Habt Ihr Eure IoT-Geräte im LAN "isoliert" und wenn ja wie?

Monacum

Benutzer
Mitglied seit
03. Jan 2022
Beiträge
128
Punkte für Reaktionen
24
Punkte
74
Ich kann deine Entscheidung gut nachvollziehen, ich denke da auch schon länger drüber nach und werde wohl auf eine Lösung aus dem Haus Ubiquiti setzen, um im Zweifelsfalle so viele VLANs aufbauen zu können, wie ich für nötig halte.

Aktuell plane ich erst mal mit drei verschiedenen Netzen, eines für alle persönlichen Geräte, eines für die gesamte Hausautomatisierung und eines eben als Netz für alle Gäste. Und so etwas ist mit der FRITZ!Box nicht möglich, weil 95 % der Benutzer einer solchen Box vermutlich auch nie darüber nachdenken, ihr Heimnetz überhaupt so auszubauen.

Ich bin mal gespannt, was für Geräte da in der nächsten Zeit veröffentlicht werden, der USG scheint ja fast überall ausverkauft zu sein.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
1.539
Punkte für Reaktionen
411
Punkte
109
Ja im Moment (bzw. ja bereits seit Monaten) sind viele Dinge nicht lieferbar und wenn doch dann zu entsprechenden Preisen.

BTW Preise: Ich habe eben durch Zufall gesehen das Asus (über die Ninepoint Consulting GmbH) das ja auch von mir genutzte ASUS Ai Mesh AX-WLAN System ZenWiFi XT8 (im 2er Set in weiß) als refurbished (“Artikel wie neu, voll funktionsfähig inklusive Zubehör”) sowohl bei ebay, aber auch über Amazon, gerade wieder für € 189,90 anbietet. Bei ebay gehen per Gutschein noch ein paar Euro davon ab.

Aktueller ebay Link
Aktueller Amazon Link

Als Neuware liegt das Set immer noch bei über € 300.

Ich hatte vor einigen Monaten ja ebenfalls so ein "Refurbished Set" über den Asus ebay Shop gekauft. Damals noch für um die € 200. Das Set was ich damal bekomme habe war quasi neu. Quasi bedeutet: Der Karton war nicht mehr versiegelt, aber alles andere sah unbenutzt aus.

Wer aktuell ein (Tri-Band - Wifi 6) Mesh-System mit einer m.M.n. sehr guten Reichweite und einen guten Funktionsumfang sucht, sollte/könnte sich das Asus XT8 System mal anschauen. ;) Ein Asus XT8 kann im WLAN-Router-Modus (bei dem der Client ein vollwertigen Router ist), im AP-Modus, im Repeater-Modus, als Media-Bridge, oder als AiMesh Knotenpunkt eingerichtet/genutzt werden.

Asus_Modi.png

Ich pers. würde mir so ein Asus XT8 Refurbished Set bei dem Preis jederzeit wieder kaufen. Ja natürlich gibt es (inzwischen) schon wieder leistungsfähigere Mesh Geräte, aber dann auch zu ganz anderen Preisen. :LOL:

VG Jim
 

plang.pl

Benutzer
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
2.166
Punkte für Reaktionen
460
Punkte
129
Moin
Die genannten Probleme von @Jim_OS aus Post #20 mit der Web-UI der Fritte kann ich leider so bestätigen.
Die Ansicht der verbundenen Geräte unter Heimnetzwerk ist leider in seltensten Fällen aktuell und recht buggy.
Das ist bei meiner 7590 und auch der 7530 AX der Fall und war auch schon bei früheren Fritz-Modellen der Fall. Ich hoffe, dass sich da bald was tut bei AVM.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
1.539
Punkte für Reaktionen
411
Punkte
109
Ich hatte die Erfahrungen früher ja auch schon gemacht. Sobald z.B. mehr Clients ins Spiel kommen, oder bei mir z.B. Powerline und/oder Mesh und/oder AP(s), kommt die Fritzbox irgendwie ins trudeln. Auch scheint sie (dann) ein Problem damit zu haben ihre eigene IP-Vergabe per DHCP-Server Funktion richtig zu erkennen bzw. durchzuführen.

