Unitymedia Kleiner Homeserver mit Ubee EVW3226

[connect_me]

Hallo!

Ein weiteres Ubee Opfer meldet sich zu Wort

Ich brauche eine Entscheidungshilfe. Ich habe vor, einen kleinen Homeserver ein zu richten. Habe recht schnell herausgefunden, dass man im Ubee Router von UM nicht sonderlich viel einstellen/ändern kann. Er wird (wegen DS-Lite) nur über ipv6 aus dem internet erreichbar sein, es gibt einen FreeDNS dienst der mit ipv6 gut umgehen kann, und einen tollen Workshop zum Thema hier im Forum (Danke!).

Wenn ich das nun aber richtig erkannt habe, kann ich im Router nur die ipv6 Firewall AN oder AUS schalten.

Meine Fragen dazu:
Hat mit diesem Router schon jemand einen Homeserver aufgesetzt?
Wie hoch schätzt ihr das Risiko ein für den Fall, dass Endgeräte hinter dem Router nur durch die eigene Firewall geschützt werden?

 

[tq1199]

Wie hoch schätzt ihr das Risiko ein für den Fall, dass Endgeräte hinter dem Router nur durch die eigene Firewall geschützt werden?

Das ist nicht nur von der (eigenen) Firewall abhängig, sondern auch von der Gesamt-Konfiguration der Geräte (... hinter dem Router aber "direkt" im Internet?) und somit von den Kenntnissen bzw. von dem Wissen des Admins (... der diese Geräte "hinter dem Router" betreut).

 

[SpaceRat]

Wenn ich das nun aber richtig erkannt habe, kann ich im Router nur die ipv6 Firewall AN oder AUS schalten.

Diese Aussage bezog sich auf das TC7200 und ist so auch nicht mehr korrekt.

Beim TC7200 verhält es sich wohl so, daß man beim Anlegen einer IPv4-Freigabe gleichzeitig auch eine IPv6-Freigabe bekommt.
Da man die richtige IPv6 aber nicht eintragen kann, bleibt nur "leer lassen", so daß der freigegebene Port dann für alle Geräte freigegeben wird.
Wenn man für seinen Server auf Gerät x nun einen wilden Nicht-Standardport a la 23697 nutzt, der auf keinem anderen Gerät a,b,c,d,...,z im LAN von einem Dienst genutzt wird, dann ist das hinnehmbar.

Ob das beim ÜBEL EVIL genauso funktioniert, weiß ich nicht.

Hat mit diesem Router schon jemand einen Homeserver aufgesetzt?
Wie hoch schätzt ihr das Risiko ein für den Fall, dass Endgeräte hinter dem Router nur durch die eigene Firewall geschützt werden?

Riesig.
Ein privates LAN ist heutzutage voll von irgendwelchen Geräten, auf denen auch oft genug irgendwelche Server laufen, die einem auf den ersten Blick gar nicht bewußt sind.

Mal angenommen, Du stellst Dir einen Rechner als Web-Server hin, richtest den gut und sicher ein und gibst dann Port 80 und Port 443 im ÜBEL EVIL frei, dann wirst Du Dich früher oder später wundern, wieso Deine IP-Cam ohne Dein Zutun schwenkt, Dir jemand die Sender am Receiver verstellt, es auf einmal tierisch heiß/kalt in der Bude wird, Deine Stereoanlage Dir die Ohren wegbrüllt, oder oder oder.
Überleg einfach mal, in wie vielen Geräte Du Netzwerkkabel gesteckt oder ein WLAN eingerichtet hast und auch, welche da noch hinzukommen könnten.

Vielleicht erinnerst Du Dich ja auch noch daran, als Du Deinen Windows-PC das erste Mal ins Netz eingestöpselt hast. Da wird der gefragt haben, ob das ein öffentliches Netz oder ein Heimnetz ist ...
Diese Entscheidung hat dann dazu geführt, daß er entweder seine Freigaben gegenüber dem Netz abschottet (Öffentliches Netz) oder offen läßt (Heimnetz). Es handelt sich also tatsächlich um die Auswahl einer Firewall-Politik.

Würdest Du nun die Firewall Deines Routers abschalten, dann müßtest Du im Endeffekt auch diese Entscheidung revidieren und auf "öffentliches Netz" ändern und zwar an jedem Deiner PCs.
Damit wiederum opferst Du viel von dem Komfort, den die entspanntere Firewall-Politik "Heimnetz" mit sich brachte ...
Ganz davon abgesehen, daß viele Geräte gar keine eigene Firewall haben, weil sie gar nicht für den Einsatz in offenen Netzen sondern wirklich nur für geschlossene Heimnetze konzipiert sind.

Die Zeiten, in denen wirklich nur 1-2 PCs im LAN hingen sind lange vorbei, heute tummeln sich da auch
- Kabel-/Sat-Receiver
- IPTV-Receiver
- Smartphones und Tablets
- AV-Receiver (Hifi-Receiver)
- sonstiger Multimedia-Kram (DLNA-Server usw.)
- IP-Cams
- Heizungssteuerungen und Hausautomatisierung
- Spielekonsolen
- usw. usf.

Fast alle der genannten Geräte sind im Heimnetz schutzlos, weil sie für ein durch einen Router abgesichertes Heimnetz konzipiert sind und vor den Zugriff auf sich selber im Sinne der Benutzerfreundlichkeit keine Hürden gestellt haben oder bestenfalls eine Passwortabfrage, die nur als Kindersicherung gedacht ist aber einem Beschuß aus dem Netz keine Minute standhält.

In wenigen Jahren wird eine dumme Entscheidung bei der Router-Konfiguration endlich nicht mehr nur zu Spam für Andere sondern auch zum Abtauen der eigenen Gefriertruhe, der Wahl von 95°C-Kochwäsche für die Dessous der Frau, der Einstellung "Sauna" oder "Permafrost" an der Heizungsanlage, einer gigantischen Nachbestellung seitens des Kühlschranks beim örtlichen Lebensmittelhändler, usw. usf. führen.

 

[connect_me]

Danke für die Antworten!

Diese Aussage bezog sich auf das TC7200 und ist so auch nicht mehr korrekt.

Reden wir vom selben Router? Ich kenne das TC7200 nicht. Es ist in meinem Ubee EVW3226 tatsächlich so, dass ich unter "Firewall" nur Port scans detektieren "freigeben"/"nicht freigeben" und ipv6 Firewall "Freigeben"/"nicht freigeben" kann. Von ipv4 und freigabe ist da im Gerät auch nirgends die Rede. Im Anleitungs-pdf des Routers sieht alles ganz anders aus, da gibt es port-forwarding mit ipv4. Allerdings steht oben in der Ecke auch "UPC", nicht KabelBW :smile:

Ein privates LAN ist heutzutage voll von irgendwelchen Geräten, auf denen auch oft genug irgendwelche Server laufen, die einem auf den ersten Blick gar nicht bewußt sind.

Ich versuche mein Vorhaben mal etwas zu konkretisieren. WLAN ist ausgeschaltet (das Kennwort dafür kann man übrigens in dem Router auch nicht ändern :kratz: ). Mein privater "Surf"-Laptop (ubuntu, mit ufw firewall) hängt am Router. Und mein Raspberry ebenso, letzterer soll mein server-projekt werden, eine kleine Homepage und/ oder ein Wiki bereitstellen und evtl. einen Mailserver. Soweit ich das verstehe geht das bei meiner Konfiguration dann auch nur via ipv6. Beide Endgeräte mit eigenen Firewalls.
Sonst hängt nichts in meiner Wohnung am Netz. Mein LAN ist mit 2 linuxbasierten Rechnern klein und überschaubar.

Wenn jetzt jeder trotzdem sagt "finger weg" (Erfahrungswerte mit diesem Gerät??), dann bekommt UM den Router ganz schnell wieder zurück (14 Tage Rücktrittsrecht), und ich suche alternative Anbieter mit dem Nutzer mehr zugänglichen Routern.

 

[tq1199]

Und mein Raspberry ebenso, letzterer soll mein server-projekt werden, eine kleine Homepage und/ oder ein Wiki bereitstellen und evtl. einen Mailserver.

Und ob das sicher ist oder nicht sicher ist, hängt davon ab wie Du deinen Pi (d. h. hier Webserver und Mailserver) konfigurierst und nicht ob dieser direkt im Internet hängt oder sich hinter einem Router befindet. Die lauschenden Ports des Servers, sind in beiden Fällen (d. h. mit oder ohne Router) für Alle aus dem Internet erreichbar.

 

[SpaceRat]

Drehen wir die Antworten mal um:

Wenn jetzt jeder trotzdem sagt "finger weg" (Erfahrungswerte mit diesem Gerät??), dann bekommt UM den Router ganz schnell wieder zurück (14 Tage Rücktrittsrecht), und ich suche alternative Anbieter mit dem Nutzer mehr zugänglichen Routern.

Sofern Du nicht durch die Lage beim örtlichen Wettbewerb mehr oder minder gezwungen bist, diesen Anschluß zu nutzen, würde ich es auch sein lassen.

Sprich:
Wenn ich die Wahl hätte zwischen einem aktuellen UM/KBW-Anschluß mit diesem R0tz-Router samt DS-lite einerseits und mindestens VDSL 50/10 andererseits, dann würde ich auf jeden Fall VDSL nutzen.

Im Umkehrschluß heißt das:
Wenn die Alternative nur VDSL25 oder schlechter lautet, dann würde ich natürlich schon in den sauren Apfel beißen und mich so gut es geht mit dem Kram arrangieren.
So gut es geht hieße in dem Fall aber auch, einen Business-Anschluß 50/5 in Erwägung zu ziehen.
Mit dem erhält man nämlich eine Bridge (Bei Business ohne Telefon) oder eine Fritz!Box (Bei Business mit Telefon) sowie IPv4 mit der Option, sich über eine Tunnelanbindung auch IPv6 zu verschaffen, also Dual-Stack nutzen zu können.

