2170 über LAN1 mit freetz?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
N

neuerusr

Neuer User
Mitglied seit
1 Jul 2007
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Hi all,

ich habe vor kurzem eine FritzBox 2170 erstanden mit der Absicht sie hinter
einem Kabelmodem zu betreiben. Leider bin ich erst im nachhinein dahinter
gekommen dass dies offensichtlich mit DER Box und der AVM Firmware
nicht möglich ist.

Wir haben anderweilig bereits eine 7270 in Betrieb die von Haus aus über LAN1
am Kabelmodem funzt.

Darum meine Frage: Läßt sich diese Funktion bei einer 2170 mit einer freetz-Firmware Version nutzen oder nachrüsten?
 
Nicht explizit. Wieso sollte das aber nicht möglich sein?
 
Hi,

..weil diese Funktion in der orginalen Firmware gar nicht im Webinterface
zur Auswahl steht.
Aus anderen Threads gabs da auch keine positive Ressonanz bezüglich der
AVM Firmware.

Freetz habe ich noch nie getestet und nichts zum Problem finden können.
 
Zu deinem Problem: Da gab es doch nen Trick "mit ohne css" oder sowas. Mal probiert die Styles auszustellen im FF? Hast du dann die Option dort?
 
Habe es mit dem Firefox getestet - da tat sich nix.
Ich probier mal kurz den IE.
 
Hallo,

die Box hinter einem Kabelmodem zu betreiben, ist auf keinen Fall eine gute Idee! Da der Switch-Baustein den WAN Port nicht vom LAN Port trennen kann, öffnet man Eindringlingen Tür und Tor, schlimmer noch: Unter gewissen Umständen haben andere Internetnutzer plötzlich Zugriff auf deine Windows Freigaben etc.
Die Box ist hardwaremäßig einfach nicht dafür ausgelegt - da hilft auch Freetz nicht.

Siehe auch: http://www.heise.de/newsticker/Wenn-der-Nachbar-heimlich-mitsurft--/meldung/93054

Das war so ein Fall, wo auch jemand eine Fritzbox per CSS Trick hinter ein Modem klemmen wollte.
 
Sry, wusst ich nicht, was das für ne kastrierte Box ist.
 
Ok. Danke für die Aufklärung, somit ist das Ding nicht mehr viel wert.
Habe die Einstellung übrigenz tatsächlich einstellen können mit oben
gennanten "Trick", lag an der Zeichenkodierung.

Das erspart mir jetzt einiges,
thx & gude Nacht.
 
Ouch! Weiß jemand, ob die 3170 diese Interfaces trennen kann?
 
Hallo,

nein, die 3170 kann es auch nicht.

Es können nur die Boxen mit "Fon" im Namen und die 3270. Bei der 7170 gibt es noch einige Ausnahmen, da können es nicht alle Seriennummern.
 
Oh Danke!
Werde es wohl schnellstmöglich wieder umstellen müssen...
EDIT:
Hilft es was, wenn man alle IP-Adressen außer die des eigenen Netzwerks sperrt (per iptables)?
 
Hallo,

nein, denn das Sicherheitsleck existiert schon auf Schicht 2, also unterhalb von IP.
 
Gut zu wissen. Da sollten wir vielleicht mal nachschauen, dass man das für die 3170 (7170 Alien) nicht aktivieren kann. Ich hab das auch schon so betrieben.

MfG Oliver
 
Wenn das vorgeschaltete Modem einen Paketfilter hat, der nur PPPoE-Pakete durchlässt, bringt das dann Abhilfe? Kenn mich mit den verschiedenen Schichten kaum aus...
 
Hallo nochmal in die Runde,

ist dieser Thread noch halbwegs "aktuell"?
Ich frage weil auf der freetz Website unter Wiki eine Anleitung steht womit man ganz ohne freetz
einfach in der ar7.cfg mit der "cpmacspecial" Funtion genau dieses doch erreichen kann. Das es von AVM bei den "einfachen" Boxen (2170/3170) ja aus "marketingtechnischen" Gründen nicht realisiert wird ist eine andere Sache.

Fakt ist das diese Option cpmacspecial definitiv auf einer 2170 und 3170 läuft - also die Trennung der Lan Ports geschieht nachweislich.

Das das WebIF es nicht beherscht liegt doch ziemlich sicher daran das die Variable "FULL_ATA" auf 0 gesetzt ist. Dieses wird doch auch am Quellcode des WebIF ersichtlich (keine Abfrage ob Inet ü LAN1 und folglich wird der DSL-Menupunkt angezeigt...)

Das diese Boxen technisch nicht die Neuesten sind ist klar und ja - die Routing Leistung liegt "nur" bei 35/40 MBit. (Liegt übrigends an der Hardwarearchitektur, nicht der Rechenleistung).

Was also spricht dagen diese Boxen zu "verbiegen" (-> CSS Trick ist doch auch nur ein Kniff wg WebIF von AVM)?

MfG Thomas
 
Die Hardware hat sich seitdem nicht geändert. Dieser Thread von 2009 ist demnach weiterhin aktuell insofern, dass nach wie vor keine physikalische Trennung zwischen LAN und WAN erfolgt, obwohl es per Software einrichtbar ist. Das hat also keine "marketingtechnischen" Gründe, sondern hardwaretechnische.
 
Jetzt mal nicht falsch verstehen:

Man kann im ganz normalen DSL Mode die einzelnen LAN Ports sauber trennen. Das geht nachweislich. Klar. (Man hat dann max 4 verschiedene UND getrennte LAN Segmente - auch klar)
Im "nicht freigegebenen" "normalen" Routermodus werden doch die LAN Ports genauso (pysikalisch - "Layer 2") getrennt.

Ich frage deshalb (so ungläubig) weil es ja dann auch rein lokal nachzuweisen und reproduzierbar wäre. Zu deutsch:

Man nimmt besagte Box (2170/3170) und richtet sie sauber ein. Danach führt man diesen dubiosen Trick mit CSS durch.
Wenn jetzt ein anderes LAN Segment (nennen wir es mal "externens LAN") an eben diesem "Internetport" (LAN1) hängt würde das bedeuten das dieses "externe LAN" Zugriff auf das "FritzBox-Netzwerk" hätte.
Und dieser Traffic muss folglich nachweisbar sein.

Man kann doch dieses Verhalten überprüfen in dem man ein Rechner im sog. "externen LAN" hängt und diesem per Hand eine IP-Adr aus dem FB-Netzwerk einträgt.
Wenn die Box tatsächlich nicht sauber trennt dann sollte eben dieser Traffic - zwar nicht unbedingt von der Box selber - zu messen sein.

Also ARP-Einträge kommen kedenfalls nicht "durch".
Oder liege ich mit dieser "Messmethode" falsch?
 
key106 schrieb:
Man kann im ganz normalen DSL Mode die einzelnen LAN Ports sauber trennen. Das geht nachweislich.
Zum Vergrößern anklicken....
Was nennst du sauber trennen? Eine Trennung auf Schicht 2 ist nicht möglich.

key106 schrieb:
Im "nicht freigegebenen" "normalen" Routermodus werden doch die LAN Ports genauso (pysikalisch - "Layer 2") getrennt.
Zum Vergrößern anklicken....
Nein.

key106 schrieb:
Man nimmt besagte Box (2170/3170) und richtet sie sauber ein. Danach führt man diesen dubiosen Trick mit CSS durch.
Wenn jetzt ein anderes LAN Segment (nennen wir es mal "externens LAN") an eben diesem "Internetport" (LAN1) hängt würde das bedeuten das dieses "externe LAN" Zugriff auf das "FritzBox-Netzwerk" hätte. Und dieser Traffic muss folglich nachweisbar sein.
Zum Vergrößern anklicken....
Hat es, und ist er. Steht vielleicht nicht unbedingt in diesem Thread, aber es gab ja auch zahlreiche andere dazu. Auf MAC Ebene sind die Segmente verbunden.
 
Stutzig.

Hallo,

Ich bin insofern stutzig über diese Aussagen weil es mir schlicht nicht gelingt in diesem Szenario von "extern" in das FB-Netz zu gelangen.

Was nennst du sauber trennen? Eine Trennung auf Schicht 2 ist nicht möglich.
Zum Vergrößern anklicken....
In dem Augenblick wo auf dieses "Inet ü LAN1" umgeschaltet wird ist sofort schluß mit (Dauer-)Ping & Co am LAN1 - jedenfalls bei mir.

Nein.
Zum Vergrößern anklicken....
Das es glasklar VOR diesem Umschaltpunkt im selben Segment hängt ist unbestritten und nachweisbar - daher erfolgt ja auch z.B. auf der Konsole die Warnung das der cpmacspecial-Mode
nicht mehr aktiv ist wenn dieser wieder ausgeschaltet wird...

Ist dieser cpmacspecial-Eintrag bekannt und mal durchgetestet worden?
Dann muss ja das was im freetz-Wiki steht - sorry vorab für die Wortwahl - "erstunken und erlogen" sein - ist es m.E. aber gar nicht sondern schlicht nur sauber erarbeitet und vor allem: nachvollziehbar.

Darum nochmal: Wenn das tatsächlich so wäre müsste es aber nachweisbar sein - ist es bei mir nicht mit 3 Boxen (2*2170/1*3170) da gleiches Verhalten (s.o.).

Aber es soll ja gar nicht so sein.
Und dabei belassen wir es.
 
@frank_m24:
Kannst du das mit der 3170 (oder das können "nur Fon-Boxen") bitte genauer erklären?

Es gab ja von der "Mutterbox" (FBF 7170) Versionen, die nicht in der Lage waren, den Switch(!)-Baustein so zu konfigurieren, dass die Interfaces "ausreichend" getrennt waren.
Die Seite dazu (http://avm.de/de/Service/Service-Po...l_Praxis_und_Tipps/Liste_ATA_faehige_Fbox.php) scheint es bei AVM nicht mehr zu geben.
Aber den Tenor findet man m.E. gut zusammengefasst bei wehavemorfun zur 7170:
Alte Versionen der Box (221, <=228.00.187.671, <=229.00.004.641) gelten als nicht ATA-tauglich.
Damit ist nicht der IP-Client-Modus gemeint, dieser funktioniert auch dort.
Lediglich der IP-Router-Modus funktioniert nicht, da der verbaute Switch-Chip die dazu notwengige Isolation
zwischen den Ports 1 (WAN) und 2-4 (LAN) nicht beherrscht.
...
Zum Vergrößern anklicken....
Ich hätte daher auf den in 7170 V1 verbauten "ADM6996LC" getippt und, wenn die Infos auf wehavemorefun passen, sollten die 2170/3170 den "ADM6996FC" haben (wie die 7170 V2). Von daher kanns ja eigentlich am Switch-Baustein selbst nicht liegen, hätte ich gedacht?!?
Danke für etwas Licht im Dunkel.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 748 (Mitglieder: 41, Gäste: 707)

Neueste Beiträge

Statistik des Forums

Themen
246,149
Beiträge
2,246,933
Mitglieder
373,662
Neuestes Mitglied
frankbugislaus
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück