Zugriff auf Geräte im verteilten Heimnetzwerk einschränken
Guten Morgen ![face-smile face-smile](/images/icons/fa/light/face-smile.svg)
Ich habe aktuell 2 Heimnetzwerke mit unterschiedlichen Geräten in 2 Wohnungen, die ich per VPN zu einem Netzwerk verbinden möchte, in dem einzelne Ressourcen (NAS, LDAP, MFP, Internet) gemeinsam genutzt werden können.
Die Topologie des Netzwerkes sähe dann in etwa wie im Anhang "original.drawio.png" aus.
Problem:
Jedes Gerät kann ungehindert auf jedes Gerät zugreifen.
Das möchte ich aber gerne vermeiden, da ich mich sonst bei einer Infektion mit Malware oder Ransomware ausgeliefert fühle.
Was ich mir wünsche:
Kein Gerät soll auf ein anderes zugreifen können.
Ausnahmen:
Ich habe mir nun schon einige Nächte um die Ohren geschlagen, und habe keine Lösung gefunden, die sich richtig anfühlt.
Am Ende kam ich bei einer Lösung raus, die in etwa der Topologie von "idee.drawio.png" entspricht.
Und unter anderem zusätzlich zu den 2 vorhandenen FritzBoxen folgende Hardware erfordert:
Fragen
Liebe Grüße,
Vivien
Ich habe aktuell 2 Heimnetzwerke mit unterschiedlichen Geräten in 2 Wohnungen, die ich per VPN zu einem Netzwerk verbinden möchte, in dem einzelne Ressourcen (NAS, LDAP, MFP, Internet) gemeinsam genutzt werden können.
Die Topologie des Netzwerkes sähe dann in etwa wie im Anhang "original.drawio.png" aus.
Problem:
Jedes Gerät kann ungehindert auf jedes Gerät zugreifen.
Das möchte ich aber gerne vermeiden, da ich mich sonst bei einer Infektion mit Malware oder Ransomware ausgeliefert fühle.
Was ich mir wünsche:
Kein Gerät soll auf ein anderes zugreifen können.
Ausnahmen:
- Alle Geräte können auf das Internet zugreifen.
- Alle Geräte können auf die Multifunktionskopierer (MFP) zugreifen.
- Die MFP's können auf das NAS zugreifen.
- Alle Geräte können auf LDAP und NAS zugreifen.
Ich habe mir nun schon einige Nächte um die Ohren geschlagen, und habe keine Lösung gefunden, die sich richtig anfühlt.
Am Ende kam ich bei einer Lösung raus, die in etwa der Topologie von "idee.drawio.png" entspricht.
Und unter anderem zusätzlich zu den 2 vorhandenen FritzBoxen folgende Hardware erfordert:
- 2x HP ProCurve Switch 2810-24G (da die zumindest einseitig "protected ports" unterstützen)
- 1x IPSec Client
- 1x Router mit IPSec Server
- 2x WLAN Access Points
- 1x transparente NGFW (UTM)
Fragen
- Leide ich an Paranoia und sollte einfach bei der Topologie von "original.drawio.png" bleiben?
- Wenn dem nicht so ist: Wie löse ich das? Klingt für mich nach einer gängigen Aufgabenstellung, nur leider habe ich keine Ahnung von Netzwerkinfrastruktur.
Liebe Grüße,
Vivien
Please also mark the comments that contributed to the solution of the article
Content-Key: 2291596853
Url: https://administrator.de/contentid/2291596853
Printed on: June 20, 2024 at 12:06 o'clock
19 Comments
Latest comment
Zitat von @chri-ri:
Ich habe mir nun schon einige Nächte um die Ohren geschlagen, und habe keine Lösung gefunden, die sich richtig anfühlt.
Moin,Ich habe mir nun schon einige Nächte um die Ohren geschlagen, und habe keine Lösung gefunden, die sich richtig anfühlt.
was du suchst nennt sich Segmentierung, z.B. mit Bildung von VLANs oder ACL.
Falls du einen Rechner mit zwei Netzwerkschnittstellen hast kannst du da OPNsense als Firewall draufpacken (kostenlos), dort ein Regelwerk erstellen welches VLAN über welches Protokoll mit welchem VLAN kommunizieren darf, wenn du feste IP Adressen hast geht es auf auf IP Ebene (das VLAN ist quasi nur eine Gruppe).
Dein Switch kann wohl leider kein ACL, sonst könnte man auch auf der Ebene arbeiten, z.B. der an Port 10 angeschlossene Drucker nimmt nur Pakete von IP-Adresse XYZ an, und auch nur TCP9100 und TCP443,... .
https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c02501107
Beispielsweise kann deine Fritzbox über LAN4 ein Gast-LAN ausgeben (optional ohne das die Geräte sich sehen dürfen), was ich u.a. für IOT Geräte (TV,...) nutze.
OPNsense Starthilfe
Moin,
In Ergänzung zu @nachgefragt:
Die OpnSense würde das VPN auch deutlich besser abbilden, als die beiden Fritten. Die IPSec Implementierung von AVM ist furchtbar und langsam.
Dass du dann noch eine echte Firewall hast, ist quasi ein Bonus ;)
Gruß,
Avoton
In Ergänzung zu @nachgefragt:
Die OpnSense würde das VPN auch deutlich besser abbilden, als die beiden Fritten. Die IPSec Implementierung von AVM ist furchtbar und langsam.
Dass du dann noch eine echte Firewall hast, ist quasi ein Bonus ;)
Gruß,
Avoton
Morschen.
Kann mich meinen Vorschreibern nur anschließen.
Zwei Mini PC anschafffen, OPN-/PFSense installieren und die Tunnel entsprechend aufbauen.
Die Wohnungen sind nicht über das Internet, sondern direkt miteinander verbunden, korrekt?
Dann würde es ja auch reichen, wenn die beiden Switches der Wohnungen direkt mit der *-Sense verbunden sind und es würde eine "ordentliche" Firewall reichen.
Malware/Ransomware hat dann leichtes Spiel, wenn SMB Zugriff erlaubt ist. Leider ist das in AD / LDAP Umgebungen ja massiv erforderlich für beispielsweise Login-Skripte und anderweitige Freigaben.
Hier wären andere Maßnahmen, wie Radius und Port Security auf den Switchports Maßnahmen zum Schutz.
Ordentliche Endpoint Protection selbstverständlich auch.
Aber der Grad der Komplexität, nimmt mit jedem Bisschen Sicherheit zu und der Komfort kann darunter leiden (z.B. Schwester / Sohn / Mutter bekommen ein neues Smartphone / Laptop).
Daher würde ich bei Heimnetzen auf "Etwas ist besser als gar nichts" und eine gute Datensicherungsstrategie setzen.
Gruß
Marc
Kann mich meinen Vorschreibern nur anschließen.
Zwei Mini PC anschafffen, OPN-/PFSense installieren und die Tunnel entsprechend aufbauen.
Die Wohnungen sind nicht über das Internet, sondern direkt miteinander verbunden, korrekt?
Dann würde es ja auch reichen, wenn die beiden Switches der Wohnungen direkt mit der *-Sense verbunden sind und es würde eine "ordentliche" Firewall reichen.
Malware/Ransomware hat dann leichtes Spiel, wenn SMB Zugriff erlaubt ist. Leider ist das in AD / LDAP Umgebungen ja massiv erforderlich für beispielsweise Login-Skripte und anderweitige Freigaben.
Hier wären andere Maßnahmen, wie Radius und Port Security auf den Switchports Maßnahmen zum Schutz.
Ordentliche Endpoint Protection selbstverständlich auch.
Aber der Grad der Komplexität, nimmt mit jedem Bisschen Sicherheit zu und der Komfort kann darunter leiden (z.B. Schwester / Sohn / Mutter bekommen ein neues Smartphone / Laptop).
Daher würde ich bei Heimnetzen auf "Etwas ist besser als gar nichts" und eine gute Datensicherungsstrategie setzen.
Gruß
Marc
Das VPN Setup ist leider nur sehr oberflächlich beschrieben denn zu mindestens ab der Fritzbox Firmware 7.57 hätte man ja IPsec und auch Wireguard als VPN Option zur Auswahl. Es wäre zielführender wenn das zu verwendende VPN Protokoll bekannt wäre. ![face-sad face-sad](/images/icons/fa/light/face-frown.svg)
Mit Bordmitteln und mt dem o.a. Konzept liesse sich das aber auch erreichen ohne weitere Hardware.
Die Lösung ist das du nur die Geräte bzw. deren IP Adressen in die IPsec Phase 2 SAs der VPN Konfig einträgst die du aus den remoten Netzen nach deiner Vorgabe erreichen möchtest.
Bei Wireguard bestimmt man das dann mit Hostadressen beim Crypto Key Routing in den "AllowedIPs" Definitionen statt mit Netzwerk Masken.
Das erfordert dann aber feste, über die Mac Adresse zugewiesene IP Adressen an diesen Geräten was aber generell problemlos machbar ist im Fritzbox DHCP Server.
So liesse sich auch einfachen Bordmitteln die o.g. Einschränkung realisieren, zu mindestens ansatzweise.
Eine granularere Filterung bzw. Zugangsbeschränkung ist dann nur mit zusätzlicher Hardware möglich zu der oben schon alles gesagt wurde.
Wenn du aber mit dieser etwas einfacheren Variante leben kannst die deine Zugangsbedingungen umsetzt und lediglich etwas Konfig Aufwand in den Fritzboxen erfordert ist das ein ebenso gangbarer Weg.
Mit Bordmitteln und mt dem o.a. Konzept liesse sich das aber auch erreichen ohne weitere Hardware.
Die Lösung ist das du nur die Geräte bzw. deren IP Adressen in die IPsec Phase 2 SAs der VPN Konfig einträgst die du aus den remoten Netzen nach deiner Vorgabe erreichen möchtest.
Bei Wireguard bestimmt man das dann mit Hostadressen beim Crypto Key Routing in den "AllowedIPs" Definitionen statt mit Netzwerk Masken.
Das erfordert dann aber feste, über die Mac Adresse zugewiesene IP Adressen an diesen Geräten was aber generell problemlos machbar ist im Fritzbox DHCP Server.
So liesse sich auch einfachen Bordmitteln die o.g. Einschränkung realisieren, zu mindestens ansatzweise.
Eine granularere Filterung bzw. Zugangsbeschränkung ist dann nur mit zusätzlicher Hardware möglich zu der oben schon alles gesagt wurde.
Wenn du aber mit dieser etwas einfacheren Variante leben kannst die deine Zugangsbedingungen umsetzt und lediglich etwas Konfig Aufwand in den Fritzboxen erfordert ist das ein ebenso gangbarer Weg.
Zitat von @chri-ri:
Das was dem noch am nächsten kam sind "protected Ports" beim HP ProCurve Switch 2810-24G (siehe Ausschnitt im Anhang) aber das deckt nur ein Teil des Problems ab, oder?
Du hast das Gerät, du kannst du es testen.Das was dem noch am nächsten kam sind "protected Ports" beim HP ProCurve Switch 2810-24G (siehe Ausschnitt im Anhang) aber das deckt nur ein Teil des Problems ab, oder?
Also quasi ein Firewall-Router?
Wenn du weißt was es macht ist's quasi egal wie du es nennst Wie muss ich mir das genau vorstellen?
Kenne bisher nur so, dass man konfiguriert, über welche IP-Adresse ein Gateway in welches Subnetz führt.
Der Klassiker, verschiedene Netzwerke bilden und diese dann doch am Ende wieder ungefiltert zusammenführen, bringt eben 0 Mehrwert an Sicherheit, schaut aber in der IP Tabelle schöner aus. In der Segmentierung/ACL schränkt man weiter ein, eben ob VLAN, einzelne IPs, Protokoll,... .Kenne bisher nur so, dass man konfiguriert, über welche IP-Adresse ein Gateway in welches Subnetz führt.
dazu nur das Blacklisten bzw. Whitelisten von MAC-Adressen an den Ports gelesen.
Bei den Switch Billigheimern die du genannt hast werden L3 Accesslisten in der Regel auch nicht supportet weil deren einfach ASIC Hardware oft nicht bis in den Layer 3 "sehen" kann.Andere Hersteller können das aber sehr wohl! Du musst dann evtl. das Datenblatt genauer lesen.
Auch das wäre natürlich eine Option sollte deine Switch HW Layer 3 Accesslisten dann supporten.
Port Authentisierung oder Port Security ist generell eine ganz andere Baustelle und hat mit deinen Anforderungen so erstmal nichts zu tun.
Es gibt .1x Port Authentisierung von Usern wo der Radius Server diesen Ports dann userbezogene Accesslisten mitgibt was zwar passt aber immer nur in Verbindung mit einer User Zugangskontrolle per 802.1x. Bei dir aber ja nicht gegeben und so scheided das ebenso wie die Mac basierte Port Security generell aus als Lösung aus bei dir.
Mit IPsec und deinen Bordmitteln wäre es dann zu mindestens IP Adressbezogen einfach über die FritzBox VPN Konfig Datei möglich. Die Einstellungen macht man dann im Bereich der Definition der Phase 2 SAs.
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.100.1.0 255.255.255.0";
Siehe dazu auch HIER und HIER.
Für Wireguard habe ich bisher einfach zu wenige Hardware-Clients gefunden.
Hardware Clients??? Was soll das sein. 🤔WG rennt so ziemlich auf allen bekannten Clients oder meinst du mit "Hardware" entsprechende HW Router die WG fähig sind wie z.B. HIER oder HIER??
Wenn es das denn nun war bitte deinen Thread dann hier auch als erledigt schliessen!
How can I mark a post as solved?
How can I mark a post as solved?
Sowohl in L2-Switches mit DHCP-Server
Es gibt keine Layer 2 VLAN Switches mit DHCP Server Funktion am Markt! Sowas ist nur L3 Switches vorbehalten was ja auch Sinn macht, da L2 Switches niemals routen können!Hier begehst du vermutlich aus Unkenntnis einen fatalen Denkfehler!
Wie sieht das im Falle der Verwendung einer FritzBox als VPN-Client/Server aus? Routet diese Funktion dann auch zwischen den Subnetzen
Ja.VPN ist in der Regel immer ein Routing zwischen den jeweiligen IP Netzen. Natürlich auch bei einer Fritzbox die ja primär ein Router ist!
oder findet hier genau wie beim L2-Switch nur die Adressvergabe statt
Ein L2 only Switch kann, wie oben schon mehrfach gesagt, KEINE IP Adressen "vergeben"! Weder per DHCP noch per sonstwas!!In so einem Fall fungieren ihre LAN-Anschlüsse doch nur noch als Switch, oder?
Richtig!Wie bei vielen einfachen Billo Routern hat auch die Fritzbox fürs LAN mit dem Ports 1 bis 4 einen rudimentären, embeddeten Miniswitch an Bord. Der tiefere Sinn davon ist eine Handvoll lokaler Geräte direkt am Router anschliessen zu können ohne einen weiteren lokalen Switch verwenden zu müssen.
Im Vergleich z.B. zu einem Mikrotik Router lässt der onboard Fritzbox Switch sich aber wenig bis gar nicht konfigurieren.
Wie zum Teufel finde ich eine Switch, der VLAN und IP-basierte ACL kann?
Ganz einfach: Indem du bei den üblichen Verdächtigen die sowas herstellen einfach einmal ins Datenblatt siehst ob dort L3 ACL Support aufgelistet ist. Die etwas besseren Hersteller supporten das oftmals. Ein Blick ins Datenblatt ist aber immer anzuraten BEVOR man kauft um keine böse Überraschung zu erleben! Nach was muss ich suchen?
"Layer 3 oder IP Access Listen"!Ich gehe mal davon aus, dass ich bei L3-Switches IP ACL vorraussetzen kann.
Ja, bei denen ist das immer Standard. Oftmals auch bei den Billo Herstellern die so ein Unsinn wie "Layer 2+" schreiben also einen L2 Switch mit sehr rudimentären L3 Funktionen. Aber auch hier gilt immer das Datenblatt als sichere Quelle ob ja oder nein.Zuletzt zwei alte Quanta Switches mit redundanten Netzteilen gefunden.
Klar, super. Das sind im Netzwerkbereich ja auch super bekannte Marken die Kompetenz und Funktionalität ausstrahlen...! Gute Wahl! billigen Level 2 Switch
Es scheitert bei dir schon an der technischen Ausdrucksweise! Sämtlicher Verkehr im Netzwerk wird dann einfach per Port Aggregation zu dem Server geleitet.
Ja das würde klappen. Sogar mit nur einem oder 2 Ports am Server! Guckst du z.B. auch HIER!Ist das richtig und eine gute Idee?
Ja. Ob sowas gut ist kommt, wie immer, auf dein Anwendungsprofil an. Entspricht ja einem "one armed Router / Firewall" wie es im o.a. Thread bzw. auch HIER prinzipiell beschrieben ist.dann sehe ich dort "DHCP Server"
Aber einzig nur für das VLAN in dem der Dell seine Management IP hat. https://dl.dell.com/manuals/all-products/esuprt_ser_stor_net/esuprt_netw ...
Seite 83 ff.
Layer 3 ACLs und auch Layer 2 ACL supportet der Switch gar nicht. Ist eigentlich auch kein Dell sondern ein Billo Barebone den Dell vom Massenfertiger Accton zukauft und da nur "Dell" draufbäppelt. Darf ja nix Kosten wenn man sowas mit den Servern verschenkt. Entsprechend mies ist das Featureset. Kommt noch vor den Gruselteilen von oben...
Ich bin mit dem OSI-Refernzmodell vertraut.
Wirklich? Wieso redest dann von irgendwelchen Leveln ?? 🧐Was definierst du denn als "Level"?
Wenn du z.B. eine Kiste Bier geleert hast dann hast du einen entsprechenden Alkohol "Level" intus.Bitte den o.a. Wiki Artikel lesen und verstehen!
Benötige übrigens mindestens 4Gbit/s, sonst habe ich einen Flaschenhals, also 4 Ports.
Ahhsoo... OK, dann natürlich einen 4er LACP LAG. Näheres zu der LAG Thematik findest du, wie immer, HIER!dann ist das also durchaus eine mögliche Lösung
Das ist sie in der Tat!