Aktuelles

Netzwerkerweiterung hinter einer UnityMedia Connect Box

Phantro

Experte
Thread Starter
Mitglied seit
17.01.2014
Beiträge
4
Hallo zusammen.

Ich spiele aktuell mit dem Gedanken mich ein bisschen tiefer in Netzwerktechnik und Sicherheit einzuarbeiten. Aktuell bin ich noch maximal "Laie".

Erstmal zum bestehenden Setup:
Per LAN sind:
1x Desktop Rechner (Windows 10)
1x Firmenlaptop (WLan ist dort irgendwie hinüber, bricht dauernd ab. Geht über eigenen VPN ins Netz)

und per WLAN
2x Android Smartphones
1x LG TV mit WebOS
1x Amazon Fire TV Stick 4k
1x Laptop mit Linux Mint

mit der UnityMedia Connect Box verbunden. In meinem Tarif habe leider nur IPv6. Zudem habe ich dort auch eine Festnetznummer mit Flat, aber kein entsprechendes Telefon und VOIP kann die Box nicht.
Neben der Nutzung der Telefonleitung über VOIP am Smartphone möchte ich noch folgendes umsetzen:
- einen VPN Zugang für die Smartphones erstellen
- eine Art Pi Hole / AdGuard für das gesamte Netzwerk einbauen
- Systemweit einen anderen DNS Server verwenden als den von Vodafone

Daher habe ich mir gedacht, ich stelle mir evtl. einen Minirechner als Server hin und werf mir dort Proxmox drauf. Dort wollte ich mir dann
1. OpenWRT mit Asterisk
2. PiHole
3. OpenVPN
installieren. Theoretisch ginge wohl auch alles mit OpenWRT selbst soweit ich das nachlesen konnte. Aber je mehr man Meinungen liest, desto unsicherer werde ich. Denn einerseits soll man es simple halten, auf der anderen Seite ist simple aber eine Definitionssache. Der eine sagt, all in one Solution ist am einfachsten weil alles zentriert ist, der andere sagt die Sachen zu separieren ist einfacher weil man alles separat managen kann und wenn irgendwo was schief gehen sollte, wäre nicht gleich das komplette System hin sondern nur eine Komponente.
Variante 1 wird zum aufsetzen erstmal am einfachsten sein, könnte aber in der Wartung knackig werden. Variante 2 gibt mir mehr Spielraum und lässt mich z.B. PiHole durch eBlocker, Adguard oder eine echte Firewall (IPfire, pfSense....) oder aber OpenVPN durch Wiresguard etc. ersetzen und macht die Wartung erstmal augenscheinlich einfacher. Daher sehe ich letztere Variante gerade vor dem Hintergrund, das ich auch etwas experimentieren (learning by doing) möchte, am sinnvollsten an. Demnach möchte ich möglichst alles über eigene Container abbilden und diese dann "verknüpfen". Die VOIP Daten müsste ich mir zudem noch bei Vodafone organisieren, soweit ist mir das bewusst.

Für mich stellen sich nun erstmal die Fragen:
a) ist mein Vorhaben realistisch umsetzbar?
b) mehrere WLan Netze spannen: 1x Privat, 1x Gast Zugang, evtl. 1x Firmenlaptop separieren
c) welche (stromsparende) Hardware wäre denn als minimum dafür anzuschaffen? Wahrscheinlich neben dem PC/Server noch ein Hub/Switch?

Für einen erstes Experiment würde ich meine Linux Platte aus dem Laptop ausbauen und die 2. HDD mit Proxmox füttern. Bevor ich mir aber die Arbeit mache wollte ich, wie gesagt, erstmal wissen in wie fern das alles machbar ist und ob ich evtl. auch einfach zu kompliziert denke und alles etwas einfacher gestalten könnte.
Wie ich mitunter auf meine "komplizierte" Idee komme? Siehe hier: https://www.unitymediaforum.de/threads/33952/ Post Nummer 11
Eine zukünftige Idee wird dann noch sein, den Datenverkehr vom Smartphone am VPN via Firewall zu regeln. Aktuell nutze ich da noch Netguard. Das blockt mir aber den VPN, den ich nachher gerne nutzen wollen würde um in mein Heimnetz zu kommen. Aber das soll erstmal ein anderes, zukünftiges Projekt werden. Erst einmal "klein" anfangen.

Ich bedanke mich schonmal voraus für alle konstruktiven Beiträge und bin gespannt was sich daraus ergibt :-)

Viele Grüße
Phantro
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

l0n

Enthusiast
Mitglied seit
13.03.2005
Beiträge
977
Ort
Amstetten, nähe Ulm
Prinzipiell alles möglich allerdings auch Aufwand und Kenntnis vorrausgesetzt ;)

Ich rolle das mal so auf:

Mehrere WLAN Netze (SSIDs) --> Klar geht, entsprechende Accesspoints vorrausgesetzt. Per VLAN kannst du die Netze trennen damit die SSID "Firma" wirklich nur dein Firmen Notebook befeuert.
Macht auch für ein Gästenetz Sinn damit sich kein Gast in dein privates Netz hängt.
Also managed Switch notwendig der VLANs beherrscht.

Als Miniserver gibt es verschiedene Varianten, theoretisch reicht dir ein RJ45 Port da du per VLAN alles über den selben Port bekommst.
Nett wären aber dann vermutlich schon zwei, damit dein privates Netz nachher keinen Flaschenhals hat (falls du eine NAS im Netz betreibst könnte das den Datentraffic zwischen Rechner und NAS ausbremsen).

Ich würde folgendes machen:

Miniserver mit 2x RJ45, 2 oder 4 Kernen, 8GB Ram, 64GB SSD.
16 Port Switch Managed mit VLAN Support und netterweise PoE.
VM1: OPNSense (pfSense Fork der besser gepflegt wird) als Firewall, VPN Endpunkt (kann auch Wireguard)
VM2: PiHole als LXC Container
VM3: Unifi Controller als LXC Container

Bezüglich VM3: Ja ich mag Unifi, daher der Controller damit die Accesspoints ordentlich bedient werden und z.B. eine SSID für Gäste sinnvoll nutzbar ist. Theoretisch geht hier aber auch jede andere WLAN Lösung, je nach Gusto ;)
 

TheBigG

Enthusiast
Mitglied seit
24.05.2010
Beiträge
2.366
Für mich stellen sich nun erstmal die Fragen:
a) ist mein Vorhaben realistisch umsetzbar?
Teilweise.
Erstes Hindernis: Du bekommst von Unitymedia keine VoIP Daten ohne eigenes Modem.
Zweites: Die Connect Box kann keine Prefix delegation. Wenn du auf deinen Vertrag den Power Upload buchst könntest du dir Dual Stack schalten lassen und die Connect Box in den Bridge mode setzen, das würde dir vieles erleichtern.
Den Rest kann man komplett mit OpenWRT umsetzen, das läuft auch auf Unifi Geräten. Ich Persönlich bevorzuge auch OpenWRT über *sense und bevorzuge auch wireguard klar über OpenVPN. Auf einem Odroid H2+ performt das einfach besser als *sense
 

Phantro

Experte
Thread Starter
Mitglied seit
17.01.2014
Beiträge
4
Hi. Danke für den Input.
@l0n wieso ein 16 Port Switch? ist das für 2 LAN Geräte nicht mit Kanonen auf Spatzen geschossen? 2 getrennte VLANs über nen 4er oder 8er würden mir vollkommen reichen um meinen Rechner + Option auf ein NAS von dem LAN meines Firmenlaptops zu trennen. Der Rest kommt über WLAN ins Netz. Und dort meine ich mich zumindest bei WRT daran zu erinnern, das dort auch verschiedene aufgesetzt werden können. Der UniFi Controller klingt auf alle Fälle interessant, da muss ich mir mal bisschen Zeit nehmen :)

@TheBigG Meinst du wirklich? Von dem was ich bisher gelesen habe sollten die die Daten rausrücken. Im Zweifel aber müsste eine alte Fritzbox als IP Client dahinter den Job als Telefonanlage managen können.
Bei WRT soll, so wie ich das verstanden habe, die Möglichkeit der Präfixübernahme des Hauptrouters bestehen sodass ich quasi mit dem Teil dann dennoch mit meinem Vorhaben freie Bahn haben sollte. Aus dem Link in meinem 1. Post schreibt der eine im Post 11 zumindest genau das. Die Notlösung laut ihm wäre dann für mich quasi eine eigene Fritz 6660 zu holen und quasi über die dann alles zu machen. Aber da kommen dann auf einen Schwung ziemliche Kosten auf mich zu.

