Architektur eines sicheren Netzwerk für daheim

Hallo,
möchte mein Netzwerk daheim „erneuern“ und sicherer machen, möchte mir aber dazu gerne Tipps und Tricks von euch holen.
Aktuell habe ich eine Fritzbox als Eingangtor (Glasfaser). Das Netz ist dahinter aufgeteilt in WLAN und LAN-Verbindungen mit ungefähr 20 Geräten. Außerdem gibt es eine besonders schützenswerte NAS.
Plan - den ich gerne zur Diskussion stelle - ist es, nach der Fritzbox erstmal eine DMZ zu haben und hinter einer zweiten Fritzbox die NAS.
Allerdings bin ich auch kein Freund der Fritzbox und suche auch nach einem besseren Router, mit dem ich eine feinere Konfig vornehmen kann.

Freue mich über Vorschläge
AXL

Was du gegen die Fritzbox hast erschließt sich mir nicht. Ist immerhin einer der besten Router am Markt und bekommt auch nach Jahren noch zeitnah Updates.

Was eine zweite Fritzbox an Zusatzsicherheit bringen soll weiß ich nicht. Worin besteht denn die Unsicherheit der ersten? Wie sieht denn deine Bedrohung aus, wovor willst du dich schützen?

Die größte Bedrohung sitzt vor der Tastatur und regiert auf gefährliche Links in Emails - davor schützt kein Router der Welt, da nützt nur ein Backup, Und zwar ein echtes, das sich auf mehreren unabhängigen, manuell eingeschalteten Geräten befindet, die ansonsten ausgeschaltet und unerreichbar sind.

Moin,
was soll denn in die DMZ?
Durch die Kaskadierung von Routern kannst du in der Tat so etwas wie eine DMZ schaffen - die wird aber eigentlich für die Geräte geschaffen, die aus Intranet und Internet erreichbar sein sollen, ohne selber im Intranet zu sein.

Sehr differenziert konfigurierbare Router kenne ich von meiner Lieblingsmarke Lancom.

Ein Netz für Kinder, eines für Gäste, eins für Privatnutzung, dazu noch je eins für Homeoffice, gemeinsam nutzbare Geräte wie Drucker und eine DMZ?
Geht.
Ist halt mühselig, weil es keine Klicki-Bunti-Benutzeroberfläche gibt und viel Wissen vorausgesetzt wird.
Du wirst aber erschrecken, was für Preise da selbst bei Gebrauchtgeräten verlangt wird.
Prüfe vorher, wie lange es für das Gerät Upgrades gibt und wie lange noch Sicherheitsupdates garantiert werden.

Upgrades gibt es zwei Jahre nach Verkaufsende des Produkts, Updates fünf Jahre.

Nachtrag:
Eingebaute DECT Basis, Medienserver und Telefonanlage mit Anrufbeantworter sowie Smarthome-Funktionen wirst du bei solchen Routern nicht finden.

Du weckst da bei mir grade Interesse…

Was ist mit NAT66 und VLAN?

Eine DMZ wird im durchschnittlichen Privathaushalt regelmäßig nicht benötigt, weil es in einem solchen Haushalt schlicht und ergreifend keine Geräte/Dienste geben sollte, die nach außen hin offen sind. Das ist eine Geschichte für sehr IT-affine Menschen, die hobbymäßig mal mit dem dann hoffentlich ausreichend vorhandenen weitergehenden Wissen gerne basteln und dann Dinge jenseits dessen, „was man wirklich so braucht“ aufbauen.

Mit einem einzigen sauber konfigurierten Router büßt man nichts an Sicherheit ein, wenn man ohnehin nichts hat, was von außen erreichbar sein und daher in eine DMZ muss.

Und auch wenn inzwischen alle Hersteller von SoHo-NAS Systemen 1001 App mitliefern, die Dinge vom NAS nach draußen frei geben, sollte man davon ohnehin die Finger lassen, wenn einem die eigenen Daten lieb und teuer sind. Und wenn somit weder vom NAS noch über den Router nichts nach draußen offen ist, über das jemand überhaupt konkret an das NAS herankommen würde, dann ist es auch auf der Ebene Netzwerk zunächst mal ausreichend geschützt.

Für IPv6 bin ich zu alt.
NPTv6 (NAT66) können die, falls der Router nicht uralt ist, steht im Datenblatt.

VLAN? Ja sicher. Du kannst bei den normalen Routern aber nur 16 separierte Netze definieren, dann ist Feierabend. Die für die Telekom kastrierten Router (R88x) können sogar nur zwei Netze.

Einiges auf dem Gebrauchtmarkt ist mit Vorsicht zu genießen, da werden teils lahme Krücken mit nur rund 100Mbit/s Routingperformance verkauft.
An problematischen VDSL Anschlüssen merkt man auch, dass die nur Lantiq VDSL-Chipsets bekommen - für Broadcom hat Lancom zu wenig Umsatz. Der Betrieb mit externem Modem kann da manchmal mehr Stabilität und/oder Geschwindigkeit bringen.
Vier WAN sind übrigens Standard. Also Backup-Leitung oder Load-Balancing ist kein Problem.

Für >500€ und eine Hotline, deren Minutenpreis sich am Stundenlohn eines Netzwerktechnikers orientiert sollte man das aber auch erwarten.

Du wirst vor allem erschrecken, welchen Konfigurationsaufwand du dir ins Haus holst. Die Dinger sind mitnichten Plug and Play. Wenn du da nicht genau weißt, was du tust kannst du dir jede Menge Löcher in dein Netzwerk konfigurieren. Das ist aber kein Lancom-Problem, sondern Resultante des Wunsches, alles selbst machen zu können.

Also VLAN über den Router abhandeln? Sowas würde ich eher im Switch sehen. Jeglichen intenen Netzwerktraffic über den Router schicken ist eher keine gute Idee, da geht die Performance deutlich in die Knie. Oder was meint ihr?

Ich habe meinen Router im Keller direkt am Hausanschluss stehen.
Ein Netwzerkkabel versorgt meinen Switch, darüber laufen mehrere getaggte VLANs.
Am Switch habe ich Ports für WLAN (zweimal VLAN, nämlich Gästenetz und Privatnetz), dazu meine Kameras im separaten Netz, dann ein Druckernetz, das Büronetz und das Privatnetz.

Über den Router läuft nur der Verkehr zwischen den VLANs (auf die Drucker kann ich von Büro- und Privatnetz zugreifen).

Eine Erhöhung der CPU-Last kann ich bei Druckaufträgen nicht erkennen - aber es sind ja auch Druckaufträge und keine 4K-Videos.

Hallo zusammen,

vielen dank für eure interessanten, teils kontroversen, aber durchaus bereichernden Meinungen.

Nachdem ich jetzt alles gelesen habe und selbst noch recherchierte, habe ich jetzt folgenden Plan:
Ich werde mein Netz in verschiedene VLANs aufteilen. VLANs sind doch m. E. nichts anderes, als eigen Adress-Bereiche?
Dazu brauche ich ja einen passenden Switch und ich denke, ich werde den Netgear GS310TP nehmen. Aber ich habe noch eine Verständnisfrage:
Wenn ich nun einen Glasfaseranschluss habe, der von dem „kleinen Glasfaserkasten“ im Keller direkt in meine aktuelle Fritzbox führt und von da aus dann in meinen neuen Netgear-Switch …hm, ich möchte ja dann nicht, dass die Fritzbox bereits WLAN-Signale verschickt, da ja dies erst NACH dem Fritzbox-Router bzw. nach dem Netgear-Switch erfolgen soll. Welche Reihenfolge würdet ihr da empfehlen? Fritzbox lassen und WLAN deaktivieren … dann Netgear Switch … und dann ein ??? der WLAN-Signale versendet?
Oder könnt ihr mir einen ähnlichen Switch empfehlen, der dazu aber noch WLAN kann?

Danke
AXL

Über den Router läuft nur der Verkehr zwischen den VLANs.

Ach so. Ja, so macht das Sinn. Sorry, da stand ich auf dem Schlauch. Ich hatte verstanden, dass du dem armen Miniswitch im Lancom das komplette Tagging und Switching aufbürdest.

Naja, VLANs sind schon eher sowas wie physisch getrennte Netzwerke. Deine eigenen IPs kannst du vom Client aus verdrehen und so ggf. unbefugt Zugriff bekommen. Beim VLAN kann der Client gar nichts machen, er sieht die anderen VLANs einfach nicht, eben so als wären es eigene switche.

Derist aber ganz schön klein für das, was du vorhast. Wenn du mit 8 Ports hinkommst brauchst du über VLANs nicht wirklich nachdenken. Auch das Routing dazwischen musst du ja realisieren, falls du das brauchst.

Ein Gastnetz kann die Fritte auch und dein NAS musst du einfach mit ordentlich konfigurierten Benutzernamen und Passwörtern konfigurieren und alle Dienste abschalten, die du nicht explizit brauchst. Dann musst du das auch nicht zusätlich durch ein VLAN schützen. Die Fritte ist nicht per se schlecht, auch wenn du da - aus welchen Gründen auch immer - kein Freund davon bist.

Wenn du unbedingt einen anderen Accesspoint haben willst, empfehle ich den hier, weil er vom Preis-Leistungsverhältnis und der Performance in Ordnung ist. Aber das hat auf die Sicherheit deines Netzes keinerlei Einfluss.

Aber unbedingt nötig ist das nicht. Was viel mehr Sicherheit im Netzwerk bringt ist ein strenges Clientmanagement. Auf allen Windowskisten strenge software restriction policies einschalten, sichere Benutzerkonfiguration machen, die Kommunikation zwischen wLAN-Geräten in der Fritte abschalten, uPNP aus und Zugang zum Internet nur für die Geräte, die das wirklich unbedingt brauchen. Und wie immer gilt: Backup, Backup, Backup.

Das kannst du alles auf deinen bestehenden Geräten konfigurieren ohne einen Pfennig zusätzlich auszugeben. Dein Plan ist einfach nicht wirklich gut für das, was du eigentlich willst.

Mein Tipp: pflücke die niedrig hängenden Früchte zuerst.