Outdoor LAN sichern mit oder ohne Fritzbox Verständnis Frage

Mitglied: bluescreen

bluescreen (Level 1) - Jetzt verbinden

25.02.2021 um 17:56 Uhr, 1313 Aufrufe, 26 Kommentare

Hallo zusammen,

ich habe die letzten Stunden schon viel hier gelesen, stehe aber
ein wenig auf dem Schlauch, wie und wo ich weiter suchen soll.

Ich möchte gerne 2 LAN Anschlüsse (Doorbirds) absichern.

Was ich habe:
- 2x Doorbird Kabelgebunden
- 1x Fritzbox 6490 Kabel Buisness von Unitymedia/Vodafone mit fester IP und IP4
- 2x Analogtelefone an der Fritzbox
- 1x POE Switch Ubiquiti 24er 2nd GEN Level 2 / MAC Filterung
- 3x Ubiquiti APs
- 1x IOBroker auf Rasperry PI
- 1x Synology NAS mit Radius Server und Survilliance Station
- Div. Port Weiterleitungen zum Zocken

Was ich so lese, ist die Fritzbox das Hauptproblem. Wenn ich Sie als Router lasse,
dann scheiden VLANs aus. Die Doorbirds können meines Wissens nach keine Radius
Zertifizierung, scheidet also auch aus. Nur MAC Filterung ist keine Sicherheit.

Die Doorbirds ins Gästenetz ist auch keine Lösung, da ich auf den VideoStream
dauerhaft von verschiedenen Geräten aus zugreifen möchte (Handy im Heimnetz,
IOBroker Visu, Survilliance Station). Die Fritzbox schafft hier ja keine Verbindung
zwischen Netz und Gästenetz.

Also Router kaufen? Dann kommt das Problem Fritzbox / Router und doppeltes NAT,
was beim Zocken wohl Probleme mit den Ports machen dürfte, wenn ich es richtig verstanden habe.

Wäre hier der Bridgemode noch eine Lösung? Der taucht in meiner Version der Fritzbox zumindest noch auf.

Oder besser Modem und Router kaufen, Fritzbox nicht mehr benutzen? Dann hab ich aber keine
Möglichkeit mehr, die Telefone anzuschließen.

Jede Lösung scheint im Moment Nachteile zu haben. Vielleicht ist jemand so nett mir zu sagen,
in welche Richtung ich weiter suchen sollte.

Besten Dank und viele Grüße,

Tobias
Mitglied: erikro
25.02.2021 um 18:09 Uhr
Moin,

ich habe ehrlich gesagt nicht verstanden, was Du willst.

Zitat von @bluescreen:
Ich möchte gerne 2 LAN Anschlüsse (Doorbirds) absichern.

Was heißt das? Wovor willst Du sie sichern? Was befürchtest Du?

Liebe Grüße

Erik
Bitte warten ..
Mitglied: bluescreen
25.02.2021 um 18:14 Uhr
Hallo Erik,

die Doorbirds liegen ausserhalb des Gebäudes mit LAN Kabeln, ich möchte mich also
davor absichern, dass jemand die Doorbirds entfernt und dann Zugriff auf mein Netzwerk hat.
Bitte warten ..
Mitglied: erikro
25.02.2021, aktualisiert um 18:22 Uhr
Zitat von @bluescreen:
die Doorbirds liegen ausserhalb des Gebäudes mit LAN Kabeln, ich möchte mich also
davor absichern, dass jemand die Doorbirds entfernt und dann Zugriff auf mein Netzwerk hat.

Das ahnte ich. Das ist kein Software-, sondern ein Hardwareproblem. Ich kenne die Dinger nicht. Aber sowas sollte doch so konstruiert sein, dass ein Abbau von außen unmöglich ist. Oder zumindest sollte es eine Funktion geben, die einen Alarm auslöst, wenn das Gerät nicht mehr am Netz ist.

<edit>Das Ding hat doch auch einen Bewegungssensor. Schlägt das nicht Alarm, wenn sich da jemand davor bewegt?</edit>
Bitte warten ..
Mitglied: bluescreen
25.02.2021 um 19:10 Uhr
Kein Sabotageschutz, kein Alarm bei Netztrennung :/

Bewegungssensor ja, aber der löst auch bei Lichtwechsel etc aus, also darauf kann man sich auch nicht verlassen.
Bitte warten ..
Mitglied: Datenreise
25.02.2021, aktualisiert um 23:43 Uhr
Moin,

einen VLAN-fähigen Router könntest Du hinter der FritzBox als exposed host betreiben - das ist so mittelschön. Es spricht aber gar ncihts dagegen, den neuen Router direkt ans Internet zu hängen und die FritzBox als IP-Client dahinter. Sie kann so weiterhin als Telefonanlage/SmartHome-Zentrale und was auch immer genutzt werden. Eine Einstellung ist dann nur unbedingt zu setzen, nämlich unter den Anschlusseinstellungen bei Telefonie: "Portweiterleitung aktiv halten alle 30 Sekunden"
Klappt dann alles tadellos.

Gut passen würde im Prinzip zu Deinem LineUp das USG von Ubiquiti, ist auch mit unter 100€ recht günstig.
Zwei Nachteile: Ist schon halbwegs outdated und ein Nachfolger noch nicht erhältlich, außerdem kann es bei sehr schnellen Anschlüssen jenseits von 100Mbit/s zum Flaschenhals werden.
Edit: Mit dem USG brauchst Du natürlich auch noch ein Modem, wenn Du es vor die FritzBox hängst. Alltime-Favorit und mehr oder weniger alternativlos ist da Draytek Vigor 130/165.
Bitte warten ..
Mitglied: StefanKittel
26.02.2021 um 00:30 Uhr
Hallo,

nimm eine Unifi USG als 2. Router und richte damit VLANs ein.
Dann können die Dinger in ein getrenntes VLAN und Du kannst die Zugriffe in beide Richtungen regeln.

Ja, doppeltes NAT ist nicht so schön, aber kein wirkliches praktisches Problem.
Auch nicht beim Zocken.

Oder Du verwendest einen besseren Switch.
Dieser schaltet diese Ports dauerhaft ab wenn der Link unterbrochen wird.
Man muss sie dann manuell im Management wieder einschalten. Solange sind die Anschlüsse nutzlos für den Einbrecher.

Stefan
Bitte warten ..
Mitglied: wiesi200
26.02.2021 um 06:11 Uhr
Hallo,
wie währ's mit ner anderen Idee.

Es gibt Sicherheitsschrauben da brauchst du nen extra bit zum öffnen.
https://www.igt-tech.de/haus-garten/edelstahl-schmiedeeisen/schmiedeeise ...

Somit bedeutet das aufbohren.

Oder nen kontaktschalter der auf nen Alarm geht beim Öffnen?
https://shop.vtis.de/AXIS-DOME-INTRUSION-SWITCH-C-Gehaeuse-Kontaktschalt ...
Bitte warten ..
Mitglied: aqui
26.02.2021, aktualisiert um 09:20 Uhr
ich habe ehrlich gesagt nicht verstanden, was Du willst.
Hab ich auch nicht...
Es geht ihm vermutlich (frei geraten) um die Port Authentisierung der Doorbird Endgeräte an einem LAN Switchport ?!
Was mit "Radius Zertifizierung" (was soll das Ominöses sein ???) gemeint ist kann man auch nur im freien Fall raten, denn sowas gibt es in der IT gar nicht.
Was ein Router mit der ganzen Thematik zu tun haben soll versteht ebenso auch kein Mensch...aber nungut.

Es gibt 3 klassische Verfahren für die LAN Port Security wie jeder Netzwerker weiss:
  • 1.) Statische Switch Port Security mit statisch konfigurierter Mac Adresse des Endgerätes. Dann kommt nur Traffic eines einzigen Endgerätes durch diesen Port
  • 2.) Das gleiche aber mit einer Authentisierung über einen Radius Server statt statisch auf dem Switch
  • 3.) 802.1x Port Security über Radius was dann aber einen 802.1x Client auf dem Endgerät erfordert wie z.B. bei Winblows PCs, Apple Macs, Linux usw.
Punkte 1. und 2. hat der TO kategorisch ausgeschlossen weil ihm das wohl angeblich nicht sicher genug ist, bleibt also nur noch Punkt 3.
Ob seine "Doorbrid" Endgeräte aber einen .1x Client onboard haben hat er nicht beantwortet. :-( face-sad
Bleibt also mal wieder nur die Kristallkugel....
Bitte warten ..
Mitglied: Datenreise
26.02.2021 um 19:26 Uhr
Er möchte, dass wenn jemand einen Laptop an das Ethernetkabel seiner Doorbirds klemmt, sich dieser jemand nur in einem abgeschotteten VLAN befindet. Gleichzeitig möchte er natürlich aus seinem "Hauptnetz" trotzdem auf die Doorbirds zugreifen. Semipermeable Inter-VLAN-Kommunikation also. ;-) face-wink
Jedenfalls verstehe ich es so und kann darin so dann auch einen Sinn erkennen.
Bitte warten ..
Mitglied: bluescreen
26.02.2021 um 20:00 Uhr
@ Datenreise
Die Fritzbox hinter den Router als IP Client zu setzen hatte ich noch gar nicht bedacht.
Meines Wissens nach habe ich allerdings kein VOIP. Ginge es dann totzdem ?
Kann das Vigor Kabel Internet oder nur DSL?

@ StefanKittel

ich habe noch einmal in der Fritzbox nachgeschaut. Ich habe eine Einstellmöglichekit
für den Bridge Mode. Wäre das nicht besser als Dopple NAT und würde fast alle
meine Probleme lösen? Allerdings weiß ich nicht, ob dann noch Telefonie geht.
Die Portabschaltung bei Unterbrechung nennt siech wie? Ich finde dazu nichts bei Goolge
und somit auch keinen Switch. Das würde mir als Lösung auch gut gefallen.

@ Wiesi200

Ich nehme an, die Bits sind "relativ" einzigartig? Auch eine gute Lösung.
Über einen Kontaktschalter hatte ich auch nachgedacht, habe aber keine
Ahnung wie ich das Binärsignal umwandel bis ich z.B. eine Stromzufuhr
für den Switch unterbrechen könnte.

@ Aqui

1. ja, das habe ich, ist mir aber nicht sicher genug
2. radius server habe ich, aber die doorbirds können sich an diesem nicht anmelden,
oder ich habe keine ahnung wie. einloggen können sie sich ja nicht. ein zertifikat von
seiten der doorbirds gib es nicht bzw sie sind kein .1x client.
ich bin da aber leihe und habe vielleicht nicht genug ahnung.
3. siehe 2

Ein Router hat folgendes damit zu tun:
Die Fritzbox kann nicht mehrere VLans verwalten. Also wäre ein neuer Router
von Nöten mit den Problemen, dass sowohl der Anschluss an das Kabel Internet
laufen muss, als auch noch die Fritzbox als Telefonanlage und das würde ich gerne
ohne doppel NAT realisieren.

Grüße
Bitte warten ..
Mitglied: aqui
26.02.2021 um 20:11 Uhr
radius server habe ich, aber die doorbirds können sich an diesem nicht anmelden,
"Anmelden" tut sich da ja auch nie das Endgerät sondern immer der Switch und auch Zertifikate sind dort nich zwingend nötig. Es geht immer auch ohne !
Tutorial lesen hilft wirklich ! ;-) face-wink
und das würde ich gerne ohne doppel NAT realisieren.
Was ja kinderleicht möglich ist. Man beschafft sich einen VLAN fähigen Router der üblichen Verdächtigen wie Cisco, Lancom, Mikrotik, pfSense usw. und betreibt die FritzBox dahinter im internen LAN als normalen IP Client mit Telefonanlage. Millionenfaches Standard Design...
Bitte warten ..
Mitglied: wiesi200
26.02.2021 um 20:45 Uhr
Je nachdem was du kaufst ist das nichts was jeder rum liegen hat. Es gibt auch Schrauben die bekommt man zerstörungsfrei überhaupt nicht mehr auf. Oder man klopft ne Stahlkugel in nen Torxkopf.

Die Kontakte klemmt man an ne normale Alarmanlage falls vorhanden.
Bitte warten ..
Mitglied: bluescreen
27.02.2021 um 00:40 Uhr
Hm, Also ja, mein Radius Server auf meiner Diskstation Kommuniziert mit meinem Switch. Klar.
Trotzdem muss ich auf der Diskstation für Radius einen Benutzer anlegen und mich dann mit
meinem Endgerät (z.B. mein Handy über einen Wlan AP am Switch beim Radius Server auf
der Diskstation anmelden). Wie das eine Doorbird machen soll ist mir ein Rätsel, aber ich bin
auch kein Netzwerk Mensch. Ein Tutorial kann ich dazu nicht finden.
Bitte warten ..
Mitglied: bluescreen
27.02.2021 um 00:41 Uhr
An die Alarmanlage! Uff, den Wald vor lauter Bäumen nicht gesehen. Besten Dank!
Bitte warten ..
Mitglied: aqui
27.02.2021, aktualisiert um 09:29 Uhr
Wie das eine Doorbird machen soll ist mir ein Rätsel,
Bei Endgeräten die keinen 802.1x Client an Bord haben geht die Radius Authentisierung dann logischerweise einzig nur über ihre Mac Adresse. Wie auch anders wenn kein .1x da ist ?!
Ein Tutorial dazu findest du hier:
https://administrator.de/tutorial/netzwerk-zugangskontrolle-802-1x-freer ...
bzw. für WLAN hier:
https://administrator.de/tutorial/sichere-802-1x-wlan-benutzer-authentis ...
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
Bzw. diverse Tips in den weiterführenden Links.
Bitte warten ..
Mitglied: Datenreise
27.02.2021 um 15:18 Uhr
Zitat von @bluescreen:

@ Datenreise
Die Fritzbox hinter den Router als IP Client zu setzen hatte ich noch gar nicht bedacht.
Meines Wissens nach habe ich allerdings kein VOIP. Ginge es dann totzdem ?
Kann das Vigor Kabel Internet oder nur DSL?

Wenn Du tatsächlich einen Analog/ISDN-Anschluss hast, geht das so nicht, nein. Da Du allerdings offenbar hinter einem Kabelanschluss sitzt, hast Du auch VoIP, diese gab es nämlich nie anders.

Solltest Du hinter DSL plus ISDN sitzen: Ruf Deinen Provider an, er wird den Anschluss mit Kusshand kostenlos migrieren. Oder sitzt Du an einem sehr exotischen Ort?

Vigor kann lediglich (V)DSL. Kombinierte Kabel/DSL-Modems gibt es meines Wissens nach auch gar nicht.
Bitte warten ..
Mitglied: aqui
27.02.2021, aktualisiert um 16:37 Uhr
Meines Wissens nach habe ich allerdings kein VOIP.
In D fast unmöglich, da sind so gut wie alle analogen Telefonanschlüsse umgestellt. Ganze besonders wenn man zusätzlich noch einen xDSL Datenanschluss hat. Das solltest du also besser erstmal wasserdicht klären ob dem wirklich so ist !
Bitte warten ..
Mitglied: bluescreen
28.02.2021 um 10:35 Uhr
Der Switch kann auch über eine Whitelist die MAC Adresse prüfen. Ich nehme an, dass es keinen
Unterschied macht, ob ich die MAC Adresse via Radius oder im Switch prüfe?
Bitte warten ..
Mitglied: bluescreen
28.02.2021 um 10:37 Uhr
Hm, dann ist es wohl VOIP, denn es ist ein Unitymedia/Vodafone Kabel Anschluss.

Wenn das Vigor nur für DSL ist, wäre dann nicht der richtige Aufbau bei mir:


Fritzbox mit Bridgemode auf z.B. LAN 2 -> USG -> Switch? Telefonie solle so gehen und
ich spare mir ein neues Modem, wenn es das für Kabel geben sollte.?
Bitte warten ..
Mitglied: aqui
28.02.2021 um 11:10 Uhr
Ich nehme an, dass es keinen Unterschied macht, ob ich die MAC Adresse via Radius oder im Switch prüfe?
Nein, das macht keinen Unterschied. Nur das die statische Mac dann eben immer Port bezogen ist was es bei Radius nicht ist.
Bitte warten ..
Mitglied: Datenreise
28.02.2021, aktualisiert um 12:47 Uhr
Meines Wissen nach ist die FritzBox im BridgeModus dann nur noch ein Modem, kann also nicht mehr als Telefonanlage oder irgendetwas anderes benutzt werden. Mag sein, dass ich falsch liegen, am besten mal bei AVM anfragen.
Allerdings ist dieser Modus wohl auch kein unterstütztes Szenario mehr, neuere Firmware-Versionen haben das rausgepatched.

Es ist in Deinem Fall wohl wesentlich einfacher, das doppelte NAT in Kauf zu nehmen.
Bitte warten ..
Mitglied: aqui
28.02.2021 um 13:07 Uhr
ist die FritzBox im BridgeModus dann nur noch ein Modem
Das ist richtig aber AVM supportet schon seit Langem diesen Bridge Modus nicht mehr. Zumindest nicht in aktuellen Modellen. Ausnahme sind ältere Modelle wie z.B. die 7412 u.a.
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254
Bitte warten ..
Mitglied: bluescreen
28.02.2021 um 16:29 Uhr
Also, in den Einstellungen der Unitymedia/Vodafone Fritzbox taucht es noch auf und klingt
nicht nach totaler Abschaltung aller Funktionen, sondern als wenn lediglich ein Port
gebridged würde:

https://administrator.de/images/c/1/7/c947f052fdb9791768dd5ce9e9f841c3.j ...
fritz - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
28.02.2021 um 19:21 Uhr
👍 Perfekt, dann hast du Glück und es ist supportet !
Bitte warten ..
Mitglied: bluescreen
03.03.2021 um 20:26 Uhr
Ich habe jetzt ein USG an einen Bridge Port gehangen. Das USG bekommt dabei eine 2te, öffentliche
IP und die Fritzbox hat weiterhin ihre alte öffentliche IP und Telefon funktioniert auch. Das macht
mich erstmal sehr zufrieden.
Jetzt kann es an die ganzen Einstellungen gehen.

Ich bedanke mich herzlich bei allen.

Grüße
Bitte warten ..
Mitglied: aqui
04.03.2021 um 11:25 Uhr
Immer gerne ! :-) face-smile

Bitte den Thread dann auch mit
https://administrator.de/faq/32
schliessen !
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 18 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...