147048
Goto Top

Ethernet-over-Coax verschlüsseln

Hallo zusammen,

mag sein, dass das eine eher spezielle Frage ist:
Da es in unserem Haus leider kaum nutzbare Leerrohre gibt, die für eine moderne LAN-Verkabelung nutzbar wären, war ich auf der Suche nach Alternativen.
In Frage kamen dabei Powerline und Ethernet over Coax.
Da bei ersterem allerdings die Bandbreite enorm abnehmen kann, tendiere ich eher zu EOC (hohe Nettoübertragungsraten und nahezu überall Koax).

Allerdings konnte ich bisher bei keinem der Adapter von Allnet, Axing, usw. eindeutig feststellen ob bzw., dass AES-Verschlüsselung zur Kommunikation zwischen den Geräten verwendet wird.
Es mag ein wenig übervorsichtig wirken, aber trotz Frequenzweiche/ -filter würde ich den Datenverkehr daher gerne verschlüsselt "tunneln".

Ich bin mir diesbzgl. zwar ziemlich sicher, dass es gehen müsste, finde aber zu folgendem Fall keine für mich (Laien) verständliche Anleitung:
Sowohl Einspeisung, als auch Verarbeitung des Signals an der Gegenstelle würden (wenn nötig) per Mikrotik Hardware erfolgen. Dabei sollen 4 tagged VLANS über den verschlüsselten Tunnel an der Gegenstelle ankommen und weiterverteilt werden; u.U. auch zu Wlans.
Die Frage ob die Medienkonverter das alles problemlos durchreichen ist wohl eine andere...

Vielleicht kann man mir ja inen heißen Tipp geben? face-wink

Beste Grüße und guten Rutsch.

Content-Key: 636678

Url: https://administrator.de/contentid/636678

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: em-pie
em-pie 31.12.2020 aktualisiert um 12:59:02 Uhr
Goto Top
Moin,

Am „einfachsten“ ist es, wenn du an beiden Enden einen VPN-Server platzierst und dann über die Ciax-Verbindung einen VPN-Tunnel aufbaust.

Das kannst du mit nem Mikrotik oder nem RPi machen, wobei ersterer sicherlich am geeignetsten wäre...

Edit:
Vielleicht wäre das Teil im Peer-to-Peer-Modus machbar:
https://www.home4u-shop.de/download/BA_EOC-1-01.pdf

Gruß
em-pie
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 31.12.2020 aktualisiert um 14:19:49 Uhr
Goto Top
Das mit VPN-Servern umzusetzen, finde ich richtig cool!

Vielleicht nur folgende Ergänzung, damit der TO das nicht mit Fritzboxen oder dergleichen probiert:

Nicht jeder Router hat genug Durchsatz über VPN. Ich rate von Fritzboxen und dergleichen ab.
Langezeit hatte ich Ubiquiti Edge Router im Einsatz. Die Config ist nicht so einfach, der Durchsatz war aber ordentlich.

Ich hatte dafür immer Router auf PFSense mit Alix-Boards und Soekris VPn1411-Encryption-Processorboards gebaut.
https://www.alix-board.de/
http://soekris.eu/shop/vpn_boards/vpn1411_for_mini_pci_sockets_en.html

Da bekam ich dann ordentlich Durchsatz per VPN.

Gruß und guten Rutsch.
Mitglied: aqui
aqui 31.12.2020 aktualisiert um 14:22:43 Uhr
Goto Top
Wenn du normale Ethernet-Koax Modems wie z.B. diese verwendest:
https://www.heise.de/select/ct/2017/20/1506703295433091
Werden die Daten nicht verschlüsselt.

Das Einfachste ist dann in der Tat wie Kollegen @em-pie und @beidermachtvongreyscull oben schon gesagt haben einen VPN Router oder Firewall davor zu klemmen.
Das kann von einem preiswerten Mikrotik, GL.inet Router, OpenWRT, DD-WRT bis zur pfSense oder einem Raspberry Pi 4 mit OpenVPN, Wireguard usw. alles sein.
Alle diese VPN Komponenten lösen deine Anforderung im Handumdrehen. Am preiswertesten und einfachsten kommst du mit einem Mikrotik hexS, oder RB750GR3 davon.
Mitglied: Deepsys
Deepsys 31.12.2020 um 16:30:33 Uhr
Goto Top
Hi,

kannst du so machen mit den mikrotik, aber es gibt auch was: Devolo dLAN® 500 AVpro UNI:
https://www.devolo.de/dlan-500-avpro-uni

Laut Datenblatt (https://www.devolo.de/fileadmin/Web-Content/DE/products/eol/dlan-500-avp ..) macht der AES 128.
Das Problem, der ist für Business Kunden und ich habe den auf die Schnelle nicht zu kaufen gefunden.
Wäre aber eine Alternative.

Auch für mich, der kann auch auf 2 Draht Leitung arbeiten ....

Viele Grüße,
Deepsys
Mitglied: 147048
147048 02.01.2021, aktualisiert am 03.01.2021 um 10:53:26 Uhr
Goto Top
Hallo und danke für die zahlreichen Antworten,

gibt es hier vielleicht auch eine Mikrotik-spezifische Anleitung (VPN im Ethernet), die ich noch nicht entdeckt habe?
Denn es kommen vermutlich zwei hAP ac2 zum Einsatz.

Außerdem bin ich mittlerweile noch auf ein anderes Problem gestoßen...

Ich würde gerne einen der EOC-Adapter in einem Bereich platzieren, in dem es im Grunde unmöglich ist, zu Kontrollieren, ob jemand den angeschlossenen AP abzieht und sich selbst ins LAN verbindet.

Ursprünglich hatte ich damit kein Problem, da ich das Problem direkt über ein LAN-Kabel mit 802.1X hätte lösen können.
Des Aufwands (und möglicher zukünftiger Platzprobleme im Leerrohr) wegen möchte ich allerdings darauf verzichten das Kabel einzuziehen.

Nun habe ich also versucht zu recherchieren, ob 802.1x grundsätzlich (und in meinem Fall auch noch + VPN-Tunnel) auch "über die EOC-Adapter hinweg" funktionieren würde, sprich: Ich "kontrollieren" kann, wer sich hinter dem Adapter ansteckt.
Es deutet leider alles darauf hin, dass das - da Layer-2 - nicht möglich ist.... Liege ich da richtig?
Falls ja, gibt es Workarounds?

Zur Info: Vor und hinter den EOC-Adaptern kommt vermutlich ausschließlich Mikrotik Hardware zum Einsatz.

Viele Grüße face-smile
Mitglied: 147048
147048 02.01.2021 aktualisiert um 22:58:22 Uhr
Goto Top
Kleine Ergänzung: Welche VPN-Durchsatzraten kann ich von hap ac2 zu hap ac2 / wAP ac erwarten?
Mitglied: Deepsys
Deepsys 03.01.2021 aktualisiert um 11:46:02 Uhr
Goto Top
Hallo,

wenn ich mir das noch mal durchlese, verstehe ich nicht warum du soviel dafür investieren willst?

Zitat von @147048:
Des Aufwands (und möglicher zukünftiger Platzprobleme im Leerrohr) wegen möchte ich allerdings darauf verzichten das Kabel einzuziehen.
Also geht es doch? Dann lass den Quark mit den Adaptern und zieh das Kabel ein, das ist immer noch das Beste.

Es ist doch dein eigenes Haus, und die Coax Leitungen sollen doch nur für dein Netzwerk sein, oder auch für Fernsehen?
Das wird nämlich wahrscheinlich nicht klappen, da die Dinger für Punkt-zu-Punkt gedacht sind,

Und bei eigenen LAN-Leitung hättest du doch auch nicht so einen Aufwand betrieben?
Also in meinem Haus traue ich schon den Leuten die darin wohnen .....

Und was ist mit WLAN?
Das ist mit Mesh-Systemen doch meist auch eine Alternative?

Kannst du ja gerne machen mit dem Aufwand, aber lohnt sich das?

Viele Grüße,
Deepsys
Mitglied: aqui
aqui 03.01.2021 aktualisiert um 12:30:56 Uhr
Goto Top
Mitglied: 147048
147048 03.01.2021, aktualisiert am 07.01.2021 um 21:35:05 Uhr
Goto Top
Hallo @Deepsys,

vorweg: Die EOC-Adapter sollen im Peer-to-Peer Modus parallel zu Kabelfernsehen betrieben werden. Das ist bei u.a. Axing möglich.

Also habe ich im Zuge dessen, das WLAN zu optimieren, auch gleich noch eine Lösung gesucht von MESH und dementsprechend mehr oder minder Vendor-Lock-In loszukommen. Powerline war mir dabei zu unzuverlässig.
EOC klang mir nach einer teuren, aber zuverlässigen Lösung.
Da die Koaxkabel aber zentral verteilt sind könnte man in allen Bereichen, den Datenverkehr mitschneiden oder sich ins LAN einklinken.
Das möchte ich natürlich nicht.

In den Keller hatte ich ursprünglich angedacht, durch ein 10mm Rohr, ein Cat.6a Kabel in den Keller zu verlegen, in dem ich einen cAP ac von Mikrotik via 802.1X anschließen und dann auf einen wAP ac durchschleifen wollte (Port ebenfalls 802.1X gesichert)
Würde ich allerdings auf Kabelinternet wechseln wollen, kann ich ja die bestehende Koax-Infrastruktur (wegen Rückkanalblocker für EOC) nicht mehr nutzen, was im Umkehrschluss heißt, dass genau durch dieses eine 10mm Rohr ein neues Koaxkabel zum Router laufen müsste.
Das geht vom Querschnitt leider nicht sonderlich gut auf- zumindest meines Wissens nach.
Da dachte ich mir: >>Super, warum nicht noch einen EOC Adapter im Keller anbringen und dafür ein in Zukunft frei nutzbares Rohr?<<

Dabei habe ich allerdings übersehen, dass ich dann wieder nicht kontrollieren kann, wer sich im Keller am EOC-Adapter oder im Garten ansteckt - ganz zu schweigen vom unverschlüsselten Datenverkehr.
Zumindest ist das mein derzeitiger Wissensstand... Da sich die EOC-Bridge selbst am 802.1X Port authentifizieren müsste, was sie scheinbar nicht kann. Gelesen hier.

Ich hoffe das klärt die ungünstigen Umstände ein wenig.
Investiert wäre das ohnehin nicht alles auf einmal, sondern eher nach und nach. Gute Anbindung in der Wohnung hatte erstmal Priorität.
Wenn jemand eine bessere Idee hat: Her damit face-wink

Danke @aqui
Um ehrlich zu sein dachte ich, dass sich das Seup von Site-to-Site über Internet im Vergleich zu Ethernet, v.a. in Verbindung mit VLANs und LAN-Bridge, ein wenig unterscheidet...
Mitglied: aqui
aqui 03.01.2021 aktualisiert um 13:28:49 Uhr
Goto Top
Nöö, VPN ist ja rein Layer 3 mit IP. Hat mit Bridging und VLANs nicht das Geringste zu tun, denn das sind ja bekanntlich reine Layer 2 Funktionen. face-wink
Mitglied: em-pie
em-pie 03.01.2021 um 13:34:07 Uhr
Goto Top
Moin,

wo ist denn das Problem mit dem "Zugangsschutz"?

Soll doch der pöse Bub das Kabel Mikrotik EOC abziehen und sein Laptop anschließen: solange keine VPN-Verbindung aufgebaut wird, kommt er doch gar nicht in dein LAN. Bestenfalls hast du nicht mal einen DHCP-Server daziwschen laufen, sodass der Bilzebub nur manuell irgendeine IP aus einem passenden Netz wählen muss..

Und wenn da jemand mit 'nem Wireshark o. ä. aktiv wird, um das IP-Netz zu ermitteln...


Und den Mikrotik nebst EOC-Bridge packst du in ein abschließbares Gehäuse und fertig.

Ferner haben diese GEräte eine 128Bit AES-Verschlüsselung implementiert:
https://axing.com/produkt/eoc02002/