Netzwerk Frage, shelly in Repeater eingebunden mit anderer IP Range

Zitat von bumblebee

In einer Anleitung wurde mir gesagt man solle das so machen um Konflikte zu umgehen.

was denn für konflikte? wenn man aus sicherheitsgründen iot geräte getrennt laufen lassen will, dann kann man da ja noch zustimmen. allerdings müsste dein smarthomesystem dann auch in den adressbereich deines repeaters. ansonsten aber einfach nur dhcp am repeater auschalten und dein haupt wlan gerät übernimmt die komplette ip verteilung.

Uff, das Thema ist schwierig. Ein eigenes WLAN nur für Smart Home wäre hier korrekt. Ein eigener IP Bereich dann nur für Aluhut Träger.
Wie Du ja selber mitbekommst holst du dir so das Problem der schlechten Auslesbarkeit im Haupt IP Bereich ins Haus.
Was ich machen würde:
Den IP Bereich zusammenlegen. Die Smart Home Geräten eine feste IP geben. Den DHCP nur im begrenzten Rahmen IPs vergeben lassen und wichtig: Den weiteren DHCP ausschalten.
Und dann soll es das auch gewesen sein. Kein Probleme bei der Einbindung und trotzdem keine Gefahr der Überschneidung.
So hab ich es übrigens bei mir gelöst:
192.168.x.1 - 20 für Router + Drucker
192.168.x.30 - 80 Smart Home Geräte
192.168.x.100-120 für feste PCs
und alles was dann noch kommt wird dynamisch vom DHCP vergeben, das reicht locker für jeden Home Consumer (192.168.x.121-254)

Ansonsten muss man das mit Routeneinstellungen lösen mit Gateway.

Zitat von bumblebee

weißt du wo ich in der fitz.box das so definieren kann? also die IP Bereiche die vergeben werden sollen?

hier^^

Zitat von bumblebee

DHCP kann ich ja ausmachen, nur muss ich dem Repeater ja eine feste IP vergeben, nehme ich dann irgendeine? nicht das dann auch wieder konflikte verursacht weil die IP bereits vergeben ist.

Was für ein Repeater ist das? Bei den Fritzgeräten geht man einfach auf den Modus Netzbrücke.

Naja, auch dd-wrt geräte könnte man einfach ohne eigenen dhcp laufen lassen und als gateway die fritzbox vorgeben.. aber mach man^^

Ich glaube die Loesung von @SkyBird1980 ist die korrekte, wenn man (nur) Fritz hat, weil da anscheinend das Einrichten von mehreren IP Subnetzen vielleicht nicht einfach, oder ausser des Gastnetzes vielleicht auch nicht moegilich ist ? (ich habe versucht, zu vermeiden, sowas mit der Fritz zu machen).

Wenn da aber ein dd-wrt steht sollte es besser sein, das smart-home geraffel auf ein eigenes IP subnet und VLAN/SSID zu legen, separat von anderen (vertrauenswuerdigeren) Geraeten. Allerdings mache ich das bei mir mit openwrt, wusste garnicht, das es noch dd-wrt gibt, evtl. ist das nicht so flexibel wie openwrt.

Die einfachste Loesung ist IMHO einfach mehr router zu nehmen. Ich z.b. habe am Internet die Fritz, das LAN dahinter nenne ich DMZ,
Am DNZ haengt dann alles IoT zeugs drauf (20 Shelly oder so) und eine linux Kiste, die vom Internet aus auch erreichbar ist, und ein openwrt router, hinter dem dann mein ganzes IT geraffel auf einem separaten LAN und SSID haengt.

Also du frickelst die Nähnadel durchs Pferd umgedreht ein - sorry @te36, DAS ist so leider nichts für Otto Normalo

Zitat von SkyBird1980

Also du frickelst die Nähnadel durchs Pferd umgedreht ein - sorry @te36, DAS ist so leider nichts für Otto Normalo

Habe ja auch schon andere hier im Forum gelesen, die sich ein zweites Netz einfach damit gemacht haben, das sie einen zweiten Router angeschlossen haben, so ungewoehnlich ist das nicht. Und wenn Du nur ein zweites WLAN/SSID fuer die IoT teile aufmachst, dann hast Du ja auch keine wirkliche sichere Trennung. Aber klar, wie wichtig / hilfreich so eine sichere Trennung ist, ist eine schwierige Diskussion. Fuer mich war es ja hauptsaechlich auch das Thema zuverlaessigkeit. Wenn bei mir ein Router ausfaellt geht halt bloss die Haelfte nicht.

Das ist für mich gar kein gefrickel.

