Mein Netz zu Hause - Vorstellung

  • Über mein Smartphone steuere ich ziemliche viele Geräte. Vor allem die Hue-Lampen und Airplay.

    Angenommen ich werde nur noch via VPN-Verbindung das Telefon ins Netz holen, kann ich dann ohne weiteres auch Airplay etc nutzen??

  • Über mein Smartphone steuere ich ziemliche viele Geräte. Vor allem die Hue-Lampen und Airplay.

    Angenommen ich werde nur noch via VPN-Verbindung das Telefon ins Netz holen, kann ich dann ohne weiteres auch Airplay etc nutzen?

    Ich kenne beide Dienste nicht. Ob die in der Cloud sind oder nicht...


    Es wird ein naiver Gedanke sein, aber bietet die Fritzbox Firewall nicht von Hause aus einen Schutz?

    Ja, klar. Ein Kleinwagen bietet auch Schutz bei einem Unfall. Ein Panzer aber mehr :)


    ich weise ja mittlerweile jedem Gerät eigene VLANs zu und hab FW-Rules für in-house-traffic

    Klingt cool :)
    Aber wie machst du das mit den WLAN-Geräten. Meine Accesspoints können nur 4-SSID ausstrahlen. Wie baust du die VLANs auf?

  • Dank euch setze ich mich zum erstmal so wirklich mit dem Gedanken mehr Sicherheit im privaten Netz auseinander. Leider sind meine Netzwerkkenntnisse noch sehr laienhaft. Aus diesem Grund sollte eine erste Absicherung des eigenen Netzes mit den vorhandenen Mitteln/ Hardware erfolgen.

    Hierzu habe ich in der Fritzbox nun einen VPN eingerichtet und werde externe Zugriffe hierüber durchführen und nicht mehr per Webinterface (sofern möglich).

    Zudem habe ich für Gästegeräte den Gastzugang aktiviert. Jetzt schlägt @BigChris vor, das smartphone ebenfalls ins Gästenetz zu holen:

    Ich sag mal, dass passt schon. Wobei du dein Samrtphone vielleicht in das Gastnetz stellen könntest. Wen du was bedienen musst, kannst du auch über VPN wieder rein. Und wenn du nichts bedienst, ist das Gerät sicher getrennt.

    Eigentlich eine gute Idee. Beispielsweise funktioniert auch die Steuerung der Hue-Lampen über VPN oder das Erreichen meiner Diskstation. Aber bei anderen Anwendungen stoße ich an Grenzen:

    • AirPlay und AirPrint funktionieren nicht. (Nach google Recherche liegt das daran, dass mit VPN die Bonjour-Dienste nicht getunnelt werden. Abhilfe würde ein Bridged-VPN-Lösung sein --> zu hoch für mich :) )

    Jetzt sind das für mich aber schon extrem wichtige Anwendungen. AirPlay könnte ich ja noch dadurch gewährleisten, dass ich den AVR ins Gästenetz bekomme, dadurch würde aber das mit dem Drucken weiterhin problematisch sein. Gedruckt werden soll auch von einem Rechner im Haupnetz. Nun die beiden Fragen die mich diesbezüglich beschäftigen..
    ..Welchen "Sicherheits-Mehrwert" bringt mir das Auslagern von Ipad und IPhone? Gibt es eine andere Möglichkeit über VPN die Bonjour-Dienste zu nutzen bzw. kennt ihr ein entsprechendes How-To um mir das näher zu bringen?


    - Zugang von aussen ausschließlich per VPN und entsprechendem Passwort möglich.
    - Sämtlichen Smarthome-Gateways ist der Zugang zum Internet generell per FritzBox-Setting untersagt.

    Zu Punkt eins meine Frage: was meinst du mit entsprechendem Passwort? Jenes zum Benutzer den du im Fritz.OS angelegt hast?
    Zu Punkt zwei: Welche Einstellung meinst du hiermit? Hast du mal ein Anwendungsbeispiel?

    Generell habe ich noch eine weitere Frage..
    ..Im Fritz.OS habe ich für die Diskstation gewisse Ports freigegeben. FTP, HTTPS etc. Wenn ich jetzt nur noch über den VPN auf meine Diskstation zugreife, müssen die Ports dann immer noch offen sein? Einige geöffnete Ports benötige ich doch um von meinem HTPC auf die NAS zugreifen zu können oder irre ich hier?


