Fragen zur Machbarkeit und Sinnhaftigkeit der Netzwerkaufteilung für Privathaushalt

[Mabru]

Hallo Forum,

als interessierter Laie habe ich vermutlich ein gefährliches Halbwissen, daher möchte ich meine Idee mal von Leuten mit mehr Erfahrung bzw. Profis querchecken:

Ist-Zustand:
************
Die Fritzbox managed das lokale Netzwerk, wobei alle netzfähigen Geräte (Windows-/Linux-PCs, Smartphone/Tablets, Drucker) im selben Netz sind. Im WLAN ist der Zugriff nur möglich, wenn die MAC-Adresse des Gerätes in der Fritzbox freigegeben wurde und natürlich das WLAN-Passwort bekannt war.

Vorteil: Relativ einfach zu verwalten.
Nachteil: Potentielles Sicherheitsrisiko: Jedes Gerät kann (theoretisch) das ganze Netz scannen, z.B. auch ein chinesischer Saugroboter dann die NAS.

Da ich mir eine Synology anschaffen möchte, überlege ich nun, ob ich bei der Gelegenheit gleich mein Netzwerk umstrukturieren sollte und falls ja, wie es am sinnvollsten wäre.


Wunsch-Zustand:
***************
Die Hauptziele sind zum Einen, die Sicherheit meines Privatnetzwerks zu verbessern,
zum Anderen vom Datenaustausch per USB-Stick weg zu kommen und auf die persönlichen Daten zentral zugreifen zu können, ohne das alle Geräte darauf zugreifen können.
Und Drittens, solange die Kinder noch jünger sind, ihnen eine möglichst sichere und unbeschwerte Internetnutzung zu ermöglichen.

Meine aktuelle Idee / Lösungsansatz:
Aufteilung in mehrere "Teilnetzwerke", sodass ein Gerät nur noch maximal in seinem Teilnetzwerk alles sieht:
* Teilnetzwerk "Familie":
- Für die persönlichen Arbeitsgeräte (Linux, Windows 11), mobile Geräte (Android), einfacher Datenaustausch zwischen diesen und dem Teilnetzwerk "Kinder".
- Zugriff auf die persönlichen Daten (z.B. Fotos) und Netzlaufwerke, welche auf der Synology gespeichert sind.
- Ein Dokumentenmanagesystem einrichten.
- Aber auch Zugriff auf Multimedia-Daten auf der Synology.
- Zugriff auf die Geräte im Teilnetzwerk "Hausautomatisierung".

* Teilnetzwerk "Kinder":
- Vergleichbar mit "Familie", nur dass für die Geräte der Kinder eine Kindersicherung bzw. Whitelist von Webseiten greifen soll.
- Zugriff auf Videos / Hörbücher auf der Synology, welche für Kinder freigegeben sind.
- Bei Bedarf auch zeitlich begrenzt "offline" nehmen können.

* Teilnetzwerk "Homeoffice":
- Zur Priorisierung der Bandbreite für diese Geräte (z.B. wegen Videokonferenzen).

* Teilnetzwerk "Multimedia / TV":
- Zugriff auf die Multimedia-Daten auf der Synology.
- Smart-TV als separates Teilnetz, da auch mal Zugriff auf Familienvideos / -fotos sein wird.

* Teilnetzwerk "Hausautomatisierung":
- Für z.B. Saugroboter, Mähroboter, Heizungssteuerung, ...
- Benötigen keinen Zugriff auf persönliche Daten.

* Teilnetzwerk "Gäste":
- Vereinfachter Zugriff auf WLAN ohne MAC-Registrierung, nur mit Passwort.
- Zugriff auf das Internet.

* Teilnetzwerk "Zentrale":
- Dort wäre der zentrale Gateway (aktuell die Fritzbox) ins Internet.
- Der DynDNS-Service.
- DNS (z.B. für's Whitelisting von Webseiten für Kinder)
- evtl. Proxy mit Adblocker-Funktion.
- Die Synology als Datenprovider & Transferlaufwerk.
- Der LAN-Drucker.

* Teilnetzwerk "Externer Zugriff":
- Für den Zugriff vom Internet auf lokale Daten (auf der Synology ?) bzw. Daten von außen hochladen, z.B. eine kleine Cloud, Wiki, ...
- Instand-Messaging Dienst
- Eigener Mailserver.


Fragen / Unklarheiten:
**********************
1. Bringt so eine Aufteilung wirklich einen Mehrwert in Punkto Sicherheit?
(Oder geht es einfacher und vielleicht noch sicherer?)
2. Sind zur Aufteilung Subnetze die beste Lösung? Brauche ich dann für jedes Teilnetz eine eigene managed Switch?
3. Parallel zu den LAN-Geräten gibt es in den meisten Teilnetzwerken auch noch WLAN-Geräte. Wie bekommt man diese in die Teilnetzwerke eingebunden?
(Jeweils eine managed Switch mit WLAN-Funktion?)
4. Kann man in der Synology konfigurieren, dass man beim Gäste-WLAN nur ein Passwort benötigt, bei allen anderen WLANs ein anderes Passwort + die MAC-Adresse freigegeben ist?
5. Falls diese Aufgliederung tatsächlich eine gute Lösung ist, kannkann ich über jede Synology das Netzwerk verwalten (z.B. die Subnetze), oder welcher Synology-Typ ist empfehlenswert?

