Firewall-DMZ aufbauen mit Fritzboxen?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
N

Netzonline

Mitglied
Mitglied seit
12 Dez 2012
Beiträge
755
Punkte für Reaktionen
67
Punkte
28
Hallo zusammen,

hat jemand Erfahrung oder Tipps/Tricks/ gute Infos wie ich mir für Zuhause mit Fritzboxen eine Firewall-Landschaft (DMZ light) aufbaue?

Wie habe ich es mir vorgestellt?

*** Version 1 mit 2 FB (Fritzboxen)***
Ich habe ein Haupt-FB -> hinter diese Fritzbox ist das normale LAN mit versch. Client

die Haupt-FB soll weiterhin als DHCP -Server dienen.

Die Firewall (Fw)-FB könnte eine "gefritze" FB 7170/7270 sein wo man sich ein Freetz einspielt - gibt es hier etwas zu beachten?

*** Version 2 mit 3 FB ***
oder macht es Sinn einen Einwahlrouter fürs Inet zu nehmen sprich eine normle FB -dann eine FB mit einem Freetzimage für Fw -->dann die normale FB für das LAN

Thx..
 
Muss es denn unbedingt eine DMZ mit 2 Geräten sein? Alternativ wäre es doch möglich, an Lan-Port 4 Ein Gast-Netzwerk zu aktivieren und dort die Hosts mit öffentlichen Zugang rein...
 
Hallo MaverrickTM,

wie meinst du das genau..die Idee hat auch etwas?
 
Soweit ich weiss, nie selbst probiert, sollte es funktionieren. Mit min. der 7390 kannst Du an Lan-4 ein Gast-Netzwerk aufmachen. Geht irgendwo in den Netzwerkeinstellungen. Daran hängst Du Deinen host und gibst diesen einfach frei. Ist quasi eine DMZ nur halt mit einem Gerät. Ich weiss nur nicht, ob Du von intern an die DMZ kommst. Von extern solltest Du jedoch ein Port-Forwarding in die DMZ machen können. Die DMZ selbst hat auch keinen Zugriff auf das interne Netzwerk.
 
Gast-LAN und -WLAN sind komplett gekapselt und haben nur Internetzugriff, eine Portfreigabe ins Gast-Netz dürfte auch nicht möglich sein. Das ist perfekt für "Gäste", die gar nichts vom restlichen Netzwerk sehen sollen.
 
Fehlt nurnoch sowas wie ein Quota, Black/Whitelists.
Denkt an die kommende Drossel!
Apropos Drossel, WLAN n und g sind zurzeit am schnellsten.
Ah, geht nicht, kann man nicht seperat vom LAN-WLAN einstellen. (FB7360SL)
Ich meine langsameres a oder b WLAN.
Aber zur Not könnte ein "alter" WLAN a b fähiger AP an LAN4 am Router und als Gastzugang aktiviert werden.
 
Zuletzt bearbeitet:
Hi zusammen,

@MaverrickTM., die Idee hat was...mit der 7390..ich überleg wie sich das am umsetzen kann...für Gäste brauche ich nichts (Stand heute). MitVLan im Netz..? Das wäre nicht das Thema...
Wofür soll das gut sein die Fw./DMZ-> als Spiel/Spass/Hobby/Testen und auch klar die Sicherheit etwas zu erhöhen ist aber mehr auf den hinteren Rängen zusehen
Zum Thema WLAN-> dieses wird bei mir reduziert soweit wie es geht und sinnvoll es ist und wenn dann möchte ich schon 300 MBit/s Zuhause haben wenn es die Clients zulassen.
 
Wie geschrieben, ich hab es nie so probiert - daher weiss ich auch nicht obs funktioniert. Mir würde jedoch nichts einfallen, was dagegen spricht. Wenn Du es wirklich so probierst - ist ja nicht sonderlich aufwendig, dann berichte mal ;)

Wg. der Trennung: Wenn Dir die logische Trennung reicht, dann natürlich via VLAN. Müsstest dann zwei Uplinks zum Switch führen (AFAIK kann die FB am Switch nicht taggen). Entweder taggst Du das Frame im Switch und führst es weiter oder Du löst das port-based... Beides möglich.
 
wie gesagt ich suche nach Ideen & Tipps..schon mal danke für diesen, der hat was!! Ich spiel mal für mich mal pro & contra durch. Eigentlich wollte ich ein Stück Blech/Hw. vor dem Router setzen, kennst das sicherlich...:)
 
Abend
Das schnellste was ich hier bei mir gesehn habe waren 18 Megabyte/Sekunde.
Das kommt so ungefähr an die 150 Mbit/s ran, die mir für die Verbindung angezeigt wird.
Aber nur von Festplatte PC auf Festplatte Netbook,durch die Luft, sozusagen.
Bei VDSL 50/10 übers Internet natürlich niemals.
Und weil sich die b g n Standarts des normalen und des Gast-WLANs nicht seperat einstellen lassen,
einen entsprechenden AP an LAN4 und unter klick --> [x] Gastzugang für LAN 4 aktiv
Bedenke auch den Vorteil der seperaten Ein/Auschalt Kombinationen. :doktor:
Ein gefreetzter AP mit voller iptables Austattung inklusive external und und und.... :rolleyes:

Was mich noch fraglich quält: Gibt es noch Geräte die den Standart b benutzen?
 
