[Frage] Echte DMZ mit 7170 Freetz-1.2

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
cmonty14

cmonty14

Mitglied
Mitglied seit
22 Jan 2007
Beiträge
378
Punkte für Reaktionen
0
Punkte
16
Hallo!

Ich möchte einen Webserver betreiben (HW: Raspberry PI, Webservice: Owncloud), mein Heimnetz aber möglichst gut absichern.
In diesem Zusammenhang kam ich auf die Idee, eine (echte) DMZ einzurichten, in der der Webserver läuft.

Auf Basis der vorhandenen Netzwerk-Geräte plane ich diese Netzwerk-Architektur:
Code: 
                                                             / FB7390  
WAN --- Kabel-Modem --- FB7170 (mit Freetz-1.2 Ver. 10019) --
                                                             \ Raspi

Die FB7170 läuft dann im "Client-Mode":
Port 1 -> WAN (Internet)
Ports 2-3 -> LAN
Port 4 -> DMZ

Die FB7390 läuft ebenfalls im "Client-Mode", d.h. ich wähle Internet -> Zugangsdaten -> Vorhandener Zugang über LAN aus.
Damit ist die FB7390 im selben (internen) Netzwerk, das von der FB7170 an den Ports 2-3 bereitgestellt wird.

Ich habe mich in diesem Thread mal eingelesen.

Fragen:
1. In den Release-Notes der Firmware für FB7170 lese ich hier:
Code: 
Verbesserungen in der 29.04.80:
System: keine Unterstützung mehr für getrennte IP-Netzwerke (vorhandene Einstellung wird bei Update nicht verändert)
Muss ich das Image initial mit einer älteren Version, also 29.04.76 bauen, um die Funktion "Switch Mode wechseln" mittels Paket cpmaccfg nutzen zu können?

2. Falls Frage 1. mit ja zu beantworten ist, wie erstelle ich ein Image auf Basis von 29.04.76? Ist es ausreichend, die Dateien "FRITZ.Box_Fon_WLAN_7170.29.04.76.image" und "fritzbox7170-source-files-04.76.tar.gz" im Verzeichnis /dl/fw vorzuhalten?

3. Falls Frage 1. mit ja zu beantworten ist, kann ich anschließend auf ein aktuelles Release 29.04.87 upgraden OHNE dass die Funktion verloren geht?

4. Wenn ich aus dem Heimnetzwerk auf den Webserver (in der DMZ) zugreifen will, dann muss ich dies mittels iptables steuern?

5. Gibt es eine einfachere und gleichzeitig sichere Alternative?

THX
 
Zuletzt bearbeitet:
Wenn die vorhandene Einstellung nicht geändert wird, reicht es, wenn Du weißt, wo genau diese Einstellung gespeichert wird. Wenn Du es nicht weißt, reicht eine ältere AVM Firmware, um die Einstellung zu ändern.

Ob die 7170 das überhaupt kann, hängt von der Hardware-Version der 7170 ab.
Viel einfacher, und ganz ohne Freetz, wäre es, die 7390 auf "Internetzugang über LAN 1", "Internetverbindung selbst aufbauen", "Zugangsdaten werden nicht benötigt" einzustellen.
 
Sorry, aber ich verstehe deine Antwort nicht.
Was meinst du genau mit den Einstellungen?

Wie genau soll die Alternative mit FB7390 aussehen? Wo wäre in diesem Fall die DMZ?
Der Port 1 wird ja belegt von der Verbindung zum Kabel-Modem.
Jede Fritzbox, die nicht als Modem läuft, wird doch über den Port 1 mit dem Netzwerk-Router verbunden.
 
Zuletzt bearbeitet:
Die Einstellung "getrennte IP-Netzwerke" wird vermutlich irgendwo in der ar7.cfg gespeichert. Wenn man weiß, welcher Eintrag es ist, kann man ihn auch von Hand setzen, unabhängig von der Firmware.
Wenn man es nicht weiß, installiert man eine ältere original Firmware, mit der man noch die Einstellung ändern kann. Dann sichert man die ar7.cfg, ändert die Einstellung, und sucht den Unterschied zwischen gesicherter ar7.cfg und geänderter ar7.cfg. Der letzte Schritt ist optional, aber dann weiß man für später, wie sich die Einstellung äußert. dann installiert man die aktuelle AVM oder Freetz Firmware, die Einstellung bleibt laut AVM bestehen.

Die Alternative mit der 7390 sollte so aussehen, wie ich es beschrieben hatte. Die 7390 ist damit auch Router mit aktiver Firewall. Die DMZ ergibt sich in diesem Fall automatisch dadurch, dass die 7390 keine Verbindungen von Außen annimmt, solange sie nicht explizit dazu konfiguriert wird. Es spielt somit keine Rolle, ob die 7170 etwas an die 7390 weiter gibt oder nicht.
 
Kannst du bitte deine Option mit der 7390 in folgendem Zusammenhang weiter erläutern:
Ich möchte "von außen" auf die 7390, genau genommen mittels OpenVPN, auf das Heimnetz zugreifen.
Desweiteren möchte ich die AVM-Fernwartung nutzen. Hierfür habe ich den Default-Port 443 geändert.
Warum?
Weil ich alle https-Zugriffe (also Port 443) ausschließlich auf den Webserver weiterleiten möchte.

Die entscheidende Frage zu dieser Thematik ist:
Wenn sich jemand Zugriff auf den Webserver verschafft, hat er dann auch Zugriff auf das Heimnetz, wenn ich "nur" mit der 7390 arbeite?
Wäre es in diesem Zusammenhang nicht besser, eine dedizierte DMZ mit der zusätzlichen 7170 aufzubauen?

THX
 
Das mit den getrennten IP Netzen betrifft aber nur das WLan. Bei den alten Firmwares gab es die Möglichkeit dem WLan ein anderes IP Netz zu geben als den LAN Anschlüssen. Sollte also für dich vollkommen egal sein, ob es diese Funktion noch gibt oder nicht.
 
c.monty schrieb:
Wenn sich jemand Zugriff auf den Webserver verschafft, hat er dann auch Zugriff auf das Heimnetz, wenn ich "nur" mit der 7390 arbeite?
Zum Vergrößern anklicken....
Wenn die 7390 in der genannten Konfiguration betrieben wird, hat jemand, der sich Zugriff auf den Webserver verschafft, genauso viele Möglichkeiten, auf die 7390 zuzugreifen, wie jemand, der an einem beliebigen Rechner im Internet sitzt auf eine 7390 zugreifen kann, die per DSL online ist. Für die 7390 ist die 7170 und alles, was daran hängt, genauso vertrauenswürdig wie jeder andere Rechner im Internet.
 
Bedeutet das im Umkehrschluss, dass die Netzwerk-Architektur
Code: 
WAN --- Kabel-Modem --- FB7390 (=Router) --- FB7170 --- Raspi
                         (Heimnetz)           (DMZ)
"sicherer" ist?
 
"Sicher" ist gar nichts.
Sicher ist aber, dass in der Konfiguration Dein Raspi Zugriff auf die 7390 und alle daran angeschlossenen Geräte hat,
 
Hm... und wie kann ich den Zugriff auf die 7390 (und alle daran angeschlossenen Geräte) zumindest beschränken?
Firewall und/oder IP-Tables?
 
OK. Vielen Dank.
Dies entspricht ja der von mir initial geplanten Netzwerk-Architektur.

Frage:
Wie stelle ich sicher, dass die FB7390 als Router läuft, und die FB7170 nicht?

Danke.
 
Hallo!

Ich habe jetzt ein Image für die FB7170 auf Basis der AVM FW 04.76 erstellt:
Obleich ich Stable-1.2 ausgecheckt habe mit der Revision 4253, zeigt Freetz die Version freetz-devel.

Jedenfalls verwendet das Image den Kernel 2.6.13.1-ohio.

Um die DMZ einzurichten habe ich das Paket Cpmaccfg ausgewählt. Die CGI dieses Pakets sieht ansprechend aus, leider kann ich damit aber die Konfiguration nicht nach meinen Anforderungen vornehmen:
LAN 1 -> ATA (FB7170 ist direkt mit Kabel-Modem verbunden und läuft als Router)
LAN 2 / LAN 3 -> internes Netzwerk
LAN 4 -> DMZ

Soweit ich das Beispiel hier verstanden habe, sollte diese Konfiguration passen:
Code: 
cpmaccfg ssms -w 1 wan 0x21 eth0 0x26 eth1 0x28 
cpmaccfg ssm special
ifconfig eth1 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255 up

Das Problem besteht darin, dass nach dem Befehl "cpmaccfg ssm special" die FB7170 einfriert.
Nachdem ich sie vom Stromnetz genommen habe, zeigt sie nach dem Booten das an:
Code: 
/var/mod/root # cpmaccfg gpm
Port 1: on
Port 2: save
Port 3: save
Port 4: save
/var/mod/root # cpmaccfg gsmc
Devices: 1
WAN is port: (none)
Device 1: name=eth0, portmask=0x2f

Dies entspricht dem, was auch die CGI anzeigt.

Frage:
Warum wird die Konfiguration mittels Kommandozeile nicht übernommen?
Warum friert die FB7170 ein?

THX
 
Zuletzt bearbeitet:
Bist du sicher mit der Version?!?
Bei mir führt das Auschecken von stable 1.2 zur Revision 10302
Code: 
svn co http://svn.freetz.org/branches/freetz-stable-1.2
... snipp ..
 U   freetz-stable-1.2
Ausgecheckt, Revision 10302.
Ich würde das nochmal versuchen, wenn du wirklich Revision 4253 hast.
 
Ja, du hast Recht.
Ich ging fälschlicherweise davon aus, dass ich von Stable 1.2 auch eine bestimmte Revision auschecken kann.
Die wird benötigt, damit das Image auf Basis der AVM FW 04.76 gebaut wird.
Unter dieser Voraussetzung muss ich auf trunk zurückgreifen und kann nicht Stable 1.2 verwenden.
 
Du hast vielleicht Recht: die Box friert nicht ein, sondern die Konfiguration wird übernommen.

Jedenfalls habe ich jetzt eine direkte Verbindung zwischen PC und FB7170 für die Funktions-Tests eingerichtet .

LAN Port 1 ist verbunden mit dem Netzwerk-Router (FB7390) und und die FB7170 bezieht die IP-Adresse 192.168.178.2. Sie läuft also im Client-Mode (oder auch ATA).
Der PC wird nacheinander verbunden mit den LAN Ports 2-4.

Bei einer Verbindung mit LAN Ports 2-3 erhält der PC per DHCP die IP-Adresse 192.168.178.20.
Soweit also alles ok.
Allerdings kann ich den Router vom PC aus nicht mit Ping erreichen.

Wenn ich mich per SSH auf die FB7170 verbinde, kann ich den Router anpingen, allerdings mit einer hohen Fehlerrate:
Code: 
root@fritz:/var/mod/root# ping 192.168.178.1
PING 192.168.178.1 (192.168.178.1): 56 data bytes
64 bytes from 192.168.178.1: seq=8 ttl=64 time=12.231 ms
64 bytes from 192.168.178.1: seq=9 ttl=64 time=1.119 ms
64 bytes from 192.168.178.1: seq=10 ttl=64 time=1.103 ms
64 bytes from 192.168.178.1: seq=13 ttl=64 time=1.110 ms
64 bytes from 192.168.178.1: seq=14 ttl=64 time=1.126 ms
64 bytes from 192.168.178.1: seq=15 ttl=64 time=1.133 ms
64 bytes from 192.168.178.1: seq=16 ttl=64 time=1.117 ms
64 bytes from 192.168.178.1: seq=44 ttl=64 time=12.151 ms
64 bytes from 192.168.178.1: seq=45 ttl=64 time=1.123 ms
64 bytes from 192.168.178.1: seq=46 ttl=64 time=1.258 ms

--- 192.168.178.1 ping statistics ---
47 packets transmitted, 10 packets received, 78% packet loss
round-trip min/avg/max = 1.103/3.347/12.231 ms

Die Konfiguration von Cpmaccfg aus der CGI ist:
Code: 
root@fritz:/var/mod/root# cpmaccfg gpm
Port 1: save
Port 2: save
Port 3: save
Port 4: save

root@fritz:/var/mod/root# cpmaccfg gsmc
Devices: 2
WAN is port: (none)
Device 1: name=eth0, portmask=0x27
Device 2: name=eth1, portmask=0x28

root@fritz:/var/mod/root# ifconfig
cpmac0    Link encap:Ethernet  HWaddr 00:04:0E:8C:8B:9F
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2377 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3620 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:182367 (178.0 KiB)  TX bytes:425215 (415.2 KiB)

eth0      Link encap:Ethernet  HWaddr 00:04:0E:8C:8B:9F
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:2377 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3108 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:128
          RX bytes:182367 (178.0 KiB)  TX bytes:386659 (377.5 KiB)

eth1      Link encap:Ethernet  HWaddr 00:04:0E:8C:8B:9F
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:512 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:128
          RX bytes:0 (0.0 B)  TX bytes:38556 (37.6 KiB)

lan       Link encap:Ethernet  HWaddr 00:04:0E:8C:8B:9F
          inet addr:192.168.100.4  Bcast:192.168.100.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:2274 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3117 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:133930 (130.7 KiB)  TX bytes:374689 (365.9 KiB)

lan:0     Link encap:Ethernet  HWaddr 00:04:0E:8C:8B:9F
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:32 errors:0 dropped:0 overruns:0 frame:0
          TX packets:32 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2643 (2.5 KiB)  TX bytes:2643 (2.5 KiB)

Frage:
Warum ist kein WAN Port konfiguriert?
Kann dies überhaupt mittels CGI eingerichtet werden?
Warum ist vom PC kein Ping zum Router möglich?
Wenn der PC mit LAN4 Port verbunden ist, bezieht er keine IP-Adresse? Warum? Muss hierfür ein DHCP-Server auf der FB7170 laufen?

THX
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 787 (Mitglieder: 34, Gäste: 753)

Neueste Beiträge

Statistik des Forums

Themen
246,666
Beiträge
2,255,630
Mitglieder
374,622
Neuestes Mitglied
Die Daltons
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück