Heimnetzwerk

In diesem Beitrag doku­men­tiere ich noch ein­mal aus­führlich mein Heim­net­zw­erk (hier der erste Beitrag zu diesem The­ma) und stelle ein paar Über­legun­gen darüber an, ob dieses so geeignet ist, oder ob es noch bessere Vari­anten gibt. Der inter­essierte Com­put­er­heimw­erk­er sollte daher weit­er­lesen. Ich würde mich sehr freuen, Kom­mentare dazu zu lesen.

Grund­kom­po­nen­ten meines Heim­net­zw­erkes sind:

• Büro-LAN mit an Switch angeschlossen­em PC, Serv­er und Druck­er. Zusät­zliche Geräte anschliess­bar nach Bedarf, etwa ein Surf-PC für Gäste oder ein Fir­men­lap­top. Der Serv­er läuft unter Debian/Adamantix und bietet alle möglichen und nüt­zlichen Lin­ux-Dien­ste nach Bedarf, ins­beson­dere DHCP, DNS, Fire­wall, NAT, Sam­ba, SSH.
• WLAN mit­tels der bei­den Basis­sta­tio­nen AVM Fritz! Box und D‑Link-WLAN-Bridge. Sie bilden eine Brücke zum Anschluss des kabel­ge­bun­de­nen MP3-Spiel­ers im Schlafz­im­mer. Das WLAN wird selb­stver­ständlich WPA2-ver­schlüs­selt betrieben. Zusät­zliche Geräte wie etwa der Fir­men­lap­top kön­nen sich jed­erzeit von jedem Ort der Woh­nung her einklinken.
• Die Fritz! Box betreibt zusät­zlich einen VoIP Knoten mit zwei angeschlosse­nen Tele­fon­ap­pa­rat­en. Dies erfordert freien Zugang zum Inter­net mit­tels SIP, sowie ide­al­er­weise bevorzugtes Rout­ing der VoIP-Dat­en. Die Fritz! Box sel­ber beherrscht entsprechen­des Traf­fic Shaping.
• Anschluss ans Inter­net mit­tels Cable­com-Modem, also durchs TV-Kabelnetz.

Fol­gende Bedürfnisse möchte ich gerne durch gelun­gene Verbindung dieser Teile erfüllen:

1. Der MP3-Play­er benötigt Zugriff auf die auf dem Serv­er gespe­icherte Musik, sowie auf Radio­sta­tio­nen im Inter­net. Das erfordert freien Zugang aufs Inter­net inklu­sive funk­tion­ieren­dem DNS, sowie Kom­mu­nika­tion mit dem Serv­er mit­tels SMB bzw. Samba.
2. Alle Teile sollen vom Büro-LAN (PC) aus wart­bar sein. Die Kon­fig­u­ra­tions­seit­en der Fritz-Box, beispiel­sweise, sind nur aus dem (aus der Sicht der Fritz-Box) inter­nen LAN (LAN B) oder dem WLAN her erreichbar.
3. Der Serv­er soll mit­tels SSH und/oder FTP aus dem Inter­net erre­ich­bar sein für mich sel­ber, aber auch für meine Freunde.
4. Traf­fic Shap­ing über alle rel­e­van­ten Knoten soll gewährleis­ten, dass 
   • VoIP-Tele­fonie ungestört arbeitet
   • Verkehr, der von aussen angestossen wird (von meinen Fre­un­den, etwa SFTP) den eige­nen Verkehr, den ich sel­ber aus­löse von innen (HTTP, FTP, son­stige Down­loads), nicht ausbremst.
5. Die Sicher­heit der restlichen Infra­struk­tur soll so hoch wie möglich sein. 
   • Es wäre vorteil­haft, wenn das WLAN in ein­er beson­deren Sicher­heit­szone wäre (weil der WLAN-Sicher­heit generell nur bed­ingt zu trauen ist).
   • Eine DMZ wäre eben­falls von Vorteil. Diese kann möglicher­weise mit der WLAN-Zone zusammenfallen.

Es stellt sich nun die Frage, wie genau diese Teile miteinan­der ver­schal­tet wer­den sollen. Die ein­fach­ste Lösung ist im fol­gen­den Bild dargestellt. Und das ist auch die, die ich als erstes in Betrieb genom­men habe:

Die Fritz-Box dient als Haupt-Fire­wall, VoIP und WLAN-Gate­way, sowie Router ins Büro-LAN. Der Serv­er dient nur als Serv­er im inter­nen LAN. Seine Fire­wall-Funk­tion­al­ität wird nicht benutzt, da seine zweite Eth­er­net-Schnittstelle ungenutzt bleibt. Grund­sät­zlich wird an der Fritz-Box jegliche Kon­tak­tauf­nahme von aussen ges­per­rt, auss­er SSH und FTP, die mit­tels Port For­ward­ing an den Serv­er weit­ergeleit­et wer­den. Dies ist auch gle­ichzeit­ig die einzige Schwach­stelle an dem Ganzen: Falls ein Pass­wort kom­pro­mit­tiert wird und jemand auf den Serv­er kommt, hat er von da aus Zugriff auf den ganzen Rest meines Net­zw­erks. Diese Prob­lematik gilt allerd­ings bei genauer­er Betra­ch­tung für alle Szenar­ien, auch für die weit­er unten folgenden.

Ver­glichen mit der obi­gen Wun­schliste weist diese Kon­fig­u­ra­tion fol­gende Prob­leme auf:

• Traf­fic-Shap­ing: Nur VoIP-Verkehr wird bevorzugt behan­delt. Die Fritz-Box küm­mert sich darum (aber nur darum). FTP-Uploads kön­nen nor­males Browsen ausbremsen.
• Es gibt keine DMZ und keine WLAN-Zone.

Ich über­lege jet­zt, ob die Fire­wall-Funk­tion­al­ität des Servers nicht doch auch noch sin­nvoll in Betrieb genom­men wer­den kann. Das kön­nte dann unge­fähr so aussehen:

Das Büro-LAN ist hier also nicht mehr direkt mit der Fritz-Box ver­bun­den, son­dern der Serv­er dient als Router dazwis­chen. Dadurch kann er als Fire­wall sowie als Traf­fic Shaper den Verkehr nach innen steuern. Somit wird das gesamte WLAN und das angeschlossene Schlafz­im­mer-LAN zur DMZ. Das ist sicher­lich eine Erhöhung der Sicher­heit des Büro-LANs. Allerd­ings erfüllt das die Forderun­gen nur teilweise:

• Traf­fic Shap­ing auf dem Serv­er kann zwar die Band­bre­ite des von aussen aus­gelösten Verkehrs beschränken. Allerd­ings ist es schwierig, dabei zwis­chen Verkehr aus dem Inter­net und Verkehr vom MP3-Play­er zu unter­schei­den. Es beste­ht somit die Gefahr, dass der MP3-Play­er eingeschränkt wird. Die Zugriff­s­geschwindigkeit des via WLAN angeschlosse­nen Fir­men­lap­tops auf die Dateien auf dem Serv­er würde dabei möglicher­weise eben­falls auf DSL-Geschwindigkeit reduziert.
• Es müssen zwei getren­nte Fire­walls unter­hal­ten wer­den. Dabei darf der Serv­er den SMB bzw. Sam­ba-Verkehr von und zum MP3-Play­er nicht unterbinden.

Oder als dritte Variante:

Hier dient der Serv­er als Haupt-Fire­wall, anstelle der Fritz-Box. Jene dient stattdessen nur noch als WLAN-AP sowie als VoIP-Knoten. Dies hat fol­gende Vor- und Nachteile:

1. + Es ist nur noch eine Fire­wall zu unter­hal­ten und diese Fire­wall bietet viel feinere Ein­stel­lungsmöglichkeit­en als das sim­ple Port-For­ward­ing der Fritz-Box.
2. - Dafür ist auch das Risiko gröss­er, bei fehler­haften Fire­wall-Ein­stel­lun­gen Tür und Tor zu öffnen.
3. + Das Traf­fic-Shap­ing lässt sich mit Hil­fe der üblichen Lin­ux-Hil­f­s­mit­tel viel fein­er und vielfältiger ein­stellen als das VoIP-Traf­fic-Shap­ing der Fritz-Box.
4. - Die Fritz-Box lässt sich nur noch aus dem WLAN bzw. aus dem Schlafz­im­mer kon­fig­uri­eren, weil Zugriff auf die Kon­fig­u­ra­tions­seit­en über das aus Sicht der Fritz-Box nun externe Büro-LAN ges­per­rt sind.
5. - WLAN und Schlafz­im­mer-LAN bilden jet­zt eben­falls ein eigenes Net­zw­erk­seg­ment. Allerd­ings ist der Zugriff vom Büro-LAN zum WLAN ges­per­rt und nicht umgekehrt. Der Sicher­heit­saspekt läuft also genau in der anderen Rich­tung als eigentlich gewünscht.
6. - Damit ich tele­fonieren kann, müssen jet­zt noch mehr Geräte eingeschal­tet sein und funk­tion­ieren, als in den anderen Szenar­ien. Bish­er musste Cable­com-Modem und Fritz-Box laufen, um die Tele­fon­funk­tion zu gewährleis­ten. Jet­zt müssen zusät­zlich der Serv­er sowie der Switch aktiv sein.

Genau genom­men war diese dritte Vari­ante meine allererste. Wegen der obi­gen Punk­te 4 und 6 ging ich allerd­ings rasch zur aktuellen und nun als Vari­ante 1 beze­ich­neten Kom­bi­na­tion über.

Nach all diesen Ãœber­legun­gen bin ich noch unschlüs­sig, ob und wie ich etwas ändern soll und belasse daher erst mal alles so, wie es grade ist, son­dern bitte um Kommentare.