Micha/homelab-infra
1
0
Fork 0
Code Issues 1 Pull Requests 5 Actions Packages Projects Releases Wiki Activity
Files
18a90fbb4bd9e8baccafb1b88c74f53486cd55a7
homelab-infra/docs/GUEST_IOT_NETWORK.md
T

3.1 KiB
Raw Blame History

Guest / IoT Network Runbook

Stand: 2026-06-06

Dieses Runbook beschreibt den sicheren Weg, das FRITZ!Box-Gastnetz zu aktivieren, ohne versehentlich Homelab-Admin-Ports aus dem Gastsegment erreichbar zu machen.

Zielbild

  • Normales LAN bleibt 192.168.178.0/24.
  • Kallilabcore bleibt im normalen LAN unter 192.168.178.58.
  • FRITZ!Box-Gast-WLAN darf Internetzugang haben, aber keinen Zugriff auf 192.168.178.0/24.
  • Homelab-Admin-Pfade bleiben Operator-only:
    • Tailscale fuer Admin-Zugriff
    • Authelia/2FA fuer geschuetzte Web-UIs
    • keine LAN-Admin-Ports aus dem Gastnetz

Vorbedingungen

Vor dem Einschalten des Gast-WLANs muessen diese Preflights gruen sein:

G:\Gitea_Clone\homelab-infra\ops\maintenance\check-guest-iot-isolation.ps1 -Mode LanPreflight

Erwartung im normalen LAN:

  • 192.168.178.58:8082 ist blockiert (AdGuard Admin nur Tailscale).
  • 192.168.178.58:8181 ist blockiert (InfluxDB nicht LAN-exponiert).
  • 192.168.178.58:80, 443, 222 koennen im normalen LAN erreichbar sein.

Auf Unraid zusaetzlich:

/mnt/user/services/homelab-infra/ops/maintenance/check-guest-iot-preflight.sh

FRITZ!Box Schritte

In der FRITZ!Box UI:

  1. WLAN -> Gastzugang oeffnen.
  2. Gastzugang aktiv einschalten.
  3. WPA2/WPA3-Verschluesselung aktiv lassen.
  4. Eigenen Gast-SSID-Namen setzen, z. B. Fritzi-Gast.
  5. Starkes Passwort setzen und in Vaultwarden ablegen.
  6. Option Geraete im Gastnetz duerfen miteinander kommunizieren deaktiviert lassen, sofern nicht bewusst gebraucht.
  7. Option fuer Zugriff auf das Heimnetz / private Netzwerk deaktiviert lassen.
  8. Gastzugang speichern.

Wichtig: Die genaue FRITZ!OS-8.25-UI-Beschriftung kann leicht variieren. Der entscheidende Punkt ist: Gastgeraete duerfen keinen Zugriff auf das Heimnetz haben.

Verifikation

Ein Handy oder Laptop mit dem Gast-WLAN verbinden, dann auf diesem Geraet testen:

G:\Gitea_Clone\homelab-infra\ops\maintenance\check-guest-iot-isolation.ps1 -Mode Guest

Erwartung aus dem Gast-WLAN:

  • 192.168.178.58:80 blockiert
  • 192.168.178.58:443 blockiert
  • 192.168.178.58:222 blockiert
  • 192.168.178.58:8082 blockiert
  • 192.168.178.58:8181 blockiert
  • 192.168.178.1:80 blockiert oder nur Gast-Gateway-Ansicht

Wenn der Test Risk count: 0 meldet, ist die Isolation fuer die getesteten Homelab-Admin-Pfade ausreichend.

Betrieb

  • Familien-/Gaestegeraete kommen ins Gast-WLAN, wenn sie keinen direkten Zugriff auf LAN-Geraete brauchen.
  • Homelab-Apps fuer Familie laufen perspektivisch ueber HTTPS/OIDC, nicht ueber direkten LAN-Zugriff.
  • Geraete, die lokale Discovery brauchen (z. B. manche Smart-TV/Plex-Szenarien), bleiben im normalen LAN oder bekommen eine separate bewusste Entscheidung.

Rollback

Wenn nach Aktivierung etwas Unerwartetes passiert:

  1. FRITZ!Box: WLAN -> Gastzugang oeffnen.
  2. Gastzugang deaktivieren.
  3. Speichern.
  4. Normalen LAN-Zugriff pruefen: 
    G:\Gitea_Clone\homelab-infra\ops\maintenance\check-guest-iot-isolation.ps1 -Mode LanPreflight

Es werden durch dieses Runbook keine Docker-Stacks, Secrets oder produktiven Appdaten veraendert.

Reference in New Issue View Git Blame Copy Permalink