Zugriff auf Geräte im verteilten Heimnetzwerk einschränken

Guten Morgen ☕

Vielen lieben Dank für die vielen Antworten in so kurzer Zeit.

@nachgefragt

Von ACL hatte ich gelesen, nur leider habe ich in jedem Managed-Level2-Switch in dessen Handbuch ich geschaut habe (von 3com, Dell PowerConnect, HP ProCurve, Netgear Plus) dazu nur das Blacklisten bzw. Whitelisten von MAC-Adressen an den Ports gelesen.
Port-Authentifizierung gibt es auch noch aber das ist nicht, was ich suche.
Das was dem noch am nächsten kam sind "protected Ports" beim HP ProCurve Switch 2810-24G (siehe Ausschnitt im Anhang) aber das deckt nur ein Teil des Problems ab, oder?


Also quasi ein Firewall-Router?
Das klingt nach einem naheliegend Ansatz und deckt ziemlich gut meine definierten Regeln ab.
Fast schon zu einfach um wahr zu sein, danke


Das wäre mindestens schon ein Level3-Switch (mit eingebautem rudimentärem Router).
Aber wenn das so läuft, wäre das dann nicht einfach ein Router?
Wie muss ich mir das genau vorstellen?
Kenne bisher nur so, dass man konfiguriert, über welche IP-Adresse ein Gateway in welches Subnetz führt.
Das würde aber noch nicht die Möglichkeit bieten, selektiv einzelne IP-Adressen oder Subnetze in eine bestimmte Richtung zu blocken.
Gibt es für das ACL, was du meinst noch andere Begriffe?


Dort könnte ich über einen Switch bzw. VLAN die lokalen Clients rein stecken aber dann könnten Sie nicht mehr auf MFP, NAS und LDAP zugreifen. Reicht also leider nicht aus.

@Avoton


Danke für den Hinweis

@radiogugu


Gibt es - abgesehen von AES-256-Hardware-Implementierung und den empfohlenen allgemeinen Anforderungen in den Tabellen unter https://opnsense.org/users/get-started/ - noch irgendwelche anderen Anforderungen an die Hardware?


Aktuell sind die Wohnungen gar nicht verbunden.
Sie sollen über das Internet per VPN verbunden werden.
Da geografisch betrachtet mehrere Kilometer dazwischen liegen.


Es sollen sämtliche Nutzerkonten für die Windows- und Linux-Clients zentral im LDAP verwaltet werden mit samt Home-Verzeichnissen.
In diesem Server befindet sich ein RAID1 und da die SSD keine eigene PLP besitzen, wird bei einem Stromausfall ein Herunterfahren mit einer APC Back-Ups RS 800 USV (mit frischen Akkus und getauschten Elkos) gesichert.
In regelmäßigen Abständen werden doppelte Offline-Backups im DAR-Format erfolgen die in den beiden Wohnungen gelagert werden um die 3-2-1-Regel einzuhalten.
Das heißt ich mache mir in Bezug auf Ransomware sogar wenig Sorgen um den Server, da es Backups gibt.
Aber so ein Server ist halt fast ein Honeypot und sobald der erst einmal kompromittiert ist, verliere ich unter Umständen alle Clients.
Heißt dass ich dann in 2 Wohnungen alles neu einrichten kann.. und genau das möchte ich nicht riskieren.
Also geht es mir mehr darum die Clients zu schützen und frühzeitig Angriffe erkennen und eindämmen zu können.
Stelle mir also tendenziell auch etwas in Richtung IDS und IPS mit Alert vor.


Das ist nicht der Ansatz den ich suche, sonst würde ich einfach für die Workstation-Clients jeweils eine proprietäre Personal-Firewall kaufen.
Ich suche eine Möglichkeit der Schadensbegrenzung bei einer Infektion des Netzwerkes.


Dazu würde ich gerne mehr wissen.
Habe dazu in den Handbüchern einiger Level2-Switches gelesen und verstehe es so, dass sich ein Client am Switch erst gegen einen Radius-Server authentifizieren muss, um Zugriff zu dem Port und damit zu dem Netzwerk zu erhalten.
Aber ich bin mir nicht sicher, ob ich das Prinzip richtig verstehe.
Für mich sieht das so aus als ob das darauf ausgelegt ist, die Ports zu einem als "vertrauenswürdig" betrachteten Netzwerk (in dem jedes Gerät mit jedem Gerät kommunizieren darf) gegen unerlaubten physischen Zugriff an der Hardware abzusichern.
Das ist aber nicht das was ich suche, da in beiden Wohnungen nur vertrauenswürdige Personen anwesend sind.


Wieso sollte der Komfort darunter leiden?
An den Clients selbst ändert sich doch gar nichts.


Warum andere Endgeräte?
Die Endgeräte selbst können nicht zwangsläufig als vertrauenswürdig betrachtet werden.
Meine Eltern zum Beispiel nutzen Linux-Notebooks und es gibt einen Windows-Gäste-PC.
In der anderen Wohnung steht eine Windows-Workstation, ein Windows-Notebook und ein Windows-Gaming-PC auf dem viele Spiele mit administrativen Rechten ausgeführt werden MÜSSEN, dank zwielichtiger Anti-Cheat-Engine..
Zusätzlich diverse andere Clients, die aber nur Zugriff auf Internet und NAS benötigen wie zum Beispiel die 2 MFP.
Das heißt ich kalkuliere den Verlust mindestens eines Clients und des Servers schon fest mit ein.
Ich möchte nur nicht alle Clients ständig neu einrichten müssen.

@jmueller


Was ist der Unterschied bei Mikrotik-Routern zu normalen Routern?


Das habe ich schon oft gelesen aber verstehe es scheinbar nicht so richtig.
Ich dachte immer, dass ein VLAN bloß die Aufteilung eines physischen Switches auf 2 oder mehr logische Switches bedeutet.
Das wären dann getrennte Subnetze, die ich über einen Router verbinden kann.
Broadcast-Packete würden dann auf das jeweilige Netzwerksegment begrenzt, was die Performance steigern kann.
Aber dann kann doch trotzdem jedes Gerät auf jedes zugreifen, oder nicht?

@aqui


Es soll IPSec werden.
Für Wireguard habe ich bisher einfach zu wenige Hardware-Clients gefunden.


Habe schon gelesen, dass man über den Import einer VPN-Konfiguration bei der Fritzbox auch ein Subnetz festlegen kann, in dem der VPN-Tunnel enden soll.
Aber wenn das auch feingranular geht, so dass ich sogar den Zugriff auf einzelne IP-Adressen einseitig einschränken kann, dann klingt das echt zielführend.
Danke, das schaue ich mir nochmal genauer an


Ich melde mich später nochmal, sobald entweder weitere Fragen auftauchen oder ich irgendwelche Ergebnisse zu berichten habe.


Ganz liebe Grüße,

Vivien

@nachgefragf

Aktuell besitze ich keinen dieser Switches, da ich nicht blind irgendwas kaufen wollte.
Lediglich die 2 FritzBoxen und eben die Clients und MFP's usw..

Wenn ich das "protected port" Feature mal Stück für Stück durchdenke..

Sähe das Netzwerk wie folgt aus (zunächst ohne zusätzliche UTM Firewall gedacht):

• in der Wohnung mit dem Server existieren 2 Segmente (VLAN).
• In dem einen Segment befinden sich dortiger MFP, Server
• In dem anderen Segment befinden sich alle Clients (dass WLAN dazu noch einen extra AP getrennt zur Fritzbox erfordern könnte, ignorieren wir hier erstmal)
• Die Fritzbox dient wie vorgeschlagen als VPN-Server und ist per manuellem Config-Import so eingestellt, dass VPN-Clients in das Subnetz mit den lokalen Clients kommen.

Dann wäre folgendes Möglich:

• Die lokalen Clients können auf Server und MFP zugreifen
• Die lokalen Clients können nicht auf sich untereinander zugreifen (GUT).
• Server und MFP können auf die lokalen Clients zugreifen (SCHLECHT).
• Clients welche über das VPN im selben Subnetz wie die lokalen Clients landen, können trotzdem auf alles Zugreifen, auch andere Clients, da sie sich physisch nicht am Switch befindet, sondern nur logisch und das "protected Ports" Feature nur auf OSI Level 2 arbeitet (SCHLECHT)
• Lokale Clients können trotzdem auf die fremden Clients welche über VPN kamen zugreifen, da die per VPN verbundenen Clients sich physisch nicht am Switch befindet, sondern nur logisch und das "protected Ports" Feature nur auf OSI Level 2 arbeitet (SCHLECHT)

Verstehe ich das richtig so? 🙂

@aqui


Achso verstehe, also sind damit dann bereits L3-Switches gemeint, das ergibt natürlich Sinn.

Aber wenn wir bereits bei L3-Switches sind, warum dann nicht gleich ein Router?
Wo ist da dann noch der Unterschied?


Danke, dann habe ich das schon richtig vermutet.


Das sieht schon mal gut aus, habe aber nun in der Zwischenzeit nochmals nachgedacht und neue Impulse erhalten, wodurch mir eines klar wurde:

Selbst wenn ich die Fritzbox passend einrichten kann, dann benötige ich trotzdem noch mindestens ein weiteres Gerät für OpenLDAP, NAS, HomeBox usw..

Warum also nicht gleich alles auf diesem Gerät lösen. Inklusive VPN Server und Firewall.
Also ein System auf dem Proxmox Virtual Environment (PVE) läuft und darin OPNsense, VPN Server, OpenLDAP, usw..

Vielleicht einfach alles auf einer alten Sophos UTM 220 installieren um erstmal zu testen was Sinn macht?
Zumindest Intel VT unterstützen die ja.


Ist mir bewusst aber genau das möchte ich nicht.
Auf dem Clients als den eigentlichen Endgeräten beim Nutzer soll keine VPN-Konfiguration stattfinden.

@aqui


Danke für den Hinweis, wird gemacht, wenn es endlich soweit ist
Vorher melde ich mich aber mit einer Lösung.
Aktuell bin ich immer noch nicht so weit.
Das Thema wird sich ziemlich sicher noch einige Wochen hin ziehen, bis ich eine Lösung weiß.

Ich hätte zu dem Thema übrigens noch eine grundlegende Frage:

Sowohl in L2-Switches mit DHCP-Server als auch bei VPN-Servern/Clients (z.B. FritzBox) habe ich die Möglichkeit, einzelen Geräten IP-Adressen zu vergeben.

Im Falle des L2-Switches werden aber scheinbar nur die IP-Adressen vergeben, was mir eine manuelle Zuweisung erspart.
Ein Routing findet scheinbar nicht statt.

Wie sieht das im Falle der Verwendung einer FritzBox als VPN-Client/Server aus?
Routet diese Funktion dann auch zwischen den Subnetzen oder findet hier genau wie beim L2-Switch nur die Adressvergabe statt, wenn ich die FritzBox an einem Router angeschlossen habe?
In so einem Fall fungieren ihre LAN-Anschlüsse doch nur noch als Switch, oder?
Ihr VPN dann auch?
Oder kann man das nicht so betrachten?

Ich beziehe mich dabei auf diese Anleitung:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6591-Cable/1627_IP ...
Speziell den Teil mit der Zuweisung einzelner Subnetze.

Noch eine andere, sicher banale Frage:

Wie zum Teufel finde ich eine Switch, der VLAN und IP-basierte ACL kann?
Ich suche jetzt schon seit Tagen nach 2 passenden Switches und kann die vielen Datenblätter kaum noch sehen.

Habe letztens durch Zufall einen gebrauchten sehr alten Switch auf Kleinanzeigen gefunden, bei dem im Datenblatt etwas von "ACL MAC/IP Erlauben/Verbieten" stand.
Aber ich benötige davon noch einen Zweiten und im Idealfall kein Uraltgerät.

Nach was muss ich suchen?
Ich gehe mal davon aus, dass ich bei L3-Switches IP ACL vorraussetzen kann.
Aber die sind dann auch gleich mal deutlich teuerer, lauter, komplizierter und deutlich stromhungriger.
Zuletzt zwei alte Quanta Switches mit redundanten Netzteilen gefunden.
Aber das fühlt sich an, wie mit Kanonen auf Spatzen zu schießen.

