[Sammlung] Erfahrung LAN 4 Gastzugang

D

DSL-Hexe

Guest
Bitte hier die Erfahrung mit dem LAN 4 Gastzugang posten.

Meine Plan ist es ein DrayTek Vigor 2130N per WAN mit einer FritzBox 6360 am LAN 4 (Gastzugang) zu verbinden um somit ein 2. Netzwerk zu bauen das abgeschottet ist vom 1. Netzwerk oder das diese FB 6360 nur noch als Modem und Telefonanlage fungiert.

Als KDG Kunde bin ich ganz schön beschnitten mit der FB 6360 und jedesmal KDG bitten das sie mir eine Firmware aufspielen habe ich auch kein Bock. Jetziger Firmwarestand auf der FB 6360 => FRITZ!OS 05.09-21574 (Labor) und dort ist schon der LAN 4 Gastzugang zu finden.

Am Ende soll mein Netzwerk so aussehen:

Kabel Internet --> FB 6360 2 KD Rufnummern Privat, 3 KD Rufnummern Büro (SIP-Server) --> LAN 1 FB 7270 Telefonanlage Büro (SIP-Client der FB 6360) --> LAN 2 + LAN 3 Privates Netzwerk --> LAN 4 <=> WAN Draytek Vigor 2130N Netzwerk Büro

Jetzt suche ich erst einmal Erfahrung nur mit dem LAN 4 Gastzugang und ganz besonders wichtig ob man NAT am LAN 4 Gastzugang deaktivieren kann und ob das Gerät am LAN 4 eine IP Adresse aus einem anderen IP Bereich bekommt.
 
Ich habe jetzt erste Tests mit den Gastzugang über LAN4 mit der 7270v2 gesammelt. AVM nutzt hier die Fähigkeit, den Switch zu splitten:
http://freetz.org/wiki/help/howtos/security/switch_config#VordefinierteSwitch-Konfigurationen


Mit Hilfe von cpmacconfig (http://www.ip-phone-forum.de/showthread.php?t=247234&highlight=cpmacconfig) erhält man folgende Infos:
Ohne Gastzugang
Code:
./cpmacconfig cpmac0 info
Information about cpmac: 
  PHY power: 4000ms on, 16480ms off, status = on save save save off
  Switch mode: normal (1) 
  WAN port 6
  "wan": 0x60
  "eth0": 0x2f

Mit Gastzugang
Code:
 ./cpmacconfig cpmac0 info
Information about cpmac: 
  PHY power: 4000ms on, 16480ms off, status = on save save save off
  Switch mode: special (6) 
  "eth0": 0x27
  "eth3": 0x28

Das LAN4-Interface (eth3) wird der guest-Bridge hinzugefügt, d.h. Gast-WLAN und LAN4 sind im gleichen Netzwerk. Mir ist noch nicht ganz klar, wie die Trennung zwischen den guest- und den lan-Bridges erfolgt. Ich denke mal, dass erfolgt direkt mit Hilfe von multid. Hat hier jemand mehr Infos, wie AVM die Trennung zwischen Gastzugang und dem Heimnetz implementiert hat.

Auf jeden Fall gibt es hier wieder die Möglichkeit, die Fähigkeit des Switches zu verwenden, die Ports aufzuteilen. Dies hatte in den letzten Firmware-Versionen mit cpmaccfg ja nicht mehr funktioniert.

@dsl-hexe
Der Gastzugang erhält eine Adressse aus dem Gastbereich. Bei der 7270:
Code:
Netz = 172.31.179.0;
netmask = 255.255.255.0;

joesy
 
Zuletzt bearbeitet:
Der Gastzugang scheint mir völlig falsch implementiert zu sein!

Während man alle anderen Anschlüssen und WLAN beschränken kann, ist der FB-Gastzugang immer unbeschränkt!
Keine Kindersicherung, keine Filter, also auch keine Torrentsperre, Kein Blacklisting und kein Jugendschutz und immer voll Speed ohne jede Beschränkung! Nur vom internen LAN getrennt.
Damit sind alle Gäste unbeschränkter als die familiären Stammnutzer. :-x
So eine Fehlentscheidung hätte ich AVM nicht zugetraut.
 
Was für eine Fritzbox mit welcher Firmware nutzt du?
 
Der Gastzugang scheint mir völlig falsch implementiert zu sein!
Nein, nur Dein Verständnis desselbigen. Er ist dazu vorgesehen, nicht ständigen Nutzern einen temporären Zugang zum Internet zu gewähren ohne diesen ins eigene Netz bzw. ins eigene WLAN (incl. persönlichem Schlüssel) zu lassen. Umfangreiche Konfigurationsmöglichkeiten sind für diese nur sehr zeitbegrenzten Nutzer fehl am Platz und die Entwicklung gegenüber dem Nutzen zu aufwändig.

Gruß Telefonmännchen
 
Hi Leute,

kann mir einer sagen wie gut das mit dem "abgegrenzten LAN" funktioniert?
Ich möchte dies auch einrichten.
Es soll ein Rechner sein der kein Zugriff auf das interne Netzwerk besitzt, eben nur das Internet.
Wenn ich für diesen Rechner Portfreigaben bräuchte, muss man die trotzdem normal einstellen?
Wie sieht es eigentlich mit VPN-Verbindungen aus? Kann dieser Rechner dann auf dieses "entfernte" Netz auch nicht zugreifen?

Im Moment besteht zwischen A und B eine ständige VPN-Verbindung.
Der Rechner soll bei B in Betrieb genommen werden.
Ich hätte dort eine Fritzbox 7270 V2 im Einsatz.
 
Hallo,

habe die Erfahrung gemacht das das Gastnetzwerk keinerlei Verbindung zum eigentlichen internen Netzwek hat, egal in welcher Form. Es ist halt ein Netzwerkzweig der völlig eigenständig und abgeschottet Zufriff zum Internet hat.

Was ich nicht so ideal finde (durch Supportkontakt mit AVM bestätigt) ist das z.B. weitere Fritzboxen im Gastnetzwerk ihren Push-Service nicht absetzen können. Es gibt also Einschränkungen im Detail.

Viele Grüße
Stephan
 
Würde also bedeuten es hat keinen Zugriff auf das interne sowie das externe VPN Netz?
 
Ich kann zumindest bestätigen das bei "deaktiviertem" Gastzugang alles gewohnt funktioniert (auch VPN z.B. nach extern) und das bei aktivem Gastzugang "nichts mehr geht":

Die interne FritzBox kann nicht auf Boxen, oder PC im Gastzugang zugreifen. Die PC im Gastzugang können nicht auf das interne Netz, auf die VPN-Verbindungen des internen Netzes zugreifen. Die FritzBoxen des Gastzuganges sind von der internen FritzBox nicht erreichbar. Der Push-Service der Gastzugangs-FritzBoxen funktioniert (AVM bestätigt) nicht.

Grüße
Stephan
 
Hi,

Danke für die Antwort. Somit wäre der LAN4 wirklich abgeschottet.
Wie sieht es mit evtl. Portfreigaben aus? Oder hängt LAN4 dann auch komplett ausserhalb der Firewall?
 
Ist die Nutzung von VPN nach draussen eingeschränkt?
Kann man sich über den Gastzugang bei einem Freund mit VPN mit der eigenen Box zu Hause verbinden?
 
Das kannst Du selbst im Zugangsprofil Gast einrichten; standardmäßig ist nur Mailen und Surfen erlaubt.
 
ok. super. danke
 
Moins

Ich möchte an dieser Stelle zu Bedenken geben, dass der Gastzugang nicht nur für Gäste gut ist.
Durch die Trennung des LANs und Gast-LANs und surfen und mailen im Gast-LAN ist man selber weitestgehend
vor XSS Attacken sicher. Besonders vor solchen die bestimmte Adressen antesten.
...wie: 169.254.1.1, 192.168.178.1, fritz.box, fritz.nas, myfritz.box, fritz.fonwlan.box,...
 
VPN Verbindung über Gastzugang funktioniert problemlos.
gerade probiert.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.