Mein Netz zu Hause - Vorstellung

Über mein Smartphone steuere ich ziemliche viele Geräte. Vor allem die Hue-Lampen und Airplay.

Angenommen ich werde nur noch via VPN-Verbindung das Telefon ins Netz holen, kann ich dann ohne weiteres auch Airplay etc nutzen??

Zitat von GooglyEyz

Die wichtigste Komponente hast du in deinem Setup vergessen: http://bit.ly/1PU36QF

oO
Was brauch ich dann?
ich weise ja mittlerweile jedem Gerät eigene VLANs zu und hab FW-Rules für in-house-traffic

Es wird ein naiver Gedanke sein, aber bietet die Fritzbox Firewall nicht von Hause aus einen Schutz?

Enterprise APs mit Radius clientauth

Gesendet von meinem ZTE A2017G mit Tapatalk

Dank euch setze ich mich zum erstmal so wirklich mit dem Gedanken mehr Sicherheit im privaten Netz auseinander. Leider sind meine Netzwerkkenntnisse noch sehr laienhaft. Aus diesem Grund sollte eine erste Absicherung des eigenen Netzes mit den vorhandenen Mitteln/ Hardware erfolgen.

Hierzu habe ich in der Fritzbox nun einen VPN eingerichtet und werde externe Zugriffe hierüber durchführen und nicht mehr per Webinterface (sofern möglich).

Zudem habe ich für Gästegeräte den Gastzugang aktiviert. Jetzt schlägt @BigChris vor, das smartphone ebenfalls ins Gästenetz zu holen:

Zitat von BigChris

Ich sag mal, dass passt schon. Wobei du dein Samrtphone vielleicht in das Gastnetz stellen könntest. Wen du was bedienen musst, kannst du auch über VPN wieder rein. Und wenn du nichts bedienst, ist das Gerät sicher getrennt.

Eigentlich eine gute Idee. Beispielsweise funktioniert auch die Steuerung der Hue-Lampen über VPN oder das Erreichen meiner Diskstation. Aber bei anderen Anwendungen stoße ich an Grenzen:

• AirPlay und AirPrint funktionieren nicht. (Nach google Recherche liegt das daran, dass mit VPN die Bonjour-Dienste nicht getunnelt werden. Abhilfe würde ein Bridged-VPN-Lösung sein --> zu hoch für mich )

Jetzt sind das für mich aber schon extrem wichtige Anwendungen. AirPlay könnte ich ja noch dadurch gewährleisten, dass ich den AVR ins Gästenetz bekomme, dadurch würde aber das mit dem Drucken weiterhin problematisch sein. Gedruckt werden soll auch von einem Rechner im Haupnetz. Nun die beiden Fragen die mich diesbezüglich beschäftigen..
..Welchen "Sicherheits-Mehrwert" bringt mir das Auslagern von Ipad und IPhone? Gibt es eine andere Möglichkeit über VPN die Bonjour-Dienste zu nutzen bzw. kennt ihr ein entsprechendes How-To um mir das näher zu bringen?

Zitat von C0mmanda

- Zugang von aussen ausschließlich per VPN und entsprechendem Passwort möglich.
- Sämtlichen Smarthome-Gateways ist der Zugang zum Internet generell per FritzBox-Setting untersagt.

Zu Punkt eins meine Frage: was meinst du mit entsprechendem Passwort? Jenes zum Benutzer den du im Fritz.OS angelegt hast?
Zu Punkt zwei: Welche Einstellung meinst du hiermit? Hast du mal ein Anwendungsbeispiel?

Generell habe ich noch eine weitere Frage..
..Im Fritz.OS habe ich für die Diskstation gewisse Ports freigegeben. FTP, HTTPS etc. Wenn ich jetzt nur noch über den VPN auf meine Diskstation zugreife, müssen die Ports dann immer noch offen sein? Einige geöffnete Ports benötige ich doch um von meinem HTPC auf die NAS zugreifen zu können oder irre ich hier?

Zitat von BigChris

Nein, die IP die deine FritzBox und dein Smartphone von deinen Providern bekommt. In der Regel ist diese dynamisch und so wird der aggressive mode benutzt.

Wie verhält es sich wenn man DynDNS verwendet?

Bestimmt habe ich noch weitere Fragen vergessen. Fürs Erste sollte es aber erstmal ausreichen

Danke euch!!

Zitat von pauabaer

Zu Punkt eins meine Frage: was meinst du mit entsprechendem Passwort? Jenes zum Benutzer den du im Fritz.OS angelegt hast?
Zu Punkt zwei: Welche Einstellung meinst du hiermit? Hast du mal ein Anwendungsbeispiel?

Zu 1: Ja das meine ich. Nur eben ein entsprechend starkes Passwort mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen.

Zu 2: Im FritzBox-Menu unter Internet -> Filter kannst du jedem Netzwerkteilnehmer ein Zugangsprofil zuweisen.
Es gibt vorgefertigte Profile, du selbst kannst aber auch welche erstellen.
Smarthome-Gateways wie z.b. einer HUE-Bridge kann man hier den Zugang zum Internet sperren. So kann die Bridge im LAN kommunizieren, aber nichts nach draußen funken.
Geht natürlich nur wenn man keine Cloud-basierten Smarthome-Geräte hat. Und solche habe ich nicht und werde sie auch nicht bekommen ;).
Das Smarthome gehört nicht in eine Cloud.

Zitat von pauabaer

Generell habe ich noch eine weitere Frage..
..Im Fritz.OS habe ich für die Diskstation gewisse Ports freigegeben. FTP, HTTPS etc. Wenn ich jetzt nur noch über den VPN auf meine Diskstation zugreife, müssen die Ports dann immer noch offen sein? Einige geöffnete Ports benötige ich doch um von meinem HTPC auf die NAS zugreifen zu können oder irre ich hier?

Das brauchst du dann alles nicht mehr, die Ports können geschlossen werden.
Und um mit dem HTPC aufs NAS zuzugreifen musst du überhaupt keine Ports öffnen, ist ja alles in deinem internen Netzwerk. Da ist ohnehin "alles offen".
Ports öffnen musst du immer nur dann wenn von aussen jemand auf dein internes Netzwerk zugreifen können soll.
Für Netz-interne Anwendungen niemals Ports öffnen!!

grtz

Zitat von C0mmanda

Geht natürlich nur wenn man keine Cloud-basierten Smarthome-Geräte hat

Hab durch @BigChris erfahren, dass ich ein solches Gerät (Harmony Hub) habe. Aber das werde ich im Gäste-Wlan platzieren..

@C0mmanda
Nutzt du dein Smartphone/ Tablet im Heimnetz oder mittlerweile im Gästenetz?

Zitat von C0mmanda

Es gibt vorgefertigte Profile, du selbst kannst aber auch welche erstellen.
Smarthome-Gateways wie z.b. einer HUE-Bridge kann man hier den Zugang zum Internet sperren. So kann die Bridge im LAN kommunizieren, aber nichts nach draußen funken.

Ist es ganz lapidar "Internetnutzung sperren"?

Jetzt muss ich hin und wieder von meinem Arbeitsrechner auf meine NAS zugreifen. Auf dem Rechner kann ich allerdings kaum Software installieren. FilleZilla beispielsweise. Aber selbst der Zugriff mittels SFTP ist ja ein externer Zugriff nicht über VPN. Lieber lassen?

Zitat von pauabaer

@C0mmanda
Nutzt du dein Smartphone/ Tablet im Heimnetz oder mittlerweile im Gästenetz?

Ich nutze nach wie vor alles noch im Heimnetz.
Bin mir auch nicht sicher ob ich die Mobilen Devices wirklich ins Gästenetz auslagern möchte.

Da, mit Ausnahme meines MacBook, alle anderen Devices im Haus sowieso Kabelgebunden sind wäre mein normales WLAN dann obsolet.

Und ehrlich gesagt sehe ich das Risiko auch noch nicht so ganz welches von meinen Smartphones im Heimnetz ausgeht kann.
Evtl. kann ja jemand was dazu sagen.
Wir verwenden ausschließlich iPhones + iPads im Heimnetz und mir ist nicht klar wo die Gefahr liegt.

Zitat von pauabaer

Ist es ganz lapidar "Internetnutzung sperren"?

Ja genau das ist es

Zitat von pauabaer

Jetzt muss ich hin und wieder von meinem Arbeitsrechner auf meine NAS zugreifen. Auf dem Rechner kann ich allerdings kaum Software installieren. FilleZilla beispielsweise. Aber selbst der Zugriff mittels SFTP ist ja ein externer Zugriff nicht über VPN. Lieber lassen?

Ich verstehe das nicht ganz.
Wo steht dein Arbeitsrechner? Ist der Extern? Vielleicht sogar im Büro?

Wenn das so ist und du nicht gerade dein eigener Chef bist wäre ich hier sowieso vorsichtig.
In 99% der Fälle darfst du Firmenrechner a) nicht privat nutzen und b) schon gar nicht mit fremden Netzwerken verbinden!

Zitat von C0mmanda

Ich verstehe das nicht ganz.
Wo steht dein Arbeitsrechner? Ist der Extern? Vielleicht sogar im Büro?

Wenn das so ist und du nicht gerade dein eigener Chef bist wäre ich hier sowieso vorsichtig.
In 99% der Fälle darfst du Firmenrechner a) nicht privat nutzen und b) schon gar nicht mit fremden Netzwerken verbinden!

Macht auch absolut Sinn. Letztlich benötige ich den Zugang immer dann, wenn ich private Angelegenheiten erledigen möchte. Hier wäre ein einwählen ins heimische Netz via VPN schon die beste Lösung.

Nochmal eine allgemeine Frage:
Wenn ich meine Diskstation nur noch via VPN von außen erreiche und ich in der Fritte entsprechende Ports geschlossen habe, dann benötige ich doch in der Diskstation selber keine Firewalleinstellungen mehr oder?

Zitat von pauabaer

Wenn ich meine Diskstation nur noch via VPN von außen erreiche und ich in der Fritte entsprechende Ports geschlossen habe, dann benötige ich doch in der Diskstation selber keine Firewalleinstellungen mehr oder?

Schadet denke ich dennoch nicht, wenn sie nicht zwingend ständig ins Internet darf, denke ich.

Mein OMV NAS bekommt auch nur dann Zugriff aufs Internet, wenn ich z. B. Updates mache. Sonst bleibt es außen vor.

Habe neulich mal ein nettes Stück Hardware gesehen: https://www.kickstarter.com/projects/87488…pressobin-board
Was haltet Ihr davon für eine kleine pfSense mit einem Dutzend Netzwerk-Teilnehmern (PC, Handy, Tablet, Notebook, RPi, HTPC, ...) und ggf. einem Caching Proxy per kleines SSD?

Gruß

Zitat von BigChris

Ich würde im Standardprofil Internetzugag sperren benutzen und gezielt die Geräte freigeben die rausdürfen. So kann nichts vergessen werden und wenn sich ein Gast an eine Buchse hängt passiert auch nichts.

Das ist konsequent gut.. um es in deinen Worten auszudrücken

Nochmal eine andere Frage..vielleicht kannst du mir @C0mmanda weiterhelfen. Ist es möglich den Fritten-VPN-Tunnel einzuschränken? Ganz konkret: Von einem Rechner soll nur auf einen bestimmten Pfad auf der Diskstation zugegriffen werden können.

Zitat von pauabaer

Nochmal eine andere Frage..vielleicht kannst du mir @C0mmanda weiterhelfen. Ist es möglich den Fritten-VPN-Tunnel einzuschränken? Ganz konkret: Von einem Rechner soll nur auf einen bestimmten Pfad auf der Diskstation zugegriffen werden können.

Soweit ich weiß geht das nicht mit der FritzBox.

Aber einzelne IPs in der Acceslist kann man angeben oder? Zumindest habe ich das gelesen. Nur noch nicht ganz verstanden.

Ich könnte doch auch auf der Diskstation einen Benutzer anlegen, der nur Zugang zu einem Pfad bekommt. Beim erstmaligen Aufruf über den Explorer muss man ja eh Zugangsdaten eingeben. Ich denke das ist ein Versuch wert.

Sagt mal ist von einer VPN-Installation via TeamViewer eher abzuraten? Also per Fernzugriff?!

Interessant zu wissen.
Wenn wir langsam Richtung Software kommen..welche Firewall auf deinem Rechner kannst du empfehlen bzw. von abraten?