Anfängerfrage – Teil 1: Ist folgende Neustrukturierung des Heimnetzwerks sinnvoll?

Hallo Forum,

ich recherchiere aktuell, wie ich mein Heimnetzwerk sinnvoll verbessern kann.

A) Zur Ausgangslage (Ist-Zustand):

Vorhanden ist ein privates Heimnetzwerk, welches mit einem Router (Marke: Fritzbox 7490) mit dem Internet über einen Internetanbieter verbunden ist (dynamische IP).
Das Heimnetzwerk wird über den Router verwaltet. Es gibt per Lan angeschlossene Geräte wie PC und Notebook (Linux, Windows), Lan-Drucker, und es gibt per Wlan angeschlossene Geräte wie Smartphone und Tablet (Android), und Interner of Things (IoT) Geräte wie Smart-TV, Saugroboter.
Die Wlan Geräte sind mit ihrer Mac-Adresse im Router freigeschaltet und benötigen zusätzlich das Wlan-Passwort. Die Wlan-Verbindung ist verschlüsselt. Es gibt auch noch ein DECT-Telefon, welches über den Router läuft.

B) Gründe / Motivation für Veränderungen / Verbesserungen:
i.) Das Gefühl keine Kontrolle mehr zu haben, da mit der Zeit auch Geräte von Gästen für Wlan freigeschaltet wurden und inzwischen diese Liste lange ist. Auch sind alle Geräte in einem gemeinsamen Netz, schlecht wenn ein Gerät mal kompromittiert wird.
ii.) IoT Geräte haben den Ruf, ein latentes Sicherheitsrisiko zu sein z.B. weil Updates nur wenige Jahre geliefert werden, oder generell sie viele Daten nach Hause senden, obwohl für den fehlerfreien Betrieb nicht nötig.
iii.) Meine Kinder fangen langsam an auf Tablets Videos anzuschauen, noch unter Aufsicht von uns Eltern. Bald werden sie in der Lage sein, es auch ohne die Hilfe von Erwachsenen zu tun. Zwar werden wir altersgerecht mit den Kindern reden und gemeinsam das Internet erkunden, aber kindliche Neugier zielt oft auf das, was die Erwachsenen verbieten – daher die Idee, es nicht zu verbieten, aber ihre Möglichkeiten altersgerecht zu beschränken.
iv.) Per VPN sollen Berechtigte sich vom Internet ins Heimnetzwerk verbinden können um z.B. Familienfotos leichter auszutauschen (weg von den USB-Sticks).
v.) Um das Thema „Serveradministration“, und „-sicherheit“ zu lernen, soll es einen Experimentierbereich geben, welcher möglichst strikt vom Rest getrennt ist.

C) Weiteres Ziel:
Da es sich um ein privates Heimnetzwerk handelt sollen die Netzwerkkomponenten im Idle-Betrieb bzw. unter Niedriglast so gut wie keine Geräusche verursachen. Bei intensivem Betrieb dürfen natürlich auch Betriebsgeräusche wie z.B. Lüfter zu hören sein.

D) Das Ergebnis meiner bisherigen Recherche ist in der Endausbaustufe:

  1. Ein Router als zentrales Gateway zum Internet (wie bisher, offen ist nur, ob weiterhin die Fritzbox). Dieser dient auch als DHCP-Server für die Geräte in den DMZs. Zusätzlich dient er als DynDNS-Client, damit das Heimnetzwerk von außerhalb erreichbar wird.

Das DECT-Telefon wird hierüber vielleicht auch wieder eingebunden, ich bin für andere Lösungen offen.

  1. Über eine managed Switch werden dann mehrere VLANs betrieben in Form von:

  2. Mehrere DMZ:
    a) DMZ für’s Privatnetzwerk
    b) DMZ für eingehende VPN-Verbindungen / Datenaustausch
    c) DMZ für private Messengerdienste
    d) DMZ zum Experimentieren

3.a) DMZ für’s Privatnetzwerk (kein Remote-Zugriff):
Diese beinhaltet:
Die zentrale Firewall für’s Privatnetzwerk
'+ Proxy (um die Zuordnung von außen auf Endanwender zu anonymisieren)
'+ Anti-Virus / Schutz vor Schadsoftware

Das dahinter liegende eigentliche Privatnetzwerk wird einem 2.Thread (Teil 2) später gepostet.

