Vorwort

Ich nenne die Serie »digitaler Schutzschild«, weil alle Maßnahmen in der Summe dazu beitragen, die Privatsphäre und auch Sicherheit bestmöglich bzw. meinen Anforderungen entsprechend zu schützen. Die Beiträge werden eher kurz bzw. kompakt sein und gehen nicht zu sehr ins Detail. Das soll dem Informationsgehalt jedoch keinen Abbruch tun.

Digitaler Schutzschild

Mein privater Netzwerkaufbau entspricht meinen persönlichen Anforderungen bzw. Vorstellungen. Der Aufbau des Heimnetzwerkes ist wie folgt:

Netzwerkaufbau

Auf die farblichen Markierungen der unterschiedlichen Subnetze möchte ich kurz eingehen:

Rot: Der rote Netzbereich (192.168.50.0/24) ist aus der Sicht des OpenWrt-Routers quasi das Internet. Über das Interface »WAN« wird die Verbindung zu externen Netzen aufgebaut. Gleichzeitig ist der rote Netzbereich der interne IP-Adressbereich der FRITZ!Box 6591.
Grün: Im grünen Netzbereich (192.168.200.0/24) bzw. am Interface »LAN« sind alle Geräte mit Netzwerkkabel verbunden.
Blau: Das Interface »WiFi« spannt ein drahtloses 5GHz-Netzwerk (192.168.150.0/24) auf, mit dem sich Geräte wie Smartphones verbinden.
Gelb: Der gelbe Netzbereich (192.168.100.0/24) liegt außerhalb der Verantwortung des OpenWrt-Routers und wird von der FRITZ!Box 6591 verwaltet. In diesen Netzbereich dürfen sich VPN-Clients einwählen und haben anschließend Zugriff auf das rote Netzwerk – können allerdings keine intern liegenden Netzwerke wie das blaue oder grüne Netzwerk erreichen.

Der rote Netzbereich (192.168.50.0/24) übernimmt in diesem Netzwerkaufbau damit zwei Aufgaben:

Er ist sozusagen eine vorgelagerte DMZ, in der Geräte stehen, die via VPN von außen erreichbar sein sollen. Die Einwahl übernimmt dabei die FRITZ!Box 6591.
Gleichzeitig ist der rote Netzbereich auch das »nicht vertrauenswürdige« rote Netz bzw. WAN-Anschluss des OpenWrt-Routers.

Ein paar Anmerkungen zu meinem Setup:

Die FRITZ!Box 6591 ist noch immer die »erste« Barriere bzw. der Perimeter zwischen öffentlichem Netz und dem privaten Netz und übernimmt folgende Aufgaben:
- VoIP bzw. Telefonie
- DynDNS
- WLAN-Netz für Gäste
- VPN-Gateway
Die FRITZ!Box 4040 (OpenWrt) hat ein Füßchen (rotes Netz) im internen Netzbereich der FRITZ!Box 6591 und übernimmt unter anderem die folgenden Aufgaben:
- Paket-Filterung bzw. Kontrolle des ausgehenden (Client-)Datenverkehrs via Firewall-Regeln
- Blockieren von Werbung, Trackern und Co. auf DNS-Ebene via Adblock-Paket
- Blockieren der IP-Adressen von Datensammlern wie Google, Facebook und Co. auf Basis von ASN-Informationen
- Trennung zwischen Wireless- und physisch angeschlossenen Geräten
- »Bändigen« meiner Windows-10-VirtualBox-Maschine (notwendig für Steuer- und Buchhaltungssoftware)
- DNS-over-TLS via Stubby und DNSSEC via dnsmasq