Ich befinde mich in einer Situation, in der mein aktueller ISP kein Highspeed-Internet bereitstellen kann. Diese Situation wird sich wahrscheinlich mit der Zeit ändern. Der ISP hat einen sehr einfachen Router mit integriertem Modem bereitgestellt, der ADSL unterstützt.
Derzeit habe ich den ISP-Modemrouter so gut wie möglich gesperrt und einen Raspberry Pi über ein Ethernet-Kabel angeschlossen. Das benutzerdefinierte Betriebssystem auf dem Pi kümmert sich unter anderem um die gesamte Gerätekonnektivität, Firewall, VPN und Werbeblocker. Es ist der De-facto-Router in meinem Setup. Der ISP-Modemrouter hat immer noch alle Firewall- und Sicherheitsfunktionen aktiviert, aber eigentlich fungiert er nur als Modem meines Netzwerks.
Obwohl diese Lösung einwandfrei funktioniert, möchte ich den Raspberry Pi-Router durch einen Router für Endverbraucher mit verbesserten Hardware- und Softwarefunktionen ersetzen, über die ich die volle Kontrolle habe, einschließlich der darauf laufenden Firmware (DD-WRT). Es gibt viele Optionen mit integrierter Modemunterstützung für moderne Verbindungsmethoden (Glasfaser), aber fast keine, die meine aktuelle Verbindungsoption (ADSL) unterstützen.
Da sich meine Situation in Zukunft wahrscheinlich ändern wird, würde ich lieber ein modernes Modem/einen modernen Router (wahrscheinlich mit Glasfaser-Unterstützung) kaufen, damit ich es zu gegebener Zeit als einzigen Router verwenden kann. Bis dahin würde ich es jedoch „anstelle“ des Raspberry Pi einsetzen – also neben meinem aktuellen ISP-Router, der über ein Ethernet-Kabel verbunden ist.
Ich glaube, dass dies keine großen Probleme bereiten sollte, wenn man bedenkt, dass der Raspberry Pi dies derzeit alles kann, aber ich wollte das nur klarstellen, weil ich bisher nur Erfahrung mit der Verwendung von Modem-Routern habe, die ihre Modems zur Verbindung verwenden.
Ich sollte beachten, dass sich der Pi im Bridge-Modus nicht wie ein Router verhält, sondern einfach wie ein weiterer Router.
Wenn ich ein Modem/einen Router für den Privatgebrauch kaufe, aber nicht das eingebaute Modem verwende, sondern den Router über ein Ethernet-Kabel mit dem Modem/Router meines aktuellen Internetanbieters verbinde, funktionieren dann alle (oder die meisten) Hardware- und Softwarefunktionen weiterhin? Kann ich den Router beispielsweise so einrichten, dass er das Netzwerk am Ethernet-Port eher wie ein ungesichertes Netzwerk behandelt und alle Firewall-Regeln usw. aktiviert? (Und gibt es dafür einen Namen?)
Gibt es hier irgendwelche Sicherheitsnachteile? Wenn beispielsweise der ISP-Router kompromittiert ist, könnte die physische Ethernet-Verbindung dann ein erhöhtes Risiko darstellen? Ich würde es vorziehen, eine Ethernet-Verbindung beizubehalten, um das Signalrauschen zu reduzieren und einen weiteren (lokalen) Angriffsvektor auszuschließen.
Antwort1
Wenn ich ein Modem/einen Router für den Privatgebrauch kaufe, aber nicht das eingebaute Modem verwende, sondern den Router über ein Ethernet-Kabel mit dem Modem/Router meines aktuellen Internetanbieters verbinde, funktionieren dann alle (oder die meisten) Hardware- und Softwarefunktionen weiterhin? Kann ich den Router beispielsweise so einrichten, dass er das Netzwerk am Ethernet-Port eher wie ein ungesichertes Netzwerk behandelt und alle Firewall-Regeln usw. aktiviert? (Und gibt es dafür einen Namen?)
Bei den meisten Routern für Privatanwender ist dies bereits die Standardkonfiguration: So funktioniert der mit „WAN“ gekennzeichnete Port standardmäßig. Der Routerwissenunabhängig davon, ob eine Verbindung zu einem anderen lokalen Router besteht oder nicht. Es wird also immer davon ausgegangen, dass der „WAN“-Port tatsächlich direkt mit dem Internet verbunden ist.
(Es gibt einige Ausnahmen, bei denen der Router einen anderen ähnlichen Consumer-Router vorgelagert erkennt und in den Bridge-Modus oder ähnliches wechselt, aber das ist eine eher ungewöhnliche Funktion und funktioniert normalerweise nur zwischen identischen Produkten, z. B. „Link+“ zwischen zwei Huawei-Routern.)
(Bei Routern ohne vordefinierte Ports heißt es einfach „Konfigurieren der Firewall“. Wenn Sie mit einem leeren Regelsatz begonnen haben, fügen Sie eine Weiterleitungsregel hinzu, die die Weiterleitung von Paketen z. B. von Bridge1 („LAN“) zu Ether1 („WAN“) zulässt, dann fügen Sie eine Regel hinzu, die Pakete für „aktive“ Verbindungen zulässt, eine, die alles andere verwirft, und schließlich eine Maskeraderegel, die das übliche NAT aktiviert, das Heimrouter verwenden.)
Wenn beispielsweise der Router meines Internetdienstanbieters kompromittiert ist, könnte dann die physische Ethernet-Verbindung ein erhöhtes Risiko darstellen?
Vorausgesetzt, der Hauptrouterhatdie Firewall-Regeln: Nein, das ist nicht möglich.
(Das ist jedoch eine Situation, in der die Aussage „NAT ist keine Firewall“ durchaus zutrifft – ein Gerät mit einer direkten Verbindung zu einem NAT-Gateway kann Pakete an private IP-Adressen „hinter“ diesem Gateway senden, sofern die Firewall-Regeln des inneren Routers dies nicht verhindern.)