Ethernet-over-Coax verschlüsseln
Hallo zusammen,
mag sein, dass das eine eher spezielle Frage ist:
Da es in unserem Haus leider kaum nutzbare Leerrohre gibt, die für eine moderne LAN-Verkabelung nutzbar wären, war ich auf der Suche nach Alternativen.
In Frage kamen dabei Powerline und Ethernet over Coax.
Da bei ersterem allerdings die Bandbreite enorm abnehmen kann, tendiere ich eher zu EOC (hohe Nettoübertragungsraten und nahezu überall Koax).
Allerdings konnte ich bisher bei keinem der Adapter von Allnet, Axing, usw. eindeutig feststellen ob bzw., dass AES-Verschlüsselung zur Kommunikation zwischen den Geräten verwendet wird.
Es mag ein wenig übervorsichtig wirken, aber trotz Frequenzweiche/ -filter würde ich den Datenverkehr daher gerne verschlüsselt "tunneln".
Ich bin mir diesbzgl. zwar ziemlich sicher, dass es gehen müsste, finde aber zu folgendem Fall keine für mich (Laien) verständliche Anleitung:
Sowohl Einspeisung, als auch Verarbeitung des Signals an der Gegenstelle würden (wenn nötig) per Mikrotik Hardware erfolgen. Dabei sollen 4 tagged VLANS über den verschlüsselten Tunnel an der Gegenstelle ankommen und weiterverteilt werden; u.U. auch zu Wlans.
Die Frage ob die Medienkonverter das alles problemlos durchreichen ist wohl eine andere...
Vielleicht kann man mir ja inen heißen Tipp geben?
Beste Grüße und guten Rutsch.
mag sein, dass das eine eher spezielle Frage ist:
Da es in unserem Haus leider kaum nutzbare Leerrohre gibt, die für eine moderne LAN-Verkabelung nutzbar wären, war ich auf der Suche nach Alternativen.
In Frage kamen dabei Powerline und Ethernet over Coax.
Da bei ersterem allerdings die Bandbreite enorm abnehmen kann, tendiere ich eher zu EOC (hohe Nettoübertragungsraten und nahezu überall Koax).
Allerdings konnte ich bisher bei keinem der Adapter von Allnet, Axing, usw. eindeutig feststellen ob bzw., dass AES-Verschlüsselung zur Kommunikation zwischen den Geräten verwendet wird.
Es mag ein wenig übervorsichtig wirken, aber trotz Frequenzweiche/ -filter würde ich den Datenverkehr daher gerne verschlüsselt "tunneln".
Ich bin mir diesbzgl. zwar ziemlich sicher, dass es gehen müsste, finde aber zu folgendem Fall keine für mich (Laien) verständliche Anleitung:
Sowohl Einspeisung, als auch Verarbeitung des Signals an der Gegenstelle würden (wenn nötig) per Mikrotik Hardware erfolgen. Dabei sollen 4 tagged VLANS über den verschlüsselten Tunnel an der Gegenstelle ankommen und weiterverteilt werden; u.U. auch zu Wlans.
Die Frage ob die Medienkonverter das alles problemlos durchreichen ist wohl eine andere...
Vielleicht kann man mir ja inen heißen Tipp geben?
Beste Grüße und guten Rutsch.
Antworten-
3 
- Mehr
Auf Facebook teilen
Auf Twitter teilen11 Antworten
- LÖSUNG em-pie schreibt am 31.12.2020 um 12:10:29 Uhr
- LÖSUNG beidermachtvongreyscull schreibt am 31.12.2020 um 14:17:20 Uhr
- LÖSUNG aqui schreibt am 31.12.2020 um 14:20:12 Uhr
- LÖSUNG Deepsys schreibt am 31.12.2020 um 16:30:33 Uhr
- LÖSUNG SwiftAwayy schreibt am 02.01.2021 um 22:29:50 Uhr
- LÖSUNG SwiftAwayy schreibt am 02.01.2021 um 22:57:56 Uhr
- LÖSUNG SwiftAwayy schreibt am 02.01.2021 um 22:29:50 Uhr
- LÖSUNG Deepsys schreibt am 03.01.2021 um 11:43:33 Uhr
- LÖSUNG aqui schreibt am 03.01.2021 um 12:30:20 Uhr
- LÖSUNG SwiftAwayy schreibt am 03.01.2021 um 13:02:49 Uhr
- LÖSUNG aqui schreibt am 03.01.2021 um 13:28:33 Uhr
- LÖSUNG em-pie schreibt am 03.01.2021 um 13:34:07 Uhr
LÖSUNG 31.12.2020, aktualisiert um 12:59 Uhr
Moin,
Am „einfachsten“ ist es, wenn du an beiden Enden einen VPN-Server platzierst und dann über die Ciax-Verbindung einen VPN-Tunnel aufbaust.
Das kannst du mit nem Mikrotik oder nem RPi machen, wobei ersterer sicherlich am geeignetsten wäre...
Edit:
Vielleicht wäre das Teil im Peer-to-Peer-Modus machbar:
https://www.home4u-shop.de/download/BA_EOC-1-01.pdf
Gruß
em-pie
Am „einfachsten“ ist es, wenn du an beiden Enden einen VPN-Server platzierst und dann über die Ciax-Verbindung einen VPN-Tunnel aufbaust.
Das kannst du mit nem Mikrotik oder nem RPi machen, wobei ersterer sicherlich am geeignetsten wäre...
Edit:
Vielleicht wäre das Teil im Peer-to-Peer-Modus machbar:
https://www.home4u-shop.de/download/BA_EOC-1-01.pdf
Gruß
em-pie
LÖSUNG 31.12.2020, aktualisiert um 14:19 Uhr
Das mit VPN-Servern umzusetzen, finde ich richtig cool!
Vielleicht nur folgende Ergänzung, damit der TO das nicht mit Fritzboxen oder dergleichen probiert:
Nicht jeder Router hat genug Durchsatz über VPN. Ich rate von Fritzboxen und dergleichen ab.
Langezeit hatte ich Ubiquiti Edge Router im Einsatz. Die Config ist nicht so einfach, der Durchsatz war aber ordentlich.
Ich hatte dafür immer Router auf PFSense mit Alix-Boards und Soekris VPn1411-Encryption-Processorboards gebaut.
https://www.alix-board.de/
http://soekris.eu/shop/vpn_boards/vpn1411_for_mini_pci_sockets_en.html
Da bekam ich dann ordentlich Durchsatz per VPN.
Gruß und guten Rutsch.
Vielleicht nur folgende Ergänzung, damit der TO das nicht mit Fritzboxen oder dergleichen probiert:
Nicht jeder Router hat genug Durchsatz über VPN. Ich rate von Fritzboxen und dergleichen ab.
Langezeit hatte ich Ubiquiti Edge Router im Einsatz. Die Config ist nicht so einfach, der Durchsatz war aber ordentlich.
Ich hatte dafür immer Router auf PFSense mit Alix-Boards und Soekris VPn1411-Encryption-Processorboards gebaut.
https://www.alix-board.de/
http://soekris.eu/shop/vpn_boards/vpn1411_for_mini_pci_sockets_en.html
Da bekam ich dann ordentlich Durchsatz per VPN.
Gruß und guten Rutsch.
LÖSUNG 31.12.2020, aktualisiert um 14:22 Uhr
Wenn du normale Ethernet-Koax Modems wie z.B. diese verwendest:
https://www.heise.de/select/ct/2017/20/1506703295433091
Werden die Daten nicht verschlüsselt.
Das Einfachste ist dann in der Tat wie Kollegen @em-pie und @beidermachtvongreyscull oben schon gesagt haben einen VPN Router oder Firewall davor zu klemmen.
Das kann von einem preiswerten Mikrotik, GL.inet Router, OpenWRT, DD-WRT bis zur pfSense oder einem Raspberry Pi 4 mit OpenVPN, Wireguard usw. alles sein.
Alle diese VPN Komponenten lösen deine Anforderung im Handumdrehen. Am preiswertesten und einfachsten kommst du mit einem Mikrotik hexS, oder RB750GR3 davon.
https://www.heise.de/select/ct/2017/20/1506703295433091
Werden die Daten nicht verschlüsselt.
Das Einfachste ist dann in der Tat wie Kollegen @em-pie und @beidermachtvongreyscull oben schon gesagt haben einen VPN Router oder Firewall davor zu klemmen.
Das kann von einem preiswerten Mikrotik, GL.inet Router, OpenWRT, DD-WRT bis zur pfSense oder einem Raspberry Pi 4 mit OpenVPN, Wireguard usw. alles sein.
Alle diese VPN Komponenten lösen deine Anforderung im Handumdrehen. Am preiswertesten und einfachsten kommst du mit einem Mikrotik hexS, oder RB750GR3 davon.
LÖSUNG 31.12.2020 um 16:30 Uhr
Hi,
kannst du so machen mit den mikrotik, aber es gibt auch was: Devolo dLAN® 500 AVpro UNI:
https://www.devolo.de/dlan-500-avpro-uni
Laut Datenblatt (https://www.devolo.de/fileadmin/Web-Content/DE/products/eol/dlan-500-avp ...) macht der AES 128.
Das Problem, der ist für Business Kunden und ich habe den auf die Schnelle nicht zu kaufen gefunden.
Wäre aber eine Alternative.
Auch für mich, der kann auch auf 2 Draht Leitung arbeiten ....
Viele Grüße,
Deepsys
kannst du so machen mit den mikrotik, aber es gibt auch was: Devolo dLAN® 500 AVpro UNI:
https://www.devolo.de/dlan-500-avpro-uni
Laut Datenblatt (https://www.devolo.de/fileadmin/Web-Content/DE/products/eol/dlan-500-avp ...) macht der AES 128.
Das Problem, der ist für Business Kunden und ich habe den auf die Schnelle nicht zu kaufen gefunden.
Wäre aber eine Alternative.
Auch für mich, der kann auch auf 2 Draht Leitung arbeiten ....
Viele Grüße,
Deepsys
LÖSUNG 02.01.2021, aktualisiert 03.01.2021
Hallo und danke für die zahlreichen Antworten,
gibt es hier vielleicht auch eine Mikrotik-spezifische Anleitung (VPN im Ethernet), die ich noch nicht entdeckt habe?
Denn es kommen vermutlich zwei hAP ac2 zum Einsatz.
Außerdem bin ich mittlerweile noch auf ein anderes Problem gestoßen...
Ich würde gerne einen der EOC-Adapter in einem Bereich platzieren, in dem es im Grunde unmöglich ist, zu Kontrollieren, ob jemand den angeschlossenen AP abzieht und sich selbst ins LAN verbindet.
Ursprünglich hatte ich damit kein Problem, da ich das Problem direkt über ein LAN-Kabel mit 802.1X hätte lösen können.
Des Aufwands (und möglicher zukünftiger Platzprobleme im Leerrohr) wegen möchte ich allerdings darauf verzichten das Kabel einzuziehen.
Nun habe ich also versucht zu recherchieren, ob 802.1x grundsätzlich (und in meinem Fall auch noch + VPN-Tunnel) auch "über die EOC-Adapter hinweg" funktionieren würde, sprich: Ich "kontrollieren" kann, wer sich hinter dem Adapter ansteckt.
Es deutet leider alles darauf hin, dass das - da Layer-2 - nicht möglich ist.... Liege ich da richtig?
Falls ja, gibt es Workarounds?
Zur Info: Vor und hinter den EOC-Adaptern kommt vermutlich ausschließlich Mikrotik Hardware zum Einsatz.
Viele Grüße
gibt es hier vielleicht auch eine Mikrotik-spezifische Anleitung (VPN im Ethernet), die ich noch nicht entdeckt habe?
Denn es kommen vermutlich zwei hAP ac2 zum Einsatz.
Außerdem bin ich mittlerweile noch auf ein anderes Problem gestoßen...
Ich würde gerne einen der EOC-Adapter in einem Bereich platzieren, in dem es im Grunde unmöglich ist, zu Kontrollieren, ob jemand den angeschlossenen AP abzieht und sich selbst ins LAN verbindet.
Ursprünglich hatte ich damit kein Problem, da ich das Problem direkt über ein LAN-Kabel mit 802.1X hätte lösen können.
Des Aufwands (und möglicher zukünftiger Platzprobleme im Leerrohr) wegen möchte ich allerdings darauf verzichten das Kabel einzuziehen.
Nun habe ich also versucht zu recherchieren, ob 802.1x grundsätzlich (und in meinem Fall auch noch + VPN-Tunnel) auch "über die EOC-Adapter hinweg" funktionieren würde, sprich: Ich "kontrollieren" kann, wer sich hinter dem Adapter ansteckt.
Es deutet leider alles darauf hin, dass das - da Layer-2 - nicht möglich ist.... Liege ich da richtig?
Falls ja, gibt es Workarounds?
Zur Info: Vor und hinter den EOC-Adaptern kommt vermutlich ausschließlich Mikrotik Hardware zum Einsatz.
Viele Grüße
LÖSUNG 02.01.2021, aktualisiert um 22:58 Uhr
LÖSUNG 03.01.2021, aktualisiert um 11:46 Uhr
Hallo,
wenn ich mir das noch mal durchlese, verstehe ich nicht warum du soviel dafür investieren willst?
Es ist doch dein eigenes Haus, und die Coax Leitungen sollen doch nur für dein Netzwerk sein, oder auch für Fernsehen?
Das wird nämlich wahrscheinlich nicht klappen, da die Dinger für Punkt-zu-Punkt gedacht sind,
Und bei eigenen LAN-Leitung hättest du doch auch nicht so einen Aufwand betrieben?
Also in meinem Haus traue ich schon den Leuten die darin wohnen .....
Und was ist mit WLAN?
Das ist mit Mesh-Systemen doch meist auch eine Alternative?
Kannst du ja gerne machen mit dem Aufwand, aber lohnt sich das?
Viele Grüße,
Deepsys
wenn ich mir das noch mal durchlese, verstehe ich nicht warum du soviel dafür investieren willst?
Zitat von SwiftAwayy:
Des Aufwands (und möglicher zukünftiger Platzprobleme im Leerrohr) wegen möchte ich allerdings darauf verzichten das Kabel einzuziehen.
Also geht es doch? Dann lass den Quark mit den Adaptern und zieh das Kabel ein, das ist immer noch das Beste.Des Aufwands (und möglicher zukünftiger Platzprobleme im Leerrohr) wegen möchte ich allerdings darauf verzichten das Kabel einzuziehen.
Es ist doch dein eigenes Haus, und die Coax Leitungen sollen doch nur für dein Netzwerk sein, oder auch für Fernsehen?
Das wird nämlich wahrscheinlich nicht klappen, da die Dinger für Punkt-zu-Punkt gedacht sind,
Und bei eigenen LAN-Leitung hättest du doch auch nicht so einen Aufwand betrieben?
Also in meinem Haus traue ich schon den Leuten die darin wohnen .....
Und was ist mit WLAN?
Das ist mit Mesh-Systemen doch meist auch eine Alternative?
Kannst du ja gerne machen mit dem Aufwand, aber lohnt sich das?
