Pi vom LAN abschirmen

  • Hallo,

    ich teile einen Pi mit einem Freund und auch wenn ich im Vertaue (sonst hätte er keine Root Rechte) würde ich gerne dafür sorgen, dass er nicht mit dem Pi, der in meinem LAN ist, in meinem Netzwerk sein kann. Die Frage wie mach ich das ? Software kommt ja eher nicht in Frage wenn er auch Root Rechte hat, muss ein Switch oder ne Hardware Firewall her ?

    Gruß

  • Moin djkobi,

    wie muss man sich das vorstellen??
    Benutzt ihr den gleichen User?
    Beide an der selben Tastatur und Monitor?
    Oder wie kommt dein Freund auf/an den Rpi?

    Gruss Bernd

    Ich habe KEINE Ahnung und davon GANZ VIEL!!
    Bei einer Lösung freue ich mich über ein ":thumbup:"
    Vielleicht trifft man sich in der RPi-Plauderecke.
    Linux ist zum Lernen da, je mehr man lernt um so besser versteht man es.

  • Da Dein Freunt Root-Rechte auf dem RaspberryPi hat, verbietet sich eine Lösung auf dem Pi selber.

    Eine Lösungsmöglichkeit währe ein externer Radiusserver mit passendem Managed-Switch. Damit kann mam festlegen wer/wie Zugriff auf einzelne Netzwergeräte hat. Das ist aber keine billige Lösung.

    Mit freundlichen Grüßen
    JLacky

    • Offizieller Beitrag

    Wir reden hier von einem 30€ objekt. Wenn du ihm nicht vertraust soll er sich selber einen kaufen. Bei dieser Preiskategorie und dieser Ausgangsgrundlage ist doch alles andere nur Resourcenverschwendung

  • Zitat von "dbv" pid='299642' dateline='1505372033'


    Wir reden hier von einem 30€ objekt. Wenn du ihm nicht vertraust soll er sich selber einen kaufen. Bei dieser Preiskategorie und dieser Ausgangsgrundlage ist doch alles andere nur Resourcenverschwendung

    :thumbs1:

  • Zitat von "JLackxy" pid='299636' dateline='1505369779'


    Da Dein Freunt Root-Rechte auf dem RaspberryPi hat, verbietet sich eine Lösung auf dem Pi selber.

    Eine Lösungsmöglichkeit währe ein externer Radiusserver mit passendem Managed-Switch. Damit kann mam festlegen wer/wie Zugriff auf einzelne Netzwergeräte hat. Das ist aber keine billige Lösung.

    Mit freundlichen Grüßen
    JLacky


    Managed Switch ja ok wäre eine Möglichkeit.
    Aber wozu zusätzlich den Radius-Server?
    Völlig unnötig. Vlans konfigurieren und fertig ist die Laube.
    Und wenn es wirklich darum geht Vlans zuhaben gibt es schon kleine 4-8 Port Switche die das für wenig Geld können. Noch günstiger ist dann nur noch einen alten Linksys wr54 irgendwo abzustauben oder für 5€ jemanden abzukaufen und dann damit Vlans fahren. Mit openWRT/DD-WRT leicht umzusetzen.

    Aber der Pro Tip wurde ja schon genannt. 30€ und schenke ihm einen eigenen.

  • Wenn du eine FritzBox hast, könntest du ihn in das Gast-LAN schieben.
    Doch wenn er die MAC-ändert, ist er wieder im normalen LAN.

    Oder er bekommt bei der FritzBox einen Anschluss an den LAN-Port 4, den man fest als Gast-LAN definieren kann.

    Ansonsten würdest du einen manageable Switch benötigen, bei dem du für den LAN-Port, an dem der PI hängt, ein Port-Basiertes VLAN einrichtest. Dieser Port kann dann nur noch ins Internet.