Zumindest haben meine Versuche gestern mit dem Fritzbox Gastnetz dazu geführt das ich jetzt weiß das alle meine IoT-Geräte in ihrem bisherigen IP-Bereich bleiben sollen. Habe keinen Bock alle Geräte und Software auf/für einen neuen IP-Bereich einzurichten. :LOL:

VG Jim
 

plang.pl

Benutzer
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
2.166
Punkte für Reaktionen
460
Punkte
129
Jap, kann ich mir vorstellen, dass das ein Haufen Arbeit ist.
Probleme mit der DHCP-Vergabe hatte ich noch nie. Die Geräte haben alle korrekt eine IP erhalten, jedoch stimmt die Anzeige auf der Web-UI nicht.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
1.539
Punkte für Reaktionen
411
Punkte
109
Oder halt nur die/eine falsche Anzeige. :) Ich meinte die Geschichte das zwar alle Geräte korrekt per IP-Bereich 179.x im Gastnetz waren - was ich auch nur korrekt im Asus XT8 sehen konnte - aber die Fritzbox nach einem Reboot und obwohl ich ja keine Änderungen vorgenommen hatte, meinte das div. Geräte wieder eine IP aus dem Bereich 1.x bekommen werden ("gültig ab der nächsten Anfrage"). Da ich dann aber keine Lust mehr hatte :LOL: habe ich nicht weiter probiert was passiert wenn ich dann ein entsprechendes Gerät neu booten lasse, sprich ob das von der Fritzbox dann wieder eine IP aus dem 1.x Bereich bekommt, oder weiterhin im 179.x Bereich bleibt und nur die Anzeige nicht stimmt.

Das entscheidende ist eigentlich: Wenn ich mich ggf. nicht auf die Korrektheit der Anzeigen der Fritzbox verlassen kann macht das keinen Spaß und keinen Sinn. Gerade in einem etwas "größeren" LAN/WLAN-Umfeld will und muss ich wissen welches Gerät welche IP hat, in welchem IP-Bereich es sich befindet, welche evtl. vorhandenen Portfreigaben für welches Gerät gelten usw. Sich da auf Anzeigen ggf. nicht verlassen zu können kann "tödlich" sein. :ROFLMAO:

Gerade wegen dem Überblick und der Verlässlichkeit, benutze ich schon ewig feste IP-Vergaben. Old school halt. :D Da weiß ich genau welches Gerät welche IP hat und muss mich nicht auf einen DHCP-Server verlassen. Wenn dann ggf. etwas mit den IPs nicht stimmt liegt der Fehler üblicherweise bei mir. Leider funktioniert das Fritzbox Gastnetz ja nur per DHCP-Server IP-Vergabe.

VG Jim
 

plang.pl

Benutzer
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
2.166
Punkte für Reaktionen
460
Punkte
129
Da bin ich bei dir. Nutze auch fast nur statische IPs.
Nebenbei läuft bei mir auf der DS noch ein checkmk-Container im Docker. Der macht alle paar Minuten IP-Scans und zeigt mir die verbundenen Geräte mit Hostname und IP an. Da verlasse ich mich mittlerweile mehr drauf als auf die Anzeige in der Fritte.
 
  • Like
Reaktionen: Monacum und Jim_OS

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
1.539
Punkte für Reaktionen
411
Punkte
109
Nach den Erfahrungswerten mit dem Fritzbox Gastnetz und den damit notwendig werdenden Änderungen bei den Clients, werde ich wohl doch auf eine andere Lösung setzen.
Ich habe mir gestern Abend mal eine andere Variante mit dem Fritzbox Gastnetz überlegt und diese heute mal testweise umgesetzt. :)

Der Hintergrund einer Trennung zwischen den normalen Heimgeräten und den IoT-Geräten, ist ja der das IoT-Geräte als unsicher gelten, sprich durch evtl. Bugs, ggf. fehlende Firmware-Updates usw. können "Eindringlinge" sich Zugang dazu verschaffen. Die Konsequenz daraus könnte sein: A) Die "Eindringlinge" stellen mit den IoT-Geräten Blödsinn an und B) sie haben Zugriff auf alle Daten (PC, NAS usw.) im Heimnetz. A) Lässt sich mit einer (einfachen) Trennung Heimnetz - Gastnetz nicht vermeiden, solange die IoT-Geräte eine Internet-Verbindung haben B) allerdings schon.