Viele Grüße,
Deepsys
LÖSUNG 03.01.2021, aktualisiert um 12:30 Uhr
Mikrotik-spezifische Anleitung (VPN im Ethernet), die ich noch nicht entdeckt habe?
Nöö, stehen ja alle hier im Forum: https://administrator.de/forum/ipsec-site2site-tunnel-zwischen-zwei-mikr ...
https://administrator.de/tutorial/ipsec-ikev2-standort-vpn-vernetzung-ci ...
https://administrator.de/tutorial/ipsec-vpn-praxis-standort-kopplung-cis ...
https://administrator.de/content/detail.php?id=616034&token=587#comm ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
usw. usw.
LÖSUNG 03.01.2021, aktualisiert 07.01.2021
Hallo @Deepsys,
vorweg: Die EOC-Adapter sollen im Peer-to-Peer Modus parallel zu Kabelfernsehen betrieben werden. Das ist bei u.a. Axing möglich.
Also habe ich im Zuge dessen, das WLAN zu optimieren, auch gleich noch eine Lösung gesucht von MESH und dementsprechend mehr oder minder Vendor-Lock-In loszukommen. Powerline war mir dabei zu unzuverlässig.
EOC klang mir nach einer teuren, aber zuverlässigen Lösung.
Da die Koaxkabel aber zentral verteilt sind könnte man in allen Bereichen, den Datenverkehr mitschneiden oder sich ins LAN einklinken.
Das möchte ich natürlich nicht.
In den Keller hatte ich ursprünglich angedacht, durch ein 10mm Rohr, ein Cat.6a Kabel in den Keller zu verlegen, in dem ich einen cAP ac von Mikrotik via 802.1X anschließen und dann auf einen wAP ac durchschleifen wollte (Port ebenfalls 802.1X gesichert)
Würde ich allerdings auf Kabelinternet wechseln wollen, kann ich ja die bestehende Koax-Infrastruktur (wegen Rückkanalblocker für EOC) nicht mehr nutzen, was im Umkehrschluss heißt, dass genau durch dieses eine 10mm Rohr ein neues Koaxkabel zum Router laufen müsste.
Das geht vom Querschnitt leider nicht sonderlich gut auf- zumindest meines Wissens nach.
Da dachte ich mir: >>Super, warum nicht noch einen EOC Adapter im Keller anbringen und dafür ein in Zukunft frei nutzbares Rohr?<<
Dabei habe ich allerdings übersehen, dass ich dann wieder nicht kontrollieren kann, wer sich im Keller am EOC-Adapter oder im Garten ansteckt - ganz zu schweigen vom unverschlüsselten Datenverkehr.
Zumindest ist das mein derzeitiger Wissensstand... Da sich die EOC-Bridge selbst am 802.1X Port authentifizieren müsste, was sie scheinbar nicht kann. Gelesen hier.
Ich hoffe das klärt die ungünstigen Umstände ein wenig.
Investiert wäre das ohnehin nicht alles auf einmal, sondern eher nach und nach. Gute Anbindung in der Wohnung hatte erstmal Priorität.
Wenn jemand eine bessere Idee hat: Her damit
Danke @aqui
Um ehrlich zu sein dachte ich, dass sich das Seup von Site-to-Site über Internet im Vergleich zu Ethernet, v.a. in Verbindung mit VLANs und LAN-Bridge, ein wenig unterscheidet...
vorweg: Die EOC-Adapter sollen im Peer-to-Peer Modus parallel zu Kabelfernsehen betrieben werden. Das ist bei u.a. Axing möglich.
Also habe ich im Zuge dessen, das WLAN zu optimieren, auch gleich noch eine Lösung gesucht von MESH und dementsprechend mehr oder minder Vendor-Lock-In loszukommen. Powerline war mir dabei zu unzuverlässig.
EOC klang mir nach einer teuren, aber zuverlässigen Lösung.
Da die Koaxkabel aber zentral verteilt sind könnte man in allen Bereichen, den Datenverkehr mitschneiden oder sich ins LAN einklinken.
Das möchte ich natürlich nicht.
In den Keller hatte ich ursprünglich angedacht, durch ein 10mm Rohr, ein Cat.6a Kabel in den Keller zu verlegen, in dem ich einen cAP ac von Mikrotik via 802.1X anschließen und dann auf einen wAP ac durchschleifen wollte (Port ebenfalls 802.1X gesichert)
Würde ich allerdings auf Kabelinternet wechseln wollen, kann ich ja die bestehende Koax-Infrastruktur (wegen Rückkanalblocker für EOC) nicht mehr nutzen, was im Umkehrschluss heißt, dass genau durch dieses eine 10mm Rohr ein neues Koaxkabel zum Router laufen müsste.
Das geht vom Querschnitt leider nicht sonderlich gut auf- zumindest meines Wissens nach.
Da dachte ich mir: >>Super, warum nicht noch einen EOC Adapter im Keller anbringen und dafür ein in Zukunft frei nutzbares Rohr?<<
Dabei habe ich allerdings übersehen, dass ich dann wieder nicht kontrollieren kann, wer sich im Keller am EOC-Adapter oder im Garten ansteckt - ganz zu schweigen vom unverschlüsselten Datenverkehr.
Zumindest ist das mein derzeitiger Wissensstand... Da sich die EOC-Bridge selbst am 802.1X Port authentifizieren müsste, was sie scheinbar nicht kann. Gelesen hier.
Ich hoffe das klärt die ungünstigen Umstände ein wenig.
Investiert wäre das ohnehin nicht alles auf einmal, sondern eher nach und nach. Gute Anbindung in der Wohnung hatte erstmal Priorität.
Wenn jemand eine bessere Idee hat: Her damit
Danke @aqui
Um ehrlich zu sein dachte ich, dass sich das Seup von Site-to-Site über Internet im Vergleich zu Ethernet, v.a. in Verbindung mit VLANs und LAN-Bridge, ein wenig unterscheidet...
LÖSUNG 03.01.2021, aktualisiert um 13:28 Uhr
LÖSUNG 03.01.2021 um 13:34 Uhr
Moin,
wo ist denn das Problem mit dem "Zugangsschutz"?
Soll doch der pöse Bub das Kabel Mikrotik EOC abziehen und sein Laptop anschließen: solange keine VPN-Verbindung aufgebaut wird, kommt er doch gar nicht in dein LAN. Bestenfalls hast du nicht mal einen DHCP-Server daziwschen laufen, sodass der Bilzebub nur manuell irgendeine IP aus einem passenden Netz wählen muss..
Und wenn da jemand mit 'nem Wireshark o. ä. aktiv wird, um das IP-Netz zu ermitteln...
Und den Mikrotik nebst EOC-Bridge packst du in ein abschließbares Gehäuse und fertig.
Ferner haben diese GEräte eine 128Bit AES-Verschlüsselung implementiert:
https://axing.com/produkt/eoc02002/
wo ist denn das Problem mit dem "Zugangsschutz"?
Soll doch der pöse Bub das Kabel Mikrotik EOC abziehen und sein Laptop anschließen: solange keine VPN-Verbindung aufgebaut wird, kommt er doch gar nicht in dein LAN. Bestenfalls hast du nicht mal einen DHCP-Server daziwschen laufen, sodass der Bilzebub nur manuell irgendeine IP aus einem passenden Netz wählen muss..
Und wenn da jemand mit 'nem Wireshark o. ä. aktiv wird, um das IP-Netz zu ermitteln...
Und den Mikrotik nebst EOC-Bridge packst du in ein abschließbares Gehäuse und fertig.
Ferner haben diese GEräte eine 128Bit AES-Verschlüsselung implementiert:
https://axing.com/produkt/eoc02002/
