Aufteilung des Heimnetzes in verschiedene Bereiche?
Hallo zusammen!
Ich würde gerne folgendes bewerkstelligen (mir stehen zwei Fritzboxen zur Verfügung):
1. DMZ einrichten
- Router 1 ist die Schnittstelle zwischen WAN und DMZ (sagen wir 192.168.0.1 mit 255.255.255.0); kein DHCP
- Router 2 ist Schnittstelle zwischen DMZ und WAN (sagen wir 192.168.0.254 in Netz von Router 1 und 192.168.178.1 mit 255.255.255.0 im privaten Netz) mit Router 1 als Modem; Router 2 vergibt die Adressen im privaten Netz mittels DHCP
Das bekomme ich bestimmt hin. In der DMZ möchte ich dann z. B. meinen Home Assistant einbinden, so dass er dauerhaft auf das Internet zugreifen kann, aber nicht auf das Heimnetzwerk.
Erste Frage:
Kann ich vom privaten Netzwerk direkt auf Geräte der DMZ zugreifen (z. B. 192.168.0.15)?
2. IP-Kameras hinzufügen
Nun möchte ich außerdem Überwachungskameras ins Netzwerk integrieren. Da ich diese in den Home Assistant integrieren möchte, müssten sie mutmaßlich auch in der DMZ liegen. Sie sollen jedoch ausschließlich in der DMZ arbeiten dürfen, das heißt jegliches "Nach-Hause-Telefonieren" zu irgendwelchen Drittservern soll unterbunden werden wie auch der Aufruf aus dem Internet.
Zweite Frage:
Reicht es die Kameras in der DMZ zu platzieren oder benötige ich hierfür ein drittes Netz? Wenn Letzteres, wie gewährleiste ich die gegenseitige Erreichbarkeit von Home Assistant und Kameras?
Dritte Frage:
Kann bei einer Fritzbox die Internetznutzung der Kameras unterbunden werden?
Danke schon mal für eure Unterstützung!
3 Antworten
Router 2 ist Schnittstelle zwischen DMZ und WAN
Du meinst zwischen DMZ und LAN?
Kann ich vom privaten Netzwerk direkt auf Geräte der DMZ zugreifen (z. B. 192.168.0.15)?
Ja. Der Router2 kennt das LAN-Netz und die DMZ.
Reicht es die Kameras in der DMZ zu platzieren oder benötige ich hierfür ein drittes Netz?
Du musst auf Router1 konfigurieren, dass der Homeserver auf das Internet zugreifen kann, die Kameras aber nicht. Das ist mit der Fritzbox über die Kindersicherung möglich. Damit ist auch die dritte Frage beantwortet.
Eine Frage bleibt offen. Wie funktioniert der Internetzugriff über die DMZ ins LAN? Entweder macht der Router2 NAT in die DMZ oder der Router1 benötigt eine Router ins LAN.
Wenn ich in Router 2 Router 1 als Standardgateway eintrage und Ersteren konfiguriere, dass er ein externes Modem (= Router 1)
Ein Router ist kein Modem. Nur so nebenbei. Ein Modem kann kein Router sein.
nutzen soll, müsste doch die Verbindung von LAN ins WAN gegeben sein, oder?
Ja. Aber Du musst den Rückweg bedenken. Die Pakete müssen zurück vom WLAN ins LAN, über die DMZ. Das bedeutet, dass Router2 NAT macht oder das Router1 eine Route ins LAN benötigt.
Ja. Aber Du musst den Rückweg bedenken. Die Pakete müssen zurück vom WLAN ins LAN, über die DMZ. Das bedeutet, dass Router2 NAT macht oder das Router1 eine Route ins LAN benötigt.
Das verstehe ich zwar in der Theorie, wie ich eines und welches von beidem ich umsetzen soll jedoch nicht. Wenn ich bei Router1 eine Route ins LAN eintrage, öffne ich da nicht wieder eine der Türen, die ich ja durch dein Einsatz einer DMZ eigentlich alle geschlossen halten wollte?
Wie willst Du ohne Route zu einem Ziel kommen? Die Route ist schon essentiell. Eine geöffnete Tür wird durch eine Firewall geschlossen. Eine DMZ funktioniert nicht durch nicht vorhandene Routen, sondern durch sinnvolle Firewallregeln.
@franzhartwig Wie gesagt, das verstehe ich. Wie aber richte ich das bei Router1 ein? Macht er das nicht automatisch, weil er weiß, welcher Client die Abfrage ins WAN gestartet hat?
In der Fritzbox kannst Du unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen ganz unten auf der Seite eine statische Routingtabelle konfigurieren.
Kann bei einer Fritzbox die Internetznutzung der Kameras unterbunden werden?
Die kann ich dir beantworten: Ja. Jedes jerät das die Fritzbox kennt können Profile zugewiesen werden. In diesem Profil kann man unter anderem einstellen das z.b. der internetzugang gesperrt ist.
Zum rest kann ich jetzt nichts sagen.
Geräte in deiner DMZ brauchen einen Routingeintrag um Hosts in deinem LAN zu erreichen.
Zielnetz 192.168.178.0 / 24 - Gateway 192.168.0.254 (DMZ IP deines Router 2)
für alles andere (zb Internet) eine Default Route
Zielnetz 0.0.0.0 -> Gateway 192.168.0.1 (dein Router 1)
Oder du richtest auf deinem Router 1 eine Route zu deinem Heimnetz ein und gibst deinen Hosts in der DMZ nur eine Default Route zu Router 1.
Also auf Router 1:
Zielnetz 192.168.178.0 / 24 -> Gateway 192.168.0.1
Deinen Kameras gibst du keine Default Route oder sonst irgendeinen Routingeintrag. Somit können sie auch nirgendwo hin kommunizieren ausser innerhalb des eigenen Netzes.
Geräte in deiner DMZ brauchen einen Routingeintrag um Hosts in deinem LAN zu erreichen.
Aus der DMZ soll nicht auf das LAN zugegriffen werden können, außer natürlich ein Client aus dem LAN startet eine Übertragung an einen Host in der DMZ ("established bit") - hierfür ist dann in der FB jedoch keine gesonderte Einstellung nötig, oder?
für alles andere (zb Internet) eine Default Route
Zielnetz 0.0.0.0 -> Gateway 192.168.0.1 (dein Router 1)
Zielnetz 0.0.0.0 wäre das Internet?
Oder du richtest auf deinem Router 1 eine Route zu deinem Heimnetz ein und gibst deinen Hosts in der DMZ nur eine Default Route zu Router 1.
Also auf Router 1:
Zielnetz 192.168.178.0 / 24 -> Gateway 192.168.0.1
Warum sollte ich dies tun - würde ich damit nicht standardmäßig eingehenden Traffic auf mein LAN routen (was jedoch die Firewall nicht zulässt)?
Den Hosts in der DMZ gebe ich damit nur die Richtung nach draußen vor (außer den Kameras)?
Ja, klar, danke für die Richtigstellung.
Wenn ich in Router 2 Router 1 als Standardgateway eintrage und Ersteren konfiguriere, dass er ein externes Modem (= Router 1) nutzen soll, müsste doch die Verbindung von LAN ins WAN gegeben sein, oder?