Zweites Netzwerk auf dem PI

  • Hallo!


    Folgendes Szenario:


    - internes Netzwerk,
    - FritzBox 7390 mit "Gastnetz"
    - 1 Raspberry


    Der Raspberry soll von außen erreichbar sein. Dazu habe ich ihn in das "Gastnetz" (LAN 4) der FB gehängt und eine Portweiterleitung eingerichtet. Das funktioniert so weit so gut, und der Pi hat keinen Zugriff auf das interne Netz. So sollte es auch sein.


    Leider hat aber das interne Netz auch keinen Zugriff auf das "Gastnetz" der FB. Daher muss ich also per ssh über das Internet auf den Pi zugreifen. Das möchte ich gerne ändern, und zwar so kostengünstig wie möglich. Ein zweiter Router mit dedizierter Firewall ist mir leider etwas teuer.


    Ich möchte den Pi nicht ins Heimnetz hängen. (LAN1-3 an der FB). Denn dann hätte er auch Zugriff auf das Heimnetz, insbesondere auch auf die FB selber. Firewall-Regeln auf dem Pi wäre nutzlos, denn im Falle eines Falles wäre die das erste, was ein Angreifer löscht.


    Ich hatte mir gedacht, ich besorge mir ein USB2LAN-Kabel, und verbinde darüber den Pi direkt mit meinem Arbeitsrechner. Damit wäre der Pi von meinem Arbeitsrechner erreichbar, hätte aber selber keinen Zugriff auf das Heimnetz, denn ich kann auf meinem Arbeitsrechner per IPTABLE alle eingehenden Verbindungen blocken. Als Steigerung könnte ich zwischen Pi und PC noch ein VPN legen, wenn nötig.


    Somit wäre der Pi an LAN4 der FB weiterhin von außen erreichbar, und nur von meinem PC aus über das USB2LAN-Kabel.


    Was sagen die Experten zu dieser Idee?


    Oder gibt es andere günstige Lösungen?

  • Interessante Idee den 7390 Gastzugang dazu zu nutzen, um die Pi vom lokalen Netz zu isolieren. Natuerlich ist diese Sicherung nur so sicher wie die FB sicher ist (Du hast sicherlich die AVM Aktionen letztens mitbekommen und einen FW Update vorgenommen).


    VPN fuer die PC zu Pi Verbindung ist meiner Meinung nach overkill.


    Eine Alternative faellt mir noch ein : Anschluss eines Keyboards und Bildschirms an die Pi und nur direkter Zugriff auf die Pi. Aber ich habe das Gefuehl das ist keine Alternative fuer Dich da Du schon den Weg ueber ssh erwaehnt hast.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

    Edited once, last by framp ().


  • Interessante Idee den 7390 Gastzugang dazu zu nutzen, um die Pi vom lokalen Netz zu isolieren.


    Es ist zwar keine richtige DMZ, kommt dem aber recht nahe. :)


    Quote


    Natuerlich ist diese Sicherung nur so sicher wie die FB sicher ist (Du hast sicherlich die AVM Aktionen letztens mitbekommen und einen FW Update vorgenommen).


    Aber sowas von logo! :cool:


    Quote


    Eine Alternative faellt mir noch ein : Anschluss eines Keyboards und Bildschirms an die Pi und nur direkter Zugriff auf die Pi.


    Das ist genau der Aufwand, den ich vermeiden will.;)


    Quote


    Aber ich habe das Gefuehl das ist keine Alternative fuer Dich da Du schon den Weg ueber ssh erwaehnt hast.


    Ja, ssh ist schon in Ordnung. Was mich halt nur etwas stört, ist, daß ich von meinem PC aus übers Internet an den Pi muss, weil ich keinen Zugriff über das interne Netz kriege. Ist halt ein kleiner Schönheitsfehler, liegt aber daran, daß das Gastnetz der FritzBox eben nicht als vollwertige DMZ konzipiert ist, sondern "nur" ein zweites Netz darstellt, aber zwischen den beiden Netzen kein Routing möglich ist.

  • Noch was ist mir eingefallen: Du könntest auch eine 2te Pi an Lan1-3 anschliessen, daran Deine Pi und per iptables den Zugriff so einschränken dass nur Dein Desktop eine ssh Verbindung aufbauen kann.


    Nachteil: 2te Pi und nur 100Mb eth

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Mit ein bischen Hardware geht auch dieses:


    Ein Switch an Lan4 der Fritzbox und daran den Pi.
    Den PC mit einer zweiten Netzwerkkarte aufrüsten und diese ebenfalls an den Switch.


    Da der Pi nur Fast Ethernet kann, reicht es auch beim Switch und der Karte solches zu nehmen. Am besten aus irgendeiner Krabbelkiste aus dem Freundeskreis, notfalls aus der Bucht.


    Dem PC dann eine feste IP für diese Karte geben, z.B. 192.168.179.2 (bei mir hat die Box im Gastnetz die 192.168.179.1)
    Da die Portweiterleitung auf den Pi zeigt, ist der PC von außen nicht sichtbar - Firewall natürlich trotzdem einschalten.

    Keep it simple [,&] stupid

  • Klar, ein Switch wäre natürlich eine gute Lösung, weil ich dann LAN4 auch für weitere Gäste nutzen könnte. Wie hoch wäre denn der Stromverbrauch von einem Switch?


    Den PC würde ich dann vielleicht statt mit einer zweiten LAN-Karte mit einem USB2LAN-Adapter ausstatten. Für den Zugriff auf den PI würde das vollkommen reichen.


    Nachtrag: den Switch könnte ich sparen, wenn es eine Möglichkeit gäbe, in der FritzBox eine weitere LAN-Buchse auf das Gästenetz zu legen. Da muss ich doch mal die Jungs von AVM fragen, ob das geht.

    Edited once, last by PInguin ().


  • Klar, ein Switch wäre natürlich eine gute Lösung, weil ich dann LAN4 auch für weitere Gäste nutzen könnte.


    Aber die wären Opfer wenn Deine Pi aus irgendwelchen Gründen gekapert wurde :-/


    BTW: Die 7390 hat doch auch ein GästeWLAN. Warum benutzen Deine Gaeste dieses nicht? Schleppen die immer noch ihren Desktop mit sich rum beim Besuch:shy:

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect."

    Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

    Edited once, last by framp ().

  • Ich weiß nicht, ob Gäste-WiFi und LAN4 in verschiedenen Netzen liegen. :s Muss ich mal nachsehen.


    Insofern könnte es für Gäste egal sein, wenn der Pi gekapert wird, ob sie drahtlos oder per Kabel an der FritzBox hängen.:D

  • Und wenn du auf dem (physikalischen) RP LAN -Anschluss ein 2. (virtuelles) LAN-Interface einrichtest, mit einem anderen IP-Range natürlich?


    Kostet nix, wenn der RP von allerdings aussen übernommen wird (only mit root Rechten), ist das dann zwar auch offen, aber das ist ja dann auch egal, weil der Angreifer das auf jeden Fall dann immer machen kann.... - aber dass ist in jedem Fall (auch die oben skizzierten) möglich...


    ok, habs nochmal gelesen, vergiss es... meine Lösung ist Tonne :) sry...

  • Gäste-Lan und -WLan liegen im 192.168.179.0/24 Netz.


    Die "echten" Gäste wären also potentiell gefährtet. Allerdings weiß ich nicht, ob die Box zwischen den clients überhaupt Verkehr zulässt, noch nicht ausprobiert. Bei einem vorgeschalteten Switch geht das, da dieser das dann macht.
    [Edit: ein ping zwischen den Gästen funktioniert über die Box nicht]


    Allerdings sind diese Gäste ja nur kurz im Netz, schlechter sieht es da eher für den PC aus. Allerdings, wenn der Pi gekapert wird, dann macht er was? Ein Linux-Rechner fängt an, Fenster- oder Apfel-Rechner zu infiltrieren? Eher wird er zur Spam-Schleuder.


    Zum Strom- Verbrauch:
    Ausrangierte alte Switche oder Hubs haben einen unmodernen hohen Verbrauch - Faktor 3 - 4.
    Auf die Dauer ist dann ein Neuer günstiger - ich habe an dieser Stelle einen billigen Switch von TP-Link mit 5 Ports, der etwa 5 Watt zieht.


    Ob man einen USB-Adapter nimmt oder eine PCI-Karte nimmt, ist für diesen Zweck egal. Ersteren muss man neu kaufen, von letzteren haben viele noch welche rumliegen.



    Einen weiteren Port der Box umfunktionieren geht nicht. Außer man freezt die Box. Für eine neue Box nicht so gut, man verliert den Support von AVM.

    Keep it simple [,&] stupid

    Edited once, last by kungel ().