Fangen wir zunächst mal damit an dem SchickiMickiDesign auf Schnee einen lesbaren Hintergrund zu verpassen. Mein Grundtext wird ab hier auf diesem Hintergrund erscheinen.

Hintergrundinformation und Erläuterungen die nicht direkt mit den gerade auszuführenden Arbeiten zu tun haben werden dunkler hinterlegt.
Grundsätzlich möchte ich keinen langweilen, deshalb werden diese Information ausklappbar erscheinen und es kann bekanntes einfach und schnell übersprungen werden. Ich kann mich aber noch gut erinnern wie oft ich nur „Bahnhof“ verstanden habe, deshalb versuche ich hier auch scheinbar „banale“ Zusammenhänge zu erläutern.

Blau hinterlegt wird alles was auf der Konsole oder im Terminal erledigt werden muss. Dazu später mehr und ausführlich.

Später wird es das „blaue“ auch mit diesem Hintergrund geben. Hier lässt mich WordPress direkt aus dem Terminal und formatiert kopieren...

Rot hinterlegt werden kleine Achtungs und Stolpersteine.
Beachtet meinen Haftungsausschluss bevor Ihr weitergeht!

Nun soll es losgehen. Was braucht man?

Diese Seite richtet sich vor allem an den Interessierten, der zwar mit Computern was anfangen kann, aber mit Linux, Routern und der Kommandozeile noch ganz unbedarft ist.
Hier darf ich kurz das Thema Virtuelle Maschine aufrufen. Wer einen guten Rechner mit ordentlich RAM hat, sollte zumindest überlegen, ob man das folgende nicht auch erstmal als virtuelle Umgebung anlegt.
Eine Virtualisierungssoftware gibt es für alle Systeme und über die Schnappschussfunktion lassen sich alle neuen Schritte einfach absichern und austesten. Ein virtuelles Netzwerk lässt sich mit USB-Netzwerkadapter/n und Switch/es funktionsfähig anlegen, indem man die externe Schnittstelle des neuen (virtuellen) Routers an die funktionierende Internetschnittstelle des realen Rechners anbindet und alle weiteren an die USB-Adapter. Diese werden dann im laufenden echten System deaktiviert und nur der/den virtuellen Maschinen zugeordnet. Um dann auch Clients einzubinden, reicht es, den/die entsprechenden USB-Adapter erneut/zusätzlich dem neuen virtuellen Client zuzuordnen und an den Adapter ein Kabel und Switch anzuschliessen.
Was ist ein guter Rechner? Nun ja, für eine Simulation mit einem Router und einem Client sollte ein Laptop mit einem Prozessor 4Kern und 2Ghz und 8GB RAM, 20GB freier Speicherplatz reichen. Soll der Client unter Windows laufen, muss es etwas mehr sein.
Ich mache alles für diese Seite genau so, und die allermeisten Angaben habe ich genau aus solch einer virtuellen Kiste hierhin kopiert.
Dazu hat der virtuelle Router die Wlan Verbindung meines Laptops als primäre Schnittstelle zum eigentlichen echten Router im Heimnetz und zwei USB-Netzwerk Adapter als weitere Schnittstellen. Diese USB-Adapter sind in den Netzwerkeinstellungen meines echten Systems deaktiviert und sind mit einem Kabel an je einen Switch angeschlossen. Das muss sein, damit jede weitere virtuelle Maschine, der ich einen der beiden USB-Adapter zuordne, auch damit arbeiten kann. Auf einen USB-Adapter kann ich beliebig viele virtuelle Netzwerkschnittstellen anlegen. Arbeiten tun sie nur, wenn dort ein realer Switch hängt, auch bzw. eben wenn dort nur ein Kabel steckt. ( Vielleicht gibt es Virtualisierungssoftware die auch virtuelle Switches zur Verfügung stellt, bei mir geht das nicht, nur virtuelle LAN’s ( VLan ) in realen Switches leben bei mir, was hier aber den Rahmen sprengen würde ) Hab ich mich gerade wiederholt? Kann vorkommen.
In jedem Fall macht es glaube ich wenig Sinn, diese Seite „erstmal“ theoretisch zu betrachten, der Spass fängt erst an, wenn man einen Rechner dazustellt und „mitspielt“.
Und um es direkt ganz klar zu sagen:
Es geht hier nicht um Angriffserkennung, -abwehr oder irgendeine staatliche Überwachung. Das ist ein ganz anderes Ding.
Hier wollen wir „nur“ eine „vernünftige“ Netzwerkstruktur aufbauen und dem Datenhunger unseres Netzwerks an die Wäsche.

