[Frage] FritzBox 7170 für Gastzugang im Heimnetz nutzen

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
F

famichael

Neuer User
Mitglied seit
2 Jul 2007
Beiträge
99
Punkte für Reaktionen
0
Punkte
6
Hallo Forum,

wie im Titel bereits erwähnt, möchte ich mit Hilfe einer FB7170 einen Gastzugang in meinem Heimnetz erstellen.
Die Gäste sollen natürlich keinen Zugriff auf mein Heimnetz haben.

Ein Separates Kabel zum Router(FB7390) ist leider nicht vorhanden, sonst könnte ich den Gastzugang auf LAN4 aktivieren und die FB7170 direkt da anschließen.
Welche Möglichkeiten habe ich da?

Ich könnte mir vorstellen, die FB7170 per VPN an das WAN Interface der FB7390 anzubinden - nur wie stelle ich das an?

Bin für jeden Tipp dankbar.

Michael
 
famichael schrieb:
Ich könnte mir vorstellen, die FB7170 per VPN an das WAN Interface der FB7390 anzubinden - nur wie stelle ich das an?
Zum Vergrößern anklicken....
Inwiefern unterscheidet sich jetzt die Aufgabenstellung von der hier: http://www.ip-phone-forum.de/showthread.php?t=280653 ? Weil es jetzt VPN sein darf/soll?

Abgesehen davon wäre es vermutlich einfacher, die 7170 direkt zu einem passenden VPN-Anbieter (gibt ja genug auch mit kostenlosen Angeboten) zu verbinden, dann ist das Problem der Störerhaftung auch gleich vom Tisch (wenn es denn eines ist und bleibt).

Damit der Verkehr über einen IPSec-Tunnel im FRITZ!OS auch wirklich verschlüsselt wird, muß er über das Interface "dev dsl" laufen. Ob das bei "NAT hairpinning" (das käme ja zum Tragen, wenn die 7170 aus dem LAN der 7390 auf deren externe Adresse zugreifen will) auch der Fall ist, solltest Du dann vorher mittels eines Packet-Dumps klären ... ansonsten sind die Anstrengungen (soweit es das AVM-VPN betrifft) zum Scheitern verurteilt.
 
PeterPawn schrieb:
Inwiefern unterscheidet sich jetzt die Aufgabenstellung von der hier: http://www.ip-phone-forum.de/showthread.php?t=280653 ? Weil es jetzt VPN sein darf/soll?
Zum Vergrößern anklicken....
Die Topologie hat sich geändert. Es gibt nur noch einen Internetzugang, der Verschiedene Subnetze versorgt.
Abgesehen davon wäre es vermutlich einfacher, die 7170 direkt zu einem passenden VPN-Anbieter (gibt ja genug auch mit kostenlosen Angeboten) zu verbinden, dann ist das Problem der Störerhaftung auch gleich vom Tisch (wenn es denn eines ist und bleibt).
Zum Vergrößern anklicken....
Das wäre eine Möglichkeit. Kannst du einen Anbieter empfehlen? Momentan stellt ein Freifunkrouter das Gastnetz zur Verfügung. Da es zur Zeit jedoch erhebliche Performanceprobleme gibt, wollte ich vorübergehend den Gästen in unserer Ferienwohnung ein direktes Gastnetz zur Verfügung stellen. Zwecks Störerhaftung habe ich ja Name und Anschrift des Gastes.
Damit der Verkehr über einen IPSec-Tunnel im FRITZ!OS auch wirklich verschlüsselt wird, muß er über das Interface "dev dsl" laufen. Ob das bei "NAT hairpinning" (das käme ja zum Tragen, wenn die 7170 aus dem LAN der 7390 auf deren externe Adresse zugreifen will) auch der Fall ist, solltest Du dann vorher mittels eines Packet-Dumps klären ... ansonsten sind die Anstrengungen (soweit es das AVM-VPN betrifft) zum Scheitern verurteilt.
Zum Vergrößern anklicken....
Ob und wie das möglich ist, ist genau die Frage. Ich hatte in der Vergangenheit mal mit iptables zu tun - da kann mann sowas abbilden. In wieweit das aber auf der FB realisierbar ist ...?
 