In so gut wie allen Anleitungen und Diskussionen zu dem Thema wie man IoT-Geräte in Kombination mit dem Fritzbox Gastnetz isoliert, wird immer der Ansatz gewählt/empfohlen die IoT-Geräte in das Fritzbox Gastnetz zu packen. Ich musste ja leider die Erfahrung machen (siehe # 20) das das hier bei mir zu komischen Effekten führt. Warum also nicht einfach mal die umgekehrte Variante probieren, sprich alle IoT-Geräte verbleiben im normalen Netz der Fritzbox 192.168.1.x und die restlichen Geräte im Heimnetz kommen in das Gastnetz 192.168.179.x der Fritzbox.

Die Vorteile dieser Variante sind/wären:
1. Der Arbeitsaufwand ist sehr gering:
- Ich muss nicht bei rund 50 IoT-Geräten die IP-Vergabe und Adresse für den Mosquitto Broker (MQTT) ändern.
- Ich muss nicht bei dem Home Assistant Server alle Integrationen für die IP-Änderungen der IoT-Geräte anpassen.
. Ich muss bei mir aktuell lediglich bei 4 Geräten (Arbeits-PC, Arbeits-Notebook, Drucker, Daten-NAS) IP-Änderungen vornehmen, sprich diese sind dann im Gastnetz.
2. Der Fritzbox VPN-Zugang auf die IoT-Geräte funktioniert weiterhin, denn nur dafür benötige ich den VPN-Zugang eigentlich.
3. Die IoT-Geräte sind in der Kommunikation untereinander und mit dem Internet, nicht beschränkt.
4. Die Fritzbox kommt - zumindest dem ersten Einschein nach - bei meinem Aufbau hier nicht ins "trudeln".

Anm.: Für die Umsetzung habe ich noch einen weiteren kleinen TP-Link Switch integriert, den ich hier ebenfalls noch herumliegen hatte. Somit erfolgte/erfolgt die Umsetzung immer noch mit den vorhandenen Mitteln. :)

Aktuell brauchte ich zum testen noch nicht viel umsetzen. Einfach den TP-Link Switch an den LAN 4 Port der Fritzbox und das Fritzbox Gastnetz für LAN und WLAN ohne Einschränkungen aktivieren. WLAN Gastnetz deswegen da ich mich mit dem Arbeits-Notebook ja auch mit dem Gastnetz verbinden will/muss.

Da sowohl mein Arbeits-PC, als auch mein Arbeits-Notebook, ja über LAN und WLAN verfügen, sind sie per LAN mit dem Gastnetz verbunden und können/könnten per WLAN sich sowohl mit dem Gastnetz, aber auch mit dem normalen Heimnetz verbinden. Mit allen anderen WLAN-Clients (z.B. Tablets, Smartphones) ist eine Verbindung in das Gastnetz gegeben, aber es wäre auch - im Fall der Fälle - eine Verbindung in das normale Heimnetz möglich.

In der Theorie (und in bunt) :LOL: sieht/sehe die vollständige Umsetzung dann so aus: Siehe LAN_Plan_Gastnetz.pdf

Im Moment sehe ich keinen Denkfehler von mir bei dieser Umsetzung. Eine "saubere" Trennung ist gegeben, d.h. ein Zugriff auf die Daten meines Arbeits-PC, Arbeit-Notebooks und Daten-NAS über die IoT-Geräte ist nicht möglich, sofern ich diese nicht per WLAN mit dem Gastnetz verbinde. Irgendwelche Portfreigaben oder -weiterleitungen sind nicht notwendig, d.h. NAT und die (minimalen) "Firewall-Funktionen" der Fritzbox greifen weiterhin.

Ich sehe in dieser Variante eigentlich nur Vorteile. Sollte ich dann irgendwann doch Geld in den Hand nehmen und z.B. in eine OPNSense-Fireware, oder Mikrotik-Router, oder L3-Switch, oder ... investieren um die Sicherheit zu erhöhen, wäre eine Umstellung sehr schnell möglich.

Das einzige was ich ein wenig vermisse, aber das ist bei dieser Trennung der Netze eh unvermeidbar, ist meine Außenkameras auf dem Monitor des Arbeits-PCs, immer direkt im Blick zu haben. Also das hier. :)

Desktop1.png
Ich habe im Arbeitszimmer zwar noch einen Smart-TV, auf dem die Live-Streams der Außenkameras auch dargestellt werden, aber der ist halt nicht direkt im Blickfeld und den dafür dauernd laufen zu lassen ist natürlich auch ökonomischer/ökologischer Blödsinn.

Ich werde diesen Aufbau jetzt mal testen und sollten mir keine Probleme oder (Denk)Fehler auffallen dann auch kompl. so umsetzen. Falls hier jemanden mögliche Probleme oder Fehler auffallen dann bitte ich um Info. Vielleicht habe ich ja wirklick einen schwerwiegenden (Denk)Fehler gemacht. :LOL:

VG Jim
 

Anhänge

  • LAN_Plan_Gastnetz.pdf
    141 KB · Aufrufe: 10
  • Like
Reaktionen: Monacum und Wiesel6

Wiesel6

Benutzer
Mitglied seit
22. Aug 2016
Beiträge
67
Punkte für Reaktionen
15
Punkte
8
  • Like
Reaktionen: Jim_OS

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
1.539
Punkte für Reaktionen
411
Punkte
109
Das mit openWRT hatten ich auch überlegt um mehr/andere Routing-Möglichkeiten zu haben. Außerdem hatte ich das vor vielen Jahren schon mal auf einem Linksys Router im Einsatz. :) Ein Blick in die Liste der unterstützen Geräte brachte dann aber das Ergebnis das ich kein passendes Gerät mehr im Bestand habe. Nur noch uralte TP-Link APs. Somit blieb erst einmal nur die "Low-Level-Variante" per Gastnetz. :LOL:

Immerhin habe ich mich jetzt endlich mal mit dem Thema beschäftigt und bin mal meine Infrastruktur durchgegangen. Somit wäre eine Aufrüstung auf ein anderes Sicherheitslevel nicht mehr so kompliziert.

VG Jim
 

c0smo

Benutzer
Sehr erfahren
Mitglied seit
08. Mai 2015
Beiträge
4.681
Punkte für Reaktionen
525
Punkte
194
Ich schätze wirklich ein gutes Sicherheitsbewusstsein, alleine schon wegen meinem Job. Dennoch halte ich es bei mir daheim recht schlicht und pragmatisch. Ich bin zwar von Natur aus ein Spielkind und Rumbastler, sehe aber "noch" keinen großen Mehrwert beim Thema vlan oder ähnliches.
Die Zeit und das Geld, das bestimmt in die Hand genommen werden muss, sind es mir nicht wert, so viel Energie in die Konfiguration zu stecken.

Kurz um, bei mir ist und bleibt aktuell alles im selben Netz, geschützt durch die Bordmittel der einzelnen Entitäten.
 
  • Like
Reaktionen: Thorfinn

Thorfinn

Benutzer
Mitglied seit
24. Mai 2019
Beiträge
1.162
Punkte für Reaktionen
193
Punkte
83
Ich schätze wirklich ein gutes Sicherheitsbewusstsein, (....)
Die Zeit und das Geld, das bestimmt in die Hand genommen werden muss, sind es mir nicht wert, so viel Energie in die Konfiguration zu stecken.
Full ACK. Kein Rumgefrickel, sondern eine Abwägung Aufwand zu Risiko. Genau das vermisse ich häufig.
Thumbs up.

Kurz um, bei mir ist und bleibt aktuell alles im selben Netz, geschützt durch die Bordmittel der einzelnen Entitäten.
Eben, das ist eine erwachsene Entscheidung. <altdeutsch> Es deucht mir du habest Kirkegaard verstanden. </altdeutsch>
Ich wäre froh wenn meine "Entitäten" solche Bordmittel hätten und muss leider andere Wege gehen.
 
