Gedan­ken zum Netzwerk

Lese­dau­er 7 Minu­ten

Erst mal ein Netz­werk­dia­gramm erstellt. Das ist jetzt kein „kor­rek­tes“, so wie man es eigent­lich macht, aber es ist eines, das logisch ist. Ich glau­be, ich bin mit der abschlie­ßen­den Lösung recht glück­lich. Es sind die­se Arti­kel mit ein­ge­flos­sen: Fire­wall, Netz­werk­si­cher­heit und Smart-WLAN. 

netzwerk planung diagram auflistung plan

WPA3, DMZ und Sicherheit

Es gibt qua­si eine… hmmm.… „DMZ”, da hängt die Kabel-Frit­te und die olle 7362 SL drin (EoL, ande­re Firm­ware (Freetz, Open­WRT), erset­zen, oder so las­sen?). Die ist ja durch die 6490-Fire­wall geschützt. Freetz setzt nur auf die letz­te AVM-FW auf, gibt auch nicht mehr Sicher­heit. Open­WRT auf der 7362 kann kein DECT. Mist. WPA3 wird das Ding eh nie kön­nen, aber WPA3 ist aktu­ell nur ein Addon, da die meis­ten Cli­ents im Haus, das ohne­hin nie beherr­schen wer­den. Wel­che Fir­ma ist dar­an inter­es­siert, dass der Kun­de das Gerät so lan­ge wie mög­lich nutzt? Außer­dem bockt es WPA3 auf der Frit­te aktu­ell nicht, da es ein WPA2/W­PA3-Misch­mo­dus ist. Eigent­lich sicher­heits­tech­nisch betrach­tet echt sinn­frei. Was hilft der Cli­ent­schutz, wenn das pri­va­te LAN angreif­bar ist?
Die DMZ ist natür­lich durch die Cable-Frit­te mili­ta­ri­siert. Ist ja auch so gewollt.

Beim EoL der 6490 Cable wer­de ich die­se ver­mut­lich in den Bridge-Modus set­zen und als Modem ver­wen­den, es sei denn, der dann aktu­el­le Nach­fol­ger wird bezahl­bar. 250 Euro für eine Fritz!Box hal­te ich für über­zo­gen. Frit­ten sind schon echt geil, aber eigent­lich sind sie irgend­wie wie Apple-Pro­duk­te. Toll für das stress­lo­se Arbei­ten, man muss sich um nichts küm­mern. Aber im Sicher­heits- und Netz­werk­be­reich mag ich nun mal lie­ber Open Source. Einstellungssache.

Die Frit­ten sind über LAN-Mesh mit­ein­an­der ver­bun­den. Die 7362 kommt direkt in die 6490. Dar­an hängt alles, was ich nicht im pri­va­ten (W)LAN haben will: Gäs­te und die Assis­ten­ten. Die letz­te Firm­ware für die 7362 SL war die 7.12, alle bis­her fol­gen­den Updates brach­ten nur mehr Fea­tures und nun mal WPA3. Ist mir aber im Gäs­te-WLAN total lat­te. Die Frit­te ist im Mesh hin­ter der 6490 und dahin­ter kommt noch die Fire­wall. EoL heißt nicht zwin­gend, dass man die Frit­te direkt ent­sor­gen müsste.

WAN, VoIP und Firewall

Die Fire­wall habe ich schon besorgt, also… die Hard­ware zumin­dest. Irgend­ein Atom. Mal schau­en, ob der mit unse­rem Kabel­an­schluss klar­kommt. 100 MBit. Habe ihn dros­seln las­sen, weil wir nicht mehr benö­ti­gen und man sogar bei den OCHs damit in einem Vor­mit­tag in das Limit rennt. Die Fire­wall soll Inbound und Out­bound regeln. Für die VoIP-Tele­fo­ne muss ich ne Regel in der Fire­wall ein­rich­ten, da die Frit­te die mit VoC ver­bin­det.
Eben­so für die Push­mel­dun­gen der Frit­te in das LAN hin­ein (Call­mo­ni­tor, z.B.).
Mal sehen, ob die Smar­thome-Gerä­te in die Cloud kom­men, aber für die Sprach­steue­rung ist das aktu­ell lei­der uner­läss­lich. Es gibt schlicht kei­ne guten frei­en und cloud­lo­sen Sprach­er­ken­nungs­sys­te­me, bzw. steckt das alles noch in den Kinderschuhen.
Viel­leicht wäre auch ein nati­ves Smart-LAN sinn­voll? Mit einem GL.inet MT300N V2 mit deak­ti­vier­ten WLAN als Fire­wall? Dafür reicht die Rechen­leis­tung ja noch aus. Wäre ja nur für den even­tu­el­len Con­nect zur Shel­ly- und Xiao­mi-Cloud, solan­ge ich noch kei­nen loka­len Sprach­as­sis­ten­ten gefun­den habe (oder den mal irgend­je­mand ent­wi­ckelt). Wäre eine Cloud-Con­nec­ti­vi­tät wirk­lich so tra­gisch? Wür­den die Her­stel­ler-Clouds gehackt wer­den, dann hät­ten jemand Zugriff auf die Lam­pen und den Staub­sauger und könn­te sie steu­ern. Schlimm genug. Vor­teil: Ich kann die Fire­wall manu­ell aus­schal­ten, dann geht z.B. in unse­rer Abwe­sen­heit nichts mehr. Aber dann auch kein Fern­zu­griff, den ich eigent­lich eh nie woll­te. Hmmm… Ja, ich den­ke, das ist okay. Ich orde­re noch einen Man­go als Firewall.

Pri­va­tes WLAN

Das pri­va­te WLAN wer­de ich mit zwei Cudy AC1200 (WR1300) rea­li­sie­ren, da die­se bereits vom Werk aus Open­WRT haben. 4x Giga­bit-LAN, also kann ich das Ding auch als Switch im Wohn­zim­mer oder im Arbeits­zim­mer verwenden.

Smar­thome-WLAN

Die Shel­lys sol­len nicht das nor­ma­le WLAN lahm­le­gen, des­we­gen eige­ne APs in jedem Stock­werk. Die Frit­te ist mit so vie­len Cli­ents völ­lig überfordert.
Auf die GLi.net-APs kommt Open­WRT drauf Paket­fil­ter, damit die Gerä­te nicht in das pri­va­te LAN kommen.
Das Smar­thome wird durch den ast­am­ti­schen MSI Strei­chel­rech­ner mit AMD CPU-Imi­tat („Élan”) gesteu­ert. Das Ding hat 12 GB RAM und eine 120 GB SSD. IOBro­ker läuft da in einem Docker-Con­tai­ner unter Win­dows. Ja, Win­dows. Unter Ubun­tu gibt es eini­ge Pro­blem­chen, auf die Bild­schirm­tas­ta­tur zu wech­seln, die ich nie in den Griff bekam. Das Gerät ist sehr strom­spa­rend und durch die Spei­cher­er­wei­te­rung auch erstaun­lich performant.

Wie ver­bin­de ich die APs?

Ich wer­de auch im pri­va­ten WLAN wie­der ein Mesh pro­bie­ren, auch wenn z.B. das Sur­face mas­si­ve Pro­ble­me damit hat und immer ziel­ge­rich­tet das schwächs­te Signal benutzt. Win­dows ist ein ech­ter pain in the ass!
Und das Smart-WLAN? Ein Mesh über LAN? Soll ja mit Open­WRT fun­zen, aber ob die APs das auch packen? Ein­fach die glei­che SSID auf allen Gerä­ten? Neee, die Shel­lys sind stur und blei­ben bei ihren APs mit der uni­que MAC.
Drei WLANs (Smart-KG, Smart-EG, Smart-DG)? War­um nicht? Ist logi­scher. Band­brei­te? Ist total egal, da rau­schen kei­ne Daten durch das Smart-WLAN. Pro­blem: Ich muss mich in jedes WLAN ein­zeln ein­log­gen, um die Shel­lys zu kon­fi­gu­rie­ren. Abgelehnt.
Die Tren­nung vom pri­va­ten LAN wer­de ich über eine Port- und/​oder Adres­sen-White­list rea­li­sie­ren. Eige­ne IP-Ran­ge auch für die Smart-APs auf der Fire­wall, qua­si ein VLAN. Die Shel­lys brau­chen erst­mal nur Port 80 für die Webends. Mal sehen, ob ich die Shel­lys in die Cloud hän­ge. Kann die Gerä­te ja moni­to­ren und sehen, ob da was nicht auto­ri­sier­tes über das WLAN statt­fin­det. Der Zugriff über das Inter­net ist ja eh durch die Fire­wall gesichert.