"iptables" ist eben (jedenfalls ohne Kopfstände) nicht zu realisieren auf der 7390 und da wäre es ja nötig - wobei das auch wieder nicht vollkommen richtig ist mit dem "nicht zu realisieren". Das Hauptproblem dürfte der abweichende Aufbau des sk_buff im Kernel-Stack sein und der "packet accelerator". Den wirst Du bei einer 7390 mit einem halbwegs passablen WAN-Anschluß eher nicht abschalten wollen, weil dann die Box umgehend in die Knie geht.

Wobei Du ohnehin nichts dazu geschrieben hast, wie Du die 7170 nun überhaupt mit der 7390 verbinden willst ... denn daß es kein Kabel sein soll, steht ja explizit da. Ich suche jetzt keine 7170 raus ... kann die mit ihrer Firmware (das müßte ja irgendwas mit 04.8x sein) überhaupt ein anderes WLAN als WAN-Verbindung verwenden?

Ansonsten müßte man raten und vermuten, daß die gesamte Technik (hinter einen Switch) mit einem einzigen Kabel zur 7390 geht ... wenn das richtig ist, wäre es z.B. eine Möglichkeit, da einfach zwei kleine VLAN-fähige Switches auf beiden Seiten des einzigen Kabels zu verwenden und dann kann man den LAN4-Anschluß ganz einfach "virtuell" bis zum Aufstellort des AP für die Gästewohnung verlängern. Wobei ich da nun auch nicht gerade eine 7170 nehmen würde, da muß ein Client schon sehr weit herunterschalten (bis 802.11g), damit er überhaupt damit klarkommt.

Wenn das so eine Lösung "mit dem, was gerade herumliegt" werden soll, wird das wohl eher nichts werden ... außer Du willst Dich selbst ans Programmieren machen und der 7170 eine L2TPv3-Implemetierung verpassen, mit der sie dann mit der 7390 kommunizieren kann. Genauso macht das ein Repeater/AP mit dem Gastnetz am Ende auch nur ... da wird einfach das Gastnetz des Routers über einen L2-Tunnel bis zum AP verlängert und da die Daten im LAN dann nur in ihrer Verpackung unterwegs sind, werden die Netze auch voneinander getrennt, solange der Router dann nicht seinerseits die auf L2 eintreffenden Pakete wieder übers Routing ins LAN bringt (was die FRITZ!Box eben für das Gastnetz nicht macht).

Deshalb kriegt man es mit einer moderneren FRITZ!Box auch hin, das Gastnetz des Routers auf so einer (Repeater-)Box zu benutzen ... die kann eben diesen L2TPv3-Tunnel aufbauen. Das geht m.W. mit der 04.8x der 7170 nicht, daher die Notwendigkeit der Programmierung - wie weit das OpenSource ist, was da als l2tpv3d von AVM eingesetzt wird, weiß ich gar nicht genau ... das kriegst Du mit einem Blick in das OpenSource-Paket aber alleine raus.
 
PeterPawn schrieb:
Wobei Du ohnehin nichts dazu geschrieben hast, wie Du die 7170 nun überhaupt mit der 7390 verbinden willst ... denn daß es kein Kabel sein soll, steht ja explizit da.
Zum Vergrößern anklicken....
Das stimmt nicht ganz:
famichael schrieb:
Ein Separates Kabel zum Router(FB7390) ist leider nicht vorhanden, sonst könnte ich den Gastzugang auf LAN4 aktivieren und die FB7170 direkt da anschließen.
Zum Vergrößern anklicken....
Es ist also nur kein "dediziertes" Kabel vorhanden.
PeterPawn schrieb:
Ansonsten müßte man raten und vermuten, daß die gesamte Technik (hinter einen Switch) mit einem einzigen Kabel zur 7390 geht ...
Zum Vergrößern anklicken....
Das ist in etwa richtig. Da das Netzwerk gebäudeübergreifend ist, hängen noch zwei Router dazwischen.
PeterPawn schrieb:
... wenn das richtig ist, wäre es z.B. eine Möglichkeit, da einfach zwei kleine VLAN-fähige Switches auf beiden Seiten des einzigen Kabels zu verwenden und dann kann man den LAN4-Anschluß ganz einfach "virtuell" bis zum Aufstellort des AP für die Gästewohnung verlängern.
Zum Vergrößern anklicken....
Ist das mit den dazwischen hängenden Routern so einfach möglich oder gibt das eine neue Baustelle? Ich habe mich mit VLAN's noch nicht so intensiv beschäftigt.
PeterPawn schrieb:
Wobei ich da nun auch nicht gerade eine 7170 nehmen würde, da muß ein Client schon sehr weit herunterschalten (bis 802.11g), damit er überhaupt damit klarkommt.
Zum Vergrößern anklicken....
Die 7170 ist wirklich eine, die "gerade so rumliegt". Da sie aber auf dem Dachboden montiert würde und nur die LAN-Anschlüsse in der Wohnug zur Verfügung stellen soll... Außerdem war mein Gedanke, dass sich das mit dem VPN zwischen zwei FB's eventuell leichter realisieren lässt.

