Ein oder mehrere Geräte? Bitte um Empfehlungen

Hallo Forum,

im ersten Schritt möchte ich mein All-in-one-Heimnetzwerk aufteilen in das Familiennetz, ein IoT-Netz und ein Gästenetz. Das Netzwerk hat 1 GBit und aktuell habe ich keinen Bedarf nach mehr Performance, da es normal max. 4 Benutzer im Familiennetzwerk sind. Das Gateway zum Internet ist aktuell der Router (Marke: Fritzbox 7490).

Ins Gästenetz soll man sich – ähnlich wie in Hotels – ohne MAC-Freischaltung mit einem Einmalcode verbinden können, aber keinen Zugriff auf die beiden anderen Netze haben. Wenn ich richtig recherchiert habe benötigt man dafür einen RADIUS-Server.

Die Geräte im IoT-Netz sollen sehr eingeschränkten Internetzugriff (nur für Updates) und auch keinen Zugriff auf die beiden anderen Netze haben.

Im Familiennetz werden alle bisherigen Geräte (ohne IoT) sein, und zusätzlich soll eine NAS gekauft werden. Als Hintergrund-Dienste sollen zunächst eine separate Firewall, Fail2Ban, Proxy (um von außen die Einzelgeräte unsichtbar zu machen), Virenscan, sowie ein DNS mit Pi-Hole / AdGuard Home laufen.

Die NAS soll als Fileserver (Linux, Windows, Android), Medien-Server (z.B. Plex) und Dokumentenmanagement-System fungieren.

Alle Netzwerke sollen über eine eigenes WLAN erreichbar sein.

Meine eigene Bedrohungseinschätzung ist die Gefährdung durch Gelegenheits-Hacker, unsichere IoT-Geräte oder unvorsichtige Familienmitglieder bzw. Gäste, also Standard würde ich sagen.

Ziel: Betrieb in 24/7, im Idle-Modus soll das / die Gerät/e möglichst lautlos sein.

Frage 1: Ein oder mehrere Geräte?

Kann ich die nötigen Dienste alle auf der NAS (z.B. in Kubernetes Containern) laufen lassen, oder wie viel separate Geräte sind – auch aus Sicherheitsgründen – wirtschaftlich empfehlenswert?

Frage 2: Empfehlung für eine NAS?

Ein Kollege empfahl mir die Synology DS423+ mit RAM-Speichererweiterung und 2 NVME’s (RAID-1) als Speicherplatz für die Familienfotos und zwei HDD’s für den Rest (ebenfalls RAID-1). Darauf könnte ich auch diverse Container betreiben.

Aus Dennis Videos weiß ich, dass Synology gut ist, aber es auch andere gute Alternativen mit mehr Flexibilität gibt, die vielleicht in meinem Fall besser passen. Welche könntet ihr auf meine Situation hin empfehlen?

Frage 3: Empfehlung für separate Geräte? (falls nicht alles auf der NAS)

Falls nicht alles auf der NAS laufen soll oder kann, welche Geräte empfehlt ihr?

Für jeden Dienst einen eigenen Raspberry-Pi?

Frage 4: Multi-SSID WLAN Accesspoint

Da auch die 3 Netze per WLAN erreichbar sein sollen, werde ich wohl Multi-SSID WLAN Accesspoint brauchen. Oder gibt es eine bessere Lösung?

Welche Geräte sind empfehlenswert?

Vielen Dank im Voraus und viele Grüße

Hallo
für das Netzwerk das du hier planst würde ich die Fritzbox 7490 zum Modem degradieren und mit einem Mikrotik Router mit WLAN Funktion(z.B. Mikrotik L009UiGS-2HaxD-IN
) verwenden um die einzelnen Netze zu trennen. Falls mehr LAN Steckplätze benötigt werden müsste man halt zu einem größerem Model greifen

Für mein Netzwerk das ich aktuell laufen habe ist der Mikrotik CRS125 mit 24 1G Ports die Schaltzentrale der die Netze verwaltet und die Fritzbox hat den zugriff nach außen und macht noch etwas das Telefon.

Beim Thema NAS würde ich jetzt erstmals die aktuellen Videos von Dennis abwarten denn der hat ja noch ein NAS zum testen bekommen. Vielleicht ist das ja eine Alternative zur Synology DS423+

Gruß Blackbox

1 Like

Für WiFi sind die TP-Link EAP Modelle sehr gut, können multi ssid und vlan, z.b. EAP660HD

Als firewall kann ich ein china barebone empfehlen, eine opnsense/pfsense drauf und dort kannst du dan auch super deine vlan mit aufteilen, wen du die fritzbox wirklich als modem nutzen kannst, dan die opnsense/pfsense die einwahl ins internet übernehmen lassen

2 Likes

Hallo Blackbox und Andrew, hallo Forum,

stimmt, das DECT-Telefon, dass über die Fritzbox noch läuft, hatte ich vergessen zu erwähnen.