    Nein, die IP die deine FritzBox und dein Smartphone von deinen Providern bekommt. In der Regel ist diese dynamisch und so wird der aggressive mode benutzt.

    Wie verhält es sich wenn man DynDNS verwendet?

    Bestimmt habe ich noch weitere Fragen vergessen. Fürs Erste sollte es aber erstmal ausreichen :D

    Danke euch!!

  • Zu Punkt eins meine Frage: was meinst du mit entsprechendem Passwort? Jenes zum Benutzer den du im Fritz.OS angelegt hast?
    Zu Punkt zwei: Welche Einstellung meinst du hiermit? Hast du mal ein Anwendungsbeispiel?

    Zu 1: Ja das meine ich. Nur eben ein entsprechend starkes Passwort mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen.

    Zu 2: Im FritzBox-Menu unter Internet -> Filter kannst du jedem Netzwerkteilnehmer ein Zugangsprofil zuweisen.
    Es gibt vorgefertigte Profile, du selbst kannst aber auch welche erstellen.
    Smarthome-Gateways wie z.b. einer HUE-Bridge kann man hier den Zugang zum Internet sperren. So kann die Bridge im LAN kommunizieren, aber nichts nach draußen funken.
    Geht natürlich nur wenn man keine Cloud-basierten Smarthome-Geräte hat. Und solche habe ich nicht und werde sie auch nicht bekommen ;).
    Das Smarthome gehört nicht in eine Cloud.


    Generell habe ich noch eine weitere Frage..
    ..Im Fritz.OS habe ich für die Diskstation gewisse Ports freigegeben. FTP, HTTPS etc. Wenn ich jetzt nur noch über den VPN auf meine Diskstation zugreife, müssen die Ports dann immer noch offen sein? Einige geöffnete Ports benötige ich doch um von meinem HTPC auf die NAS zugreifen zu können oder irre ich hier?


    Das brauchst du dann alles nicht mehr, die Ports können geschlossen werden.
    Und um mit dem HTPC aufs NAS zuzugreifen musst du überhaupt keine Ports öffnen, ist ja alles in deinem internen Netzwerk. Da ist ohnehin "alles offen".
    Ports öffnen musst du immer nur dann wenn von aussen jemand auf dein internes Netzwerk zugreifen können soll.
    Für Netz-interne Anwendungen niemals Ports öffnen!!

    grtz

    Meine Hardware

    [contentbox]TV-Server/NAS:
    Gigabyte GA-B85M-D2V | Intel G1840 | 4GB RAM | 1x SSD 120GB System | 1x SSD 30GB Kodi Thumbs & mySQL | 3x HDD (9TB) |
    DD Cine S2 6.5 4Tuner | OMV 2.x[/contentbox][contentbox]Backup-Server: AMD Athlon 64 X2 | 1GB RAM | 5,5 TB | OMV 2.x[/contentbox]

    [contentbox] HTPC | Asrock Q1900-ITX | 4GB RAM | 120Gb Samsung SSD | OpenELEC 5.0.8
    2x RasPi 1 | OpenELEC 5.0.8
    RasPi 2 | OpenELEC 5.0.8
    MacBook Pro | Kodi 14.2[/contentbox]

  • Geht natürlich nur wenn man keine Cloud-basierten Smarthome-Geräte hat

    Hab durch @BigChris erfahren, dass ich ein solches Gerät (Harmony Hub) habe. Aber das werde ich im Gäste-Wlan platzieren..

    @C0mmanda
    Nutzt du dein Smartphone/ Tablet im Heimnetz oder mittlerweile im Gästenetz?


    Es gibt vorgefertigte Profile, du selbst kannst aber auch welche erstellen.
    Smarthome-Gateways wie z.b. einer HUE-Bridge kann man hier den Zugang zum Internet sperren. So kann die Bridge im LAN kommunizieren, aber nichts nach draußen funken.

    Ist es ganz lapidar "Internetnutzung sperren"?

    Jetzt muss ich hin und wieder von meinem Arbeitsrechner auf meine NAS zugreifen. Auf dem Rechner kann ich allerdings kaum Software installieren. FilleZilla beispielsweise. Aber selbst der Zugriff mittels SFTP ist ja ein externer Zugriff nicht über VPN. Lieber lassen?

  • @C0mmanda
    Nutzt du dein Smartphone/ Tablet im Heimnetz oder mittlerweile im Gästenetz?

    Ich nutze nach wie vor alles noch im Heimnetz.
    Bin mir auch nicht sicher ob ich die Mobilen Devices wirklich ins Gästenetz auslagern möchte.

    Da, mit Ausnahme meines MacBook, alle anderen Devices im Haus sowieso Kabelgebunden sind wäre mein normales WLAN dann obsolet.

    Und ehrlich gesagt sehe ich das Risiko auch noch nicht so ganz welches von meinen Smartphones im Heimnetz ausgeht kann.
    Evtl. kann ja jemand was dazu sagen.
    Wir verwenden ausschließlich iPhones + iPads im Heimnetz und mir ist nicht klar wo die Gefahr liegt.

    Ist es ganz lapidar "Internetnutzung sperren"?

    Ja genau das ist es :)

    Jetzt muss ich hin und wieder von meinem Arbeitsrechner auf meine NAS zugreifen. Auf dem Rechner kann ich allerdings kaum Software installieren. FilleZilla beispielsweise. Aber selbst der Zugriff mittels SFTP ist ja ein externer Zugriff nicht über VPN. Lieber lassen?


    Ich verstehe das nicht ganz.
    Wo steht dein Arbeitsrechner? Ist der Extern? Vielleicht sogar im Büro?

    Wenn das so ist und du nicht gerade dein eigener Chef bist wäre ich hier sowieso vorsichtig.
    In 99% der Fälle darfst du Firmenrechner a) nicht privat nutzen und b) schon gar nicht mit fremden Netzwerken verbinden!

    Meine Hardware

    [contentbox]TV-Server/NAS:
    Gigabyte GA-B85M-D2V | Intel G1840 | 4GB RAM | 1x SSD 120GB System | 1x SSD 30GB Kodi Thumbs & mySQL | 3x HDD (9TB) |
    DD Cine S2 6.5 4Tuner | OMV 2.x[/contentbox][contentbox]Backup-Server: AMD Athlon 64 X2 | 1GB RAM | 5,5 TB | OMV 2.x[/contentbox]

    [contentbox] HTPC | Asrock Q1900-ITX | 4GB RAM | 120Gb Samsung SSD | OpenELEC 5.0.8
    2x RasPi 1 | OpenELEC 5.0.8
    RasPi 2 | OpenELEC 5.0.8
    MacBook Pro | Kodi 14.2[/contentbox]

  • Ich verstehe das nicht ganz.
    Wo steht dein Arbeitsrechner? Ist der Extern? Vielleicht sogar im Büro?

    Wenn das so ist und du nicht gerade dein eigener Chef bist wäre ich hier sowieso vorsichtig.
    In 99% der Fälle darfst du Firmenrechner a) nicht privat nutzen und b) schon gar nicht mit fremden Netzwerken verbinden!

    Macht auch absolut Sinn. Letztlich benötige ich den Zugang immer dann, wenn ich private Angelegenheiten erledigen möchte. Hier wäre ein einwählen ins heimische Netz via VPN schon die beste Lösung.

    Nochmal eine allgemeine Frage:
    Wenn ich meine Diskstation nur noch via VPN von außen erreiche und ich in der Fritte entsprechende Ports geschlossen habe, dann benötige ich doch in der Diskstation selber keine Firewalleinstellungen mehr oder?

  • Wenn ich meine Diskstation nur noch via VPN von außen erreiche und ich in der Fritte entsprechende Ports geschlossen habe, dann benötige ich doch in der Diskstation selber keine Firewalleinstellungen mehr oder?

    Schadet denke ich dennoch nicht, wenn sie nicht zwingend ständig ins Internet darf, denke ich.

    Mein OMV NAS bekommt auch nur dann Zugriff aufs Internet, wenn ich z. B. Updates mache. Sonst bleibt es außen vor.

    Habe neulich mal ein nettes Stück Hardware gesehen: https://www.kickstarter.com/projects/87488…pressobin-board
    Was haltet Ihr davon für eine kleine pfSense mit einem Dutzend Netzwerk-Teilnehmern (PC, Handy, Tablet, Notebook, RPi, HTPC, ...) und ggf. einem Caching Proxy per kleines SSD?

    Gruß

  • Wie verhält es sich wenn man DynDNS verwendet?

