IP Adressen im Heimnetz
-
@Unbekannt sagte in IP Adressen im Heimnetz:
Aus reinem Interesse: Mehr Sicherheit zwecks Angriffen von außen habe ich durch so eine Unterteilung nicht, oder?
Wenn jemand erstmal in Netzwerk ist, könnte er alle Geräte die im Subnetz 255.255.xxx.xxx sind, finden, richtig?Nein, jetzt kommt eine Firewall ins Spiel
Damit regel ich z.B. dass IP-Cam Signale (bzw. der Adressbereich 192.169.40.1/24) weder aus dem Internet (WAN) erreichbar sind, noch dass diese etwas hinausposaunen dürfen.In der Firewall kann ich dann auch regeln, wleche andere(n) IP(s) in meinem Netz mit welchen Bereich kommunizieren darf.
-
@BBTown sagte in IP Adressen im Heimnetz:
@Unbekannt sagte in IP Adressen im Heimnetz:
Aus reinem Interesse: Mehr Sicherheit zwecks Angriffen von außen habe ich durch so eine Unterteilung nicht, oder?
Wenn jemand erstmal in Netzwerk ist, könnte er alle Geräte die im Subnetz 255.255.xxx.xxx sind, finden, richtig?Nein, jetzt kommt eine Firewall ins Spiel
Damit regel ich z.B. dass IP-Cam Signale (bzw. der Adressbereich 192.169.40.1/24) weder aus dem Internet (WAN) erreichbar sind, noch dass diese etwas hinausposaunen dürfen.In der Firewall kann ich dann auch regeln, wleche andere(n) IP(s) in meinem Netz mit welchen Bereich kommunizieren darf.
okay, du nutzt aber keine Fritzbox oder? Ich habe mal eben kurz die Einstellungen überflogen und bin über die Routingtabellen gestolpert. Dort müsste ich das einstellen nehme ich an?!
Oder macht es hier Sinn, nach einem anderen Router ausschau zu halten? Ich liebäugle ja mit den Synology Routern rt1900ac oder rt2600ac. Vielleicht wäre damit eine Regelung der Firewall leichter?
-
@BBTown
In meinem Fall dann ..?
Also fürs WLAN AP AC Pro und für das LAN dann gemanagte Switche von Unifi ?
Telefon (Dect) und DSL Router Fritzbox ?
Oder brauche ich dann auch einen anderen (Unifi Router plus DSL Modem)
Im Moment sind alle LAN Anschlüsse der Fritzbox belegt + zwei 4(oder 5, weiß ich gerade nicht genau) einfache Switche.Dann bliebe für die Fritte noch Telefon über.
-
@dslraser sagte in IP Adressen im Heimnetz:
Dann bliebe für die Fritte noch Telefon über.
Da ich Kabelkunde bin und mehr als 3 Nummern nutze und 2 Leitungen habe, musste ich auch die Fritte behalten. Die macht nur noch Telefon und VPN.
@dslraser sagte in IP Adressen im Heimnetz:
Oder brauche ich dann auch einen anderen (Unifi Router plus DSL Modem)
Kannst Du auch machen. Als Kabelkunde gibst Du dann i.d.R. aber eine evtl. 2 Leitung auf und bist auf 3 Nummern begrenzt.
Aktuell ist also die Fritte erstes (einziges) Gerät. Daran hängt ein USG und daran kommen dann die (UniFi-)Switche. Da ich leider keine zentrale Infrastruktur habe (Serverraum), setze ich aktuell 1x 16 POE-150W, 1x 8 POE-60W und 2x Switch 8 ein. Die kleinen haben den Vorteil, dass sie per POE versorgt werden können und damit keinen eigenen Stromanschluss am Einsatzort benötigen, also sehr flexibel einsetzbar sind. Der große Switch versorgt zentral die beiden AP-HD per POE. Das 1.OG (Mutter) habe ich (mangels direkter Netzwerkkabelverbindung) mit einem AP-nanoHD an einen der beiden AP-HD gekoppelt. IPCams, die Echos und das Gästenetzwerk laufen jeweils in eigenen (WLAN-)Netzen (VLAN's). Der UniFi-Controller läuft "nativ" als Package auf der Syno.
-
Hallo und vielen Dank für die interessante Diskussion.
Was ich noch nicht so verstanden habe ist Folgendes.
Wenn ich z.B. Meine ganzen iobroker-Teile (RasPi, Sonoff, Tablet zur Visualisierung,...) in einen Bereich außerhalb der bisherigen 192.158.178. gelegt habe, und diesen Bereich mit einer Firewall nach außen schützen möchte, wie bekommen dann einige Module ihre Daten von außen (Wetter, Tankerkönig, usw.)?Ich finde, das ist echt eine Überlegung wert, den Umzugsaufwand zu betreiben...
-
@docadams Du kannst den Zugriff der Systeme auf das Internet erlauben, hingegen die andere Richtung - den Zugriff auf die Systeme - sperren
-
Dazu kann ich das empfehlen. Hab ich auch so laufen
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eigenbau-fertiggerät-149915.htmlAllerdings mit dieser Hardware
https://www.justiot.de/infrastruktur/vorstellung-watchguard-xtm-5-appliance-als-pfsense-firewall/Gruß
Krissi -
Hallo ich habe auch vor das ganze jetzt mal ein wenig zu ordnen.
Habe mich eingelesen auch im Internet, jedoch habe ich folgende Frage?Submasbe 255.255.0.0, Fritzbox
Kann ich folgende IP-Adressen verwenden, wenn ich diese in der Frutzbox eintrage.
Netzwerk IP 100.10.0.0
IP Range 100.10.0.1 - 100.10.255.254
Oder liege ich da falsch? Gibt es da was zu beachten aus Netzwerktechnischen gründen?
Gruß
Bauzi -
@bauzi
Ja, es gibt was zu beachten.
Du kannst nur bestimmte, sog. private, Adressbereiche benutzen. Ansonsten endet das im Chaos. Auf die Schnelle:
Link TextEs ist hier immer nur die Rede von „Firewall“.
Genau genommen geht es erst mal um „Routing“ wenn du Geräte in unterschiedliche IP-Netze packst. D.h. der Router kennt alle Netze und kann die Pakete entsprechend zwischen den Netzen vermitteln.Der Firewall-Teil sitzt quasi noch oben drüber und entscheidet an Hand der Protokolle (HTTP, HTTPS, SMTP, etc.) welche Pakete wohin durchgelassen werden.
Die Fritzbox versteckt vieles davon. Je nachdem was du als Alternative nimmst, musst du das in Handarbeit konfigurieren. Mit entsprechenden Frust-Faktor.
-
Ok danke. Insofern bin ich ausserhalb diese Bereichs oder?
Verstehe ich das so richtig, das die Vorgaben abhängig von der Submaske sind? Ich verwende ja 16, also 192.168.0.1 - 192.168.255.254.
Zudem wenn ich dich richtig verstehe kann es so auch wenig Probleme mit Routing und anderen Themen geben.Danke nochmal
Gruß
-
@bauzi sagte in IP Adressen im Heimnetz:
Insofern bin ich ausserhalb diese Bereichs oder
ja, wenn Du allerdings aus der ersten "100" eine "10" machst, dann passt es wieder
@bauzi sagte in IP Adressen im Heimnetz:
Verstehe ich das so richtig, das die Vorgaben abhängig von der Submaske sind?
völlig richtig. Dies wird im Link von @smudu dargestellt.
-
Danke an alle die mir Auskunft gegeben haben. Ich werde es jetzt wie folgt machen.
192.168.0.1 - 192.168.255.254
255.255.0.0Dann habe ich genug Möglichkeiten zu strukturieren und vermeide irgend welche Routingprobleme.
-
@bauzi
Vermeide möglichst den Adressbereich 100, also xxx.xxx.100.xZumindest bei den Kabel-Fritten gibt das Stress beim Routing, weil der Bereich intern für Supportzwecke genutzt wird. Aktuell gerade erst erlebt beim Einbau eines Unifi-USG hinter einer 6490. Lt. Support von AVM soll der 100er Bereich nicht verwendet werden.
Ob das für die Nicht-Kabelboxen auch generell gilt vermag ich aber nicht sicher zu sagen.
-
@bauzi sagte in IP Adressen im Heimnetz:
255.255.0.0
Dann habe ich genug Möglichkeiten zu strukturieren und vermeide irgend welche Routingprobleme.
Damit kannst du gut 64000 Geräte ins Netzwerk hängen, sollte erstmal für dieses Jahr reichen, oder
Ich empfehle DHCP und die Adressreservierung der Fritzbox (also wenn die IP vergeben wurde, in der Fritzbox den Haken beim Gerät "immer diese IP Verwenden" setzen), dann ändert sich da nichts, auch wenn die Lease abgelaufen ist.
Arbeite selbst auch so und habe ca. 300 Geräte im Netzwerk, permanent immer 240-260...
-
@ilovegym sagte in IP Adressen im Heimnetz:
Arbeite selbst auch so und habe ca. 300 Geräte im Netzwerk, permanent immer 240-260...
"alter Schwede...",das ist ne Menge
-
@dslraser sagte in IP Adressen im Heimnetz:
@ilovegym sagte in IP Adressen im Heimnetz:
Arbeite selbst auch so und habe ca. 300 Geräte im Netzwerk, permanent immer 240-260...
"alter Schwede...",das ist ne Menge
ja, plus 115 Xiaomi Zigbee Devices... die brauchen zum Glück keine IP..
-
@ilovegym sagte in IP Adressen im Heimnetz:
64000 Geräte ins Netzwerk hängen, sollte erstmal für dieses Jahr reichen, oder
Wir kennen seine Weihnachtsbeleuchtung allerdings nicht
-
@Samson71 Ok danke.
-
@ilovegym Hm.... wird schon knapp werden
DHPC und Haken habe ich bis jetzt auch so gemacht danke für den Tip. -
Guten Morgen, ich würde mich gerne auch mal bei diesem Beitrag einklinken. Wie bekomme ich das hin, meine Adresse so zu vergeben, wie zB. bei Kuddel? ( 192.168.4.13 usw..) Ich bin leider nicht so der iTler, versuche viele Projekte hier aber 1zu1 nachzubauen. Wenn ihr habt gerne lernvideos