  • Like
Reaktionen: c0smo

c0smo

Benutzer
Sehr erfahren
Mitglied seit
08. Mai 2015
Beiträge
4.681
Punkte für Reaktionen
525
Punkte
194
Ich wäre froh wenn meine "Entitäten" solche Bordmittel hätten und muss leider andere Wege gehen.
Das haben auch nicht alle. 🙈
Denke mein Vollautomat ist seiner Zeit nur beim Kaffee brühen voraus 😂
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
1.539
Punkte für Reaktionen
411
Punkte
109
Moin,

mal abgesehen davon das es hier in dem Beitrag um das "wie" und weniger um das "warum" geht, werde ich auch mal etwas auf das Thema "warum" eingehen. Sprich meine Ansicht dazu kundtun.

Selbstverständlich hat jeder seine eigenen Vorstellungen von Sicherheit und sein eigenes Sicherheitsgefühl, sprich jeder kann und muss für sich selber beurteilen für wie "sicher" er seine eingesetzen Hard- und Software hält, welche Massnahmen er für die Datensicherheit durchführt und wie groß die Wahrscheinlichkeit ist das Fremde ggf. Zugriff auf das Heimnetz und somit auf die Daten erhalten und/oder somit auch Hard- oder Software manipulieren und/oder für ihre Zwecke (miss)brauchen können/könnten.

Wer z.B. zu Hause keine oder kaum IoT-Geräte einsetzt und sich nicht mit dem Thema Smarthome-Steuerung befasst, für den ist das Thema ggf. weniger relevant als für andere User.

Wer sich ggf. auch noch beruflich mit dem Thema befasst kann das persönliche Risiko(potential) von Hard- und Software natürlich auch noch besser einschätzen als der Otto-Normal-Anwender. Sprich wer sich ggf. (etwas) besser mit dem Thema auskennt weiß ggf. auch besser welche Maßnahmen er zum Schutz seines Heimnetzes ergreifen könnte oder sollte.

Selbstverständlich gehört zu dem Thema Datensicherheit auch immer eine Abwägung zwischen Aufwand und Risiko. Auch hier wieder: Wer zu Hause im LAN/WLAN z.B. nur einen Router, einen PC, einen Drucker, ein Smartphone und ggf. noch ein Tablet/Notebook im Einsatz hat, der braucht sich auch nur darum zu kümmern das diese (wenigen) Geräte möglichst keine Sicherheitslücken aufweisen. Im besten Fall kann sich derjenige darauf verlassen das die jeweiligen Hersteller, der von ihm eingesetzen Hard- und Software, durch regelmäßige Updates schon irgendwelche Sicherheitslücken schließen werden. Somit ist das Risiko also geringer und der Aufwand geht gegen Null.

Anders sieht das natürlich aus wenn das heimische LAN/WLAN auch noch jede Menge andere Geräte - insbesondere IoT-Geräte - beinhaltet. Das IoT-Geräte ein größeres Sicherheitsrisiko darstellen ist wohl unbestritten, wenn sogar das BSI vor den möglichen Gefahren warnt :) und Hinweise dazu gibt wie man das Risiko verringern kann/könnte. Auch dann gilt es natürlich wieder zwischen Aufwand und Risiko abzuwägen. Für beide Punkte gilt: Je mehr Geräte im heimischen LAN/WLAN sind, umso größer ist das Risko und umso mehr Aufwand muss betrieben werden. Wer dann das Risiko trotzdem weiterhin als gering einschätzt und/oder wer den Aufwand bei seiner Abwägung als für zu groß hält, der macht dann halt nichts und vertraut weiterhin darauf das schon nichts passieren wird. Es gibt ja sogar Leute die sagen das es ihnen egal ist wer ggf. Zugriff auf ihre Daten hat, weil die wären eh nicht wichtig oder geheim. Oder die klassische Aussage zum Thema Einbrecher: "Wer sollte schon bei mir einbrechen, bei mir ist eh nichs zu holen." :ROFLMAO:

Zurück zu IoT-Geräte: Spätestens wenn Susi Sorglos am Fenster sitzt und nicht ihr Föhn sondern ihre IP-Kamera mit ihr spricht :LOL: - wie es z.B. bei den Geräten von Ring passiert ist - weiß Susi Sorglos das wohl irgendwas in/an ihrem Heimnetz nicht stimmen kann. Spätestens dann kann Susi Sorglos nur hoffen das ihr "Besucher" nicht noch anderen "Blödsinn" in ihrem Heimnetz anstellt und/oder bereits angestellt hat. Spätestens dann dürfte Susi Sorglos eine erneute Abwägung zwischen Aufwand und Risiko machen (müssen), nur das dann der Aufwand, in einem bereits kompromittierten Heimnetz, "etwas" größer sein dürfte. ;)


Mal ganz unabhängig von dem IoT-Geräte Thema ein anderes/weiteres Beispiel: Wenn die Kids mit ihren Freunden mal wieder die neusten Spiele, Videos, Apps, Daten usw. ausgetauscht haben, oder zu Hause ihre kleine LAN-Party feiern, kann es durchaus auch Sinn machen im Heimnetz mit getrennten Bereichen zu arbeiten. ;)

Aber wie Thorfinn schon geschrieben hat ist alles eine ganz persönliche Abwägung, basierend auf der persönlichen Situation, der persönlichen Einstellung zu einem Thema, den persönlichen beruflichen und/oder privaten Erfahrungen und den eigenen Vorstellungen.

Ja nichts und niemand ist wirklich sicher, egal welchen Aufwand man betreibt. Man kann nur versuchen ein mögliches Risiko zu verringern. Ob, warum und wie kann und muss jeder für sich selber entscheiden. :)

Habe fertig. :LOL:

VG Jim
 
Zuletzt bearbeitet:
  • Like
Reaktionen: NASSucher

plang.pl

Benutzer
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
2.166
Punkte für Reaktionen
460
Punkte
129
Kann dir da voll und ganz zustimmen.
Insbesondere bei dem Part mit Susi Sorglos. Verhält sich ja mit Backups oft ähnlich. Viele meinen, sie brauchen kein Backup, das RAID reicht ja aus. Wie oft hatten wir hier schon einen Thread mit dem Thema "DS abgeraucht - wie Daten sichern?" oder so ähnlich?!
Der Hund muss oft erst beißen, bevor er an die Leine genommen wird
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
1.539
Punkte für Reaktionen
411
Punkte
109
Ich werde diesen Aufbau jetzt mal testen
So nach ein paar Tage im praktischen Einsatz muss ich leider feststellen das das Fritzbox Gastnetz für mich keine Lösung ist. :( Wie schon bei meinem ersten Versuch, als ich alle IoT-Geräte in das Gastnetz gepackt hatte, kommt es auch bei der unter #28 beschriebenen/dargestellten Variante zu komischen Effekten. D.h. die Fritzbox kommt a) bei der IP-Vergabe und b) bei dem was im WebGUI der Fritzbox angezeigt wird ins "trudeln". Ganz konkret:

1. Der NUC-PC ist nur per WLAN verbunden und hat von der Fritzbox die IP 192.168.1.51 zugeordnet bekommen. Lt. Fritzbox ist er aber per LAN 2 mit der 192.168.179.6 verbunden. Allein das ist schon totaler Quatsch, denn an LAN 2 kann niemals das LAN-Gastnetz der Fritzbox sein. Diese Anzeige bleibt auch so, egal wie lange man wartet, bzw. egal wie häufig sich die WebGUI Anzeige aktualisiert.

Fritz_falsche_IP_Zuordnung.png

Baut man dann mit dem NUC-PC eine LAN-Verbindung in das Fritzbox Gastnetz auf bekommt er eine IP aus dem Gastnetz (hier 192.168.179.24), aber in der Netzwerkübersicht der Fritzbox wird angezeigt das der NUC-PC bei der nächsten Anmeldung eine IP aus dem 192.168.1.xxx Bereich bekommen wird.

Fritz_falsche_IP_Zuordnung2.png

Die IP 192.168.179.6 die vorher für die LAN-Verbindung des NUC-PC angezeigt wurde und die demnach bereits für ihn vorhanden ist und genutzt werden sollte, wird nicht genutzt. Anm.: Die Geräte wurden zwischendurch nicht neu gestartet/gebootet.

2. Auch bei dem WLAN Gastnetz der Fritzbox gibt es Probleme und diese sind scheinbar noch größer. Es gibt für das Gastprofil keinerlei Beschränkungen. D.h. alle im WLAN Gastnetz der Fritzbox vorhandenen Geräte unterliegen keinerlei Beschränkungen.

Fritz_Profil_Gast.png

Dem Gastnetz sind lt. Fritzbox Übersicht folgende Geräte zugeordnet:
- Samsung Galaxy Tab A7 Tablet
- Realme 8 Smartphone
- NUC-PC

Fritz_Gast_zugeordnete_Netzwerkgeraete.png

Wenn dann das Tablet und das Smartphone (Anm.: Beide mit Android 12) mit dem FritzBox WLAN Gastnetz verbunden sind ...

Fritz_Netzwerkverbindungen_Gaeste.png

kann man anhand der vorangestellten unterschiedlichen Icons bereits erkennen das das Tablet eine Internetverbindung hat und das Smartphone nicht. Genau so ist es dann auch, d.h. das Tablet kommt ins Internet und das Smartphone nicht. Auf dem Smartphone erscheint dann der übliche Hinweisbildschirm der Fritzbox:

"Die Internetnutzung ist gesperrt.
Die Fritzbox verhindert den Internetzugang aus einem der folgenden Gründe:
....."


D.h. die Fritzbox verhindert den Internetzugriff bei dem Smartphone obwohl dieses, wie auch das Tablet, im Fritzbox WLAN Gastnetz ist und keinerlei Beschränkungen unterliegt. Der Grund dafür ist für mich absolut nicht nachvollziehbar.

Interessant wird es dann wenn man im Log der Fritzbox schaut. Das sieht dann so aus:
Fritz_App_Anmeldung.png

Demnach hat sich die Fritz App auf dem Smartphone über die LAN-IP 192.168.1.52 verbunden und bei dem Tablet über die WAN-IP 92.252.x.x o_O


Lange Rede kurzer Sinn: Das Fritzbox Gastnetz ist für mich hier nicht zu gebrauchen. :censored:
A) Man kann sich auf die Anzeigen (z.B. Netzwerkübersicht) bei der Fritzbox nicht verlassen, sodass man nie wirklich weiß welche Geräte jetzt wie und worüber verbunden sind.
B) Sofern es nicht an A) liegt scheint auch die IP-Vergabe per DHCP-Serverfunktion der Fritzbox nicht richtig/zuverlässig zu funktionieren.
C) Sofern es nicht an A) liegt scheint auch das Routing nicht richtig/korrekt/zuverlässig zu funktionieren.

1. Muss ich mich darauf verlassen können das die mir angezeigten Informationen auch stimmen und 2. und noch viel wichtiger, muss das Routing zuverlässig und korrekt funktionieren.

Anm.: Fehler meinerseits bei der Konfiguration kann ich definitiv ausschließen, auch wenn für mich das Gastnetz der Fritzbox bisher Neuland waren. Aber das ist nun wirklich keine "Raketentechnik". :)

Ich möchte noch einmal betonen das die genannten Probleme hier bei meinem (etwas komplexeren) Netzwerkaufbau vorkommen. Das kann bei jemand anderen schon wieder ganz anders aussehen und da (vielleicht) auch problemlos funktionieren.

Ich werde mich jetzt nach einer anderen Lösung umschauen. Im Moment tendiere ich dazu, da ich eh einen NUC mit HA 24/7 laufen habe, diesen durch eine Proxmox-Lösung zu ersetzen. D.h. Proxmox + OPNsense/pfSense + HA auf einem Gerät. D.h. die Fritzbox bleibt weiterhin für die WAN-Verbindung und DECT zuständig und der Proxmox-PC/Server ist dann per Fritzbox Exposed Host mit/per OPNsense/pfSense für das kompl. Netzwerkmanagement zuständig.

