@forti
Bevor ich hier meine paar wenigen Grundprinzipien zum Thema erweitertes privates LAN/WLAN-Netzwerk aufzähle, eine Vorbemerkung:
Bei sehr vielen in der Praxis irgendwann auftauchenden Detailpunkten gibt es weder ein grundsätzliches „sicher“ oder „unsicher“, noch ein klares „richtig“ oder „falsch“, sondern es hängt immer sehr stark davon ab, bei welchen Aspekten man seine eigenen Ansprüche wie hoch ansetzt und wieviel Verwaltungsaufwand und Komfortverlust man selbst noch akzeptieren will um die Sicherheit in seinem eigenen Netz weiter zu erhöhen.
Grundsätzlich kann man auch sagen, dass eigentlich alle Schweizer Internetprovider mit ihren All-in-One-Routerlösungen eine jeweilige providergebundene Standardlösung mit gutem Komfort und auch ausreichender Standardsicherheit bereits „ab der Stange“ ausliefern.
Eigentlich alle dieser All-in-One-Lösungen bestehen aus:
- Modemfunktion für den Internetzugang zu genau dem Provider des jeweiligen AIO-Routers und Abo-Verkäufers
- Routerfunktion zum Betrieb eines einzelnen Heimnetzwerkes
- integrierter Switch zum Anschluss von mehreren Geräten via LAN-Kabel
- Betrieb eines WLAN für das eine Heim-LAN plus noch ein reines Gastnetzwerk ohne Zugriff auf das eigene LAN
- eine integrierte Firewall mit vordefinierten Profilen, welche im Regelfall allen ausgehenden Internet-Traffic erlaubt und allen eingehenden Internet-Traffic blockiert. Dazu fallweise noch rudimentäre individuelle Regeln.
- in vielen Fällen auch noch der Zugang zu einem Festnetztelefon-Anbindung mit einer ev. bereits integrierten DECT-Basisstation.
Hat man nun keine weitergehenden individuellen Ansprüche, sollte man deshalb am besten einfach bei der gut integrierten Providerlösung bleiben und es sich in dieser weitgehend ferngewarteten Wohlfühl-Oase einfach bequem machen.
Es gibt aber nun Anforderungen, welche man mit diesen 0815-Lösungen nicht direkt abdecken kann und welche dann zum Bedürfnis des Ersatzes von einer oder mehreren der vom Provider mitgelieferten All-in-One-Funktionen führen können.
Zum Beispiel sind dies:
- man möchte generell ein Providerunabhängiges Heimnetz betreiben und z.B. bei einem Providerwechsel ganz einfach das WAN-Kabel vom „Zuführmodem A“ auf das „Zuführmodem B“ umstecken, ohne dass sich irgendetwas dadurch im eigenen Heimnetz ändert
- man hat sowieso mehr als einen Internetprovider und möchte deshalb auch im laufenden Betrieb eine Dual-WAN-Installation für das eigene Heimnetz betreiben
- man möchte gleichzeitig mehrere von einander unabhängige Inhouse-LAN‘s mit unterschiedlichen Verwendungszwecken betreiben welche auch bezüglich Zugriffssicherheit klar gegeneinander abgegrenzt sind (z.B.: Privat, Geschäft, Gäste, IoT, etc.)
- man möchte „erweiterte Routerfunktionen“ einsetzen, welche vom Provider-Router einfach nicht angeboten werden, wie z.B.: VLAN-Unterstützung, Verschlüsselung aller DNS-Zugriffe über „DNS over TLS“ direkt auf dem Router, Betrieb von speziellen VPN-Servern wie Open VPN oder WireGuard, Anbindungen ans TOR-Netzwerk, Betrieb von VPN-Client-Verbindungen ab Router, etc.)
- man möchte sehr detaillierte Firewallregeln (auch rein Heimnetz-bezogene) definieren, welche die Möglichkeiten des All-in-One-Routers übersteigen
- und dann gibt es sicher noch viele, teilweise auch exotische Bedürfnisse mehr, mit denen man einen All-in-One-Router relativ schnell überfordern kann
Meine Botschaft ist also:
Wenn man wohlüberlegte individuelle Gründe dafür hat, die sich auch lohnen über ein reines Provider-gewartetes All-in-One-Konzept hinauszugehen, dann soll man das für einzelne Architektur-Funktionen mit dem minimal notwendigen Mehraufwand auch tun, falls man sich aber noch gar nicht klar darüber ist, was man denn damit wirklich erreichen will, bleibt man besser in der „bequemen Hängematte“ des jeweiligen Providers liegen.
Wenn Du mit lesen nun tatsächlich noch bis hierher gekommen bist, ist Dir vielleicht aufgefallen, dass ich nie ein Wort über die Funktionen Modem und WLAN-Technik verloren habe und dies hat einen ganz einfachen Grund:
- Modem kann der Provider sowieso immer am besten selbst, denn dies ist seine ureigene Kernkompetenz und schliesslich geht es ja um den rein technischen Anschluss an sein eigenes Netz, welcher gelegentlich technologiebedingt auch immer mal wieder ändert (den Vigor im Bridgemode als Ersatz für eine Internetbox hätte ich also sicher nicht angeschafft)
- WLAN ist ja eigentlich nichts anderes als ein „LAN-Stecker ohne Kabel“ um ebenfalls ins LAN zu kommen, das bedeutet ungenügende WLAN-Reichweiten lassen sich immer ganz einfach mit zusätzlichen Accesspoint lösen und Aussagen wie „der Router hatte ein ungenügendes WLAN, deshalb musst ich ihn komplett ersetzen, erachte ich deshalb sowieso als Mumpitz.
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
