Zugegeben, hier handelt es sich nicht um das Ansteuern von Geräten. Aber die grundlegenden Netzwerkkomponenten haben häufig dennoch Potential für Zusatzfunktionen. Darüber hinaus ist ein sichereres Netzwerk auch eine Voraussetzung für Smart Home, welches dieses verwendet.
Sehr häufig steht eine Fritz!Box in den Haushalten. Ich würde kein anderes Gerät nehmen, weil es sehr anpassbar ist und viele Funktionen bietet. Einige dieser Funktionen können auch mit anderen Routern nachgebildet werden.
Grundfunktionen
Grundsätzlich muss ein Router routen können. Das heißt, den Netzwerkverkehr des eigenen Heimnetzes bei Bedarf an das Internet übermitteln und Antworten zurück an das richtige Gerät vermitteln.
Um das eigene Netz zu definieren wird häufig ein DHCP-Server verwendet, der von der Fritz!Box auch zur Verfügung gestellt wird. Dieser verwaltet und vergibt Adressen an Geräte innerhalb das eigenen Netzes. Bei mir ist diese Funktion deaktiviert und die Aufgabe an ein Raspberry Pi vergeben.
Die dritte grundlegende Aufgabe ist der DNS, Dynamic Name Service. Dieser wandelt menschenlesbare Namen in IP-Adressen um. Eine Browseranfrage an smarthome.edh-hacker.de wird dann in eine IP-Adresse übersetzt, damit der Server, auf dem diese Website liegt, angesprochen werden kann und eine Seite zurückliefen kann. An dieser Stelle ergeben sich gleich mehrere Sicherheitsprobleme. Heute ist es Standard, dass Seiten per HTTPS statt HTTP angesprochen werden. Das bedeutet, dass die Anfrage an den Server verschlüsselt läuft und die Antwort ebenso transportiert wird. Hieran kannst du nichts ändern, falls ein Server kein HTTPS unterstützt. Allerdings läuft die Anfrage der Übersetzung des Namens in die IP-Adresse immer noch häufig unverschlüsselt ab. Ein Angreifer (oder der Provider) kann dank HTTPS zwar nicht die genauen Inhalte mitlesen, aber doch, welche Domainnamen du angefragt hast. Und ggf. sperren.
DNS over TLS
Jetzt wär es doch eine gute Idee, wenn die gleichen Sicherheitsmaßnahmen wie beim HTTPS auch hier benutzt würden. Dafür sind in einer Fritzbox nur wenige Handgriffe nötig.
Unter Internet -> Zugangsdaten -> DNS-Server lässt sich „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“ einfach aktivieren. Zwei zusätzliche Einstellungen lassen sich nach deinen Sicherheitswünschen anpassen.
Jetzt fehlt nur noch eine Auswahl von Servern, denen du vertraust. Die Fritz!Box erklärt zwar, dass der volle Domainname in der Liste eingetragen werden muss, eine IP geht aber auch. Lediglich die IP einzutragen bedeutet, auf zusätzliche Namensauflösung zu verzichten.
Die Fritz!Box schlägt bereits passende Server vor, allerdings kannst du auch eigene eintragen, welche du schnell im Netz finden kannst.
WLAN / WiFi
Ich gehe davon aus, du hast dein WLAN in Betrieb genommen. Von Haus aus sind bereits Sicherheitsfunktionen aktiviert. Ein paar Dinge kannst du dennoch optimieren.
Beginne vielleicht damit, den Namen deines WLANs (SSID) zu ändern. Wie viele gleichnamige WLANs hast du im Alltag wohl so in deinem Smartphone drin, die sich jedes Mal gegenseitig überschreiben?
Der richtige Funkkanal
Unter WLAN -> Funkkanal findest du relativ offensichtlich eine Einstellung, die dir das Leben (vor allem in dicht besiedelten Gegenden) das Leben leichter macht. Die automatische Kanalwahl kann schon richtig sein.
Bei einer manuellen Wahl beachte, dass rechts und links die 1 – 2 Kanäle (bei 2,4GHz) von dir oder auf dich gestört werden. Liegen zwei WLANs auf dem gleich Kanal, ist das kein Sicherheitsproblem, aber sie stören sich gegenseitig. Als würden in einem Raum zwei Gespräche lautstark gleichzeitig geführt werden. Oft ist es für eine Gesprächsrunde also einfacher, genügend Abstand zu der Anderen einzunehmen.
Mindestens 2 Kanäle Abstand (bei 2,4GHz) sollten zwischen zwei WLANs liegen. Bei 5GHz sind es schon 12, wobei die Fritz!Box bereits Kanäle nur in 4er-Schritten anzeigt.
Mesh-Repeater
Um das eigene WLAN zu vergrößern, wirst du häufig auf Repeater setzen. Verwende dafür keinen einfachen, sondern einen Mesh-Repeater. Mesh bedeutet, dass bei schwachem Signal automatisch in das stärkere Signal gewechselt wird. Das passiert sonst nicht. Du gehst mit deinem Telefon durch deine Wohnung und das Signal wird irgendwann schlecht, reißt aber nicht ganz ab. Dein WLAN wird unbrauchbar. Ein Mesh-WLAN erkennt den Umstand und wechselt bei Verfügbarkeit auf den nächsten Access Point.
Gastzugang
Die Fritz!Box lässt eine separate Gastzugangs-Konfiguration zu. Richte sie ein. Das macht es Freunden leichter, dein WLAN zu benutzen, wenn du den QR-Code bei dir irgendwo auslegst und auch eigene Smart Home-Geräte können sicherer verwendet werden.
Ich lagere alle Geräte, die nicht direkt angesprochen werden müssen oder können dorthin aus. Das bedeutet, dass weniger Sicherheitslücken in meinem Hauptnetz sich herumtummeln. Ein klares Beispiel sind Alexa-fähige Geräte, welche lediglich den Internet-Zugang verwenden. Weitere Interaktionen von diesen auf mein Netzwerk schließe ich so kategorisch aus. Auch werden meine Besucher keine Möglichkeit haben, an meine Smart Home Komponenten heranzukommen.
Wichtig ist dabei die Einstellung „WLAN-Geräte dürfen untereinander kommunizieren“ zu deaktivieren.
VPN
Die Kommunikation innerhalb des Netzes und ins Internet hast du inzwischen optimiert. Wie aber kommst du von Überall in dein Netz um deine Dienste zu verwenden, ohne unnötige Sicherheitsrisiken einzugehen? Dein Smart Home und einige deiner Netzwerkdienste von überall auf der Welt zu steuern kann schon ganz nett sein. Zum Beispiel auch um deinen Traffic gesichert aus ungeschützten oder unsicheren WLANs oder beschränktem Internet heraus über dein zu Hause zu leiten.
Ein VPN kann hier Abhilfe schaffen. Dabei handelt es sich um einen Tunnel, der von deinem Endgerät (vielleicht dein Smartphone) nach Hause aufgebaut wird und über den all dein Netzwerkverkehr verschlüsselt läuft. Das ausgehende WLAN oder das Mobilfunknetz können diesen nicht mitlesen.
Die Fritz!Box bietet eigene Funktionen, welche ich allerdings nicht verwende und daher keine Dokumentation erstellen kann. Statt dessen verwende ich OpenVPN mittels Raspberry Pi, welches ich genauer beschrieben werde. Weiter unten ist auch eine Möglichkeit beschrieben, auch der Fritz!Box OpenVPN beizubringen.
Telefonie
Die Fritz!Box kann auch irgendwie Telefonie. Wo viele Besitzer sich mit dem Anschluss von DECT-Telefonen begnügen, bietet das allerdings noch ein paar weitere Möglichkeiten.
Zum einen kann das eigene Smartphone dafür verwendet werden mittels der Fritz!Fon-App, solange man sich im eigenen Netz befindet. Das funktioniert auch, wenn man mittels VPN zugeschaltet ist!
Aber auch der eigene PC kann mittels Software einfach als Telefonstation dienen. Im Home Office mit einem guten Headset ist das angenehmer, als laufend einen Hörer ans Ohr halten zu müssen. Eine Möglichkeit hierfür ist die Open Source Software „MicroSIP„. Hierin wird ein Profil angelegt. Meines hat folgende Konfiguration.
Account Name: FritzBox
SIP Server: [IP der Fritz!Box]
SIP Proxy: [leer]
Username: ["microsip", speziell hierfür in der Fritz!Box angelegter Benutzer]
Domain: [IP der Fritz!Box]
Login: [leer]
Password: [Passwort des Benutzers "microsip"]
Display Name: [mein voller Name]
Voicemail Number: [leer]
Dialing Prefix: [leer]
Dial Plan: [leer]
Hide Caller ID: [ ]
Media Encryption: Optional SRTP (RTP/AVP)
Transport: UDP+TCP
Public Address: Auto
(im Zusammenspiel mit OpenVPN muss manchmal die manuelle Adresse gewählt werden)
Register Refresh: 300
Keep-Alive: 15
Public Presence: [X]
Allow IP Rewrite: [X]
ICE: [ ]
Dis. Sess. Tim.: [ ]Smart Home Funktionen
Die Fritz!Box bietet auch Smart Home-Funktionen. Die dabei verwendbaren Geräte basieren alle auf dem DECT-Protokoll. Darüber können direkt über die Fritzbox Thermostate, Leuchtmittel, Steckdosen und Taster eingebunden werden. In meinem Kontext ist das nicht ausreichend. Willst du diese Geräte in einer komplexeren Umgebung aber dennoch verwenden, können sie mit Plugins deiner Smarthome-Zentrale häufig aber auch angesteuert werden.
Willst du nur diese Geräte verwenden und wenig Aufwand in dein Smart Home stecken, kannst du diese so aber sehr einfach ein Betrieb nehmen. Bedenke dabei, dass DECT-Geräte in jedem Fall abhängig von der Existenz einer Fritz!Box sind.
USB/Speicher und Mediaserver
Die Fritz!Box bietet die Möglichkeit, als Netzwerkspeicher zu dienen. Dabei hat sie einen kleinen internen Speicher von Haus aus, aber auch ein großer USB-Stick lässt sich anschließen. Der Speicher kann mittels SMB (Windows Dateifreigabe) und FTP im Netzwerk bereitgestellt werden. Der USB-Stick kann mittels USB 2.0 oder wahlweise USB 3.0 angesprochen werden. Auch hier bevorzuge ich eine andere Lösung mittels Raspberry Pi: die Nextcloud.
Freetz
Freetz ist eine Software für Fortgeschrittene. Damit lässt sich das auf Linux basierte System der Fritz!Box öffnen und einige Funktionen hinzufügen, die so sonst nicht angeboten werden. Darunter fallen OpenVPN, dnsmasq (umfassenderer DNS-, DHCP- und TFTP-Server), mehrere Webserver, SSH-Server und eine ganze Menge anderer interessanter Tools. Auf der Seite von Freetz findest du eine komplette Auflistung zum Stöbern.
Solange du kein Raspberry Pi in Betrieb nehmen willst oder kannst, bietet Freetz bereits viele Möglichkeiten, dein Netz auf dieser Basis einen Schritt professioneller zu gestalten.
Um ein Freetz-Image für deine Fritz!Box zu bauen, benötigst du eine Linux-Maschine. Das Projekt selbst stellt bereits eine fertige VM zur Verfügung.
Ich habe selbst lange Zeit mit Freetz gearbeitet, bis ich die Funktionen durch ein Raspberry Pi abgelöst habe. Ein vollwertiges Linux ist eben doch noch mächtiger und auch die Hardware darunter wesentlich schneller, als diese Aufgaben einem Router aufzubürden.
Pingback: Kabel-Anbindung von Smart Home Geräten - Smarthome DIY - Heimautomatisierung selbst gemacht