@Blackbox

Sind die beiden Router Mikrotik L009UiGS-2HaxD-IN bzw. Mikrotik CRS125-24G-1S-2HnD-IN sowas wie managed Switches mit WLAN?

Meinst Du mit dem aktuellen Video von Dennis das heutige zum Minisforum MS-01?

Vermutlich nicht, weil es selbst als Workstation deklariert wird, nicht als NAS.

@Andrew

China Barebone klingt nicht automatisch besonders vertrauenswürdig in Sachen Sicherheit, aber das mag auch nur ein politisches Vorurteil sein.

Was wären hier empfehlenswerte Geräte?

Was mir noch nicht ganz klar ist, ob es nun ratsamer ist, alle Dienst auf einem Gerät, z.B. dem MS-01, laufen zu lassen, oder es zu verteilen auf mehr Geräte.

Sollte auf dem China Barebone nur die Firewall laufen, oder auch die anderen Dienste?

Die Router verstehe ich jetzt als Schnittstellen um das Netzwerk physikalisch bzw. mit WLAN aufzubauen – das hatte ich zu Beginn gar nicht im Blick, aber braucht man natürlich auch.

Gruß

Hallo,

Hatte damals ein ähnliches Vorhaben.
Gestartet habe ich mit einer virtualisierten Sophos, dann miz einer Hardware Appliance und jetzt läuft meine Ubiquiti Unifi UDM-Pro. Dahinter ein Unifi Switch, Unifi Accesspoints und 2 Synology.
Auf den Synologys laufen sowohl VMs als aich Docker.
Die Unifis können verschiedene SSIDs ausstrahlen, Vlans, Gastnetz/Gastportal etc. Dürfte also hier technisch erstmal deine Anforderungen vollständig decken, auch Radius-Server, MAC-Authentifizierung etc wäre machbar.
Ich bin mit der Synology sehr zufrieden, obwohl mir persönlich beispielsweise die Aufrüstmöglichkeit auf 10G fehlt…
Bei dir könnte ich mir beispielsweise noch ein QNAP vorstellen (QGD-3014-16PT | Desktop Smart Edge PoE Switch<br>Kostenoptimierte, intelligente IP-Überwachungslösung | QNAP). Kann hier aber zur Oberfläche nicht viel sagen.

So viel erstmal von mir, wollte das nur mal mit in den Topf werfen, da ich Unifi für ziemlich vielseitig, wenn auch nicht 100%ig perfekt halte.
Viele Grüße

im Grunde ist fast die gesamte Elektronik die wir nutzen aus China, etwas vertrauen gehört schon dazu, mir sind bis jetzt zumindest keine negativen bösartigen Aktivitäten von China barebone bekannt, ich für meinen teil habe nur die Firewall auf dem barebone, das einzige was dort noch drauf läuft ist adguard, man kann es auch virtualisieren z.b. wie du schreibst auf dem MS-01 aber bei jedem neustart ist automatisch deine Firewall aus und somit auch das Internet wen du darüber die Einwahl machst, finde ich nicht schön so.

gib auch eine Riesen Auswahl bei Aliexpress, ich wie auch andere haben dort gekauft und sind bestens zufrieden, ist jedem selbst überlassen wo er bestellt.

alles auf einem gerät laufen haben muss jeder selbst entscheiden wie verfügbar es sein muss, ein gerät bedeutet auch wen es abraucht ist alles offline, für mein homelabe ist das kein Problem, das Zauberwort ist Backup, Hardware kann immer kaputt gehen, optimal ist wen man die wichtigste Hardware immer Doppelt hat

spezielle Router habe ich bei mir nicht, ich hab bei mir nur 2 switch die in meinem fall die gesamte Wohnung vernetzen, die OPNsense übernimmt mehr oder weniger die Arbeit vom Router für die VLAN , DHCP usw

ich hab mir ein extra Modem geholt und meine Fritzbox macht nur noch Telefon, nix anderes mehr

Modem → OPNsense → Switch → alle anderen Geräte wie auch Fritzbox und AP

Guten Abend Zusammen,

@Homunkulee

Ja das klingt sehr ähnlich.

Die Ubiquiti Unifi UDM-Pro für die VLAN wahrscheinlich, aber wozu dahinter noch die Unifi Switch?

@Andrew

Mangels praktischer Erfahrung strauchle ich gerade an folgendem Satzteil:

ich für meinen teil habe nur die Firewall auf dem barebone, das einzige was dort noch drauf läuft ist adguard, man kann es auch virtualisieren z.b. wie du schreibst auf dem MS-01 aber bei jedem neustart ist automatisch deine Firewall aus und somit auch das Internet wen du darüber die Einwahl machst, finde ich nicht schön so.

