Umfrage zum Thema VLAN im Heimnetz
-
@bananajoe sagte in Umfrage zum Thema VLAN im Heimnetz:
Ja, wenn meine Familie wollte könnte die eine Menge im Netzwerk machen/sehen/finden. Vielleicht sogar Blödsinn machen. Machen die aber nicht.
Um die Familie geht es mir weniger, sondern um die "smarten" Geräte aus China. Wenn die boshaft werden, könnten die schon Unheil betreiben.
Ein Szenario
Dem Smart-Home-Gadget mit Mac 12:34:56:78:90:AB ist von Dir per Fritzbox der Internet-Zugang verwehrt worden...
Irgendwann wird das Smart-Home Gerät Böse, ändert seine Mac auf 09:87:65:43:21:AB, und bucht sich als neues Gerät ins Heimnetz ein...
Kann man in der Fritzbox irgendwie verhindern, dass sich unbekannte Geräte in das Heimnetz einbuchen können?
Bei WLAN, kann man einen Haken bei "WLAN nur für bekannte Geräte" setzen (was dann bei Android-Geräten, die routinemäßig ihre MAC-Adresse ändern ein Problem werden könnte). Für LAN habe ich etwas entsprechendes nicht gefunden.
-
@martinp sagte in Umfrage zum Thema VLAN im Heimnetz:
Vielleicht wird - wenn man die USA blockiert - alles bzgl USA außer die IP-Ranges der US-Geheimdienste blockiert ...
Ich verwende Pi Hole um unliebsame Adressen zu blocken. Wenn dir das auch nicht reicht, bleibt nur den Internetzugang zu sperren.
Wenn man ein Log mitlaufen lässt, erkennt man welchen Datenverkehr welches Endgerät macht. So kann man zumindest erkennen wohin Verbindungen aufgebaut werden. Die kann man blockieren und danach versuchen ob das Gerät noch so funktioniert wie es soll. Wenn nicht, entweder Verbindung entsperren oder Gerät entsorgen.
-
@dr-bakterius Nunja, wenn man ein Log mitlaufen lassen will, muss man eine Routerkaskade errichten, und unsichere Kantonisten hinter einen zweiten Router packen, oder man schickt die Fritzbox in Rente oder nutzt sie nur noch als Modem. Bei der Fritzbox wird man wohl ausreichend tiefgehende Analysen nicht machen können.
-
@martinp sagte in Umfrage zum Thema VLAN im Heimnetz:
man schickt die Fritzbox in Rente oder nutzt sie nur noch als Modem.
Genau das.
-
@bananajoe sagte in Umfrage zum Thema VLAN im Heimnetz:
Ich habe einen eigenen DNS am laufen und fake so z.B. die Zeitserver für die Überwachungskameras, time.windows.com wird dann z.B. mit einer lokalen IP aufgelöst
Das müsste doch auch AdGuard-Home können, oder?
Dann müsste ich nur mal herausbekommen, welchen NTP die TC-60 anrufen. -
@martinp sagte in Umfrage zum Thema VLAN im Heimnetz:
Kann man in der Fritzbox irgendwie verhindern, dass sich unbekannte Geräte in das Heimnetz einbuchen können?
Klar! Über die Kindersicherung.
Kann ich gerade nur nicht zeigen weil ausnahmsweise mal im Office, -
@codierknecht
Aber nur wenn es keine bekannte Mac-Adresse nutzt - für sowas wirklich sicher zu machen braucht mal zertifikate da bin ich aber überfragt
Hm wobei ich hab mal vor Ewigkeiten einem Rechner das quatschen im Internet verboten und der ist dann halt über ip6 raus gegangen ^^. Scheint als wenn der Filter über IP funktioniert.
-
@codierknecht Ahh, manchmal hat man eine Denkblockade...
Alle über das LAN neu angeschlossenen Geräte kommen in das "Standardprofil" - wenn man das "vernagelt" kann man die bekannten Geräte, die "dürfen" einem anderen Profil zuweisen, was man ggfs auch neu erzeugt ...
Habe die Profile "Unbeschränkt" und "gesperrt" wohl irgendwann schon angelegt....
-
@martinp Etwas speziell bei mir
1mal DSL Anschluss mimt Fritzbox
1mal Glasfaseranschluss mit Fritzbox
Dahinter ein Ubiqiti Edge-Router, der im Falle eines Ausfalls umschaltet (Glasfaser ist primär, DSL ist backup).
Die beiden Fritten sind eigentlich nur "Netzabschluss", VLANS/DHCP etc macht der Ubiqiti.
WLAN über die Fritzbox ging bei mir noch nie so wirklich prickelnd, da FB im Keller steht und das Haus 3 Etagen hat. Mit Repeatern habe ich nur schlechte Erfahrungen gemacht, daher mehrere Unifi Acesspoints, die mit einem Unifi Controller gesteuert werden (virtueller Controller, der auf einem proxmox Container läuft).
Zurzeit 3 WLANS/VLANS:Default, Gast und iot. -
@martinp sagte in Umfrage zum Thema VLAN im Heimnetz:
Kann man in der Fritzbox irgendwie verhindern, dass sich unbekannte Geräte in das Heimnetz einbuchen können?
Du kannst dich Benachrichten lassen von der Fritz!Box (Änderung im Heimnetz)
Ansonsten ist Monitoring natürlich alles - Wenn du die MAC-Adressen überwachst, am besten an Managebaren Switchen so das du auch Änderungen der MAC-Adresstabellen der einzelnen Port überwachen und so erkennen wo die neu MAC herkommt, im schlimmsten Fall nur über welchen AP -
@amg_666 sagte in Umfrage zum Thema VLAN im Heimnetz:
WLAN über die Fritzbox ging bei mir noch nie so wirklich prickelnd, da FB im Keller steht und das Haus 3 Etagen hat. Mit Repeatern habe ich nur schlechte Erfahrungen gemacht
Die Reapter müssen halt immer zum Haupt-AccessPoint passen. Früher hatte ich bunt gemischt und das war mehr als Bescheiden. Die Fritte muss MeshMaster sein und die Repeater mit dieser verbunden sein (zu Erkennen am Mesh-Symbol in der Mesh-Übersicht) - und schon ist alles in Butter.
Ist bei anderen Herstellen auch nicht anders, meine HPE AccessPoints laufen auch nur optimal wenn alle aus der gleichen Familie kommen und in der Übersicht auftauchen. Bei deinen Unifi-APs hast du ja genau das gemacht, alles von einem Hersteller und das Unifi-Gateway dazu
-
@bananajoe Jep, da hast du recht, aber Fritzbox ud Mesh hatte ich eingerichtet, damals ausschließlich Fritz (AVM) Produkte und trotzdem wars suboptimal. Mein Eindruck ist, dass die Unifi Accesspoints einfach besser ausleuchten. Und das ist auch eigentlich kein Wunder, die Fritzbox ist halt ein Kompromiss (Modem; Router, WLAN AP).