    Beim WiFi wäre das einfacher, da man ihm hier einfach in ein passenden Funktnet6z schieben kann. Ohne die Kenntnis einer anderen SSID kommt er auch mit einer anderen MAC-Adresse nicht in ein anderes (V)LAN

    Computer ..... grrrrrr

  • Zitat von "dbv" pid='299642' dateline='1505372033'


    Wir reden hier von einem 30€ objekt. Wenn du ihm nicht vertraust soll er sich selber einen kaufen. Bei dieser Preiskategorie und dieser Ausgangsgrundlage ist doch alles andere nur Resourcenverschwendung

    Es geht hier nicht um den Pi es geht hier um mein komplettes LAN, Stichwort Port Forwarding.
    mit einer SSH Verbindung zu meinem Pi im LAN kann er auch auf jedes Gerät zugreifen und das ist etwas mehr wie nur ein 30€ Objekt.
    So Managed Switches gibts ja ab 30€ oder ?
    https://www.amazon.de/Netgear-GS105E-200PES-Managed-Gigabit-konfigurierbar/dp/B00GWKN1Q2/ref=sr_1_3?ie=UTF8&qid=1505500931&sr=8-3&keywords=managed+switch&tag=psblog-21 [Anzeige]
    Könnte ich den auch so konfigurieren, dass er nur mit einem weiteren Gerät kommunizieren kann mit dem rest des LANs jedoch nicht ?

    Gruß

    Einmal editiert, zuletzt von djkobi (15. September 2017 um 20:57)

  • Zitat von "djkobi" pid='299963' dateline='1505501003'


    ... Pi im LAN kann er auch auf jedes Gerät zugreifen und das ist etwas mehr wie nur ein 30€ Objekt.

    Hat er kein eigenes LAN? Oder warum muss er (d)einen PI in deinem LAN haben/nutzen?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Zitat von "rpi444" pid='299965' dateline='1505501407'


    Hat er kein eigenes LAN? Oder warum muss er (d)einen PI in deinem LAN haben/nutzen?

    Wir haben ein gemeinsames Web Projekt auf dem Pi.

    Einmal editiert, zuletzt von djkobi (15. September 2017 um 20:53)

  • Zitat von "djkobi" pid='299966' dateline='1505501593'


    Wir haben ein gemeinsames Web Projekt auf dem Pi.

    Sehr gut, ... aber das hättest Du auch schon in deinem 1. Beitrag schreiben können. ;)

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    • Offizieller Beitrag

    Für ein ein webprojekt reicht ja auch ein (S)FTP zugang aus. Root rechte sind nicht notwendig. Und noch mal, wenn du einem nicht vertraust...gib ihm keine root rechte....und lass ihn nicht in den Netzwerk....Aber ein managed switch kaufen wollen (für 30€ kriegt man nicht mal Ersatzlüfter dafür)

  • Zitat von "djkobi" pid='299973' dateline='1505502423'


    Dachte das ist nicht wirklich wichtig :)

    Wir hatten mal mit unmanaged Switches in der Schule zutun, so ein managed Switch mit Weboberfläche klingt aber schon interessant, die Frage ist: Kann ich den auch dementsprechend konfigurieren wie einen unmanaged Switch, also VLANs selbst erstellen.... oder ist das nur so wie es in Amazon steht Plug & Play ?

    Gruß


    Ja du kannst natürlich da selbst VLANs anlegen.

  • Okay auch wenn ich seine Rechte einschränken würde, das ändert doch nichts daran das er mit SSH, Port Forwarding machen kann (da bin ich mir jedoch nicht sicher, belehrt mich bitte einem besseren wenn es nicht stimmt)
    Zusätzlich habe ich auch noch das Problem das ich ihm Rechte definiere und einstelle müsste und er dann wieder mal was installiert braucht, wie heute SSH2(PHP) da kaufe ich lieber einen Switch.
    Die 30€ sind mir es Wert , bevor ich dann jedes mal ihm etwas einstellen oder installieren muss. Zusätzlich gehen mir eh die Ports am Router aus und ich wollte schon immer ein bisschen Struktur in mein Netzwerk reinbekommen, ist ja nicht das einzige was bei mir im Lan hängt.
    Das ist der Grund warum ich jetzt zu dem 30€ oder den wahrscheinlich 38€ 8Port Switch greifen werde.

    Ich hoffe das ist ausführlich genug.

    Einmal editiert, zuletzt von djkobi (15. September 2017 um 21:29)

    • Offizieller Beitrag

    Hallo,

    also ohne alles de­tail­liert gelesen zu haben, aber mal ehrlich... was soll der Sch :stumm: ? Ihr teilt euch einen RPi incl. root-Rechten wegen eines gemeinsamen Webauftritt's? Dafür gibt es FTP, SCP zur Not SMB mit den nötigen Rechten versehen. Deshalb krempelt man doch kein Netzwerk grundlegend um oder kauft Hardware. :no_sad:

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!