Nachbar ins I-Nett ab nicht in mein Lan lassen? DD-WRT+Fritz

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
7

7270_ist_da

Neuer User
Mitglied seit
30 Dez 2007
Beiträge
117
Punkte für Reaktionen
0
Punkte
0
Hi!

Ich hab hier eine Fritzbox 7270 mit DSL.

Nachbarin älteren Semester ist noch mit Modem und Win95(!) unterwegs. Alle paar Wochen zickt das Teil (Modem/Win) rum und ich muß helfen. Vernünftiger Virenschutz ist schon wegen den täglich anfallenden mehreren MB download kaum möglich. usw.

Daher kam die Idee die Nachbarin an mein Wlan zu hängen. Ich würde daher einen WRT54 bei Ihr mit dd-wrt Firmware aufstellen.

Generelle Konfiguration ist kein Problem und läuft im hausinternen Test auch.


Wie konfiguriere ich aber DD-WRT und FritzBox am besten, dass Sie nur auf meine bestehende Internetverbindung zugreifen kann aber NICHT auf mein LAN?

Auch wenn sich einen Virus fängt, soll dieser nicht bis zu mir kommen können. Kann ich das mit Einstellung ihrem Rechner (IP, Subnetz) an dem WRT oder in meiner Fritzbox irgendwie erreichen?
Was für Einstellung sich dafür an der Fritzbox nötig.

Geht dies mit dem Gerät und wenn ja wie genau?
Mit solchen speziellen (V?)Lan Fragen kenne ich mich nicht aus.

Den WRT würde ich selbst konfigurieren und das Passwort nicht weitergeben. Zusätzliche Hardware möchte ich bei mir wegen Stromverbrauch und Anschaffungskosten nicht hinstellen.

Ich kenne zwar, die Option in der Fritz, dass Wlan-Geräte gegenseitig Daten austauschen dürfen. Diese möchte ich aber nicht aktivieren, da ich auch mal zwischen meinen beiden Notebooks Daten austauschen möchte.


Gibt es sonst irgendwelche Trick oder möglichkeiten meine Labtops und mein lokales Lan möglichst gut gegen den "fremden" WRT abzuschirmen?

Oder dem WRT beibringen, dass er NUR ins Netz darf, nicht aber ins Lokale Lan?

Danke!
 
Hallo,

ich habe das so gelöst:

1) ddwrt auf wrt54 spielen
2) wan port von wrt54 an lan port von FB
3) im wrt statische IP im Subnetz der FB (192.168.178.0/24)
4) dhcp im wrt54 aktivieren (z.b. 192.168.1.2-50)
5) Firewallregel einbinden: Unter administration:
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.178.0/24 -j DROP
Und auf “save firewall” klicken!
Nun werden alle anfragen in den Netz verworfen.


Wird der wrt54 per kabel, oder über wlan verbunden. Oben ist per kabel beschrieben, kann aber auch über wds (7270 beta??) angebunden werden. Des Weiteren kannst du alle P2P Protokolle verbieten oder einen Contentfilter einsetzen.
 
Also noch mal zur Klarheit.

Es sollte nur eine Fritz (bei mir) und nur ein WRT (bei NAchbar) zum Einsatz kommen.

Ist der Clientmodus nicht besser bzw. bringt schon Vorteile mit sich?
 
7270_ist_da schrieb:
Wie konfiguriere ich aber DD-WRT und FritzBox am besten, dass Sie nur auf meine bestehende Internetverbindung zugreifen kann aber NICHT auf mein LAN?

Auch wenn sich einen Virus fängt, soll dieser nicht bis zu mir kommen können.
Zum Vergrößern anklicken....

Hey, das ist etwas was wir schon seit Jahren mACHEN WOLLTEN !

@Axcel:
Wenn ich Dich richtig verstehe, brauchen wir zusätzlich zu unserer 7170 lediglich das wrt54, und können OHNE FBF Modifikationen obiges erreichen !?

1.SInd die beiden Netzwerke dann tatsächlich SICHER voneinander getrennt ?

2. Gibts sonst irgendeinen Nachteil für denjenigen, der am Wrt45 hängt, falls er ins Internet oder VoiPen möchte, oder gibts einen Nachteil für uns ?

Danke,
 
@7270_ist_da:
Ah ok, wenn der wrt bei denem Nachbarn steht, musst du auf den Clientmode umstellen und über WLAN mit deiner FB verbinden.
Anleitung (eng): http://www.dd-wrt.com/wiki/index.php/Client_Mode_Wireless
Dort aber nicht die Client Bridge auswählen, da du sonst keine 2 Subnetze hast.


@Black Eagle:
Ja, an der FB muss nichts modefiziert werden. Man kann noch eine statische Route konfigurieren, dass das Netz des wrt54 bekannt ist. Z.B wenn du den wrt konfigurierst und kein extra kabel legen möchtest.

zu1) Ja, sämtliche Packete in das gesperte netz werden ohne Rückmeldung an den Sender verworfen.

zu2) Nachteil für uns: der P2P blocker funktioniert nicht so richtig und du haftest für deine Leitung. Optional kannst du auf dem wrt den traffic mitloggen, damit du kontrollieren kannst, ob jemand was illegales macht. Oder du kannst Schlüsselbegriffe in den URLs sperren, wie z.b. Rapidshare, torrent u.a.
Gelöst hab ich das Prob u.a. mit nocatsplash. Die User werden erst auf eine Seite geleitet und müssen mit einem klick auf einen Button die "AGBs" gestätigen bevor diese im iNet surfen können.

Aktuell ist alles im Aufbau und ich hänge an den IPTABLES die mit dem nocatsplash nicht so richtig zusammenarbeiten...
 
Zuletzt bearbeitet:
Stellen sich nur noch folgende 2 Fragen:

1.
Kann der Nachbar über den WRT Zugang dann noch problemlos VoIPen, über 1und1, sipgate etc.?
(er hat noch eine alte FBF, die er dazu verwenden könnte, so erübrigt sich die Anschaffung weiterer Hardware)
Aber: Meines wissens könnte es da Probleme mit der täglichen SIP Re-Registrierung nach Zwangstrennung insebesondere bei 1&1 kommen, oder ?

2.
So wie ich dich verstehe, muss zwischen FB 7170 und WRT-Box kein LAN Kabel gelegt werden, sondern kabellos ist möglich.
Aber:
Kann der Nachbar dann trotzdem:
VoiPen über den WRT Zugang und insbesondere:
Drahtlos über das WRT ins Internet (also WLAN):
Das hiesse ja dann, daß das WRT 2!! WLAN Verbindungen aufbauen müsste:
A) eine Verbindung zur FBF
und
B) eine WLAN-Verbindung zum PC/Laptop des Nachbarn

Ist das technisch seitens des WRT möglich ?


3. Welches WRT54 meinst Du genau, es gibt da ja verschiedene zu kaufen: "GL", "GS" etc. ?

4. Haftung ist klar.


Vielen Dank!!
 
zu1)
voip müsste gehen, hab ich aber bei mir direkt an der 7170 und der 7050 (WDS slave) und nicht am wrt.
Thema SIP Re-Registrierung: Heute re-registrieren sich auch die 1und1-nummern am Slave wenn der master zwangsgetrennt wird. keine ahnung ob das nur zwischen avm produkten funktioniert.

zu2)
Eigentlich müsste es gehen. Es gibt ja noch die Möglichkeit virtuelle WLANs einzurichten. Bin mir da nicht sicher. Falls du die Infos nicht findest, kann ich auch mein Router für einen test umstellen.

zu3)
Ich habe den wrt54gl v1.1 (kein mega möglich, aber auch nicht benötigt)
Musst beim kaufen aufpassen da manche (wrt54g v5???) schwer zu flashen sind.
Übersicht: http://dd-wrt.com/wiki/index.php/Supported_Devices
Je nachdem ob du z.b. gigabit oder usb oder umts brauchst.
Posting 2:

[Edit Novize: Unsinniges fullquote vom Beitrag direkt davor gelöscht - siehe Forenregeln]

Hmmm... hätten wir das vorher gewusst, hätten wir uns die arbeit gespart und darauf aufgesetzt...
 
Zuletzt bearbeitet von einem Moderator:
Axcel schrieb:
@7270_ist_da:
Ah ok, wenn der wrt bei denem Nachbarn steht, musst du auf den Clientmode umstellen und über WLAN mit deiner FB verbinden.
Anleitung (eng): http://www.dd-wrt.com/wiki/index.php/Client_Mode_Wireless
Dort aber nicht die Client Bridge auswählen, da du sonst keine 2 Subnetze hast.
Zum Vergrößern anklicken....

Ja, die Verbindung läuft ja und Internet geht auch alles. - Soweit ok.

ICh frage mich aber wie ich verhindern kann, dass der Nachbar auf meine beiden Notebooks zugreifen kann. Ich aber noch von Notebook zu Notebook Daten übertragen.

Ist mit der dort beschriebenen Methode auch sichergestellt, dass Nachbar/Netzberktool/Wurm garantiert nicht in mein Lan kommt?

Kann man durch die Fritz oder im WRT verhindern, dass das Nachbar nicht auf die Fritzoberfläche Zugriff hat ohne dafür die Passwortoption zu verwenden?



Ich möchte nähmlich nur eins: Nachbar soll ungeschränkt Internet haben. Aber nichts anderen im Wlan, LAn oder Fritz dürfen.
 
Wir haben es frueher so geloest:

Jeder hatte seinen eigenen DSL Account. Dann gehen von der Nachbarin zu dir nur PPPoE Pakete. Wenn sie so eine Sparsame ist, dann kann sie einen 1GB Account kostenlos bekommen. Siehe www.teltarif.de

Sie hat dann eine eigene IP. Das einzige was ihr dann teilt ist die Bandbreite.

Voraussetzung ist ein Telekom DSL Anschluss.

voipd.
 
Wieso sollte Nachbarin ihren eigenen Tarif hat, wieso sollte sie dann nicht mehr Zugriff auf mein (W)Lan haben?


Und nein, kein T-Com Anschluß.
 
Wer heute noch mit win98 surft hat keine Ahnung vom Computer.

Wer keine Ahnung vom Computer hat wird auch nicht das Routing eines PPPoE Paketes aendern koennen.

Frage an dich: Wie heissen eigentlich deine PPPoE Adressen?

voipd.
 
Muß man von Computern Ahnung haben um zu merken, dass man damit all sein relevantes lesen und schreiben kann und die Kiste stabil läuft und schnell ist?

Wo soll ich Deiner Meinung nach die PPPoE Einstellungen vornehmen?

Nicht der Nachbarin unstelle ich, dass sie mir was will.
Aber was ist wenn Sohn zu Besuch ist oder Nachbarskind nach dem PC schauen soll und sich da ein Intresse entwickelt was all es in meinem Netz ist.

Oder sie sich doch mal ein Wurm fängt und der sich an allen stellen versucht durchzubohren?


ICh wollte daher mit "Hardwareeinstellungen" in WRT und Fritz eben so gut als möglich abdichten.



Im Moment ist ja mein LAN und Wlan auf 192.168.178.?
WRT hat 192.168.123.?
Über einem am WRT angeschlossenen Rechner habe ich Zugriff auf meine Fritzbox und meine Notebooks.
Mein Lan sehe ich nicht. - Verstehe ich nicht.

Kann ich mir darauf verlassen, dass mein LAN sicher ist?
Und wie könnte ich ähnliches für FRitzbox und Notebooks erreichen - Oder geht dies nicht?
 
Zuletzt bearbeitet:
7270_ist_da schrieb:
Kann ich mir darauf verlassen, dass mein LAN sicher ist?
Und wie könnte ich ähnliches für FRitzbox und Notebooks erreichen - Oder geht dies nicht?
Zum Vergrößern anklicken....

Da warte ich auch gespannt auf Antwort...
Denn eine gleiche Konfig wie Du, mit einer FBF als Hauptmodem/Router, und einem durch ein WRT54 hergestelltes SICHER ABGETRENNTES VLAN würden wir auch gerne erstellen.

Sei so nett und berichte mal, wenns denn mit Deiner Konfig geklappt hat, und dann wie genau...denn nachmachen ist einfacher als selber herausfinden ;)

Danke,
 
@7270_ist_da und @Black Eagle:

Habt ihr das was Axcel weiter oben (im 2. Post) vorgeschlagen hat (
5) Firewallregel einbinden: Unter administration:
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.178.0/24 -j DROP
Und auf “save firewall” klicken!
Nun werden alle anfragen in den Netz verworfen.
Zum Vergrößern anklicken....
),

schon ausprobiert? Funktioniert es oder funktioniert es nicht?
 
@sf39xx
ich kanns nicht ausprobieren, da ich das wrt erst dann für uns KAUFEN möchte, wenn ich weiss, daß es geht...
d.h.:Ich bin noch nicht im Besitz eines WRT!!!
 
sf3978 schrieb:
Habt ihr das was Axcel weiter oben (im 2. Post) vorgeschlagen hat (), schon ausprobiert? Funktioniert es oder funktioniert es nicht?
Zum Vergrößern anklicken....

Wie soll ich den ddwrt per lan an meine Fritz anschließen, wenn er bei der Nachbarin steht.

Dazu müßte ein Kabel über die Straße oder noch ein 2. Gerät her.
(Anschaffungskosten + Stromverbrauch).

Was jetzt da ist reicht doch schon ... WRT und/oder Fritz müßten durch Einstellung oder Trick noch auf Internet-only für die Nachbarin mitgeteilt bekommen werden.

Beonsders dem WRT müßte man doch sagen können dass alle Adressen in 192.168.x.x tabu sind und er nur die Fritz als Gateway verwenden darf.

(?)
 
@7270_ist_da:

Für die Verbindung FritzBox - WRT54 brauchst Du kein Kabel. Schließe den WRT54 im client wireless mode an die FritzBox.
 
7270_ist_da schrieb:
Im Moment ist ja mein LAN und Wlan auf 192.168.178.?
WRT hat 192.168.123.?
Kann ich mir darauf verlassen, dass mein LAN sicher ist?
Zum Vergrößern anklicken....

Also, die kabellose Verbindung steht ja. (richtig?)
Und dein WRT zieht sich eine IP von deiner FB oder du hast ihm eine statische gegeben (FB Netz 192.168.178.0/24) (richtig?)
Und du kannst aus dem WRT Netz (192.168.123.0/24) auf deine FB zugreifen.
> Das ist normal so, da alle Anfragen in andere Netze (natürlich nicht 192.168.123.0/24) an die FB weitergegeben werden

Nun teste mal folgende Firewallregel auf deinem WRT:
iptables -I FORWARD -s 192.168.123.0/24 -d 192.168.178.0/24 -j DROP

Dann solltest du die FB nichtmehr erreichen und auch dein komplettes Netzt nicht.
Und es ist egal ob der wrt per WLAn oder Lan mit der FB kommuniziert.

PS.: kein kleines sorry für den unnötigen doppelpost (unsere arbeit) wäre angebracht!
 
@Black Eagle:

Es funktioniert. Du kannst dir ein wrt54gl_v1.1 kaufen und dd-wrt drauf machen.

http://images.bilder-speicher.de/show.php?type=image_800&id=08060619649646

http://images.bilder-speicher.de/show.php?type=image_800&id=08060619967355
[Edit frank_m24: IMG in URL Tag umgewandelt. Bitte benutzt die forumeigene Dateifunktion, um Bilder hochzuladen!
attach.gif
]
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 687 (Mitglieder: 45, Gäste: 642)

Neueste Beiträge

Statistik des Forums

Themen
246,068
Beiträge
2,245,549
Mitglieder
373,511
Neuestes Mitglied
zulu72
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück