Ethernet-over-Coax verschlüsseln

Mitglied: SwiftAwayy

SwiftAwayy (Level 1) - Jetzt verbinden

31.12.2020 um 12:02 Uhr, 1000 Aufrufe, 11 Kommentare, 3 Danke

Hallo zusammen,

mag sein, dass das eine eher spezielle Frage ist:
Da es in unserem Haus leider kaum nutzbare Leerrohre gibt, die für eine moderne LAN-Verkabelung nutzbar wären, war ich auf der Suche nach Alternativen.
In Frage kamen dabei Powerline und Ethernet over Coax.
Da bei ersterem allerdings die Bandbreite enorm abnehmen kann, tendiere ich eher zu EOC (hohe Nettoübertragungsraten und nahezu überall Koax).

Allerdings konnte ich bisher bei keinem der Adapter von Allnet, Axing, usw. eindeutig feststellen ob bzw., dass AES-Verschlüsselung zur Kommunikation zwischen den Geräten verwendet wird.
Es mag ein wenig übervorsichtig wirken, aber trotz Frequenzweiche/ -filter würde ich den Datenverkehr daher gerne verschlüsselt "tunneln".

Ich bin mir diesbzgl. zwar ziemlich sicher, dass es gehen müsste, finde aber zu folgendem Fall keine für mich (Laien) verständliche Anleitung:
Sowohl Einspeisung, als auch Verarbeitung des Signals an der Gegenstelle würden (wenn nötig) per Mikrotik Hardware erfolgen. Dabei sollen 4 tagged VLANS über den verschlüsselten Tunnel an der Gegenstelle ankommen und weiterverteilt werden; u.U. auch zu Wlans.
Die Frage ob die Medienkonverter das alles problemlos durchreichen ist wohl eine andere...

Vielleicht kann man mir ja inen heißen Tipp geben? ;-) face-wink

Beste Grüße und guten Rutsch.
Mitglied: em-pie
31.12.2020, aktualisiert um 12:59 Uhr
Moin,

Am „einfachsten“ ist es, wenn du an beiden Enden einen VPN-Server platzierst und dann über die Ciax-Verbindung einen VPN-Tunnel aufbaust.

Das kannst du mit nem Mikrotik oder nem RPi machen, wobei ersterer sicherlich am geeignetsten wäre...

Edit:
Vielleicht wäre das Teil im Peer-to-Peer-Modus machbar:
https://www.home4u-shop.de/download/BA_EOC-1-01.pdf

Gruß
em-pie
Bitte warten ..
Mitglied: beidermachtvongreyscull
31.12.2020, aktualisiert um 14:19 Uhr
Das mit VPN-Servern umzusetzen, finde ich richtig cool!

Vielleicht nur folgende Ergänzung, damit der TO das nicht mit Fritzboxen oder dergleichen probiert:

Nicht jeder Router hat genug Durchsatz über VPN. Ich rate von Fritzboxen und dergleichen ab.
Langezeit hatte ich Ubiquiti Edge Router im Einsatz. Die Config ist nicht so einfach, der Durchsatz war aber ordentlich.

Ich hatte dafür immer Router auf PFSense mit Alix-Boards und Soekris VPn1411-Encryption-Processorboards gebaut.
https://www.alix-board.de/
http://soekris.eu/shop/vpn_boards/vpn1411_for_mini_pci_sockets_en.html

Da bekam ich dann ordentlich Durchsatz per VPN.

Gruß und guten Rutsch.
Bitte warten ..
Mitglied: aqui
31.12.2020, aktualisiert um 14:22 Uhr
Wenn du normale Ethernet-Koax Modems wie z.B. diese verwendest:
https://www.heise.de/select/ct/2017/20/1506703295433091
Werden die Daten nicht verschlüsselt.

Das Einfachste ist dann in der Tat wie Kollegen @em-pie und @beidermachtvongreyscull oben schon gesagt haben einen VPN Router oder Firewall davor zu klemmen.
Das kann von einem preiswerten Mikrotik, GL.inet Router, OpenWRT, DD-WRT bis zur pfSense oder einem Raspberry Pi 4 mit OpenVPN, Wireguard usw. alles sein.
Alle diese VPN Komponenten lösen deine Anforderung im Handumdrehen. Am preiswertesten und einfachsten kommst du mit einem Mikrotik hexS, oder RB750GR3 davon.
Bitte warten ..
Mitglied: Deepsys
31.12.2020 um 16:30 Uhr
Hi,

kannst du so machen mit den mikrotik, aber es gibt auch was: Devolo dLAN® 500 AVpro UNI:
https://www.devolo.de/dlan-500-avpro-uni

Laut Datenblatt (https://www.devolo.de/fileadmin/Web-Content/DE/products/eol/dlan-500-avp ...) macht der AES 128.
Das Problem, der ist für Business Kunden und ich habe den auf die Schnelle nicht zu kaufen gefunden.
Wäre aber eine Alternative.

Auch für mich, der kann auch auf 2 Draht Leitung arbeiten ....

Viele Grüße,
Deepsys
Bitte warten ..
Mitglied: SwiftAwayy
02.01.2021, aktualisiert 03.01.2021
Hallo und danke für die zahlreichen Antworten,

gibt es hier vielleicht auch eine Mikrotik-spezifische Anleitung (VPN im Ethernet), die ich noch nicht entdeckt habe?
Denn es kommen vermutlich zwei hAP ac2 zum Einsatz.

Außerdem bin ich mittlerweile noch auf ein anderes Problem gestoßen...

Ich würde gerne einen der EOC-Adapter in einem Bereich platzieren, in dem es im Grunde unmöglich ist, zu Kontrollieren, ob jemand den angeschlossenen AP abzieht und sich selbst ins LAN verbindet.

Ursprünglich hatte ich damit kein Problem, da ich das Problem direkt über ein LAN-Kabel mit 802.1X hätte lösen können.
Des Aufwands (und möglicher zukünftiger Platzprobleme im Leerrohr) wegen möchte ich allerdings darauf verzichten das Kabel einzuziehen.

Nun habe ich also versucht zu recherchieren, ob 802.1x grundsätzlich (und in meinem Fall auch noch + VPN-Tunnel) auch "über die EOC-Adapter hinweg" funktionieren würde, sprich: Ich "kontrollieren" kann, wer sich hinter dem Adapter ansteckt.
Es deutet leider alles darauf hin, dass das - da Layer-2 - nicht möglich ist.... Liege ich da richtig?
Falls ja, gibt es Workarounds?

Zur Info: Vor und hinter den EOC-Adaptern kommt vermutlich ausschließlich Mikrotik Hardware zum Einsatz.

Viele Grüße :-) face-smile
Bitte warten ..
Mitglied: SwiftAwayy
02.01.2021, aktualisiert um 22:58 Uhr
Kleine Ergänzung: Welche VPN-Durchsatzraten kann ich von hap ac2 zu hap ac2 / wAP ac erwarten?
Bitte warten ..
Mitglied: Deepsys
03.01.2021, aktualisiert um 11:46 Uhr
Hallo,

wenn ich mir das noch mal durchlese, verstehe ich nicht warum du soviel dafür investieren willst?

Zitat von SwiftAwayy:
Des Aufwands (und möglicher zukünftiger Platzprobleme im Leerrohr) wegen möchte ich allerdings darauf verzichten das Kabel einzuziehen.
Also geht es doch? Dann lass den Quark mit den Adaptern und zieh das Kabel ein, das ist immer noch das Beste.

Es ist doch dein eigenes Haus, und die Coax Leitungen sollen doch nur für dein Netzwerk sein, oder auch für Fernsehen?
Das wird nämlich wahrscheinlich nicht klappen, da die Dinger für Punkt-zu-Punkt gedacht sind,

Und bei eigenen LAN-Leitung hättest du doch auch nicht so einen Aufwand betrieben?
Also in meinem Haus traue ich schon den Leuten die darin wohnen .....

Und was ist mit WLAN?
Das ist mit Mesh-Systemen doch meist auch eine Alternative?

Kannst du ja gerne machen mit dem Aufwand, aber lohnt sich das?

Viele Grüße,
Deepsys
Bitte warten ..
Mitglied: SwiftAwayy
03.01.2021, aktualisiert 07.01.2021
Hallo @Deepsys,

vorweg: Die EOC-Adapter sollen im Peer-to-Peer Modus parallel zu Kabelfernsehen betrieben werden. Das ist bei u.a. Axing möglich.

Also habe ich im Zuge dessen, das WLAN zu optimieren, auch gleich noch eine Lösung gesucht von MESH und dementsprechend mehr oder minder Vendor-Lock-In loszukommen. Powerline war mir dabei zu unzuverlässig.
EOC klang mir nach einer teuren, aber zuverlässigen Lösung.
Da die Koaxkabel aber zentral verteilt sind könnte man in allen Bereichen, den Datenverkehr mitschneiden oder sich ins LAN einklinken.
Das möchte ich natürlich nicht.

In den Keller hatte ich ursprünglich angedacht, durch ein 10mm Rohr, ein Cat.6a Kabel in den Keller zu verlegen, in dem ich einen cAP ac von Mikrotik via 802.1X anschließen und dann auf einen wAP ac durchschleifen wollte (Port ebenfalls 802.1X gesichert)
Würde ich allerdings auf Kabelinternet wechseln wollen, kann ich ja die bestehende Koax-Infrastruktur (wegen Rückkanalblocker für EOC) nicht mehr nutzen, was im Umkehrschluss heißt, dass genau durch dieses eine 10mm Rohr ein neues Koaxkabel zum Router laufen müsste.
Das geht vom Querschnitt leider nicht sonderlich gut auf- zumindest meines Wissens nach.
Da dachte ich mir: >>Super, warum nicht noch einen EOC Adapter im Keller anbringen und dafür ein in Zukunft frei nutzbares Rohr?<<

Dabei habe ich allerdings übersehen, dass ich dann wieder nicht kontrollieren kann, wer sich im Keller am EOC-Adapter oder im Garten ansteckt - ganz zu schweigen vom unverschlüsselten Datenverkehr.
Zumindest ist das mein derzeitiger Wissensstand... Da sich die EOC-Bridge selbst am 802.1X Port authentifizieren müsste, was sie scheinbar nicht kann. Gelesen hier.

Ich hoffe das klärt die ungünstigen Umstände ein wenig.
Investiert wäre das ohnehin nicht alles auf einmal, sondern eher nach und nach. Gute Anbindung in der Wohnung hatte erstmal Priorität.
Wenn jemand eine bessere Idee hat: Her damit ;-) face-wink

Danke @aqui
Um ehrlich zu sein dachte ich, dass sich das Seup von Site-to-Site über Internet im Vergleich zu Ethernet, v.a. in Verbindung mit VLANs und LAN-Bridge, ein wenig unterscheidet...
Bitte warten ..
Mitglied: aqui
03.01.2021, aktualisiert um 13:28 Uhr
Nöö, VPN ist ja rein Layer 3 mit IP. Hat mit Bridging und VLANs nicht das Geringste zu tun, denn das sind ja bekanntlich reine Layer 2 Funktionen. ;-) face-wink
Bitte warten ..
Mitglied: em-pie
03.01.2021 um 13:34 Uhr
Moin,

wo ist denn das Problem mit dem "Zugangsschutz"?

Soll doch der pöse Bub das Kabel Mikrotik EOC abziehen und sein Laptop anschließen: solange keine VPN-Verbindung aufgebaut wird, kommt er doch gar nicht in dein LAN. Bestenfalls hast du nicht mal einen DHCP-Server daziwschen laufen, sodass der Bilzebub nur manuell irgendeine IP aus einem passenden Netz wählen muss..

Und wenn da jemand mit 'nem Wireshark o. ä. aktiv wird, um das IP-Netz zu ermitteln...


Und den Mikrotik nebst EOC-Bridge packst du in ein abschließbares Gehäuse und fertig.

Ferner haben diese GEräte eine 128Bit AES-Verschlüsselung implementiert:
https://axing.com/produkt/eoc02002/
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzrecht Microsoft Hilfe
gelöst tAmtAm44Vor 1 TagFrageWindows Server29 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Datenschutz
Ist Microsoft Office 365 grds. nicht DSGVO-konform?
imebroVor 1 TagFrageDatenschutz43 Kommentare

Hallo, in einem anderen Thread hatte man mir als Alternative zum Analysetool "Tableau" das Programm "PowerBI" empfohlen, welches ich dann auch gekauft habe. Da ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 1 TagFrageSAN, NAS, DAS15 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...

Server-Hardware
RPI4 nicht zugreifbar
gelöst winlinVor 18 StundenFrageServer-Hardware27 Kommentare

Hallo Zusammen, hoffe jemand kann mir helfen. Ich habe eine RPI4 gekauft. Habe mir zwei SD Karten genommen und auf einer LibreELEC und auf ...

Windows Server
Wann wird Computer-Richtlinie übernommen via VPN?
CubeHDVor 1 TagFrageWindows Server11 Kommentare

Hallo, ich habe eine Gruppenrichtlinie geändert die Einstellungen am Computer ändert. Genaugenommen habe ich den Punkt "Windows-Updates" etwas geändert, dass die Computer nicht mehr ...

Microsoft
Domänencontroller, Jugendschutz, Active-Directory und Benutzerkonten
TronBetaVersionVor 1 TagFrageMicrosoft8 Kommentare

Grüße an die Community, zur Zeit setze ich mich mit dem Thema "Einrichten von Benutzerkonten" auseinander. Ich habe einen Ein-Benutzer-PC viele Jahre verwendet, aber ...

Soziale Netzwerke
Kein Zugriff auf Facebook-Seite
micsonVor 1 TagFrageSoziale Netzwerke8 Kommentare

Hallo, wir betreiben schon recht lange eine Facebook-Seite. So lange, dass damals für die Erstellung der Seite noch kein Facebook-Profil erforderlich war. Die Seite ...

Windows 10
PDF unterschreiben
ahussainVor 17 StundenFrageWindows 1010 Kommentare

Hallo allerseits, ich suche (für einen Kunden) nach einem Weg, PDFs zu unterschreiben und dann per Mail zu verschicken. Ich sehe zwei Möglichkeiten: PDF ...