Wenn ich es ganz einfach und billig haben will, könnte ich doch einfach folgendes tun:

• billigen Level 2 Switch kaufen der kein ACL, Routing oder VLAN aber zumindest Port Aggretation kann.
• Server kaufen, der 4 Ports und Proxmox VE installiert hat

Sämtlicher Verkehr im Netzwerk wird dann einfach per Port Aggregation zu dem Server geleitet.
Dort läuft dann das Routing, die Firewall, ACL per IP und alle Dienste die benötigt werden.

Ist das richtig und eine gute Idee?
Weiß mir langsam einfach nicht mehr anders zu helfen.

Muss aber sagen, dass ich keine Ahnung von Proxmox habe.

@aqui


Wenn ich aber zum Beispiel in das Datenblatt und Handbuch des Dell PowerConnect 2824 schaue, dann sehe ich dort "DHCP Server" aber keine "IP ACL" und auch kein "Statisches Routing".
Das ist nicht der einzige Switch, den ich fand.

Darum gestaltet sich die Suche auch so schwierig.


Stimmt, so offensichtlich, tut mir leid.


Genau so mache ich es nun auch.
Dachte es gibt vielleicht irgendwelche Suchbegriffe, mit denen ich explizit nach geeigneten Switches googlen kann.
Denn aktuell die entsprechenden Switches der Hersteller Modell für Modell durchzugehen ist echt mühselig und dauert lange.


Ja, leider schon oft gelesen.
So ein Marketing-Bullshit.


Ich weiß, eher Billig-Kram.
Aber die Ausstattung war gut.
Allerdings habe ich von denen gelesen, dass sie ziemlich kompliziert seien und 4 Lüfter + 2 Netzteile (mit jeweils auch nochmal 2 Lüftern) sind einfach zu viel für zu Hause.
Da hilft dann auch kein Fan-Mod mehr.


Ich bin mit dem OSI-Refernzmodell vertraut.
Dachte Level und Layer sind hier Synonyme?
Was definierst du denn als "Level"?


Benötige übrigens mindestens 4Gbit/s, sonst habe ich einen Flaschenhals, also 4 Ports.


Cool, dann ist das also durchaus eine mögliche Lösung, danke
Das hilft mir erstmal bei meinen weiteren Überlegungen.

@aqui:

Werde ich machen, keine Sorge

Wie erkenne ich, ob ein L3-Switch zum Routing zwischen einzelnen Geräten einzelner seiner VLAN's geeignet ist?

Habe bisher nach "statischem Routing" geschaut aber nun lese ich zum Beispiel im Handbuch vom D-Link DGS-1210-24 Rev. A1 folgendes:


Ist das was ich suche?
Oder gilt?:

• Das bezieht sich ausschließlich auf IGMP snooping
• IGMP snooping ist irgendwas anderes

Tut mir leid, dass ich immer noch so ahnungslos bin.

In die nähere Auswahl ist nun ein HPE JL381A gerückt, da er auch noch stromsparend und lüfterlos arbeitet.
Der sollte doch geeignet sein, oder sind HPE-Produkte nicht zu empfehlen?

@aqui


Das ist einfacher gesagt als getan, da ich bisher außer den FritzBoxen noch keines dieser Geräte besitze^^
Und zweimal so kurz hinternander Geräte zum Testen kaufen, ist finanziell nicht möglich.
Mein monatliches Budget zur freien Verfügung hört bei 100 Euro auf.
Ja ich weiß, zu hohe Anforderungen.


Ja, da muss ich scheinbar mich wirklich nochmal tiefer einlese, danke


Schade, habe ich fast schon vermutet.
Wäre bei dem Preis auch zu schön um Qualität zu sein.


Tatsächlich sehe ich bisher keine andere Möglichkeit, denn muss mich bei zirka 50 bis 100 Euro Gebraucht-Preis für einen L3-Switch orientieren und da habe ich nur folgende Geräte zur Auswahl:

• Alcatel Lucent Switch OS6450-P48
• HPE JL381A

Der Alcatel hat aber 4 laute Lüfter, welche ich mindestestens durch leise Noise-Blocker-Lüfter ersetzen müsste (kostspielig und vermutlich immer noch zu laut), dafür hätte er aber immerhin SFP+ als Uplink (für Server).
Der HPE hat keinen nenneswerten Uplink aber dafür ohne Lüfter.

Gerne bin ich auch offen für Vorschläge anderer Geräte in der Preisspanne.

Als Server habe ich einen Pokini I2 für einen ähnlichen Preis im Blick, der erstmal als Starthilfe genügen sollte.

@aqui


Der hat zu wenig Ports.
Benötige mindestens 12 nach aktuellem Stand.


Das sagst du einfach so aber für mich sind 20 Euro nicht wenig Geld.
Und wenn ich schon weiß, dass ich das Gerät sowieso nicht verwenden kann (nicht mal ein paar Monate bis ich mehr Geld für etwas besseres habe), dann macht das einfach keinen Sinn.
Ein Gerät nur zum Spaß oder Lernen zu kaufen ist leider keine Option.
Es muss dann schon eine Weile laufen.


Zumindest der Cisco SG-300 sieht schon mal gut aus. Den SG-250 schaue ich mir auch mal später in Ruhe an.

Hast du noch mehr solche Empfehlungen?

@aqui


Gigabit Ports müssen schon sein.
Habe alles ausgerechnet und 100Mbit/s reichen leider wirklich nicht.


Der wäre preislich noch im Rahmen.


Wenn es nur 1 Lüfter ist, mag das noch gehen (da er ersetzt durch ein leises Modell) kaum hörbar sein wird.
Aber bereits bei 2 oder sogar 4 Lüftern wird das schon schwierig.
Durch leise Lüfter ersetzt und in ein kleines Rack mit Tür verbaut mag das vielleicht später noch gehen aber für den Moment eher nicht passend, da im vorerst kein Rack angeschafft wird.
Erst wenn alles soweit läuft und passt später dann vielleicht.

Da der Thread nun schon so lange geht, wäre es wohl besser wenn ich nochmal kurz meine Anforderungen an den Switch zusammen fasse:

• mindestens 12 Gigabit-Ports
• Link-Aggregation
• VLAN
• IP-ACL
• Routing zwischen einzelnen IP-Adressen
• Routing von einem Netzwerk auf eine bestimmte IP-Adresse in einem anderen Netzwerk
• möglichst leise (lüfterlos oder nicht mehr als 1 Lüfter)
• nicht mehr als 100 Euro, besser 50 Euro, denn sonst muss ich bis nächsten Monat warten 😆

Optional zusätzlich nützlich für später:

• 2x SFP+ Ports mit mindestens 4Gbit/s pro Port

@aqui


Ja, genau, in dem Fall wäre es SFP+ mit 5GBit/s pro Port.

Hatte einfach noch die 1Gbit/s vom RJ45-Kupfer im Hinterkopf.
Auch ein Grund warum ich Port Aggregation nutzen möchte.
Um den Server erstmal mit 2x 1Gbit anzubinden, später 4x bzw. wäre Redundanz noch gut aber 2x 4 wäre etwas nervig. Deshalb macht spätestens 2x SFP+ mit je 5Gbit/s dann Sinn.

@aqui


Ja, genau.
Ist doch richtig, oder?
In erster Linie geht's mir dabei um Durchsatzerhöhung.
Und später auch um Redundanz.

Hast du eigentlich zu jedem Thema schon ein Tutorial in diesem Forum geschrieben? 😆👍
Danke für den Link 🙂

@aqui

Habe mal ein Stück in dein Tutorial rein gelesen und werde sicher später nochmal Fragen dazu haben.

Gibt es etwas, das ich in dem Bereich bei der Switch-Auswahl (abgesehen von der Member-Anzahl) beachten sollte?

@aqui

Ich habe in deinem Einleitungs-Topologie-Diagramm deines LACP-Tutorial etwas gesehen, dass mir schon mal Gedanken gemacht hat:

Ein proprietärer Link zwischen den 2 redundanten Switches.