Zuletzt bearbeitet:
Hallo,

muss ich bei den gefreetzter AP was beachten/bedenken?
Geräte mit a..nein nicht das ich wüsse..
 
Manche Abhängigkeitsauflösungen werden vielleicht nicht immer dem chaotischen an/ausknipsen von Optionen folgen können.
Replace Kernel geht nur mit von AVM freigegebenen Kernelsourcen (Fritz!OS .22 und drunter).
Mit den Modulen ist dass auch nochmal sone Sache.
Ich will hier aber nicht den Teufel an die Wand malen.
 
ok..ich schau mal was so kommt und geht..notfalls bin ich um Erfahrungen reicher :)
 
Hallo,
ich würde mich zu dem Thema gerne einklinken. Mein Wunsch geht in die gleiche Richtung. Ich habe eine FB7390 und möchte an das aktivierte Gast-LAN an Port 4 eine IPFIRE hängen. Das Gast-LAN wird zusätzlich ein eigenes VLAN (VLAN fähiger Switch ist vorhanden). Die IPFIRE hat zusätzlich eine Anbindung in das normale LAN und bietet über ein drittes Interface eine DMZ an. Soweit läuft das alles bereits und funktioniert wie gewünscht. Mein einziges Problem ist, daß ich keine Portforwardings an das Gast-Lan machen kann. Die Fritz!Box verweigert die Einrichtung mit dem Hinweis, daß es sich nicht um eine Adresse im normalen LAN handelt. Damit habe ich derzeit keine Möglichkeit von außen auf die DMZ und weitere Dienste zuzugreifen.
Ist das mit Bordmitteln der Box wirklich nicht möglich?

Gruß
GrafKrollock
 
Hi zusammen,

das ähnliche verfolge ich auch gerade nur ohne IPFire ggf. mit einer FB oder einer TP Link Box davor.

@ GrafKrollock, hast du mal paar Tipps wie du das genau mit der FB7390 und dem VLan gemacht hast, da ich das gleiche für einen spez. PC plane.

Kann ich div. Portfreigaben dem Gast LAN 4 zuweisen ist das möglich?

Der PC der am LAN 4 (GAST) hängt hat div. Port-Freigaben und die restlichen PC sind normal im LAN drin, das Ziel ist es, ich möchte den einen spez. PC vom restlichen LAN her trennen, dieser benötigt aber den einen oder anderen freien Port-> ist das möglich?.

Danke
 
Hi Netzonline,
das mit der ipfire habe ich zwischenzeitlich wieder verworfen. Nachdem ich von AVM die Aussage bekommen habe, daß ein Forwarding auf das Gast-Lan nicht vorgesehen ist, war mein Konzept so nicht realisierbar.
Ich habe nun eine FB 3390 als Router davor geschaltet. Diese stellt nun über Port 4 das Gast-Lan zur Verfügung. Dieses trenne ich über einen Cisco SGS200 in ein eigenes VLAN. Das Netz hinter der 3390 ist nun meine DMZ. Dahinter kommt eine FB 7390 die das interne LAN versorgt.

Hier mal eine Skizze wie das ganze verkabelt ist.
Netzplan.png


Gruß
GrafKrollock
 
Zuletzt bearbeitet:
Hallo zusammen,

tolles Konzept!!!

Die FB 1 soll z.B. die IP Adresse 192.168.2.1/24 und die FB 2 soll die IP Adresse z.B. 192.168.10.1/24 bekommen.

Welche Einstellung verwendet man auf der 2ten FB wo ich beide IP Adressen hinterlegen kann einmal die IP 192.168.2.2/24 und die 2te IP Adresse die 192.168.10.1/24 mit DHCP Server?

Eigentlich soll dieses genau so wie auf dem Plan GrafKrollock konfiguriert werden.

Konfiguriere ich die FB 2 als IP-CLient sind beide im gleichen Netz z.B. 192.168.2.2/24 somit habe ich in diesem Fall nichts gewonnen.

Und eine Route brauche ich wohl auch nicht einrichten.

Besten Dank!
 
Nimm die Option direkt über dem IP-Client Modus - Internetverbindung selbst aufbauen.
 
Hi Andiling,

den Eintrag habe ich gemacht -dann fkt. wie von mir gewünscht z.B. Netzwerk-> IP Adresse einstellen z.B. 192.168.2.2/24 mit DHCP Server

Welche Einstellung setze ich unter Internetzugang? "wenn ich Internetverbindung selbst aufbauen eingestellt habe" -> Verbindungseinstellungen ganz unten IP Adresse 192.168.2.2 / 24 und Gw plus DNS als 192.168.2.1 ?

Der LAN Port an FB 1 und FB 2kann freigewählt werden ?

Ist noch ein Knoten im System..:)

Gruß
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 529 (Mitglieder: 12, Gäste: 517)

Neueste Beiträge

Statistik des Forums

Themen
246,200
Beiträge
2,247,948
Mitglieder
373,763
Neuestes Mitglied
Netzmaster
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück