Heiniger-Net

Heimnetzwerk

In diesem Beitrag doku­men­tiere ich noch ein­mal aus­führlich mein Heim­net­zw­erk (hier der erste Beitrag zu diesem The­ma) und stelle ein paar Über­legun­gen darüber an, ob dieses so geeignet ist, oder ob es noch bessere Vari­anten gibt. Der inter­essierte Com­put­er­heimw­erk­er sollte daher weit­er­lesen. Ich würde mich sehr freuen, Kom­mentare dazu zu lesen.


Grund­kom­po­nen­ten meines Heim­net­zw­erkes sind:

Fol­gende Bedürfnisse möchte ich gerne durch gelun­gene Verbindung dieser Teile erfüllen:

  1. Der MP3-Play­er benötigt Zugriff auf die auf dem Serv­er gespe­icherte Musik, sowie auf Radio­sta­tio­nen im Inter­net. Das erfordert freien Zugang aufs Inter­net inklu­sive funk­tion­ieren­dem DNS, sowie Kom­mu­nika­tion mit dem Serv­er mit­tels SMB bzw. Samba.
  2. Alle Teile sollen vom Büro-LAN (PC) aus wart­bar sein. Die Kon­fig­u­ra­tions­seit­en der Fritz-Box, beispiel­sweise, sind nur aus dem (aus der Sicht der Fritz-Box) inter­nen LAN (LAN B) oder dem WLAN her erreichbar.
  3. Der Serv­er soll mit­tels SSH und/oder FTP aus dem Inter­net erre­ich­bar sein für mich sel­ber, aber auch für meine Freunde.
  4. Traf­fic Shap­ing über alle rel­e­van­ten Knoten soll gewährleis­ten, dass 
    • VoIP-Tele­fonie ungestört arbeitet
    • Verkehr, der von aussen angestossen wird (von meinen Fre­un­den, etwa SFTP) den eige­nen Verkehr, den ich sel­ber aus­löse von innen (HTTP, FTP, son­stige Down­loads), nicht ausbremst.
  5. Die Sicher­heit der restlichen Infra­struk­tur soll so hoch wie möglich sein. 
    • Es wäre vorteil­haft, wenn das WLAN in ein­er beson­deren Sicher­heit­szone wäre (weil der WLAN-Sicher­heit generell nur bed­ingt zu trauen ist).
    • Eine DMZ wäre eben­falls von Vorteil. Diese kann möglicher­weise mit der WLAN-Zone zusammenfallen.

Es stellt sich nun die Frage, wie genau diese Teile miteinan­der ver­schal­tet wer­den sollen. Die ein­fach­ste Lösung ist im fol­gen­den Bild dargestellt. Und das ist auch die, die ich als erstes in Betrieb genom­men habe:

Die Fritz-Box dient als Haupt-Fire­wall, VoIP und WLAN-Gate­way, sowie Router ins Büro-LAN. Der Serv­er dient nur als Serv­er im inter­nen LAN. Seine Fire­wall-Funk­tion­al­ität wird nicht benutzt, da seine zweite Eth­er­net-Schnittstelle ungenutzt bleibt. Grund­sät­zlich wird an der Fritz-Box jegliche Kon­tak­tauf­nahme von aussen ges­per­rt, auss­er SSH und FTP, die mit­tels Port For­ward­ing an den Serv­er weit­ergeleit­et wer­den. Dies ist auch gle­ichzeit­ig die einzige Schwach­stelle an dem Ganzen: Falls ein Pass­wort kom­pro­mit­tiert wird und jemand auf den Serv­er kommt, hat er von da aus Zugriff auf den ganzen Rest meines Net­zw­erks. Diese Prob­lematik gilt allerd­ings bei genauer­er Betra­ch­tung für alle Szenar­ien, auch für die weit­er unten folgenden.

Ver­glichen mit der obi­gen Wun­schliste weist diese Kon­fig­u­ra­tion fol­gende Prob­leme auf:

Ich über­lege jet­zt, ob die Fire­wall-Funk­tion­al­ität des Servers nicht doch auch noch sin­nvoll in Betrieb genom­men wer­den kann. Das kön­nte dann unge­fähr so aussehen:

Das Büro-LAN ist hier also nicht mehr direkt mit der Fritz-Box ver­bun­den, son­dern der Serv­er dient als Router dazwis­chen. Dadurch kann er als Fire­wall sowie als Traf­fic Shaper den Verkehr nach innen steuern. Somit wird das gesamte WLAN und das angeschlossene Schlafz­im­mer-LAN zur DMZ. Das ist sicher­lich eine Erhöhung der Sicher­heit des Büro-LANs. Allerd­ings erfüllt das die Forderun­gen nur teilweise:

Oder als dritte Variante:

Hier dient der Serv­er als Haupt-Fire­wall, anstelle der Fritz-Box. Jene dient stattdessen nur noch als WLAN-AP sowie als VoIP-Knoten. Dies hat fol­gende Vor- und Nachteile:

  1. + Es ist nur noch eine Fire­wall zu unter­hal­ten und diese Fire­wall bietet viel feinere Ein­stel­lungsmöglichkeit­en als das sim­ple Port-For­ward­ing der Fritz-Box.
  2. - Dafür ist auch das Risiko gröss­er, bei fehler­haften Fire­wall-Ein­stel­lun­gen Tür und Tor zu öffnen.
  3. + Das Traf­fic-Shap­ing lässt sich mit Hil­fe der üblichen Lin­ux-Hil­f­s­mit­tel viel fein­er und vielfältiger ein­stellen als das VoIP-Traf­fic-Shap­ing der Fritz-Box.
  4. - Die Fritz-Box lässt sich nur noch aus dem WLAN bzw. aus dem Schlafz­im­mer kon­fig­uri­eren, weil Zugriff auf die Kon­fig­u­ra­tions­seit­en über das aus Sicht der Fritz-Box nun externe Büro-LAN ges­per­rt sind.
  5. - WLAN und Schlafz­im­mer-LAN bilden jet­zt eben­falls ein eigenes Net­zw­erk­seg­ment. Allerd­ings ist der Zugriff vom Büro-LAN zum WLAN ges­per­rt und nicht umgekehrt. Der Sicher­heit­saspekt läuft also genau in der anderen Rich­tung als eigentlich gewünscht.
  6. - Damit ich tele­fonieren kann, müssen jet­zt noch mehr Geräte eingeschal­tet sein und funk­tion­ieren, als in den anderen Szenar­ien. Bish­er musste Cable­com-Modem und Fritz-Box laufen, um die Tele­fon­funk­tion zu gewährleis­ten. Jet­zt müssen zusät­zlich der Serv­er sowie der Switch aktiv sein.

Genau genom­men war diese dritte Vari­ante meine allererste. Wegen der obi­gen Punk­te 4 und 6 ging ich allerd­ings rasch zur aktuellen und nun als Vari­ante 1 beze­ich­neten Kom­bi­na­tion über.

Nach all diesen Ãœber­legun­gen bin ich noch unschlüs­sig, ob und wie ich etwas ändern soll und belasse daher erst mal alles so, wie es grade ist, son­dern bitte um Kommentare.

Exit mobile version