Im neuen Jahr gehe ich auf jedenfall mal den Testlauf mit meinem Laptop an. Ist btw. ein ASUS G73 schieß mich tot mit einem i7 720, 8GB RAM und einer HD5870. Hab da aber leider nur eine LAN Buchse. Da muss ich mal schauen wie das klappt. Im Zweifel mal noch eine alte Fritz als Switch misshandeln oder so -pfeif-

Würde mich aber über weiteren Input, Ideen und Vorschläge freuen :) Ich wünsche schonmal allen einen guten Rutsch
 
Zuletzt bearbeitet:

TheBigG

Enthusiast
Mitglied seit
24.05.2010
Beiträge
2.366
@TheBigG Meinst du wirklich? Von dem was ich bisher gelesen habe sollten die die Daten rausrücken. Im Zweifel aber müsste eine alte Fritzbox als IP Client dahinter den Job als Telefonanlage managen können.
Ja die Rücken die Daten nur mit eigenem Modem raus. Fritzbox als IP client im Netz verbunden per analog Telefonie mit der Connect Box würde funktionieren, allerdings gibt es da keine HD-Telefonie und auch sonst würde ich persönlich sowas nicht haben wollen.
Bei WRT soll, so wie ich das verstanden habe, die Möglichkeit der Präfixübernahme des Hauptrouters bestehen sodass ich quasi mit dem Teil dann dennoch mit meinem Vorhaben freie Bahn haben sollte.
OpenWRT kann Prefix delegation, nur bringt dir das alles nichts wenn der Hauptrouter das nicht macht. Du kannst Quasi auf durchzug stellen bei OpenWRT, dann wird allerdings IPv6 nicht mehr von OpenWRT sondern von der Connect Box gemanaged. Aber da kann man das unterfangen auch sein lassen.
Aus dem Link in meinem 1. Post schreibt der eine im Post 11 zumindest genau das. Die Notlösung laut ihm wäre dann für mich quasi eine eigene Fritz 6660 zu holen und quasi über die dann alles zu machen. Aber da kommen dann auf einen Schwung ziemliche Kosten auf mich zu.
Die 6660 kann Prefix delegation, aber ganz ehrlich, da kannst du auch einfach die Telefon Comfort Option buchen, dann bekommst du die Box von Vodafone.
Im neuen Jahr gehe ich auf jedenfall mal den Testlauf mit meinem Laptop an. Ist btw. ein ASUS G73 schieß mich tot mit einem i7 720, 8GB RAM und einer HD5870. Hab da aber leider nur eine LAN Buchse. Da muss ich mal schauen wie das klappt. Im Zweifel mal noch eine alte Fritz als Switch misshandeln oder so -pfeif-
Da würde ich eher einen Raspberry Pi 4 empfehlen, das ist deutlich Stromsparender und kann auch 1 Gigabit throughput problemlos ab. Und einen managed switch bekommst du für unter 20€. Fritzbox als Switch ist blöd aufgrund des hohen Energieverbrauchs, sowie der fehlenden VLAN Unterstützung.
 

Phantro

Experte
Thread Starter
Mitglied seit
17.01.2014
Beiträge
4
Frohes neues zusammen :-)
Mit Testlauf meinte ich, das ich mir vor zusätzlichem Hardwarekauf erst einmal mit dem Laptop einen Proxmoxserver erstelle und dort mit WRT, Pihole etc. experimentiere. Es wird auf keinen Fall als Dauerlösung angestrebt. Dafür ist die Kiste dann doch etwas zu durstig ;-)
Bei Vodafone selbst habe ich gelesen, dass der Kundenservice nach Kontaktaufnahme auch gewillt sein könnte, den Bridgemodus im Router freizugeben und so mir die Möglichkeit eines eigenen WRT Routers bietet. Da werde ich mich auch mal erkundigen und sehen, ob die mit sich reden lassen :-)
Je nachdem wie ich mit Proxmox etc. dann klar komme werde ich mir dann passende Hardware zulegen. Sprich Switch, Miniserver, Router für WRT, Raspi etc. - aber nur das, was am Ende für meine Setup notwendig ist :-)
 

TheBigG

Enthusiast
Mitglied seit
24.05.2010
Beiträge
2.366
Bei Vodafone selbst habe ich gelesen, dass der Kundenservice nach Kontaktaufnahme auch gewillt sein könnte, den Bridgemodus im Router freizugeben und so mir die Möglichkeit eines eigenen WRT Routers bietet. Da werde ich mich auch mal erkundigen und sehen, ob die mit sich reden lassen :-)
Hast du dazu einen Link?
Das wäre wohl im (VFD) Vodafone Kabeldeutschland Netz möglich aber es ist definitiv nicht bei (VFW) Vodafone West möglich, da ist Bridgemode sache des Modems.
 

Phantro

Experte
Thread Starter
Mitglied seit
17.01.2014
Beiträge
4
Link hab ich nun auf die Schnelle leider nicht zur Hand. Habe aber mit dem Kundenservice nun bisschen geredet/disktuiert.
Tatsache ist, dass der Kundenservice den Bridgemode bei IPv4 aktivieren (lassen) kann sofern das im Interface nicht schon selbst umstellbar sein sollte. Bei IPv6 wäre das aber wohl nicht möglich bzw. nicht mehr gemacht weil zu viele Probleme verursacht werden. Den Bridgemode kann man wohl auch nur bei der Connect Box schalten, bei der Vodafone Station ist die Funktion wohl generell nicht vorhanden.
Also bin ich halt doch wieder gekniffen :-( Muss ich mir was einfallen lassen. VOIP ginge halt nur wenn ich selbst eine Fritzbox kaufe bzw. die Vodafone FB miete (ich bin aber kein Fan von Branding, würde dann lieber eine eigene Fritze ordern wollen). Das werde ich dann wohl auch machen sobald die FW 7.39 raus kommt. Mit der sollen die Fritzboxen ja dann auch per Wireguard einen VPN herstellen können was wiederum mit IPv6 funktioniert. Die bisherige IPSec Variante hat wohl schmerzen damit.
Heißt, sobald die FW 7.39 rauskommt und man erste Infos zur finalen Version nachlesen kann (Beta ist zwar auch gut, aber halt eben nur Beta) werde ich dann wohl anhand der Fritzbox weitere Schritte unternehmen. Dann reicht mir ja im Grunde ein PiHole und ein managed Switch für VLAN. Bzw. ich kann mir dann hinter die Fritzi noch einen Proxmox hängen etc. aber die Fritzi übernimmt ja schon dann im groben die FW Tätigkeit und VPN.
 
Zuletzt bearbeitet:

oochu

Neuling
Mitglied seit
04.01.2022
Beiträge
2
werde ich dann wohl anhand der Fritzbox weitere Schritte unternehmen. Dann reicht mir ja im Grunde ein PiHole und ein managed Switch für VLAN.
Ein Switch mit VLAN-Unterstützung bringt in Verbindung mit einer Fritzbox nicht wirklich einen Vorteil. Um tatsächlich mehrere getrennte Netze per VLAN zu verteilen, muss das ja auch der Router unterstützen. Das Maximum, was mit einer Fritzbox (ohne einen weiteren Router dahinter zu betreiben) möglich wäre, ist die Trennung von normalem und Gastnetz. Da die Fritzbox nach außen kein VLAN spricht, allerdings nur über zwei separate LAN-Ports ("Gastzugang über LAN 4").

Ansonsten, als Alternative zu Bridge-Modus wäre auch noch ein eigenes Modem möglich. Wobei da wohl nur das TC4400 in Frage kommen würde, und das ist ziemlich teuer.

Der Bridge-Modus wäre da vermutlich die günstigere und unkompliziertere Option, wenn du auf VoIP verzichten könntest. Die dafür nötige Umstellung auf Dual Stack sollte möglich sein, wenn entweder der Power-Upload (mittlerweile nur noch für die 250/500-Tarife verfügbar), oder die Homebox-Option (gemietete Fritzbox) gebucht ist.

Auch bei einer gemieteten Fritzbox (und je nach Hardwarevariante und Softwarestand mittlerweile auch bei der Vodafone Station) wäre der Bridge-Modus aktivierbar (aber halt wie auch bei den anderen Geräten nicht vertraglich garantiert). Mit einer eigenen Fritzbox gibt es dagegen keinen funktionierenden Bridge-Modus (aber Prefix Delegation sollte natürlich gehen).
 
Oben Unten