Netzwerk-DAU hat Fragen zum Einrichten eines Heimnetzwerkes

Jens

¯¯¯¯¯
Hallo Leute,

Der Netzwerk-DAU bin ich, und ich würde bei mir zu Hause gerne mein Netzwerk von DHCP aus Gründen der Stabilität auf feste IP-Adressen umstellen.
Wie gehe ich dabei am besten vor?
Vorhanden ist eine FritzBox Cable 6490, ein Windows-PC, TV, Netzwerkplayer, Drucker und Kleinkram wie KINDLE und so.
Wo und wie setze ich am besten an?

Dank und Grüße,
Jens
 

chaospir8

★★★★★-Oldie
Aus dem Stegreif:
In der Fritzbox prüfen, welche Range für dynamische Adressen eingestellt ist bzw. diese nach Wünschen anpassen.
Dann in den Clients/Geräten feste IP-Adressen einstellen (außerhalb der o.g. dynamischen Range) oder in der FritzBox diesen Geräten feste IP-Adressen vergeben (und Haken setzen, diesem Gerät die gleiche IP-Adresse vergeben)

Details bitte googlen.
 

Jens

¯¯¯¯¯
Danke Dir. Welche IP-Adressen kann/sollte ich denn sowohl bei der dynamischen Range als auch für feste Adressen verwenden? Sind da meiner Fantasie keine Grenzen gesetzt, oder gibt es bestimmte Regeln zu beachten?

PS: Was mache ich, wenn ich in dem Client keine IP-Adresse definieren kann? Ist es egal, ob ich diese feste Adresse in der FritzBox anlege, oder in dem Client?
 

adhome

Bekanntes Mitglied
Danke Dir. Welche IP-Adressen kann/sollte ich denn sowohl bei der dynamischen Range als auch für feste Adressen verwenden? Sind da meiner Fantasie keine Grenzen gesetzt, oder gibt es bestimmte Regeln zu beachten?

Es muss eine Adresse aus dem privaten Bereich sein.
Achte auch drauf, dass dein Arbeitgeber ein anderes Subnetz verwendet. Falls du irgendwann mal über VPN zugreifen willst oder so....

Ich persönlich verwende diesen Bereich:
192.168.2.x
Maske: 255.255.255.0
Router hängt bei 192.168.2.1
Dynamischer Bereich 2-99
Fester 100-254

Welche Bereiche Privat sind sagt dir Wiki.
Würde aber das Subnetz klein lassen. Das ist aber auch Geschmackssache ^^. So musst du dir aber für jedes Gerät nur eine Zahl merken, da der Rest immer gleich ist und ins Blut übergeht.
 
Zuletzt bearbeitet:

eumel_1

Der Reisende
Ich bin diesbezüglich eher oldschool, das bedeutet:
- Server und Drucker bekommen eine feste IP (dazu noch TV und Mediaplayer),
- der Rest bleibt auf DHCP (also Laptops und Desktop Computer).

Es gibt im Netz ein Gratisbuch von Microsoft, das ist wie die Bibel fürs Netzwerk (vergleichbar dem Kofler für Linux), einfach suchen nach
"TCP_IP-Grundlagen für Microsoft Windows.pdf"
Die 441 Seiten lesen und verstehen, dann sind keine Fragen mehr offen.

Oder gleich zum Original: suchen nach
"tcp/ip fundamentals for microsoft windows pdf"
(Vor 20 jahren gab es das irgendwie noch nicht in deutscher Sprache. Aber es wird weiterhin immer noch aktualisiert.)
 
Zuletzt bearbeitet:

Jens

¯¯¯¯¯
Ok, vielen Dank euch! Ich hab jetzt, wie von DrSnuggles vorgeschlagen, für alle Geräte statisches DHCP eingeschaltet.
Aber noch mal meine Frage: Wie vergebe ich denn an ein Gerät eine feste IP, wenn ich das in dem Gerät gar nicht einstellen kann?
Und ist es nicht sicherer, wenn ich grundsätzlich DHCP abschalte, und nur zuvor definierten Geräten den Zugriff auf mein Netzwerk erlaube?
 
@Jens
  1. Auf deinem Router den gewünschten DHCP-Bereich einstellen
  2. Gerät auf DHCP einstellen und neu starten
  3. An deinem Router anschliessen
  4. Auf deinem Router das Gerät 2) suchen
  5. Fixe IP-Adresse vergeben auf Gerät 2)
  6. Danach das Gerät 2) neu starten.
  7. Auf deinem Router kontrollieren.
Dies gilt auch für alle Geräte mit WLAN. WLAN absichern und alle fremden MAC-Adressen sperren. Auf deinem Router im Nachgang einen Gastzugang einrichten mit Internet- aber ohne LAN-Zugriff. Das schreckt jetzt Profis nicht wirklich ab, aber besser als offen und es macht es ihnen nicht ganz so einfach. Starke Passwörter sind genauso selbstverständlich wie das Verwenden von einem Passwortgenerator.

Artikel zum Lesen

-----
MAC-Filter
ARP-Spoofing

WPA3
-----
 
Zuletzt bearbeitet:

eumel_1

Der Reisende
Ok, vielen Dank euch! Ich hab jetzt, wie von DrSnuggles vorgeschlagen, für alle Geräte statisches DHCP eingeschaltet.
Aber noch mal meine Frage: Wie vergebe ich denn an ein Gerät eine feste IP, wenn ich das in dem Gerät gar nicht einstellen kann?
Und ist es nicht sicherer, wenn ich grundsätzlich DHCP abschalte, und nur zuvor definierten Geräten den Zugriff auf mein Netzwerk erlaube?
Theoretisch ja, praktisch eher Nein, denn ein Angreifer kann auch eine Mac-Adresse kapern und diese samt IP übernehmen.
das ist ähnlich blauäugig wie "keine neuen Geräte im Netz zulassen". Ein Profi findet einen Weg - und sei es nur um es zu beweisen (im besten Fall).

Zur Netzwerksicherheit gilt ebenfalls der allgemeine Security-Grundsatz: Ein Gerät, auf das man physikalisch Zugriff hat, ist per se nicht mehr sicher!
Für dein Netzwerk bedeutet das: WLAN abschalten wäre der wichtigste Schritt, dann kommt nur noch in dein Netzwerk, wer in deine Wohnung kommt und an ein Kabel/Dose gelangt. Komplett ohne DHCP macht man sich imho nur das Leben unnötig schwer, denn Fehlersuche wird da schwieriger bis unmöglich.
Wenn das nicht möglich ist (wegen der Madame oder der Kinder mit ihren Tablets und Handies), dann die höchst mögliche Verschlüsselung wählen, WPA3 (wenn das die Geräte schon mitmachen, sonst WPA2 mit gutem, ausreichend langem und komplexen Passwort). Das Herstellerpasswort im Router gehört zuerst geändert, immer wieder werden Leaks publik, wie der Hersteller das Passwort mithilfe der Seriennummer generiert. Dieses Wissen in den Händen Krimineller und dein Netz ist nicht mehr sicher.

Frage: welchem Gerät kannst du keine feste IP zuweisen? Selbst IoT-Geräten kann man remote mit den entsprechenden Tools (sofern man weiß wie man sich verbindet) die Adresse auf fest zuweisen. (Ist natürlich doof wenn man das Herstellertool zum Suchen verbummelt, dass ist das Gerät nirgends sonst mehr brauchbar.)
 
Zuletzt bearbeitet:

Belzeboter

Zombie
seltsamer Download - was ist das, der eingescannte Beipackzettel ? :(

Wäre ja mal wieder nett, ein WIndowsbuch zu lesen.....
der passende Link ist eher wohl der: www2.wi.fh-flensburg.de/rechnernetze/tcpip_grundlagen_fuer_windows.pdf
falls das das Richtige ist.
 

Rubb

Rover
Hätte auch noch etwas gefunden ..... war Unterwegs mit


metager.de, gesucht habe ich nach "TCP_IP-Grundlagen für Microsoft Windows.pdf"

Der erste Link-Fund dort hat mir direkt einen PDF-DL in Größe von ca. 3,5 MB geliefert :yo
 

adhome

Bekanntes Mitglied
Ein DHCP erlaubt nicht den Zugang zum Netz. Es vergibt nur eine IP wenn er angefragt wird.
Selbst MAC Filter von WLAN sind eigentlich nutzlos. Sie könne umgangen werden. Dein WLAN Password sollte 16-20 Zeichen haben. 8 Zeichen knackt man in 60sek.
Wenn es dir um Sicherheit geht, könnte man noch die SSID verstecken. Nicht, dass es per se sicherer ist. Aber wenn man nichts sieht sucht man auch nicht.

Der Sinn von statischen IP ist eher begrenzt. Geräte wie WebTelefone haben manchmal kein NetBIOS Namen zum ansprechen. Aber selbst mit Drucker gibts selten Probleme.
 

chaospir8

★★★★★-Oldie
In meinem Netzwerk gibt es für die Geräte, die ich gezielt "ansprechen" möchte (auch wenn selten, wie bei WLAN-Druckern), immer statische Adressen.

Und das sind:
- Router (Fritzbox)
- aktiver Netzwerk-Switch/Hub (kann's mir nicht merken, was da der Unterschied ist)
- NAS (Zugriff per HTTPS, Samba, FTP, NFS, SSH)
- mein Bastel-Mini-Rechner (iobroker, MySQL, ... läuft drauf)
- alle meine Linux-SAT-Receiver
- alle Media-Player / Amazon FireTVs
- WLAN-Drucker
- zwei Repeater
- IP-Webcam

So betrachtet (das war mir bis soeben nicht bewusst) haben eigentlich nur reine Clients, also Windows-Clients (inkl. virt. Linux-Maschinen darauf) und Smartphones+Tablets (Androids und ein angebissener Apfel) sowie Gäste-Geräte im Gäste-WLAN bei mir dynamische Adressen. :D
 
Zuletzt bearbeitet:

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Mein Setup:
Netz 1:
Fritz!Box <-> Router/Firewall beide feste IP-Adressen in eigenem Subnet WLAN bei Fritz!Box deaktiviert
Netz 2:
Feste IP:
- Router/Firewall
- Repeater
- NAS
- Drucker
- IP-Telefon
- Switches
Der Rest bekommt per DHCP MAC-Adress-abhängige IP's

Dann habe ich für meine Firewall noch ein kleines AddOn geschrieben, dass protokolliert, wieviel Datenvolumen pro IP von/nach aussen erzeugt wird. Das dient als Frühwarnsystem, ob jemand ins Netz eingebrochen ist, oder ein Gerät kompromitiert ist.

1605862479661.png
 

octopussy

Aufsichtsratsvorsitzender
Ich habe letzte Woche die 6490 6590 gegen die 6590 6591 ausgetauscht, da bei AVM Supportende angekündigt ist.
Auf Dauer benötige ich eh DOCSIS 3.1.
Die 6490 6590 versorgt nun als Accesspoint über LAN1, den Keller optimal mit Lan und Wlan.

edit: hatte die Bezeichnungen verwechselt
 
Zuletzt bearbeitet:

octopussy

Aufsichtsratsvorsitzender
Das Wlan wird nur bei Bedarf eingeschaltet und im Winter ist der Raum beheizt, so dass die Abwärme wenigstens teilweise genutzt wird.
 

adhome

Bekanntes Mitglied
Ahh. Ich sehe lauter Experten. Mal eine knifflige Frage: Wie könnte ich das Modem hinterm Router ansprechen?
Meine Idee: Modem und Router über Switch ans interne Netz anschließen WAN und LAN verbinden (ist gefährlich?)
Mit Route Befehl in Windows sagen, dass Packete an Modem Subnetz an IP vom Modem als Gateway weitergeleitet werden sollen und nicht an den Router.
 

DrSnuggles

Bekanntes Mitglied
Wenn es dir um Sicherheit geht, könnte man noch die SSID verstecken. Nicht, dass es per se sicherer ist. Aber wenn man nichts sieht sucht man auch nicht.
Hidden SSIDs sind kontraproduktiv. Jemand der mitlauscht kennt die SSID sobald sich ein Gerät anmeldet.
Noch schlimmer dein Handy etc broadcasted immer die SSID, man wird bei einem ungewöhnlichen Netzwerknamen trivial trackbar
 

Jens

¯¯¯¯¯
Vielen Dank für eure ganzen Tipp, die ich alle beherzigen werde.
Ich hab vor 23 Jahren eine Ausbildung zum IT-Systemkaufmann gemacht, aber nie in dem Beruf gearbeitet. Seitdem habe ich den Computerkram lediglich als (intensives) Hobby betrieben. Leider geht mit den Jahren viel Wissen verloren, so auch der halbe Netzwerkkram.
Zu euren Sicherheitsempfehlungen denke ich, dass man es Angreifern so schwer wie möglich machen sollte, auch wenn es eine totale Sicherheit nicht gibt. So schließe ich ja auch meine Haustür ab, auch wenn professionelle Einbrecher jedes Schloss knacken könnten. Ich finde, zusätzliche Sicherheitsmaßnahmen sind nicht verkehrt.

Eine Frage hab ich noch bezüglich der Firewall, welche die FritzBox mitbringt. Reicht diese aus, oder sollte ich zusätzlich noch die Windows/Linux-Firewall einschalten? Oder würde dieser doppelte "Schutz" ähnlich wie bei 2 gleichzeitig laufenden Virenscannern das Netzwerk eher ausbremsen oder instabil machen?
 

Mr. Big

old geezer
Eine Frage hab ich noch bezüglich der Firewall, welche die FritzBox mitbringt. Reicht diese aus, oder sollte ich zusätzlich noch die Windows/Linux-Firewall einschalten? Oder würde dieser doppelte "Schutz" ähnlich wie bei 2 gleichzeitig laufenden Virenscannern das Netzwerk eher ausbremsen oder instabil machen?
Ich habe die FW in der Fritzbox und die jeweilige OS FW in den einzelnen Geräten laufen.
Habe noch nie deshalb irgendwelche Probleme bemerkt.
Probleme gibt es nicht gerade wenig bei der Installation und der Inbetriebnahme mehrerer FWs auf einem Gerät. Diese können sich gegeneseitig sehr negativ beeinflussen.
 

adhome

Bekanntes Mitglied
Die FW Frage würde ich gerne ausbaun mit dem Unterschied, ob man IPv6 hat. Bei IPv4 ist der Router mit seinem NAT eine perfekte inbound Firewall. Für Outbound filtert der router die wichtigsten ports raus wie SMB.
Bin also gegen Client Firewall. Aber was ist mit IPv6 ?!?
 

hosit

Bekanntes Mitglied
Ich habe letzte Woche die 6490 gegen die 6590 ausgetauscht, da bei AVM Supportende angekündigt ist.
Auf Dauer benötige ich eh DOCSIS 3.1.
Die 6490 versorgt nun als Accesspoint über LAN1, den Keller optimal mit Lan und Wlan.
Möchte den Thread nicht schreddern, aber ich bin jetzt etwas irrititiert. Bei AVM ist die 6590 zum 30.06.2021 (EOM) abgekündigt, die 6490 jedoch nicht?

 

octopussy

Aufsichtsratsvorsitzender
Ich habe letzte Woche die 6490 gegen die 6590 ausgetauscht, da bei AVM Supportende angekündigt ist.
Auf Dauer benötige ich eh DOCSIS 3.1.
Die 6490 versorgt nun als Accesspoint über LAN1, den Keller optimal mit Lan und Wlan.
Möchte den Thread nicht schreddern, aber ich bin jetzt etwas irrititiert. Bei AVM ist die 6590 zum 30.06.2021 (EOM) abgekündigt, die 6490 jedoch nicht?


Habe den ursprünglichen Beitrag editiert, hatte die Bezeichnungen verwechselt.
Die 6490 kann eigentlich auch keine Zukunft haben, da sie DOCSIS 3.1 nicht beherrscht.
 

hosit

Bekanntes Mitglied
Dachte schon ich werde senil. ;)

Das Updateverhalten hängt auch noch massgeblich am Kabelnetzbetreiber. Bei uns werden die Updates teilweise erst mit Monaten Verspätung eingespielt. Man möchte erst ausgiebig testen.

Und ja die 6490 hat ihre besten Tage auch schon hinter sich. Gucke auch schon nach der 6660. Die ist etwas jünger als die 6591. :)
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Die 6490 kann eigentlich auch keine Zukunft haben, da sie DOCSIS 3.1 nicht beherrscht.
DOCSIS 3.1 ist bisher eine ziemlich Luftnummer. Ich habe eine 6591 und da sieht es so aus:
32 Kanäle Downstream mit DOCSIS 3.0
1 Kanal Downstream mit DOCSIS 3.1
4 Kanäle Upstream mit DOCSIS 3.0
kein Kanal Upstream mit DOCSIS 3.1
 
Oben Unten