Dass mit dem selber Programmieren wird wohl nichts. Wenn man nichts an der .export Datei oder der VPN-Konfiguration schrauben kann, wird es wohl Essig :(

Wie war das mit den VPN Anbietern nochmal?
 
So ein kleiner 5-Port-VLAN-Router kostet 20 EUR ... und entsprechend konfiguriert wird er auf der einen Seite mit einen "normalen" LAN-Port der FRITZ!Box und zusätzlich dem Gastnetz an LAN4 verbunden (also genau das, was bei einem Router ohne VLANs ein "no-go" wäre, solange es nicht um Aggregation zweier Ports geht, was dann wieder ein anderes Thema wäre) und in diesem steckt dann auch das Kabel in das andere Gebäude. Auf der anderen Seite führt das Kabel dann wieder in einen weiteren Switch und dort stehen bei passender Konfiguration (man muß den entsprechenden Switch-Ports eigentlich nur ihre VLAN-Zugehörigkeit zuweisen, das meine ich mit passender Konfiguration) an zwei weiteren Ports dann die "Gegenstücke" zu den Kabeln zur Verfügung, die auf der Seite der 7390 in den Switch führen ... wobei man bei einem 8-Port-Switch auch 6 Ports so konfigurieren kann, daß sie zum "normalen" Port der FRITZ!Box gehören (+ 1x Uplink und 1x LAN4) und auch andere Kombinationen (3x "normal", 4x "Gastnetz") sind im Rahmen der verfügbaren 7 Ports (einen braucht halt der Uplink) problemlos zu realisieren.
 
Können die VLAN's zwischen den Endpunkten "normal" geroutet werden? Die Verbindung zwischen den Gebäuden ist eine Funkstrecke mit eigenem Subnetz (ohne NAT).
 
Nein, können sie nicht ... VLANs sind Layer2 und wenn die Funkstrecke mit einem eigenen Subnetz arbeitet, ist sie wohl eher keine transparente Bridge, sondern irgendwas ab/auf Layer3, wenn sie nicht nur L2 tunnelt (wie das z.B. irgendwas mit einem TAP-Adapter und OpenVPN machen könnte). Aber von der Funkstrecke war bisher auch noch nicht die Rede, oder? Habe ich das nur überlesen? Das ist irgendwie "drips&draps" ... gibt es sonst noch irgendetwas Wissenswertes?

So, wie ich das inzwischen sehe, ist es wohl am besten, Du besorgst Dir einfach eine weitere FRITZ!Box (aber eben keine aus der Grabbelkiste, die vor 5 Jahren schon vollkommen überholt war) und dann kannst Du mit der das Gastnetz der Router-Box weiterreichen. Alles andere macht wohl wenig Sinn (und ich gebe zu, ich habe etwas die Lust verloren, mich da einzudenken) ... und die am schnellsten zu realisierende Lösung mit dem geringsten Aufwand dürfte es auch noch sein. Welche Boxen jetzt konkret das Gastnetz einer 7390 als Border-Router korrekt weiterleiten könnten, weiß ich auch nicht genau ... zwei 7490 könn(t)en es jedenfalls.
 
Ich wollte nicht gleich am Anfang mit zu vielen Infos verwirren. Tut mir Leid.
Meine Topologie ist nicht 0815.

Das Internet kommt in Gebäude 1 an Subnet 1 an. Es folgt eine geroutete WLAN-Strecke mit Subnet 2. In Gebäude 2 gibt es dann Subnet 3. Man hat mir in grauer Vorzeit mal beigebracht, die Netze zu segmentieren damit sich der Broadcast im Rahmen hält. Das geroutete Subnet 2 für die WLAN Strecke (200m 5GHz) ist angelegt, da mir im Falle einer Bridge mein interner Netzverkehr in der Landschaft herumschreien würde.

Im Moment hängt im Subnet 3 der Freifunk-Router, der ohne mein Zutun seine Arbeit verrichtet und das Gastnetz zur Verfügung stellt. Leider hat das Freifunknetz momentan nicht die Performance, die ich mir wünsche. Daher würde ich den Freifunk-Router gern temporär ersetzen, ohne dass ein Gast in Subnet 3, Subnet 2 oder Subnet 1 Schaden anrichten kann.

Die Frage ist jetzt einfach, welche Möglichkeiten gibt es und mit welchem Aufwand sind diese verbunden.

Mein erster Gedanke war, ähnlich wie es der Freifunkrouter tut, eine alte FB zu nehmen und diese per VPN-Tunnel über das interne Netz irgendwie an die WAN Schnittstelle des Routers anzuklemmen, der in Subnetz 1 die Verbindung zum Internet macht (übrigends nicht per DSL, sondern über LAN1 an ein Glasfasermodem - falls das von Wichtigkeit ist).

Dein Vorschlag war, den Gastzugang der Fritzbox aus Subnet 1 durchzureichen. Funktioniert denn das mi zwei 7490 über Subnet-Grenzen hinweg?

Ein weiterer Vorschlag war, den Traffic des Gastnetzes komplett über VPN an einen VPN-Anbieter auszuleiten. Für dieses Szenario habe ich noch keine Anleitung gefunden.

Ist es vielleicht eine gute Idee, die FB, die ins Internet routet, gegen etwas anderes auszutauschen (open WRT o.Ä)?


Mir würde es helfen (damit ich das Rad nicht neu erfinden muss) die Möglichkeiten zusammenzutragen und die Vor- und Nachteile abzuwägen.
Falls Hardware beschafft werden muss, ist dass nicht unbedingt ein Ausschlusskriterium.
Die konkrete Umsetzung ist dann erst der zweite Schritt.

Falls du noch nicht die Lust verloren hast, würde ich mich über Anregungen freuen.
 
Nein, da wird das mit dem L2TP wohl eher nichts werden, denn jetzt sind es ja drei Subnets ... vorher hatte ich es nur so verstanden, daß das Subnet2 als Transfer-Netz verwendet wird und hatte mir irgendwas als Bridge von einem Gebäude in das andere vorgestellt, wo L3-Broadcasts noch in derselben Domain angekommen wären - jetzt verstehe ich, daß Subnet1 und Subnet3 auch noch unterschiedlich sind, damit kommen schon die UPnP-Broadcast, mit denen die Fähigkeit zur L2TPv3-Verwendung annonciert wird, nicht mehr an.

Was ich jetzt nicht verstehe ... wenn Du von einem "Freifunk-Router" redest, was ist dann eigentlich gemeint? Betreibt jemand in der Nachbarschaft einen solchen und die Gäste in der Ferienwohnung benutzen dann diesen freifunk.net-Zugang oder hast Du selbst einen entsprechenden Router? Bei letzterem verstehe ich dann wieder nicht, was da "Performance-Probleme" verursachen könnte - insofern tippe ich eher auf den Nachbarn.

Dann ist es doch aber vielleicht sogar eine gute Idee, Deinerseits einen passenden kleinen Router zu besorgen und den mit der Software für einen eigenen freifunk.net-Node auszustatten, der kann ja dann auch wieder über Deine Kabelverbindung angeschlossen werden und das Tunneln über (ausländische) VPN-Anbieter beherrscht der dann auch gleich noch von sich aus (was den Traffic ja auch aus Deinen Netzen heraushält, denn da ist der Endpoint bei Dir ja der eigene Freifunk-Router).

Der Nachteil solcher freifunk.net-Nodes ist es halt, daß da ggf. irgendwelche Abfragen der Geo-Location das falsche Ergebnis liefern und damit Streaming-Angebote teilweise nicht funktionieren usw. - aber am Ende würde eine weitere freifunk.net-Station ja wieder für alle nützlich sein (es sei denn, Du willst nicht, daß andere über Deinen FTTx-Anschluß - insofern war die Info schon nützlich, daß das kein ranziges DSL6000 irgendwo in der Pampa ist - das Internet nutzen können).
 
PeterPawn schrieb:
Was ich jetzt nicht verstehe ... wenn Du von einem "Freifunk-Router" redest, was ist dann eigentlich gemeint? Betreibt jemand in der Nachbarschaft einen solchen und die Gäste in der Ferienwohnung benutzen dann diesen freifunk.net-Zugang oder hast Du selbst einen entsprechenden Router? Bei letzterem verstehe ich dann wieder nicht, was da "Performance-Probleme" verursachen könnte - insofern tippe ich eher auf den Nachbarn.
Zum Vergrößern anklicken....

Ich betreibe seit ca. 1Jahr einen eigenen Freifunk Node bei Freifunk Stuttgart. Was da die Performance-Probleme verursacht ...:confused: Die Jungs da arbeiten schon daran, aber ich denke, dass wir mit unseren 680 Online-Nodes und 2100 Clients ein Scalierungsproblem haben. Ich bin Feuer und Flamme für das Projekt gewesen, aber im Moment lässt sich das Netz nicht Nutzen.

Deshalb suche ich eine Möglichkeit, dass Gastnetz vorübergehend mit allen bekannten Risiken der Störerhaftung selbst zur Verfügung zu stellen, ohne an meinem Netz gravierende Änderungen vorzunehmen.

Eine Idee, die ich gerade verfolge ist:
Der Router, der das Gateway von Subnet 3 nach Subnet 2 ist, ist eine Nano Station M5. Da kann man eine Menge einstellen. Vielleicht bekomme ich den mittels IP-Alias und Firewallregel dazu, den Traffic aus dem Gastnetz, der für Subnetz 1,2 und 3 bestimmt ist, zu blockieren :confused:

Nur wieder so 'ne Idee um sich den Abend um die Ohren zu schlagen ;)

- - - Aktualisiert - - -

famichael schrieb:
Eine Idee, die ich gerade verfolge ist:
Der Router, der das Gateway von Subnet 3 nach Subnet 2 ist, ist eine Nano Station M5. Da kann man eine Menge einstellen. Vielleicht bekomme ich den mittels IP-Alias und Firewallregel dazu, den Traffic aus dem Gastnetz, der für Subnetz 1,2 und 3 bestimmt ist, zu blockieren :confused:
Zum Vergrößern anklicken....

Scheint echt zu funktionieren :p

Ein IP-Alias in der Nanostation für die WAN Seite der FB des Gastnetzes, als Firewallregel erst ein Accept bei der Adresse der FB auf den IP-Alias (wg. DNS) und ein Drop auf 192.168.0.0/16. Nicht zu vergessen, die Routen auf das Netz des IP-Alias in den vorgeschalteten Routern und schon ist das Verhalten wie erwartet.

Wenn das Wetter besser ist dann noch auf das Dach klettern, die FB für die Gäste an den 2. LAN Port der M5 anstöpseln, die Interfaces aus der Bridge nehmen und einzeln Konfigurieren - dann lässt sich sogar noch Traffic Shaping für das Gästenetz einschalten.

Ganz einfach, wenn man mal drauf gekommen ist. :saufen2:

Jetzt nur noch hoffen, dass die Dödel in Berlin das mit der Störerhaftung noch hinbekommen und bis dahin das WLAN Passwort nur gegen Identitätsnachweis herausrücken.:mad:
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 710 (Mitglieder: 17, Gäste: 693)

Neueste Beiträge

Statistik des Forums

Themen
246,663
Beiträge
2,255,533
Mitglieder
374,609
Neuestes Mitglied
MJueptnerMH
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück