FritzBox 7490 unterschiedliche WLAN-Netze

[KILLAHILL72]

Guten Morgen Zusammen,

ich nutze derzeit in meiner IT-Landschaft zwei Router (Fritzbox).

Einer ist hinter der DMZ (nachDMZ-Netz ) und fungiert als Accesspoint für mobile Geräte. Der andere Router befindet sich vor der DMZ (vorDMZ-Netz) und versorgt mich mit Internet. Es sind zwei unterschiedliche Netze.

Nun würde ich gerne, wenn möglich nur einen Router nutzen, welcher physikalisch mit dem Netz vor der DMZ (LAN Port1) und nach der DMZ (LAN Port2) verbunden ist. Der Router sollte nun das vorDMZ-Netz von dem nachDMZ-Netz trennen. Das nachDMZ-Netz sollte nur über das WLAN erreichbar sein.

Ich hoffe ihr konntet mir folgen ?!

Meine Frage wäre, ob es in irgendeiner Form möglich ist mein Vorhaben bzw. meine Optimierung mit der Fritzbox 7490 zu realisieren?

Für eure Rückmeldungen bedanke ich mich schon mal.

 

[gboelter]

Einer ist hinter der DMZ (nachDMZ-Netz ) und fungiert als Accesspoint für mobile Geräte.

Auch auf die Gefahr hin, dass ich dich falsch verstanden habe, warum nimmst du dafuer nicht den Gastzugang? Dann hast du doch zwei Netze die voneinander getrennt sind.

 

[KILLAHILL72]

Weil ich gerne mit den mobilen Geräte auf andere Systeme die im nachDMZ-Netz verbunden sind zugreifen möchte.

 

[gboelter]

Weil ich gerne mit den mobilen Geräte auf andere Systeme die im nachDMZ-Netz verbunden sind zugreifen möchte.

Das kannst du, wenn du in den Netzwerkeinstellungen 'Gastzugang fuer LAN 4 aktiv' aktivierst und fuer die 'andere Systeme' dann an Port 4 einen Switch haengst.

 

[KILLAHILL72]

Wäre das Netz dann getrennt vom Port 1-3 ?
Wäre es möglich ein IP-Netz und Gateway für den Gastzugang zu bestimmen?

Ich nutze nämlich nachDMZ-Netz eine Firewall:

Accesspoint (fritzbox)----+LAN-Geräte-----192.168.0.X----Switch----Firewall-----DMZ---192.168.178.X----Router (Modem)

 

[gboelter]

Wäre das Netz dann getrennt vom Port 1-3 ?
Wäre es möglich ein IP-Netz und Gateway für den Gastzugang zu bestimmen?

Der IP-Bereich ist standardmaessig 192.168.179.20ff, wenn DHCP genutzt wird. Dass laesst sich aber mit ein wenig Geschick aendern.

 

[KILLAHILL72]

Der IP-Bereich ist standardmaessig 192.168.179.20ff, wenn DHCP genutzt wird. Dass laesst sich aber mit ein wenig Geschick aendern.

Wäre es also möglich, den Gastzugang so einzurichten, dass die mobilen Geräte ihre IP Adresse von der Firwall (nachDMZ) bekommen?
Für mich ist es wichtig, dass die Netze sowohl physikalisch als auch technisch voneinander getrennt bleiben.

 

[gboelter]

Wäre es also möglich, den Gastzugang so einzurichten, dass die mobilen Geräte ihre IP Adresse von der Firwall (nachDMZ) bekommen?

Das sollte kein grosses Problem sein. Im Zweifel dem DHCP-Server in der Firewall das Flag 'authoritative' geben.

Für mich ist es wichtig, dass die Netze sowohl physikalisch als auch technisch voneinander getrennt bleiben.

Genau dafuer ist laut AVM der Gastzugang gedacht.

Aber warte mal ab, da kommen garantiert noch ein paar Meinungen von Leuten dazu, die weit mehr Ahnung von der Fritz!Box haben als ich.

 

[andiling]

Damit die Geräte im Gastzugang miteinander kommunizieren können ist folgende - normalerweise deaktivierte - Einstellung zu setzen:

Die mit dem Gastzugang verbundenen Geräte dürfen untereinander kommunizieren

Auch lässt sich der DHCP Server für den Gastzugang weder konfigurieren noch abschalten. Du hast also zwei DHCP Server im Netz und die IP wird von dem bezogen, der schneller antwortet. Die authoritative Einstellung, welche im Übrigen Standard sein sollte, ändert an diesem Umstand herzlich wenig sondern sorgt nur dafür, dass sich das Gerät dann eine neue IP holt. Unterm Strich ist das aber definitiv ein suboptimales Szenario.

 

[KILLAHILL72]

Also macht es wohl weiterhin Sinn es hierbei zu lassen:

Accesspoint (fritzbox)----+LAN-Geräte-----192.168.0.X----Switch----Firewall-----DMZ---192.168.178.X----Router (Modem)

 

[koyaanisqatsi]

Moins

Ich möchte noch was zu Bedenken geben...

Für mich ist es wichtig, dass die Netze sowohl physikalisch als auch technisch voneinander getrennt bleiben.

Das ist der Fall Bei LAN und Gast-LAN.
Darüberhinaus geht mit einem Kindersicherungsprofil noch: [x] Nutzung des Gastzugangs gesperrt

Auch, und das ist ein unbeachteter Vorteil des Gastzugangs, nicht nur WLAN, auch über Lan4,
dass wenn man selber darüber surft und mailt, die Gefahr von (erfolgreichen) XSS Attacken entscheidend minimiert wird.
Weil eben keine Lokalen Geräte, wie fritz.box, angegriffen werden können.
...aber auch andere Geräte wie: SmartTV

In diesem Sinne hättest du also zwei "unsichere" (1x LAN und 1x WLAN) Netze
und zwei "sichere" Gast-LANs (1x WLAN und 1x Lan4) Netze.