24
Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?
Hallo und guten Tag allerseits!
Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit eigener Firewall (pfSense oder Mikrotik) versus kaskadierte Router dazu entschlossen, mich hier anzumelden.
Grundsätzlich bin ich privat wie auch früher beruflich relativ intensiv im IT-Bereich tätig (gewesen), hatte aber bisher die Vernetzung nicht intensiv im Fokus, also wenig bis keine Erfahrung außerhalb der Consumer-Lösungen.
Hoffentlich kann sich hier jemand die Zeit nehmen, auf meine (eher laienhaften) Fragen einzugehen, die ich leider trotz intensivem Lesens nicht abschließend selbst beantworten konnte.
Folgende Ist-Situation liegt bei mir vor:
1.) Vorhandener Internet-Zugang
Vodafone-Kabel, 1000 MBit/s mit Homebox-Funktion (zwei gleichzeitige Telefonleitung nutzen mit insgesamt 10 Rufnummern),
private IPv4-Adresse ist derzeit vorhanden zwecks VPN-IPsec-Standverbindung zwischen hier verwendeter FritzBox6591 (eigene, privat zugekaufte verwendet, nicht die von VF „kastrierte“ zur HomeBox-Option zwangsläufig mitgelieferte) und einer am anderen Standort verwendeten Kabel FritzBox 6490 (von VF),
2.) Derzeitige Konfiguration hier
FB6591 am Kabel, als „DMZ des kleinen Mannes“ leistet Telefonie und ist Router für eine Video-IP-Klingelanlage und vier Außen-IP-Ü-Kameras sowie zwei im Mesh laufende AVM-WLAN-Repeater (beide als LAN-Bridge), FB 6591 ist WLAN-Access-Point (Mesh-Master für zugehöriges DMZ-WLAN).
Kaskadierte (private) FB6490, VPN erfolgreich per Port-Freigaben von FB6591 „durchgeroutet“, ist LAN-Router für dahinter liegende PC, NAS (Synology) etc., FB 6490 ist WLAN-Access-Point (Mesh-Master für zugehöriges privates Heim-WLAN).
Im LAN (leider) an einigen Stellen kaskadierte (leider bisher) unmanaged Switches (TP-Link).
Das läuft soweit alles grundsätzlich wie es soll. Ich kann vom LAN mit der Synology die Kameras in der DMZ nutzen. Ebenso die Video-IP-Klingel etc. VPN zwischen den Standorten funktioniert wie es soll (so gut das mit den FritzBoxen eben geht). Internet-Zugang vom LAN funktioniert, Ebenso der Zugriff vom LAN auf die „DMZ“ und die FB6591. Umgekehrt ist das LAN von der „DMZ“ aus nicht erreichbar (was primär das Ziel der Aktion war).
Das Problem ist (natürlich) das doppelte Routing bzw. das doppelte NAT.
Ich bekomme mit ein und demselben PC direkt per LAN-Kabel an der FB6591 (Router ins Kabelnetz von VF) angeschlossen je nach Tageszeit tatsächlich 800 bis 900 MBit/s Download und manchmal sogar über 50 MBit/s Upload.
Denselben PC direkt per LAN-Kabel an die FB6490 angeschlossen (die direkt per LAN-Kabel an die FB6591 kaskadiert ist) verliere ich rund 50 bis 60 % und komme maximal noch auf 300 MBit/s Download und ca. 20 Mbit/s Upload.
Nach dem, was ich hier bisher gelesen habe, liegt das am doppelten NAT und/oder an den langsamen Fritzboxen.
Weder die zugekaufte FB6591 noch die Vodafone-FB6591 kann ich im Bridgemode betreiben (nicht einstellbar in der FW), so dass ich also keine dediziertes Kabelmodem daraus machen kann.
Was kann mir von euch bitte KONKRET als Lösungsmöglichkeit vorgeschlagen werden?
Sollte ich versuchen eine potente pfSense-Hardware (WELCHE?) oder einen Mikrotik-Router (WELCHEN?) zuzukaufen und diese direkt hinter dem NAT der FB6591 einsetzen? Kann ich so einen höheren Durchsatz erzielen? Kenne mich mit pfSense und den Mikrotik-Geräten bisher überhaupt noch nicht aus. Doppeltes NAT wäre ja dann noch immer nötig (?).
Oder muss ich versuchen, bei VF den Bridgemode für die VF-FB6591 zu „erkaufen“ (und diese dann statt der privaten FB6591 verwenden), wobei ich Sorge habe, die private IPv4-Adresse zu verlieren (was beim Vertragswechsel bisher dort immer passierte und nur mit Aufwand wiederherstellbar war)?