VG Jim
 
  • Like
Reaktionen: plang.pl

plang.pl

Benutzer
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
2.166
Punkte für Reaktionen
460
Punkte
129
Schade, dass das für dich nicht passt. Ich finde den aktuellen Zustand mit der Web-UI ist aber schon ein Armutszeugnis für AVM. Entweder kommt da die Fritte Hardwaretechnisch an ihre Leistungsgrenze (was ich nicht glaube) oder die Firmware hat wohl noch deutlichen Nachholbedarf.
 

c0smo

Benutzer
Sehr erfahren
Mitglied seit
08. Mai 2015
Beiträge
4.681
Punkte für Reaktionen
525
Punkte
194
Aus diesem Grund ist und bleibt die FB für mich auch nur ein nettes Spielzeug für Standard Konfigs und den "normalen" Enduser. Dafür taugt das Teil und erledigt auch sehr gut seinen Job. Wenn es aber um ausgereiftere Setups geht, war das Teil schon immer an seine Grenzen getsoßen. Deshalb bleibt mein Netz auch vorerst unangetastet im /24 Netz und zwar komplett.

Wenn ich irgendwann doch das Bedürfnis habe und die Muse dazu, dann kommt eh ein "vernünftiger" Router ins Haus inkl. Sophos.
 
  • Like
Reaktionen: Monacum

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
1.539
Punkte für Reaktionen
411
Punkte
109
@plang.pl
Das die WebGUI-Anzeigen der Fritzbox bei einem etwas komplexeren LAN/WLAN-Aufbau ins trudeln kommen ist ja eigentlich schon seit Jahren bekannt, bzw. ein Problem. :censored: Das das aber dann ggf. auch auf das Routing zutrifft ist/wäre ein NoGo.

An der Hardware kann es m.M.n. - wie Du auch vermutest - eigentlich nicht liegen, denn die rund 60 Clients hier sind jetzt nicht wirklich viel Last. Insbesondere wenn die Fritzbox eigentlich nur für die DHCP-Vergabe und für ein paar Clients im Gastnetz zuständig ist. Alle IoT-Geräte (also rund 50 der 60 Clients) liefen ja über das Asus Mesh System und haben ja auch nicht für eine permanente WAN-Last auf der Fritzbox gesorgt. Für mich sieht es so aus als wenn die Fritzbox, bei entsprechend anwachsender Client-Anzahl, mit der DHCP-Vergabe und dem entsprechenden Routing dann Probleme hat. Was auch immer die Ursache dafür ist.

OK eine Fritzbox ist halt ein Router für den Heimgebrauch und das sie als "eierlegende Wollmilchsau" (LAN, WLAN, DECT, Mesh, Smarthome ...) ausgelegt ist macht es wahrscheinlich auch nicht besser.

Für den Otto-Normalanwender, oder das übliche Heimnetz, reicht sie aber sicherlich aus. Oder anders gesagt: Wenn ich das Gastnetz aus dem Spiel lasse funktioniert hier die bisherige Kombination (Fritzbox + Asus Mesh System) ja auch zuverlässig/problemlos. Wobei auch anzumerken ist: Das Asus Mesh System habe ich ja auch nur deshalb integriert weil es vorher mit der Kombination 7590 + 7490 im Mesh ähnliche Probleme gab.

Auf jeden Fall weiß ich jetzt das die Fritzbox Gastfunktion für meine Netzwerkumgebung und meinen Plan Heimnetz und IoT zu trennen, nicht geeignet ist.

VG Jim
 

plang.pl

Benutzer
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
2.166
Punkte für Reaktionen
460
Punkte
129
In meinem Fall benutze ich ja das Gastnetz auch für IoT Geräte. Allerdings nur per WLAN und nur mit 10 Geräten. Selbst bei mir stimmt die Web-Ansicht in den seltensten Fällen. DHCP und Routing funktioniert aber immerhin.
An meinem 2. Standort (7530AX) wird das Gastnetz nicht verwendet. Dort steht aber ein Repeater 3000. Sowohl auf der Web-UI des Repeaters als auch der Fritte stimmt die Anzeige der verbundenen Geräte nicht, obwohl gerade einmal eine Hand voll Geräte vorhanden sind.

Ja und die Mesh-Funktion von AVM ist in meinen Augen auch für die Tonne, wenn man überall hohen Durchsatz realisieren will.
 
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup