auch direkt ein anderes vlan nutzen) ungekapselt übertragen wird als native vlan.

Ist halt die Frage, ob dir die (maximal) 100MBit/s vom Raspberry Pi 3 als Durchsatz fürs Routing ausreichen, oder ob du lieber die 4te Generation vom Pi nimmst und Gigabit LAN hast dann. Keine Ahnung, ob du für deine Gäste auch schon mal etwas freigibst, damit sie es herunterladen können von dir, also ob inter vlan Routing zwischen Gastnetz und deinem "normalen" Netzwerk erlaubt sein soll. Das kannst du auf der integrierten Firewall konfigurieren, welche vlans miteinander sprechen können sollen. 

Bearbeitet 10. März 2021 von Crash2001

[LouisCy]

Danke @Crash2001

Ich werde sicher noch ein paar Fragen zu der vlan konfig haben, wenn die Hardware da ist.

Zu dem RasPi4, ich weiß nicht ob ich mich verlesen habe, aber ich hab auf der OpenWRT Seite keine ISO für den RasPi4 gefunden. Das ist eigentlich der einzige Grund weshalb ich den 3B nutzen möchte.

Muss dann auch Mal noch schauen, wie ich das mit dem WLan anstelle...

 

Bearbeitet 10. März 2021 von LouisCy

[FBDIMM]

Du kannst dir selber ein Image fuer das Rpi 4 aus dem Git bauen.

[LouisCy]

@FBDIMM

@Crash2001

 

kannst du vllt nochmal kurz helfen?

zwei kleine Sachen: ich hab mir das über git gezogen und frage mich welche pakete ich noch mit reinbauen sollte, wenn ich später eventuell noch openvpn in den openwrt hängen möchte und nen lokalen dns upstream server, bzw. allgemeine empfehlungen?

 

die zweite sache: ich habs gerade schon versucht zu kompilieren, ist aber mit immer mit error abgebrochen. hast du ne ahnung voran das liegt?

 

ERROR: toolchain/gcc/final failed to build.
make -r world: build failed. Please re-run make with -j1 V=s or V=sc for a higher verbosity level to see what's going on
/home/xxx/xxx/raspi_image_build/etcher/openwrt/include/toplevel.mk:228: recipe for target 'world' failed
make: *** [world] Error 1

 

die beiden Vorschläge habe ich versucht, gleiches Ergebnis.....

Bearbeitet 11. März 2021 von LouisCy

[FBDIMM]

vor 2 Stunden schrieb LouisCy:

@FBDIMM

@Crash2001

 

kannst du vllt nochmal kurz helfen?

zwei kleine Sachen: ich hab mir das über git gezogen und frage mich welche pakete ich noch mit reinbauen sollte, wenn ich später eventuell noch openvpn in den openwrt hängen möchte und nen lokalen dns upstream server, bzw. allgemeine empfehlungen?

 

die zweite sache: ich habs gerade schon versucht zu kompilieren, ist aber mit immer mit error abgebrochen. hast du ne ahnung voran das liegt?

 

ERROR: toolchain/gcc/final failed to build.
make -r world: build failed. Please re-run make with -j1 V=s or V=sc for a higher verbosity level to see what's going on
/home/xxx/xxx/raspi_image_build/etcher/openwrt/include/toplevel.mk:228: recipe for target 'world' failed
make: *** [world] Error 1

 

die beiden Vorschläge habe ich versucht, gleiches Ergebnis.....

Lad am besten mal deine .config file hoch die du mit make menuconfig gebaut hast. Dann bau ich dir damit ein Image und schick dir das per Mail.

[LouisCy]

Es gab scheinbar einen Konflikt mit den Abhängigkeiten. Ich probier das heute abend nach der Arbeit nochmal.

[LouisCy]

Ich hab das Image jetzt auf dem Pi.

Zumindest gehe ich davon aus.

Mit ssh root@192.168.1.1 bekomme ich keine Verbindung. Ich habe das /etc/config/network schon über die SD angepasst, aber die IP steht da auch so drin.

Ich hatte den Pi schonmal vorher irgendwann über den Router statisch zu gewiesen. Hab ich aber rausgelöscht.

Woran kann das noch liegen?

@FBDIMM
 

[FBDIMM]

vor 1 Stunde schrieb LouisCy:

Ich hab das Image jetzt auf dem Pi.

Zumindest gehe ich davon aus.

Mit ssh root@192.168.1.1 bekomme ich keine Verbindung. Ich habe das /etc/config/network schon über die SD angepasst, aber die IP steht da auch so drin.

Ich hatte den Pi schonmal vorher irgendwann über den Router statisch zu gewiesen. Hab ich aber rausgelöscht.

Woran kann das noch liegen?

@FBDIMM
 

Probier dich mal bei einem frischen Image direkt einzustecken, und dann mit "openwrt.lan" via Webinterface auf den Router zuzugreifen. Die IP ist bereits standardmäßig 192.168.1.1, und DHCP bereits deaktiveirt.

[LouisCy]

Nach dem letzten Neustart vom ISP Router lief es dann und ich kann per SSH drauf.

Ich hab allerdings jetzt noch ein anderes Problem was mich vom weitermachen abhält. Sobald ich den openwrt Pi an den Router hänge, "spinnt " das Netz. Ich kann am Rechner nur noch auf große Seiten( YT, Wikipedia, Google) zugreifen. Die lokale Presse oder auch duckduckgo bekommen keine Verbindung. Liegt das am DNS ? 

Dazu kommt , wenn ich per ssh im OpenWRT drin bin, ich auch keine Verbindung zum Netz habe, also Pingen von 8.8.8.8 oder google.com werden nicht beantwortet.

Weiß wer an welcher Schraube ich noch drehen muss?

[FBDIMM]

Hast du denn einen managed Switch?

[LouisCy]

Nee noch nicht. Ich wollte schonmal den Pi konfigurieren bis der Switch da ist.

[FBDIMM]

Uh ok. Ich empfehle dir das default LAN interface so zu lassen. Dann erstellste bspw. ein Interface WAN, mit Subinterface eth0.10. Dann noch eins namens Guest, mit dem Subinterface eth0.20. Dann kannste nachher entsprechende VLANs auf dem Switch konfigurieren.

Gerne koennen wir das auch sonst mal via Teamviewer machen.

Bearbeitet 13. März 2021 von FBDIMM