{"id":124,"date":"2008-02-23T12:50:56","date_gmt":"2008-02-23T11:50:56","guid":{"rendered":"http:\/\/www.heiniger-net.ch\/archives\/124"},"modified":"2008-02-23T12:50:56","modified_gmt":"2008-02-23T11:50:56","slug":"heimnetzwerk","status":"publish","type":"post","link":"https:\/\/heiniger-net.blog-net.ch\/en\/archives\/124\/heimnetzwerk\/","title":{"rendered":"Heimnetzwerk"},"content":{"rendered":"<p>In diesem Beitrag doku\u00admen\u00adtiere ich noch ein\u00admal aus\u00adf\u00fchrlich mein Heim\u00adnet\u00adzw\u00aderk (<a href=\"http:\/\/www.heiniger-net.ch\/archives\/91\">hier der erste Beitrag zu diesem The\u00adma<\/a>) und stelle ein paar \u00dcber\u00adlegun\u00adgen dar\u00fcber an, ob dieses so geeignet ist, oder ob es noch bessere Vari\u00adanten gibt. Der inter\u00adessierte Com\u00adput\u00ader\u00adheimw\u00aderk\u00ader sollte daher weit\u00ader\u00adlesen. Ich w\u00fcrde mich sehr freuen, Kom\u00admentare dazu zu&nbsp;lesen.<\/p>\n<p><!--more--><br>\nGrund\u00adkom\u00adpo\u00adnen\u00adten meines Heim\u00adnet\u00adzw\u00aderkes&nbsp;sind:<\/p>\n<ul>\n<li>B\u00fcro-LAN mit an Switch angeschlossen\u00adem <span class=\"caps\">PC<\/span>, Serv\u00ader und Druck\u00ader. Zus\u00e4t\u00adzliche Ger\u00e4te anschliess\u00adbar nach Bedarf, etwa ein Surf-PC f\u00fcr G\u00e4ste oder ein Fir\u00admen\u00adlap\u00adtop. Der Serv\u00ader l\u00e4uft unter Debian\/Adamantix und bietet alle m\u00f6glichen und n\u00fct\u00adzlichen Lin\u00adux-Dien\u00adste nach Bedarf, ins\u00adbeson\u00addere <span class=\"caps\">DHCP<\/span>, <span class=\"caps\">DNS<\/span>, Fire\u00adwall, <span class=\"caps\">NAT<\/span>, Sam\u00adba,&nbsp;<span class=\"caps\">SSH<\/span>.<img decoding=\"async\" src=\"http:\/\/heiniger-net.blog-net.ch\/files\/2008\/02\/netzwerk-buro-lan.png\" alt=\"B\u00fcro-LAN\" align=\"texttop\"><\/li>\n<li><span class=\"caps\">WLAN<\/span> mit\u00adtels der bei\u00adden Basis\u00adsta\u00adtio\u00adnen <span class=\"caps\">AVM<\/span> Fritz! Box und D\u2011Link-WLAN-Bridge. Sie bilden eine Br\u00fccke zum Anschluss des kabel\u00adge\u00adbun\u00adde\u00adnen MP3-Spiel\u00aders im Schlafz\u00adim\u00admer. Das <span class=\"caps\">WLAN<\/span> wird selb\u00adstver\u00adst\u00e4ndlich WPA2-ver\u00adschl\u00fcs\u00adselt betrieben. Zus\u00e4t\u00adzliche Ger\u00e4te wie etwa der Fir\u00admen\u00adlap\u00adtop k\u00f6n\u00adnen sich jed\u00aderzeit von jedem Ort der Woh\u00adnung her einklinken.<img decoding=\"async\" src=\"http:\/\/heiniger-net.blog-net.ch\/files\/2008\/02\/netzwerk-wlan.png\" alt=\"WLAN\" align=\"texttop\"><\/li>\n<li>Die Fritz! Box betreibt zus\u00e4t\u00adzlich einen VoIP Knoten mit zwei angeschlosse\u00adnen Tele\u00adfon\u00adap\u00adpa\u00adrat\u00aden. Dies erfordert freien Zugang zum Inter\u00adnet mit\u00adtels <span class=\"caps\">SIP<\/span>, sowie ide\u00adal\u00ader\u00adweise bevorzugtes Rout\u00ading der VoIP-Dat\u00aden. Die Fritz! Box sel\u00adber beherrscht entsprechen\u00addes Traf\u00adfic Shaping.<img decoding=\"async\" src=\"http:\/\/heiniger-net.blog-net.ch\/files\/2008\/02\/netzwerk-voip.png\" alt=\"VoIP\" align=\"texttop\"><\/li>\n<li>Anschluss ans Inter\u00adnet mit\u00adtels Cable\u00adcom-Modem, also durchs TV-Kabelnetz.<\/li>\n<\/ul>\n<p>Fol\u00adgende Bed\u00fcrfnisse m\u00f6chte ich gerne durch gelun\u00adgene Verbindung dieser Teile erf\u00fcllen:<\/p>\n<ol>\n<li>Der MP3-Play\u00ader ben\u00f6tigt Zugriff auf die auf dem Serv\u00ader gespe\u00adicherte Musik, sowie auf Radio\u00adsta\u00adtio\u00adnen im Inter\u00adnet. Das erfordert freien Zugang aufs Inter\u00adnet inklu\u00adsive funk\u00adtion\u00adieren\u00addem <span class=\"caps\">DNS<\/span>, sowie Kom\u00admu\u00adnika\u00adtion mit dem Serv\u00ader mit\u00adtels <span class=\"caps\">SMB<\/span> bzw.&nbsp;Samba.<\/li>\n<li>Alle Teile sollen vom B\u00fcro-LAN (<span class=\"caps\">PC<\/span>) aus wart\u00adbar sein. Die Kon\u00adfig\u00adu\u00adra\u00adtions\u00adseit\u00aden der Fritz-Box, beispiel\u00adsweise, sind nur aus dem (aus der Sicht der Fritz-Box) inter\u00adnen <span class=\"caps\">LAN<\/span> (<span class=\"caps\">LAN<\/span> B) oder dem <span class=\"caps\">WLAN<\/span> her erreichbar.<\/li>\n<li>Der Serv\u00ader soll mit\u00adtels <span class=\"caps\">SSH<\/span> und\/oder <span class=\"caps\">FTP<\/span> aus dem Inter\u00adnet erre\u00adich\u00adbar sein f\u00fcr mich sel\u00adber, aber auch f\u00fcr meine Freunde.<\/li>\n<li>Traf\u00adfic Shap\u00ading \u00fcber alle rel\u00ade\u00advan\u00adten Knoten soll gew\u00e4hrleis\u00adten,&nbsp;dass&nbsp;<ul>\n<li>VoIP-Tele\u00adfonie ungest\u00f6rt arbeitet<\/li>\n<li>Verkehr, der von aussen angestossen wird (von meinen Fre\u00adun\u00adden, etwa <span class=\"caps\">SFTP<\/span>) den eige\u00adnen Verkehr, den ich sel\u00adber aus\u00adl\u00f6se von innen (<span class=\"caps\">HTTP<\/span>, <span class=\"caps\">FTP<\/span>, son\u00adstige Down\u00adloads), nicht ausbremst.<\/li>\n<\/ul>\n<\/li>\n<li>Die Sicher\u00adheit der restlichen Infra\u00adstruk\u00adtur soll so hoch wie m\u00f6glich sein.&nbsp;<ul>\n<li>Es w\u00e4re vorteil\u00adhaft, wenn das <span class=\"caps\">WLAN<\/span> in ein\u00ader beson\u00adderen Sicher\u00adheit\u00adszone w\u00e4re (weil der WLAN-Sicher\u00adheit generell nur bed\u00adingt zu trauen ist).<\/li>\n<li>Eine <span class=\"caps\">DMZ<\/span> w\u00e4re eben\u00adfalls von Vorteil. Diese kann m\u00f6glicher\u00adweise mit der WLAN-Zone zusammenfallen.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p>Es stellt sich nun die Frage, wie genau diese Teile miteinan\u00adder ver\u00adschal\u00adtet wer\u00adden sollen. Die ein\u00adfach\u00adste L\u00f6sung ist im fol\u00adgen\u00adden Bild dargestellt. Und das ist auch die, die ich als erstes in Betrieb genom\u00admen&nbsp;habe:<\/p>\n<p><img decoding=\"async\" src=\"http:\/\/heiniger-net.blog-net.ch\/files\/2008\/02\/netzwerk-imbisbuehl-1.png\" alt=\"Version 1\"><\/p>\n<p>Die Fritz-Box dient als Haupt-Fire\u00adwall, VoIP und WLAN-Gate\u00adway, sowie Router ins B\u00fcro-LAN. Der Serv\u00ader dient nur als Serv\u00ader im inter\u00adnen <span class=\"caps\">LAN<\/span>. Seine Fire\u00adwall-Funk\u00adtion\u00adal\u00adit\u00e4t wird nicht benutzt, da seine zweite Eth\u00ader\u00adnet-Schnittstelle ungenutzt bleibt. Grund\u00ads\u00e4t\u00adzlich wird an der Fritz-Box jegliche Kon\u00adtak\u00adtauf\u00adnahme von aussen ges\u00adper\u00adrt, auss\u00ader <span class=\"caps\">SSH<\/span> und <span class=\"caps\">FTP<\/span>, die mit\u00adtels Port For\u00adward\u00ading an den Serv\u00ader weit\u00adergeleit\u00adet wer\u00adden. Dies ist auch gle\u00adichzeit\u00adig die einzige Schwach\u00adstelle an dem Ganzen: Falls ein Pass\u00adwort kom\u00adpro\u00admit\u00adtiert wird und jemand auf den Serv\u00ader kommt, hat er von da aus Zugriff auf den ganzen Rest meines Net\u00adzw\u00aderks. Diese Prob\u00adlematik gilt allerd\u00adings bei genauer\u00ader Betra\u00adch\u00adtung f\u00fcr alle Szenar\u00adien, auch f\u00fcr die weit\u00ader unten folgenden.<\/p>\n<p>Ver\u00adglichen mit der obi\u00adgen Wun\u00adschliste weist diese Kon\u00adfig\u00adu\u00adra\u00adtion fol\u00adgende Prob\u00adleme&nbsp;auf:<\/p>\n<ul>\n<li>Traf\u00adfic-Shap\u00ading: Nur VoIP-Verkehr wird bevorzugt behan\u00addelt. Die Fritz-Box k\u00fcm\u00admert sich darum (aber nur darum). FTP-Uploads k\u00f6n\u00adnen nor\u00admales Browsen ausbremsen.<\/li>\n<li>Es gibt keine <span class=\"caps\">DMZ<\/span> und keine WLAN-Zone.<\/li>\n<\/ul>\n<p>Ich \u00fcber\u00adlege jet\u00adzt, ob die Fire\u00adwall-Funk\u00adtion\u00adal\u00adit\u00e4t des Servers nicht doch auch noch sin\u00adnvoll in Betrieb genom\u00admen wer\u00adden kann. Das k\u00f6n\u00adnte dann unge\u00adf\u00e4hr so aussehen:<\/p>\n<p><img decoding=\"async\" src=\"http:\/\/heiniger-net.blog-net.ch\/files\/2008\/02\/netzwerk-imbisbuehl-2.png\" alt=\"Version 2\"><\/p>\n<p>Das B\u00fcro-LAN ist hier also nicht mehr direkt mit der Fritz-Box ver\u00adbun\u00adden, son\u00addern der Serv\u00ader dient als Router dazwis\u00adchen. Dadurch kann er als Fire\u00adwall sowie als Traf\u00adfic Shaper den Verkehr nach innen steuern. Somit wird das gesamte <span class=\"caps\">WLAN<\/span> und das angeschlossene Schlafz\u00adim\u00admer-LAN zur <span class=\"caps\">DMZ<\/span>. Das ist sicher\u00adlich eine Erh\u00f6hung der Sicher\u00adheit des B\u00fcro-LANs. Allerd\u00adings erf\u00fcllt das die Forderun\u00adgen nur teilweise:<\/p>\n<ul>\n<li>Traf\u00adfic Shap\u00ading auf dem Serv\u00ader kann zwar die Band\u00adbre\u00adite des von aussen aus\u00adgel\u00f6sten Verkehrs beschr\u00e4nken. Allerd\u00adings ist es schwierig, dabei zwis\u00adchen Verkehr aus dem Inter\u00adnet und Verkehr vom MP3-Play\u00ader zu unter\u00adschei\u00adden. Es beste\u00adht somit die Gefahr, dass der MP3-Play\u00ader eingeschr\u00e4nkt wird. Die Zugriff\u00ads\u00adgeschwindigkeit des via <span class=\"caps\">WLAN<\/span> angeschlosse\u00adnen Fir\u00admen\u00adlap\u00adtops auf die Dateien auf dem Serv\u00ader w\u00fcrde dabei m\u00f6glicher\u00adweise eben\u00adfalls auf DSL-Geschwindigkeit reduziert.<\/li>\n<li>Es m\u00fcssen zwei getren\u00adnte Fire\u00adwalls unter\u00adhal\u00adten wer\u00adden. Dabei darf der Serv\u00ader den <span class=\"caps\">SMB<\/span> bzw. Sam\u00adba-Verkehr von und zum MP3-Play\u00ader nicht unterbinden.<\/li>\n<\/ul>\n<p>Oder als dritte Variante:<\/p>\n<p><img decoding=\"async\" src=\"http:\/\/heiniger-net.blog-net.ch\/files\/2008\/02\/netzwerk-imbisbuehl-3.png\" alt=\"Version 3\"><\/p>\n<p>Hier dient der Serv\u00ader als Haupt-Fire\u00adwall, anstelle der Fritz-Box. Jene dient stattdessen nur noch als <span class=\"caps\">WLAN-AP<\/span> sowie als VoIP-Knoten. Dies hat fol\u00adgende Vor- und Nachteile:<\/p>\n<ol>\n<li>+ Es ist nur noch eine Fire\u00adwall zu unter\u00adhal\u00adten und diese Fire\u00adwall bietet viel feinere Ein\u00adstel\u00adlungsm\u00f6glichkeit\u00aden als das sim\u00adple Port-For\u00adward\u00ading der Fritz-Box.<\/li>\n<li>- Daf\u00fcr ist auch das Risiko gr\u00f6ss\u00ader, bei fehler\u00adhaften Fire\u00adwall-Ein\u00adstel\u00adlun\u00adgen T\u00fcr und Tor zu \u00f6ffnen.<\/li>\n<li>+ Das Traf\u00adfic-Shap\u00ading l\u00e4sst sich mit Hil\u00adfe der \u00fcblichen Lin\u00adux-Hil\u00adf\u00ads\u00admit\u00adtel viel fein\u00ader und vielf\u00e4ltiger ein\u00adstellen als das VoIP-Traf\u00adfic-Shap\u00ading der Fritz-Box.<\/li>\n<li>- Die Fritz-Box l\u00e4sst sich nur noch aus dem <span class=\"caps\">WLAN<\/span> bzw. aus dem Schlafz\u00adim\u00admer kon\u00adfig\u00aduri\u00aderen, weil Zugriff auf die Kon\u00adfig\u00adu\u00adra\u00adtions\u00adseit\u00aden \u00fcber das aus Sicht der Fritz-Box nun externe B\u00fcro-LAN ges\u00adper\u00adrt&nbsp;sind.<\/li>\n<li>- <span class=\"caps\">WLAN<\/span> und Schlafz\u00adim\u00admer-LAN bilden jet\u00adzt eben\u00adfalls ein eigenes Net\u00adzw\u00aderk\u00adseg\u00adment. Allerd\u00adings ist der Zugriff vom B\u00fcro-LAN zum <span class=\"caps\">WLAN<\/span> ges\u00adper\u00adrt und nicht umgekehrt. Der Sicher\u00adheit\u00adsaspekt l\u00e4uft also genau in der anderen Rich\u00adtung als eigentlich gew\u00fcnscht.<\/li>\n<li>- Damit ich tele\u00adfonieren kann, m\u00fcssen jet\u00adzt noch mehr Ger\u00e4te eingeschal\u00adtet sein und funk\u00adtion\u00adieren, als in den anderen Szenar\u00adien. Bish\u00ader musste Cable\u00adcom-Modem und Fritz-Box laufen, um die Tele\u00adfon\u00adfunk\u00adtion zu gew\u00e4hrleis\u00adten. Jet\u00adzt m\u00fcssen zus\u00e4t\u00adzlich der Serv\u00ader sowie der Switch aktiv&nbsp;sein.<\/li>\n<\/ol>\n<p>Genau genom\u00admen war diese dritte Vari\u00adante meine allererste.  Wegen der obi\u00adgen Punk\u00adte 4 und 6 ging ich allerd\u00adings rasch zur aktuellen und nun als Vari\u00adante 1 beze\u00adich\u00adneten Kom\u00adbi\u00adna\u00adtion&nbsp;\u00fcber.<\/p>\n<p>Nach all diesen \u00c3\u0153ber\u00adlegun\u00adgen bin ich noch unschl\u00fcs\u00adsig, ob und wie ich etwas \u00e4ndern soll und belasse daher erst mal alles so, wie es grade ist, son\u00addern bitte um Kommentare.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In diesem Beitrag doku\u00admen\u00adtiere ich noch ein\u00admal aus\u00adf\u00fchrlich mein Heim\u00adnet\u00adzw\u00aderk (hier der erste Beitrag zu diesem The\u00adma) und stelle ein paar \u00dcber\u00adlegun\u00adgen dar\u00fcber an, ob dieses so geeignet ist, oder ob es noch bessere Vari\u00adanten gibt. Der inter\u00adessierte Com\u00adput\u00ader\u00adheimw\u00aderk\u00ader sollte <span class=\"excerpt-dots\">\u2026<\/span> <a class=\"more-link\" href=\"https:\/\/heiniger-net.blog-net.ch\/en\/archives\/124\/heimnetzwerk\/\"><span class=\"more-msg\">Con\u00adtin\u00adue reading&nbsp;\u2192<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"wp_typography_post_enhancements_disabled":false,"iawp_total_views":7,"footnotes":""},"categories":[11],"tags":[32,37,38,39],"class_list":["post-124","post","type-post","status-publish","format-standard","hentry","category-computer","tag-avm-fritz","tag-lan","tag-network","tag-wlan"],"_links":{"self":[{"href":"https:\/\/heiniger-net.blog-net.ch\/en\/wp-json\/wp\/v2\/posts\/124","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/heiniger-net.blog-net.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/heiniger-net.blog-net.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/heiniger-net.blog-net.ch\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/heiniger-net.blog-net.ch\/en\/wp-json\/wp\/v2\/comments?post=124"}],"version-history":[{"count":0,"href":"https:\/\/heiniger-net.blog-net.ch\/en\/wp-json\/wp\/v2\/posts\/124\/revisions"}],"wp:attachment":[{"href":"https:\/\/heiniger-net.blog-net.ch\/en\/wp-json\/wp\/v2\/media?parent=124"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/heiniger-net.blog-net.ch\/en\/wp-json\/wp\/v2\/categories?post=124"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/heiniger-net.blog-net.ch\/en\/wp-json\/wp\/v2\/tags?post=124"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}