Unser neues Haus mit ein paar Anfängerfragen

Es gibt 122 Antworten in diesem Thema, welches 6.874 mal aufgerufen wurde. Der letzte Beitrag () ist von Networker.

    Zitat von Dany250

    Wie ist das eigentlich mit all den Geräten die ohne jegliche von mir freigegebene Weiterleitung dennoch von außen angesprochen werden können (Lampen, Kameras, Saugroboter, Thermometer, etc.). Warum können die das und sind diese Geräte nicht eine potenzielle Gefahr (auch für sich untereinander)?

    Sie sprechen zuerst nach außen und haben damit einen Rückkanal offen. Das ist wie ein Großteil der IOT Geräte funktionieren

    weil sie it einem Externen Server Sprechen und deine APP das auch macht.


    Netzwerktechnisch ist es wie bei fast allen andere immer eine Zweiwege Verbindung:


    Beispiel:

    Dein Client 192.168.1.12 will zum Webserver 49.13.63.12

    Dann baut dein Client eine TCP Verbindung von port 51223 ( der ist zufällig) zu 49.13.63.12 port 443

    Server Antwortet von Port 443 zurück auf deinen port 51223. Dazwischen liegt natürlich noch der Router und das NAT

    das die Interne IP auf die Externe IP umschreibt. Und genau da sitzen mit Firewall und NAT

    auch die Mechanismen die dafür sorge tragen das die Verbindung auch wider rein darf.



    Ganz salopp könnte mach auch sagen das ist eine Dynamische Automatische Portweiterleitung,

    passend zu den anfragen die vorher in die andere richtige gingen.

    Das heißt dann praktisch, dass diese Geräte auch wenn es den Anschein hat, dass sie es könnten, eigentlich nur diese eine Verbindung nutzen "dürfen" und sonst nichts?


    Ich hatte immer meine Bedenken, dass der chinesische Saugroboter auch wild mein gesamtes Netzwerk ausspioniert, da er ja sogar das WLAN Passwort bekommen hat...

    Korrekt, das Mesh ausschalten.


    ###

    IP Verbindungen sind ja nicht einfach mal da. Die werden bei Bedarf aufgebaut und Pakete gehen immer in beide Richtungen also sendet und empfängt a und B. Das hat nichts damit zu tun ob man Dateien von A nach B oder umgekehrt kopiert! Dabei gibt es für die Verbindungen Statis die auch beim Firewalling eingesetzt werden. Da gibt es folgende (technisch stark vereinfacht):


    new - Da wird eine neue Verbindung aufgebaut

    established/related - Da gibt es eine bestehende Verbindung oder die Pakete stehen in Beziehung zu einer bestehenden Verbindung

    illegal - das sind zum Beispiel Pakete die keine neue Verbindung initiieren aber auch nicht zu einer bestehenden Verbindung gehören (also die nicht zuden beiden oberen Gruppen gehören)


    Jetzt kann man das so stricken, dass established/related immer erlaubt ist. Das sorgt dafür das A und B in jedem Fall antworten dürfen. Illegal wird immer weggeschmissen, denn diese Pakete sollte es eigentlich nicht geben, tuts aber und oftmals nicht zu knapp. Stellen wir uns mal vor A ist ein PC und B ist ein Drucker.


    Was will man und was passiert? Man will einen Ausdruck starten und demzufolge Schickt der PC Zum Starten der Verbindung ein Paket mit dem Attribut new an den Drucker. Firewall guckt ob das so erlaubt ist und lässt das durch. Drucker kann ja antworten, weitere Pakete vom PC sind auch established und es besteht dann eine Verbindung zwischen PC und Drucker und der Druckauftrag kann rüber. Wenn das ganze ferttig ist und eine Weile keine Daten mehr fliessen, dann wird die Verbindung ungültig und ist nicht mehr existent und muss neu aufgebaut werden oder sie muss durch "Ab und Zu mal ein Paket" am Leben erhalten werden.


    Da ein Drucker von sich aus ja nie eine Verbindung zu einem anderen Gerät aufbaut als Initiator. Kann man also festlegen, dass Pakete mit New vom Drucker verworfen werden.


    Unterm Strich A nach B erlaubt, B nach A nicht erlaubt.


    ###

    Die letzte Frage zielt vermutlich auf "Cloud Geräte" ab. Hier st es so, dass sich Deine Geräte ausgehend mit einem Cloudserver des Herstellers/Dienstanbieters verbinden. Die dazugehörige App auf dem Handy oder ein ggf. existierendes Webportal greift ebenfalls auf diesen Cloud Server zu. Der Anbieter verbindet das ganze bei sich. Der vermeintliche Zugriff in dein Netz aus dem Internet findet also nicht direkt statt und benötigt weil ausgehend auch keine Portweiterleitungen.

    Beispiele dafür sind z.B. Teamviewer, Synology Quickconnect, Unifi Remote Portal (unifi.ui.com) und sehr viele andere.


    Je nachdem wie das System aufgebaut ist ist das mehr oder weniger gefährlich. Bei manchen Portalen braucht es einen Account und man kann sich dann erst verbinden wenn man sich angemeldet hat. Beim Quickconnect brauchts erstmal nur die Adresse und man klopft schon am NAS an. Prinzipiell hängt die Sicherheit da stark von der Plattform des Anbieters ab.


    Jedes Gerät in einem Netzwerk (VLAN) ist potentiell für alle anderen Geräte gefährlich. Es reicht ein kompromitiertes Gerät aus (so fängt es eigentlich immer an) um das gesamte Netzwerk zu gefährden, denn man kann sich als böser Bub umsehen und weitere Lücken suchen, finden und ausnutzen. Von daher halte ich persönlich Smartphones, Tabletts und andere Mobilgeräte, die auch Unterwegs in fremden WLANs genutzt werden, nicht für sehr vertrauenswürdig. Die könnten sich auch außer Haus eine Erkältung eingefangen haben.

    gierig toll hätte ich meinen Aufsatz ja nicht verfassen müssen :grinning_face_with_smiling_eyes:

    Zitat von Dany250

    ...

    Ich hatte immer meine Bedenken, dass der chinesische Saugroboter auch wild mein gesamtes Netzwerk ausspioniert, da er ja sogar das WLAN Passwort bekommen hat...

    Öhmm also technisch und theoretisch ist der Betreiber der Plattform schon in der Lage mit solchen Geräten Netzwerke auszuspionieren. Dabei ist das WLAN Passwort vermutlich am uninteressantesten, denn es wird kein Chinese vor deinem Haus auftauchen und sich in dein WLAN einloggen, wo er doch prinzipiell schon in deinem Netz ist.


    Da die Möglichkeit besteht dass einige Hersteller sowas auch praktisch machen können/sollen/müssen, sollte man diese Geräte immer in ein extra VLAN packen und von allen anderen Netzen isolieren.

    Vielen Dank für deine Ausführlichen Antworten!


    Ich werde die Ratschläge nun erst mal beherzigen und alles geschriebene verarbeiten, ist doch etwas mehr und etwas komplizierter als irgendwann einmal gedacht...


    Aber Stück für Stück wird das schon, ich verstehe (glaube es zumindest) immer mehr...

    Huhu,


    ich hab mal wieder eine kleine Zwischenfrage.


    Ich habe gestern mal etwas mit HomeKit rumprobiert und bin auf etwas seltsames gestoßen für das ich keine Lösung finde.


    Ich habe 3 Kameras in HomeKit eingebunden. Mein AppleTV ist die Steuerzentrale. Alles funktioniert prima, egal ob ich im (selben) WLAN bin oder unterwegs über das Mobilfunknetz darauf zugreife.


    AAABBBERRR:

    Wenn ich im selben WLAN verbunden bin geht alles reibungslos, sobald ich aber das WLAN wechsle, habe ich keinen Zugriff mehr auf die Kameras und zwar nur auf die Kameras, Lampen, Jalousien, etc. funktionieren weiterhin reibungslos. Die Fehlermeldung lautet:

    Keine Antwort

    Diese Kamera antwortet nicht.


    Ich kann mir dieses Phänomen überhaupt nicht erklären, gerade weil es von außerhalb geht und weil alles andere außer die Kameras auch aus dem anderen WLAN klappt? Fremde WLANs funktionieren übrigens auch einwandfrei...


    Habt ihr eine Idee?


    Viele Grüße

    Dany

    Fremde Wlans wären ja Remote, und nicht lokal. Evtl n Config Fehler in der Firewall?


    Ich hab zwar viel Homekit Kram(inkl 2x Apple TV und 2x Homepods als Zentralen), Hue Beleuchtung und Eve steckdosen, Qingping Sensoren,… , aber keine Kameras, da ich da Unifi Cams hab. Kann ich leider nicht testen

    Zitat von DoPe

    gierig toll hätte ich meinen Aufsatz ja nicht verfassen müssen

    Doch doch weil ich schrieb ja nur über Generelle Kommunikation und NAT, du hast (sehr schön) noch das Statefuel Firewall Konzept mit

    reingebracht.


    Zitat von Dany250

    Diese Kamera antwortet nicht.

    Tja zu dem Anton schon sagte.

    Sind die CAMs denn z.B per Ping erreichbar. Dürfen die Cams selber (viel Kram sperrt das) überhaupt mit anderen Netzen sprechen.

    Evt. lasen sie nur über mDNS finden und und hast den nötigen Proxy für die VLAN nicht auf dem Gateway eingeschaltet.

    (mDNS wird nicht geroutet, deswegen bedarf es den mDNS Helfer der das von einem ins andere VLAN pustet)


    Ohne Eigne Firwallreglen wird intern kein Verkehr gebloggt, das währe ein erster schneller test eigne Reglen Abschalten / Pausieren.

    Guten Morgen ihr Lieben!


    Also viel hab ich noch gar nicht in der Firewall gemacht, ganz am Anfang habe ich jedem Netzwerk verboten mit einem anderen Kontakt aufzubauen und das auch so belassen. Vereinzelt habe ich dann wieder Rechte vergeben wie zum Beispiel die Verbindung von meinem PC zum Wechselrichter.


    Ich habe eben mal den Block vom Netzwerk "Handy" (heißt jetzt nur als Beispiel so) UND Netzwerk "HomeKit" aufgehoben und siehe da, ich kann auf die Live-Cams zugreifen. Mach ich den Block wieder rein gehts nicht mehr, ich muss aber beide aufheben.

    Seltsam finde ich aber noch immer, dass alles außer die Live Videos gehen, selbst Aufnahmen in HomeKit kann ich abspielen.


    Könnte ihr mir sagen, was ich nun aber mit dieser Information anfangen kann? Was muss ich für Regeln erstellen, dass es auch au einem anderen Netzwerk geht, denn alles ausschalten klingt nicht gut :grinning_face_with_smiling_eyes: .


    Ich hatte vorher auch schon versucht von der einen IP (Handy) zur anderen (AppleTV) den Zugriff zuzulassen, das hat aber nicht geklappt, bzw. es gab keine Veränderung.


    Habt ihr wieder Ideen?

    • Neu

    Ich habe mich jetzt mal ein bisschen damit beschäftigt wie ich mittels VPN Zugriff auf mein Netzwerk erstelle (ich muss gestehen es in der Vergangenheit mit der Fritzbox immer ohne VPN gemacht zu haben :astonished_face: ).


    Hier habe ich aber direkt mal ein paar weitere Fragen, zuerst nochmal meine Konstellation.


