[Frage] [7490 / 7.12] wie Gastnetz aus normalem/privatem Netz erreichbar machen?

[boxcharmer]

Hallo zusammen,

nach längerem Suchen und Probieren bin ich nun bei euch gelandet und hoffe, dass es für mein Anliegen per Freetz/modfs eine Lösung gibt. Ich möchte das Gastnetz (LAN/WLAN) der 7490 (7.12, vanilla) zur Abtrennung von IoT-Geräten nutzen, die ich allerdings aus dem normalen/privaten LAN/WLAN erreichen können will (unidirektional). Mit Boardmitteln der 7490 (z.B. per statischer Route) geht das leider nicht - wieso auch immer das verhindert wird.

Ich habe bereits versucht mithilfe eines externen Routers über 1:1-NAT eine Brücke zu bauen, was auch prinzipiell funktioniert. Bedingung dafür ist allerdings, dass die Geräte im Gastnetz feste IPs haben, was aber bei den meisten IoT-Geräten nicht machbar ist (nur DHCP). Dummerweise erlaubt die 7490 aber keine feste IP-Zuweisung via DHCP im Gastnetz, weshalb sich der Ansatz nicht durchhalten lässt.

Hat jemand eine Idee wie ich das irgendwie "unter der Haube", also ggf. per Freetz oder modfs bewerkstelligen könnte?

Dank euch!

 

[PeterPawn]

Das geht mit FRITZ!OS nicht (auch nicht mit "modfs" oder Freetz) ... der Sinn des Gastnetzes ist es ja gerade, daß die Geräte dort nicht mit dem LAN kommunizieren dürfen. Eigene Regeln in der Art "Die Geräte im LAN müssen die Verbindung aufbauen." kennt das FRITZ!OS nicht (jedenfalls nicht ohne weiteres und nicht "reliable", denn die gesamte Firewall sitzt bei AVM im "dsld" und der kommt bei Verbindungen zwischen LAN und Gastnetz gar nicht ins Spiel) und ein NAT vom LAN in das Gastnetz erfolgt auch nicht (wo dann die LAN-Clients mit der IP des Routers im Gastnetz erscheinen würden und Antworten von den IoT-Devices sich auf bereits aufgebaute Verbindungen beschränken würden).

Wie Du ja selbst schon erkannt hast, würde selbst ein NAT an der Stelle nicht wirklich etwas bringen, denn die FRITZ!Box kann/soll für das Gastnetz gar nicht mit statischen Adressen arbeiten (das ermöglicht am Ende wieder das Spoofen einer fremden (IP-)Identität) und bei dynamischen Adressen bräuchte man wieder ARP-Konnektivität (also Layer2), um die (IoT-)Geräte anhand ihrer MAC-Adressen zu identifizieren.

Am einfachsten dürfte es hier noch sein (wenn man das wirklich will), in das Gastnetz einen Proxy einzubauen, der dort Client im (W)LAN ist und parallel dazu aber über die öffentliche(!) IP der FRITZ!Box ein VPN (als User) aufmacht, so daß er auch eine IP-Adresse im "normalen" (W)LAN erhält. Der könnte dann die Requests an seine Adresse irgendwie für die IoT-Devices umsetzen ... da er im Gastnetz hängt, sollte er auch die Geräte anhand ihrer MAC-Adressen finden können, unabhängig davon, was die FRITZ!Box denen zugeteilt hat als IPv4-Adresse.

Wobei es dann deutlich "durchsichtiger" wäre, wenn man gar nicht erst auf ein Gastnetz setzt, sondern anstelle des Proxys gleich einen "richtigen" Router nimmt, der dann seinerseits über entsprechende Firewall-Regel sicherstellt, daß ausgehende Verbindungen der IoT-Devices NICHT an Ziele im LAN weitergeleitet werden dürfen und nur die Antworten in Verbindungen, die vom LAN in das "nachgelagerte" Netz aufgebaut wurden, auch an Geräte im LAN geroutet werden.

Allerdings darf dieser zweite Router dann eben keine FRITZ!Box sein, aber ein RasPi (3B oder 4B - Kostenpunkt um die 50 EUR (ab 35 EUR), je nachdem, was man noch dazu kaufen muß; vom Netzteil über ein Gehäuse bis zur Speicherkarte für das OS) wäre schon vollkommen ausreichend für diese Aufgaben, wenn er über den Ethernet-Anschluß ins LAN der FRITZ!Box verbunden wird und ansonsten seinerseits über sein WLAN (allerdings nur mit 2,4 GHz, doch die meisten IoT-Devices kennen auch nichts anderes) die IoT-Devices anbindet.

Das ist zwar etwas arbeitsintensiver, wenn man sich damit nicht auskennt ... dafür hat man die IoT-Devices aber auch viel besser "unter Kontrolle" und kann auf dem RasPi auch ein Monitoring laufen lassen, mit wem die nun wirklich so reden bzw. hat deren Verbindung auch im Handumdrehen gekappt, indem man das WLAN am RasPi abdreht oder den Ethernet-Stecker (egal auf welcher Seite) zieht.

EDIT: Daß man dann auf dem RasPi - je nach eigenem Bedarf - auch noch einem MQTT-Broker für die IoT-Devices laufen lassen kann, ist nur noch die "cherry on top".

 

[boxcharmer]

Dank dir für deine ausführliche Antwort! Schade, dass Freetz/modfs hier der FB nicht auf die Sprünge helfen können. Das erklärt auch wieso meine Suche bislang erfolglos war. Wie gesagt, mir ist nicht klar wieso AVM unidirektionalen Verkehr ins Gastnetz nicht (wenigstens optional) unterstützt, denn ich sehe dort keine Sicherheitsprobleme und der Anwendungsfall dürfte für viele immer interessanter werden.

Wobei es dann deutlich "durchsichtiger" wäre, wenn man gar nicht erst auf ein Gastnetz setzt, sondern anstelle des Proxys gleich einen "richtigen" Router nimmt [...] und ansonsten seinerseits über sein WLAN [...] die IoT-Devices anbindet

Ah ok, du würdest also ein von der FB separates WLAN aufspannen. Die nötigen Pi bzw. Ubiquiti/MicroTik Boxen haben ich hier zwar bereits im Einsatz (z.B. für die "cherry on top"), aber leider würde das eben in meinem Fall auch bedeuten, dass ich das bereits vorhandene AVM Mesh für das zweite WLAN komplett nachbauen müsste - ein AP reicht leider nicht. Genau das hatte ich natürlich gehofft vermeiden zu können.

Mist!

Für weitere "kreative" Ideen der Community wäre ich dankbar

 

[eisbaerin]

Mir ist noch nicht klar was du vor wem schützen willst, weil du sie ins Gastnetz willst.
Worauf sollen die IoT nicht zugreifen dürfen?
Oder wer darf nicht auf die IoT zugreifen?

Andere lassen die im normalen Netz und verbieten denen z.B. den Internet -Zugriff.

 

[boxcharmer]

Hi!

Mir ist noch nicht klar was du vor wem schützen willst, weil du sie ins Gastnetz willst.

Eigentlich ganz einfach: nicht-vertrauenswürdige IoT Devices (z.B. Staubsauger-Roboter) sollen unter sich bleiben, also nicht auf das "geschützte" private (W)LAN zugreifen können. Allerdings muss ich aus dem privaten Netz (z.B. per Smartphone) auf das Gastnetz zugreifen können, um die dortigen Gerätschaften ansteuern zu können. Jedes mal dafür das WLAN wechseln ist zu unkomfortabel, als dass ich das meiner besseren Hälfte verkaufen könnte . Ein einfaches routing per NAT/masq mit erlaubtem established/related return-path in der firewall würde ja an sich dafür reichen.

 

[eisbaerin]

Also so was wie eine DMZ.
Am einfachsten geht das doch mit 2 FB hintereinander.
Hinter die 1. kommen deine IoT und hinter die 2. dein geschütztes Netz.
Dann können die IoT nicht auf dein Netz zugreifen, da NAT.
Du kannst aber auf sie zugreifen.

 

[Joe_57]

Dann besorg dir doch einfach ein Billig-Smartphone mit dem du die Steuerung deiner Gastnetz-Geräte erledigst.
So wird ein Übergreifen des Staubsaugers auf z.B. deinen Netzwerkdrucker wirkungsvoll verhindert!

 

[boxcharmer]

Am einfachsten geht das doch mit 2 FB hintereinander.
Hinter die 1. kommen deine IoT und hinter die 2. dein geschütztes Netz.

Hm, aber wie sollte das dann mit dem existierenden Mesh funktionieren? Die vorhandenen Repeater können ja nur mit einer FB ein Mesh aufbauen, oder nicht? In deinem Ansatz hätte ich doch zwei WLANs, je eines pro FB...?

Dann besorg dir doch einfach ein Billig-Smartphone mit dem du die Steuerung deiner Gastnetz-Geräte erledigst.

Keine Chance. Die Nerd-Lösung mag ja für mich noch gehen (eigentlich nicht), aber spätestens meine "bessere Hälfte" (s.o.) macht da nicht mit.

 

[eisbaerin]

In deinem Ansatz hätte ich doch zwei WLANs, je eines pro FB...?

Ja, wer schön (+sauber) sein will muß leiden, oder wie heißt das hier?

Du hattest jetzt ja aber auch schon 2 WLANs:
Ein normales WLAN und ein Gast-WLAN

 

[boxcharmer]

Will sagen "kauf dir zur Not weitere Repeater um das 2. WLAN zu verteilen"?

 

[eisbaerin]

Richtig! Um wie viele handelt es sich denn?

Dann hast du es aber auch richtig sauber getrennt.

 

[PeterPawn]

denn ich sehe dort keine Sicherheitsprobleme

Das kommt sicherlich auch darauf an, wie man das konfigurieren kann (je besser/genauer es sich einstellen läßt, desto schneller ist es auch verkonfiguriert und die Box ist eben immer noch für den "Normalbenutzer" konzipiert von den Einstellungen her) und noch einmal: Das Kardinalproblem an der Stelle hast Du doch selbst bereits ausgemacht ... ein (zuverlässiger) Zugriff aus dem LAN auf das Gastnetz (das ist eben keine DMZ und auch kein "zweites" lokales Netz) in nur einer Richtung (denn sich ein zweites LAN zu basteln auf einem Ethernet-Port, ist tatsächlich machbar - nur ist das dann in keiner Richtung von dem anderen abgeschirmt) und dabei noch auf das richtige Gerät, setzt eine zusätzliche Verwaltung der DHCP-Leases und DNS-Einträge voraus (die allerdings tatsächlich bereits existiert, aber eben mit speziellen Vorkehrungen, um "wartungsfrei" zu arbeiten), die dann auch wieder aus dem LAN erreichbar sein müßte.

Nur mal so als Beispiel für neue Fragen, die sich daraus wieder ergeben: Was macht man jetzt eigentlich in diesem Falle mit den lokalen DNS-Namen, die für die vorhandenen Clients "angemeldet" werden? Mischt man jetzt die Geräte im Gastnetz (und speichern muß man die ja wieder, wenn das LAN per DNS darauf zugreifen soll) mit denen aus dem LAN oder braucht's da doch eine eigene Subdomain (die bisher auch nicht existiert, weil das einfach getrennte Zonen sind)?

Und so zieht eine solche Forderung nach dem Zugriff auf das Gastnetz nach und nach einen Rattenschwanz an Änderungen nach sich, die für die tatsächliche Funktion als "Gastnetz" (für Leute, die mal eben vorbeikommen und WLAN nutzen wollen, denen man aber das eigene WLAN nicht öffnen will) gar keine Relevanz haben.

Schon der "Mißbrauch" des Gastnetzes als zweites LAN mit gesonderten Zugriffsrechten für "Dauergäste" ist ja eigentlich soo gar nicht gedacht und so manches IoT-Device wird auch mit den standardmäßig aktiven Beschränkungen im Gastnetz nicht funktionieren, auch wenn man diese ändern kann bzw. für einige dieser Geräte dann auch ändern muß, wenn die irgendwelche Webservice abseits von Zielports 443 und 80 verwenden wollen.

Da fällt es dann eben auch schwer, Kritik an fehlenden Funktionen, die mit der tatsächlichen Idee hinter diesem "Gastnetz" gar nichts zu tun haben, entsprechend nachzuvollziehen. Die Feststellung, daß für den "Mißbrauch" einer bestimmten Funktion für andere Zwecke ein paar Features fehlen, unterstellt eben auch automatisch, daß dieser "Mißbrauch" irgendwie gewünscht wäre.

Ich kann mich noch gut an Diskussionen erinnern, wie es sich AVM überhaupt erlauben konnte, ab irgendeiner Version keine Portfreigaben in das Gastnetz mehr zu erlauben ... schließlich hatte das so mancher Nutzer auch damals schon als DMZ mißbraucht und dort seine Server untergebracht, die vom LAN getrennt bleiben sollten. Im Prinzip war das sogar dasselbe Problem ... denn auch da sollten i.d.R. die LAN-Clients auch auf den Server im Gastnetz zugreifen, wenn auch meist über NAT-Hairpinning über die öffentliche IP (bzw. den DynDNS-Namen, der dann in die öffentliche IP aufgelöst wurde).

 

[boxcharmer]

Um wie viele handelt es sich denn?

Aktuell "nur" zwei Repeater. Aber wenn ich zu dem Zweck drei weitere Boxen brauche, dann kann ich auch gleich umsteigen und die FB nur noch als DSL-Modem nutzen. Meh.

Was macht man jetzt eigentlich in diesem Falle mit den lokalen DNS-Namen, die für die vorhandenen Clients "angemeldet" werden

Da hast du schon grundsätzlich Recht, aber ich sehe da kein großes Problem bei der Implementierung: sofern die DHCP-Konfig des Gast-WLANs wie die des privaten WLANs konfigurierbar wäre, also hostname sowie konstante IP optional zu vergeben, wäre mir bereits geholfen. Für Konfliktfreiheit zu sorgen ist nun wirklich kein Hexenwerk.

auch wenn man diese ändern kann bzw. für einige dieser Geräte dann auch ändern muß, wenn die irgendwelche Webservice abseits von Zielports 443 und 80 verwenden wollen.

Eben, das ist per Filterprofil doch bereits machbar. In Teilen ist also schon daran gedacht worden. "Mißbrauch" ist dabei Definitionssache.

Kritik an fehlenden Funktionen

Ich kritisiere hier nicht AVM, würde mir aber, quasi als Verbesserungsvorschlag, eine flexiblere Nutzungsmöglichkeit des Gastnetzes wünschen, die a) heute immer wichtiger wird und b) die FB noch attraktiver machen würde.

schließlich hatte das so mancher Nutzer auch damals schon als DMZ mißbraucht

Ja, das ist mir auch bekannt, aber ich denke der Vergleich hinkt ein wenig, da der Zugriff aus dem öffentlichen Netz dann doch noch eine ganz andere Nummer ist.

 

[boxcharmer]

Vielen Dank erstmal für eure Ideen bis hier hin. Vielleicht eine vermutlich vorerst letzte Frage dazu: ist es via Freetz/modfs möglich den DHCP des Gastnetzes zu ersetzen/deligieren oder um statische IPs zu erweitern? Für das normale Netz lässt sich via Freetz dnsmasq nutzen. Am Ende würde es mir ja schon reichen eine Liste von statischen IPs im Gastnetz definieren zu können.

 

[koyaanisqatsi]

Moinsen


Mal Andersrum gedacht?
Gastzugang >>--> VPN <<-->> Internet <<-->> LAN
...und das geht mit Bordmitteln.
...wenn der Gastzugang ( Das Profil ) "Unbeschränkt" ist.