Sicheres Home-Netzwerk aufbauen
Hallo administrator.de Community
Ich möchte mein Heimnetzwerk neu und vor allem sicherer aufbauen. Bei der Recherche bin ich auf dieses Forum gestossen. Ich hoffe ihr könnt mir weiterhelfen und ein paar Tipps mit auf den Weg geben. Ich habe beruflich nichts mit Netzwerken zu tun, bin aber sehr Interessiert. Ich habe darum etwas Ahnung aber kein vertieftes Fachwissen.
Ausgangslage:
Meine vorhandene Hardware die ich bereits besitze:
- UPC Modem (Router der sich nur im Modem-Modus befindet. Dieser muss zwingend vorhanden sein wegen dem Internet-Anschluss)
- FritzBox 7490 WLAN Router
- PC Engines apu24c mit der Firewall/Router Software OPNSense (Open Source), 1x WAN & 2x LAN Anschluss
- DLINK 8ports LAN Switch (ohne Konfigurationsmöglichkeiten)
Geräte im Netzwerk:
- Laptops, Computer & Drucker
- Smartphones & Tablets
- Spielkonsolen
- TVs & Receiver
- RaspberryPi als Cloudlösung (Nextcloud 13)
- QNAP NAS als Datenspeicher & Backupserver (der ganze NAS erstellt selber dann noch wöchentlich ein Backup auf eine externe USB Festplatte)
Aktuell habe ich es so aufgebaut:
UPC Modem --> PC Engines Firewall/Router --> Switch --> Geräte & FritzBox als WLAN Access-Point.
Anforderungen an mein Netzwerk:
Ich muss von überall auf der Welt bei Bedarf auf meine Geräte zuhause zugreifen können. Ich habe da an eine VPN-Verbindung (über PC Engines Firewall/Router) gedacht. Auf den Cloudserver möchte ich ebenfalls zugreifen, jedoch ohne jedesmal eine VPN-Verbindung zu erstellen. Dies würde ich via DynDNS lösen. Für online Spiele (PS4) müssen ab und zu ein paar Ports geöffnet werden. Auf meinem NAS z.B. befinden sich aber auch relativ heikle Unterlagen für die Steuern, etc.
Wenn nun alle Geräte im selben Netz sind, ist es in meinen Augen ein grosses Sicherheits-Risiko, wenn der Cloudspeicher öffentlich auffindbar ist.
Nach meinem Verständnis würde ich nun folgendes umsetzen:
An der Firewall/Router zwei LAN, bzw. VLAN erstellen. (PC Engines hat 1x WAN und 2x LAN Anschluss) LAN 1 wären dann alle Geräte inkl. WLAN Access Point. LAN 2 wären dann nur der Cloudserver und die Spielkonsole. So müsste ich für LAN 1 keine Ports öffnen und hätte darin keine Geräte die von extern erreicht werden müssen/können (abgesehen von VPN). Wenn ich im LAN 2 irgendwelche Ports öffnen ist dies dann kein Problem. Wenn alles umgesetzt ist, müsse ich in der Firewall irgendwie noch einrichten, dass der Cloudserver vom LAN 2 ein Backup auf den NAS in LAN 1 erstellen kann.
Habe ich dies in etwa richtig geplant oder bin ich total auf dem Holzweg?
Ich freue mich auf jegliches Feedback! Beste Grüsse
Simon
PS: Hoffe ich habe das richtige Thema gewählt.
Ich möchte mein Heimnetzwerk neu und vor allem sicherer aufbauen. Bei der Recherche bin ich auf dieses Forum gestossen. Ich hoffe ihr könnt mir weiterhelfen und ein paar Tipps mit auf den Weg geben. Ich habe beruflich nichts mit Netzwerken zu tun, bin aber sehr Interessiert. Ich habe darum etwas Ahnung aber kein vertieftes Fachwissen.
Ausgangslage:
Meine vorhandene Hardware die ich bereits besitze:
- UPC Modem (Router der sich nur im Modem-Modus befindet. Dieser muss zwingend vorhanden sein wegen dem Internet-Anschluss)
- FritzBox 7490 WLAN Router
- PC Engines apu24c mit der Firewall/Router Software OPNSense (Open Source), 1x WAN & 2x LAN Anschluss
- DLINK 8ports LAN Switch (ohne Konfigurationsmöglichkeiten)
Geräte im Netzwerk:
- Laptops, Computer & Drucker
- Smartphones & Tablets
- Spielkonsolen
- TVs & Receiver
- RaspberryPi als Cloudlösung (Nextcloud 13)
- QNAP NAS als Datenspeicher & Backupserver (der ganze NAS erstellt selber dann noch wöchentlich ein Backup auf eine externe USB Festplatte)
Aktuell habe ich es so aufgebaut:
UPC Modem --> PC Engines Firewall/Router --> Switch --> Geräte & FritzBox als WLAN Access-Point.
Anforderungen an mein Netzwerk:
Ich muss von überall auf der Welt bei Bedarf auf meine Geräte zuhause zugreifen können. Ich habe da an eine VPN-Verbindung (über PC Engines Firewall/Router) gedacht. Auf den Cloudserver möchte ich ebenfalls zugreifen, jedoch ohne jedesmal eine VPN-Verbindung zu erstellen. Dies würde ich via DynDNS lösen. Für online Spiele (PS4) müssen ab und zu ein paar Ports geöffnet werden. Auf meinem NAS z.B. befinden sich aber auch relativ heikle Unterlagen für die Steuern, etc.
Wenn nun alle Geräte im selben Netz sind, ist es in meinen Augen ein grosses Sicherheits-Risiko, wenn der Cloudspeicher öffentlich auffindbar ist.
Nach meinem Verständnis würde ich nun folgendes umsetzen:
An der Firewall/Router zwei LAN, bzw. VLAN erstellen. (PC Engines hat 1x WAN und 2x LAN Anschluss) LAN 1 wären dann alle Geräte inkl. WLAN Access Point. LAN 2 wären dann nur der Cloudserver und die Spielkonsole. So müsste ich für LAN 1 keine Ports öffnen und hätte darin keine Geräte die von extern erreicht werden müssen/können (abgesehen von VPN). Wenn ich im LAN 2 irgendwelche Ports öffnen ist dies dann kein Problem. Wenn alles umgesetzt ist, müsse ich in der Firewall irgendwie noch einrichten, dass der Cloudserver vom LAN 2 ein Backup auf den NAS in LAN 1 erstellen kann.
Habe ich dies in etwa richtig geplant oder bin ich total auf dem Holzweg?
Ich freue mich auf jegliches Feedback! Beste Grüsse
Simon
PS: Hoffe ich habe das richtige Thema gewählt.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 368794
Url: https://administrator.de/contentid/368794
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
2 Kommentare
Neuester Kommentar
Hi
DMZ auf der pfSense: https://doc.pfsense.org/index.php/Example_basic_configuration
Oder die Tutorials von @aqui : VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Gruss
PPR
Habe ich dies in etwa richtig geplant oder bin ich total auf dem Holzweg?
Du bist auf dem richtigen WegWenn nun alle Geräte im selben Netz sind, ist es in meinen Augen ein grosses Sicherheits-Risiko, wenn der Cloudspeicher öffentlich auffindbar ist.
Nicht das Ende der Welt, primär gehört jeder von extern erreichbare Server separiert vom Heimnetz.Wenn alles umgesetzt ist, müsse ich in der Firewall irgendwie noch einrichten, dass der Cloudserver vom LAN 2 ein Backup auf den NAS in LAN 1 erstellen kann.
Das wirst du nicht 100%tig sicher kriegen, da du Verbindungen vom PI aufs NAS erlauben musst, dh. jemand hat den PI unter Kontrolle kann er auch auf dein NAS. Darum unbedingt auch NAS absichern (mindestens mit Benutzername und Passwort)DMZ auf der pfSense: https://doc.pfsense.org/index.php/Example_basic_configuration
Oder die Tutorials von @aqui : VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
So müsste ich für LAN 1 keine Ports öffnen und hätte darin keine Geräte die von extern erreicht werden müssen/können (abgesehen von VPN).
Idealerweise machst du das VPN auch in die DMZ.Gruss
PPR
Ich habe da an eine VPN-Verbindung (über PC Engines Firewall/Router) gedacht.
Ist der richtige Weg !Die Tutorials hier zeigen dir wie man das mit OpenVPN oder IPsec machen kann:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Auf den Cloudserver möchte ich ebenfalls zugreifen, jedoch ohne jedesmal eine VPN-Verbindung zu erstellen
Du meinst einen eigenen Cloud Server zuhause wie z.B. Owncloud oder NextCloud, richtig ?Der sollte dann natürlich verschlüsselte Verbindungen supporten und...
Er sollte NICHT im eigenen LAN stehen sondern in einem separaten DMZ Netz immer getrennt von deinem privaten LAN und WLAN.
Mit einem VLAN Switch und VLANs an der pfSense oder separaten Ports kannst du das auch kinderleicht realisieren:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ist es in meinen Augen ein grosses Sicherheits-Risiko, wenn der Cloudspeicher öffentlich auffindbar ist.
Ja, Lösung: Siehe oben. Dein Vorschlag beschreibt das ja auch so richtig.Ob man das WLAN auch noch trennt ist Geschmackssache. Hat den Vorteil wenn dort mal einer einbrechen sollte ist er nicht gleich direkt in deinem privaten LAN.
Gast WLAN und Captive Portal wäre auch noch ein Thema wenn du sowas machen willst.
Sicherheit ist ja immer relativ wenn man die eigenen Ansprüche und Policy nicht konkretisiert.
Zum Rest hat Kollege PPR-Dev ja auch schon das Wesentliche gesagt.
Habe ich dies in etwa richtig geplant oder bin ich total auf dem Holzweg?
Nein, bist du nicht...alles richtig !Hoffe ich habe das richtige Thema gewählt.
Auch das passt....