[Frage] Wie eine 7490 und 7590 AX V2 Zuhase verwenden (beide autonom).

[Bojan Lazic]

Hallo Leuten,

ich bin neu hier und habe ein riesiges Problem. Bislang liefen meine FritzBoxen wie folgt;

Mesh Master 7590 AX hat die IP Range 192.168.121.1 - 192.168.121.254 (Die 7590 hat eine fixe Ip-Adresse 192.168.XX1.1),
die 7490 lief über LAN1 Brücke war aber nicht als Mesh - Slave eingebunden hatte aber die fix zugeordnete IP - Adresse 192.168.XX1.2

Beide Fritzboxen koexistierten nebeneinander wurderbar und jede hatte ihr eigens WLAN. Der Grund für die zwei WLAN - Netze war
Smarthome. ich habe 7 x 301-er Thermostate und 18 Meross WLAN - Steckdosen sowie SmartHome - Kaffeemaschine, Spühlmaschine welche über die 7490 liefen. Die Clients (Rechner, Tablets, WLan Drucker,Spielekonsolen,TV - Geräte, IP-Boxen) liefen über die 7590 AX.

Ich wollte die 7590 AX durch dieses System von der Überlastung schützen und die "unsicheren" IOT - Geräte über die 7490 laufen lassen.
Das lief auch relativ stabil ohne Latenzproblematiken. DANN KAM DAS AVM - App Update und ich (Idiot) habe blind die 7490 auf den 7590 AX als Mesh slave eingebunden (Empfehlung aus der App, man glaubt ja blind dem Hersteller!!!!).

und dann begann der Leidensweg... ich hab zudem die Passwörter zu den Fritz-Box(en) Sicherheitsdateien (mache regelmäßig Sicherungen aus beiden FritzBoxen). nicht mehr finden können. 36 BIT PW. Das Resultat nach dem ersten Tag war, das ich die 7490 auf Werkszustand zurückgesetzt hatte und die 7590 grade wieder hinbekommen hatte, daß sie stabil mit den Clients ins Internet kommt.

FRAGE:

Wie erstelle ich zwei autark laufende Fritzboxen (7590 soll Internetliferant sein, da an dieser noch 2x 1200AX Repeater verbunden sind) die jede für sich
ihre eigene IP-Range hat und ihr eigenes WLAN Netz.

Plan;

7590 IP - Range (mit der Möglichkeit der fixen Vergabe der IP´s) 192.168.XX0.1 -192.168.XX0.254 WLAN SSID: 7590-WLAN
7490 IP - Range (mit der Möglichkeit der fixen Vergabe der IP´s) 192.168.XX1.1 -192.168.XX1.254 WLAN SSID: 7490-WLAN
und die 7590 übergibt der 7490 per LAN als Internet-Brücke das Internet.

DAS KANN DOCH NICHT so schwer sein? Gibt es jemanden der das schon mal gemacht hat? Ich versuche verzweifelt das seit 2 Tg.
auf die Beine zu stellen, aber die 7490 lässt mich nicht fixe IP-Adressen in Ihrer Range speichern....

PS: Beide FritzBoxen haben die neueste FRITZ!OS Version 7.57. Es wurden nie Labor - Versionen auf den Fritzboxen installiert...

Ich würde mich freuen, wenn jemand mir hierzu seine Erfahrungen teilen würde.

VG
Bojan aus Nürnberg.

 

[Grisu_]

Dann mußt wohl die 7490 als Router und nicht als Client einrichten (ganz am Anfang schon beim Assistenten).
Oder du bleibst bei der Mesh-Konfiguration und nutzt das Gast-WLAN für deine IoT Geräte.
Damit haben sie auch keinen Zugang zum restlichen Heimnetz.
Ggf. auch noch die Kommunikation zwischen Geräten im Gastnetz erlauben.

 

[Bojan Lazic]

Vielen Dank, ich glaube auch das es ein Architekturproblem war/ist...

ich baue gerade das hier nach...

In dem Video wird ein verschleiertes Netzwerk als Router-Kaskade erklärt...
Sollte es bei mir laufen, gebe ich den (meinen) Lösungsweg hier als Erklärung, damit andere nach mir davon profitieren können .

VG und Danke Grisu_


lg Bojan

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

GENAU das war es!!!!