    Ich habe eine Fritzbox, die ich vor dem Aufbau meines Unifi Netzwerks zurückgesetzt habe. Danach hab ich einfach nur wieder die Zugangsdaten meines Internetanbieters in die Fritzbox eingegeben und den UCG-Ultra mit der Fritzbox per LAN Kabel verbunden. Also alles fast jungfräulich auf der Fritzbox.


    Die Frage die sich mir jetzt stellt, muss ich die VPN Verbindung nun auf der Fritzbox erstellen oder auf meinem UCG? Ich habe eine eigene Domain bei Strato und mein Internet Anbieter hat noch IPv4, bedeutet ich sollte ja problemlos über DynDNS zugreifen können. Auch hier die Frage, muss ich das auf der Fritzbox einrichten oder auf dem UCG?


    Die Einrichtung an sich ist glaube ich nicht wirklich schwer, vielleicht könnt ihr mir aber bei den beiden Fragen behilflich sein und mir dann noch sagen, ob ich was beachten muss, vielleicht Portweiterleitung oder irgendeine Firewallregel, etc.?


    Vielen Dank und viele Grüße

    Dany

    • Neu

    Das UCG muss VPN-Server sein, ansonsten würdest Du über Deinen Tunnel nicht in das Netz hinter ihm gelangen.

    Der einfachste Weg ist, das UCG in der FritzBox als exposed host einzutragen, dadurch werden alle Anfragen von außen direkt an Deinen eigentlichen Internet-Router weitergeleitet. Die Fritzbox besitzt Du ja offenbar nur noch wegen der Modem-Funktionalität, oder?


    DynDNS musst Du wiederum auf der Fritzbox einrichten, denn sie bekommt ja vom Provider die IP-Adresse(n) zugewiesen, wenn eine Verbindung aufgebaut wird.


    Nur der Vollständigkeit halber: Möglichkeit zwei wäre, NAT im UCG abzuschalten, Möglichkeit drei die Anschaffung eines dedizierten VDSL-Modems.

    Es ist aber denke ich sinnvoll, dass Du erstmal mit Variante eins arbeitest und schaust, ob so alles gut läuft für Dich.

    • Neu

    So, ich hab es wohl geschafft, danke für deine Unterstützung.


    Ich habe erfolgreich dynDNS auf der Fritzbox aktiviert und sie auch als exposed host eingerichtet. Ebenso hat es auf Anhieb mit dem VPN auf dem UCG hingehauen. Ich hab dort einfach unter "VPN" --> "VPN Server" ein neues L2TP VPN erstellt und mich auch erfolgreich mit dem iPhone verbunden, zumindest konnte das iPhone die VPN Verbindung herstellen und in der UniFi Oberfläche steht nun auch 1 aktiver Client.


    Seltsam finde ich, dass ich unter Netzwerke nichts einrichten kann. Wo erstelle ich denn Regeln zur Verwendung?


    Ich muss gestehen, dass ich Stand heute noch keine Verwendung habe, weil ich mein NAS noch nicht wieder reaktiviert habe, ich wollte nur das Thema hier schon mal erledigt haben. Ziel ist es, von außerhalb dann auf das NAS zugreifen zu können.

    Wie gestalte ich das denn am besten? Früher habe ich das eben über Portweiterleitungen eingerichtet und damit dann direkt Zugriff gehabt. Nehmen wir das Beispiel meiner Synology App, hier einfach die Domain eingetippt, den Benutzer und dessen Passwort und schon war ich auf dem NAS. Das geht sicher mit dem VPN genauso leicht, nur was muss ich wie einrichten?

    • Neu

    Zunächst mal: Es ist empfehlenswert, eher Wireguard als VPN-Protokoll zu benutzen. Simpler und leistungsfähiger als L2TP.