Je nach Anspruch an die Begebenheiten ist die Auswahl jetzt sehr groß. Die Zeiten als Linux schwierig zu installieren war sind lange vorbei und auch die allermeiste Hardware wird problemlos unterstützt. Das heisst, es reicht ein alter PC der vielleicht 64bit tauglich sein sollte, aber nicht muss.
Die Frage ist auch, wo steht der Plasterouter, bzw. wo ist der Internetanschluss? Im Wohnzimmer oder in sonstigem hörbaren Raum? Dann wäre meine Empfehlung ein Atomgetriebenes Rechnerlein mit passiver Kühlung. Am Markt gibt es sehr brauchbare Serverboards mit Grafik und zwei Netzwerkschnittstellen onboard, gebraucht teils schon unter 100€ zu bekommen. Das dann in ein MiniITX Gehäuse verbaut und bei Bedarf mittels Risercard eine dritte Netzwerkkarte am PCIe Slot – wäre dann schon eine sehr gute Lösung. PCIe Netzwerkkarten gibt es schon ab 7-8€, die Gehäuse um die 40-60€ inkl. Netzteil. Dann fehlen noch die Festplatten, ( für einen Router sind eigentlich 20Gb mehr als ausreichend ) eine WD green SSD mit 120Gb ist bereits für ca. 25€ zu haben. Gerne dürfen es auch zwei oder drei sein, ich zeige hier die Einrichtung eines soft Raid1 mit Ersatzplatte. Zuguterletzt ein DVD Laufwerk, extern oder intern, egal, Hauptsache das System bootet davon. Nach der Installation brauchen wir das nicht mehr.

Steht der Router, bzw. ist der Internetanschluß im Heizungskeller oder so, dann würde ich mal einen Blick in den Gebrauchtmarkt für Fujitsuserver werfen, da tummelt sich mitunter erstklassiges Material für unter 200€. Das sind sauber gebaute Server, teilweise mit redundanten Netzteilen und echten Hardwareraids. Aber wohlgemerkt, die Dinger sind nicht gerade leise, mitunter recht groß und stromsparend sind sie auch nicht wirklich.
Wer aber schonmal einen alten Supermicroserver gehört hat wird begeistert sein.

Was noch?

Serverseitig war es das, aber drumherum braucht es noch.

Netzwerkkabel! Ich sage immer, wenn es geht, alles verkabeln! – und ich weiss, es geht nicht immer. Aber wenn es irgendwie geht: Verkabeln!
Kabel bekomme ich fertig konfektioniert in allen möglichen Längen, aber die Stecker schlecht durch auch extragroße 16er Löcher. Es gibt Zangen für Stecker. Vergesst das, das kostet nur Nerven! Netzwerkkabel gibt es im Baumarkt von der Rolle, CAT 5 ist theoretisch ok, CAT 6 ist echt ok, CAT 7 ist ausbausicher für 10Gb falls man sowas im Auge hat. Dazu braucht man ein sogenanntes Auflegewerkzeug, hat man beim T-kom Fuzzi bestimmt schonmal gesehen. Dann an jedes Ende eine Aufputznetzwerkdose, vielleicht eine ordentliche Heissklebepistole und es kann losgehen mit dem Strippenziehen.

Für jedes Netzsegment möglichst einen Switch. Es geht auch Switch an Switch, das ist aber nicht zu empfehlen, am besten baut man einen Stern.
Also Server –> Switch –> zu jedem Rechner ein Kabel.
Wie gesagt: es gehen auch zwei Sterne, aber drei oder gar mehr in Reihe sollte man vermeiden.
Die Auswahl an Switches ist auch riesig, 5 – 48 Ports sind im Angebot. 5 – 8 Ports bestellt man einfach neu für um die 30€, drüber lohnt sich auch wieder ein Blick in den Gebrauchtmarkt. Ich habe noch nie einen kaputten Switch gesehen, der Blick muß aber hier auf der Geschwindigkeit liegen. Ganz billig gibt es im Zehnerpack alte 100Mb Kisten, also Augen auf! Wir wollen 1000!


Da wir ganz am Schluß natürlich die Wlan-funktion unseres alten Plasterouters abschalten, brauchen wir noch einen AccessPoint für ein neues Wlan. Dieser Zugangspunkt kann aber auch wieder ein Plasterouter sein, das Auge liegt hier ausschliesslich auf der Wlan-funktionalität. Kann das Ding 5Ghz? Kann es aktuelle Verschlüsselung in ordentlicher Geschwindigkeit?

Hier muss jeder selber sein Anforderungsprofil erstellen.
Ist man via Wlan hauptsächlich im Internet?
Wieviele Geräte sind im Wlan durchschnittlich?
Kopierst Du viele Daten oft auf oder von einem NAS via Wlan?
Wie schnell ist Deine Internetverbindung?
usw.

Beispiel:
Meine Internetverbindung ist eine 50.000er Leitung.
Hört sich super an, sind aber nur 50Mbit pro Sekunde, ich schätze diesen Werbeschwachsinn sehr!
Mein Wlan ist von vorgestern und liefert bei gutem Empfang 150Mbit pro Sekunde.
Habe ich sowas noch rumliegen? reicht.

Aber wer gerne einkauft wie ich, der darf sich jetzt auf die Suche machen was gut und brauchbar ist. Stichwort: AccessPoint, Mesh, Dualband…
Je nach Größe der abzudeckenden Fläche oder der Anforderung an die geplanten Netzwerksegmente, dürfen es auch gerne 2 oder mehr sein.
Vergessen dürfen wir aber gerne das Wort „Repeater“.
Wir brauchen keine Repeater mehr, wir senden direkt, solange wir ein Kabel zum AccessPoint bekommen.
Erst wenn das nicht geht ( und das sollte gehen! ) wollen wir wieder einen Repeater. Dann wollen wir aber einen, der im 5Ghz Band mit dem Sender kommunizieren kann und uns im 2,4Ghz Band bedient! Erfahrungsgemäß laufen wir sonst schneller in den Empfangsbereich….
Da kann man eigentlich eine eigene Seite zu machen, angefangen bei: „wie asozial ist Mesh denn bitte“, bis, „wie richtet man sowas überhaupt vernünftig flächendeckend ein“. Ganz beliebt scheint neuerdings die „App-geführte-Einrichtung“ zu sein.
Ich durfte neulich mal in ein gelobtes 3er Pack Linksys Meshsystem reinschauen und fand es sehr verstörend, eine Wlan-Konfiguration „online“ auf einem Cloudaccount durchführen zu sollen. Weiterhin nerven die Dinger den Nameserver immens mit minütlichen Pings an belkin.com und Nachfragen zu Reversedateien zum lokalen Netz die überhaupt nicht existieren. Da scheint eine Firma starkes Interesse am Netzwerkaufbau seiner Kunden zu haben.

Aber wie gesagt, das brauchen wir erst am Schluß.

Was wir jetzt als erstes brauchen, ist einen CD Rohling, einen Brenner und das ISO Image für Debian 10, Codename Buster.

Alles beisammen, Netzwerkplan fertig?
Netzwerkplan?
Ja, ohne einen Plan was Du eigentlich möchtest, brauchst Du garnicht anfangen.
Nichts von dem was jetzt kommt, lässt sich eins zu eins auf Dein Netzwerk übertragen, und wenn jetzt kein Plan da ist, ist alles weitere zwangsläufig zum scheitern verurteilt. Es muss völlig klar sein, welche Situation Du jetzt erreichen willst und wie sie sich unterscheidet von dem was jetzt kommt.
Ich kann nur Grundlagen vermitteln.
Aber wie sieht ein Netzwerkplan aus?
Wir fangen an mit der Idee, machen eine Liste aller Geräte mit allen Infos die wir schon haben.
Damit kann man starten.

die Idee eines Netzwerkplans

Normalerweise befinden wir uns jetzt im hellgrauen Kreis, im Netzsegment der Fritzbox oder welchen Router auch immer man hat.
Meist ist dort eine 192.168.178.1 oder 0.1 vergeben, meine Beispiele schreiben aber immer 10.0.2.1. Ich hänge mit meiner virtuellen Beispielkiste aber auch nicht direkt an einem Plasterouter. ( und direkt an alle Schlaumeier, die jetzt mit Einwänden in Bezug auf „doppeltes NAT“ kommen, – ordentlich konfiguriert geht auch ein dreifaches ohne Probleme…)
Dort hängen alle Geräte, ob verkabelt oder via Wlan, im Netz und dürfen machen was immer sie wollen, sollen oder eben nicht.
Das ist die beliebte AccessPolicy, ganz easy, weil man muss sich um nichts kümmern.
Wir setzen dem hier ein Ende, indem wir unseren neuen Firewallrouter direkt an die Fritze hängen. Nur den Firewallrouter, sonst nichts.
( Dort ist dann die sogenannte DMZ, die demilitarized zone, dazu später mehr.
Soviel vielleicht noch – natürlich kann man das alte Wlan der Fritze prima als GastWlan nutzen )
Jetzt geht die Planerei los:
Ich zeige hier die Einrichtung von zwei Netzwerksegmenten, erstes.netz und zweites.netz.
Ob Du das brauchst, musst Du selber entscheiden.
Denkbar ist auch nur erstes.netz, aber eben auch 3. und 4.
Das erste Netzwerksegment enthält typischerweise das Heimnetzwerk;
Computer, Drucker, Wlan, Handys, Tablets, Smart TV, Alexa, Playstation usw.

Hast Du aber Kameras und eine Anwendung zur Aufzeichnung bei Bewegungserkennung zur Hausüberwachung, möchtest Du die nicht im Heimnetz haben. Bedenke:
Eine App liest jede Kamera in HD ständig aus um eine Bewegung erkennen zu können.
Eine Kamera verkraftet ein Netzwerk locker ohne Einbussen bei Netzflix in 4K.
Bei 4,5,6 Kameras sieht das schnell anders aus, ganz besonders wenn es auch via Wlan angebundene Kameras gibt.

Kameras? Wie viele? Motion Detection?

Next: Kinder im Haus? Fortnite und Teamspeak die ganze Nacht?
Also Windowskisten, – wahrscheinlich mit Adminaccount im Internet unterwegs?
Die packen wir auch ins eigene Netz, – was auch immer die sich da einfangen, Deine Daten sind nicht automatisch mit in Gefahr, wenn Du Dich an die Regeln hälst.

Ein weiterer Aspekt ist die Telefonie. Meist hängen diverse Mobilteile an der DECT Funktion des vorhandenen Routers, eventuell noch was am analog Anschluß wie die Faxfunktion des Druckers.
Dahinter sitzt dann eine vom Provider gestellte Telefonnummer ( oder 3 ) in VoIp. Solch eine Situation belassen wir wie sie ist.

Was ist mit einer Alarmanlage? Ist die auch nur am analogen Anschluss mit einer Telefonleitung verbunden oder hat sie einen Netzwerkanschluss?
Steht sie dauerhaft mit einem Wachschutz in Verbindung oder verschickt sie nur Nachrichten?
Dann kommt sie auch auf die Liste, mit Fragen zum verwendeten Protokoll, dazu später mehr, Hauptsache wir vergessen nichts.

Clouddienste? Eine wichtige Frage!
Welche Geräte nutzen Clouddienste ihrer Hersteller, und welche funktioneren ohne diese garnicht?
Hier musst Du entscheiden wem Du vertrauen möchtest!
Deine iDings Geräte nutzen die iCloud für alles mögliche und Du vertraust dem?
Deine Entscheidung!
Deine Geräte speichern ihre Konfiguration in der Cloud des Herstellers und funktionieren ( fernbedienen ) ohne Internetverbindung nicht?
Selbst wenn ich dem vertraue – eigentlich eine Frechheit. Ein Grund nach Alternativen zu suchen, aber, Deine Entscheidung!
Deine Netcam war günstig, macht super Aufnahmen, aber anschauen kannst Du Dir das nur in der Cloud des Herstellers?
Hat nichts mehr im Heimnetz zu suchen.
Kannst Du auf die Kamera über den Browser zugreifen und die Cloud des Herstellers ist nur eine Option, dann ist das prima. Die Cloudoption schalten wir ab und richten einen sicheren Zugang ins Heimnetz ein um Kamerabilder unterwegs zu sehen.

Das was ich hier für drei Netzwerksegmente zeige, ist mit weiteren Netzwerkkarten beliebig ausbaubar. Wer das ganze dann im Griff hat, dem steht auch das Konzept des Vlan offen, das ist aber ein ganz anderes Thema.

Also, Stift gespitzt und Plan gemacht.
Alle Geräte aufführen, mit Funktion für wen und was, MAC Adresse für LAN und Wlan.
Je ausführlicher diese Liste ist, desto weniger Ärger wirst Du Dir später einhandeln, wenn es um Regeln und ihre Umsetzung geht.
Ärger?
Ja, spätestens wenn Dein Partner mit der Bratpfanne hinter Dir steht, weil sein Onlinespiel nicht mehr läuft, wirst Du Dich fragen, wie man so bescheuert sein kann sich sowas hier anzutun!
Gut vorbereitet ist das aber ein entspanntes Lächeln im Gesicht….also:
Jedes Gerät mit Netzwerkzugang muss auf die Liste. Dann kannst Du sie nach den oben beschriebenen Überlegungen in die gewünschten Segmente schonmal einteilen. Überlegen wie das verkabelt werden kann.

Das hört sich aber alles nach Arbeit an? Richtig!
Das ist wie ein Auto, das will auch gepflegt, geputzt und gewartet werden.
Ein Netzwerk braucht das ebenso.
Ein Netzwerk ohne Plan und Pflege wird fast zwangsläufig zu einem Netzwerk fremder Leute.

Hol Dein Kind vom Rechner weg und lass es Dir helfen, es macht nicht bumm und knall und ist nicht bunt, aber einmal ins Loch gefallen – tut sich ein Wunderland auf, viel größer als jedes Computerspiel!

Dann kann es losgehen.

next > Installation