Mit der Lösung wie im Video erklärt funktioniert genau das, was ich haben wollte. Ich schaltete die 7490 als Internet-Zugangsrouter vor und da schließe ich 7592 AX V2 als Router für die Clients frei. Wichtig 7490 hat kein WAN also ging die "Internetleitung" von LAN1 in den WAN-Port der 7590 rein. Dies sollte dann auch in dem Eintrichtungsassistenten der 7590 ausgewählt werden. Hätte ich mir das Video schon vor 1 Jahr angesehen, hätte ich auch bislang eine sicherere Version der IP-Bereiche, da ich innerhalb des verschleierten "Netzes" auch eine NAS binde.

VG und Danke Grisu_ für die Bestätigung und Antwort. Dadurch habe ich es lösen können...

lg Bojan

 

[Joe_57]

...innerhalb des verschleierten "Netzes"...

Alles was mit der IP 192.168. anfängt ist bereits "verschleiert", da diese Adressen nur aus dem lokalen Heimnetz erreichbar sind.
Aus dem öffentlichen Internet (und auch aus dem "Darknet") sind diese Adressen nur erreichbar, wenn du selbst einen speziellen Zugang (z.B. über Portfreigaben deiner öffentlichen IPv4-Adresse) dafür eingerichtet hast.

 

[Grisu_]

Deshalb reicht es ja auch vollkommen die IoT Geräte im Gastnetzwerk (Gast-WLAN und/oder auch Gast-LAN am Port4) laufen zu lassen, damit haben sie zwar Internetzugang und können ggf. auch untereinander kommunizieren, dennoch haben sie keinen Zugriff aufs eigentliche Heimnetz mit der Haupt-SSID.
Aber man kann sich das Leben natürlich auch schwer machen.

 

[Bojan Lazic]

Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney

toller tipp THX

 

[Theo Tintensich]

Deshalb reicht es ja auch vollkommen die IoT Geräte im Gastnetzwerk (Gast-WLAN und/oder auch Gast-LAN am Port4) laufen zu lassen, damit haben sie zwar Internetzugang und können ggf. auch untereinander kommunizieren, dennoch haben sie keinen Zugriff aufs eigentliche Heimnetz mit der Haupt-SSID.

Nur, wenn dieses spezielle IoT-Netz 'neben' dem Hauptnetz liegt.
Hat man (aus dem Beispiel oben), eine 7590, welches das Internet bereitstellt sowie alle Geräte aus dem normalen Heimnetz beinhalten und mittels eines zweiten Routers, der in diesem Netz mit seinem 'WAN'-Interface hängt, dann können alle Geräte hinter diesem Router auf alle Geräte im Heimnetz 'zugreifen'

Bei einer ordentlichen Routerkaskade hat man einen Router ins Internet, an dem (mindestens) zwei Router hängen, deren Geräte routing-technisch nicht in das andere Netz kommen dürfen.

Beim F!B-Gastnetz wird das durch die F!B und ihre Routing-Tabellen bzw FW-Regeln sichergestellt.

 

[Bojan Lazic]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht sowie die durchgehende Fettschrift (SCHREIEN) auf normale Schrift umgestellt - siehe Forumsregeln]
"Bei einer ordentlichen Routerkaskade hat man einen Router ins Internet, an dem (mindestens) zwei Router hängen, deren Geräte routing-technisch nicht in das andere Netz kommen dürfen."

Das habe ich ja so umgesetzt. 7490 ist die Master wo die ganzen IOT´s dranhängen. Die 7490 be-"liefert" von LAN1 die 7590 AX in die WAN-Buchse die 7590 - Geräte beide Boxen haben eine eigen Ip-Range. Keine Ports offen um eben das Einfallstor nicht bieten zu können. PS. Du hast in Deinem Beispiel die 7590 als Master beschrieben, aber das Prinzip ist das gleiche, mit Außnahme, daß die 7490 kein WAN - Port hat. Deshalb entschied ich mich für die 7490 zu 7590 Variante.

PS.: FRAGE: wieso nochmal (mindestens) zwei Router hinter den Router für das Internet?? In meinem Fall habe ich zwei 1200-er AX Repeater an die 7590-er gemasht!

 

[Grisu_]

Bei der 7490 kannst du doch genauso den LAN1 als WAN-Port konfigurieren, nur weil sie keinen eigenen Port dafür hat kann man sie dennoch so konfigurieren.
Das macht also genau gar keinen Unterschied diesbezüglich wo welcher hängt (1. oder 2.).

 

[Bojan Lazic]

Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney

wieder etwas gelernt! Das wusste ich nicht

-- Zusammenführung Doppelpost by stoney

Danke

 

[Theo Tintensich]

PS.: FRAGE: wieso nochmal (mindestens) zwei Router hinter den Router für das Internet?

Du hast im Moment eine DMZ und ein Netz mit deinem Heimgeräten.
In der DMZ sind deine IoT-'Spielzeuge'
Wenn man zwei wirklich von einander getrennten Netze an einem Internetanschluss haben will, hat man hinter dem Internet-Router parallel zwei weitere Router

In deine Konfiguration hat du ein doppeltes NAT, was für den Nicht-Zugriff der IoTs in das interne Netz ausreicht, bei anderen Protokollen aber auch zu Schwierigkeiten führen kann.
Jedes gerät aus dem internen Netz kann auf die Geräte n der DMZ zugreifen, diese sehen aber nur eine Quell-IP, an welche sie die Antworten schicken.

Wenn du mit minimal drei Routern arbeitest, intern echten Routern, bei denen du das NAT abstellen kannst (bei den F!Bs geht das nicht, hättest du die DMZ und die Netze-1 und Netz-2. (Der Internet-Router kann bei NAT bleiben)
Den Verkehr müsstest du dann über sauber konfigurierte Firewalls auseinander halten, da es eben echte Netze und kein NAT ist, dafür könntest du zum Beispiel aus dem Netz-1 auf Systeme in der DMZ zugreifen (Freigabe aus der DMZ ins Netz-1 vorausgesetzt) und sogar von Netz-1 mit der passenden Freigabe auf das Netz-2

(OK, das mit NAT und so betrifft IPv4, IPv6 ist da doch etwas offener und damit auch etwas komplizierter sauber zu trennen
Ich persönlich würde bei IPv6 in einem solchen Fall nur mit statischen Adressen bei den Geräten und damit auch statischen FW-Regeln arbeiten und alle anderen IPs blocken. Hier könte man dann überlegen, ob man mit den statischen IPs ins Internet geht oder diesen Router auch für IPv6 NAT betreiben lässt, da die Geräte bei statischen IPs diee ja nicht 'verschleiern', da wechseln)

 

[Bojan Lazic]

Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney

Danke Theo, des ist Mal ne Erklärung. WOW . Mein Wissen reicht aber zum vollständigen Verstehen des Post nicht so ganz aus... Ich muss mir das mal 4-5x druchlesen, bei weiteren Fragen komme ich gerne hier noch eimal mit einer oder zwei Fragen um die Ecke. Vielen, vielen Dank Theo

 

[Theo Tintensich]

eine DMZ ist ein Netzbereich, in dem ein, oder mehrere Geräte stehen, die aus verschiedenen Gründen einen geringeren Sicherheits-Level benötigen.
Die Verbindungen in die weiteren Netzbereiche, welche diese Geräte aufbauen müssen, um Daten auszutauschen, müssen dann spezielle und schärfer abgesichert wein.
Web-Server stehen zum Beispiel in einer DMZ
Die Daten, die vom Nutzer eingeliefert werden müssen besonders auf Fehler geprüft werden. Die Daten, die der Web-Server an den Nutzer ausliefert, müssen zwar nicht gesichert werden, aber die Antwort des Web-Servers auf diese Datenleiferung, denn bei einem infizierten Webserver darf dieser zum Beispiel keien Anfragen stellen, die zu viele oder falsche Daten über ihn abfließen lassen.

Diese Zone ist der Bereich hinter dem Internet-Router und vor den weiteren Routern in das/die anderen Netzen.
Hat man nur eine weiter Zone/Netzbereich, braucht man nur einen Router der in der DMZ steht.

Wenn man diesen "Backendrouter" nicht ebenfalls mittels NAT betreibt, benötigt man hier vor, im oder hinter dem Router eine Firewall, die nur gewünschte Verbindungen zulässt.
Zum Beispiel dürfen keine normalen Geräte aus dem Backend-Netz auf die DMZ-Systeme zugreifen, der Verkehr geht direkt zum Internet-Router hinaus.

Das System aus dem Backend-Netz, welches auf die DMZ-Systeme zugreift, ist nur dafür vorgesehen, hier wird kein normaler Datenverkehr (Surfen/Mailen/...) mit durchgeführt.
Oder: In der DMZ steht ein Gerät, das als einziges Ziel aus dem backend erreicht werden kann, von dem man dann über die Kommandozeile oder eine Oberfläche auf die Geräte in der DMZ zugreift (ein Jump-Server)

Dieser Jump-Server muss speziell gehärtet sein, so dann man nur die Daten und Dienst auf ihm hat, die man wirklich benötigt. Ein Datenaustausch direkt vom Backend-System über eine Datenfreigabe auf ein DMZ-Gerät muss zum Beispiel ausgeschlossen sein.

Wie du siehst, kann man es bis zum Exzess treiben ;-)