3.b) DMZ für eingehende VPN-Verbindungen / Datenaustausch:
Geplant, um mit Familienmitglieder und Freunden einfach und sicher Daten (z.B. Familienfotos) austauschen zu können, ohne auf USB-Sticks o.ä. zurück greifen zu müssen.

Die Hintergrunddienste (kein Remote-Zugriff):
Ein vorgeschalteter VPN-Server mit Login & MFA (z.B. Yubikey, Nitrokey)
'+ danach Firewall
'+ Proxy (? nötig ?)
'+ Anti-Virus / Schutz vor Schadsoftware
'+ DNS-Server & Pi-Hole / AdGuard Home
'+ Sicherheitssystem falls doch ein Hacker eindringt (z.B. Intrusion Prevention System (IPS))
für folgende Dienste auf einer NAS:
i) Cloud zum Datenaustausch
ii) Plex Dienst um Fotoalben und Videos sich anzeigen lassen zu können
iii) internes „Facebook“
iv) internes Wiki
v) git-Server

Idealerweise kann man vom Privatnetzwerk (DMZ 3.a) ohne Internet eine interne Verbindung aufbauen zwecks Datenaustausch, evtl. sogar Backups erstellen.

3.c) DMZ für private Messengerdienst:
Für den selben, persönlich bekannten Benutzerkreis, aber getrennt von 3.b), damit man nicht aktiv immer eine VPN-Verbindung aufbauen muss, um auf diese Dienste zugreifen zu können, bzw. die Dienste von sich aus Updates an die Benutzer schicken können.

Die Hintergrunddienste sind ähnlich wie zuvor (kein Remote-Zugriff):
Reverse-Proxy (zur Trennung welche Daten in die DMZ 3.c und 3.d gehören)
'+ danach Firewall
'+ Proxy (? nötig ?)
'+ Anti-Virus / Schutz vor Schadsoftware
'+ DNS-Server & Pi-Hole / AdGuard Home
'+ Sicherheitssystem falls doch ein Hacker eindringt (z.B. Intrusion Prevention System (IPS))
für folgende Dienste – auf einer NAS oder einem Mini-PC:
i) Instand-Messenger Dienst mit End-to-End-Verschlüsselung
ii) Videokonferenz Dienst mit End-to-End-Verschlüsselung
iii) Kurznachrichtendienst
iv) Video- und Fotoportal (ähnlich Tiktok, Instagram)

Idealerweise kann man vom Privatnetzwerk (DMZ 3.a) ohne Internet eine interne Verbindung aufbauen zwecks Datenaustausch, evtl. sogar Backups erstellen.

3.d) DMZ zum Experimentieren:
Diese Dienste würden vom Internet aus allgemein zugreifbar sein, allerdings nicht kommerziell und nur, bis ich denke so fit zu sein, dass ich es zu einem externen Serverdienst umziehe.
Idealerweise sollte diese DMZ sogar über einen eigenen Internetanschluss laufen, aber da es nur zum Lernen und Experimentieren ist und nicht dauerhaft online sein muss, hätte ich es vorerst als weitere DMZ geplant, um nicht noch die Kosten für einen 2.Internetanschluss zu haben.

Eine Idee wäre, diese DMZ ins Gästenetzwerk vom 1. Gateway-Router zu platzieren um eine stärkere Isolierung zu erreichen.

Die Hintergrunddienste sind ähnlich wie zuvor (kein Remote-Zugriff):
Firewall
'+ Proxy (? nötig ?)
'+ Anti-Virus / Schutz vor Schadsoftware
'+ DNS-Server & Pi-Hole / AdGuard Home
'+ Sicherheitssystem falls doch ein Hacker eindringt (z.B. Intrusion Prevention System (IPS))
'+ (neu) Honeypot / Honigtopf
für folgende Dienste – auf einer NAS oder einem Mini-PC:
i) Webserver
ii) Mailserver
iii) Unified Communications
iv) Suchmaschine mit Webcrawler

Über den Honeypot / Honigtopf würde ich gerne erfahren, wie viel Angriffe gefahren werden und welcher Art, um evtl. bei der Firewall nachzuschärfen.

3.e) Meine offenen Fragen:
i) Ganz grundlegend: Ist diese Netzwerkstruktur überhaupt sinnvoll?
ii) Kann ich meinen bisherigen Router beibehalten, oder sollte ich diesen austauschen (falls ja, welches Gerät ist empfehlenswert bzw. was sollte es können)?
iii) Stimmt folgende Überlegung zur Verteilung der eingehenden Daten?

  • Das Privatnetz (3.a)) bietet keine Diente für extern an, somit sendet es zunächst Datenanfragen raus, was der Gateway-Router sich merkt, und damit können eingehende Daten zugeordnet werden.
  • Eine eingehende VPN-Verbindung wird automatisch zur DMZ 3.b) geroutet, da nur diese eingehende VPN-Verbindungen erwartet.
  • Die restlichen eingehenden Daten sind für die DMZ 3.c) und 3.d). Diese können unterschieden werden, da für 3.c) ein Reverse-Proxy mit exklusiven Ports der Empfänger ist, der ganze Rest wird zu 3.d) geroutet.
    iv) Wäre eine alternative Lösung anstelle des Reverse-Proxys der Weg aus dem Tutorial: Der Router ins Darknet – Vollständige Anleitung?
    v) Bringen die Proxys in den DMZ 3.b) „VPN“, 3.c) „Messenger“, und 3.d) „Experimentieren“ etwas für die Sicherheit und Privatsphäre, oder kann ich mir die sparen?
    vi) Erhöht es die Sicherheit und Isolation gegenüber dem Rest, wenn die 3.d) „DMZ zum Experimentieren“ im Gästenetz des Gateway-Routers ist?

Zum Punkt 4. Das eigentliche Privatnetzwerk und folgende, kommen wir in einem späteren Thread, da es sonst zu viel Text und damit zu lange wird.

Viele Grüße und schon mal vielen Dank für Ratschläge und Hinweise.

Ziemlich großes Projekt für einen Forumsbeitrag :smiley:

Zum Thema Messenger:
Hier solltest mal einen Blick auf SimpleX Chat werfen. Cooles Projekt und man kann super einfach einen eigenen Server betreiben welcher weder Power noch viel Speicher benötigt. Nachteil ist. Die Clients sind für eventuelle Backups verantwortlich.
Ich nutze diesen schon knapp 1 Jahr und bin zufrieden :slight_smile:

Ansonsten bliebe sowas wie Matrix/Element. Funktioniert gut aber der Ressourcenverbrauch ist nicht zu verachten. Vorteil ist aber: man loggt sich neu ein und hat all seine Chats wieder. Also genau das Gegenteil von SimpleX.

3b) würde ich mit der Nextcloud über einen Reverse Proxy (ohne VPN) machen. Mit SSL Verschlüsselung ist das auch sicher und nicht jeder braucht ein VPN

Hallo und vielen Dank für die ersten Empfehlungen.

Kann ich das dann so verstehen, dass die 4 parallelen DMZ und die Zuordenbarkeit der eingehenden Daten zu der richtigen DMZ richtig konzipiert sind von der Netzwerkstruktur her gesehen?

Mein Fokus liegt im 1.Schritt auf der Struktur, im 2.Schritt wird es dann interessant was eine empfehlenswerte Software zur Umsetzung ist und welche Hardware ich dann konkret brauche, um es umzusetzen.

Ja, und das war erst Teil 1 …
Wäre dann ein Schaubild besser gewesen?

Also Server vom restlichen Netz zu „trennen“ ist sicher immer eine gute Idee. Die Frage ist halt nur, welchen Aufwand man sich selbst betreiben will bzw ob das im jeweiligen Fall wirklich notwendig ist. Und was man sich davon verspricht?

Ich denke wenn du die einzelnen Dienste auf separaten (virtuellen) Maschinen laufen lässt und diese vernünftig absicherst, würde das ebenfalls seinen Zweck erfüllen.

Die wichtigsten Sachen werden immer sein:

  • nur die nötigsten Ports offen haben
  • nur die nötigsten Dienste ohne VPN erreichbar machen
  • SSH nur über VPN
  • SSH Login nur mit Key statt Passwort
  • Dienste so weit wie möglich separieren (VM und/oder Docker)
  • Software aktuell halten
  • sowas wie Fail2Ban einrichten
  • backups backup backups

Der Rest mit Firewalls etc ist alles gut und wichtig aber im kleinen Maßstab, zumindest meiner Meinung nach, kein muss. Besonders nicht, wenn der Benutzerkreis überschaubar ist und man keinen „öffentlichen“ Service anbietet. Wie ne Händler Platform oder sowas.

Aber da kann jeder eine andere Meinung haben. Ich fahre so bisher ganz gut und entspannt. DMZs für meinen kleinen Rechner einzurichten wäre schlicht overkill. :man_shrugging:

1 Like

Ich würde auf jeden Fall auf jegliche Router-Kaskade verzichten. Ich habe bei mir eine OPNsense im Einsatz mit 5 VLANs und trenne damit zuverlässig und mMn auch ohne overkill, meine Netze.

Die Fritzbox würde ich in den Bridgemode setzen und nur noch das Telefon darüber laufen lassen. Spätestens mit mehreren Netzen packt die Fritte das eh nicht mehr mit DHCP

2 Likes

Danke für die Rückmeldungen, dazu dann am Ende mehr.

Bis jetzt war es ja nur „Teil 1“, aber ja es war viel Text.
Ich habe das ganze versucht grafisch darzustellen, ist so vielleicht besser zu überblicken, und ich habe auch das Privatnetz jetzt doch schon ergänzt; vielleicht ändert das Wissen darüber eure Einschätzung.

Was mir immer noch unklar ist, wie eingehende Daten an die „richtige“ Stelle verteilt werden?
Überlegt habe ich mir zwei Optionen, wobei auch beide „falsch“ sein können:
Option 1 mit einem Reverse Proxy:


Option 2 mit einem Datenkanal durch das TOR-Netzwerk, angelehnt an einen Artikel vom Dennis.

Das eigentliche Privatnetzwerk ist dann in einem eigenen Diagramm dargestellt:

Und hier dann gleich eine Rückfrage zu Euren Anregungen: Container anstelle von VLAN bzw. dedizierte Geräte:
Was für eine Hardware wird erforderlich sein, wenn ich alles über Container laufen lasse?
Neben den 4 DMZ (jeweils mit Firewall, Proxy, Anti-Virus, dann noch mit DNS-Server & Pi-Hole sowie der Überwachung per IDS/IPS, teilweise davor noch VPN-Server oder Remote-Proxy) wären es dann alleine 21 Container, und dann noch das Privatnetz mit 7 Netzsegmenten mit weiteren 22 Container, zusammen 43 Container in der Endausbaustufe, wird dies stabil und performant möglich sein?

Ein lautsloser Rasyberry Pi dürfte damit überfordert sein, auch wenn im Normalfall es 2 bis 4 parallele Benutzer + IoT-Geräte gibt.

Für welche Funktionen benötige ich dann doch spezielle Hardware, wie z.B. managed Switches?

  • Zur echten Trennung des Gäste-Segments und des IoT-Segmentes?
  • Wenn Quality of Service zur Priorisierung nötig ist?
  • Für die separaten WLAN-Netze?

Was ist mit Rouer-Kaskade gemeint?

Router-Kaskade =
Fritzbox im NAT Modus + zusätzlichen Router/Firewall dahinter! :wink:

Ich würde mit entweder einen Protectli oder einen Minisforum hinstellen.
Hab bei meinem Protectli Proxmox mit zfs autosnapshot.
Darauf laufen dann die Opnsense (als VM) mit PCI Passthrough von 2 NIC`s (INTERN UND EXTERN) … INTERN ist mit vlans Segmentiert.
EXTERN geht auf DSL Modem, welxhes im Bridge Modus läuft.
Adguard-sync (als LXC) synct sich mit meiner "Master-Instance) die auf meinem Proxmox Server läuft.
Dienste, die von Aussen erreichbar sind, laufen über den NginxProxyManager, der in der DMZ läuft.

Kommt natürlich drauf an was du Investieren willst …
Möglich ist alles! :wink:

Auf der Opnsense kannst dich dann mit zb.:
Crowdsec und Zenarmor näher beschäftigen.

Anmerkungen:

Fritzbox und bridgemode, geht nicht unbedingt. Bei DSL gehts nicht. Und bei Kabelinternet nur bedingt. Da hat der schröder auch nen video drüber… Vodafone Komfort telefon funktion nötig war da die essenz…oder mietfritzbox…

Gästewlan wurde ich aber nicht extra über die fritzbox laufen lassen. Guter AP kann das sauber abtrennen. Wlan kostet Strom wenn das der andere Access Point mitmacht verbrauchst du weniger… Wenn das gäste wlan nur bei Bedarf an ist, könnte man es zwar machen … Macht es dir verwaltungstechnisch aber schwerer… Alles aus einer hand is da gut.

Telefon: kabelinternet und komforttelefon/mietfritzbox geht…
DSL geht der bridgemode(daher doppeltes NAT) so nicht aber das telefon läuft…
Alternatives modem mit bridgemode…kein Telefon.
Alternative wären da IP Telefone statt DECT.

Hoffe die Gedanken helfen…

Ich habe das aus ähnlichen gründen mit unify zeug gemacht…gerade um auch mal auf die schnelle komfortabel zu sehen wer da was macht is das nice und komfortabel. Mit OPNsense oder PFsense hast du aber mehr Möglichkeiten…

Frage ist ja aber auch was für ein budget willst du benutzen.

Günstige Lösung wäre so nen china 4 port n100 kracher mit proxmox, mit ner sense firewall und deinen diensten auf einer kiste… Ggf noch nen managed switch je nach anzahl geräte… Und nen Access Point z.b. von tp link.

Teurer, weniger Einstellmöglichkeiten, aber einsteigerfreundlicher, mit Paketanalyse, wäre unifi cloud Gateway Ultra (100€), switch brauchst vermutlich in beiden versionen (ich hab den 16 port Lite mit poe „als tischgerät“ und nen AP in ich hab den u6 longrange kein 6ghz aber auf 2,4 mehr antennen weil ich viele IoT sachen im wlan hab allen 40 steckdosen… 200€(nen AP wirste aber eh brauchen und nen hunni kostet der auch und es gibt auch günstigere von unifi mit weniger antennen… Daher eigentlich keine mehrkosten.)

Sind also eigentlich 100€ mehrkosten für das gateway als bei ner sense lösung…dafür läuft daus Hauptnetz sauber auch wenn du mal was verbastelst… Ne bastel sense kann man ja optional zusätzlich machen da nen switch von unify gern mal mehr kostet lass es in summe 200 sein…

Theoretisch kann man sich das gateway auch als software installieren… Dann fallen die 100€ weg aber wenn warum auch immer auf dem proxmox was schief läuft haste wieder nen thema.

Ich hatte nen HM80 für meine Server Dienste bei ner China-Möhren mit n100 biste da preislich ähnlich unterwegs je nach Ausstattung daher rechne ich da keinen preislichen Unterschied… Musst du aber für dich ausrechnen…

Mehr lernen wirste bei der lösung mit ner pf/OPNsense und diversen eigenen diensten
Ob deine Familie darauf lust hast wenn du mal was zerschießt und mal was kurz nicht geht… Kannst du entscheiden🤣 ich hab die effektiv 100-200 euro mehr in die hand genommen für die klickie bunti lösung und das Familien Netz läuft sauber und hab dann lieber niemanden im nacken sitzen wenn ich oder nen update was zerschießen und analysiere was ich falsch gemacht hab bevor ich wild nen backup einspiele…