[Frage] AVM Fritzbox 3490 als LAN Router verwenden?

[johnydo]

Hallo zusammen,

ich bin hier etwas am verzweifeln. Ich habe eine Firewall in meinem Netz, diese hat aber selbst kein WLAN. Habe mir deshalb eine AVM Fritzbox 3490 besorgt. Ich würde gerne mein WLAN in ein extra Netz (DMZ) hängen und alles über die Firewall routen lassen damit ich auch Gäste in meinem WLAN sepparat behandeln kann etc.. Soweit so gut...

Zuerst dachte ich mir recht einfach ich gebe der Fritzbox auf dem WAN Interface eine statische interne IP und gebe als GW meine Firewall an. Das interne LAN der Fritzbox konfiguriere ich dann in ein eigenes Netz. Das geht schon mal gar nicht oder mache ich da was falsch?
Dann im Internet bei AVM nachgelesen...da ich bereits einen Router (Firewall) habe brauche ich den IP-Client-Modus. Das habe ich dann eingerichtet und die Fritzbox kommt ins Internet. Das Problem an der Sache im IP-Client-Modus werden die meisten Netzwerkfunktionen abgeschaltet wie zum Beispiel auch der DHCP Server. Den wollte ich aber aktiviert lassen um damit meine WLAN Clients zu versorgen.

Kann mich hier mal jemand unterstützen? Technisch gesehen kenne ich mich schon mir Routing usw. aus allerdings finde ich die Fritzbox da recht merkwürdig.

 

[PeterPawn]

Das ist eigentlich ganz simpel und der "IP-Client-Modus" ist für Dich natürlich nicht der richtige. Du brauchst den Router-Modus, bei dem Du unter "Internet/Zugangsdaten" den "Zugang über LAN1" einstellst und dann kannst Du unter "erweiterte Einstellungen" auch eine statische IP-Konfiguration für das WAN-seitige Interface der FRITZ!Box hinterlegen. Die Box bleibt dann Router und alle Funktionen stehen zur Verfügung, beim DynDNS-Client (den Du sicherlich nicht brauchst) krankt es dann eben daran, daß der nur die interne IP-Adresse des vorgelagerten Routers als WAN-Adresse kennt und Updates (auch solche, bei denen die öffentliche IP anhand des Update-Requests gesetzt wird) in die Hose gehen bzw. ständig wiederholt werden, weil die FRITZ!Box den Erfolg durch DNS-Abfragen kontrolliert und mit ihrer eigenen WAN-IP vergleicht.

 

[eisbaerin]

Das geht schon mal gar nicht oder mache ich da was falsch?

Du beachtest bestimmt nicht, daß die FB3490 nicht normal routet, sondern NAT macht.
D.h. alles kommt an deiner Firewall mit der WAN-IP der FB an und du kannst die einzelnen Geräte nicht mehr unterscheiden.
Du mußt dann deine Firewall anders konfigurieren.

Aber ich denke in deinem Fall ist der Client-Mode besser.
DHCP sollte dann deine Firewall machen.

 

[PeterPawn]

@eisbaerin:
Widerspricht dem in #1 geäußerten Wunsch nach einem getrennten Netz für das WLAN und zusätzlich der Möglichkeit, ein Gäste-WLAN anzubieten. Das ist mit IP-Client-Modus nicht mehr machbar.

 

[johnydo]

Das ist eigentlich ganz simpel und der "IP-Client-Modus" ist für Dich natürlich nicht der richtige. Du brauchst den Router-Modus, bei dem Du unter "Internet/Zugangsdaten" den "Zugang über LAN1" einstellst und dann kannst Du unter "erweiterte Einstellungen" auch eine statische IP-Konfiguration für das WAN-seitige Interface der FRITZ!Box hinterlegen. Die Box bleibt dann Router und alle Funktionen stehen zur Verfügung, beim DynDNS-Client (den Du sicherlich nicht brauchst) krankt es dann eben daran, daß der nur die interne IP-Adresse des vorgelagerten Routers als WAN-Adresse kennt und Updates (auch solche, bei denen die öffentliche IP anhand des Update-Requests gesetzt wird) in die Hose gehen bzw. ständig wiederholt werden, weil die FRITZ!Box den Erfolg durch DNS-Abfragen kontrolliert und mit ihrer eigenen WAN-IP vergleicht.

Hi,

das würde es dann erklären . Ok dann versuche ich mal. Genau DynDNS etc. brauche ich nicht das macht die Firewall schon...

 

[eisbaerin]

@PeterPawn:
Von Gäste-WLAN schrieb er direkt nichts.
Ich habe es so verstanden, daß er in der Firewall das alles regeln will.
Und das geht im Router-Modus nicht.

 

[PeterPawn]

Von Gäste-WLAN schrieb er direkt nichts.

