So betreibe ich ein sicheres und stabiles Heimnetz
by Volker Weber
Ich habe weit mehr als 100 Geräte in meinem Heimnetz und habe mir folgende Strategie zugelegt, in Stichpunkten umrissen:
- Ich konfiguriere keine festen IP-Adressen, sondern verteile alle Einstellungen per DHCP.
- DHCP kennt variable Adressen, ab .100 bis .200.
- Alle Geräte mit Infrastruktur-Aufgaben bekommen eine fortlaufende Adresse im Bereich .2 bis .99, die ich in der Fritzbox festnagle. Bei der Gelegenheit bekommt jedes Gerät auch einen eigenen Namen.
- Ich vermeide neueste Protokoll-Implentierungen, etwa WPA3 statt WPA2. Vor allem mische ich nicht, also kein WPA2/WPA3.
- Ich betreibe zwei Netze: Ein eigenes Netz und ein Gastnetz, Ich kenne alle Geräte im eigenen Netz, ohne Ausnahme. Das eigene Netz ist gut abgesichert, das Gastnetz hat ein triviales Passwort. Das ist mein weiches Ziel. Geräte im Gastnetz können nur browsen und mailen. Testgeräte kommen immer ins Gastnetz.
- Bei jeder Neuanmeldung eines neuen Gerätes bekomme ich eine Email-Benachrichtigung, ebenfalls bei jeder Benutzung des Gastnetzes.
- Alle Zugangspunkte benutzen die selbe SSID, sowohl im 2.4- als auch in 5-GHz-Band.
- Geräte, die keine Privilegien mehr haben, bekommen ein No-Access-Profil.
- Keine Portweiterleitungen, kein uPnP, kein VPN-Zugriff.
- Geräte mit kritischen Daten sind per Default offline bzw. ausgeschaltet.
Comments
Klingt gut.
2 Fragen:
A) Was definierst du als Geräte mit "Infrastruktur-Aufgaben"?
B) "Ich vermeide neueste Protokoll-Implentierungen, etwa WPA3 statt WPA2. Vor allem mische ich nicht, also kein WPA2/WPA3."
Welchen Grund gibt es dafür?
Ist das für das neue iPhone nicht sicherer wenn es schon mal WPA3 nutzt?
A) Home Automation und andere Server/Gateways
B) Stabilität
Es gibt keine Sicherheit ohne Stabilität.
Was bedeutet „keine Privilegien mehr haben“?
Wie ich sehe nutzt Du auch Fritz!Repeater. Leider hängen bei mir viele WLAN Geräte immer zu lange an dem Repeater und wechseln nicht zur Fritz!Box zurück auch wenn die Signalstärkenunterschiede dies nahelegen.
Bist Du mit dieser Verteilung bei Dir zufrieden oder hast hier etwas optimiert?
Eine Frage zu DHCP und deinen "Infrastruktur"-Komponenten. Wie gehst du hier vor? Per DHCP würden ja alle automatisch Adressen ab .100 bekommen (mach ich bei mir genau so). Legst du die Adressen für "Infrastruktur" dann per Hand fest (ich mach das so bei meinen Repeatern) oder geht das auch eleganter?
Marko, z.B. Internetzugang.
Pascal, sehr zufrieden. Die Repeater hängen alle am Gigabit-Netz. Habe auf jeden Stockwerk ein oder zwei.
Der Repeater holt sich eine Adresse, nehmen wir an .133. Dann gehe ich in diesen Eintrag, benenne ihn und gebe ihm die Adresse .2. Wenn er rebootet, kriegt er die dann.
Pascal: Windows? Dort gibt es einen Parameter, der das Verhalten steuert: https://answers.microsoft.com/en-us/windows/forum/all/automatically-switch-on-to-stronger-wi-fi/1c642115-d276-4803-b214-3545ca2183c7
Das Problem hatte ich hier auch gerade. Zu den beiden alten 7430 und 7530 kam ein neuer 7530ax dazu, mit WPA3 und WiFi6, und seitdem sind wir immer wieder aus dem WLAN geflogen. Downgrade auf WPA2 und WiFi4, und es geht wieder.