Wenn ich zwei Netzwerke miteinander verknüpfen möchte, muss man sie routen. Das geht halt nur mit entsprechender Hardware. Mit Ubiquiti z. B. gar kein Problem. Da kann ich (USG als Router vorausgesetzt) Firewall-Regeln anlegen die die Kommunikation in andere WLAN-Netze ermöglicht.

Ohne Routing halt keine Verknüpfung von Netzwerken. Da stößt die Fritzbox halt an ihre Grenzen. Entsprechende Geräte und Konfiguration bedarf es halt, wenn man etwas fortgeschrittenen Netzwerkkram machen möchte

Ich habe zu Hause auch 2 Netze. Eines ausschließlich wenn ich Home-Office mache und mit dem Firmenrechner einen Tunnel in die Firma aufbaue (192.168.128.x/24). Das andere Netz für meine restlichen PCs/Server zu Hause (Standard 192.168.1.x/24) Der Firmenlaptop könnte auf meine privaten PCs zugreifen (mein eigenes Wiki z. B.) aber meine anderen PCs können keine ausgehende Verbindung zum Firmenrechner aufbauen. Mit Ubiquiti ist das mit ein paar Klicks gemacht und man braucht auch nur den einen Router. Ist halt kostspielig. Mit der Fritzbox undenkbar.

Alternativ kann man sich auch einen Firewall-PC hinstellen, der das Routing übernimmt. Der muss halt entsprechend der Anzahl der Netzwerke viele Netzwerkkarten haben. Dann würde das sogar über iptables und "IP route add......" gehen.

Viele Wege führen da nach Rom.

Meine IoT Geräte bekommen keinen Zugriff ins Internet. Die haben eine feste IP, der ich den Zugriff ins WWW untersage...fertig

Was ich mich hier frage:

Zitat von DaVu

Ich habe zu Hause auch 2 Netze. Eines ausschließlich wenn ich Home-Office mache und mit dem Firmenrechner einen Tunnel in die Firma aufbaue (192.168.128.x/24).

Was willst du da schützen? Deine Firma? Deinen Heimnetz vor Angriffen aus der Firma? Da habt ihr doch VPN, um auf die Backends der Firma zuzugreifen?

Zitat von DaVu

Der Firmenlaptop könnte auf meine privaten PCs zugreifen (mein eigenes Wiki z. B.) aber meine anderen PCs können keine ausgehende Verbindung zum Firmenrechner aufbauen.

InSo einer Situation kommt mir das eher ungewöhnlich vor. Normalerweise erlaubt "Enterprise-VPN-Software" nicht, dass man noch im privaten Netzwerk werkeln kann. Viele Nutzer kennen beispielsweise das Problem, dass ein Netzwerkdrucker im Heimnetz einfach unerreichbar bleibt.

Deshalb verstehe ich noch nicht, was in dem Firmen-Szenario das zweite Subnet bei dir nützen soll. Willst du aus Eigenverantwortlichkeit die Firma schützen? Hört sich für mich zunächst vollkommen unverständlich an, wenn sich die Firma auf solche klugen und umsichtigen Leute verlassen will.

Das Design von @te36 mit DMZ kann ich nachvollziehen (und hat ganz anderes Ansinnen, als Connect zur Firma, da will man eindeutig eigenes Netz schützen). Ist ganz ähnlich zu typischen "Enterprise-Designs". Dennoch, sowas gut und korrekt zu machen, ist Aufwand. Ich denke, VPN von typischen Home-Routern, ist da einfacher. Direkte Verfügbarkeit von Services im Heimnetz im Internet ist was für Experten. Und diese Auffassung hat nix mit Aluhelmen zu tun (das finde ich annähernd beleidigend).

Mein "Design" ist eigentlich bloss Faulheut, aber DMZ hoert sich besser an:

Hatte halt einen OpenWRT router am alten Internetanschluss, dann kam FTTH mit vorgegebener Fritz (Anbietertelefonie ist an die gebunden), aber gleichzeitig habe ich halt auf meinem OpenWRT router mein OpenConnect VPN drauf, was ich nicht auf die Fritz kriege, wo ich aber Gegenstellen fuer habe die ich nicht aendern will. Also einfach den OpenWRT router hinter die Fritz gehaengt.

Klar wird das aehnlich im professionellen Bereich auch aehnlich gemacht, aber wenns mehr Aufwand gewesen waere, statt Arbeit zu sparen hatte ich wahrscheinlich eine andere Konfig gewaehlt.

Als ich dann den Sack Shelly's gekauft habe hab ich die dann natuerlich ins DMZ Netz gehaengt, gerade weil ich noch Shelly Cloud am laufen habe.

