8
MikroTik hAPlite + Fritzbox: Separate Netzwerke einrichten
Hallo zusammen,
ich möchte mit einem MikroTik hAPlite und einer Fritzbox folgendes erreichen:
In einem EFH mit Untermieter soll das Netzwerk in mehrere separate Netzwerke geteilt werden, um die Datensicherheit etwas zu erhöhen. Gewollt sind:
- Heimnetz (für Drucker, Handies, Laptops, ...)
- Gäste-WLAN (für Gäste mit Laptops/Handies, ...)
- Netzwerk für Untermieter (hier soll lediglich ein LAN-Port zur Verfügung gestellt werden, an dem dieser einen eigenen Router o.ä. anschließen kann, idealerweise sollte von diesem Port aber kein Zugriff auf Smart-TV, etc. des Heimnetzes möglich sein)
- IOT-Netz (für PV-Wechselrichter, Wärmepumpe, Wallbox, ... --> Idealerweise könnte man aus dem Heimnetz Zugriff auf diese Geräte haben, aber vermutlich nicht zwingend)
- Server-Netz (für einen Nextcloud-Server, der aus dem Internet über Portweiterleitung erreichbar sein soll, aber aus Sicherheitsgründen nicht ins Heimnetz kommen sollte)
Die Frage ist nun:
Wie wäre ein möglicher Aufbau, um das gewünschte zu erreichen?
Meine initiale Idee wäre wie folgt:
Wäre das möglich? Mein Eindruck ist, dass speziell die Anforderung, dass aus dem Server-Netz nicht auf das Heimnetz zugegriffen werden kann, damit nicht direkt erreicht werden kann, oder?
Leider funktioniert es ja auch nicht, den Mikrotik mit Server darunter ins Gästenetz zu stecken, da die Fritzbox m.W. keine Portweiterleitungen ins Gästenetz erlaubt. Gleichzeitig ist es aber auch schwer möglich, die Endgeräte aus dem Heimnetz zu nehmen und über den Mikrotik laufen zu lassen, da seine WLAN-Abdeckung wohl extrem schlecht ist.
Wäre es möglich, dies über Firewall-Regeln im Mikrotik (z.B. nur Traffic zu 192.168.178.1 zulassen, zu keinem anderen Teilnehmer von 192.168.178.X?) zu erreichen?
Habt ihr evtl. Gedanken dazu und könnt mir weiterhelfen?
Ich muss zugeben, dass ich kein extremer Netzwerk-Profi bin. Deshalb sorry für naive Fragen und ich bin dankbar für allen Input.
Danke.
ich möchte mit einem MikroTik hAPlite und einer Fritzbox folgendes erreichen:
In einem EFH mit Untermieter soll das Netzwerk in mehrere separate Netzwerke geteilt werden, um die Datensicherheit etwas zu erhöhen. Gewollt sind:
- Heimnetz (für Drucker, Handies, Laptops, ...)
- Gäste-WLAN (für Gäste mit Laptops/Handies, ...)
- Netzwerk für Untermieter (hier soll lediglich ein LAN-Port zur Verfügung gestellt werden, an dem dieser einen eigenen Router o.ä. anschließen kann, idealerweise sollte von diesem Port aber kein Zugriff auf Smart-TV, etc. des Heimnetzes möglich sein)
- IOT-Netz (für PV-Wechselrichter, Wärmepumpe, Wallbox, ... --> Idealerweise könnte man aus dem Heimnetz Zugriff auf diese Geräte haben, aber vermutlich nicht zwingend)
- Server-Netz (für einen Nextcloud-Server, der aus dem Internet über Portweiterleitung erreichbar sein soll, aber aus Sicherheitsgründen nicht ins Heimnetz kommen sollte)
Die Frage ist nun:
Wie wäre ein möglicher Aufbau, um das gewünschte zu erreichen?
Meine initiale Idee wäre wie folgt:
Wäre das möglich? Mein Eindruck ist, dass speziell die Anforderung, dass aus dem Server-Netz nicht auf das Heimnetz zugegriffen werden kann, damit nicht direkt erreicht werden kann, oder?
Leider funktioniert es ja auch nicht, den Mikrotik mit Server darunter ins Gästenetz zu stecken, da die Fritzbox m.W. keine Portweiterleitungen ins Gästenetz erlaubt. Gleichzeitig ist es aber auch schwer möglich, die Endgeräte aus dem Heimnetz zu nehmen und über den Mikrotik laufen zu lassen, da seine WLAN-Abdeckung wohl extrem schlecht ist.
Wäre es möglich, dies über Firewall-Regeln im Mikrotik (z.B. nur Traffic zu 192.168.178.1 zulassen, zu keinem anderen Teilnehmer von 192.168.178.X?) zu erreichen?
Habt ihr evtl. Gedanken dazu und könnt mir weiterhelfen?
Ich muss zugeben, dass ich kein extremer Netzwerk-Profi bin. Deshalb sorry für naive Fragen und ich bin dankbar für allen Input.
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3775546517
Url: https://administrator.de/contentid/3775546517
Printed on: April 27, 2024 at 19:04 o'clock
8 Comments
Latest comment
Moin...
warum baust du eine Router Kasakade?
entweder die fritte dient als reines Modem, oder der Mikrotik wird Exposed Host , oder besser, du kaufst ein dsl modem, und dein Mikrotik macht den job!
die fritte braucht es dazu nicht.
Frank
warum baust du eine Router Kasakade?
entweder die fritte dient als reines Modem, oder der Mikrotik wird Exposed Host , oder besser, du kaufst ein dsl modem, und dein Mikrotik macht den job!
die fritte braucht es dazu nicht.
- - Server-Netz (für einen Nextcloud-Server, der aus dem Internet über Portweiterleitung erreichbar sein
sowas will eigentlich keiner, nutze dazu ein VPN.Frank
dass aus dem Server-Netz nicht auf das Heimnetz zugegriffen werden kann, damit nicht direkt erreicht werden kann, oder?
Das ist Quatsch, denn der Mikrotik hat eine entsprechende Firewall an Bord die das mit 3 Mausklicks problemlos erledigt.Zum Rest hat Kollege @Vision2015 schon alles gesagt. Tutorials lesen hilft...
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Mikrotik L2TP VPN Server
Wie schon erwähnt: Kann man so machen.
Gibt aber sicherlich smartere Lösungen.
Was macht die FritzBox denn so außer DSL?
Nexcloud, selbst hinter besserer Firewall oder Proxy würde ich mir zwei mal überlegen.
Gibt aber sicherlich smartere Lösungen.
Was macht die FritzBox denn so außer DSL?
Nexcloud, selbst hinter besserer Firewall oder Proxy würde ich mir zwei mal überlegen.
1
Danke für eure Antworten!
Die Fritzbox macht leider nebenbei auch noch Telefon und ein paar solcher Themen, deshalb war der Wunsch, sie weiterhin als Modem zu verwenden. Aber wenn ich es richtig verstehe, wäre es mit entsprechenden Firewall-Einstellungen ja mit dem Setup möglich, oder?
@aqui: Danke für die Info. Reicht dann aber eben eine Firewall-Config wie oben erwähnt aus?
"(z.B. nur Traffic zu 192.168.178.1 zulassen, zu keinem anderen Teilnehmer von 192.168.178.X?)"
Die Tutorials habe ich schon gelesen und gesehen, dass soetwas grundsätzlich möglich ist. Ich bin aber kein Netzwerk-Profi und daher die Frage.
Bzgl. Nextcloud noch die Frage:
Sind hier wirklich so große Sicherheitsrisiken zu erwarten? Bzw. welche Gefahren seht ihr bzw. sind typisch?
Gibt es also quasi keine Möglichkeit, als "Nicht-Profi" eine Nextcloud-Instanz o.ä. selbst zu hosten?
Sie hinter VPN zu verstecken birgt ja leider einiges an Nachteilen. Es sollen ca. 10 Personen (+ ggf. Gäste für geteilte Inhalte) darauf zugreifen. Das würde natürlich einen hohen Einrichtungsaufwand bzgl. VPN bedeuten..
Ich bin aber gerne interessiert an anderen Vorschlägen diesbzgl.
Die Fritzbox macht leider nebenbei auch noch Telefon und ein paar solcher Themen, deshalb war der Wunsch, sie weiterhin als Modem zu verwenden. Aber wenn ich es richtig verstehe, wäre es mit entsprechenden Firewall-Einstellungen ja mit dem Setup möglich, oder?
@aqui: Danke für die Info. Reicht dann aber eben eine Firewall-Config wie oben erwähnt aus?
"(z.B. nur Traffic zu 192.168.178.1 zulassen, zu keinem anderen Teilnehmer von 192.168.178.X?)"
Die Tutorials habe ich schon gelesen und gesehen, dass soetwas grundsätzlich möglich ist. Ich bin aber kein Netzwerk-Profi und daher die Frage.
Bzgl. Nextcloud noch die Frage:
Sind hier wirklich so große Sicherheitsrisiken zu erwarten? Bzw. welche Gefahren seht ihr bzw. sind typisch?
Gibt es also quasi keine Möglichkeit, als "Nicht-Profi" eine Nextcloud-Instanz o.ä. selbst zu hosten?
Sie hinter VPN zu verstecken birgt ja leider einiges an Nachteilen. Es sollen ca. 10 Personen (+ ggf. Gäste für geteilte Inhalte) darauf zugreifen. Das würde natürlich einen hohen Einrichtungsaufwand bzgl. VPN bedeuten..
Ich bin aber gerne interessiert an anderen Vorschlägen diesbzgl.
Moin...
Frank
Die Fritzbox macht leider nebenbei auch noch Telefon und ein paar solcher Themen, deshalb war der Wunsch, sie weiterhin als Modem zu verwenden.
die Fritte kann auch als "Client" im Netzwerk die Telefonie bereitstellen!Frank
https://www.cvedetails.com/vulnerability-list/vendor_id-15913/Nextcloud. ...
Macht nicht den besten Eindruck. Allein wegen der Fülle der Funktionen und Fremdquellen, schwer zu beherrschen.
Macht nicht den besten Eindruck. Allein wegen der Fülle der Funktionen und Fremdquellen, schwer zu beherrschen.
deshalb war der Wunsch, sie weiterhin als Modem zu verwenden.
Das kann sie genausogut auch als dedizierte Telefonanlage im internen LAN erledigen wie allgemein bekannt.Du hast also immer 2 Optionen:
- In einer Router Kaskade mit dem Mikrotik. Als reines Modem ist aus 2 Gründen NICHT möglich: AVM supportet es nicht und wenn man die VoIP Telefonie nutzt MUSS die Fritzbox immer als Router arbeiten.
- Mit einem wirklichen nur Modem davor (Zyxel VMG3006, Vigor 167) und die FB dann als reine VoIP Telefonieanlage im internen Netz betreiben
Reicht dann aber eben eine Firewall-Config wie oben erwähnt aus?
Ja das reich. Wenn nicht eine Firewall was denn sonnst. Der tiefere Sinn einer Firewall ist es doch gerade die Kommunikation zw. mehreren Netz zu reglementieren!Deine Frage ist also etwas sinnfrei.
Gibt es also quasi keine Möglichkeit, als "Nicht-Profi" eine Nextcloud-Instanz o.ä. selbst zu hosten?
Nein, diese Schlussfolgerung wäre Quatsch. Tausende Nutzer machen es so das sie eine private Cloud auf diese Weise mit Nextcloud selber hosten. Und das aus guten Gründen um selber die Hoheit über private Daten zu behalten. Das ist also ein durchaus übliches Standardszenario was du natürlich so lösen kannst.
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
How can I mark a post as solved?
How can I mark a post as solved?