IP-Kame­ras

Letzt­lich hängt das Smar­thome inklu­si­ve Kame­ras im pri­va­ten LAN. Das ist ein­fach prak­ti­ka­bler mit den Video­ka­me­ras (die auch auf die Han­dys und den Moni­tor der Tür­sprech­an­la­ge sen­den sol­len, wel­cher auch einen ein­ge­bau­ten Rekor­der (NVR) hat) und der Kon­fi­gu­ra­ti­on der Gerä­te. Inter­net­zu­griff bekom­men die nicht. Zugriff im Urlaub rea­li­sie­re ich über einen DynDNS-Dienst ver­schlüs­selt auf das LAN.

NAS

Das NAS wird mit OMV lau­fen und sowohl die Medi­en (Fil­me, Musik, Bil­der), ein Share und die Homel­auf­wer­ke über SMB anbie­ten. Eine Time­ma­schi­ne wird eben­falls imple­men­tiert. Sonst nix! Viel­leicht noch ein JDo? Ich habe schon in der Ver­gan­gen­heit viel expe­ri­men­tiert mit  Mul­ti­cast-Pro­to­kol­len und sogar mit einem Plex-Ser­ver. Das ist alles ein­fach nur kacke und raubt einem den letz­ten Nerv. Klar, auch Sam­ba ist manch­mal zum Haa­re­rau­fen, wenn man z.B. macOS mit einem Raspi-Kodi ver­bin­den will und das OOTB halt nicht funzt. Kein Zugriff oder die Namens­auf­lö­sung, bzw. die Suche im Netz­werk funk­tio­niert nicht. SMB Ver 3.0 ist dann meis­tens die Lösung. Ist in Libre ELEC nicht vor­ein­ge­stellt. Jo. Klar.
Auch die­ses NAS wird wie­der ein auf ca. 1 GHz run­ter­ge­tak­te­ter C2D oder alter i3 sein, des­sen Board über min­des­tens sechs SATA-Port ver­fügt. Ordent­lich 3,5″ Ein­schü­be muss das Gehäu­se haben und da kom­men dann fast wahl­los HDDs mit 3, 4 oder 5 TB rein. Da ist im Moment das Preis/​Leistungsverhältnis immer noch am bes­ten, wenn die im Ange­bot sind. Aber 8 TB sind fett im Kom­men. Für die Spiel­fil­me kann es ruhig eine SMR-HDD sein. Für Fil­me rei­chen Daten­grä­ber. Share, Home und Time­ma­schi­ne müs­sen aber „alte” CMR-HDDs sein. Bunt müs­sen die Lauf­wer­ke nicht sein, das ist im pri­va­ten Umfeld Schwach­sinn, den die Leu­te mit der Com­pu­ter­bild unter dem Arm aber hart­nä­ckig verteidigen.

10″-Rack

Vom 16-Port Zyxel wer­den 15 Ports belegt sein. Mist, das hat­te ich nicht kom­men sehen. Aber… passt schon. Viel­leicht gibt es auch 24 Port 10″-Switche? –> Nein! Oder es kommt halt noch ein Switch rein, auch wenn der Zyxel GS1100-16 kei­nen Uplink­port hat.

Not-Aus

Ich glau­be, ich möch­te mir einen Kills­witch für das Netz­werk bau­en. Einen am Rech­ner, rein mecha­nisch mit einem gro­ßen Pilz­schal­ter zum Drauf­schla­gen und einen elek­tri­schen am Haus­über­ga­be­punkt. Letz­te­ren rein über Funk, ohne Smar­tHome. Eine Schalt­steck­do­se schal­tet schlicht den Haus­über­ga­be­punkt ab. War­um? Weil ich schon öfter panisch das Netz­werk­ka­bel aus dem Rech­ner zie­hen muss­te. Ich bas­te­le halt ger­ne. Durch man­che Mods kann man sich einen Ban holen, wenn man dum­mer­wei­se glaubt, man sei noch offline.
Ja, naja… bei den heu­ti­gen Daten­über­tra­gungs­ra­ten und der Vor­rats­da­ten­spei­che­rung ist das ja eigent­lich sinn­frei. Aber ich will halt so einen Not-Aus-Schal­ter auf dem Schreib­tisch haben. Ein­mal wie Elli­ot Alder­son füh­len. Cool.
Wir hat­ten uns schon zu C64-Zei­ten über­legt, wie man eine kom­plet­te Dis­ket­ten­box mit einem Magnet­feld auf einen Schlag löschen könnte. 😀

Was soll die Para­noia mit Fire­wall und getrenn­ten Netzwerken?

Nun, so ein Smar­tHome-Device ist doch in der Regel ein kom­plet­ter Rech­ner. Mit allem Drum und Dran! CPU, RAM, Netz­werk, Sen­so­ren und Akto­ren. Er agiert wie ein Ser­ver und bie­tet auch Ser­vices an. Einen Web­ser­ver min­des­tens. Auch einen Tel­net-Zugang haben die meis­ten der Gerä­te. Auch wenn vie­le sich leicht auf Open­So­ur­ce-Firm­wares flas­hen las­sen – die „guten” Gerä­te, die nicht von den „nam­haf­ten“ Her­stel­lern kom­men, die die Kun­den durch imple­men­tier­te Inkom­pa­ti­bi­li­tät bin­den wol­len – so sind die für Otto Nor­ma­luser doch alles Black­bo­xes. Die kauft man nicht von den Her­stel­lern, denen man ver­traut, son­dern von denen, denen man am wenigs­ten miss­traut. Okay, Otto Nor­ma­luser kauft nach Preis und ein­fa­cher Bedie­nung. Oder das Zeug, das der Nach­bar schon hat. Oder Ikea, oder Aldi. Naja, sol­len sie machen.
Ist es klar gewor­den, dass nor­ma­le Men­schen (auch ich als Ex-ITler) den Gerä­ten nicht hin­ter das Gehäu­se schau­en kön­nen? Will man Gerä­te mit Back­doors wirk­lich in sei­nem pri­va­ten LAN haben? Eher nicht.
Aber… wo zie­he ich jetzt die Grenze?!
Ist ein Shel­ly ein Einfallstor?
Oder erst die Bil­lig­an­bie­ter wie LSC?
Goog­le Nest – ab ins Gast­netz! Logisch!
Aber darf ich mei­nem Ama­zon-Firestick wirk­lich mehr vertrauen?
Oder dem smar­ten Fernseher?
Was ist mit der Spielkonsole?
Oder dem bil­li­gen Han­dy der Kinder?
Kom­pro­mit­tiert die Cam aus Chi­na ande­re Gerä­te oder gehe ich das Risi­ko ein, dass die Cam aus der DMZ unkon­trol­liert Bil­der nach irgend­wo sendet?
Kann ich einem Rech­ner mit macOS oder Linux mehr ver­trau­en als der Windows-Büchse?
Das sind auch alles Black­bo­xen – zumin­dest für den o.a. Otto Nor­ma­luser.
Soll ich die IP-Kame­ras also in die DMZ hän­gen? Oder in ein Smarthome-LAN?
Ich bin zwar ITler, aber kein Sicherheitsexperte.

Fazit

So soll­te unser Netz­werk preis­wert, über­sicht­lich, war­tungs­arm, aus­fall­si­cher, sys­tem­si­cher und halb­wegs per­for­mant sein.
Hof­fe ich jedenfalls. 😀
Selbst mit Doku­men­ta­ti­on soll­te mei­ne Frau aber beten, dass ich nicht vom Las­ter über­fah­ren wer­de, wenn das alles am Ende ein­ge­rich­tet ist.

Update 15.11.2020:

Ach, ich habe den Netz­werk­plan neu über­dacht. Das oben ist jetzt die aktu­el­le Version.
Die Ände­run­gen lie­gen auf der Hand. Nach­teil: ONVIF-Mel­dun­gen muss ich in der FW auf einen Rech­ner im pri­va­ten LAN wei­ter­lei­ten, oder auf der FW einen Dienst dazu ein­rich­ten? Viel­leicht auch Wake-On-LAN für das NAS und da den Ser­ver drauf? Wäre siche­rer. Könn­te aber eben auch einen Video­da­ten­ver­lust bedeu­ten, bis das NAS wie­der auf­ge­wacht ist?

Schreibe einen Kommentar

Ich bin mit der Datenschutzerklärung und der Speicherung meiner eingegebenen Daten einverstanden.