Dann ist vermutlich "vernünftig" (und zukunftssicher) neu kaufen die beste Option. Gegen "in kleinem Rahmen ausprobieren" spricht dabei sicherlich nichts. 
Diskstation gehackt
- Ersteller youthman
- Erstellt am
Natürlich kann man die einzelnen Geräte von Ubiquiti Standalone betreiben, aber wie du geschrieben hast sehr eingeschränkt. Nimmt man den Cloudkey (die Hardwareversion) dazu, hat man plötzlich enorm viele Einstellmöglichkeiten und Funktionen. Man kann dann sehr vieles konfigurieren und auch absichern. Es ist halt nicht ganz billig und man sollte technisch ein wenig interessiert sein, bei all den Konfigurationsmöglichkeiten.
lg
TakeIt
Falls die Frage auf mich bezogen war: der Switch routet ja nicht zwischen den VLAN, wenn also PC und NAS in unterschiedlichen VLAN sind muss sämtlicher Verkehr über den Router (welcher auch die Firewall ist).
Was ich mir gerade überlegt habe:
aktuell habe ich sehr viele Geräte im "normalen" LAN, also PC, NAS, Drucker, Medienplayer, Handys. Alle diese Geräte haben meinen Raspberry mit Pihole als DNS eingetragen. Somit kann ich schön sehen, welches Geräte wohin plaudern möchte und kann das auch unterbinden. Wenn ich jetzt aus diesem LAN vier unterschiedliche VLANs mache geht das nicht mehr. Bzw. wenn ich den Port 54 immer auf den Raspberry weiterleite sehe ich nur, dass das Gateway VLAN x auf bestimmte Adressen zugreifen will. Ich sehe aber nicht mehr, wer genau der Übeltäter ist.
Genauso im Protokoll-Center in der NAS. Ich sehe nicht welche IP gerade verbunden ist, sondern lediglich die IP des Gateways vom jeweiligen VLAN. Tippt jemand falsche Zugangsdaten ein, wird das Gateway geblockt, d.h. alle Geräte aus diesem Netzwerk können nicht mehr zugreifen.
Ist das so korrekt?
Knapp daneben ist auch vorbei -> 53 ?
"Weitergeleitet" wird da übrigens "nix" - wir reden hier nicht von Portweiterleitungen, sondern durch die Firewall wird einfach nur "erlaubt", dass die Clients den Raspi via Port 53 kontaktieren dürfen und solange Du da kein NAT zwischen hast, sieht man sehr wohl, wer der Übeltäter ist
Und btw: Wenn Du intern noch NAT laufen hast, machst Du eindeutig etwas verkehrt ?
"Weitergeleitet" wird da übrigens "nix" - wir reden hier nicht von Portweiterleitungen, sondern durch die Firewall wird einfach nur "erlaubt", dass die Clients den Raspi via Port 53 kontaktieren dürfen und solange Du da kein NAT zwischen hast, sieht man sehr wohl, wer der Übeltäter ist
Und btw: Wenn Du intern noch NAT laufen hast, machst Du eindeutig etwas verkehrt ?
kommt davon, wenn man zu faul ist kurz zu googlen!!!
ok, ich hatte eine Zeit lang zwei Router hintereinander, da wurde immer die IP des Gateways angezeigt. Ich bin jetzt einfach davon ausgegangen, dass das bei der Firewall genauso ist, getestet habe ich das nie.
Jetzt spricht ja nichts mehr gegen die "vielen" VLANs. Ich könnte ja sogar das ganze SmartHome Zeug über PiHole laufen lassen.
An dieser Stelle: Vielen Dank für die vielen Tipps und die Unterstützung und Entschuldigung für so viel Off-topic!
PS: ich habe diese Woche Urlaub, wir haben Lockdown und ihr habt mir sehr viele Ideen in den Kopf gesetzt. Hoffentlich blocke ich nicht zu viel Internet während dem Testen, Sonst gehen mir hier ein paar Personen an die Gurgel
ok, ich hatte eine Zeit lang zwei Router hintereinander, da wurde immer die IP des Gateways angezeigt. Ich bin jetzt einfach davon ausgegangen, dass das bei der Firewall genauso ist, getestet habe ich das nie.
