Im Thread Empfehlung Netzwerk-Switch mit POE wurde parallel auch das Thema VLAN zur sicheren Trennung von IoT-Geräten diskutiert.
Es wurde der Vorschlag gemacht, diese OT-Diskussion zu vermeiden, daher habe ich diesen Thread hier eröffnet.
Das Thema hier soll daher lauten: Wie sehen mögliche Netzwerk-Strukturen im Smart-Home aus?
Was hier nicht diskutiert werden soll ist die Frage, welche Hersteller bieten beim Switch, Router oder AP welche Vor-/Nachteile.
Ich habe in meinem Beispiel die Fritzbox und UniFi betrachtet, genauso kann natürlich auch Cisco, HP, MikroTik, Netgear, TP-Link, ZyXEL oder jedes andere Gerät verwendet werden.
Dieser Hersteller-Vergleich wurde in obigem Thread bereits sehr detailliert diskutiert und passt dort auch besser dazu, daher der Versuch, dieses Thema hier auszuklammern.
Ich habe dieses Thema auch hier ausgiebig diskutiert: Empfehlung für Router und Switch für sicheres Smart Home
daher findet man auch dort bereits viele Hinweise.
Für meinem Vergleich habe ich die folgenden Strukturen in Bezug auf Komfort und Sicherheit verglichen.
1.) Modem und VLAN fähiger Router getrennt
Netzwerk-Entwurf für sicheres Smart-Home - VLAN fähiger Router.png
2.) Router-Kaskade
Netzwerk-Entwurf für sicheres Smart-Home - Router-Kaskade.png
3.) Modem und Router in einem Gerät
Netzwerk-Entwurf für sicheres Smart-Home - Fritzbox als Router.png
Im Folgenden die Vor- und Nachteile der 3 Varianten, die ich bisher finden konnte.
1.) Modem und VLAN fähiger Router getrennt
Als Modem könnte hier z.B. Draytek Vigor 165 verwendet werden, als Router fast jedes Gerät (bis auf die Fritzbox, da nicht VLAN-fähig)
Als DECT-Basisstation wird hier recht gerne ein Gigaset oder auch wieder eine Fritzbox verwendet.
Durch geschickte Wahl eines geeigneten Routers kann man hier frei wählen, ob einem Komfort oder Sicherheit wichtiger ist.
Meist ist es so, dass Router mit zu komfortabler Oberfläche dann auch einige Möglichkeiten verstecken oder komplett vermissen lassen,
während Router die mehr Funktionen bieten, dann auch komplizierter zu konfigurieren sind. Falls dabei Fehler passieren, leidet aber erst recht wieder die Sicherheit.
2.) Router-Kaskade
Wer weder den Komfort der Fritzbox noch die Möglichkeiten von getrennten VLANs vermissen möchte, der könnte auch eine Router-Kaskade einsetzen, wie man sie auch für eine DMZ häufig verwendet. Die Frage ist nur, wo hier die Vor- und Nachteile liegen, und was davon überwiegt.
Ein Nachteil wäre z.B. doppeltes NAT. Eine Anleitung, wie man das bei UniFi verhindern kann, habe ich hier gefunden:
UniFi LAN-/WLAN-Infrastruktur mit FRITZ!Box ohne "Doppeltes NAT"
3.) Fritzbox als Modem und Router in einem Gerät
Diese Variante ist die in DACH wohl am häufigsten eingesetzte, da sie den meisten Komfort bietet. Plug-and-Play ist hier meistens gegeben.
Der größte Nachteil ist für viele sicherlich, dass die Fritzbox nur ein einzige getrenntes (noch dazu ungetaggtes) VLAN als Gastnetz anbietet, und man dort dann alle Geräte unterbringen muss, die man nicht im Hauptnetz haben möchte.
Ein weiterer (kleinerer) Nachteil ergibt sich ebenfalls daraus, dass man dann 2 Netzwerkkabel von der Fritzbox zum VLAN fähigen Level2 Switch benötigt.
Ich habe mal versucht, die wichtigsten Zusatz-Funktionen der Fritzbox zu sammeln, um Alternativen zum Wechsel auf die Varianten 1 oder 2 zu finden.
Anrufbeantworter: Die Fritzbox bietet einen lokalen AB, auch beim Gigaset N300A gibt es diese Möglichkeit, nicht aber beim N510 oder darüber.
TKS: Bei fast jeder SIP-TKS findet sich auch eine Anleitung, wie diese mit dem SIP-Server in der Fritzbox zusammenarbeitet.
Wie würde daher die Anbindung einer SIP-TKS ohne Fritzbox aussehen?
VoIP Lösungen bietet sicher nicht nur die Fritzbox, wie sehen hier Alternativen aus?
Ein Mini-NAS mit einer SSD direkt an der Fritzbox löst so manche kleine Aufgabe etwas preiswerter als ein richtiges NAS.
Alternativ könnte man dasselbe zwar auch mit Network-Servern (z.B. Sedna, Silex) lösen, in diesem Fall aber besser gleich mit einem echten NAS.
IP-Kameras kann die Fritzbox auf angeschlossene DECT-Telefone routen, diese Funktion konnte ich bei Gigaset bisher noch nicht finden.
Ich bin jedoch sicher, dass es auch hier alternative Lösungen gibt.
DECT-ULE: Nach den spärlichen Meldungen hier im Forum wird diese Funktion kaum eingesetzt, daher wäre dann auch kein Ersatz dafür notwendig.
UMTS-Stick, MediaPlayer, WebRadio, TV-Anbindung: Auch dafür wird es Alternativen geben, falls diese überhaupt benötigt werden.
Aus meiner Sicht stellen sich in erster Linie 2 wichtige Fragen:
1.) Wie viel ist es mir Wert, auf den Komfort der Fritzbox zugunsten von mehr Sicherheit zu verzichten?
2.) Wie sehen die Alternativen zur Fritzbox im Detail aus, welche Vor- und Nachteile haben sie?
Hier noch einige Links, falls jemand mehr Infos zu dem Thema möchte.
VLAN: Grundlagen virtueller LANs
Mehr Sicherheit mit logischen Subnetzen
Das Heimnetzwerk durch Bereichsaufteilung sichern (Gast-WLAN und DMZ mit Fritzbox)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mehrfach-Verteiler (Netzwerksicherheit: WLAN-Router für Mehr-Zonen-Netze) [nur mit Heise-Abo]
Router-Kaskaden (Lokale Netze mit mehreren Routern trennen) [auch ohne Heise-Abo]
Smart-Home absichern: 5 Tipps
Walter
Es wurde der Vorschlag gemacht, diese OT-Diskussion zu vermeiden, daher habe ich diesen Thread hier eröffnet.
Das Thema hier soll daher lauten: Wie sehen mögliche Netzwerk-Strukturen im Smart-Home aus?
Was hier nicht diskutiert werden soll ist die Frage, welche Hersteller bieten beim Switch, Router oder AP welche Vor-/Nachteile.
Ich habe in meinem Beispiel die Fritzbox und UniFi betrachtet, genauso kann natürlich auch Cisco, HP, MikroTik, Netgear, TP-Link, ZyXEL oder jedes andere Gerät verwendet werden.
Dieser Hersteller-Vergleich wurde in obigem Thread bereits sehr detailliert diskutiert und passt dort auch besser dazu, daher der Versuch, dieses Thema hier auszuklammern.
Ich habe dieses Thema auch hier ausgiebig diskutiert: Empfehlung für Router und Switch für sicheres Smart Home
daher findet man auch dort bereits viele Hinweise.
Für meinem Vergleich habe ich die folgenden Strukturen in Bezug auf Komfort und Sicherheit verglichen.
1.) Modem und VLAN fähiger Router getrennt
Netzwerk-Entwurf für sicheres Smart-Home - VLAN fähiger Router.png
2.) Router-Kaskade
Netzwerk-Entwurf für sicheres Smart-Home - Router-Kaskade.png
3.) Modem und Router in einem Gerät
Netzwerk-Entwurf für sicheres Smart-Home - Fritzbox als Router.png
Im Folgenden die Vor- und Nachteile der 3 Varianten, die ich bisher finden konnte.
1.) Modem und VLAN fähiger Router getrennt
Als Modem könnte hier z.B. Draytek Vigor 165 verwendet werden, als Router fast jedes Gerät (bis auf die Fritzbox, da nicht VLAN-fähig)
Als DECT-Basisstation wird hier recht gerne ein Gigaset oder auch wieder eine Fritzbox verwendet.
Durch geschickte Wahl eines geeigneten Routers kann man hier frei wählen, ob einem Komfort oder Sicherheit wichtiger ist.
Meist ist es so, dass Router mit zu komfortabler Oberfläche dann auch einige Möglichkeiten verstecken oder komplett vermissen lassen,
während Router die mehr Funktionen bieten, dann auch komplizierter zu konfigurieren sind. Falls dabei Fehler passieren, leidet aber erst recht wieder die Sicherheit.
2.) Router-Kaskade
Wer weder den Komfort der Fritzbox noch die Möglichkeiten von getrennten VLANs vermissen möchte, der könnte auch eine Router-Kaskade einsetzen, wie man sie auch für eine DMZ häufig verwendet. Die Frage ist nur, wo hier die Vor- und Nachteile liegen, und was davon überwiegt.
Ein Nachteil wäre z.B. doppeltes NAT. Eine Anleitung, wie man das bei UniFi verhindern kann, habe ich hier gefunden:
UniFi LAN-/WLAN-Infrastruktur mit FRITZ!Box ohne "Doppeltes NAT"
3.) Fritzbox als Modem und Router in einem Gerät
Diese Variante ist die in DACH wohl am häufigsten eingesetzte, da sie den meisten Komfort bietet. Plug-and-Play ist hier meistens gegeben.
Der größte Nachteil ist für viele sicherlich, dass die Fritzbox nur ein einzige getrenntes (noch dazu ungetaggtes) VLAN als Gastnetz anbietet, und man dort dann alle Geräte unterbringen muss, die man nicht im Hauptnetz haben möchte.
Ein weiterer (kleinerer) Nachteil ergibt sich ebenfalls daraus, dass man dann 2 Netzwerkkabel von der Fritzbox zum VLAN fähigen Level2 Switch benötigt.
Ich habe mal versucht, die wichtigsten Zusatz-Funktionen der Fritzbox zu sammeln, um Alternativen zum Wechsel auf die Varianten 1 oder 2 zu finden.
- Anrufbeantworter
- TKS-Anbindung
- VoIP-Gespräche über Handy App führen, auch von unterwegs
- Mini-NAS
- IP-Kamera Anbindung
- DECT-ULE
- UMTS-Stick
- MediaPlayer, WebRadio
- TV-Anbindung
Anrufbeantworter: Die Fritzbox bietet einen lokalen AB, auch beim Gigaset N300A gibt es diese Möglichkeit, nicht aber beim N510 oder darüber.
TKS: Bei fast jeder SIP-TKS findet sich auch eine Anleitung, wie diese mit dem SIP-Server in der Fritzbox zusammenarbeitet.
Wie würde daher die Anbindung einer SIP-TKS ohne Fritzbox aussehen?
VoIP Lösungen bietet sicher nicht nur die Fritzbox, wie sehen hier Alternativen aus?
Ein Mini-NAS mit einer SSD direkt an der Fritzbox löst so manche kleine Aufgabe etwas preiswerter als ein richtiges NAS.
Alternativ könnte man dasselbe zwar auch mit Network-Servern (z.B. Sedna, Silex) lösen, in diesem Fall aber besser gleich mit einem echten NAS.
IP-Kameras kann die Fritzbox auf angeschlossene DECT-Telefone routen, diese Funktion konnte ich bei Gigaset bisher noch nicht finden.
Ich bin jedoch sicher, dass es auch hier alternative Lösungen gibt.
DECT-ULE: Nach den spärlichen Meldungen hier im Forum wird diese Funktion kaum eingesetzt, daher wäre dann auch kein Ersatz dafür notwendig.
UMTS-Stick, MediaPlayer, WebRadio, TV-Anbindung: Auch dafür wird es Alternativen geben, falls diese überhaupt benötigt werden.
Aus meiner Sicht stellen sich in erster Linie 2 wichtige Fragen:
1.) Wie viel ist es mir Wert, auf den Komfort der Fritzbox zugunsten von mehr Sicherheit zu verzichten?
2.) Wie sehen die Alternativen zur Fritzbox im Detail aus, welche Vor- und Nachteile haben sie?
Hier noch einige Links, falls jemand mehr Infos zu dem Thema möchte.
VLAN: Grundlagen virtueller LANs
Mehr Sicherheit mit logischen Subnetzen
Das Heimnetzwerk durch Bereichsaufteilung sichern (Gast-WLAN und DMZ mit Fritzbox)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mehrfach-Verteiler (Netzwerksicherheit: WLAN-Router für Mehr-Zonen-Netze) [nur mit Heise-Abo]
Router-Kaskaden (Lokale Netze mit mehreren Routern trennen) [auch ohne Heise-Abo]
Smart-Home absichern: 5 Tipps
Walter
Kommentar