IoT Router

Der klassische Konsument hat einen DSL-Router mit einem internen per DHCP verwalteten LAN und jeder Client darf alles. Vielleicht gibt es noch ein Gäste-WLAN, was mittlerweile auch eine Fritz!Box kann. Aber die Firewall-Regeln sind hier doch beschränkt und vielleicht will ich nicht, dass Fernseher oder auch die verschiedenen IoT-Devices alle erst mal ungefiltert ins Internet zugreifen können. ein mehrstufiges Konzept ist ratsam, um auch Gäste von dem eigenen NAS abzuhalten.

Anforderung

Ich habe mich also auf die Suche nach eine "kleinen Firewall" gemacht, mit der ich in meinem Haus ein paar Zonen einrichten kann. Der Fernseher und WLAN-Mediaplayer sollen zwar die Mediaserver erreichen aber vielleicht nicht zu jeder Zeit jede Gegenstelle im Internet. Das gilt insbesondere für diverse IoT Geräte wie Wasseraufbereitung, Leckage-Melder und was zukünftig noch so alles "IP"-spricht. Mein WLAN basierend auf den Ubiquiti-Access Points hat dazu schon mehrere SSIDs bekommen, die nun aber richtig zusammen geschaltet werden sollen.

Vorher

Mein Netzwerk hat quasi begonnen, wie es in der Mehrzahl aller Haushalte aufgebaut ist. Ein DSL-Router stell intern ein Subnetz mit per DHCP vergebenem Adressen bereit. Alle Clients sind im LAN untereinander komplett erreichbar und auf der Fritz!-Box kann man einzelnen Geräten den Internet Zugang beschränken oder abgeben.

Aber nachdem meine Kinder größer wurden und sie wie selbstverständlich den WLAN-Schlüssel weiter gegeben haben, war es an der Zeit zu handeln.

Ziel

Es sollte ein besserer Schutz her ohne die Ausfallwahrscheinlichkeit zu erhöhen. Ich werde also weitere Komponenten benötigen aber die "Core-Funktion" muss immer gewährleistet sein. Insofern habe ich mich für drei Netzwerke entschieden, von dem, vermutlich eher untypisch, das innere Netzwerk doch am weitesten "Vorne" steht. Das Default LAN (und auch VLAN) ist genau das bisherge Netzwerk, welches die Fritz!Box aufspannt und per DHCP versorgt. Das bleibt erst mal so nur dass ich hier zukünftig restriktiver mit dem Zugang umgehe.

Die drei VLANs sind natürlich ausbaufähig. Für den Anfang verbindet der Switch alle Endgerät und auch die WiFi-Access-Points. Da ich aktuell noch keine "verkabelten" Geräte habe, die im IoT-Netzwerk sein müssen, gibt es nur drei Switch-Ports, die neben den Default VLAN auch noch die beiden VLANs für Gäste und IOT bereitstellen. Die WLAN-AccessPoints können mehrere SSIDs anbieten und in entsprechende VLANs einbinden. Optional könnte ich sogar noch per 802.1x und einem Radius-Server eine Benutzerbezogene VLAN-Zuordnung einrichten. Radius kann auch von einer QNAP oder Synology bereitgestellt werden. Aber ich brauche natürlich einen "Router" zwischen den drei oder mehr VLANs, der auch filtern kann.

Varianten

Ich habe auf meinem Hyper-V-Server dazu schon einige Monate mit verschiedenen Firewalls als MV experimentiert (PFsense, Sophos Home, Windows Server als Router mit Windows Firewall), Aber irgendwie war der WAFA (Woman acceptance factor) bzw. der CAF (children acceptance factor) nicht hoch genug. Die Konfigurationen können viel zu viel und dauernde Updates des Gast aber auch des Hosts haben massiven Einfluss auf die Netzwerkverbindung. Da ist eine eigenständige "Box" sympathischer. Sie müsste auch gar nicht mal viele Ethernet-Ports haben, wen sie VLANs unterstützt, die mein Switch auch auseinandernehmen kann. So gibt es aus meiner Sicht drei "Klassen" von solchen Firewalls.

Klasse Beschreibung Beispiele
VM oder PC-basierend

Schon immer können Sie eine virtuelle Maschine oder einen "alten PC" mit einer passenden Software bespielen, die das Routing übernimmt. Wie schon beschrieben ist die Verzahnung von VM und aktivem Routing im Netzwerk nicht immer zufriedenstellend. Zudem ist der Stromverbauch schon am höchsten im Vergleich zu den anderen Systemen.

Will man diese Software auf Physik betreiben, dann liegt es nahe einen "alten PC" zu nutzen aber wer genau rechnet, wird mit einem neuen "kleinen" stromsparenden System besser dran sein. Ein 3-5 Jahre Alter PC fällt wahrscheinlich früher aus. Aber unter 150€ gibt es da nichts, eher im Bereich 200-300€ mit mehreren Ethernet-Schnittstellen Onboard.

Dafür bekommt man aber sehr leistungsfähige Funktionen seitens der Firewall.

DSL-Router

Der andere Plan ist einfach einen bestehenden DSL-Router umzubauen. Auf Basis von OpenWRT mit EPtables ist das durchaus auch interessant und entsprechende Hardware gibt es schon sehr günstig.

Allzu günstige Hardware hat aber oft nur Fast Ethernet und der Durchsatz ist entsprechend bescheiden. Es beginnt aber schon bei 10-20€

Firewall-Box

Die dritte Option ist natürlich der Kauf eine entsprechenden Box, die vom Hersteller fertig als Firewall oder zumindest Router mit Filter angepriesen wird. Man erhofft dabei auch, dass diese Geräte robust und stabil aufgebaut sind, so dass Sie einige Jahre einfach ihren Job tun. Hier gibt es durchaus einige preislich interessante Geräte auf dem Markt (Stand Jul 2017)

Einige Geräte wie z.B. die Ubiquiti-Systeme werden als Komponente in deren WLAN-Strukturen angesehen und haben besondere Eigenschaften diesbezüglich.

Wie so oft gilt: "You get what you pay for". Es gibt zwar immer "teure" Lösungen aber ein 50€ EdgeRouterX mit 5 Gigabbit-Ports wird im Routing an seine Grenzen stoßen. Gleiches gilt für umgewidmete DSL-Router. Die eingebauten CPUs und RAM-Ausstattung schlägt sich im Preis und der Performance nieder. Aber wer "über Netzwerkgrenzen hinweg" wirklich Gigabit benötigt, muss dann etwas mehr Geld ausgeben. Ein Smartphone oder gar ein IoT-Device wird sich auch mit Megabit oder sogar Kilobit zufrieden geben.

Ubiquiti EdgeRouter X

Ich habe schon zwei Ubiquiti WiFI-Access Points, die ich mit der Management Software verwalte und in PRTG eingebunden habe. Von Ubiquiti gibt es sogar passend eine "Unifi Secure Gateway" (USG), welches sich in diese Umgebung sogar einpassen würde. Aber parallel gibt es von Unify auch noch die EdgeRouter-Serie, deren kleinstes Modell mit 50€ gerade mal die Hälfte der kleinsten USG kostet. Ich habe mir meine Anforderungen angeschaut und das sich eigentlich mit etwas Routing und Portfilterung hinkomme. zudem gibt es einen netten Vergleich der beiden Geräte auf YouTube.

USG vs. EdgeRouter
https://www.youtube.com/watch?v=XvWOx3PvYFM

So schön die weiteren aktivierten Funktionen im WLAN-Controller vielleicht wären, habe ich dennoch einen Versuch mit dem EdgeRouter X gestartet. Er kann sicher keine 5 Gigabit routen und als Switch habe ich ja meinen 24port Switch, der aber noch nicht nicht per SNMP zu managen ist. (Siehe auch PRTG TL-SG1024DE). Insofern ist es um so mehr erfreulich, dass selbst der 50€ EdgeRouter X schon SNMP unterstützt und damit direkt in PRTG eingebunden werden kann.

Die hier beschriebene Konfiguration ist zugleich auch Dokumentation für mich selbst. Ihre Werte werden natürlich abweichen und auch ich habe die Konfiguration nicht genau so aktiviert. Ich nutze z.B. auch nicht einen der Wizards zur Initialkonfiguration.

Die initiale Konfiguration ist etwas ungewöhnlich aber mit der Inbetriebnahme eines Audiocodes Gateway vergleichbar. Der Router hat erst einmal immer die 192.168.1.1 und man muss einen Client einfach in das Subnetz statisch einrichten um dann per Browser die Erstkonfiguration vorzunehmen. Das Standard-Kennwort (ubnt/ubnt) sollte man natürlich ändern. Einen Zugang per seriellen Port oder Console gibt es nicht. Exportieren Sie daher die Konfiguration. Ich hatte mich selbst einmal ausgesperrt und nach einem langen Druck auf den Reset-Taster durfte ich erst mal wieder von vorne beginnen. Dann ist gut, wen man seine Checkliste hat:

Aktion Erledigt

Initialkonfiguration

  • PC auf 192.168.1.2 statisch Einstellung und mit ETH0 verbinden
  • Browser auf https://192.168.1.1 gehen und mit ubnt/ubnt anmelden
  • Update der Firmware, wenn erforderlich
    Warum sollte man sich mit einer alten Firmware und deren Fehlern rumschlagen.
  • Dashboard - Users: User UBNT mit neuem Kennwort versehen
  • Dashboard - Switch 0 Konfiguration: IP-Adresse ändern und die Ethernet Ports aktivieren

    Hinweis: eben Sie die IP-Adresse gefolgt von der Subnetmaske an, z.B. 192.168.178.3/24. ETH0 bleibt erst mal unbelegt.
    Mit dem "Save" verlieren sie sofort die Verbindung
  • Umstecken
    Stecken Sie nun den Switch an das Haus-LAN

Der Switch kann nun unter der Adresse direkt angesprochen werden.

Globale Konfiguration

Unten links gibt es neben "Alerts" auch eine Karteikarte "System", über die ich allgemeine Einstellungen vornehme;

Dazu zählen:

  • Default Gateway (zur Fritz Box, z.B. 192.168.178.1)
    Leitwege lassen sich auch später beim Routing pflegen.
  • Nameserver:
    Ebenfalls die Fritz!Box (z.B. 192.168.178.1)
  • Syslog Server
    ich habe in meinem LAN eine Synology Diskstation, die auch SYSLOG-Meldungen annehmen kann
  • SNMP Agent
    SNMP wird bei mir aktiviert und mit einer eigenen Community versehen. Nach dem Speichern binde ich den Router direkt in meine PRTG-Installation ein.

VLANs anlegen

Ich brauche eigene VLANs für das Gäste-Netzwerk und die IOT-Geräte. Ich könnte nun jedes Netzwerk auf einen eigenen Ethernet-Anschluss legen. Da aber mein Switch auch VLANs beherrscht, habe ich einfach die neuen VLANs auf den "Switch" gebunden. Auf dem Dashboard werden die VLANs einfach addiert:

  • Anlegen VLAN für Gäste mit IP-Adresse
  • Anlegen VLAN für IOT mit IP-Adresse

Natürlich muss ich nun auf dem Switch, an den der EdgeRouter X angeschlossen ist, auch noch einstellen, dass auf dem Port die beiden VLANs als "TAGGED" mit übergeben werden.

Auch an den Ports mit den WiFi Access-Point sind die beiden VLANs als "tagged" mit durchzureichen.

DHCP-Services bereitstelle

Damit die Geräte in den beiden neuen VLANs auch IP-Adressen bekommen, richtige ich je einen DHCP-Service unter "Services" ein

  • DHCP-Bereich für Gäste einrichten
    z.B. 192.168.180.100-254 mit Gateway = 192.168.180.1
  • DHCP-Bereich für IoT einrichten, z.B. 192.168.181.100-254 mit Gateway = 192.168.181.1

Wenn sich nun ein Endgerät mit einem der beiden neuen SSIDs verbindet, dann sollte es eine IP-Adresse aus dem entsprechenden Subnetze bekommen.

Routing einrichten

Ich verzichte bei diesem System auf RIP oder OSPF. Durch die Interfaces weiß der Edge-Router X schon alleine, über welches Interface nud VLAN er die Pakete weiter routen muss und auch der Rückweg könnte funktionieren. Dazu müssen aber die Systeme im Haus-LAN den Weg in die beiden neuen Netzwerke lernen. Anstatt das nun pro Client zu hinterlegen habe ich einfach auf dem Default Gateway im Haus-LAN (also der Fritz!Box) zwei Leitwege eingetragen.

So oder so ähnlich könnte das dann auch bei ihnen aussehen:

Nun sollten die Geräte sogar schon ins Internet kommen.

In einem Firmennetzwerk würde man natürlich zuerst die Firewall "dicht" machen. Aber da meine Geräte ja sowieso vorher schon "Internet" über das Haus-LAN hatten, habe ich so erst mal den einfachen Weg gewählt und konnte gleich testen, ob die Funktion im Prinzip schon gegeben war.

Weitere Einstellungen habe ich noch nicht vorgenommen.

Firewall Filter

Auf der Karteikarte "Firewall/NAT" befinden sich vier Utergruppen

ich werde mich im weiteren erste mal in der Karteikarte "Firewall Policies" bewegen. Mein EdgeRouter X ist aktuell nicht aus dem Internet erreichbar und auch die Dienste in dem IoT und Gast-Netz müssen nicht per "Reverse NAT" veröffentlicht werden. Aus meinem Haus-LAN mit PRTG kann ich einfach per Routing dorthin zugreifen, wenn es die Firewall-Regeln später erlauben. Auch die Karteikarte "NAT" entfällt, da der EdgeRouter X keine Pakete per NAT umsetzen muss. Er kann die Pakete der nachgelagerten Netzwerke IoT und Gast einfach per Routing weiter geben und der Fritz!Box die Arbeit überlassen. Die letzte Karte "Firewall/NAT Groups" erlaubt mir eigene "Gruppen" anzulegen (z.B. IP-Adressen, Ports etc.) die denn in den Regeln referenziert werden können. Ich kann also z.B. eine Adresse "PRTG" mit der IP-Adresse der PRTG-Servers anlegen und dann an mehreren Stellen verwenden. Ändert sich die IP-Addresse dieses Servers, dann muss ich nicht alle Reglen durchforsten und anpassen sondern nur einmal diese Vorlage.

Aber ohne Firewall-Regeln ist erst einmal alles erlaubt und das sollten wir möglichst schnell abstellen. Ich betrachte mir dazu die vier Zonen in meinem Bild:

Man sieht hier zwar, dass die IoT und Gäste "durch" das Hauslan müssen, aber nicht in das Haus-LAN. Als Besonderheit muss man halt sicherstellen, dass alle Gerät zumindest einen DNS-Server erreichen. Das kann der EdgeRouter X sein oder die Fritz!Box. Im letzten Fall wäre dann eine IP-Adresse im Haus-LAN doch erreichbar. Damit lässt sich quasi folgende Matrix aufstellen:

Von/Nach

Internet

Haus-LAN

IoT

Gäste

Internet

 

Nein

Nein

Nein

Haus-LAN

NAT

Gefiltert (PRTG, Apps etc.)

ICMP Only

IoT

NAT, ggfls. Filter auf Quell/ZielIP und Ports

Gefiltert, z.B. auf PRTG Only

Nein

Gäste

NAT, ggfls. Portlimits, Bandbreite Limit

Nein

Nein

 

Die komplette Konfiguration der Firewall-Regeln schreibe ich nicht nicht mehr weiter auf. Nur soweit eine kurze Einleitung:

  • RuleSets
    Auf der obersten Ebene gibt es eine Liste von "RuleSets", die eine Default Aktion haben. Diese greift, wenn keine der im Ruleset enthaltenen Rule zutrifft. Beim Ruleset wird zudem definiert, auf welchem Interface und welche Richtung dieses Set an Regeln genutzt wird
  • Richtung
    Bei der Pflege der Richtungen wird nach "IN" (eingehende Pakete nach dem DNAT, die zum Router geleitet werden), "OUT" (Ausgehende Pakete vom Router zum Zielinterface vor SNAT) und "LOCAL" (alle Pakete direkt an das Device ohne den Routingprozess zu durchlaufen). Vergessen Sie bei allen Regeln also nie auch eine Regeln an den EdgeRouter X zum Port 443, damit sie auch weiter administrieren können.
  • Rules
    In einem Rule-Set können mehrere Regeln hinterlegt werden. So können Sie verschiedene für eine Applikation erforderliche Freischaltungen durch mehrere Rules in einem RuleSet zusammenfassen.

Ubiquiti hat eine recht nette Anleitung für die Einrichtung geschrieben

User Guide
https://www.ubnt.com/downloads/guides/edgemax/EdgeOS_UG.pdf
https://www.ubnt.com/download/edgemax/edgerouter-x

Ubiquiti Networks EdgeRouter X Setup and Performance Review
https://www.youtube.com/watch?v=7tGT_dyNqnM

QoS

Der kleine Router kann sogar QoS-Prioritäten. Für meinen Fall reichen einfache Bandbreitenbeschränkungen auf jedem jeweiligen Interface. Auf dem VLAN 2 (Gast) und VLAN3 ( IOT) habe ich einfach allgemein ein Limit aufgelegt:

Mann sollte dabei aufpassen, dass die Ports als "WAN-Interface" betrachtet werden und daher ein "Upload" aus Sicht den Routers ein "Senden" an das Interface ist. Aus Sicht den Clients ist das aber der Download. Das Limit bezieht sich auch immer auf das Gesamtinterface. Wer ein Limit "pro Client" oder "Pro Protokoll" möchte, kann das über die "Basic Queue machen.

Und für die ganz ambitionierten Anforderungen gibt es noch die Advanced Queue, auf die ich aber nicht weiter eingehe

Abschluss

Die EdgeRouter X-Lösung von Ubiquiti lässt sich sicher nicht mit der Leistung einer großen Firewall (PFSense, Sophos u.a.) vergleichen, die auch Proxy-Server für SMTP, HTTP etc. bieten. Ich nutze nur einen Bruchteil und natürlich lasse ich viele Funktionen brach liegen. Aber das ist in meinem Fall auch gar nicht erforderlich.

Ich habe schon überlegt, ob ich nicht eine PFSense, OPNSense oder Sophos Home einsetzen sollte. Einige Tests als VM unter HyperV habe ich damit auch angestellt, aber ich werde die VM sicher nicht als PPoE-Endpunkt über ein DSL-Modem einsetzen. Mir reicht schon die Filter-Funktion, die letztlich im Hintergrund auf IPTables aufsetzen wird. Zumindest sind solche Regeln auch im Backup zu finden. Ich habe mir aber die Zeit und Kosten gespart, die ich vielleicht auf Basis eines Raspberry, BananaPi oder anderem Kleinstcomputer mit Linux oder dem Selbstbau mit einem Motherboard investiert hätte.

Letztlich muss mein "Haus-LAN" mit meinem PC (auch Skype for Business), das VPN meiner Frau und letztlich auch andere Geräte einfach funktionieren. Und daher bleibt es da bis auf weiteres einfach beim DSL-Router mit DHCP. Über die zusätzlichen Zonen kann ich aber nun eigene Subnetze für meine Bastelarbeiten und Tests betreiben, ohne die Geräte in meinem Haus-LAN zu gefährden. Insbesondere Gäste möchte ich damit zukünftig aus meinem Haus-LAN fern halten.

Und mit der kleinen Baugröße und den minimalen Kosten bei sehr hoher Flexibilität ist das Gerät durchaus auch für Testfelder und Labore interessant. Danke QoS können sogar Bandbreiten "künstlich" gedrosselt werden.

Weitere Links