Jetzt spricht ja nichts mehr gegen die "vielen" VLANs. Ich könnte ja sogar das ganze SmartHome Zeug über PiHole laufen lassen.
An dieser Stelle: Vielen Dank für die vielen Tipps und die Unterstützung und Entschuldigung für so viel Off-topic!
PS: ich habe diese Woche Urlaub, wir haben Lockdown und ihr habt mir sehr viele Ideen in den Kopf gesetzt. Hoffentlich blocke ich nicht zu viel Internet während dem Testen, Sonst gehen mir hier ein paar Personen an die Gurgel
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 4.720
- Punkte für Reaktionen
- 1.686
- Punkte
- 214
Hinweis zum PiHole: Man sieht, wer da alles „gesprächig“ ist. Jedenfalls dann, wenn eine DNS-Auflösung benötigt wird, d.h. Die Serveradresse ist als Internetadresse angegeben. Was man nicht sieht, ist Traffic, der direkt an eine (feste) IP-Adresse adressiert wird. Der benötigt keine DNS-Auflösung und schlüpft am PiHole vorbei. Das kommt bei dem IoT-Krempel durchaus vor.
Wer diesen Traffic auch sehen will, benötigt andere Tools.
Wer diesen Traffic auch sehen will, benötigt andere Tools.
Ja, da hast du natürlich Recht.
Was, wenn die IoT-Geräte auch feste DNS eingetragen haben? Diese würden sich doch dann auch an meinem PiHole vorbeischummeln!?! Bei den meisten IoT habe ich gar keine Möglichkeit den DNS zu kontrollieren.
Aktuell ist verdächtig wenig Verkehr vorhanden, was mich sehr verwundert. Nur der Wechselrichter schickt fleißig die Erträge an die Cloud...
Was, wenn die IoT-Geräte auch feste DNS eingetragen haben? Diese würden sich doch dann auch an meinem PiHole vorbeischummeln!?! Bei den meisten IoT habe ich gar keine Möglichkeit den DNS zu kontrollieren.
Aktuell ist verdächtig wenig Verkehr vorhanden, was mich sehr verwundert. Nur der Wechselrichter schickt fleißig die Erträge an die Cloud...
Und wieder nix verstanden... ?
"Wozu" ist die Firewall nochmal gleich da? Achja, richtig, da war ja was: Um zu bestimmen, wer wie wohin darf! (endlich mal ein sinnvoller Einsatz für fett, unterstrichen und kursiv ?) Was macht man dann, wenn man möchte, dass alle Clients einen bestimmten DNS-Server abfragen "müssen"? Jou! Man unterbindet einfach sämtliche DNS-Anfragen nach aussen (abgesehen vom internen DNS-Server) und forciert die Clients somit, den internen DNS-Server nutzen zu müssen (weil ansonsten keine DNS-Auflösung mehr möglich ist).
Kurzum: Alle Clients dürfen via Port 53 an den internen DNS-Server, "raus" mit Ziel-Port 53 darf aber nur der interne DNS-Server. Problem gelöst.
Umgehen kann man sowas natürlich wiederum mit statischen Einträgen in der hosts-Datei des Clients... ?
Die meisten IoT-Dinger nutzen DHCP, darüber kannst Du auch (wie wohl bisher auch) den DNS-Server an die Clients verteilen. Nutzen die Dinger was ganz eigenes und lassen sich nicht umkonfigurieren, haben die im Netz sowieso nix verloren...
"Wozu" ist die Firewall nochmal gleich da? Achja, richtig, da war ja was: Um zu bestimmen, wer wie wohin darf! (endlich mal ein sinnvoller Einsatz für fett, unterstrichen und kursiv ?) Was macht man dann, wenn man möchte, dass alle Clients einen bestimmten DNS-Server abfragen "müssen"? Jou! Man unterbindet einfach sämtliche DNS-Anfragen nach aussen (abgesehen vom internen DNS-Server) und forciert die Clients somit, den internen DNS-Server nutzen zu müssen (weil ansonsten keine DNS-Auflösung mehr möglich ist).
Kurzum: Alle Clients dürfen via Port 53 an den internen DNS-Server, "raus" mit Ziel-Port 53 darf aber nur der interne DNS-Server. Problem gelöst.
Umgehen kann man sowas natürlich wiederum mit statischen Einträgen in der hosts-Datei des Clients... ?
Die meisten IoT-Dinger nutzen DHCP, darüber kannst Du auch (wie wohl bisher auch) den DNS-Server an die Clients verteilen. Nutzen die Dinger was ganz eigenes und lassen sich nicht umkonfigurieren, haben die im Netz sowieso nix verloren...
ich schaffe es nicht, eine funktionierende Regel in WAN OUT zu erstellen.
In LAN IN funktioniert es hingegen. Hier müsste ich aber für jedes VLAN eine eigene Regel erstellen. Aufwand wär gering, aber verstehen tue ich es nicht.
Die Anfragen kommen vom Client in LAN IN rein und gehen bei WAN OUT raus. Es sollte doch egal sein, wo an dieser Stelle ich Port 53 blockiere.
In LAN IN funktioniert es hingegen. Hier müsste ich aber für jedes VLAN eine eigene Regel erstellen. Aufwand wär gering, aber verstehen tue ich es nicht.
Die Anfragen kommen vom Client in LAN IN rein und gehen bei WAN OUT raus. Es sollte doch egal sein, wo an dieser Stelle ich Port 53 blockiere.
"Gruppieren" geht nicht? Also die lokalen Netze, dass man eine Regel auf eine Gruppe anwenden kann? Kann es vllt sein, dass ggf. bei "OUT" ggf. eine Regel darüber ist, die generell alles raus lässt?
EDIT: https://www.scoutdns.com/how-to-limit-dns-bypass-on-unifi-gateway/
EDIT2: Mach vllt mal einen eigenen Thread dafür auf, das nimmt hier langsam echt Überhand ?
EDIT: https://www.scoutdns.com/how-to-limit-dns-bypass-on-unifi-gateway/
EDIT2: Mach vllt mal einen eigenen Thread dafür auf, das nimmt hier langsam echt Überhand ?
Zuletzt bearbeitet:
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 3.987
- Punkte für Reaktionen
- 517
- Punkte
- 174
Wer hat dir denn den Bären aufgebunden, dass VLAN über den Router/Firewall laufen müssen?
Im Gegenteil, wenn dein Switch kein VLAN kann wirst du kaum ein funktionierendes LAN aufbauen können. Der Router ist dann nur die Komponente, wo vermutlich die meisten VLANs zusammenlaufen.
WAN Out ist übrigens gar nicht trivial, denn ein Eingangsport ist nicht zwangsläufig auch ein Outport. Da die meisten Programme nicht angeben welche Ports noch verwendet werden hilft nur den Nw-Verkehr für dieses Programm zu beobachten und dann kann dann diese Ports explizit der Anwendung und idealerweise auch einer IP zuweisen.
Deshalb findet man diese Funktion in keiner Fritz, da ist alles von 1-65000 out offen.
Im Gegenteil, wenn dein Switch kein VLAN kann wirst du kaum ein funktionierendes LAN aufbauen können. Der Router ist dann nur die Komponente, wo vermutlich die meisten VLANs zusammenlaufen.
WAN Out ist übrigens gar nicht trivial, denn ein Eingangsport ist nicht zwangsläufig auch ein Outport. Da die meisten Programme nicht angeben welche Ports noch verwendet werden hilft nur den Nw-Verkehr für dieses Programm zu beobachten und dann kann dann diese Ports explizit der Anwendung und idealerweise auch einer IP zuweisen.
Deshalb findet man diese Funktion in keiner Fritz, da ist alles von 1-65000 out offen.
Deswegen auch reine IN-Regeln bei den meisten SoHo-Routern (ausser bei Multi-WAN)
EDIT: "IN" auf's WAN bezogen (bzw. dann in Kombi mit der Portweiterleitung)
EDIT2: Wobei die Regel dann auch auch auf ANY gilt (also alles von extern), wie z.B. bei so einer typischen Fritzbox oder dergleichen...
Ich habe inzwischen (leider) ein recht grosses WLAN-Segment, in dem auch der Drucker steht, sonst finden den die ios-Geräte nicht. Der Drucker darf dafür aber nicht ins Internet.
Da stehen dann auch die Netzradios, appleTV und der Receiver und eben auch meine (Haupt)-Syno, da sonst DLNA ein Krampf wird. Daran sieht man - so ganz trivial ist das Ganze in der Realität eben doch nicht. Ich hätte theoretisch zwar noch die Möglichkeit, die Zugriffe untereinander zu filtern, da ich (fast) jedes Gerät in einem eigenen VLAN habe und dann in einer Bridge zusammenführe - derzeit noch ungefiltert.
In Sachen Performance mache ich es so, dass ich für den Normalbetrieb über den Router gehe (~80MB/s), für Photo, Video und VM's gehe ich direkt über den Switch und zusätzlich über eine Direktverbindung PC-NAS und komme so kombiniert auf ca. 330MB/s.
Hallo, ich habe schon vor Jahren meine Fritzbox entsorgt, als ich mir meine erste Synology hingestellt habe. Nur NAT, keine stateful packet FW, kein VLAN, kein DNS-Server für Namensauflösung, UPNP aktiviert,offen wie ein Scheunentor...... DMZ halte ich im Privatbereich vielleicht etwas zu kompliziert.
Bisher hatte ich einen Draytek 2680, dieser ist leider bei einem Wasserschaden "baden" gegangen. Jetzt steht ein betagter Lancom 1781va an selbiger Stelle in Kombination mit einem 10er-Switch (Layer2). Die Firewall im Router auf Deny all gestellt und genau festgelegt, welche Geräte in welchem VLAN sein dürfen, welch Ports sie bedienen können. Dann noch die Synology ordentlich bezüglich Firewall (Deny all, GEO-IP-Blocking, Standartports ändern) konfigurieren, 2-FA etc.. Wir haben mit 2 Haushalten auf einem Bauernhof ca. 36 Geräte im Netz (ipads, TV, Laptops, Telefonanlage.... es läppert sich), aber immer alles schön getrennt und nur entsprechenden Datenverkehr zugelassen.
Mit einem Offline-Backup ist man dann auf der sicheren Seite. Problematisch ist eben, wenn Töchterlein mit ihrem Windows-Laptop mal auf etwas Falsches klickt. Ansonsten gibt es nur Linux für Frau und Kinder und für mich bald einen MAC.
Der uralte Router bekommt immer noch regelmäßig Patches und Firmwareupdates und hat extrem viel Power und einen hohen Durchsatz. Kann man zur Zeit billig bei ebay erstehen.
Grüße
M
Bisher hatte ich einen Draytek 2680, dieser ist leider bei einem Wasserschaden "baden" gegangen. Jetzt steht ein betagter Lancom 1781va an selbiger Stelle in Kombination mit einem 10er-Switch (Layer2). Die Firewall im Router auf Deny all gestellt und genau festgelegt, welche Geräte in welchem VLAN sein dürfen, welch Ports sie bedienen können. Dann noch die Synology ordentlich bezüglich Firewall (Deny all, GEO-IP-Blocking, Standartports ändern) konfigurieren, 2-FA etc.. Wir haben mit 2 Haushalten auf einem Bauernhof ca. 36 Geräte im Netz (ipads, TV, Laptops, Telefonanlage.... es läppert sich), aber immer alles schön getrennt und nur entsprechenden Datenverkehr zugelassen.
Mit einem Offline-Backup ist man dann auf der sicheren Seite. Problematisch ist eben, wenn Töchterlein mit ihrem Windows-Laptop mal auf etwas Falsches klickt. Ansonsten gibt es nur Linux für Frau und Kinder und für mich bald einen MAC.
Der uralte Router bekommt immer noch regelmäßig Patches und Firmwareupdates und hat extrem viel Power und einen hohen Durchsatz. Kann man zur Zeit billig bei ebay erstehen.
Grüße
M
- Mitglied seit
- 28. Okt 2020
- Beiträge
- 13.944
- Punkte für Reaktionen
- 4.809
- Punkte
- 499
Und die LANCOM-Dinger können mehr als die FritzBoxen, im Hinblick auf die Konfig.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
