2 Häuser mit einem Interntanschluss - wie absichern/Firewall/VLAN?

Bib

Enthusiast
Thread Starter
Mitglied seit
20.12.2006
Beiträge
714
Hallo,
ich hab eine Frage, wie ich mein Netzwerk zuhause neu aufstellen/absichern/aufteilen soll:

Ist-Zustand:

Haus A:
Telekom-VDSL-Internetzugang an Fritzbox 7490
(2 Parteien mit Smartphones, Notebooks, Fernseher, 1 zentraler Netzwerkdrucker)
IP-Bereich: 192.168.0.x
Nur ein einziges Netz für alle, kein Gast-WLAN

Haus B:
Internetzugang über LAN-Kabel von Haus A
Fritzbox 7490 mit Internet über LAN1
eigener IP-Bereich: 192.168.1.x
derzeit auch nur ein einziges Netz für alles


Ich wohne in Haus B und habe über die WLAN-Zugangsdaten keine Kontrolle, d.h. ich weiß nicht, wer alles die Zugangsdaten bekommt, Besucher, Freunde, usw
Da ich derzeit 2 eigene IP-Bereiche habe (mit Doppel-NAT), kann von Haus A niemand in mein Netz in Haus B. Soweit, so gut.

Jetzt ist aber die Idee, dass auch die User in Haus A von meinem Pihole in Haus B profitieren sollten. Das ist aber nicht so einfach, wie ich mittlerweile herausgefunden habe...


__________


Welche Optionen habe ich, evtl. durch hinzufügens einer pfsense, Sophos UTM oder ähnlichem? Auch VLAN-fähige Switche wären zukünftig denkbar in Haus B.

gewünschter Soll-Zustand wäre:
Haus A soll weiterhin nicht ins Netz von Haus B kommen, aber ich möchte einige spezielle Dienste (z.B. der genannte DNS-Server auf meinem Pihole) auch für Haus A anbieten können.
Evtl. durch VLAN getrennte Netze in Haus B für Gäste-WLAN, Smarthome usw - Haus A soll aber weiterhin untagged bleiben, also ohne VLAN - ganz normal direkt an der Fritzbox.
Die evtl. zusätzliche Hardware (pfsense o.ä.) soll in Haus B stehen.

Kann mir da jemand ein paar Tipps geben, ob das -eine gute Idee ist -so machbar ist -es bessere Lösungsansätze dafür gibt?


_______________

Ich stell mir das so vor:
Haus A VLAN untagged, also ganz ohne VLAN
Haus B bekommt über ein LAN-Kabel das untagged LAN
Haus B hat eine Firewall, die das untagged Netz und die neuen VLANs in Haus B verwaltet usw
--> Somit könnte ich in Haus B die Freigaben für die unterschiedlichen Netze kontrollieren und auch den DNS für die Haus A-Benutzer zu meinem durchlassen?

Geht das so überhaupt? Bin jetzt nicht so der Netzwerkexperte, möchte mich aber in die Thematik VLAN, Firewall usw zukünftig etwas tiefer einarbeiten.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ohne auf eine sicher sinnvolle Umstrukturierung des Netzes einzugehen: wieso soll das nicht so auch funktionieren?

FritzA hat z.B. 192.168.0.1
FritzB hat an LAN1 z.B. 192.168.0.2, am Rest dann 192.168.1.0/24
PiHoleB hat z.B. 192.168.1.53
Korrekt soweit?

An FritzB Portforwarding UDP/53 auf 192.168.1.53
Alle Rechner in Haus A tragen als 1. DNS die 192.168.0.2 ein und für den Fall dass Pihole mal down ist, dann noch die 192.168.0.1. Könnte so auch per DHCP vorgegeben werden.

Oder habe ich irgendwas falsch verstanden?
 
Nö, das ist alles korrekt so. Mir wurde aber in einem anderen Forum mitgeteilt, dass das nicht ginge, dass ich da zwingend z.B. einen Tinyproxy in Netz A bräuchte, der das dann umleitet...

Andere Lösung wäre gewesen, Pihole ins Netz A setzen mit dem Nachteil, dass ich dann im Pihole nur noch die Fritzbox-B als Client sehe, wenn Anfragen aus meinem Netz kommen - nicht mehr meine eigenen Netzwerkgeräte. Das würde aber beim Portforwarding weiterhin funktionieren? Ich sehe als auf dem Pihole, dass eine Anfrage z.B. vom Notebook im Netz A kommt und nicht nur, dass die Fritzbox A das weiterleitet?

Das mit dem zweiten DNS eintragen ist so nicht möglich, wie ich durch Infos aus dem pihole-Forum (und auch aus eigener Erfahrung) berichten kann. Bei DNS-Servern wird nicht der erste genommen - und falls nicht verfügbar - dann der zweite, sondern es wird munter durchgewechselt... Also kann ich nur einen einzigen eintragen, sonst geht die Hälfte der Anfragen am Pihole vorbei.



____________________

Dann wäre das erste schon mal gelöst.

Was meinst du mit sinnvolle Umstrukturierung? Kannst du das mal näher erläutern?

Folgendes ist gegeben und soll/kann nicht verändert werden:
Fritzbox in Netz A hat den Telekom-Anschluss - zu Fritzbox B geht nur ein LAN-Kabel
Die Nutzer in Netz A sollen alle auf dem Netzwerkdrucker im Haus A ausdrucken können und Internetzugriff haben (Netflix und normales surfen), mehr ist nicht notwendig. Somit fliegt das Gast-Netz schon mal raus... ?! Oder können Clients im Gast-Netz (WLAN/LAN) sich untereinander sehen? Dann könnte ich Haus A komplett als Gast-Netz aufbauen und das "richtige" LAN einzig zu mir ins Haus leiten.
 
Zuletzt bearbeitet:
Also ich möchte nur mal darauf hinweisen, dass 2 Häuser in aller Regel getrennt voneinander geerdet sind. Somit besteht hier eine Potentialdifferenz. Es ist nicht zu empfehlen Geräte die Spannung führen, von einem in den anderen Kreislauf zu verbinden, ohne entsprechende Schutzmaßnahmen. Für Netzwerkverbindungen von A zu B wird dafür z.B. auf Glasfaser gesetzt.
 
Ja, das ist mir bekannt. Mein LAN-Kabel besteht aber aus einem Ubiquity WLAN-Link... (2x m2 loco) und der überträgt keine Potentialdifferenz... ;)
 
Dann solltest Du aber bitte Deine Zustandsbeschreibungen besser formulieren. Oben steht eindeutig "VDSL-Internet" und "LAN-Kabel", womit beide Häuser per Kupfer angeschlossen wären...

Ontopic: Wäre dann nicht ein Repeater bzw die zweite Fritzbox auf Repeaterfunktion die bessere Lösung? Dann läuft alles im selben Netz, alle Dienste voll verfügbar. Dienste, die auf lokalen Broadcast angewiesen sind, haben mit verschiedenen IP-Kreisen selten Freude...
 
Zuletzt bearbeitet:
Es gibt in der Fritzbox ja auch den Menüpunkt Internet über WLAN und der wlan link verhält sich ja genauso wie ein Kabel...

Zum zweiten Punkt: Das funktioniert natürlich, aber wie gesagt, ich will nicht alle in mein eigenes Netz reinlassen. Ich will schon was getrenntes.
 
Zuletzt bearbeitet:
Um mal konkreter bzgl. einer möglichen Neustruktur zu werden:
- wie ist das Verhältnis zwischen den beiden Häusern? Nachbarn? Familie?
- wie groß ist die Möglichkeit der Einflussnahme? Dass z.B. die Eltern/Kinder das WLAN Passwort weitergeben ist das eine. Wer administriert die beiden Netzwerke?
- wie hoch ist das Budget für Hardware Änderungen?
- verbleibt der DSL Anschluss zwingend im anderen Haus?
- werden die Fritten wirklich benötigt? Wofür? Was ist mit Telefonie?
 
Um mal konkreter bzgl. einer möglichen Neustruktur zu werden:
- wie ist das Verhältnis zwischen den beiden Häusern? Nachbarn? Familie? Familie (Schwiegereltern, Schwägerin)
- wie groß ist die Möglichkeit der Einflussnahme? Dass z.B. die Eltern/Kinder das WLAN Passwort weitergeben ist das eine. Wer administriert die beiden Netzwerke? Ich administriere das alles, ich weiß nicht, wer da alles Zugriff hat. Die Schwiegereltern geben den WLAN-Schlüssel nicht raus, da hab ich ja deren Handys usw eingerichtet. Die Schwägerin vielleicht, wenn mal Besuch da ist? Das kann ich denen aber auch nicht untersagen, ich bin ja Nutznieser und darf den Anschluss kostenlos mitnutzen.
- wie hoch ist das Budget für Hardware Änderungen? Naja, ich kann natürlich die Fritzbox austauschen auf meine Kosten, aber das zieht einen Rattenschwanz nach sich... DECT-Basis, WLAN, VDSL-Modem, ...
- verbleibt der DSL Anschluss zwingend im anderen Haus? Ja, und wenn möglich sollte auch die Fritzbox stehen bleiben.
- werden die Fritten wirklich benötigt? Wofür? Was ist mit Telefonie?
Im Haus A ist die Fritzbox All-in-one - wird also unbedingt benötigt, bei mir zuhause ist der Plan, die Fritzbox zukünftig zur reinen DECT-Basis und Telefonanlage zu degradieren. Router evtl. eine pfsense und WLAN über Ubiquity vielleicht?

Ich habe einen ESXi-Server im Keller stehen, allerdings hat der Dell T20 nur einen einzigen Netzwerkanschluss. Damit kann ich eine pfsense wahrscheinlich nicht sinnvoll virtualisieren? Wobei ich das aber schon mal gerne ausprobieren möchte. Für den Anfang vielleicht mit einigen wenigen Diensten (DHCP von der Fritzbox übernehmen, DNS vom pihole übernehmen, ...) Ginge das für den Anfang und zum reinlernen?
 
Okay, verstanden.

Ich könnte Dir jetzt mehr oder weniger aufwendige Strukturierungsmaßnahmen vorschlagen, aber mir fehlt nach wie vor die tatsächliche Anforderung. Ich bin immer noch der Meinung, dass meine Lösung mit Port-Forwarding Deine einzige Anforderung (Zugriff aus HausA auf den PiHole in HausB) ermöglicht. Auch wenn das meiner Meinung nach völlig Wurst ist, wirst Du am PiHole dann auch die reale interne IP des Endgeräts in Haus A sehen.
Natürlich möglich, dass ich dabei ein Fritzbox-Detail übersehe, daher wäre der Link zum anderen Forum mal hilfreich, dass man sich selbst ein Bild machen kann und es nicht über drei Ecken geht.

Bzgl. Reihenfolge DNS: Möglich, dass das so ist. Evtl. funktioniert die Reihenfolge beim externen DNS der Fritzbox (erste IP FritteB->PiHole), zweite IP externer DNS (1.1.1.1/8.8.8.8). Notfalls kann das natürlich auch weggelassen werden, dann führt aber eine Nicht-Erreichbarkeit Deines PiHole dazu, dass quasi nichts mehr funktioniert internet-mäßig.

Auch wenn man beim Basteltrieb häufig dazu neigt, eine Fallback-Strategie zu vernachlässigen, sollte man sich trotzdem darüber Gedanken machen. Stell Dir vor, Du fällst auf Grund Krankheit/Unfall/Urlaub/Arbeit mehrere Tage oder Wochen aus und Dein Server spinnt in der Zeit. Resultiert in wenig Verständnis, dass keines der Häuser mehr Internet hat. Eine einfache Fritte kann man sich vom Telekom-Techniker wieder einrichten lassen. Je komplexer das Gebilde wird, desto weniger können selbst Fachleute ausrichten, wenn nicht alles 100% dokumentiert ist.

Zurück zum Ausgangspunkt: was willst Du erreichen außer PiHole-Nutzung in beiden Häusern? Basteln? Dann lass das HausA erstmal in Frieden und bastle nur in HausB. Für den Anfang auch erstmal nur als Switch hinter der FritzboxB, bis Du Dich in die Materie eingearbeitet hast.
Virtualisierte Firewall kann man machen, ich bin in dem Fall aber eher ein Fan von dedizierter Hardware. Ein gutes, leistungsfähiges und günstiges Gerät hierfür wäre z.B. der hEX S von Mikrotik: MikroTik Routers and Wireless - Products: hEX S
Ubiquiti ist komfortabler, teurer, weniger leistungsfähig (i.S. eingeschränkterer Möglichkeiten), haptisch/optisch ansprechender.
Den T20 kannst Du auch mit seinem einen NetzwerkPort daran anschließen und Dich über ESXi und den hEX S mit VLAN Grundlagen vertraut machen.
Wobei ich eher mit stateful IP/Port Firewall Freigaben beginnen würde, als mit VLANs.
 
Das mit pihole beim Haus A mitnutzen war halt so eine Idee, weil ich da eben öfter im Netz eingeloggt bin und dann natürlich die ganze Werbung ertragen muss... Wenn ich jetzt dort zusätzlich einen kleinen Pi zero anschaffen würde, wäre das auch kein Beinbruch. Den an die Fritzbox A geklebt und von deren USB versorgen lassen, fertig...

_____________

Gebastelt werden soll natürlich nur in Haus B. Der Microtic ist natürlich unschlagbar günstig... Hab bisher eigentlich eher an einen APU2D4 oder ähnliches gedacht. Ist aber teurer und wird bei unserer derzeitigen VDSL-Anbindung mit 60/10 wohl eher nicht gebraucht...

Das Netz in Haus B mit einer Fritzbox als All-in-one funktioniert problemlos, das war es aber auch schon. Irgendwelche besonderen Zusatzfunktionen kann man damit nicht so einfach einbinden. Darum möchte ich das ein wenig "besser" aufbauen.
 
Magst Du trotzdem mal den Link zum anderen Forum posten? Der Hintergrund interessiert mich nach wie vor.

Die Mikrotiks können sehr viel, man muss aber auch zugeben, dass die Lernkurve sehr steil ist. Nach der problemlosen Grundkonfiguration wirst Du erstmal etwas überfordert sein mit den 20000 Einstellmöglichkeiten etc. Aber wenn Du das Gerät erstmal nur zum Testen und experimentieren nimmst und Dich Anwendungsfall für Anwendungsfall vorarbeitest, wirst Du mit dem System auf Dauer viel Freude haben.
 
Achso, das Microtic ist keine reine Hardware, auf der ich pfsense installiere, sondern ein fix und fertiges Gerät mit eigener Software...

Hier der Link zum anderen Forum. So wie es ausschaut, hab ich die allererste Antwort mit der Portweiterleitung wohl falsch verstanden... Ich dachte, die Portweiterleitung geht nur mit Tinyproxy und nicht einfach so wie ich es jetzt am laufen habe.

DNS-Server aus dem internen Netz (mit weiterer Fritzbox) zuweisen | IP Phone Forum


Anforderungen, für die Zukunft gewünscht:

Mehrere lokale Netze / VLANs / WLANs, z.B. eins mit Jugendfilter für den Nachwuchs, getrenntes Gast-WLAN, 2x site-2-site VPN (1x davon evtl. mit OpenVPN), DNS-Adblocker, evtl. Squid
 
Zuletzt bearbeitet:
Korrekt, das ist Hardware und Software. Wenn Du aus irgendeinem Grund zwingend pfSense brauchst/willst (mit all den Vor- und Nachteilen), dann ist es nicht das passende Gerät.

Also, das ip-phone-forum kenne ich grundsätzlich auch als sehr kompetentes Forum (zumindest was Asterisk usw. angeht). Aber die Antworten der beiden Forumsurgesteine koyaanisqatsi und PeterPawn gingen aus meiner Sicht mal sowas von am Thema vorbei, da verstehe ich Deine Verwirrung. Ich habe auch noch nicht verstanden, wieso gleich in der ersten Antwort das Thema Tinyproxy aufkam und man nicht mehr davon los kam.
Ja, ich weiß, dass TCP/53 ebenfalls für DNS vorgesehen ist. Ja, ich hatte überlegt, Dir beide Regeln vorzuschlagen, aber auch bei großen Netzen blieb der Packet-Counter für TCP/53 in der Firewall monatelang auf 0. Aber ja, Du kannst diesen Port ebenfalls an den PiHole weiterleiten. Verstehe gar nicht, wieso deshalb ein Fass aufgemacht wird, statt dass sie einfach sagen, dass Du dafür ein zusätzliches Forwarding TCP/53 eintragen sollst.
Nein, diese Lösung ist nicht die High-Pro-Variante, die die nächsten zwanzig Jahre überstehen wird. Weder DNSSEC (das trotz Einführung vor zehn Jahren noch kaum genutzt wird), noch das neue (erfolgversprechendere) DNS-over-HTTPS wirst Du damit erschlagen. Auch für IPv6 kommt Nacharbeit. Die Frage ist: stört es Dich aktuell? Spätestens, wenn Du DNS-over-HTTPS in den Browsern aktivierst, ist es vorbei mit solchen Späßen wie PiHole.
 
Ok, danke, dann bin ich ja beruhigt, dass das nicht nur ich falsch aufgefasst habe...

Hm, ich denke halt, die pfsense ist weit verbreitet und es gibt viele Tutorials im Netz, beim Microtic wird man halt selbst schon viel wissen müssen, um das einrichten zu können. Ich denke, mir wäre pfsense vorerst mal lieber.

Wenn der pihole irgendwann nicht mehr funktioniert, dann wird es eine andere Lösung geben, wie man die Werbung auch zukünftig eindämmen kann, da mache ich mir jetzt noch keine Sorgen. IPv6 werde ich intern nicht nutzen, wenn dann wird der Router das irgendwie "nach aussen hin" übersetzen müssen, wird auch die Zeit zeigen...

Ich denke, ich installiere erstmal eine pfsense auf meinem esxi (reicht da eine kleine VM mit 1 Core und 2gb RAM?) und taste mich langsam ran, ein paar Dienste kann ich ja dann schon mal von der Fritzbox rüberholen. Und dann entweder eine 4-Port-NIC in den Server und durchreichen oder ein extra Gerät kaufen, das sehe ich dann schon.
Wichtig wäre mir auch eine bessere VPN-Anbindung an mein Büro, die Fritzbox ist da ja nicht sonderlich performant und es geht nur ipsec. Mit OpenVPN stell ich mir das schöner vor. Ich habe im Büro eine Sophos UTM als Gegenstelle (aktuell 2x VDSL 250, bald Glasfaser direkt bis ins Gebäude). Würde mir wünschen, zumindest meine Home-DSL-Leitung 60/10 damit voll in beide Richtungen per VPN ausnutzen zu können.
 
Zuletzt bearbeitet:
Ok, dann bin ich hiermit raus und viel Vergnügen beim Experimentieren :)
 
Zuletzt bearbeitet:
Ok, dann bin ich hiermit raus und viel Vergnügen beim Experimentieren :)

Ich hoffe aber nicht, weil ich was falsches gesagt habe, sondern weil man durch experimentieren und selber ausprobieren am meisten lernen kann?
 
Ne, weil ich nur einmal an einer existierenden pfSense etwas fixen musste und sonst null Erfahrung damit habe :d
 
Ok. Die pfsense ist ja auch noch nicht gesetzt, mit der probier ich jetzt einfach mal ein wenig rum. Im Büro hab ich eine Sophos UTM, vielleicht installiere ich mir auch diese in der free-Variante. Mal sehen.
 
Mach das mal. Falls Du Lust hast, kannst Du auch Router OS CHR (Mikrotik) als VM testen. Ist aber wie gesagt komplexer als die üblichen Verdächtigen und beinhaltet nur einen sehr rudimentären Proxy.
 
Wenn du Sophos kennst und zuhause mit 50 IP-Adressen auskommst, würde ich damit anfangen.
 
Ja da wirds schon knapp. Ohne Mobilgeräte und ohne Gäste sind es ca. 40 IP-Adressen, die momentan dauerhaft genutzt werden. Dann noch 2 Smartphones, 2 Tablets, ein paar Besucher und das wars...
 
Hab mir jetzt die pfsense installiert. Lohnt denn ein Wechsel auf Sophos?
 
Hab mir jetzt die pfsense installiert. Lohnt denn ein Wechsel auf Sophos?

Ich persönliche nutze auch eine pfSense und würde nicht zu Sophos wechseln wollen, mit der pfSense durch die Packages gibt es eigentlich nichts was man nicht damit machen kann.
 
Also momentan gefällt es mir ganz gut. Das einzige was ich vermisse, ist so ein schönes umfangreiches Live-Log, wie ich es bei der Sophos UTM für alles mögliche bekommen kann. (Firewall, VPN, usw)

Die Logs in der pfsense finde ich ein wenig ärmlich.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh