Moin,
ich möchte mein aktuell von einer einzelnen, eigenen Fritzbox (6591 Cable an VF Cable Max 1000, Dual Stack) realisiertes Netzwerk zu Hause neu aufstellen. Dabei ist es mir ein Anliegen, dass ich für einige Geräte (die einen kubernetes Cluster bilden) den Zugriff aus dem Internet realisiere. Aktuell mache ich das über 2 Portfreigaben (80,443) auf die betroffenen Hosts. Sollten diese aber übernommen werden, steht nichts mehr zwischen dem Angreifer und meinem Heimnetz.
Darum will ich mehrere Netzwerke anlegen und teilweise voneinander isolieren. Konkret brauche ich:
- ein "Heimnetz" mit angeschlossenem WLAN. Die Geräte in diesem Netz sollen mit allen anderen lokalen Netzen vollständig und mit dem Internet / WAN ausgehend kommunizieren können
- ein "Gastnetz" mit angeschlossenem WLAN. Die Geräte in diesem Netz sollen ausschließlich ausgehend mit dem Internet / WAN ausgehend kommunizieren können
- eine "DMZ" (nur Kabel). Die Geräte in diesem Netz sollen nur eingehende Verbindungen aus dem Heimnetz und dem Internet / WAN beantworten und ausgehend ins Internet / WAN kommunizieren dürfen
Den einfachsten Schritt (Sachen kaufen) habe ich bereits gemacht:
- 1x USW-16-PoW (in Betrieb)
- 3x USW Flex Mini (in Betrieb)
- 1x UDM Pro (im Karton)
- 1x Vodafone Station (im Versand)
Die Geräte für die DMZ stehen im Rack und können direkt mit dem Switch / der UDM verbunden werden. Das Gerät für das Gastnetz (ein vom Kunden gestellter Rechner) hängt im Moment direkt an der Fritzbox (LAN-Port für Gastnetz). Da die Box aber auch ins Rack soll, wird zukünftig eine indirekte Anbindung notwendig sein (Switch -> Wanddose -> Flex Mini Switch -> Gast). Ich nehme an, damit werden VLANs notwendig?
Da immer noch Home Office Zeit ist und teilweise neue Hardware noch im Zulauf, muss der Umbau des Netzes möglichst störungsfrei gehen. Darum plane ich mehrere Schritte:
- UDM Pro hinter Fritzbox als Exposed Host. Dann kann ich die Netze schonmal definieren, sowie DMZ und Gastnetz via Kabel in Betrieb nehmen. Sobald ich die expliziten Portfreigaben auf 80,443 aus der Fritzbox entferne, sollten entsprechende Requests an den Exposed Host (und dann hoffentlich) auf die DMZ gehen
- Vodafone Station als Modem / Bridged vor die UDM Pro und die Fritzbox dahinter als IP-Client im "Heimnetz". Da ich noch keine Unifi WLAN Hardware habe, werden die Fritzbox und ein Fritz!Repeater 3000 weiter WLAN und VoIP/DECT machen
- Unifi Access Points kaufen und WLAN (Heimnetz und Gastnetz) dorthin verlagern. Fritzbox behalten für VoIP/DECT oder durch günstigere Variante ersetzen
So hab ich mir das ausgemalt, allerdings bin ich in Sachen Netzwerk nur moderat bewandert und Unifi ist komplett neu. Gleichzeitig glaube ich, dass mein Vorhaben nicht sonderlich außergewöhnlich ist.
Ich suche also Anleitungen oder vergleichbare Projekte, an denen ich mich orientieren kann. Gesehen habe ich schon UniFi Allgemein | Firewall-Regeln by EJ und es scheint in die gleiche Richtung zu gehen ("Admin-LAN" = "Heimnetz"?). Dennoch, ich bin für Links, Tutorial und Händchen halten mehr als dankbar.
Gruß
Maxim.