Vielen Dank schon mal für Tips und Hinweise, was ich besser machen könnte bzw. wo ich falsch liege.
Viele Grüße

 

[ottosykora]

das ist vermutlich alles machbar, ob das aber Sinn macht ist was anderes

Bei mir zu hause gibt es auch zwei Subnetze. Dies ist aber relativ primitiv 'gelöst', also sind da einfach 2 router in Serie, respektive neuerdings ist noch ein dritter dabei.
Der Grund ist aber bei mir etwas anders, der zweite Router baut von selber eine VPN in die Firma, der dritte macht das gleiche in ein anderes privates Netzwerk.
Aber das ist in Wirklichkeit nur eine Halbe Trennung, das ist trotz anderer IP Subnetzes nicht wirklich voll getrennt wenn man es so macht.

Aber in der Arbeit haben wir diverse Abschnitte, das ist dann aber mit VLAN gemacht und managed switches. Dann müssen die Privilegien der Nutzer auch noch hinterlegt werden, also das macht bei uns ein Cisco Certified Eng, der hat da seine spezielle Tools dazu damit er nicht Übersicht verliert.


Ich denke so ein Aufbau kann unser Cisco Certfied machen, er ist Projektleiter seit 20 Jahren dort.

Ob dich zuerst so ausbilden willst? Vielleicht, dann wirst du sicher Freude haben an dem neuen Hobby, da wird dir Arbeit nie ausgehen.


Für ein Heimnetz würde ich ganz einfach sinnvolle Benutzerverwaltung planen und wesentliche Sicherheit nach aussen mit dem Router machen.

Vielleicht noch was: Netzwerk verwalten über Synology oder gar WLAN irgendwie über Synology verwalten ist eher nein, das sind netzwerktechnisch auch nur Teilnehmer.

 

[Synchrotron]

Nun gut - die erste Zeit wirst du damit verbringen, alles einzurichten. Danach viel zeit, dich mit den nicht endenden Beschwerden deiner Netzwerkteilnehmer zu befassen.

Zunächst hieße es deutlich aufrüsten - die FB unterstützt solche Netzstrukturen nicht bzw. nur rudimentär.

Was ich für sinnvoll hielte: Alle IoT-Geräte in ein eigenes VLAN auslagern. Diese Hardware ist oft nicht aktuell zu halten, z.B. weil ein Firmwareupdate überhaupt nicht vorgesehen ist. Außerdem sind viele Geräte notorisch dabei, nach Hause zu telefonieren.

Das führt allerdings auch dazu, dass für den (App-)Zugriff zur Steuerung einiges geroutet werden muss.

Alle anderen gehören m.E. in ein gemeinsames Netz. Mit gerätespezifischen Regeln und einem Pi-Hole lassen sich dann die entsprechenden Einrichtungen vornehmen.

 

[maxblank]

Die IoT-Geräte würde ich ins Gäste-Netzwerk (Kabel und auch WLAN) der FRITZ!Box „verbannen“. Dann können diese Geräte nicht mehr auf das reguläre Heimnetz zugreifen.
Der Rest kommt ins „normale“ Netz.

Die Einschränkungen für die Kinder kannst du dann zum Teil über die FRITZ!Box abbilden.

Im Zusammenhang mit den Kindern finde ich es wichtiger, dass man offen drüber spricht und Einschränkungen in Verbindung mit Vertrauen gelebt werden, anstatt das technisch einschränken zu wollen. Früher oder später werden sie sowieso Wege finden um es zu umgehen.

 

[3komma14]

Wenn du die IoT-Geräte ins Gast-WLAN verbrennst, kann es nur sein, dass diese dann per App nicht mehr ansprechbar sind, da das Gerät mit der App in einem anderen WLAN ist, als die Geräte.

 

[Tommes]

Hi!

Sagen wir mal so, wenn sich dein Wissen in Sachen Netzwerken eher in Grenzen hält, dann liegt ein sehr steiniger Weg vor dir und die Lernkurve steigt dabei auch ziemlich schnell, ziemlich steil an. So war damals auch meine Ausgangssituation. Aber ich hatte halt bock drauf und ich wollte etwas neues lernen… und lerne immer noch jeden Tag dazu. Heute kann ich mit Stolz behaupten, das perfekte Netzwerksetup für mein Heimnetz gefunden zu haben und wenn ich das geschafft habe, dann schaffen das auch alle anderen.

Jedoch möchte ich auch nicht verschweigen, das dabei eine Menge Geld drauf gegangen ist und teilweise habe ich das Geld dabei sogar regelrecht verbrannt, weil ich mich zu sehr auf die Meinungen oder Empfehlungen anderer Leute konzentriert hatte. Mein Perfektionismus erledigte dann den Rest. Aber gut… Geschichte.