Du hast also deine Firewall nicht virtualisiert, sondern direkt als Anwendung auf einem Barebone installiert, z.B. dem aus Dennis Artikel oder Raspberry Pis, somit startet die Firewall nach jedem Reboot immer.

Aber kann man nicht auch virtuelle Maschinen bzw. Container automatisch starten lassen, wenn das Hostsystem gebootet ist? Es dauert halt evtl. 30 Sek. länger, bis der Dienst verfügbar ist.

alles auf einem gerät laufen haben muss jeder selbst entscheiden wie verfügbar es sein muss, ein gerät bedeutet auch wen es abraucht ist alles offline

Das stimmt, wenn die All-in-One-Lösung mal länger ausfällt, wird mir meine Frau die Hölle anheizen wegen meiner Spielereien … daher dann die logische Frage: wie baut man sich ein redundantes System auf, das automatisch den Ausfall einer Komponente erkennt?

(egal, ob der Ausfall das All-in-One-Gerät ist, oder „nur“ ein Bestandteil wie die Firewall oder DNS-Server)

Wozu das separate Modem, wenn die Fritzbox sowas ja auch integriert hat?

Zusatzfrage wegen meiner physischen Kabelsituation:

Im Erdgeschoss befindet sich die DSL-Dose, daneben aktuell der Router und von dort geht 1 LAN-Kabel durch eine Wand / Decke ins Obergeschoss. Im Obergeschoss im Büro steht die meiste PC-Hardware und dort sollen dann auch z.B. die Firewall … hin.

Wenn ich mein „Homelab“ jetzt aufteile, werde ich sowohl im EG als auch im OG Geräte aus unterschiedlichen VLANs haben.

Somit muss der ganze Traffic zunächst durch dieses 1 LAN-Kabel vom EG ins OG zur Firewall und von dort auch dann auf die VLANs verteilt werden, also auch wieder zurück in EG.

EG: DSL-Dose → Router → Port 1: LAN-Kabel ins OG

OG: Firewall → managed Switch → Port x: selbes LAN-Kabel ins EG → Router oder evtl. 2.Switch

Geht das, dass der Traffic mehrerer VLANs hinter der Firewall durch das physikalisch selbe Kabel geleitet wird, ohne die Sicherheit zunichte zu machen?

VG

noch mal zur Firewall, die startet man so gut wie nie neu, die ist konstant online, einen proxmox host wird da im vergleich schon öfters mal neu gestartet, deswegen habe ich die Firewall lieber getrennt von dem System.

wen du Telefon über die Fritzbox nutzt, ob das auch noch geht wen die als Modem eingestellt wird? gibt ja nicht viele Modele die als Modem genutzt werden können, meine 7590 kann es nicht, bei reiner IP Telefonie muss die Fritzbox eine Internet Verbindung haben, von der Theorie geht das im Modem Modus ja nicht, und wen doch, wie soll das aussehen, fritzbox"modem" → firewall → zurück zur fritzbox ?

es können mehrere VLAN über die selben NIC gehen, das ist kein Problem.

bin mir nicht sicher ob ich das richtig verstehe, du willst durch die WAN Leitung LAN Traffic leiten? das ist keine gute Idee

zwischen Modem und Firewall sollte nur eine Leitung sein die ausschließlich für den Internet Traffic ist.

Hallo Andrew, hallo Forum,

sollte man dann die Stand-alone-Firewall, evtl. mit Adguard dazu, auf dem vorgestellten Barebone betreiben und auf ein oder mehreren weiteren Barebones dann die anderen Dienste?

Oder reicht für die Firewall ein Raspberry Pi aus und für die anderen Dienste im Container dann der Barebone?

Bezüglich der Fritzbox hatte ich die Vorstellung, dass die Fritzbox die IP-Telefonie noch vom restlichen Traffic trennt und zum Telefon leitet, der ganze verbleibende Traffic wird zum Firewallgerät routet (Modem-Anteil). War das falsch, weil die IP-Telefondaten auch durch die Firewall müssen?

„> bin mir nicht sicher ob ich das richtig verstehe, du willst durch die WAN Leitung LAN Traffic leiten? das ist keine gute Idee

zwischen Modem und Firewall sollte nur eine Leitung sein die ausschließlich für den Internet Traffic ist.

Statt „wollen“ wäre „müssen“ richtig. Als wir 2020 das Haus gemietet haben, hatte ich mich noch nicht mit Netzwerkstruktur beschäftigt, daher war die 1 LAN-Leitung vollkommen ausreichend. Jetzt habe ich nur diese 1 Leitung; aber wir überlegen eh in den nächsten 1-2 Jahren nochmal umzuziehen, dann kann ich den Fehler korrigieren.

Gerade lerne ich hier im Forum und anderswo viel neues, sodass ich künftig es anders machen werde.

Neu habe ich jetzt gelernt:

Auf dem physischen Kabel vom Internet bis zur Firewall sollte man KEINE interne Netzwerkverbindung übertragen, auch nicht über ein VLAN.

Nach der Firewall können die physischen Kabel zur Übertragung mehrerer VLAN parallel genutzt werden.

Kann jemand mir noch Tips geben, wie man ein redundantes System aufbaut, welches automatisch erkennt, wenn eine Komponente ausgefallen ist und dann die Reserve übernimmt?

(und wie man das finanziell und aufwandstechnisch im Rahmen hält für ein Homelab)

VG

Hallo Mabru,

wen du z.b. ein Barebone benutzt für die Firewall, die hat ja meistens mindestens 4 LAN Ports, diese direkt wie auch die Fritzbox genau an der DSL-Dose platzierst, dan hast du das Problem mit der einen Leitung ins OG auch nicht, LAN Traffic durch die WAN Leitung, kann man machen ist aber misst, mich kann auch jemand anderes verbessern wen ich da falsch liege.

ein Beispiel wäre folgender, du hast ja nur eine Leitung in das OG, aber der Barebone hat 4 Ports, Port 1 WAN zur fritzbox, Port 2 LAN ins OG, Port 3 eventuell zu einem anderen Switch im EG
image

Fritzbox als Modem und Telefonie bezweifele ich immer noch das es überhaupt funktioniert, der folgende Artikel bezieht sich zwar auf die 7590 aber das wird generell ein Problem sein.

ein Raspberry PI als Firewall umbauen lässt sich bestimmt auf komplizierten weg umsetzen, finde ich aber nicht passend für eine Firewall.

ein redundantes System lässt sich nur im Cluster betrieb umsetzen, mindestens 3 Nodes, du brauchst 3 mal Hardware um ein Cluster mit HA aufzubauen.

zeichne am besten mal ein Bild wie deine Struktur aussehen soll und welche Dienste du betreiben möchtest, dan kann man eventuell auch besser entscheiden wieviel Geräte du benötigst, abgesehen von einem Cluster, das ist für ein Homelab schon etwas übertrieben finde ich, vor allem wird es dadurch kostenintensiv.

Hallo Andrew, hallo Forum,

was für gute Software gibt es, um Darstellungen für Netzwerke erstellen zu können?

Meine folgenden Bilder sind mit Draw (LibreOffice) gemacht, es sollte seinen Zweck erfüllen, auch wenn ich nicht so plastische Gerätebilder habe und die Verbindungslinien nicht an den Objekten kleben bleiben.

Das eine Bild stellt die geplante Netzwerkstruktur dar, ohne Berücksichtigung von Einschränkungen durch Platzmangel. „WLAN“ steht hier symbolisch für drei separate WLAN-Netze.

Es wären, wie anfangs beschrieben, 3 Segmente plus ein Infrastruktur-Segment für Dienste, auf die alle irgendwie zugreifen müssen.

Auf dem 2.Bild habe ich die örtliche Situation mit berücksichtigt. In diesem Bild stehen die „WLAN“ für echte WLAN-Accesspoints. Die Zuordnung mehrerer Diensten auf ein Gerät ist ohne eigene praktische Erfahrung, wenn es besser ist sie auf mehrere Geräte zu verteilen, um einen Flaschenhals zu vermeiden, bin ich offen dafür.

Besonders das „Schränkchen“ im Flur vom Erdgeschoss wird ein Problem: die Fritzbox wird dort von meiner Frau akzeptiert, da sie das WLAN davon selbst intensiv nutzt. Wenn ich aber jetzt 4 - 5 weitere Geräte dort hinstellen möchte, wo bereits jetzt der Platz kaum reicht, wird es um so schwieriger, je sichtbarer die Geräte sind …

Auch wenn ein Umzug in 1-2 Jahren kommen könnte, muss ich aktuell mit dem hier und jetzt mich arrangieren. Optimierungsideen nehme ich gerne an.

Was ich noch vergessen hatte ist das Thema VPN-Verbindung zum Heimnetz meiner Eltern. Damit ich 5 Min.-Themen nicht immer bis zum nächsten Familienbesuch aufschieben muss, würde ich gerne künftig dort Remote helfen können. Ursprünglich war meine Idee eine VPN-Verbindung zwischen den beiden Fritzboxen zu erstellen – auch hier bin ich für bessere alternative Ideen offen. Idealerweise würde ich gerne die Authentifizeriung mit SecureKeys (Nitrokey, Yubikey) machen.

Zum redundanten Aufbau: wenn man dafür das 3-fache an Geräten benötigt, wovon 2 im Idle-Modus nur warten, dann kann ich mir auch nur jeweils ein Ersatzgerät in den Schrank legen und kann so innerhalb weniger Stunden ein defektes Gerät austauschen – vorausgesetzt es gibt aktuelle Backups des ausgefallenen Systems. Erscheint mir günstiger und das Risiko von weniger als 24 Stunden offline ist überschaubar, wenn auch nicht schön.