    Zitat von Dany250

    Wie gestalte ich das denn am besten? Früher habe ich das eben über Portweiterleitungen eingerichtet und damit dann direkt Zugriff gehabt.

    Portweiterleitungen sind prinzipiell ein Sicherheitsrisiko und dank des VPNs brauchst Du diese auch gar nicht mehr. Du verbindest Dich von unterwegs über VPN mit Deinem Netz und greifst dann auf Dein NAS genauso zu, als wärst Du zu Hause. Das ist genau das Konzept von (Road Warrior-)VPN: Ein Endgerät wird Teil eines LANs, obwohl es sich nicht in dessen Reichweite befindet.



    Zitat von Dany250

    Seltsam finde ich, dass ich unter Netzwerke nichts einrichten kann. Wo erstelle ich denn Regeln zur Verwendung?

    Das verstehe ich nicht. Was genau willst Du tun?

    • Neu

    Ist Wireguard nicht kostenpflichtig?


    Das mit der nicht mehr notwendigen Portweiterleitung habe ich verstanden. Ich habe jetzt auch verstanden was VPN macht, ich habe es eben mal getestet und konnte mich von extern mittels der internen IP auf ein Gerät im Haus schalten, klappt also.


    Was ich meinte war falsch von mir gedacht, ich komme durch das VPN ja mit der internen IP des NAS direkt drauf, das passt denke ich.

    Ich hab nur schon so viel von Regeln gelesen, dass ich mich jetzt wundere, dass ich nun von extern auf alle Netzwerke zugreifen kann. Wie erstelle ich denn Regeln für das VPN? Es taucht bei den üblichen Regeln nicht auf.


    Und eine grundsätzliche Frage noch zum Exposed Host. Mit dieser Funktion habe ich nun endgültig die Firewall der Fritzbox umschifft, bin ich jetzt eigentlich noch ausreichend geschützt? Irgendwie fühlt es sich nicht so an…

    • Neu

    ja bist du, keine Sorge. Das Unifi Gateway hat ebenso eine Firewall sogar mit mehr features (IDS IPS Erkennung).

    Für das Unifi Gateay ist die FritzBox das Internet / der Internet Anbieter sozusagen, mehr nicht. alles sauber getrennt und sicher.


    Vereinfacht dargestellt funktioniert das Internet exakt so, der Betreiber hat einen großen Router an dem deiner hängt, fertig :smiling_face:

    das Einzige was am Ende zählt ist

    dass ihr lebt was ihr liebt und liebt wofür ihr lebt

    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96

    OMV NAS - NAS | Emby Server | LogitechMediaServer

    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer

    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security

    Loxone SmartHome

    Gefällt mir 1
    • Neu
    Zitat von Dany250

    Ist Wireguard nicht kostenpflichtig?

    Nein, der Server ist ja mittlerweile in allen Fritzboxen und Unifi-Routern enthalten und den Software-Client kannst Du Dir für alle gängigen Betriebssysteme kostenfrei herunterladen.


    Zitat von Dany250

    ich habe es eben mal getestet und konnte mich von extern mittels der internen IP auf ein Gerät im Haus schalten, klappt also.

    Prima.



    Zitat von Dany250

    Ich hab nur schon so viel von Regeln gelesen, dass ich mich jetzt wundere, dass ich nun von extern auf alle Netzwerke zugreifen kann. Wie erstelle ich denn Regeln für das VPN? Es taucht bei den üblichen Regeln nicht auf.

    Unifi-Router blocken im Standard auch keinen Verkehr im zwischen Subnetzen. Wenn Du Deine VLANs prinzipiell getrennt haben willst, musst Du dafür eine Firewallregel erstellen (dazu gibt es hier und auch auf offiziellen Seiten sehr viele Anleitungen und Dokus).

    Für das VPN musst Du Dir noch ein "Objekt" erstellen: Settings --> Profiles --> IP Groups

    Dieses kannst Du dann für Firewallregeln nutzen und alles so freigeben oder beschränken, wie Du es benötigst.



    Zitat von Dany250

    Und eine grundsätzliche Frage noch zum Exposed Host. Mit dieser Funktion habe ich nun endgültig die Firewall der Fritzbox umschifft, bin ich jetzt eigentlich noch ausreichend geschützt? Irgendwie fühlt es sich nicht so an…

    Du hast Dir doch ein UCG mit deutlich mächtigerer Firewall als die in der Fritzbox angeschafft, wieso möchtest Du jetzt doch die Fritzbox zurück? :winking_face:

    • Neu
    Zitat von Networker

    Nein, der Server ist ja mittlerweile in allen Fritzboxen und Unifi-Routern enthalten und den Software-Client kannst Du Dir für alle gängigen Betriebssysteme kostenfrei herunterladen.

    Ich probier es heut auch mal mit Wireguard aus, ich denke die Einrichtung wird nicht anders sein als die des normalen VPNs, oder?


    Zitat von Networker

    Unifi-Router blocken im Standard auch keinen Verkehr im zwischen Subnetzen. Wenn Du Deine VLANs prinzipiell getrennt haben willst, musst Du dafür eine Firewallregel erstellen (dazu gibt es hier und auch auf offiziellen Seiten sehr viele Anleitungen und Dokus).

    Für das VPN musst Du Dir noch ein "Objekt" erstellen: Settings --> Profiles --> IP Groups

    Dieses kannst Du dann für Firewallregeln nutzen und alles so freigeben oder beschränken, wie Du es benötigst.

    So hab ich es mit jedem meiner VLANs angestellt, erst mal mit Regeln alles blocken und dann Stück für Stück freigeben was ich brauche, dass hat mich auch etwas stutzig mit dem VPN gemacht.

    Kannst du mir das mit dem Objekt bitte noch ein bisschen genauer erklären? Ich würds gern verstehen, seh aber nur die drei Punkte "Profilname", "Typ" und "Anschluss". Was muss ich hier eintragen und wie danach damit umgehen?


    Zitat von Networker

    Du hast Dir doch ein UCG mit deutlich mächtigerer Firewall als die in der Fritzbox angeschafft, wieso möchtest Du jetzt doch die Fritzbox zurück? :winking_face:

    Ich bin irgendwie etwas skeptisch, weil ich monatelang irgendwie Angst vor dem Aufbau und der Einrichtung hatte. Jahrelang Fritzbox, alles recht einfach und dann was ganz was neues, was irgendwie komplizierter schien.

    Mittlerweile muss ich aber sagen, sooo kompliziert fand ich die Einrichtung (als Laie) gar nicht und alles läuft bisher ziemlich reibungslos. Fast schon zu einfach, weshalb ich das Gefühl habe irgendwas übersehen oder vergessen zu haben :fearful_face:.

    • Neu
    Zitat von Dany250

    Ich probier es heut auch mal mit Wireguard aus, ich denke die Einrichtung wird nicht anders sein als die des normalen VPNs, oder?

    Kurze Rückmeldung, auch mit Wireguard hats problemlos geklappt...


    Warum klappt hier einfach alles auf Anhieb :thinking_face:? Da muss doch irgendwas faul sein... :smiling_face:


    Gibts irgendwie als Nutzer einen Unterschied zwischen den beiden VPN Varianten? Ich hab ein Hebel in den Einstellungen des Handys und beide leg ich um und komm da hin wo ich hin muss... :upside_down_face:

    • Neu

    Ich bekomm es mit den IP Gruppen nicht gewuppt. Selbst wenn ich eine erfolgreich (wobei schwer zu überprüfen, sagen wir ich konnte Sie erstellen), lässt sich damit keine Firewallregel erstellen. Und kann es sein, dass ich das dann für jedes VLAN getrennt sperren muss, also keine Mehrfachauswahl geht?