Es kommt also darauf an, wie genau dein Netzwerk am Ende aussehen soll. Soll deine Fritzbox am Ende immer noch das Internet und VoIP Dienste bereitstellen, oder möchtest du es gleich „klassisch richtig“ machen, indem du die Fritzbox durch ein einfaches Modem ersetzt. In beiden Fällen benötigst du zukünftig ein weiteres Stück Hardware welche das Routing in die Subnetze steuert und hier geht der Spaß schon los. Es gibt hier mehrere Herangehensweisen, welche ich im Einzelnen jetzt nicht alle aufführen kann und will.

Thema VLAN! Tolle Sache, keine Frage. Dafür benötigst du aber mindestens einen Management Switch (je nach Struktur eher mehr) und je nach dem auch mindestens einen Multi-SSID WLAN Access Point, soll in dem jeweiligen VLAN auch WLAN zur Verfügung stehen. Sowas sagt dir nämlich zunächst niemand. Es heißt immer nur: VLAN - Tolle Sache! Sollte dein LAN bereits auf 2,5 GBit oder Mehr ausgebaut sein oder planst du das in naher Zukunft, dann wird die Sache mit dem passenden Switch schon kostspielig bis unmöglich.

Ich verwende daher kein VLAN. Mein Netzwerk besteht aus 4 Segmenten (Subnetze), wovon das erste Subnet zwischen Fritzbox und Router-Firewall liegt (und bereits hier kann man sich oft das Gemecker anderer Leute anhören, das im Transfernetz keine Clients gehören und so weiter…). Bei mir ist das Subnet die DMZ – Punkt! Drei weiter Subnetze werden dann über die Router-Firewall veraltet, wovon zwei Subnetze über einen eigenen WLAN AP verfügen. Reicht.

Du siehst, da kommt eine Menge auf dich zu, aber es ist auch unheimlich interessant und spannend.

Tommes

 

[maxblank]

Wenn du die IoT-Geräte ins Gast-WLAN verbrennst, kann es nur sein, dass diese dann per App nicht mehr ansprechbar sind, da das Gerät mit der App in einem anderen WLAN ist, als die Geräte.

Berechtigter Einwand, den man allerdings relativieren kann.
Da oftmals die Steuerzentrale auch „ausgelagert“ im Gäste-(W)LAN ist und per Internet die Befehle entgegennimmt, sollte es funktionieren. Es kommt natürlich immer auf die Geräte an. Im Apple Universum würde es so funktionieren, bei Android auch.

Wenn die Homeautomation nur lokal gelagert ist, brauche ich es nicht zu trennen, sondern dann untersage ich den smarten Geräten lediglich den Internetzugang.

Das ist aller über die vorhandene FRITZ!Box abzubilden.

 

[Tommes]

Da oftmals die Steuerzentrale auch „ausgelagert“ im Gäste-(W)LAN ist und per Internet die Befehle entgegennimmt...

Vom Internet aus kannst du keinen Client im Gäste-(W)LAN der Fritzbox erreichen.

 

[maxblank]

Bist du sicher, dass es mit cloudfähigen Steuerzentralen im Gästenetzwerk nicht geht?

 

[plang.pl]

Doch das geht. Habe ich bei mir auch so. Zumindest so lange die Dienste nur nach extern kommunizieren. Viele holen ja die Befehle nur vom Server in der Cloud ab. Worauf @Tommes denke ich hinauswollte: Portweiterleitungen sind nicht ins Gast-Netz möglich

 

[maxblank]

Davon habe ich auch nix geschrieben und ist in dem von mir genannten Szenario nicht nötig.

 

[Tommes]

Worauf @Tommes denke ich hinauswollte: Portweiterleitungen sind nicht ins Gast-Netz möglich

Genau das meinte ich damit und somit ist auch kein Zugriff auf Clients aus dem Internet möglich. Das die Clients Zugriff auf das Internet haben, sollte selbstredend sein. Wozu wäre sonst ein Gäste-[W)LAN gut?

EDIT: @maxblank Dann habe ich dich falsch verstanden. Sorry

 

[*kw*]

Einen habe ich noch...

Eigener Mailserver.

Lieber nicht auf dem eigenen NAS. Das Management und Sicherheit für die Kiste lohnen den Aufwand nicht. Dann lieber für kleines Geld über einen Fremdanbieter.

 

[Thorfinn]

Willkommen im Forum

virtuelle LAN kann Sinn machen, macht auf jeden Fall Arbeit (Wartung!) und bei schlechter Eigendokumentation kostet das richtig Neven.
Du musst die Firewalls zwischen den vLANs tunneln und Routen aufsetzen.
Je mehr vLANs desto komplizierter. Wenn du von AVM kommst, dann wird das eine Lernkurve mäßiger Steigung.

Zugriffsverwaltung / Rechtemanagement sollte für vieles auch reichen.

* Teilnetzwerk "Kinder": Vergleichbar mit "Familie", nur dass für die Geräte der Kinder eine Kindersicherung bzw. Whitelist von Webseiten greifen soll.

Weil Mamma und Pappa gerne auf Schmuddelseiten zugreifen wollen?
Als Teenagevater: Technische Barrieren helfen nix. Die Kiddies wissen sehr wohl wie man einen AccessPoint am Mobiltelefon aufspannt.
”Ich konnte meine Hausaufgaben nicht machen, weil, mein Vater die Hausaufgabenseite noch nicht zur Whitelist hinzugefügt hat” - Spar dir die Blamage - Nutz die Zeit um mit den Kindern drüber zu reden.

- Zugriff auf Videos / Hörbücher auf der Synology, welche für Kinder freigegeben sind.

Das macht man über Zugriffsbeschränkungen (Rechteverwaltung) an ViedeoStation etc pp.

- Bei Bedarf auch zeitlich begrenzt "offline" nehmen können.

LOL, Das machst du einmal. Danach wissen die Kiddies wie man das umgeht.

- Zur Priorisierung der Bandbreite für diese Geräte (z.B. wegen Videokonferenzen).

Dafür benutzt man QoS - Quality of Service Regeln im selben vLAN.

* Teilnetzwerk "Multimedia / TV":

Damit man vom Arbeitscomputer keinen Zugriff hat?

Teilnetzwerk "Hausautomatisierung":

Technik habe ich in einem eigenem vLAN. Da tummeln sich so manche uralt unverschlüsselte Protokolle und halbseidene China-Ware. Das Routing aufzusetzen war ein Horror. 8 Seiten Doku hab ich geschrieben allein für die Netztopografie.

Teilnetzwerk "Gäste"

jeps. immer Nett. Das bedeutet aber auch, daß Nachbarsjunge eben nur Internet hat und die Kiddies nicht im LAN im selben Dokument arbeiten können.

* Teilnetzwerk "Zentrale":

Wie Was Warum? Ein Netzwerk das erstmal alle andere aussperrt?
Wie willst du dann von einer webseite drucken?

* Teilnetzwerk "Externer Zugriff":

Normal nutzt man Zugriff mittels VPN. Man stellt also einen eigenen VPN Server auf.

1. Bringt so eine Aufteilung wirklich einen Mehrwert in Punkto Sicherheit?

bedingt, da du viele Löcher in die Firewalls bohren musst

2. Sind zur Aufteilung Subnetze die beste Lösung?

Nein. Rechtemanagement, QoS etc pp haben auch Daseinsberechtigungen.

Brauche ich dann für jedes Teilnetz eine eigene managed Switch?

nein

3. Parallel zu den LAN-Geräten gibt es in den meisten Teilnetzwerken auch noch WLAN-Geräte. Wie bekommt man diese in die Teilnetzwerke eingebunden?

Brauchst AccessPoints die diverse virtuelle wLANs aufspannen. Auruba, Cisco, ubiquity… younameit.
Die Verwaltung von Router, Switch und Accesspoints kann man, wenn man alles bei einem Hersteller gekauft hat zentral verwalten. Hat man einen Flickenteppich dann wir die Administration richtig Arbeit.

4. Kann man in der Synology konfigurieren, dass man beim Gäste-WLAN

Bei einer Synology NAS: Nein, die NAS ist eine node im netzwerk wie alle anderen auch. Du vergibst aber Zugriffsreche auf die Shares.
Bei einem Synology Router: Ja

, kannkann ich über jede Synology das Netzwerk verwalten (z.B. die Subnetze),

Nein. s.o. eine NAS ist ein Netzwerknode und stellt Serverdienste bereit. Sie ist kein Router

 

[Thonav]

Ich würde Dein Vorhaben mal kurz beschreiben - vieles ist möglich, aber nicht alles sinnvoll wenn man Aufwand und Nutzen gegenüberstellt.

 

[Mabru]

Hallo Forum,

danke für die diversen Beiträge und interessanten Hinweise und Tips. Endlich komme ich mal dazu, sie zu lesen und zu beantworten. Ich versuche sie thematisch zusammen zu fassen:

* Faktor Zeit, neues Hobby und Ausbildung „machen“:
Mit zwei kleinen Kindern (9 Monate und 4 Jahre alt) versuche ich aktuell viel Zeit mit diesen zu verbringen und habe eigentlich keine Zeit für ein neues Hobby, oder gar eine „Ausbildung“.
Andererseits nervt es nicht nur die Familienfotos über Umwege zentral abgelegt zu bekommen und gefühlt potentielle „Spione“ im Heimnetzwerk zu haben. Daher ist schon ein Drang meinerseits da, mein Wissen auf dem Gebiet zu erweitern und schrittweise die Lage zu verbessern.