Zitat von buers

Und diese Auffassung hat nix mit Aluhelmen zu tun (das finde ich annähernd beleidigend).

Entschuldige angeknackste Befindlichkeiten. Ich sehe aber keinerlei Vorteil abgesehen von Nichtzugriff der Netzwerksegmente zueinander.
Nachteile sehe ich aber zuhauf wie doppelte Stromkosten, mehrere Point of Failures, schwierige Konfiguration.
Ich sehe den Sinn von DMZ bei Home Netzwerken nicht. Gewerbe ist hier ein anderer Ansatz.

Also in einer FritzBox könnte man auch einfach eine Route festlegen, damit Anfragen zum Shelly durchkommen.

Zitat von SkyBird1980

Ich sehe aber keinerlei Vorteil abgesehen von Nichtzugriff der Netzwerksegmente zueinander.
Nachteile sehe ich aber zuhauf wie doppelte Stromkosten, mehrere Point of Failures, schwierige Konfiguration.
Ich sehe den Sinn von DMZ bei Home Netzwerken nicht. Gewerbe ist hier ein anderer Ansatz.

Das sehe ich wirklich sehr ähnlich für normale Home-User (mich inkl.). Ich stelle mir auch möglichst keinen Webserver oder andere Services, die von außen erreichbar sind (ohne VPN) ins Netz.

Die Pauschalität, die ich hier (und in anderem Forum, das ich lese) bzgl. Aussagen zur Netzsicherheit (in welcher Richtung auch immer) sehe, hatten mich gestört, und in der Tat bin ich da über Aluhut gestolpert, weil es einfach zu despektierlich ist und in der Tendenz dazu geeignet ist, jemanden der die Aspekte diskutiert als Blödmann hinzustellen.

Ich sehe auf der einen Seite oft so Aussagen: telnet ist böse, smb vx ist böse (stimmt, braucht man auch beides nicht mehr, aber im geschlossenen Heimnetz typischerweise wirklich begrenzt böse). Dann aber wird gezeigt, wie man Webserver direkt ins Internet stellt, Zertifikate werden dabei nicht diskutiert. Der Webserver ist natürlich typischerweise der "Familienserver", der gerne "alles was man so braucht" drauf hat. (War nicht in diesem Forum, aber grade auch noch Beispiel gesehen, wo der Webserver direkt Zugriff auf die Kommandozeile gibt aus der Ferne). NFS kommt mir da auch noch in den Sinn. (nicht böse im Vgl. zu smb anscheinend, ohne eingesetzte Version und Konfig zu berücksichtigen). Mir scheint auch die Kodi-SW selbst ist so: smbvx-Zugriff (x<3) wird erschwert (kann man mal so stehen lassen), aber NFS? War bei smbv1 nicht u.a. das Argument des fehlenden Zugangs-Schutzes und Verschlüsselung? (Ich habe nix gegen NFS. Ich war auch auf dem PC bereits Anfang der 90er Jahre Nutzer von PC-NFS).

Sicherheit ist halt Moppelkotze.
Wann uebertreibt man es ? Meistens schwer zu sagen (*).
Wann hat man zuwenig ? Das kriegt man dann leider im schlimmsten Fall boese zu spueren.

DMZ braucht man eigentlich bloss, wenn man Dienste aus dem Internet heraus will. Die dann "idealerweise" ((C) Ampel21), auf energiesparenden kleinen Rechner laufen lassen. ausser man kann sich sicher sein, das der Rechner auf den vom Internet auf Dienste zugegriffen werden kann, bei Sicherheitsupdates immer Top ist. Was schwer ist. Bei mir war der Plan ja, das alles was vom Internet aus erreichbar sein sollte direkt im Container auf dem OpenWRT router (5W intel) laufen sollte, also kein zusaetzlicher HW/Energieaufwand. Da hat mir dann die Fritze vom FTTH Anbieter bloss bisher einen Strich durch die Rechnung gemacht.

(*) Hab noch Dateien, die ich vor 30 Jahren verschluesselt habe, und die passwoerter vergessen habe. Das war wohl uebertriebene Sicherheit *sigh*.

Naja @te36,

Zitat von te36

(*) Hab noch Dateien, die ich vor 30 Jahren verschluesselt habe, und die passwoerter vergessen habe. Das war wohl uebertriebene Sicherheit *sigh*.

Zumindest die falsche Art der Aufbewahrung dieses Passworts. Sowas gehört halt in einen Tresor mit mindestens F90.

Zitat von buers

und in der Tat bin ich da über Aluhut gestolpert,

Finde hier den Aluhut halt passend weil irreguläre Ängste abgesichert werden. Das ist auf keinen Fall ein direkter Angriff.
Otto Normal braucht sowas halt nicht.

Zitat von te36

Da hat mir dann die Fritze vom FTTH Anbieter bloss bisher einen Strich durch die Rechnung gemacht.

Hm, mein FTTH Anbieter hat bei mir eigene Router ermöglicht.Inklusive Telefonie. Wir haben am Genexis halt einen anderen Port bekommen. Der VoIP Verkehr geht nun halt von der Datenrate ab. Woran liegt es denn bei Dir?

Zitat von SkyBird1980

Naja @te36,

Zumindest die falsche Art der Aufbewahrung dieses Passworts. Sowas gehört halt in einen Tresor mit mindestens F90.

Hehe, ich war jung und dachte ich hab ein gutes Gedaechtnis. Glaube immer noch ich krieg die moeglichen Worte des passwort satzes zusammen, script mit limitiertem brute-force search sollte reichen

Passworte irgendwo "sicher" aufzubewaren hilft halt nich gegen offizielle extortion. So halt wie bei den Daten auf Deiner Dashcam, wenn Du nicht genau weisst, ob die Polizei die daten haben sollte oder nicht. Aussageverweigerungsrecht gibt es nur fuer diesen glibberspeicher hinter den Augen, nicht fuer microSD.

Gibts eigentlich Dashcam die ein TPM drin hat so das sie so verschluesseln kann, das Besitz der Kamera nicht ausreicht um zu entschluesseln ? Sondern das man vom Besitzer Passwort abfragen muss ? Schaetze mal "nein" ?

Zitat von SkyBird1980

Hm, mein FTTH Anbieter hat bei mir eigene Router ermöglicht.Inklusive Telefonie. Wir haben am Genexis halt einen anderen Port bekommen. Der VoIP Verkehr geht nun halt von der Datenrate ab. Woran liegt es denn bei Dir?

Puuh. Also ich will halt mein VoIP auch aus dem Internet erreichen. Die Fritz Anwendung ist echte Moppelkotze. Probiert und zu instabil, kompliziert. Und ich weiss nicht, wer denen (FTTH von Stadtwerke) da was vom Thema Sicherheit erzaehlt hat, aber

a) Wenn die Fritz drin ist, dann bieten die nicht an, das man per SIP (z.b. vom meinen Gigaset-IP Geraeten) direkt an den Dienst drankommt.

b) Wenn man eigenen Router hinstellt, dann wollen die, das man da zwei ethernet ports verwendet. Einen fuer Internet/IP, den anderen fuer VoIP/SIP. Bei ihrer Fritzbox machen sie das mit ethernet VLAN tagging aber das wollen sie nicht fuer eigene router anbieten *sigh*).

c) Aber die Moppelkotze ist halt, das die ihre SIP server auf irgendeine 10.a.b.c Addressen konfiguriert haben. Da kann man also dann auch mit eigenem Router aus nicht direkt vom Internet zugreifen, sondern muss sich dann auf dem Home-router irgendeine Art SIP-Proxy aufsetzen, der SIP auf global IP addressn umleitet. Und da gibt es an softwareloesung bloss "geht nicht" oder "kapiert man nicht ohne Dr. Rer. SIP" (SIP konfigurationsgrab mit 100 nerd-knobs).

Irgendwann komme ich dazu, aber statt zu verstehen, wie man Asterisk konfigurieren muss habe ich mir erstmal den neuen Asterix fuer den Weihnachtsbaum gewuenscht. Ja, das nenne ich einen Anfang machen.

Zitat von te36

Gibts eigentlich Dashcam die ein TPM drin hat so das sie so verschluesseln kann, das Besitz der Kamera nicht ausreicht um zu entschluesseln ? Sondern das man vom Besitzer Passwort abfragen muss ? Schaetze mal "nein" ?

Keine Verschlüsselung. Man soll ja gerade, sorry wenn ich das so salopp sage sichergestellt werden das auch bei einem tödlichen Unfall etwas nachvollziehbar ist.
Die Polizei bekommt natürlich keine Speicherkarte, und wenn dann nur eine Kopie der Datei die wichtig ist.

Zitat von te36

b) Wenn man eigenen Router hinstellt, dann wollen die, das man da zwei ethernet ports verwendet. Einen fuer Internet/IP, den anderen fuer VoIP/SIP. Bei ihrer Fritzbox machen sie das mit ethernet VLAN tagging aber das wollen sie nicht fuer eigene router anbieten *sigh*).

Das ist bei uns anders, ich hab alle meine SIP Accounts.
Welche Stadtwerke sind das? Die Nutzung der eigenen Geräte darf nicht so erschwert werden...