Verstehen wir offensichtlich unterschiedlich ... mit einer FRITZ!Box kann er dann aber

]damit ich auch Gäste in meinem WLAN sepparat behandeln kann

nur noch realisieren, wenn die Box als "dumme LAN-WLAN-Bridge" (und dann richtigerweise im IP-Client-Mode) arbeitet.

Dabei kann man dann Gäste nicht mehr (physikalisch/auf L2) von den "Einwohnern" trennen. Wenn man so eine Konstellation haben will, kann erst die Firewall den Verkehr für solche "Gäste" (die dann irgendwie ein eigenes IP-Netz per DHCP bräuchten, denn ein Gäste-Netz mit statischen IPs ist sicherlich eher suboptimal oder man führt eine MAC-Adressliste der Einwohner und jeder Fremde ist automatisch Gast) gesondert behandeln und event. infizierte Smartphones und Tablets haben im LAN noch alle Möglichkeiten, eine Infektion zu verbreiten.

Das konterkariert für mich den Sinn und Zweck eines Gäste-Netzwerks (wenn man nicht nur ein gesondertes WLAN-Kennwort und eine eigene SSID darunter verstehen will) und ich gehe beim TE davon aus (er will ja immerhin das gesamte WLAN abtrennen vom Rest des Netzes), daß er so eine unsichere Konfiguration eher nicht wünscht. Ist aber - da hast Du zweifellos recht - eine Frage der Interpretation des o.a. Satzfragments.

 

[johnydo]

Du brauchst den Router-Modus, bei dem Du unter "Internet/Zugangsdaten" den "Zugang über LAN1" einstellst und dann kannst Du unter "erweiterte Einstellungen" auch eine statische IP-Konfiguration für das WAN-seitige Interface der FRITZ!Box hinterlegen.

Genau das wars! Ist etwas komisch einzurichten falls es mal jemand braucht:

Internet -> Zugangsdaten -> Anderer Internetanbieter ->

Name: Router-Modus

Folgendes anwählen:

Anschluss
-> Externes Modem oder Router
Wählen Sie diesen Zugang, wenn die FRITZ!Box über "LAN 1" an ein bereits vorhandenes externes Modem oder einen Router angeschlossen ist.

Betriebsart
-> Internetverbindung selbst aufbauen
Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert.

Zugangsdaten
Werden Zugangsdaten benötigt?
-> Nein

Verbindungseinstellungen
Upstream: 5000 kbit/s
Downstream: 50000 kbit/s

-> IP-Adresse manuell festlegen
Hier können dann die IP Adressdaten festgelegt werden.



Achtung! Da die Firewall auf der Fritzbox noch aktiv ist vorher den Webzugriff über Internet aktivieren und einen Benutzer mit Kennwort dafür festlegen. Ansonsten kommt man nicht mehr auf das Webinterface.

 

[johnydo]

Hallo nochmal,

zur Info ich habe jetzt doch wieder vom Route-Modus in den IP-Client Modus umgestellt. Was ich nicht bedacht hatte wenn ich den Router-Modus aktiviere das alle Client Zugriffe aus dem Netz der Fritzbox mit der IP der Fritzbox an der Firewall aufschlagen. Ich habe jetzt die Fritzbox in den IP-Client Modus umkonfiguriert. DHCP Server macht jetzt meine Firewall in diesem Netz. Somit kann ich die IP-Adressen in diesem WLAN Netz unterschiedlich behandeln, sprich Gäste kommen nur ins Internet und interne WLAN Geräte auch in mein internes LAN.

Funktionieren tut beides wobei für meinen jetzigen Fall der IP-Client Modus doch etwas "schöner" ist, allerdings ist der Funktionsumfang der Fritzbox dann stark eingeschränkt.

 

[PeterPawn]

Kannst Du mal ein Beispiel geben oder das noch mal klarer formulieren?

Ich verstehe nicht, wie Du WLAN-Gäste (wenn die FRITZ!Box als IP-Client kein separates Gastnetz anbietet oder macht sie das auch in diesem Modus, es gab da ja mal etwas Verwirrung in der Firmware - zumindest "nach Dokumentation" sollte sie das nicht machen, auch wenn ich die Seite der 7490 verlinkt habe) von den "normalen" WLAN-Geräten unterscheidest (wenn die auch über die FRITZ!Box "kommen") ... es sei denn, Du hast eine Liste aller MAC-Adressen der internen Geräte, ordnest anhand dieser Liste IP-Adressen zu und alles was nicht in der MAC-Liste drin steht, ist am Ende "Gast". Das verstehe ich dann wieder ... aber da wäre dann das Spoofen ja sicherlich wesentlich zu einfach.

 

[eisbaerin]

Was ich nicht bedacht hatte wenn ich den Router-Modus aktiviere das alle Client Zugriffe aus dem Netz der Fritzbox mit der IP der Fritzbox an der Firewall aufschlagen.

Darauf hatte ich dich aber schon in #3 hingewiesen.