* Synology & Netzwerk
Obwohl es für die Synology-Geräte diverse Zusatzpakete zur Installation gibt, ist es sinnvoller zu Trennen zwischen dem Datenmanagement und dem Netzwerkmanagement – verstanden.
Für das Datenmanagement ist die Synology NAS mit Benutzerberechtigungen die richtige Wahl.
Für das Netzwerkmanagement nimmt man am besten einen Hersteller (Auruba, Cisco, ubiquity, younameit, …), der alle nötigen Geräte anbietet, was die Verwaltung vereinfacht.

* Einen Plan haben
Das trifft im doppelten Sinne zu:
1. Einen Plan seines Netzwerks haben, um die Kontrolle nicht zu verlieren (Stichwort: Netztopografie)
2. Einen Plan der Schritte zu haben, was man mit welchen Schritten realisieren möchte und sich das nötige Wissen dazu aneignen.

* Einen Plan aufstellen
Nachdem was ich so gelesen habe, ist das der nächste Schritt, bevor ich irgendwas kaufe oder konfiguriere. Da ich kein Cisco Certified Eng oder ähnliches bin, steht mir wohl eine steile Lernkurve bevor.
Was sind Eurer Erfahrung nach die leichteren Themen und wo wird es knackig?


Aus dem Bauch heraus und mit Euren Hinweisen im Hinterkopf hätte ich gesagt:

1. Zentrales Datenmanagement & Benutzerverwaltung (ist am leichtesten)
Mit einer Synology NAS behebe ich endlich mein Problem,
dass die Daten zentral abgelegt werden können und über gemeinsame Netzlaufwerke ich den Datenaustausch zwischen den Geräten (Linux, Windows, Android) hinbekomme,
ein Dokumentenmanagementsystem aufbauen kann,
und dass ich Filme und Fotos auf den PCs, Tablets und TV anschauen kann.

Dazu nötig ist, dass ich mich in ein sinnvolles und sicheres Benutzermanagement einarbeiten muss. Dafür ist dann als Gerät die (ohnehin schon) geplante NAS nötig.
Weiterhin wären alle Geräte im selben Netzwerk unterwegs und sehen alle angeschlossenen Geräte.


Reicht das schon?
Da ich bis jetzt auf der Anwenderebene unterwegs bin, frage ich mich:

i) Was kann jemand damit anfangen, wenn er mein Netzwerk scannen kann?
Er weiß damit, wie viel Geräte, vielleicht sogar noch welche Geräte angeschlossen sind, vielleicht auch noch welche Ports offen sind.

ii) Solange die Firewall (aktuell die Fritzbox) auf aktuellem Stand ist, welches Sicherheitsrisiko stellen dann unsichere Geräte im Heimnetzwerk dar?

iii) Es heißt „Das größte Sicherheitsrisiko sind die Anwender selbst“. Wie kann man hier Risiken minimieren, vor allem wenn Kinder ein Teil der Anwender sind?
Was mir als plausibles Szenario erscheint ist, dass die Kinder (oder auch wir Erwachsene) aus Unwissenheit / weil sehr gut gefaked, oder gerade weil die Eltern es „verboten“ haben, etwas machen, womit man sich Schadsoftware einfängt. Hat man nur ein einziges Heimnetzwerk sind damit potentiell alle Geräte darin leichte Opfer für die Schadsoftware.
Hier könnte man das Risiko senken, indem es Teilnetzwerke gibt, also weitere Hürden für die Schadsoftware.

iv) Den Netzwerktraffic einfacher analysieren?
Von einigen Geräten, insbesondere den IoT, hört oder liest man öfters, sie hätten die Tendenz Daten nach Hause zu liefern, aber auch klassische Betriebssysteme sagt man das nach. Spielt es für die Analyse eine Rolle, ob es ein Gesamtnetzwerk ist, oder mehrere Teilnetzwerke? Oder hängt es hauptsächlich davon ab, wie gut man das Analysetool beherrscht?


2. Erste Unterteilung des Netzwerks
Damit würde ich das Sichtbarkeitsproblem angehen, indem ich 3-4 Teilnetze bilde:
a) alle Geräte, die keinen Zugriff auf persönliche Daten oder die NAS benötigen (Saugroboter, Mähroboter, Heizungssteuerung), und veraltete Firmware haben oder gerne nach Hause telefonieren,
b) den TV, der auf die NAS zugreifen soll, aber sonst nicht zu wissen braucht, welche anderen Geräte im Netzwerk sind,
c) alle anderen Geräte die selbst persönliche Daten enthalten oder darauf zugreifen sollen,
d) das Gäste-Netzwerk.

Für a) könnte ich weiterhin das Netzwerk der Fritzbox nutzen, aber für b), c) und d) benötige ich dann wohl weitere Geräte (VLAN: managed Switch, Multi-SSID WLAN Access Point || Geräte für Subnetze), und Firewalls speziell konfigurieren dürfte Thema sein. Besonders, wenn dann Geräte aus einem Teilnetz c) auf Geräte im Teilnetz a) zugreifen sollen (Stichwort: App-Zugriff auf die Roboter).

