Beiträge von amaskus

    Wenn ich das richtig verstanden habe würde ich also mein NAS nicht mehr völlig vor dem LAN schützen. Der Schutz gegenüber dem Internet bleibt in diesem Fall ja aber unberührt, denke ich?

    Jaien, ein Rest Risiko hast du immer, aber das kannst du minimieren so weit es geht.


    Ich werde in meinem nächsten Setup das NAS vermutlich nur per VPN erreichbar machen dann hab ich keine freigaben von außen und muss mich erst ins VPN und dann aufs NAS verbinden.


    Wie gesagt wenn dein client schon kompromittiert ist kommt er ja trotzdem auf das NAS weil die Berechtigung da ist.


    Nach meinen Recherchen wäre hier die Ideallösung ein Modem, welches die Telefonverbindung herstellt, das USG dann nur die Internetverbindung. Leider ist meine Fritz!Box 7590 erst vor ca. 2 Monaten angekommen, es wäre also blöd, wenn ich diese jetzt gar nicht mehr gebrauchen könnte.

    Du brauchst vor dem USG definitiv ein Modem - das ist anders als bei der FB nicht mit eingebaut, viele verwenden dazu einen Vigor 130 oder 160/165 von Dreytek.

    Wenn du ein solches vor das USG hängst kannst du die FB auch für Telefon und Wifi weiter verwenden - Wifi falls du keine anderen APs hast.


    Wenn du einen Kabelanschluss hast kann es evtl ein bridge Mode geben der das Internet durchleitet aber das Telefon trotzdem weiter betreibt - da kannst du hier im Forum fündig werden.


    Eine andere Lösung außer das Port forwarding gibt es nicht, oder? Wobei ich ja sowieso nur SMB und evtl. https zum Verwalten meines NAS freigeben müsste :thinking_face:

    Mir fällt zumindest keine andere ein.

    Bei den Ports, je nachdem was auf deinem NAS an Diensten läuft - aber mit https und SMB kommst du schon mal ein stück weit.


    Ob statische Routen helfen können weiß ich gerade nicht, dafür hab ich noch nicht genug damit gemacht.


    Persönlich würde ich eher das Ganze netz mit dem USG verwalten als einen zweiten Router ins Netz zu holen

    Moin


    Wenn du auf deinem Client PC (192.168.178.x) die IP des NAS eingibst (172.16.1.x) kann das nicht funktionieren. Die Fritzbox die das Routing macht kennt das NAS ja nicht (mehr).


    Du kommst aus deinem FB Netz per IP nur bis zum WAN Anschluss des USG (das hat ja ne IP im 192.168.178.x Bereich)


    Was mir spontan vorm ersten Kaffee heute morgen einfällt ist ein Port forwarding für die Syno Ports

    Du gibst dann quasi statt der IP des NAS die 192er IP des USG ein und er leitet weiter.


    Das ganze schützt dich im Zweifel aber nicht wenn dein Client durch nen Virus (oder was auch immer) kompromittiert ist. Die Zugangs Berechtigung hat er dennoch.


    Ob es evtl eleganter ist das USG für das komplette Netz zu Nutzen und das ganze via VLAN abzutrennen (oder als DMZ) müsste man noch sehen. Wegen der DMZ kennen sich andere vermutlich besser aus.


    Wenn du es per VLAN trennst kannst du das genauso gut einstellen aber das interne Routing bleibt dir erhalten (also du kannst die IP des NAS eintippen und kommst auch da drauf)


    Was macht die FB denn noch alles ? nur mal zum abchecken ob du das USG für das gesamte Netz nehmen kannst


    LG


    Arne

    Moin Matthias

    1. Welche elektronischen Schlösser können denn dabei verwendet werden?

    so wie ich das mal in der Installationsanleitung gelesen hab gehen zwei arten von Schlössern.

    1. Die zum öffnen eine 12 V Spannung unterbrechen

    2. Die zum öffnen unter 12 V gestellt werden


    Quelle: https://dl.ubnt.com/qsg/UA-Hub/UA-Hub_DE.html



    2. Kann man den Zugang (z.B. via NFC) auch anderen Personen via E-Mail oder so zukommen lassen?

    Evtl kommt dafür noch mal ne App oder es kommt mit in die Protect App


    Aber ja das Thema ist sehr spannend

    Der Verwendung von Bestehender Hardware steht ja nichts im Weg.


    Wenn der Switch Routing kann wäre das kein Problem.


    Aber Ich würde keine FritzBox für so einen zweck verwenden, das ist Consumer Hardware die da doch an ihre Grenzen kommen sollte.


    Die FB würde ich gegen ein USG Pro oder eine UDMP austauschen - du brauchst dann ziemlich sicher noch ein Modem da das in den Unifi Geräten nicht eingebaut ist

    tirohn


    Also An der WLAN Box hängen deine Kameras per LAN ?

    Und die anderen Geräte sind per WLAN an der WLAN Box angemeldet ?


    Ist das so richtig ?


    Wenn die Devolos WLAN machen ist das ein oder ausgeschaltet ? nicht, dass die dann Bandbreite für das WLAN reservieren und das LAN hinten ansteht

    Moin Spacemaster


    Router ist auf der Standardmäßigen 192.168.2.1, hat das was damit zu tun?

    Ja, Die FB wird als Netz 192.168.2.1/24 haben - Das bedeutet der Netzbereich geht von 192.168.2.1-192.168.2.254

    damit ist 192.168.0.X nicht in deinem Bereich und der CK sieht die Switche nicht mehr.


    Für die VLANs brauchst du ja auch noch wieder einen Router - die FB kann nur ein Netz (soweit ich weiß) also brauchst du einen Router der VLANs verwalten kann sonst wird das nichts.

    Wenn du bei UI bleiben willst empfiehlt sich ein USG oder eine UDM(P)


    Mit der FB wird dir nichts anderes übrig bleiben, als alles in ein Netz zu werfen


    LG


    Arne

    Moin

    Was meinst Du mit den WiFi Geräten? Die hängen sonst alle nur am WiFi. Einzig meinen eigenen Laptop habe ich eigentlich versucht ans LAN zu hängen, damit es eigentlich stabiler laufen soll. Ich begreife das einfach nicht mehr. Wie soll ich denn sonst die Devices verbinden? Wenn ich die WLAN Boxen nehme, dann halbiert sich dort ja auch die Leistung pro Box, die ich anhänge, das ist doch zum Haare raufen...

    Kannst du spezifizieren was für Access Points du einsetzt ? dann is das evtl etwas einfacher zu verstehen wie dein Netz läuft.


    Du hast in deinem Plan ja WLAN Boxen (was ist das genau?) und die waren mit den Kameras per Linie verbunden, darum nehme ich an. dass da nur die Kamera dranhängt. Hängen deine anderen Wifi Geräte da mit dran (der Pi zB) oder hängen die an den Devolos (die machen auch Wifi wenn ich das richtig gesehen habe).


    LG

    Wenn ich nun mein PC an LAN anstatt WAN anschließe und den PC auch in das Subnet 192.168.170.x bringe dann kann ich zugreifen.

    Irgend wie komisch.

    Willkommen in der Welt von Netzwerken - aber das ist logisch in dem Fall.

    Durch die Maske /24 (also 255.255.255.0) sieht die 192.168.170.100 nur Geräte die sich zwischen 192.168.170.1 und 192.168.170.254 befinden, alles andere ist für die quasi unsichtbar.


    Was mir aber gerade noch eingefallen ist:


    Versuch mal an deinem Router (Der mit WAN 192.168.5.30) ein Portforwarding auf die 192.168.170.100 einzurichten

    Das könnte funktionieren - dann erreichst du dein Gerät zwar unter der 192.168.5.30 aber das wäre bestimmt egal

    Moin TiRohn,


    Mein Bauchgefühl hat die Devolos im Verdacht - LAN durch die Steckdose ist eher so Semi gut habe ich gemerkt. Wenn da ne Sicherung dazwischen ist kann es schon mal eng werden.


    Hängen deine Ganzen Wifi Geräte mit an den Devolos (also die die du nicht gesondert mit WLAN Box verbunden hast ?

    Damit läuft aber deren gesamter Netzverkehr über unser VPN und verstopft mir den Upload.

    Ich meinte das Einstellungsseitig :winking_face:


    Beim iOS integrierten VPN Client gibt es ne Option "Gesamten Datenverkehr" senden, wenn die aus ist sollte er ja normalerweise nur das durch die VPN schicken, was auch nen zugriff auf die Premise Architektur benötigt der rest geht normal über Cellular oder Wifi.

    Evtl. lässt sich das auch in dem Profil hinterlegen welche Adressen er das VPN nimmt und welche er normal raus gibt - dann ist das sogar App unabhängig


    Unsere Sophos VPN in der Firma ist so eingestellt, dass er eben nicht alles dadurch schickt sondern er aktiv schaut wann muss was durch die VPN und wann nicht - die VPN Verbindung steht aber die ganze Zeit.

    Einstellung 1 (zum Testen ob eine Verbindung besteht)

    IP PC: 192.168.170.5

    Subnet Mask 255.255.255.0

    Verbindung zu 192.168.170.5 funktioniert.

    Das die Verbindung klappt wundert mich nicht - ist ja localhost wenn du dich nicht vertippt hast


    Im 2. Szenario ist die Subnet-Maske des Zielsystems so, dass es das Quellsystem nicht erreichen kann - ohne Router. Das klappt mMn erst, wenn beide Seiten eine 16er Maske haben - kann mich aber auch täuschen. :upside_down_face:

    Würde ich auch sagen, es brauchen beide die /16 (oder 255.255.0.0)