    Ich glaube die Fritz dinger nehmen immer Aggressive Mode


    Ist es ganz lapidar "Internetnutzung sperren"?

    Ich würde im Standardprofil Internetzugag sperren benutzen und gezielt die Geräte freigeben die rausdürfen. So kann nichts vergessen werden und wenn sich ein Gast an eine Buchse hängt passiert auch nichts.

    Wo steht dein Arbeitsrechner? Ist der Extern? Vielleicht sogar im Büro?

    Wenn das so ist und du nicht gerade dein eigener Chef bist wäre ich hier sowieso vorsichtig.
    In 99% der Fälle darfst du Firmenrechner a) nicht privat nutzen und b) schon gar nicht mit fremden Netzwerken verbinden!

    Eigentlich sollte das über einen eigenen VPN abgesichert sein. Der VPN zum Arbeitgeber.

    dann benötige ich doch in der Diskstation selber keine Firewalleinstellungen mehr oder?

    So ist es. Die Steuerung macht bei mir meine pfSense. Die einzelnen Clients haben alle keine Firewalls.

    Habe neulich mal ein nettes Stück Hardware gesehen: http://kickstarter.com/projects/87488…pressobin-board
    Was haltet Ihr davon für eine kleine pfSense mit einem Dutzend Netzwerk-Teilnehmern (PC, Handy, Tablet, Notebook, RPi, HTPC, ...) und ggf. einem Caching Proxy per kleines SSD?

    Schaut interessant aus :)
    Ich denke ich werde mal ein Board vorbestellen :)

    Kein Backup - kein Mitleid!

    Einmal editiert, zuletzt von BigChris (6. Februar 2017 um 10:35)

  • Ich würde im Standardprofil Internetzugag sperren benutzen und gezielt die Geräte freigeben die rausdürfen. So kann nichts vergessen werden und wenn sich ein Gast an eine Buchse hängt passiert auch nichts.

    Das ist konsequent gut.. um es in deinen Worten auszudrücken :)

    Nochmal eine andere Frage..vielleicht kannst du mir @C0mmanda weiterhelfen. Ist es möglich den Fritten-VPN-Tunnel einzuschränken? Ganz konkret: Von einem Rechner soll nur auf einen bestimmten Pfad auf der Diskstation zugegriffen werden können.

  • Nochmal eine andere Frage..vielleicht kannst du mir @C0mmanda weiterhelfen. Ist es möglich den Fritten-VPN-Tunnel einzuschränken? Ganz konkret: Von einem Rechner soll nur auf einen bestimmten Pfad auf der Diskstation zugegriffen werden können.


    Soweit ich weiß geht das nicht mit der FritzBox.

    Meine Hardware

    [contentbox]TV-Server/NAS:
    Gigabyte GA-B85M-D2V | Intel G1840 | 4GB RAM | 1x SSD 120GB System | 1x SSD 30GB Kodi Thumbs & mySQL | 3x HDD (9TB) |
    DD Cine S2 6.5 4Tuner | OMV 2.x[/contentbox][contentbox]Backup-Server: AMD Athlon 64 X2 | 1GB RAM | 5,5 TB | OMV 2.x[/contentbox]

    [contentbox] HTPC | Asrock Q1900-ITX | 4GB RAM | 120Gb Samsung SSD | OpenELEC 5.0.8
    2x RasPi 1 | OpenELEC 5.0.8
    RasPi 2 | OpenELEC 5.0.8
    MacBook Pro | Kodi 14.2[/contentbox]

  • Aber einzelne IPs in der Acceslist kann man angeben oder? Zumindest habe ich das gelesen. Nur noch nicht ganz verstanden.

    Ich könnte doch auch auf der Diskstation einen Benutzer anlegen, der nur Zugang zu einem Pfad bekommt. Beim erstmaligen Aufruf über den Explorer muss man ja eh Zugangsdaten eingeben. Ich denke das ist ein Versuch wert.

  • Also anstelle von TeamViewer nimmst du einen VNC dienst. TightVNC oder so was. Da gehst du nicht über einen Firmenserver wo vielleicht mitgeloggt / mitgeschnitten wird,

    Mit Firewalls auf Rechnern kenne ich mich nicht aus, mich schützt nur die Hardwarefirewall. Aus dem Bauch raus würde ich Symantec Endpoint Protection empfehlen, da das die IT in meiner Firma nutzt. Mehr kenne ich halt nicht...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!