scharrrfi
Goto Top

Ideensuche: EInzelne Geräte für das Internet sperren (trotz DHCP) und begrenzter Hardware

Hallo zusammen,

ich bin auf der Suche nach einer einfachen Möglichkeit einzelne Geräte (u.A. IP Kameras und chinesiche Smart-Home Geräte) für das Internet zu sperren und nur im Heimnetz zuzulassen. Leider ist es mir nicht möglich, die Geräte auf eine feste IP ohne Gateway und/oder DNS einzurichten, da sie ausschließlich ihre Daten über DHCP empfangen.

Das ganze hatte ich zuvor relativ einfach über die integrierte Firewall (Kindersicherung) meiner Fritzbox gemacht. Nun habe ich aber aber auf Vodafone Kabel (ex. Unitymedia) gewechselt und muss erst einmal mit der sehr eingeschränkten Vodafone Station vorlieb nehmen, die kaum Individualisierungen besitzt und leider auch keinen Bridge-Mode unterstützt. Eine Fritzbox Cable ist momentan wegen Lieferengpässen relativ schwer kurzfristig zu bekommen.

Noch dazu kommt, dass ich einzelne Geräte weiterhin über die alte Fritzbox als weiteren AP verbinden lasse, da sie über die Vodafone Station ständig die WLAN Verbindung verlieren. Zudem werden beim DHCP der Vodafone Station ständig die IP Adressen neu vergeben, wenn man länger als eine Stunde getrennt war. Also die Station ist keine Lösung, die Routerfunktionen langfristig übernehmen kann.
Ich würde dann Geräte, die schnelles WLAN benötigen weiterhin direkt an der VF Station verbinden (sofern sie stabil damit arbeiten) und andere an der Fritzbox im weiteren WLAN.

Folgende Hardware wäre vorhanden:
1x Fritzbox 7362
1x Vodafone Station
1x Raspberry Pi 3

Mein erster Gedanke war in das WLAN der Fritzbox alle Geräte reinzupacken, die keinen Internetzugriff benötigen. Leider stehen mir in einem solchen Szenario die Firewall-Funktionalitäten der Fritzbox nicht zur Verfügung. Daher kann ich so keinen Zugriff blocken.

Nun spiele ich mit dem Gedanken, den DHCP über den Raspberry laufen zu lassen und hier individuell an einzelne Geräte kein Gateway und DNS weiterzugeben. Wäre eine solche Lösung ohne großen Aufwand machbar? Ich bin eigentlich davon ausgegangen, dass ich eine solche Lösung auch irgendwie nur mit den beiden Routern zum laufen bekomme. Sieht aber nicht so aus.

Alternativ sehe ich derzeit nur die Möglichkeit mir entweder einen anderen Router zu holen, den ich anstatt der Vodafone Box das WLAN aufspannen lasse oder auf neue eine neue Kabel Fritzbox zu warten und das Netzwerk analog dem alten aufzubauen.

VIelleicht habt ihr ja noch Inspiration für mich. Vielen Dank!

Content-Key: 561908

Url: https://administrator.de/contentid/561908

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: it-fraggle
it-fraggle 29.03.2020 um 12:07:18 Uhr
Goto Top
Mehrere DHCP-Scopes einrichten und die Geräte per MAC an den entsprechenden Scope binden. Dann die Scopes mit oder ohne GW/DNS versorgen, fertig ist die Laube. Besser wäre, wenn du deine Kameras in ein eigenes Netz einsperren würdest und nur sehr restriktiv das Netz einstellst. Ebenso würde ich mit weiteren zweifelhaften Geräten verfahren. Eine APU (PCEngines) oder Vergleichbares wäre keine schlechte Idee. Darauf dann eine pfSense und schon ist das Netzwerkleben leichter.
Mitglied: aqui
aqui 29.03.2020 aktualisiert um 12:19:17 Uhr
Goto Top
und muss erst einmal mit der sehr eingeschränkten Vodafone Station vorlieb nehmen
Das ist das Haupthinderniss !
Warum man sich heutzutage in Zeiten von allgemeiner Router Freiheit überhaupt noch freiwillig so einen dieser billigen Provider Schrottrouter andehen lässt ist fraglich !
Von der TR-069 Daten Schnüffelei der Provider auf diesen Routern mal gar nicht erst zu reden...!
Warum hast du das gemacht ? Du wusstest ja genau um deine Anforderungen und hättest dir deshalb doch gleich eine entsprechende Firewall oder "richtigen" Router beschaffen können und dieser gesamte Thread hier wäre völlig überflüssig ! Er resultiert einzig nur aus deiner Fehlentscheidung obwohl du es ja, wie du selber schreibst, besser wusstest. Was erwartest du also ? Technisches Mitleid hält sich dann also sehr in Grenzen in einem Admin Forum...! Kollege @it-fraggle hat ja auch schon alles dazu gesagt.
Du hast 2 Optionen:
  • Zwangs- Schrottrouter entsorgen und durch etwas Richtiges ersetzen.
  • Router Kaskade mit einem richtigen Router oder Firewall hinter der Schrottgurke wie HIER beschrieben.
Dann klassifizierst du den Traffic dieser Gruselkomponenten im Router und routets den an /dev/null ins Nirwana statt ins Internet und fertig ist der Lack.
Mit entsprechender Hardware ist das in 10 Minuten erledigt !
Mitglied: scharrrfi
scharrrfi 29.03.2020 um 12:39:00 Uhr
Goto Top
Danke schon einmal für eurer Feedback. Man hat aktuell bei einem Kabelanschluss von Vodafone seitens des Providers keine andere Wahl. Und da ich mit DSL an meinem Standort sehr limitiert bin, habe ich auch keine andere Wahl als Kabel.

Wie gesagt, die Fritz 6591 ist nicht lieferbar und ansonsten gibt es anscheinend nur ein einziges Docsis 3.1 Kabelmodem auf dem Markt... Daher habe ich mir hier auch nichts andrehen lassen.

Meine oben genannte Idee fällt nun leider wohl auch flach, da sich der DHCP in der Vodafone Station gar nicht deaktivieren lässt...
Gibt es auch noch andere Routeralternativen bei denen ich die Vodafone Station nur als Telefonzentrale und DHCP Router nutzen kann und trotzdem den Datenverkehr vorher filtern kann?

Mein ursprünglicher Plan ist ja leider mit meiner Hardware nicht umsetzbar gewesen. Daher suche ich nun nach Alternativen, ohne viel Geld für neue Hardware investieren zu müssen. Aktuell sieht es aber sehr danach aus, dass ich nicht drum herum komme.Eine Fritz 6660 scheint bei einigen Händlern noch lieferbar zu sein.

Oder habt ihr noch bessere Ideen?
Mitglied: manuel-r
manuel-r 29.03.2020 um 12:43:37 Uhr
Goto Top
und leider auch keinen Bridge-Mode unterstützt.

Doch. Du kannst in deinem Kundenbereich bei Vodafone den Bridgemode für deinen Anschluss einstellen. Danach die Vodafone-Box neu starten. Schon hast du die öffentliche IP lan-seitig an der Vodafone-Box und kannst einen beliebigen Router dahinter betreiben.

Problem gelöst.

Manuel
Mitglied: scharrrfi
scharrrfi 29.03.2020 um 12:44:48 Uhr
Goto Top
Ach ja, die Idee mit dem eigenen Netz für die fragwürdigen Geräte ist mir auch schon gekommen. Nur müsste ich aus dem Hauptnetz trotzdem Zugriff auf das eigene Netz haben, um auf die Geräte zugreifen zu können.

Wäre sowas denkbar? Eigenes Netz mit der alten Fritzbox + Raspi. Dann über den Raspi gefilterte Verbindung zum Vodafone Station Netz? Also die Fritz als Accesspoint für alle fragwürdigen Geräte und den Raspi als Router, der auch zum "normalen" Netz durchroutet. Mit welchen Mitteln könnte ich das realisieren? Auch pfSense?
Mitglied: scharrrfi
scharrrfi 29.03.2020 aktualisiert um 12:52:52 Uhr
Goto Top
Doch. Du kannst in deinem Kundenbereich bei Vodafone den Bridgemode für deinen Anschluss einstellen. Danach die Vodafone-Box neu starten. Schon hast du die öffentliche IP lan-seitig an der Vodafone-Box und kannst einen beliebigen Router dahinter betreiben.
Das geht leider nicht bei den Unitymedia-Anschlüssen... Nur bei den Vodafoneanschlüssel ex Kabel Deutschland.

Es soll eine Bridge Funktion kommen, aber die ist derzeit noch nicht da.
Mitglied: manuel-r
manuel-r 29.03.2020 um 12:55:10 Uhr
Goto Top
Wenn das eine Aussage von Vodafone bzw. ehem. Unitymedia ist würde ich mich damit nicht zufrieden geben. Ein Kunde hat hierzulande das Recht einen beliebigen Router an seinem Anschluss betreiben zu dürfen.
Bekanntermaßen freut das die Provider aber nicht besonders und sie versuchen es dem Kunden so schwer wie möglich zu machen.

Manuel
Mitglied: scharrrfi
scharrrfi 29.03.2020 um 13:43:51 Uhr
Goto Top
Jo geht ja theoretisch, mit eigener Docsis 3.1 Hardware... face-sad

Bridge-Modus würde natürlich einiges vereinfachen. Dann könnte man das die Vodafone Station wirklich nur noch als Modem nutzen (wären die Telefonfunktionen dann auch weg?!) und einen beliebigen günstigen Router für das Netz...

Was sagt ihr zur oben genannten Variante mit zwei Subnetzen bzw. Router Kaskade? Wichtig wäre halt, dass die Geräte in den beiden Netzen trotzdem miteinander reden können sollen.
Das eine Netz wäre dann quasi reines Intranet und das andere Netz Intranet+Internet.
Mitglied: radiogugu
radiogugu 29.03.2020 um 18:20:32 Uhr
Goto Top
Zitat von @scharrrfi:
Was sagt ihr zur oben genannten Variante mit zwei Subnetzen bzw. Router Kaskade? Wichtig wäre halt, dass die Geräte in den beiden Netzen trotzdem miteinander reden können sollen.
Das eine Netz wäre dann quasi reines Intranet und das andere Netz Intranet+Internet.

Hallo.

Du musst dann auf jeden Fall manuell die Routen in den Geräten einrichten, damit das irgendwie funktioniert.

Besser wöre es Du schaffst Dir ein ordentliches Layer 3 Gerät an (z.B. PFSense / OpnSense). Entweder als fertiges Endgerät oder Du wirst selbst tätig und bemühst ein Produkt á la APU Board.

Gruß
Radiogugu