Da wäre es natürlich von Vorteil, wenn viele baugleiche Geräte wie z.B. Raspberry Pi im Einsatz sind, dann muss man weniger Ersatzgeräte in Reserve halten.

Aber wenn Raspberry Pi z.B. als Firewall im Heimnetzwerk schon zu langsam sind, dann werde ich dafür ein leistungsstärkeres Gerät verwenden.

VG

Netzwerk Darstellungen wie auch andere Sachen lassen sich super mit https://app.diagrams.net/ basteln, gibt auch eine Windows app davon

mal bei der DSL Dose anfangen,

deine Fritzbox 7490 kann laut AVM nicht als Modem eingesetzt werden

du benötigst also ein Modem, ich könnte empfehlen das Draytek Vigor167, kosten ca. 100€

die Fritzbox kannst du aber weiterhin für DECT Telefonie VOIP benutzen, WLAN nicht VLAN fähig also wird sie nur noch für Telefon zu gebrauchen sein.

ich empfehle weiterhin ein Barebone für die Firewall, musst du dir nur überlegen ob du sie direkt drauf installierst oder Proxmox und sie Virtualisierst, zusätzlich könnten andere dienste dort auch noch virtualisiert werden, das was ich so sehe bei dir sind alles Kleinigkeiten und können problemlos auf einem gerät ausgeführt werden, oder eben den barebone nur als Firewall und dein Raspberry PI für die anderen dienste z.b. im Docker

mit der OPNsense z.b. kannst du einige dienste drauf laufen lassen, DHCP Server auch für deine VLAN, Antivirus und Proxy, DynDNS, NTP-Server, AdGuard, VPN und viele andere dienste können noch auf dem System betrieben werden.

absichern kannst du deine offenen dienste entweder mit fail2ban oder Crowdsec, Crowdsec hat den Vorteil das es auch auf der OPNsense läuft und du es so einrichten kannst das deine anderen dienste es an die OPNsense melden und dort gesperrt werden Anleitung: OPNsense als Corwdsec LAPI - #10 von svenson-man, die Sperrung an erster stelle ist immer die beste, zusätzlich lassen sich auch ganz leicht GeoIP und andere blocklisten einrichten GeoIP und IP Blocklisten in der OPNsense anlegen

in dein Schränkchen müssten nur 2 Geräte, das Modem und ein Barebone, beide recht klein und lautlos.

welches NAS passend wäre ist etwas schwer zu sagen, ist auch ein Kostenfaktor, ich selber habe mehrere QNAP im Einsatz, manchmal wünschte ich mir was anderes aber im Grunde doch sehr zuverlässig, ein Beispiel wäre das NAS 1 als Storage für Backup und andere Sachen wie File Server, Media Kram usw. NAS 2 reines Backup System was NAS 1 Sichert, NAS 3 im Offline Modus, es wird wöchentlich oder Monatlich gestartet um Backups zu machen vom Backupsystem, falls man ein total Ausfall von NAS 1 und 2 hat :slight_smile:

remote Hilfe kann auch kostenlos z.b. mit Teamviewer gemacht werden, nutze das auch recht häufig noch für Familie wen die mal Probleme mit dem PC haben

1 Like

Änderungsvorschlag:

  • als Firewall ein Lüfterloses Barebonesystem mit OPNSense drauf

  • Fail2Bain kannst dir sparen, mache die Firewall von außen dicht und gut ist

  • Proxy / Antivirus kann mit auf die OPNSense, dafür gibt es AddOns

  • den PiHole mit DHCP und Col streichen

  • DHCP, NTP macht die OPNSense besser und dort ist es auch am besten aufgehoben

  • DNS: installiere AdGuard auf der OPNSense, dann hast nen Werbeblocker + Unbound als Upstream DNS und gut ist.

  • Radius-Server: wofür in einem Heimnetzwerk ?

  • Da du Netzwerke segmentieren will, brauchst du VLAN-taugliches Switch, ich würde dazu Unifi raten und auch direkt deren Access-Points nehmen.
    Dann brauchst du aber auch einen sog. Netzwerk-Controller für die Konfiguration, der kann z.b. auf eine Pi, auf Proxmox oder in dem Fall auch auf der OPNSense mit laufen ( gibt ein AddOn dafür )

1 Like

Hallo Andrew, hallo Tuxtom, hallo Forum,

ich habe meine Netzwerkstruktur angepasst nach Euren Ratschlägen, und auch mal erste Gerätenamen daneben geschrieben:

Das erste neue Gerät ist ein Modem: DrayTek Vigor167

Unklar ist mir noch, ob die DynDNS-Client-Funktion auf dem Modem oder dem Barebone laufen sollte?

Direkt danach folgt der Barebone, auf welchem ich neben der Firewall OPNSense die meisten anderen Dienste (Proxy, Antivirus, DHCP, NTP, DNS & AdBlocker) wohl auch ohne Probleme laufen lassen kann, z.B. auf der Minisforum MS-01 Work Station

Dann kommen die managed Switches (eine im Erdgeschoss, eine im Obergeschoss). Hier habe ich nach UniFi mit VLAN-Funktion Ausschau gehalten, bin aber dann nach dem Filtern bei Rack-Geräten gelandet. Ist diese ein gute Wahl, oder gibt es auch eine gute, alternative Tischversion?

Ubiquiti UniFi Dream Machine Pro, UniFi OS Console, Rackmount Gigabit Managed NVR Switch, 9x RJ-45, 2x SFP+

Für die WLAN’s dann entsprechend UniFi Multi-SSID WLAN Accesspoint. einen für das Erdgeschoss und einen im Dachgeschoss, z.B. Ubiquiti UniFi AP AC Lite

Wenn die Haupt-NAS nur wenige Dienste (Fileserver, Plex Media, Dokumentenmanagementsystem) leisten muss, reichen dann 4 GB RAM, oder sollte man heutzutage gleich auf 8 GB RAM gehen?

Gefiltert auf 8 GB RAM war die günstigste Wahl die:

QNAP Turbo Station TS-364-8G, 8GB RAM, 1x 2.5GBase-T

Für reine Backup-NAS könnten wohl auch 2 GB RAM ausreichen, korrekt?

Zum Thema Radius-Server:

Auf der Suche nach der Möglichkeit, Gäste möglichst einfach mit einer Art Einmalpasswort / Voucher ins Heimnetzwerk zu lassen (ähnlich wie in Hotels), aber ohne, dass sie dann das komplette Heimnetzwerk „sehen“, bin ich beim Begriff „Radius-Server“ gelandet. Falls das falsch ist, bitte streichen.

Es geht mir um die Funktion, Geräte von Gästen ohne MAC-Adressen-Freischaltung über Einmalpasswörter sehr einfach verschlüsselten Zugriff zu geben. Unterscheiden würde ich noch zwischen Gastaccounts mit einer Gültigkeit von max. 24 Stunden, und Gastaccounts die für mehrere Tage gültig sind. Falls dieser Dienst unter einem anderen Namen läuft, lasst es mich bitte wissen, oder wie man es anders elegant löst.

Thema Netz-Monitor:

Die Geräte im IoT-Segment sollen noch dauerhaft gemonitort werden, weil es mich interessiert, wie viel an den Gerüchten unsicherer IoT-Geräte dran ist.

Reicht dafür ein Raspberry Pi aus?

z.B. Raspberry Pi 5 Modell B, 8GB RAM

Was für eine Software ist hierfür gut geeignet, um sich auch anschauen zu können, ob es Auffälligkeiten in den letzten Tagen oder Wochen gab?

Und wo sollte ich das Gerät am besten dafür positionieren?

Zur VPN-Verbindung ins Heimnetzwerk meiner Eltern:

Eine VPN-Verbindung mit starker Authentifizierung (z.B. über einen SecureKey) als Login erscheint mir als sicher.

Damit das mit Teamviewer klappt, muss ich doch in der dortigen Firewall die Portweiterleitungen auf die jeweiligen Geräte dauerhaft öffnen?

Kann man das sicherheitstechnisch mit gutem Gewissen machen?

Falls ja, dann wäre eine Lösung gefunden.

Falls es bessere oder günstigere Gerätevorschläge gibt, lasst es mich bitte gerne wissen. Die Gerätenamen sind ein 1.Versuch zu konkretisieren.

VG

auf dem Monem kannst du kein dyndns betreiben das machst du auf den Geräten dahinter.

da werden wohl 4GB RAM reichen, aber für zukünftige Erweiterungen kann es nicht schaden 8GB zu nehmen.

Ja.

kann man machen wen man das möchte.

kommt drauf an was du genau überwachen willst, vieles kann auch mit der Firewall überwacht werden, für Grafiken gibt es auch wege das in Grafana zu visualisieren.

wen du wirklich den MS-01 nutzen willst, brauchst du keinen RPI mehr, die Kiste hat so viel power das du da zich VM´s drauf laufen lassen kannst

für Teamviewer müssen keine Ports nach draußen auf gemacht werden, du nutzt einen dienst von der Firma Teamviewer, das läuft alles verschlüsselt über deren Server, das einzige was erlaubt sein muss ist, das der Client Verbindung zu den Teamviewer Server aufbauen darf, welche internen ports dafür benötigt werden weis ich nicht genau, es funktioniert zumindest auf so gut wie allen Standard Umgebungen wie „fritzbox netze“ ohne extra etwas auf zu machen.

Unifi = Teuer = wie apple, du brauchst oft mehrere Geräte für eine Sache vollständig zu betreiben, das ist so was ich mitbekommen habe, da gibt es andere die etwas flexibler sind und nicht so teuer, ich will nicht sagen das die schlecht sind aber die bauen wie apple ein eigenes universum auf, die wollen natürlich das du dich nur noch in deren universum bewegst :smile:

Ich sehe in dem Bild OPNSense + Unifi UDMPro:
Es ist schwachsinnig beides zu nutzen, das dein Netz nicht sicherer, eher sogar im Gegenteil, weil die Fehlanfälligkeit sich irgentwelche Konfig-Löcher einzubauen, deutlich steigt.

Daher mein Rat: entscheide dich für eines von beiden: Unifi UDMPro ist nett, aber OPNSense eindeutig die bessere Firewall - bei beiden wirst du eh nicht drum rumkommen, die mit dem Thema Firewall und Regelwerken zu beschäftigen, da ist bei der OPNSense noch umfangreicher, aber am Ende das bessere System

Den Netzwerkkontroller, der bei Unifi benötigt wird und u.a. auf der UDMPRo mit drauf ist, kannst genausogut als Linux-VM z.b. auf Proxmox laufen lassen.
Spar die in der Konstellation die UDMPro, das wäre rausgeworfenes Geld.
Den würdest du auf jeden Fall benötigen, wenn die Switch und Acces-Points von Unifi nutzen willst, alleine schon um die Switche und Access-Points ordentlich zu konfigurieren.

Zweiter Punkt: Ich würde die OPNSense nicht zusammen mit anderen Systemen auf einem Proxmox etc laufen lassen, sonder ausschliesslich als Standalone-System mit eigener Hardware.

Für alle anderen System baust du dir nen Proxmox auf, da kannst dann auch das Monitoring drauf laufen lassen und dir nen extra Pi5 sparen - sind auch schnell 100€ und mehr.

Radius-Server: Für was willst du das nutzen, privat, geschäftlich in ner Firma oder in einem Hotel etc. mti viel Gästeverkehr ?

Also für die Privatnutzung ist das mit Raketen auf Spatzen geschossen und vollkommen sinnfrei.
Bei ner Firma könnte man drüber reden, für Hotels gibt es fertige Lösungen in Verbindung mit Unifi-Netzen, die Voucher erstellen und als QR-Code drucken, da macht das auch Sinn.

Ich baue gerade für einen Bekannten ein System ( in ne kleine Firma ), welches automatisch das Gäste-WLAN Passwort regelmässig ändert und als QR-Code auf einem Display anzeigt zum einscannen direkt mit dem Smartphone.

VPN: gehört auf das erste System im Netzwerk, wo die öffentliche IP-Adresse terminiert - am besten auf die OPNSense, die kann Wireguard, OpenVPN und IPSec, wobei WireGuard sogar seit kurzen integrierte Bestandteil der Software ist ( war vorher extra Addon )

Hallo Andrew, hallo Tuxtom, hallo Forum,

Ist noch nicht sicher, weil beim 2.Video von Dennis zum MS-01 erinnerte ich mich wieder, dass das Gerät ja aktiv gekühlt wird und nicht gerade wohnzimmertauglich ist.

Da das Teil auf dem Schränkchen im Flur im EG an zentraler Stelle steht, wollte ich fragen, welche alternativen Geräte es gibt, die möglichst lautlos sind?

Ok, dass sind ein gute Tips. Ich hatte gar nicht gemerkt, dass auf der Unifi Switch eine Firewall mit dabei war. Dann lieber die OPNSense-Variante.

Leider sind auf der von mir genutzten Preisvergleichsseite unter dem Suchkriterium Switch + „dezidiertes Subsystem“ nur Geräte von den Herstellern QNAP und Ubiquiti gelistet, wobei die UniFi-Geräte aktuell preislich die günstigeren sind.

Auf Dennis Webseite fand ich noch einige andere Switches, technisch vermutlich sicher mehr als ausreichend sind, wie z.B.:

Davon brauche ich eine im Büro im OG, wo mehr Geräte sind.

Für mein zentrales Schränkchen im EG sind mir die alle aber zu groß. Auf diesem Schränkchen wird neben dem

Modem: Vigor167 - DrayTek

noch die Firewall / Barebone sein:

@Tuxtom: Wenn die Firewall Standalone auf einem Gerät sein soll, welche Geräte kannst du empfehlen für eine OPNSense (mit OpenVPN, Wireguard und IPSec), evtl. noch DynDNS-Client?

ein WLAN-Accesspoint (mit VLAN und Mesh), z.B.:

und die Heizungssteuerung.

Somit würde eine kleine Switch mit 4 LAN-Ports ausreichen. Gibt es solche empfehlenswerten kleinen managed Switches?

Zum Radius-Server:

Es geht darum, Gäste nicht jedes mal erst mit ihrer MAC-Adresse einzutragen (und wenn sie ein neues Gerät habe das Alte oft nicht rauszuwerfen), bevor sie sich mit dem Familien-WLAN-Passwort ins WLAN verbinden können. Hier suche ich nach einer schnellen und eleganten Lösung ohne viel administrativen Aufwand, aber auch ohne die Sicherheit zu vernachlässigen (schnell und einfach wäre ja auch: jeder darf sich verbinden und kein Passwort).

Ist deine Lösung etwas, was für den Heimgebrauch in Frage käme?

Falls nein, welche alternativen Lösungen gäbe es, ohne zu viel Aufwand?

In unserer Firma machen sie wohl Zertifikate auf jedes Gerät drauf womit sich diese am Netzwerk autorisiert. Das wäre auch ok, aber ich habe das Gefühl, dass diese Lösung noch mehr oversized ist als der Radius-Server …

Thema Netzwerküberwachung:

Ich möchte nicht meine Familie überwachen, sondern hauptsächlich die unpersönlichen IoT-Geräte, und falls es auffällige Netzwerkaktivitäten gibt (z.B. größeren Traffic nach China oder Russland), dann den Fall überwachen / auswerten.

Kann man die Firewall so selektiv einstellen?

Oder wenn sie überwacht, dann alles – und ich müsste ein einzelnes Netzsegment mit einem extra Gerät überwachen?

VG

Ich nutze seit über 2 Jahren das Vorgängermodell von dem hier.
Hauptunterschied, das meiner noch 1GB-Netzwerkinterface hat und der neue 2,5 GBit.

Das Teil ist lüfterlos, ich hab aber einen Thermostatgesteuerten Lüfter draufliegen, weil der bei mir in einem Rack gequetscht ist.
Einziges Problem bisher damit, die SSD war kaputt - die hatte ich aber selber gekauft/eingebaut.

Der Core-i5 mit 32 GB ist aber für meine OPNsense komplett überdimensieiert, da würde locker der Core-i3 reichen mit 16 GB

Wenn ich deinen Beitrag so lesen - mag micht irren, dann sorry - aber scheint mir das nur noch wenig KnowHow von Netzwerken hast.
Daher mein dringender Rat: lass die Finger von Mikrotik - dei Teil sind aber bescheiden zu konfigurieren, für Anfänger die falsche Wahl.

Was WLAN + Switch betrifft, egal ob Unifi oder TP-Link Omada, beide benötigen einen Netzwerkkontroller, der mind. mal als VM auf Proxmox oder auf nem RasPi laufen muss um die Geräte zentral zu konfigurieren.
Unifi ist da vielleicht noch die anfängertauglichere Alternative und dafür gibt es auch mehr Doku und YT-Videos ( wenns den sein muss ). TP-Link richtet sich mehr aus professionelle Installationen.

Mache nicht den Fehler, Geräte unterschiedlicher Hersteller zu mischen, gerade wenn du VLAN benutzen willst, ist das ein Graus. Nehm einen Hersteller für die Switch + AP, von mir aus Unifi, die sind in dem Bereich keine schlechte Wahl.
OPNSense: machte das VLAN-Handling, DHCP, DNS, Firewall usw.
Unifi-Controller: verwaltet nur die Konfiguration für die VLAN auf den Switchen und WLAN-SSID’s und die Zuordnung dazu zu den VLAN - mehr nicht.

Einfache Lösung:
Gäste-Wlan einrichten mit User/Password - daraus einen QR-Code erzeugen, ausdrucken, an die Wand pappen - fertig.
Für Hausgebrauch die beste und einfachste Lösung - mit Smartphone brauchen Gäste den nur abscannen, wer Notebook nutzen will, muss halt User/Password eintippen ( kommt bei mir nie vor ). Und wenn du das WLAN-PW änders, druckst ne neuen QR-code aus.

Bei uns in der Firma melden sich die Geräte auch automatisch im WLAN an, das ist fest konfiguriert - macht aber auch nur im Firmennetz Sinn, nicht bei Gäste-WLAN.
Unsere Gäste-WLAN in der Firma hat ein Loginportal, worüber man gehen muss, Nutzerbedingungen akzeptieren und dann kommt man rein.

Für Hausgebrauch ist das vollkommender Unsinn.

TP-Link brauch kein Controller, die geräte laufen im vergleich zu anderen auch eigenständig und können konfiguriert werden über ein webinterface, wen du omada nutzen willst brauchst du einen controller, das ist schon ein unterschied ob du gezwungen wirst einen controller zu kaufen oder selber zu hosten, oder die Möglichkeit hast die geräte auch einzeln zu konfigurieren und nutzen.

Zumal sich der Controller über einen leichtgewichtigen Docker Container lösen lässt, der frisst auch kein Brot