Kann man solch eine Ausfallsicherheit durch redundante Switches nicht auch über normale RJ45-Ports per STP erreichen?
Dann hätte man normalerweise einen Loop, den STP im Normalbetrieb unterbindet und bei Ausfall eines Switch genutzt werden kann.

Oder bin ich da komplett auf dem Holzweg?

Das LACP wollte ich zwar erstmal nur für die Anbindung des Servers nutzen aber wenn ich in einem Angebot 2 Switches für einen gutes Preis bekomme, kann ich da ja auch über Redundanz nachdenken, so wie in deinem Diagramm.
War allerdings erst für viel später geplant.

@aqui


Ja, genau.


Moment mal..
Ich bin bei einem LACP LAG immer nur von einem Szenario ausgegangen:
Ich verbinde eine gemeinsam genutzte Ressource (zum Beispiel ein Server) mit 1 Backbone Switch über 2 oder mehrere physische Links (z.B. RJ45 Kupfer).
So habe ich, wie du schon auch in deinem Tutorial beschrieben hast, mehr Bandbreite und Ausfallsicherheit.

Aber wenn ich nun davon ausgehe, dass der Switch auch ausfallen kann, dann möchte ich ja mindestens 2 Links an Switch A und 2 Links an Switch B.
So wie in dem Diagramm in deinem Tutorial.

Wie führe ich die 2 Switches dann wieder zu einem LACP LAG zusammen?
Ich sehe da im Diagramm eine Verbindung zwischen den beiden Switches.
Ist das genau das, was bei manchen Switches als proprietäre Schnittstelle zum "Stack mehrerer Switches" beschrieben wird?
Oder denke ich zu kompliziert und man braucht das nicht, um den LACP LAG über mehrere Switches hinweg zu verteilen?


Naja im Notfall besser als kompletter Verbindungsabbruch.


Ja ergibt Sinn, habe nur ziemlich altes Theorie-Wissen, wenn es um Netzwerke geht.

@aqui


Okay also nehmen wir aus Beispiel mal einen LAG aus 2x 1GBit/s.
Dann kann ich da also nicht 2Gbit/s an Durchsatz erreichen sondern bekomme einfach nur eine "stabilere" Verbindung neben der Redundanz mit weniger Einbrüchen?


Das ist ja ärgerlich.


Habe es nur stellenweise genauer gelesen und den Großteil vielleicht überflogen..^^
Aber hatte das echt so verstanden, dass MLAG bloß eine proprietäre Alternative sind.
Dass es auch ganz elementare Features gibt, die sich NUR per MLAG umsetzen lassen, das war mir nicht klar.


Ja leider im Tutorial schon gelesen.


Ah klar, so war das also mit "festen Geräten" gemeint. Dann ist das nun soweit klar.


Super 🙂

Also in Kurz:

Um die 2 redundanten Switches als ein LAG muss ich mir keine Gedanken machen, solange ich beispielsweise von Cisco oder einem anderen großen Hersteller kaufe, da sie hierfür schon ein passendes MLAG anbieten.

Das Stacking ist nur dann interessant, wenn mir das MLAG nicht genug Performance bietet und ich gleich die interne Backplane der Switches direkt verbinden will.

Okay so ergibt das Sinn.

Bezüglich deine Switch-Vorschläge:

• Der Catalyst fällt raus, gibt's nicht ohne Lüfter
• SG-200 bzw SG-250 fallen auch raus, da kein DHCP-Server und ich glaube den benötige ich nun auch
• SG-350 ist zu teuer
• SG-300 hat zwar weniger Performance aber ist sehr günstig, lüfterlos und scheint alles zu haben. Da schaue ich nochmal genauer ins Datenblatt rein.

@aqui

Auf deine Antwort gehe ich später nochmal ein.
In der Zwischenzeit möchte ich nur mal kurz wissen, ob du den Cisco SG500-28 für passend hälst oder ob ich gerade in den Details etwas übersehe? 🙂

Kann ihn aktuell für 65 Euro gebraucht erwerben.

@aqui

Welchen würde ich für MLAG benötigen?
Einen Catalyst, oder?

Also Stack kann er aber kein LAG über Stack, bedeutet das dann, richtig? 🙂