Zu deinen Fragen Tommes:
Ob die Fritzbox durch ein „klassisches“ Modem ersetzt werden sollte – puh keine Ahnung. Über die Fritzbox sind die DECT-Telefone verbunden, das soll auch weiterhin funktionieren. Und um mir Fahrerei zu ersparen möchte ich auch zwischen meiner Fritzbox und der Fritzbox bei meinen Eltern das Fritzbox-VPN einrichten, dass ich dort idealerweise remote bei IT-Problemen helfen kann. Geht das mit dem „klassischen“ Modem trotzdem?

2,5 GBit-LAN: soweit habe ich noch gar nicht gedacht, ich habe teilweise noch CAT5-Kabel im Einsatz (z.B. zum LAN-Drucker).

Subnetze: hier stoße ich schon an meine Wissensgrenzen. Wird so was mit anderen Geräten gemacht wie mit einem VLAN?

DMZ: bringt ein Transfernetz etwas, wenn in die einzelnen Teilnetze unterschiedliche Ports weitergeleitet werden müssen? Wo ist der Mehrwert einer DMZ zum Router, der von sich aus alles gleich weiterleitet?


Da die IoT-Geräte ja den Ruf haben, gerne nach Hause zu funken und nach wenigen Monaten / Jahren keinen Support mehr zu erhalten, hätte ich diese nicht in das Gäste-Netz getan, da die Gäste ja weitgehend ungehinderten Internetzugang haben sollen, die IoT-Geräte aber besser nicht oder nur eingeschränkt. Oder überschätze ich das Risiko?

Kann man es in einer Firewall so konfigurieren, dass der Zugriff von außen nach Innen möglich ist, umgekehrt aber nicht eine Verbindung aufgebaut werden kann?
Falls ja, sollte der App-Zugriff von außen möglich sein, aber kein heimfunken.


Kann eine für Normalsterbliche bezahlbare managed Switch so konfiguriert werden, dass man an Port 1 – 3 jeweils einen Multi-SSID WLAN Access Point anschließt und jeweils damit ein WLAN-Teilnetz bildet, an Port 4 dann ein LAN-Gerät anschließt welches zu Teilnetz 2 gehört?
Oder benötigt man für jedes Teilnetz mindestens eine separate managed Switch, auch wenn meist nur der Multi-SSID WLAN Access Point dran hängen?


3. Finetuning
Proxy mit Adblocker-Funktion (z.B. Pi-Hole): kann man darüber mehrere Teilnetze bedienen?

QoS - Quality of Service Regeln zur Priorisierung der Bandbreite für diese Geräte (z.B. wegen Videokonferenzen).

VPN-Server und DynDNS-Service für Zugriff von außen (eine kleine Cloud, Wiki, Instand-Messaging Dienst).

DNS (z.B. für's Whitelisting von Webseiten für Kinder).

In wie weit dafür eine weitere Unterteilung des Netzwerks c) sinnvoll ist, kann ich nicht sagen.


Hinweis zu der Kinderthematik:
Spätestens wenn sie bei Freunden zuhause sind oder selbst mobile Daten haben, hat man als Eltern keinen Einfluss mehr. Da kann man wenn nur gegensteuern durch erklären und vorher gemeinsame Interneterfahrung, dass sehe ich auch so.
Derzeit sind die beiden dafür zu jung (9 Monate und 4 Jahre), die Ältere kann aber schon selbst ein Tablet entsperren und was machen. Da soll sie nicht zufällig auf ungeeignete Seiten kommen; ungeeignet sind da aber nicht nur schmuddelige Seiten, schon FSK12 Inhalte überfordern sie noch. Mit der Zeit muss ich dann natürlich ihre Zugriffe erweitern.
Und bezüglich „zeitlich begrenzt offline nehmen“: als Eltern ist man froh, wenn sein Kind für einige Zeit sich selbst beschäftigt und man was im Haushalt machen kann. Solange sie puzzeln, mit Stofftieren spielen usw. ist das völlig ok, aber die ganze Zeit dann online sein halte ich in dem Alter für falsch, weshalb ich notfalls da Gegensteuern können möchte. Wenn sie dann 10+ sind, kann ich das Thema wieder einstampfen.


* Synology Zusatzpakete:
Weiter vorne hatten wir den Punkt, dass das Netzwerkmanagement getrennt sein soll von der Synology NAS. Nun fand ich unter den Synology Zusatzpaketen einige, welche für’s Finetuning interessant wären:
- Proxy Server
- VPN Server
- DNS Server
und noch weitere Dienste:
- DHCP Server
- LDAP Server
- Apache HTTP Server
- Container Manager
Sind diese Zusatzpakete für die Synology NAS oder Synology Router?


* Eigener Mailserver
Was meinst Du *kw* mit „Dann lieber für kleines Geld über einen Fremdanbieter.“?
Einen kleinen Server dort mieten und der Fremdanbieter überwacht den Mietserver?


* Teilnetzwerk "Gäste"
„Das bedeutet aber auch, daß Nachbarsjunge eben nur Internet hat und die Kiddies nicht im LAN im selben Dokument arbeiten können.“
@Thorfinn: Meine Kinder sind noch nicht so alt, aber arbeiten die dann nicht gemeinsam auf einer Lernplattform im Internet?
Dann sollte das Internet ja ausreichen.


* Teilnetzwerk "Zentrale":
„Wie Was Warum? Ein Netzwerk das erstmal alle andere aussperrt?“
Mein Gedanke war, dass dort Geräte sind, die von mehreren Teilnetzwerken aus angesprochen werden. Anstelle von diversen Routings zwischen unterschiedlichen Teilnetzwerken gehen viele zum „Zentrale“, was übersichtlicher sein könnte (stellte ich mir vor).


* Backup
Wenn ich an die Datensicherung an meinem PC denke, klappt das recht gut mit einer externen USB-HDD, aber des öfteren vergesse ich, diese dann wieder abzustecken, was entgegen der Backupstrategie ist.
Wie macht ihr es mit den Backup’s für die Daten auf der Synology NAS?

Eine Lösung, die mir eingefallen ist, wäre:
Es gibt eine 2.NAS im Netzwerk, welche um z.B. 02:30 Uhr sich von selbst hochfährt, dann um 02:45 Uhr über das LAN das Backup der 1.NAS macht, und wenn das Backup erledigt ist, von selbst wieder in den Ruhezustand geht, bis zum nächsten Tag.
Dafür sollte die Backup-NAS aber in einem separaten Teilnetz sein und die Firewall so eingestellt, das die Backup-NAS raus darf, aber sonst keiner von außen rein.

Gibt es besseres Strategien?
Wie schwierig ist die Umsetzung?


* Literatur / Tutorials zum Thema Netzwerk & -management
Oberflächlich betrachtet erscheint das Thema Netzwerk nicht so schwer: Es gibt einen Router als Übergang zum Internet, welcher nach Innen selbst auch ein Netzwerk managen kann. Möchte man mehr als 1 Netzwerk, muss man entweder mit Subnetzen arbeiten, oder man schließt managed Switches an, die ihrerseits nach innen eine eigene Netzwerkverwaltung machen plus Firewallfunktionen.
Das kniffeligste sind die Freischaltungen in den Firewalls, um kein Scheunentor zu öffnen aber trotzdem gewünschte Verbindungen zu ermöglichen.
In der Praxis steckt der Teufel jedoch im Detail.

Was für Einsteiger-Literatur könnt ihr empfehlen?
Auch über das richtige dokumentieren der Netztopografie und Routing.

Viele Grüße

 

[ottosykora]

Was für Einsteiger-Literatur könnt ihr empfehlen?

wir verwenden in Schulung oft:
https://www.wut.de/download/print/e-58www-11-prde-000.pdf

 

[ottosykora]

Von einigen Geräten, insbesondere den IoT, hört oder liest man öfters, sie hätten die Tendenz Daten nach Hause zu liefern,

ich denke da kommt man heute nicht mehr herum, gut vielleicht DOS und w3.1 hatten nicht so viel Möglichkeiten. Aber auch deine Synology muss es tun je nach dem welche Programme du da laufen hast.

Einen kleinen Server dort mieten und der Fremdanbieter überwacht den Mietserver?

das ist ganz sicher der richtige Weg und von Kosten her schon optimal.
Der Aufwand so was komplett selber zu machen ist unverhältnismässig

Sind diese Zusatzpakete für die Synology NAS oder Synology Router?

das hier ist gemeint für dein NAS, was man davon braucht kommt auf die erwartete Funktion an
So haben wir bei einem Teilnetzwerk tatsächlich den DHCP Server auf einer Syno laufen, in anderen Netzen aber den von dem Router

Wie macht ihr es mit den Backup’s für die Daten auf der Synology NAS?

na, ganz privat einfach eine ext Platte anstecken

in der Arbeit haben wir entweder eine oder sogar mehrere Synos an unterschiedlichen Standorten und da werden Backups jeweils auf die 'andere' Seite gemacht. Bei einigen Aussenstellen machen die 'Backup' mit USB.Copy und mehreren ext Platten. Einstecken, es piept, warten bis es wieder piept, platte wegnehmen.

 

[plang.pl]

Zu 1.ii) Unsichere Geräte im Netzwerk sind ein großes Einfallstor. Es gibt einige Botnetze (Beispiel "Mira"), welche aus SmartHome Geräten bestanden / bestehen. Zudem kann ein SmartHome / anderes unsicheres "smartes" Gerät auch viel Unsinn im lokalen Netz treiben. http-Verkehr sniffen -> Passwörter übertragen, sich per Zeroday Exploit Zugang zu Netzwerkgeräten verschaffen und Daten auslesen und diese an die Hacker versenden. Damit das nicht passiert, sind bei mir alle SmartHome und auch alle Geräte, die keinen Zugriff auf Ressourcen im Heimnetz brauchen, im Gastnetz. Das lässt sich mit der FritzBox gut abbilden. Zudem gibt es dort die Option, dass sich Geräte im Gastnetz gegenseitig nicht sehen dürfen.
Die Firewall der Fritte greift ja nur bei eingehendem Verkehr. Ausgehend dürfen die Geräte quasi alles. Auf diese Weise ist auch ein sog. Hole-Punch möglich. Darunter kann man sich einen Fernzugriff vorstellen, wie er beispielsweise bei TeamViewer oder QuickConnect zum Einsatz kommt. Wenn das Gerät hinter der Firewall also die Kommunikation nach extern initiiert (z.B. weil es eine Malware hat), dann kann die Gegenstelle (potenziell der Hacker), sich problemlos auf das Gerät schalten.
Zu 1.iii) Ein großer Teil ist u.a. die Aufklärung der Beteiligten. Was auch hilft: Ich habe einen AdGuard Home im Einsatz, der hunderttausende DNS-Anfragen blockiert. Da gibt es diverse Filterlisten, die bekannte Domain Squatting oder Malware-Domains sperren. Zusätzlich sperre ich grundsätzlich den Zugriff auf Seiten, die man i.d.R. nicht braucht. Zum Beispiel ist die gesamte Top-Level-Domain ".ru" (Russland) gesperrt. Das filtert schon mal Vieles weg. Damit Geräte / Malware den Filter nicht einfach umgehen können, indem 3rd Party DNS-Server befragt werden, sind in meiner FritzBox ausgehend alle Ports gesperrt, die der DNS-Auflösung dienen. Nur der AdGuard darf DNS-Anfragen stellen, nachdem er diese gefiltert hat.

Proxy mit Adblocker-Funktion (z.B. Pi-Hole): kann man darüber mehrere Teilnetze bedienen?

Ja. Solange die Clients routingtechnisch per DNS den pihole erreichen können, ist das kein Problem. Das kann man z.B. sicherstellen, indem man den pihole in dasselbe Netz hängt, in dem auch das Gateway (der Router) ist.

VPN-Server und DynDNS-Service für Zugriff von außen

Bitte hier so wenig wie möglich Ports nach extern öffnen. Wenn möglich, nur mit VPN arbeiten (das VPN-Gateway ist hier keinesfalls die DS, sondern idealerweise der Router oder ein Gerät, welches das händelt und direkt hinter dem Router sitzt und wo keine wichtigen Daten liegen). Vor allem keine Standardports (zb 5001 für DSM) freigeben und http gar nicht erlauben. Man kann prinzipiell alle Dienste von extern erreichen, wenn man nur einen Port öffnet. Dazu gibt es einen Reverse Proxy. Dazu schaltet man noch Geoblocking auf der Firewall an, nutzt Block-Scripte für IP-Adressen + hat sichere Passwörter und 2FA konfiguriert.

- Proxy Server
- VPN Server
- DNS Server
und noch weitere Dienste:
- DHCP Server
- LDAP Server
- Apache HTTP Server

Von diesen genannten Diensten hat m.M.n. keiner was auf dem NAS verloren. Insbesondere nicht der VPN-Server.

Eigener Mailserver

kurz und knapp: lass es bleiben. Bei einem Hoster einen Mailserver zu beitreiben, macht m.M.n. auch wenig Sinn. Lieber auf klassische Anbieter gehen. Man kann natürlich im Heimnetz nen Mailserver betreiben, von dem die Clients die Mails abholen und der als Archiv dient. Die Kommunikation dahinter läuft aber dann über den SMTP/POP/IMAP Dienst des Mailanbieters.

Wie macht ihr es mit den Backup’s für die Daten auf der Synology NAS?

Ich sichere einmal verschlüsselt die wichtigsten Daten in die Cloud (Hetzner). Zusätzlich läuft eine Sicherung aller Daten auf ein Remote NAS, welches per VPN angebunden ist. Ich habe auch noch externe Platten, die ich hin und wieder fürs Backup anstecke. Da muss man halt konsequent sein und sich z.B. ne Terminserie in den Kalender schreiben.

Es gibt eine 2.NAS im Netzwerk

Hierbei gibt es halt wieder das Problem der örtlichen "Katastrophe". Blitzeinschlag, Wasserschaden, etc und beide NAS + Platten segnen das Zeitliche.
Besser als kein Backup ist es aber schonmal.

 

[Mabru]

Danke für Eure Tips und Antworten.

Nach längerem überlegen und beschäftigen mit der Netzwerkthematik habe ich mich entschieden, die Synology, wie von Euch öfter geraten, nur als Fileserver, Plex Media Server für Familien-Dateien und als Dokumentenmanagementsystem zu verwenden. Alle anderen Dienste werden, wenn überhaupt, auf anderen Geräten gehostet.

Im Hinblick darauf, dass die NAS hoffentlich so 10 Jahre oder mehr ihren Dienst leisten wird, habe ich mich für die DS923+ entschieden und bestellt, da ich hier neben dem RAM auch die Netzwerkkarte upgraden kann. Damit sollten auch künftige Wifi-7 Geräte bedient werden können (noch haben wir davon keines).

Bis bald in vermutlich einem anderen Beitrag!