26
Outdoor LAN sichern mit oder ohne Fritzbox Verständnis Frage
Hallo zusammen,
ich habe die letzten Stunden schon viel hier gelesen, stehe aber
ein wenig auf dem Schlauch, wie und wo ich weiter suchen soll.
Ich möchte gerne 2 LAN Anschlüsse (Doorbirds) absichern.
Was ich habe:
- 2x Doorbird Kabelgebunden
- 1x Fritzbox 6490 Kabel Buisness von Unitymedia/Vodafone mit fester IP und IP4
- 2x Analogtelefone an der Fritzbox
- 1x POE Switch Ubiquiti 24er 2nd GEN Level 2 / MAC Filterung
- 3x Ubiquiti APs
- 1x IOBroker auf Rasperry PI
- 1x Synology NAS mit Radius Server und Survilliance Station
- Div. Port Weiterleitungen zum Zocken
Was ich so lese, ist die Fritzbox das Hauptproblem. Wenn ich Sie als Router lasse,
dann scheiden VLANs aus. Die Doorbirds können meines Wissens nach keine Radius
Zertifizierung, scheidet also auch aus. Nur MAC Filterung ist keine Sicherheit.
Die Doorbirds ins Gästenetz ist auch keine Lösung, da ich auf den VideoStream
dauerhaft von verschiedenen Geräten aus zugreifen möchte (Handy im Heimnetz,
IOBroker Visu, Survilliance Station). Die Fritzbox schafft hier ja keine Verbindung
zwischen Netz und Gästenetz.
Also Router kaufen? Dann kommt das Problem Fritzbox / Router und doppeltes NAT,
was beim Zocken wohl Probleme mit den Ports machen dürfte, wenn ich es richtig verstanden habe.
Wäre hier der Bridgemode noch eine Lösung? Der taucht in meiner Version der Fritzbox zumindest noch auf.
Oder besser Modem und Router kaufen, Fritzbox nicht mehr benutzen? Dann hab ich aber keine
Möglichkeit mehr, die Telefone anzuschließen.
Jede Lösung scheint im Moment Nachteile zu haben. Vielleicht ist jemand so nett mir zu sagen,
in welche Richtung ich weiter suchen sollte.
Besten Dank und viele Grüße,
Tobias
ich habe die letzten Stunden schon viel hier gelesen, stehe aber
ein wenig auf dem Schlauch, wie und wo ich weiter suchen soll.
Ich möchte gerne 2 LAN Anschlüsse (Doorbirds) absichern.
Was ich habe:
- 2x Doorbird Kabelgebunden
- 1x Fritzbox 6490 Kabel Buisness von Unitymedia/Vodafone mit fester IP und IP4
- 2x Analogtelefone an der Fritzbox
- 1x POE Switch Ubiquiti 24er 2nd GEN Level 2 / MAC Filterung
- 3x Ubiquiti APs
- 1x IOBroker auf Rasperry PI
- 1x Synology NAS mit Radius Server und Survilliance Station
- Div. Port Weiterleitungen zum Zocken
Was ich so lese, ist die Fritzbox das Hauptproblem. Wenn ich Sie als Router lasse,
dann scheiden VLANs aus. Die Doorbirds können meines Wissens nach keine Radius
Zertifizierung, scheidet also auch aus. Nur MAC Filterung ist keine Sicherheit.
Die Doorbirds ins Gästenetz ist auch keine Lösung, da ich auf den VideoStream
dauerhaft von verschiedenen Geräten aus zugreifen möchte (Handy im Heimnetz,
IOBroker Visu, Survilliance Station). Die Fritzbox schafft hier ja keine Verbindung
zwischen Netz und Gästenetz.
Also Router kaufen? Dann kommt das Problem Fritzbox / Router und doppeltes NAT,
was beim Zocken wohl Probleme mit den Ports machen dürfte, wenn ich es richtig verstanden habe.
Wäre hier der Bridgemode noch eine Lösung? Der taucht in meiner Version der Fritzbox zumindest noch auf.
Oder besser Modem und Router kaufen, Fritzbox nicht mehr benutzen? Dann hab ich aber keine
Möglichkeit mehr, die Telefone anzuschließen.
Jede Lösung scheint im Moment Nachteile zu haben. Vielleicht ist jemand so nett mir zu sagen,
in welche Richtung ich weiter suchen sollte.
Besten Dank und viele Grüße,
Tobias
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 656129
Url: https://administrator.de/contentid/656129
Printed on: April 18, 2024 at 02:04 o'clock
26 Comments
Latest comment
Moin,
ich habe ehrlich gesagt nicht verstanden, was Du willst.
Was heißt das? Wovor willst Du sie sichern? Was befürchtest Du?
Liebe Grüße
Erik
ich habe ehrlich gesagt nicht verstanden, was Du willst.
Was heißt das? Wovor willst Du sie sichern? Was befürchtest Du?
Liebe Grüße
Erik
Hallo Erik,
die Doorbirds liegen ausserhalb des Gebäudes mit LAN Kabeln, ich möchte mich also
davor absichern, dass jemand die Doorbirds entfernt und dann Zugriff auf mein Netzwerk hat.
die Doorbirds liegen ausserhalb des Gebäudes mit LAN Kabeln, ich möchte mich also
davor absichern, dass jemand die Doorbirds entfernt und dann Zugriff auf mein Netzwerk hat.
Zitat von @bluescreen:
die Doorbirds liegen ausserhalb des Gebäudes mit LAN Kabeln, ich möchte mich also
davor absichern, dass jemand die Doorbirds entfernt und dann Zugriff auf mein Netzwerk hat.
die Doorbirds liegen ausserhalb des Gebäudes mit LAN Kabeln, ich möchte mich also
davor absichern, dass jemand die Doorbirds entfernt und dann Zugriff auf mein Netzwerk hat.
Das ahnte ich. Das ist kein Software-, sondern ein Hardwareproblem. Ich kenne die Dinger nicht. Aber sowas sollte doch so konstruiert sein, dass ein Abbau von außen unmöglich ist. Oder zumindest sollte es eine Funktion geben, die einen Alarm auslöst, wenn das Gerät nicht mehr am Netz ist.
<edit>Das Ding hat doch auch einen Bewegungssensor. Schlägt das nicht Alarm, wenn sich da jemand davor bewegt?</edit>
Kein Sabotageschutz, kein Alarm bei Netztrennung :/
Bewegungssensor ja, aber der löst auch bei Lichtwechsel etc aus, also darauf kann man sich auch nicht verlassen.
Bewegungssensor ja, aber der löst auch bei Lichtwechsel etc aus, also darauf kann man sich auch nicht verlassen.
Moin,
einen VLAN-fähigen Router könntest Du hinter der FritzBox als exposed host betreiben - das ist so mittelschön. Es spricht aber gar ncihts dagegen, den neuen Router direkt ans Internet zu hängen und die FritzBox als IP-Client dahinter. Sie kann so weiterhin als Telefonanlage/SmartHome-Zentrale und was auch immer genutzt werden. Eine Einstellung ist dann nur unbedingt zu setzen, nämlich unter den Anschlusseinstellungen bei Telefonie: "Portweiterleitung aktiv halten alle 30 Sekunden"
Klappt dann alles tadellos.
Gut passen würde im Prinzip zu Deinem LineUp das USG von Ubiquiti, ist auch mit unter 100€ recht günstig.
Zwei Nachteile: Ist schon halbwegs outdated und ein Nachfolger noch nicht erhältlich, außerdem kann es bei sehr schnellen Anschlüssen jenseits von 100Mbit/s zum Flaschenhals werden.
Edit: Mit dem USG brauchst Du natürlich auch noch ein Modem, wenn Du es vor die FritzBox hängst. Alltime-Favorit und mehr oder weniger alternativlos ist da Draytek Vigor 130/165.
einen VLAN-fähigen Router könntest Du hinter der FritzBox als exposed host betreiben - das ist so mittelschön. Es spricht aber gar ncihts dagegen, den neuen Router direkt ans Internet zu hängen und die FritzBox als IP-Client dahinter. Sie kann so weiterhin als Telefonanlage/SmartHome-Zentrale und was auch immer genutzt werden. Eine Einstellung ist dann nur unbedingt zu setzen, nämlich unter den Anschlusseinstellungen bei Telefonie: "Portweiterleitung aktiv halten alle 30 Sekunden"
Klappt dann alles tadellos.
Gut passen würde im Prinzip zu Deinem LineUp das USG von Ubiquiti, ist auch mit unter 100€ recht günstig.
Zwei Nachteile: Ist schon halbwegs outdated und ein Nachfolger noch nicht erhältlich, außerdem kann es bei sehr schnellen Anschlüssen jenseits von 100Mbit/s zum Flaschenhals werden.
Edit: Mit dem USG brauchst Du natürlich auch noch ein Modem, wenn Du es vor die FritzBox hängst. Alltime-Favorit und mehr oder weniger alternativlos ist da Draytek Vigor 130/165.
Hallo,
nimm eine Unifi USG als 2. Router und richte damit VLANs ein.
Dann können die Dinger in ein getrenntes VLAN und Du kannst die Zugriffe in beide Richtungen regeln.
Ja, doppeltes NAT ist nicht so schön, aber kein wirkliches praktisches Problem.
Auch nicht beim Zocken.
Oder Du verwendest einen besseren Switch.
Dieser schaltet diese Ports dauerhaft ab wenn der Link unterbrochen wird.
Man muss sie dann manuell im Management wieder einschalten. Solange sind die Anschlüsse nutzlos für den Einbrecher.
Stefan
nimm eine Unifi USG als 2. Router und richte damit VLANs ein.
Dann können die Dinger in ein getrenntes VLAN und Du kannst die Zugriffe in beide Richtungen regeln.
Ja, doppeltes NAT ist nicht so schön, aber kein wirkliches praktisches Problem.
Auch nicht beim Zocken.
Oder Du verwendest einen besseren Switch.
Dieser schaltet diese Ports dauerhaft ab wenn der Link unterbrochen wird.
Man muss sie dann manuell im Management wieder einschalten. Solange sind die Anschlüsse nutzlos für den Einbrecher.
Stefan
Hallo,
wie währ's mit ner anderen Idee.
Es gibt Sicherheitsschrauben da brauchst du nen extra bit zum öffnen.
https://www.igt-tech.de/haus-garten/edelstahl-schmiedeeisen/schmiedeeise ...
Somit bedeutet das aufbohren.
Oder nen kontaktschalter der auf nen Alarm geht beim Öffnen?
https://shop.vtis.de/AXIS-DOME-INTRUSION-SWITCH-C-Gehaeuse-Kontaktschalt ...
wie währ's mit ner anderen Idee.
Es gibt Sicherheitsschrauben da brauchst du nen extra bit zum öffnen.
https://www.igt-tech.de/haus-garten/edelstahl-schmiedeeisen/schmiedeeise ...
Somit bedeutet das aufbohren.
Oder nen kontaktschalter der auf nen Alarm geht beim Öffnen?
https://shop.vtis.de/AXIS-DOME-INTRUSION-SWITCH-C-Gehaeuse-Kontaktschalt ...
ich habe ehrlich gesagt nicht verstanden, was Du willst.
Hab ich auch nicht...Es geht ihm vermutlich (frei geraten) um die Port Authentisierung der Doorbird Endgeräte an einem LAN Switchport ?!
Was mit "Radius Zertifizierung" (was soll das Ominöses sein ???) gemeint ist kann man auch nur im freien Fall raten, denn sowas gibt es in der IT gar nicht.
Was ein Router mit der ganzen Thematik zu tun haben soll versteht ebenso auch kein Mensch...aber nungut.
Es gibt 3 klassische Verfahren für die LAN Port Security wie jeder Netzwerker weiss:
- 1.) Statische Switch Port Security mit statisch konfigurierter Mac Adresse des Endgerätes. Dann kommt nur Traffic eines einzigen Endgerätes durch diesen Port
- 2.) Das gleiche aber mit einer Authentisierung über einen Radius Server statt statisch auf dem Switch
- 3.) 802.1x Port Security über Radius was dann aber einen 802.1x Client auf dem Endgerät erfordert wie z.B. bei Winblows PCs, Apple Macs, Linux usw.
Ob seine "Doorbrid" Endgeräte aber einen .1x Client onboard haben hat er nicht beantwortet.
Bleibt also mal wieder nur die Kristallkugel....
Er möchte, dass wenn jemand einen Laptop an das Ethernetkabel seiner Doorbirds klemmt, sich dieser jemand nur in einem abgeschotteten VLAN befindet. Gleichzeitig möchte er natürlich aus seinem "Hauptnetz" trotzdem auf die Doorbirds zugreifen. Semipermeable Inter-VLAN-Kommunikation also. 
Jedenfalls verstehe ich es so und kann darin so dann auch einen Sinn erkennen.
Jedenfalls verstehe ich es so und kann darin so dann auch einen Sinn erkennen.
@ Datenreise
Die Fritzbox hinter den Router als IP Client zu setzen hatte ich noch gar nicht bedacht.
Meines Wissens nach habe ich allerdings kein VOIP. Ginge es dann totzdem ?
Kann das Vigor Kabel Internet oder nur DSL?
@ StefanKittel
ich habe noch einmal in der Fritzbox nachgeschaut. Ich habe eine Einstellmöglichekit
für den Bridge Mode. Wäre das nicht besser als Dopple NAT und würde fast alle
meine Probleme lösen? Allerdings weiß ich nicht, ob dann noch Telefonie geht.
Die Portabschaltung bei Unterbrechung nennt siech wie? Ich finde dazu nichts bei Goolge
und somit auch keinen Switch. Das würde mir als Lösung auch gut gefallen.
@ Wiesi200
Ich nehme an, die Bits sind "relativ" einzigartig? Auch eine gute Lösung.
Über einen Kontaktschalter hatte ich auch nachgedacht, habe aber keine
Ahnung wie ich das Binärsignal umwandel bis ich z.B. eine Stromzufuhr
für den Switch unterbrechen könnte.
@ Aqui
1. ja, das habe ich, ist mir aber nicht sicher genug
2. radius server habe ich, aber die doorbirds können sich an diesem nicht anmelden,
oder ich habe keine ahnung wie. einloggen können sie sich ja nicht. ein zertifikat von
seiten der doorbirds gib es nicht bzw sie sind kein .1x client.
ich bin da aber leihe und habe vielleicht nicht genug ahnung.
3. siehe 2
Ein Router hat folgendes damit zu tun:
Die Fritzbox kann nicht mehrere VLans verwalten. Also wäre ein neuer Router
von Nöten mit den Problemen, dass sowohl der Anschluss an das Kabel Internet
laufen muss, als auch noch die Fritzbox als Telefonanlage und das würde ich gerne
ohne doppel NAT realisieren.
Grüße
Die Fritzbox hinter den Router als IP Client zu setzen hatte ich noch gar nicht bedacht.
Meines Wissens nach habe ich allerdings kein VOIP. Ginge es dann totzdem ?
Kann das Vigor Kabel Internet oder nur DSL?
@ StefanKittel
ich habe noch einmal in der Fritzbox nachgeschaut. Ich habe eine Einstellmöglichekit
für den Bridge Mode. Wäre das nicht besser als Dopple NAT und würde fast alle
meine Probleme lösen? Allerdings weiß ich nicht, ob dann noch Telefonie geht.
Die Portabschaltung bei Unterbrechung nennt siech wie? Ich finde dazu nichts bei Goolge
und somit auch keinen Switch. Das würde mir als Lösung auch gut gefallen.
@ Wiesi200
Ich nehme an, die Bits sind "relativ" einzigartig? Auch eine gute Lösung.
Über einen Kontaktschalter hatte ich auch nachgedacht, habe aber keine
Ahnung wie ich das Binärsignal umwandel bis ich z.B. eine Stromzufuhr
für den Switch unterbrechen könnte.
@ Aqui
1. ja, das habe ich, ist mir aber nicht sicher genug
2. radius server habe ich, aber die doorbirds können sich an diesem nicht anmelden,
oder ich habe keine ahnung wie. einloggen können sie sich ja nicht. ein zertifikat von
seiten der doorbirds gib es nicht bzw sie sind kein .1x client.
ich bin da aber leihe und habe vielleicht nicht genug ahnung.
3. siehe 2
Ein Router hat folgendes damit zu tun:
Die Fritzbox kann nicht mehrere VLans verwalten. Also wäre ein neuer Router
von Nöten mit den Problemen, dass sowohl der Anschluss an das Kabel Internet
laufen muss, als auch noch die Fritzbox als Telefonanlage und das würde ich gerne
ohne doppel NAT realisieren.
Grüße
radius server habe ich, aber die doorbirds können sich an diesem nicht anmelden,
"Anmelden" tut sich da ja auch nie das Endgerät sondern immer der Switch und auch Zertifikate sind dort nich zwingend nötig. Es geht immer auch ohne !Tutorial lesen hilft wirklich !
und das würde ich gerne ohne doppel NAT realisieren.
Was ja kinderleicht möglich ist. Man beschafft sich einen VLAN fähigen Router der üblichen Verdächtigen wie Cisco, Lancom, Mikrotik, pfSense usw. und betreibt die FritzBox dahinter im internen LAN als normalen IP Client mit Telefonanlage. Millionenfaches Standard Design...
Je nachdem was du kaufst ist das nichts was jeder rum liegen hat. Es gibt auch Schrauben die bekommt man zerstörungsfrei überhaupt nicht mehr auf. Oder man klopft ne Stahlkugel in nen Torxkopf.
Die Kontakte klemmt man an ne normale Alarmanlage falls vorhanden.
Die Kontakte klemmt man an ne normale Alarmanlage falls vorhanden.
Hm, Also ja, mein Radius Server auf meiner Diskstation Kommuniziert mit meinem Switch. Klar.
Trotzdem muss ich auf der Diskstation für Radius einen Benutzer anlegen und mich dann mit
meinem Endgerät (z.B. mein Handy über einen Wlan AP am Switch beim Radius Server auf
der Diskstation anmelden). Wie das eine Doorbird machen soll ist mir ein Rätsel, aber ich bin
auch kein Netzwerk Mensch. Ein Tutorial kann ich dazu nicht finden.
Trotzdem muss ich auf der Diskstation für Radius einen Benutzer anlegen und mich dann mit
meinem Endgerät (z.B. mein Handy über einen Wlan AP am Switch beim Radius Server auf
der Diskstation anmelden). Wie das eine Doorbird machen soll ist mir ein Rätsel, aber ich bin
auch kein Netzwerk Mensch. Ein Tutorial kann ich dazu nicht finden.
An die Alarmanlage! Uff, den Wald vor lauter Bäumen nicht gesehen. Besten Dank!
Wie das eine Doorbird machen soll ist mir ein Rätsel,
Bei Endgeräten die keinen 802.1x Client an Bord haben geht die Radius Authentisierung dann logischerweise einzig nur über ihre Mac Adresse. Wie auch anders wenn kein .1x da ist ?!Ein Tutorial dazu findest du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw. für WLAN hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Bzw. diverse Tips in den weiterführenden Links.
Zitat von @bluescreen:
@ Datenreise
Die Fritzbox hinter den Router als IP Client zu setzen hatte ich noch gar nicht bedacht.
Meines Wissens nach habe ich allerdings kein VOIP. Ginge es dann totzdem ?
Kann das Vigor Kabel Internet oder nur DSL?
@ Datenreise
Die Fritzbox hinter den Router als IP Client zu setzen hatte ich noch gar nicht bedacht.
Meines Wissens nach habe ich allerdings kein VOIP. Ginge es dann totzdem ?
Kann das Vigor Kabel Internet oder nur DSL?
Wenn Du tatsächlich einen Analog/ISDN-Anschluss hast, geht das so nicht, nein. Da Du allerdings offenbar hinter einem Kabelanschluss sitzt, hast Du auch VoIP, diese gab es nämlich nie anders.
Solltest Du hinter DSL plus ISDN sitzen: Ruf Deinen Provider an, er wird den Anschluss mit Kusshand kostenlos migrieren. Oder sitzt Du an einem sehr exotischen Ort?
Vigor kann lediglich (V)DSL. Kombinierte Kabel/DSL-Modems gibt es meines Wissens nach auch gar nicht.
Meines Wissens nach habe ich allerdings kein VOIP.
In D fast unmöglich, da sind so gut wie alle analogen Telefonanschlüsse umgestellt. Ganze besonders wenn man zusätzlich noch einen xDSL Datenanschluss hat. Das solltest du also besser erstmal wasserdicht klären ob dem wirklich so ist !
Der Switch kann auch über eine Whitelist die MAC Adresse prüfen. Ich nehme an, dass es keinen
Unterschied macht, ob ich die MAC Adresse via Radius oder im Switch prüfe?
Unterschied macht, ob ich die MAC Adresse via Radius oder im Switch prüfe?
Hm, dann ist es wohl VOIP, denn es ist ein Unitymedia/Vodafone Kabel Anschluss.
Wenn das Vigor nur für DSL ist, wäre dann nicht der richtige Aufbau bei mir:
Fritzbox mit Bridgemode auf z.B. LAN 2 -> USG -> Switch? Telefonie solle so gehen und
ich spare mir ein neues Modem, wenn es das für Kabel geben sollte.?
Wenn das Vigor nur für DSL ist, wäre dann nicht der richtige Aufbau bei mir:
Fritzbox mit Bridgemode auf z.B. LAN 2 -> USG -> Switch? Telefonie solle so gehen und
ich spare mir ein neues Modem, wenn es das für Kabel geben sollte.?
Ich nehme an, dass es keinen Unterschied macht, ob ich die MAC Adresse via Radius oder im Switch prüfe?
Nein, das macht keinen Unterschied. Nur das die statische Mac dann eben immer Port bezogen ist was es bei Radius nicht ist.
Meines Wissen nach ist die FritzBox im BridgeModus dann nur noch ein Modem, kann also nicht mehr als Telefonanlage oder irgendetwas anderes benutzt werden. Mag sein, dass ich falsch liegen, am besten mal bei AVM anfragen.
Allerdings ist dieser Modus wohl auch kein unterstütztes Szenario mehr, neuere Firmware-Versionen haben das rausgepatched.
Es ist in Deinem Fall wohl wesentlich einfacher, das doppelte NAT in Kauf zu nehmen.
Allerdings ist dieser Modus wohl auch kein unterstütztes Szenario mehr, neuere Firmware-Versionen haben das rausgepatched.
Es ist in Deinem Fall wohl wesentlich einfacher, das doppelte NAT in Kauf zu nehmen.
ist die FritzBox im BridgeModus dann nur noch ein Modem
Das ist richtig aber AVM supportet schon seit Langem diesen Bridge Modus nicht mehr. Zumindest nicht in aktuellen Modellen. Ausnahme sind ältere Modelle wie z.B. die 7412 u.a.https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254
Also, in den Einstellungen der Unitymedia/Vodafone Fritzbox taucht es noch auf und klingt
nicht nach totaler Abschaltung aller Funktionen, sondern als wenn lediglich ein Port
gebridged würde:
nicht nach totaler Abschaltung aller Funktionen, sondern als wenn lediglich ein Port
gebridged würde:
👍 Perfekt, dann hast du Glück und es ist supportet !
Ich habe jetzt ein USG an einen Bridge Port gehangen. Das USG bekommt dabei eine 2te, öffentliche
IP und die Fritzbox hat weiterhin ihre alte öffentliche IP und Telefon funktioniert auch. Das macht
mich erstmal sehr zufrieden.
Jetzt kann es an die ganzen Einstellungen gehen.
Ich bedanke mich herzlich bei allen.
Grüße
IP und die Fritzbox hat weiterhin ihre alte öffentliche IP und Telefon funktioniert auch. Das macht
mich erstmal sehr zufrieden.
Jetzt kann es an die ganzen Einstellungen gehen.
Ich bedanke mich herzlich bei allen.
Grüße
