Heiniger-NetComputerHeimnetzwerk

Heimnetzwerk

Heiniger-Net Veröffentlicht am von

In diesem Beitrag doku­men­tiere ich noch ein­mal aus­führlich mein Heim­net­zw­erk (hier der erste Beitrag zu diesem The­ma) und stelle ein paar Über­legun­gen darüber an, ob dieses so geeignet ist, oder ob es noch bessere Vari­anten gibt. Der inter­essierte Com­put­er­heimw­erk­er sollte daher weit­er­lesen. Ich würde mich sehr freuen, Kom­mentare dazu zu lesen.


Grund­kom­po­nen­ten meines Heim­net­zw­erkes sind:

  • Büro-LAN mit an Switch angeschlossen­em PC, Serv­er und Druck­er. Zusät­zliche Geräte anschliess­bar nach Bedarf, etwa ein Surf-PC für Gäste oder ein Fir­men­lap­top. Der Serv­er läuft unter Debian/Adamantix und bietet alle möglichen und nüt­zlichen Lin­ux-Dien­ste nach Bedarf, ins­beson­dere DHCP, DNS, Fire­wall, NAT, Sam­ba, SSH.Büro-LAN
  • WLAN mit­tels der bei­den Basis­sta­tio­nen AVM Fritz! Box und D‑Link-WLAN-Bridge. Sie bilden eine Brücke zum Anschluss des kabel­ge­bun­de­nen MP3-Spiel­ers im Schlafz­im­mer. Das WLAN wird selb­stver­ständlich WPA2-ver­schlüs­selt betrieben. Zusät­zliche Geräte wie etwa der Fir­men­lap­top kön­nen sich jed­erzeit von jedem Ort der Woh­nung her einklinken.WLAN
  • Die Fritz! Box betreibt zusät­zlich einen VoIP Knoten mit zwei angeschlosse­nen Tele­fon­ap­pa­rat­en. Dies erfordert freien Zugang zum Inter­net mit­tels SIP, sowie ide­al­er­weise bevorzugtes Rout­ing der VoIP-Dat­en. Die Fritz! Box sel­ber beherrscht entsprechen­des Traf­fic Shaping.VoIP
  • Anschluss ans Inter­net mit­tels Cable­com-Modem, also durchs TV-Kabelnetz.

Fol­gende Bedürfnisse möchte ich gerne durch gelun­gene Verbindung dieser Teile erfüllen:

  1. Der MP3-Play­er benötigt Zugriff auf die auf dem Serv­er gespe­icherte Musik, sowie auf Radio­sta­tio­nen im Inter­net. Das erfordert freien Zugang aufs Inter­net inklu­sive funk­tion­ieren­dem DNS, sowie Kom­mu­nika­tion mit dem Serv­er mit­tels SMB bzw. Samba.
  2. Alle Teile sollen vom Büro-LAN (PC) aus wart­bar sein. Die Kon­fig­u­ra­tions­seit­en der Fritz-Box, beispiel­sweise, sind nur aus dem (aus der Sicht der Fritz-Box) inter­nen LAN (LAN B) oder dem WLAN her erreichbar.
  3. Der Serv­er soll mit­tels SSH und/oder FTP aus dem Inter­net erre­ich­bar sein für mich sel­ber, aber auch für meine Freunde.
  4. Traf­fic Shap­ing über alle rel­e­van­ten Knoten soll gewährleis­ten, dass 
    • VoIP-Tele­fonie ungestört arbeitet
    • Verkehr, der von aussen angestossen wird (von meinen Fre­un­den, etwa SFTP) den eige­nen Verkehr, den ich sel­ber aus­löse von innen (HTTP, FTP, son­stige Down­loads), nicht ausbremst.
  5. Die Sicher­heit der restlichen Infra­struk­tur soll so hoch wie möglich sein. 
    • Es wäre vorteil­haft, wenn das WLAN in ein­er beson­deren Sicher­heit­szone wäre (weil der WLAN-Sicher­heit generell nur bed­ingt zu trauen ist).
    • Eine DMZ wäre eben­falls von Vorteil. Diese kann möglicher­weise mit der WLAN-Zone zusammenfallen.

Es stellt sich nun die Frage, wie genau diese Teile miteinan­der ver­schal­tet wer­den sollen. Die ein­fach­ste Lösung ist im fol­gen­den Bild dargestellt. Und das ist auch die, die ich als erstes in Betrieb genom­men habe:

Version 1

Die Fritz-Box dient als Haupt-Fire­wall, VoIP und WLAN-Gate­way, sowie Router ins Büro-LAN. Der Serv­er dient nur als Serv­er im inter­nen LAN. Seine Fire­wall-Funk­tion­al­ität wird nicht benutzt, da seine zweite Eth­er­net-Schnittstelle ungenutzt bleibt. Grund­sät­zlich wird an der Fritz-Box jegliche Kon­tak­tauf­nahme von aussen ges­per­rt, auss­er SSH und FTP, die mit­tels Port For­ward­ing an den Serv­er weit­ergeleit­et wer­den. Dies ist auch gle­ichzeit­ig die einzige Schwach­stelle an dem Ganzen: Falls ein Pass­wort kom­pro­mit­tiert wird und jemand auf den Serv­er kommt, hat er von da aus Zugriff auf den ganzen Rest meines Net­zw­erks. Diese Prob­lematik gilt allerd­ings bei genauer­er Betra­ch­tung für alle Szenar­ien, auch für die weit­er unten folgenden.

Ver­glichen mit der obi­gen Wun­schliste weist diese Kon­fig­u­ra­tion fol­gende Prob­leme auf:

  • Traf­fic-Shap­ing: Nur VoIP-Verkehr wird bevorzugt behan­delt. Die Fritz-Box küm­mert sich darum (aber nur darum). FTP-Uploads kön­nen nor­males Browsen ausbremsen.
  • Es gibt keine DMZ und keine WLAN-Zone.

Ich über­lege jet­zt, ob die Fire­wall-Funk­tion­al­ität des Servers nicht doch auch noch sin­nvoll in Betrieb genom­men wer­den kann. Das kön­nte dann unge­fähr so aussehen:

Version 2

Das Büro-LAN ist hier also nicht mehr direkt mit der Fritz-Box ver­bun­den, son­dern der Serv­er dient als Router dazwis­chen. Dadurch kann er als Fire­wall sowie als Traf­fic Shaper den Verkehr nach innen steuern. Somit wird das gesamte WLAN und das angeschlossene Schlafz­im­mer-LAN zur DMZ. Das ist sicher­lich eine Erhöhung der Sicher­heit des Büro-LANs. Allerd­ings erfüllt das die Forderun­gen nur teilweise:

  • Traf­fic Shap­ing auf dem Serv­er kann zwar die Band­bre­ite des von aussen aus­gelösten Verkehrs beschränken. Allerd­ings ist es schwierig, dabei zwis­chen Verkehr aus dem Inter­net und Verkehr vom MP3-Play­er zu unter­schei­den. Es beste­ht somit die Gefahr, dass der MP3-Play­er eingeschränkt wird. Die Zugriff­s­geschwindigkeit des via WLAN angeschlosse­nen Fir­men­lap­tops auf die Dateien auf dem Serv­er würde dabei möglicher­weise eben­falls auf DSL-Geschwindigkeit reduziert.
  • Es müssen zwei getren­nte Fire­walls unter­hal­ten wer­den. Dabei darf der Serv­er den SMB bzw. Sam­ba-Verkehr von und zum MP3-Play­er nicht unterbinden.

Oder als dritte Variante:

Version 3

Hier dient der Serv­er als Haupt-Fire­wall, anstelle der Fritz-Box. Jene dient stattdessen nur noch als WLAN-AP sowie als VoIP-Knoten. Dies hat fol­gende Vor- und Nachteile:

  1. + Es ist nur noch eine Fire­wall zu unter­hal­ten und diese Fire­wall bietet viel feinere Ein­stel­lungsmöglichkeit­en als das sim­ple Port-For­ward­ing der Fritz-Box.
  2. - Dafür ist auch das Risiko gröss­er, bei fehler­haften Fire­wall-Ein­stel­lun­gen Tür und Tor zu öffnen.
  3. + Das Traf­fic-Shap­ing lässt sich mit Hil­fe der üblichen Lin­ux-Hil­f­s­mit­tel viel fein­er und vielfältiger ein­stellen als das VoIP-Traf­fic-Shap­ing der Fritz-Box.
  4. - Die Fritz-Box lässt sich nur noch aus dem WLAN bzw. aus dem Schlafz­im­mer kon­fig­uri­eren, weil Zugriff auf die Kon­fig­u­ra­tions­seit­en über das aus Sicht der Fritz-Box nun externe Büro-LAN ges­per­rt sind.
  5. - WLAN und Schlafz­im­mer-LAN bilden jet­zt eben­falls ein eigenes Net­zw­erk­seg­ment. Allerd­ings ist der Zugriff vom Büro-LAN zum WLAN ges­per­rt und nicht umgekehrt. Der Sicher­heit­saspekt läuft also genau in der anderen Rich­tung als eigentlich gewünscht.
  6. - Damit ich tele­fonieren kann, müssen jet­zt noch mehr Geräte eingeschal­tet sein und funk­tion­ieren, als in den anderen Szenar­ien. Bish­er musste Cable­com-Modem und Fritz-Box laufen, um die Tele­fon­funk­tion zu gewährleis­ten. Jet­zt müssen zusät­zlich der Serv­er sowie der Switch aktiv sein.

Genau genom­men war diese dritte Vari­ante meine allererste. Wegen der obi­gen Punk­te 4 und 6 ging ich allerd­ings rasch zur aktuellen und nun als Vari­ante 1 beze­ich­neten Kom­bi­na­tion über.

Nach all diesen Ãœber­legun­gen bin ich noch unschlüs­sig, ob und wie ich etwas ändern soll und belasse daher erst mal alles so, wie es grade ist, son­dern bitte um Kommentare.

Kommentare

Heimnetzwerk — 2 Kommentare

  1. Hoi Daniel

    ich würde beim aktuellen Lay­out bleiben. Um gute VoIP Qual­ität zu gewährleis­ten, ist der direk­teste Anschluss immer der beste (und die FritzBox hat zumin­d­est das Shaping/QoS fürs VoIP am besten im Griff).

    Was du dir auch noch bewusst sein musst betr­e­f­fend Shap­ing: Wirk­lich bee­in­flussen kannst du generell nur aus­ge­hen­den Traf­fic (egal, ob die Verbindung von innen nach aussen oder von extern zu dir hergestellt wurde, rel­e­vant ist dann nur die Rich­tung des Daten­trans­fers). Denn nur aus­ge­hen­der Traf­fic kann (ob bei FritzBox oder Lin­ux Fire­wall) auf der Fire­wall aus­ge­bremst (zurück­ge­hal­ten) wer­den und in genau der gewün­scht­en Geschwindigkeit und Pri­or­isierung in Rich­tung Kabelmo­dem los­ge­lassen wer­den. Einge­hen­der Traf­fic kommt ein­fach mal so schnell wie möglich bis zum Shap­ing Gerät (Frit­box oder Lin­ux) und kann dort höch­stens noch durch gezielte Paket Drops kün­stlich herun­terge­bremst wer­den. Wir haben daher auf den einge­hen­den Traf­fic keinen wirk­lichen Ein­fluss auf die QoS/Priorisierung.

    Auf der FritzBox müsste somit vorallem der Uplink Speed angegeben wer­den kön­nen (z.B. bei einem 25000/1500 Abo würdest du vielle­icht 1450 als Uplink speed kon­fig­uri­eren (damit der Aus­ge­hende Fire­wall Verkehr auf jeden Fall ein klein wenig langsamer ist als der real zur Ver­fü­gung ste­hende Link (um zu ver­hin­dern, dass es dann nicht doch beim Modem nochmals zum stauen kommt –> QoS Kon­trolle wäre dahin).

    wenn das Shap­ing richtig eingestellt ist (sprich: eben der Uplink speed auf dem Shap­ing Gerät sich­er leicht tiefer ist als physisch ver­füg­bar), soll­test du den erwäh­n­ten Effekt nicht haben. Sprich voller Upload dürfte den Down­load nicht gross aus­brem­sen und umgekehrt.
    Du kannst es sel­ber tunen/ermitteln, indem du jew­eils während eines vollen Up- bzw. Down­loads ein ping aus­führst und die Shap­ing Werte solange nach unten kor­rigierst, bis die Antwortzeit­en der Pings auch trotz laufen­d­em Up- oder Down­load noch OK sind.

    Um die Sicher­heit zu erhöhen, kannst du fol­gen­des beachten:
    — Über­lege dir, ob du wirk­lich SSH nach aussen offen haben willst. SSH/Shell Zugriff ermöglich wie kor­rekt bemerkt auch ohne Prob­leme den Zugriff aufs restliche Netz und erweit­erten Zugriff auf den Serv­er. Bietest du stattdessen nur FTP (ohne Shell: d.h. die User erhal­ten als Shell /bin/false (siehe /etc/passwd)) an, sind zwar die über­tra­ge­nen Dat­en unver­schlüs­selt (je nach Dat­en dürfte dies nur unter­ge­ord­net von Bedeu­tung sein), dafür kann der Serv­er nicht als Hop in dein Netz miss­braucht wer­den (empfehle vsft­pd mit chroot=~ (sprich: jed­er User kann sein per­sön­lich­es Home-Dir nicht verlassen)).

    Gruss
    Martin

  2. Vie­len Dank, Martin

    Die Sache mit dem Traf­fic Shap­ing ist doch die: Ank­om­mende TCP-Daten­pakete müssen vom TCP/IP-Stack quit­tiert wer­den. Das Quit­tungspaket geht an den Absender zurück und enthält die Infor­ma­tion, ob das gesendete Paket fehler­frei angekom­men ist oder nicht. Damit ein von mir ver­an­lasster Down­load (z.b. beim Browsen) flüs­sig hereinkommt, müssen diese Quit­tungspakete rasch und unge­hin­dert über den Upstream-Kanal fliessen kön­nen. Wenn nun gle­ichzeit­ig ein FTP-Upload die gesamte Upstream-Über­tra­gungska­paz­ität belegt, dann gehen die Quit­tungspakete nicht sofort los, son­dern müssen jew­eils ein biss­chen warten, bis im FTP-Daten­strom die näch­ste Lücke kommt. Die für dieses Warten benötigte Zeit hängt davon ab, wie gross die FTP-Daten­pakete sind, und wie gross der Sendepuffer ist, der vom TCP/IP-Stack benutzt wird. Die Quit­tungspakete sel­ber sind klein (nur wenige dutzend Bytes), die FTP-Daten­pakete so gross wie möglich (nor­maler­weise im Bere­ich 1500 Bytes). Die Grösse des Sendepuffers ist mir grade nicht bekan­nt. Aber jeden­falls führt dies dazu, dass bei gle­ichzeit­ig laufen­d­em FTP-Upload ein HTTP-Down­load nur stock­end hereinkommt, obwohl die Down­stream-Daten­rate bei weit­em nicht voll aus­genutzt wird.

    Darum ist Traf­fic Shap­ing emi­nent wichtig, nicht nur für VoIP, son­dern auch dann, wenn damit zu rech­nen ist, dass die Leitung nicht nur von einem selb­st benutzt wird. Deshalb werde ich, sobald ich dazu komme, mir die Zeit dafür zu nehmen, mein Heim­net­zw­erk in Rich­tung Vari­ante 2 weiterentwickeln.

    Gruss
    — Daniel

css.php