100 lines
3.1 KiB
Markdown
100 lines
3.1 KiB
Markdown
# Guest / IoT Network Runbook
|
|
|
|
Stand: 2026-06-06
|
|
|
|
Dieses Runbook beschreibt den sicheren Weg, das FRITZ!Box-Gastnetz zu aktivieren,
|
|
ohne versehentlich Homelab-Admin-Ports aus dem Gastsegment erreichbar zu machen.
|
|
|
|
## Zielbild
|
|
|
|
- Normales LAN bleibt `192.168.178.0/24`.
|
|
- Kallilabcore bleibt im normalen LAN unter `192.168.178.58`.
|
|
- FRITZ!Box-Gast-WLAN darf Internetzugang haben, aber keinen Zugriff auf
|
|
`192.168.178.0/24`.
|
|
- Homelab-Admin-Pfade bleiben Operator-only:
|
|
- Tailscale fuer Admin-Zugriff
|
|
- Authelia/2FA fuer geschuetzte Web-UIs
|
|
- keine LAN-Admin-Ports aus dem Gastnetz
|
|
|
|
## Vorbedingungen
|
|
|
|
Vor dem Einschalten des Gast-WLANs muessen diese Preflights gruen sein:
|
|
|
|
```powershell
|
|
G:\Gitea_Clone\homelab-infra\ops\maintenance\check-guest-iot-isolation.ps1 -Mode LanPreflight
|
|
```
|
|
|
|
Erwartung im normalen LAN:
|
|
|
|
- `192.168.178.58:8082` ist blockiert (AdGuard Admin nur Tailscale).
|
|
- `192.168.178.58:8181` ist blockiert (InfluxDB nicht LAN-exponiert).
|
|
- `192.168.178.58:80`, `443`, `222` koennen im normalen LAN erreichbar sein.
|
|
|
|
Auf Unraid zusaetzlich:
|
|
|
|
```bash
|
|
/mnt/user/services/homelab-infra/ops/maintenance/check-guest-iot-preflight.sh
|
|
```
|
|
|
|
## FRITZ!Box Schritte
|
|
|
|
In der FRITZ!Box UI:
|
|
|
|
1. `WLAN -> Gastzugang` oeffnen.
|
|
2. `Gastzugang aktiv` einschalten.
|
|
3. WPA2/WPA3-Verschluesselung aktiv lassen.
|
|
4. Eigenen Gast-SSID-Namen setzen, z. B. `Fritzi-Gast`.
|
|
5. Starkes Passwort setzen und in Vaultwarden ablegen.
|
|
6. Option `Geraete im Gastnetz duerfen miteinander kommunizieren` deaktiviert
|
|
lassen, sofern nicht bewusst gebraucht.
|
|
7. Option fuer Zugriff auf das Heimnetz / private Netzwerk deaktiviert lassen.
|
|
8. Gastzugang speichern.
|
|
|
|
Wichtig: Die genaue FRITZ!OS-8.25-UI-Beschriftung kann leicht variieren. Der
|
|
entscheidende Punkt ist: Gastgeraete duerfen keinen Zugriff auf das Heimnetz
|
|
haben.
|
|
|
|
## Verifikation
|
|
|
|
Ein Handy oder Laptop mit dem Gast-WLAN verbinden, dann auf diesem Geraet testen:
|
|
|
|
```powershell
|
|
G:\Gitea_Clone\homelab-infra\ops\maintenance\check-guest-iot-isolation.ps1 -Mode Guest
|
|
```
|
|
|
|
Erwartung aus dem Gast-WLAN:
|
|
|
|
- `192.168.178.58:80` blockiert
|
|
- `192.168.178.58:443` blockiert
|
|
- `192.168.178.58:222` blockiert
|
|
- `192.168.178.58:8082` blockiert
|
|
- `192.168.178.58:8181` blockiert
|
|
- `192.168.178.1:80` blockiert oder nur Gast-Gateway-Ansicht
|
|
|
|
Wenn der Test `Risk count: 0` meldet, ist die Isolation fuer die getesteten
|
|
Homelab-Admin-Pfade ausreichend.
|
|
|
|
## Betrieb
|
|
|
|
- Familien-/Gaestegeraete kommen ins Gast-WLAN, wenn sie keinen direkten Zugriff
|
|
auf LAN-Geraete brauchen.
|
|
- Homelab-Apps fuer Familie laufen perspektivisch ueber HTTPS/OIDC, nicht ueber
|
|
direkten LAN-Zugriff.
|
|
- Geraete, die lokale Discovery brauchen (z. B. manche Smart-TV/Plex-Szenarien),
|
|
bleiben im normalen LAN oder bekommen eine separate bewusste Entscheidung.
|
|
|
|
## Rollback
|
|
|
|
Wenn nach Aktivierung etwas Unerwartetes passiert:
|
|
|
|
1. FRITZ!Box: `WLAN -> Gastzugang` oeffnen.
|
|
2. Gastzugang deaktivieren.
|
|
3. Speichern.
|
|
4. Normalen LAN-Zugriff pruefen:
|
|
```powershell
|
|
G:\Gitea_Clone\homelab-infra\ops\maintenance\check-guest-iot-isolation.ps1 -Mode LanPreflight
|
|
```
|
|
|
|
Es werden durch dieses Runbook keine Docker-Stacks, Secrets oder produktiven
|
|
Appdaten veraendert.
|