Reden wir vom selben Router? Ich kenne das TC7200 nicht. Es ist in meinem Ubee EVW3226 tatsächlich so, dass ich unter "Firewall" nur Port scans detektieren "freigeben"/"nicht freigeben" und ipv6 Firewall "Freigeben"/"nicht freigeben" kann.

Dann würde ich davon absehen ...

Sonst hängt nichts in meiner Wohnung am Netz. Mein LAN ist mit 2 linuxbasierten Rechnern klein und überschaubar.

Natürlich wäre es möglich, beide Geräte vollumfänglich durch eine Firewall abzusichern.
Anders als in einem normalen LAN hinter einem anständigen Router müßtest Du dabei aber eben auch jederzeit berücksichtigen, daß diese Firewall damit auch zwischen den beiden Geräten greift, bzw. für die Kommunikation untereinander gelockert werden muß.

Nur mal ein Beispiel:
Ich statte meine Pis immer auch mit telnet und einem Larifari-Passwort aus.
Das hat den Grund, daß ich den nach außen offenen ssh-Zugang auf der anderen Seite wirklich sicher konfiguriere, also mit key auth und deaktiviertem Passwort-Login. Würde ich den privaten Schlüssel für die key auth nun verlieren, dann käme ich auch selber nicht mehr auf den Pi drauf und müßte ihn erst umständlich an Monitor und Tastatur anschließen. Durch den nicht nach außen geöffneten Telnet-Zugang hingegen habe ich jederzeit einen Notfallzugang, der aber eben nur mir offensteht.
Bei Deinem R0tz-Router wäre aber auch telnet nach außen hin offen und das wäre eine riesige Sicherheitslücke.

Du müßtest also bei allen Firewall-Regeln immer auch daran denken, entspanntere Regeln für den Zugriff aus dem lokalen Netz vorzusehen.

Prinzipiell geht das, aber ich hätte da keine Lust drauf.

Wenn Du Dein Vorhaben mit einem eigenen Server trotzdem an diesem Anschluß realisieren willst (z.B. weil Du unbedingt einen schnelleren Zugang als 50/5 haben willst, der bei Business nicht zu bezahlen ist), dann würde ich Dir einen OpenWrt-Router oder eine OPNsense/pfSense-Firewall nahelegen.
Beide können die abgeschaltete Firewall Deines ÜBEL EVIL durch ihre eigene brauchbarere ersetzen.

 

[connect_me]

Nochmals DANKE für den Input!

Die lauschenden Ports des Servers, sind in beiden Fällen (d. h. mit oder ohne Router) für Alle aus dem Internet erreichbar.

Da kommt die Frage auf, wie Andere, die nur ipv4 "können", meinen Server überhaupt aus dem inet erreichen. Macht das in meinem Anschluss-Fall dann der dyndns Dienst möglich? Eigentlich ... auch ein sehr wichtiges Entscheidungskriterium.

OpenWrt-Router oder eine OPNsense/pfSense-Firewall

Das wird dann aber sicher beliebig komplex, mit Kompatibilitäten zum Router, durchleiten des Signals, etc. Oder?

Ich werde mal in der Zeit, die noch bleibt die Anschlussalternativen durchgehen. Beim Business 50 bekäme ich ein Cisco Kabelmodem 3212 eMTA. Was auch immer man da einstellen kann :zwinker:

 

[tq1199]

..., wie Andere, die nur ipv4 "können", meinen Server überhaupt aus dem inet erreichen.

Die können ja z. B. einen Dienst (Tunnelbroker) benutzen, der ihnen den Zugriff auf IPv6 möglich macht.

 

[un1que]

Ich werde mal in der Zeit, die noch bleibt die Anschlussalternativen durchgehen. Beim Business 50 bekäme ich ein Cisco Kabelmodem 3212 eMTA. Was auch immer man da einstellen kann :zwinker:

Soweit ich weiß, gibt es seit einiger Zeit nur noch das 3925, was kein reines Modem mehr ist, aber durch den Bridgemodus (bei statischer IP) zu einem solchen werden wird.
Dort kann man nichts einstellen, sondern du nutzt einen eigenen Router dahinter und stellst damit alles an, was du möchtest

Edit: Ok, scheinbar 3925 in NRW und 3212 in BW.

 

[Leseratte10]

Bei business 50 gibt's kein 3212, sondern ein 3925. Das verhält sich wie ein Modem, das heißt, du brauchst einen eigenen Router.

EDIT
Habe übersehen dass es um kbw geht.

 

[connect_me]

d.h. ich muss mir neben dem teuren business Anschluss noch einen Router zulegen?! :traurig:

 

[tq1199]

d.h. ich muss mir neben dem teuren business Anschluss noch einen Router zulegen?! :traurig:

Nicht wenn Du z. Zt. einen "Office Internet & Phone xxx"-Tarif von KabelBW hast. Aber dann hast Du i. d. R. kein IPv6.