Heimnetzwerk sicher machen mit DMZ, VLAN und Firewall

NSFH · 19. Nov 2020

Für mich ist die Konfiguration erheblich übersichtlicher und auch einfacher, wenn ich mit verschiedenen Nw-Ports gerade beim Server arbeiten kann.
Im Router trenne ich schon ankommend 1-3 DMZ ab. Ich muss aber auch aus der DMZ auf einen weiter innen stehenden Server kommen. Das geht nur durch Netztrennung, sowohl IP-technisch als auch per VLAN.
Ich nutze als Standard immer einen Draytek 2460 VPN Router. Mit 2xWAN und 4x einzeln konfigurierbarer Ausgänge kann man schon viel umsetzen.

Ich denke die Hersteller der Soho Router haben eines noch nicht erkannt: Sie öffnen Millionen Router von Innen durch nicht abgesicherte Smart-Geräte im LAN. So könnte zB auch eine Fritz statt dem simplen Gast-Zugang auch eine vorkunfigurierte DMZ anbieten, in der solche Geräte angemeldet werden könnten. Das VLAN von AVM ignoriert wird ist zudem mehr als schwach. Mit etwas Mühe liesse sich das auch in dieser Blackbox nutzerfreundlich implementieren.

Dem einfachen Anwender ist das alles zu viel. Der hätte lieber einen Apple, wo er nichts verstellen kann. Anschliessen und fertig. Ich bin sicher, dass man sowas auch auf Routerebene machen könnte. Idee: Eine Gui, wo der Nutzer seine Konfiguration grafisch zusammenklicken kann. Daraus wird eine config erstellt, die automatisch auf seinen Router übertragen wird. Das bekäme sogar ein Laie hin.

whitbread · 22. Nov 2020

Also die Anzahl der VLANs bestimmen nicht die benötigte Bandbreite ;-) Wenn Du die Bandbreite brauchst, dann nutze Deine Ports, aber hat nix mit den VLANs zu tun. Was ich nur kritisch sehe, ist die physische NAS in zwei eigentlich getrennte Netze zu hängen.
Ich nutze auch die Fritte zwecks Telefonie bzw. eigentlich nur weil ich zu geizig bin, mir ein passendes Modem hinzustellen. Dazu braucht es aber doch kein Doppel-NAT?!?

blurrrr · 23. Nov 2020

Jo, aber auch nur, weil die Fritzbox zulässt, dass man die entsprechenden Routen hinterlegen kann. Macht auch bei weitem nicht jeder Router ? Was den Modem-Geiz angeht... jo... "Mein" Netz fängt bei meiner Firewall an... die ollen ISP-Router hab ich einfach nur davor geworfen... Fritzbox kann Routen, schön, die komische Connect-Box oder was das ist (Cable/Vodafone (Ex-Unitymedia)) kann keine zusätzlichen Routen, da läuft dann halt notgedrungen 2x NAT, aber ist eh nur Fallback und zudem schaut man einem geschenkten Gaul auch nicht ins Maul (die Cable-Geschichte ist nämlich für lau, auch wenn es nur 10/1MBit gibt, aber als Fallback definitiv ausreichend ?)...

whitbread · 23. Nov 2020

Die VLAN-Geschichte ist tatsächlich für den normalen User schwer zu durchdringen. Da bietet sich ein einzelner Router mit entsprechender Funktionalität und den passenden Ports an - richtig.
Wer hinter seine Fritte einen Router stellt, der wird hier was Vernünftiges nehmen und diesen auch als Firewall nutzen. Eine statische Route braucht es aber nur auf der Fritte, da ja der Router direkt mit der Fritte verbunden und daher mit einem Bein im Netz dieser steht (somit dahin routen kann).
Ob man jetzt mit VLANs arbeitet oder nicht, hängt von der weiteren Verzweigung des Heimnetzwerkes ab. Üblicherweise nutze ich dann einen passenden Switch und drösele die VLANs im Router wieder auf. Unsere Synos können ja auch VLAN - so können bspw. Virtuelle Maschinen oder Docker-Instanzen getrennt werden. Das geht selbst mit der DS218+ und einem physischen Port.