Ziel ist, auf die eine oder andere Art eine ("potentere") DMZ vor dem LAN zu etablieren, wie sie jetzt quasi vorhanden ist, ohne die erheblichen Verluste die ich jetzt im LAN habe.
Das „stehende“ VPN zwischen den beiden Standorten soll möglichst erhalten bleiben. Eine (mögliche oder auch nötige) Umstellung auf WireGuard oder ein anderes VPN (als bisher das von AVM vorgesehene bei Verbindung zweier FB) würde ich annehmen, wenn das überhaupt möglich ist.
Sorry, falls mein Netz-Vokabular nicht professionell genug oder fehlerhaft sein sollte. Ich habe mich bemüht alles richtig zu formulieren.
Einige Tutorials bzgl. pfSense u.a. habe ich hier zwar mehrmals durchgelesen. Bin aber mangels praktischer Ansicht nicht überall schlau draus geworden (Anfassen ist immer einfacher für mich als nur abstrakt Lesen).
Wäre für kurze prägnante Tipps, gerne mit konkreten Produktvorschlägen wirklich sehr dankbar.
Bleibt alle gesund!!
Olderman
Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit eigener Firewall (pfSense oder Mikrotik) versus kaskadierte Router dazu entschlossen, mich hier anzumelden.
Grundsätzlich bin ich privat wie auch früher beruflich relativ intensiv im IT-Bereich tätig (gewesen), hatte aber bisher die Vernetzung nicht intensiv im Fokus, also wenig bis keine Erfahrung außerhalb der Consumer-Lösungen.
Hoffentlich kann sich hier jemand die Zeit nehmen, auf meine (eher laienhaften) Fragen einzugehen, die ich leider trotz intensivem Lesens nicht abschließend selbst beantworten konnte.
Folgende Ist-Situation liegt bei mir vor:
1.) Vorhandener Internet-Zugang
Vodafone-Kabel, 1000 MBit/s mit Homebox-Funktion (zwei gleichzeitige Telefonleitung nutzen mit insgesamt 10 Rufnummern),
private IPv4-Adresse ist derzeit vorhanden zwecks VPN-IPsec-Standverbindung zwischen hier verwendeter FritzBox6591 (eigene, privat zugekaufte verwendet, nicht die von VF „kastrierte“ zur HomeBox-Option zwangsläufig mitgelieferte) und einer am anderen Standort verwendeten Kabel FritzBox 6490 (von VF),
2.) Derzeitige Konfiguration hier
FB6591 am Kabel, als „DMZ des kleinen Mannes“ leistet Telefonie und ist Router für eine Video-IP-Klingelanlage und vier Außen-IP-Ü-Kameras sowie zwei im Mesh laufende AVM-WLAN-Repeater (beide als LAN-Bridge), FB 6591 ist WLAN-Access-Point (Mesh-Master für zugehöriges DMZ-WLAN).
Kaskadierte (private) FB6490, VPN erfolgreich per Port-Freigaben von FB6591 „durchgeroutet“, ist LAN-Router für dahinter liegende PC, NAS (Synology) etc., FB 6490 ist WLAN-Access-Point (Mesh-Master für zugehöriges privates Heim-WLAN).
Im LAN (leider) an einigen Stellen kaskadierte (leider bisher) unmanaged Switches (TP-Link).
Das läuft soweit alles grundsätzlich wie es soll. Ich kann vom LAN mit der Synology die Kameras in der DMZ nutzen. Ebenso die Video-IP-Klingel etc. VPN zwischen den Standorten funktioniert wie es soll (so gut das mit den FritzBoxen eben geht). Internet-Zugang vom LAN funktioniert, Ebenso der Zugriff vom LAN auf die „DMZ“ und die FB6591. Umgekehrt ist das LAN von der „DMZ“ aus nicht erreichbar (was primär das Ziel der Aktion war).
Das Problem ist (natürlich) das doppelte Routing bzw. das doppelte NAT.
Ich bekomme mit ein und demselben PC direkt per LAN-Kabel an der FB6591 (Router ins Kabelnetz von VF) angeschlossen je nach Tageszeit tatsächlich 800 bis 900 MBit/s Download und manchmal sogar über 50 MBit/s Upload.
Denselben PC direkt per LAN-Kabel an die FB6490 angeschlossen (die direkt per LAN-Kabel an die FB6591 kaskadiert ist) verliere ich rund 50 bis 60 % und komme maximal noch auf 300 MBit/s Download und ca. 20 Mbit/s Upload.
Nach dem, was ich hier bisher gelesen habe, liegt das am doppelten NAT und/oder an den langsamen Fritzboxen.
Weder die zugekaufte FB6591 noch die Vodafone-FB6591 kann ich im Bridgemode betreiben (nicht einstellbar in der FW), so dass ich also keine dediziertes Kabelmodem daraus machen kann.
Was kann mir von euch bitte KONKRET als Lösungsmöglichkeit vorgeschlagen werden?
Sollte ich versuchen eine potente pfSense-Hardware (WELCHE?) oder einen Mikrotik-Router (WELCHEN?) zuzukaufen und diese direkt hinter dem NAT der FB6591 einsetzen? Kann ich so einen höheren Durchsatz erzielen? Kenne mich mit pfSense und den Mikrotik-Geräten bisher überhaupt noch nicht aus. Doppeltes NAT wäre ja dann noch immer nötig (?).
Oder muss ich versuchen, bei VF den Bridgemode für die VF-FB6591 zu „erkaufen“ (und diese dann statt der privaten FB6591 verwenden), wobei ich Sorge habe, die private IPv4-Adresse zu verlieren (was beim Vertragswechsel bisher dort immer passierte und nur mit Aufwand wiederherstellbar war)?
Ziel ist, auf die eine oder andere Art eine ("potentere") DMZ vor dem LAN zu etablieren, wie sie jetzt quasi vorhanden ist, ohne die erheblichen Verluste die ich jetzt im LAN habe.
Das „stehende“ VPN zwischen den beiden Standorten soll möglichst erhalten bleiben. Eine (mögliche oder auch nötige) Umstellung auf WireGuard oder ein anderes VPN (als bisher das von AVM vorgesehene bei Verbindung zweier FB) würde ich annehmen, wenn das überhaupt möglich ist.
Sorry, falls mein Netz-Vokabular nicht professionell genug oder fehlerhaft sein sollte. Ich habe mich bemüht alles richtig zu formulieren.
Einige Tutorials bzgl. pfSense u.a. habe ich hier zwar mehrmals durchgelesen. Bin aber mangels praktischer Ansicht nicht überall schlau draus geworden (Anfassen ist immer einfacher für mich als nur abstrakt Lesen).
Wäre für kurze prägnante Tipps, gerne mit konkreten Produktvorschlägen wirklich sehr dankbar.
Bleibt alle gesund!!
Olderman
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 643961
Url: https://administrator.de/contentid/643961
Printed on: April 24, 2024 at 14:04 o'clock
24 Comments
Latest comment
Moin,
ich habe hier die Standard-Box von Vodafone im Bridge-Modus laufen und dahinter eine APU4 mit pfSense (Anleitung hier: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät)
Damit hast du kein doppeltes NAT und kannst dir deine DMZ als eigenes Netzwerksegment einrichten.
VG
ich habe hier die Standard-Box von Vodafone im Bridge-Modus laufen und dahinter eine APU4 mit pfSense (Anleitung hier: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät)
Damit hast du kein doppeltes NAT und kannst dir deine DMZ als eigenes Netzwerksegment einrichten.
VG
@BirdyB
Vielen Dank für deinen schnellen Hinweis!
Die Möglichkeit, eine Vodafone-Standard-Box statt der FB6591 zu verwenden hatte ich mir heute auch angelesen.
Dazu finden sich aber abhängig vom Zeitpunkt der Beiträge und abhängig vom Provider (Vodafone-Kabeldeutschland oder UM...) sehr unterschiedliche Meldungen von "ohne Probleme" bis hin zu "geht aktuell nicht mehr" oder "wird nicht mehr geschaltet".
Außerdem, wenn ich meinen Vertrag auf Verwendung der Vodafone-Standard-Box umstelle, verliere ich doch die HomeBox-Option und somit auch die zwei gleichzeitigen Telefonleitungen, die 10 Rufnummern und voraussichtlich auch die private IPv4-Adresse, oder nicht?
HG
Vielen Dank für deinen schnellen Hinweis!
Die Möglichkeit, eine Vodafone-Standard-Box statt der FB6591 zu verwenden hatte ich mir heute auch angelesen.
Dazu finden sich aber abhängig vom Zeitpunkt der Beiträge und abhängig vom Provider (Vodafone-Kabeldeutschland oder UM...) sehr unterschiedliche Meldungen von "ohne Probleme" bis hin zu "geht aktuell nicht mehr" oder "wird nicht mehr geschaltet".
Außerdem, wenn ich meinen Vertrag auf Verwendung der Vodafone-Standard-Box umstelle, verliere ich doch die HomeBox-Option und somit auch die zwei gleichzeitigen Telefonleitungen, die 10 Rufnummern und voraussichtlich auch die private IPv4-Adresse, oder nicht?
HG
Doppeltes NAT wäre ja dann noch immer nötig (?).
Nein ! Nicht wenn du es richtig machst und das FritzBox Geraffel durch ein reines Kabel NUR Modem wie z.B. das TC4400 ersetzt und das Internet direkt auf der Firewall oder dem Router terminierst.Endlich: Reines Kabel-TV Modem in D erhältlich !
Dann bist du ein für alle Mal das ungünstige Kaskaden Design los.
Die FB benutzt du dann nur noch als reine VoIP Telefonanlage im internen Netzwerk.
Wenn du zurück auf die Vodafone Station gehst, wirst du die Telefonieoption nicht halten können, da diese es nicht unterstützt. Die Hardware ist nur auf zwei analoge Endgeräte ausgelegt, was dann auch bedeutet, dass du nur zwei Rufnummern haben kannst. Daher gibt es bei der Option, glaube ich, auch automatisch die Fritzbox dazu.
Die "öffentliche IPv4-Adresse" kannst du behalten. Zumindest im Ex-UMKBW-Bereich gibt es die Aussage, dass man die V4-Adresse wiederbekommt, wenn man mal eine hatte und den Vertrag nicht gekündigt hat.
Da die Fritz!Box keinen akzeptablen BridgeMode unterstützt, wirst du dich wohl umorientieren müssen. Wobei ich eher glaube, dass die 6490, die du dahinter geschaltet hast, das eigentliche Problem für deinen Bandbreitenverlust ist. Gigabit-NAT benötigt sehr viel CPU-Leistung, die so ein Router nicht hat und bei der 6490 war dieses auch nicht nötig, weil die eben kein Gigabit-NAT können musste.
Wenn du ohne Doppel-NAT arbeiten willst, musst du dir ein Docsis 3.1 MODEM beschaffen, keinen Router, und diesen als eigenes Endgerät aktivieren lassen. Dann erhältst du für deine Telefonie auch die Zugangsdaten und kannst dein 2/10-Telefoniespiel Weiterbetrieben, musst dann aber auch alles händisch auf irgendeinem Gerät konfigurieren. Im Ex-UMKBW-Gebiet musst du darauf achten, dass deren Telefonie nicht NAT-fähig ist, also die Telefonie muss auf dem Router und mit der WAN-IP registriert werden. Von irgendeinem Gerät im LAN geht es nicht, weil dann die IP-Adressen in den SIP-Paketen nicht stimmen und damit die Technik von Ex-UMKBW nicht umgehen kann.
Wie es im Ex-KDG-Gebiet aussieht, kann ich nicht sagen.
Bedenke jedoch, dass die Hardware einen gewissen Preis haben wird und du vollumfänglich dafür verantwortlich bist, also Updates, Tausch im Defektfall, Support gibt es nur, wenn VF Lust dazu hat.
Die "öffentliche IPv4-Adresse" kannst du behalten. Zumindest im Ex-UMKBW-Bereich gibt es die Aussage, dass man die V4-Adresse wiederbekommt, wenn man mal eine hatte und den Vertrag nicht gekündigt hat.
Da die Fritz!Box keinen akzeptablen BridgeMode unterstützt, wirst du dich wohl umorientieren müssen. Wobei ich eher glaube, dass die 6490, die du dahinter geschaltet hast, das eigentliche Problem für deinen Bandbreitenverlust ist. Gigabit-NAT benötigt sehr viel CPU-Leistung, die so ein Router nicht hat und bei der 6490 war dieses auch nicht nötig, weil die eben kein Gigabit-NAT können musste.
Wenn du ohne Doppel-NAT arbeiten willst, musst du dir ein Docsis 3.1 MODEM beschaffen, keinen Router, und diesen als eigenes Endgerät aktivieren lassen. Dann erhältst du für deine Telefonie auch die Zugangsdaten und kannst dein 2/10-Telefoniespiel Weiterbetrieben, musst dann aber auch alles händisch auf irgendeinem Gerät konfigurieren. Im Ex-UMKBW-Gebiet musst du darauf achten, dass deren Telefonie nicht NAT-fähig ist, also die Telefonie muss auf dem Router und mit der WAN-IP registriert werden. Von irgendeinem Gerät im LAN geht es nicht, weil dann die IP-Adressen in den SIP-Paketen nicht stimmen und damit die Technik von Ex-UMKBW nicht umgehen kann.
Wie es im Ex-KDG-Gebiet aussieht, kann ich nicht sagen.
Bedenke jedoch, dass die Hardware einen gewissen Preis haben wird und du vollumfänglich dafür verantwortlich bist, also Updates, Tausch im Defektfall, Support gibt es nur, wenn VF Lust dazu hat.
@aqui
Auch dir vielen Dank für die schnelle Reaktion.
Über die Möglichkeit ein TC4400-Modem (wohl derzeit fast nicht zu bekommen) zu nutzen habe ich ebenso gelesen. Der Nachteil soll aber hier sein, das nötige FW-Updates nur kostenpflichtig beim Vertreiber möglich sind. Ist das richtig?
Grundsätzlich wäre das ja dann eine ähnliche Lösung wie
a. die FB6591 (wenn noch möglich) wie hier
https://www.youtube.com/watch?v=SC_BHWW0xGo
dargestellt in den Bridgemode zu bringen
oder
b. wie von BirdyB beschrieben den Vertrag (mit den noch immer nicht abwägbaren Risiken des Verlustes von zwei Leitungen, 10 Rufnummern und der privaten IPv4-Adresse) auf Standard-Vodafone-Box (nur Modem) umzustellen
und dann eine der von dir hier im Forum sehr schön beschriebenen (danke dafür) Firewall-Lösungen mit pfSense zu installieren.
Ich bin eben sehr unsicher, wie ich das Modem-Problem ohne Nachteile für die derzeit genutzten Dienstleistungen von VF lösen soll.
Wenn das zu klären wäre, önnte ich weiterschauen, welche firewall ich kaufe oder zusammen baue.
HG
Auch dir vielen Dank für die schnelle Reaktion.
Über die Möglichkeit ein TC4400-Modem (wohl derzeit fast nicht zu bekommen) zu nutzen habe ich ebenso gelesen. Der Nachteil soll aber hier sein, das nötige FW-Updates nur kostenpflichtig beim Vertreiber möglich sind. Ist das richtig?
Grundsätzlich wäre das ja dann eine ähnliche Lösung wie
a. die FB6591 (wenn noch möglich) wie hier
https://www.youtube.com/watch?v=SC_BHWW0xGo
dargestellt in den Bridgemode zu bringen
oder
b. wie von BirdyB beschrieben den Vertrag (mit den noch immer nicht abwägbaren Risiken des Verlustes von zwei Leitungen, 10 Rufnummern und der privaten IPv4-Adresse) auf Standard-Vodafone-Box (nur Modem) umzustellen
und dann eine der von dir hier im Forum sehr schön beschriebenen (danke dafür) Firewall-Lösungen mit pfSense zu installieren.
Ich bin eben sehr unsicher, wie ich das Modem-Problem ohne Nachteile für die derzeit genutzten Dienstleistungen von VF lösen soll.
Wenn das zu klären wäre, önnte ich weiterschauen, welche firewall ich kaufe oder zusammen baue.
HG
@tikayevent
Auch vielen Dank!
Du beschreibst ja nochmals ausführlich mein Dilemma.
Da du auch die FB6490 als Leistungsbremse beim Gigabit-NAT hältst, wäre denn der Versuch einen preiswerten Gigabit-Mikrotik-Switch statt dessen einzubinden und ggf. dahiner die FB6490 nur noch als WLAN-Mesh-Master im LAN zu verwenden aussichtsreich bzgl. Datendurchsatz?
HG
Auch vielen Dank!
Du beschreibst ja nochmals ausführlich mein Dilemma.
Da du auch die FB6490 als Leistungsbremse beim Gigabit-NAT hältst, wäre denn der Versuch einen preiswerten Gigabit-Mikrotik-Switch statt dessen einzubinden und ggf. dahiner die FB6490 nur noch als WLAN-Mesh-Master im LAN zu verwenden aussichtsreich bzgl. Datendurchsatz?
HG
Zitat von @Olderman:
b. wie von BirdyB beschrieben den Vertrag (mit den noch immer nicht abwägbaren Risiken des Verlustes von zwei Leitungen, 10 Rufnummern und der privaten IPv4-Adresse) auf Standard-Vodafone-Box (nur Modem) umzustellen
und dann eine der von dir hier im Forum sehr schön beschriebenen (danke dafür) Firewall-Lösungen mit pfSense zu installieren.
Du kannst die Nummern auch zu einem SIP-Anbieter deiner Wahl migrieren (z.B. Sipgate) und bei VF nur die Internet-Leitung nehmen. Dann baust du die pfSense hinter die Standard-Box im Bridge-Modus und für die Telefonie kannst du die FritzBox als Client hinter deine pfSense hängen.b. wie von BirdyB beschrieben den Vertrag (mit den noch immer nicht abwägbaren Risiken des Verlustes von zwei Leitungen, 10 Rufnummern und der privaten IPv4-Adresse) auf Standard-Vodafone-Box (nur Modem) umzustellen
und dann eine der von dir hier im Forum sehr schön beschriebenen (danke dafür) Firewall-Lösungen mit pfSense zu installieren.
Dann bist du was die Telefonie anbelangt komplett unabhängig von dem Internet-Provider, falls du mal wechseln möchtest.
Das wäre sicherlch möglich. Aber dabei verliere ich einige finanzielle Vorteile, wie z.B. die GigaKombi durch die ich komplette Flat vom Festnetz in alle deutschen Mobilfiknetze bekomme und noch andere Vorteile. Einfach zu blöd, dass hier die Provider so beschränkte Möglichkeiten eröffnen.
Ich kenne die Beschränkungen der Fritzbox nicht. Grundsätzlich ja, würde es gehen, z.B. mit einem Mikrotik hEX, aber dafür müsstest du dann in der Fritzbox z.B. Zugriff auf das statische Routing haben. Bei einer freien Kiste ist es da, bei einer Providerkiste ist es immer eine Wundertüte.
Aber ein hEX kostet nicht viel und kann für verschiedene Szenarien eingesetzt werden. Aber ich habe ja das Problem Telefonie angesprochen. Unter Beibehaltung einer Fritzbox als Kabelmodem bzw. Router kein Problem, da bleibt die Telefonie an der richtigen Stelle (im Gegenzug ist es natürlich dann aus Sicherheitsaspekten kritisch, weil die Webverwaltung der FBox im Transitnetz bzw. der DMZ liegen würde), wenn du dann aber mal ein Kabelmodem oder einen Router im Bridgemode hast, würdest du arge Probleme mit der Telefonie bekommen (zumindest im Ex-UMKBW-Netz, zu Ex-KDG kann ich nichts sagen), weil Mikrotik im Bereich VoIP gar nichts macht. Kann man sicher irgendwie umgehen, aber dass ist nichts für Anfänger.
Wie es dann mit dem AVM-Kram weiterfunktionieren könnte, kann ich dir nicht sagen, ich hatte nur für wenige Monate eine 6490 und war froh, als ich die bei ebay los geworden bin, seitdem ist mein Netzwerk wieder AVM-frei.
Aber ein hEX kostet nicht viel und kann für verschiedene Szenarien eingesetzt werden. Aber ich habe ja das Problem Telefonie angesprochen. Unter Beibehaltung einer Fritzbox als Kabelmodem bzw. Router kein Problem, da bleibt die Telefonie an der richtigen Stelle (im Gegenzug ist es natürlich dann aus Sicherheitsaspekten kritisch, weil die Webverwaltung der FBox im Transitnetz bzw. der DMZ liegen würde), wenn du dann aber mal ein Kabelmodem oder einen Router im Bridgemode hast, würdest du arge Probleme mit der Telefonie bekommen (zumindest im Ex-UMKBW-Netz, zu Ex-KDG kann ich nichts sagen), weil Mikrotik im Bereich VoIP gar nichts macht. Kann man sicher irgendwie umgehen, aber dass ist nichts für Anfänger.
Wie es dann mit dem AVM-Kram weiterfunktionieren könnte, kann ich dir nicht sagen, ich hatte nur für wenige Monate eine 6490 und war froh, als ich die bei ebay los geworden bin, seitdem ist mein Netzwerk wieder AVM-frei.
Vielleicht sollte ich dem Vorschlag von @tikayevent folgend ersteinmal eine nicht zu teure Lösung mit einem performanteren Router inkl. Firewall (trotz doppeltem NAT) als Ersatz für die FB6490 versuchen?
Welche Hardware-Software-Kombi bietet sich hier eher an?
Ich kenne bisher weder pfSense noch die Mikrotik-Router.
Wenn Mikrotik, welche HW entspricht wohl eher dem was ich brauche?
Wenn nicht Mikrotik sondern pfSense sollte ich eher ein APU- oder ein IPU-System kaufen? Wenn ja mit welche Ausstattung?
Die Angebote sind leider sehr vielfältig.
Bzgl. Mikrotik las ich u.a. hier irgendwo, dass sie eher schwer zu administrieren sind für Einsteiger als pfSense. ist das richtig?
Bin irgendwie ratlos bzgl. einer Auswahl.
Jedenfalls brauche ich doch wohl die eine oder andere FireWall-Router-Lösung ohnehin, zunächst mal egal, ob ich am Kabelanschluss eine reine Modem-Lösung gebacken bekomme oder ob ich erst einmal sehen will, ob der Ersatz der FB6490 durch eine andere Router-HW einen Datendurchsatz mit geringereren, eher zu verschmerzenden Verlusten ermöglicht. Also evtl. erst einmal diese Anschaffung aber gleich mit der Option, sie ggf. auch hiner einem reinen Kabel-Modem zu betreiben.
Wie schon eingangs gesagt, wäre ich für ganz konkrete Produktvorschläge sehr dankbar.
HG
Welche Hardware-Software-Kombi bietet sich hier eher an?
Ich kenne bisher weder pfSense noch die Mikrotik-Router.
Wenn Mikrotik, welche HW entspricht wohl eher dem was ich brauche?
Wenn nicht Mikrotik sondern pfSense sollte ich eher ein APU- oder ein IPU-System kaufen? Wenn ja mit welche Ausstattung?
Die Angebote sind leider sehr vielfältig.
Bzgl. Mikrotik las ich u.a. hier irgendwo, dass sie eher schwer zu administrieren sind für Einsteiger als pfSense. ist das richtig?
Bin irgendwie ratlos bzgl. einer Auswahl.
Jedenfalls brauche ich doch wohl die eine oder andere FireWall-Router-Lösung ohnehin, zunächst mal egal, ob ich am Kabelanschluss eine reine Modem-Lösung gebacken bekomme oder ob ich erst einmal sehen will, ob der Ersatz der FB6490 durch eine andere Router-HW einen Datendurchsatz mit geringereren, eher zu verschmerzenden Verlusten ermöglicht. Also evtl. erst einmal diese Anschaffung aber gleich mit der Option, sie ggf. auch hiner einem reinen Kabel-Modem zu betreiben.
Wie schon eingangs gesagt, wäre ich für ganz konkrete Produktvorschläge sehr dankbar.
HG
@tikayevent
da haben sich unsere Posts gerade überschnitten...
Dann scheidet wohl Mikrotik eher aus für mich.
Kann ich nicht auch eine FritzBox nur für die Telefonie ausschließlich als exposed Host hinter einem Modem betreiben ohne große Sicherheitsprobleme?
da haben sich unsere Posts gerade überschnitten...
Dann scheidet wohl Mikrotik eher aus für mich.
Kann ich nicht auch eine FritzBox nur für die Telefonie ausschließlich als exposed Host hinter einem Modem betreiben ohne große Sicherheitsprobleme?
Bei mir läuft eine Kombination aus einem Technicolor TC4400-EU als Kabelmodem, einem LANCOM 1906VA-4G als Router, das WLAN kommt über vier Mikrotik cAP AC (aber nicht als Mesh, sondern jeder AP per Kabel angebunden).
Das ist aber definitiv nichts für dich, weil da schon eine enorme Komplexität drinsteckt und die Hardware zusammen kostet mal eben 1700€.
Problematisch ist halt die Telefonie. Eine pfSense ist halt erstmal eine Softwarelösung. Für die Telefonie muss man darauf hoffen, dass es eine entsprechende Erweiterung gibt, diese mit der Telefonie von VF funktioniert und dann auch noch irgendwie mit der Hardware, die du nutzen willst/musst, zusammenspielt.
Mir fällt jetzt spontan keine Hardware ein, selbst wenn man den Kabelanschluss ausblendet, die eine akzeptable Komplexität hat, alle Funktionen bietet und bezahlbar ist.
Eine pfSense hat auch ihre Komplexität, aber bei der Erstinbetriebnahme tun sich pfSense und Mikrotik beide nichts. Beide haben eine Grundkonfiguration, die in Verbindung mit einem DHCP-basierten Internetzugang einen sofort ins Internet gehen lässt.
Da Mikrotik aber ein Router mit Firewallfunktion ist, während pfSense eine Firewall mit Routerfunktion ist, gibt es hier grundlegende Unterschiede. Router sind grundsätzlich erstmal offen und erlauben sämtliche Kommunikation für alle konfigurierten Schnittstellen, solange bis man dieses über Firewallregeln ändert. Firewalls sind genau anders. Hier muss man die Kommunikation zwischen den Schnittstellen explizit erlauben.
Damit hat man die Kommunikation mit einem Mikrotik schneller am Laufen, muss aber entsprechend gegensteuern, um es sicher zu machen, während bei der pfSense mehr Zeit für die Ermöglichung der Kommunikation nötig ist, dafür eine gewisse Sicherheit da ist, wenn man nichts macht.
Hat Vorteile und Nachteile.
Das ist aber definitiv nichts für dich, weil da schon eine enorme Komplexität drinsteckt und die Hardware zusammen kostet mal eben 1700€.
Problematisch ist halt die Telefonie. Eine pfSense ist halt erstmal eine Softwarelösung. Für die Telefonie muss man darauf hoffen, dass es eine entsprechende Erweiterung gibt, diese mit der Telefonie von VF funktioniert und dann auch noch irgendwie mit der Hardware, die du nutzen willst/musst, zusammenspielt.
Mir fällt jetzt spontan keine Hardware ein, selbst wenn man den Kabelanschluss ausblendet, die eine akzeptable Komplexität hat, alle Funktionen bietet und bezahlbar ist.
Eine pfSense hat auch ihre Komplexität, aber bei der Erstinbetriebnahme tun sich pfSense und Mikrotik beide nichts. Beide haben eine Grundkonfiguration, die in Verbindung mit einem DHCP-basierten Internetzugang einen sofort ins Internet gehen lässt.
Da Mikrotik aber ein Router mit Firewallfunktion ist, während pfSense eine Firewall mit Routerfunktion ist, gibt es hier grundlegende Unterschiede. Router sind grundsätzlich erstmal offen und erlauben sämtliche Kommunikation für alle konfigurierten Schnittstellen, solange bis man dieses über Firewallregeln ändert. Firewalls sind genau anders. Hier muss man die Kommunikation zwischen den Schnittstellen explizit erlauben.
Damit hat man die Kommunikation mit einem Mikrotik schneller am Laufen, muss aber entsprechend gegensteuern, um es sicher zu machen, während bei der pfSense mehr Zeit für die Ermöglichung der Kommunikation nötig ist, dafür eine gewisse Sicherheit da ist, wenn man nichts macht.
Hat Vorteile und Nachteile.
@tikayevent
Danke, das klärt schon ein paar Fragen für mich.
Wenn ich pfSense einsetzen wollte, wäre dann das hier
https://www.apu-board.de/produkte/apu2e4.html
ein brauchbares System mit schnellem Gigabit-NAT? Oder muss ich mehr investieren?
Danke, das klärt schon ein paar Fragen für mich.
Wenn ich pfSense einsetzen wollte, wäre dann das hier
https://www.apu-board.de/produkte/apu2e4.html
ein brauchbares System mit schnellem Gigabit-NAT? Oder muss ich mehr investieren?
Mist - jetzt bin ich irgendwie beim Senden auf gelöst gekommen. Kann man das zurücksetzen? - gefunden 
Möglich ja, aber nur einigen Systemeingriffen, die schon ziemlich in die Tiefe gehen. Gibt Anleitungen dafür im Netz, aber ich kenn die Umgebung nicht, weil es schon einen enormen Unterschied macht, was der Router noch an Diensten anbieten muss. Als reiner Router ohne NAT und Firewall sicher kein Problem. NAT braucht CPU-Zeit, Firewall braucht CPU-Zeit, DNS, DHCP, Telefonie, jede weitere Schnittstelle oder VLANs benötigen CPU-Zeit. Eins der Probleme ist wohl, dass pfSense nur einen CPU-Kern für das Routing nutzt, dein Board hat aber vier.
Daher kann ich es dir nicht sagen und selbst wenn ich könnte, würde ich nicht, weil es von der Umgebung abhängt.
Ich saß selbst vor einem halben Jahr hier und hab Performancemessungen für einen anderen Zweck durchgeführt. Im Test sah es gut aus, in der Produktion bin ich himmelweit davon entfernt.
Daher kann ich es dir nicht sagen und selbst wenn ich könnte, würde ich nicht, weil es von der Umgebung abhängt.
Ich saß selbst vor einem halben Jahr hier und hab Performancemessungen für einen anderen Zweck durchgeführt. Im Test sah es gut aus, in der Produktion bin ich himmelweit davon entfernt.
Ich merke, dass bisher das Licht bei mir dunkler ansatt heller wird
Also wird wohl für meine eingeschränkten Bedarf (und offenbar auch Horizont
) das Beste sein, wenn ich versuche
a.) meine VF-FB6591 wieder ans Kabel zu hängen und versuche, diese von VF in den Bridgemode zu versetzen wie hier
https://www.youtube.com/watch?v=SC_BHWW0xGo
dargestellt und dann einen performante Firewall-Router oder Router-Firewall an einen gebridgten Anschluss zu hängen hinter dem sich dann das LAN befinden soll, der "Rest" der FB wäre dann DMZ inkl. Telefonie
oder
b.) ich "nur" einen performante Firewall-Router oder Router-Firewall kaufe und per doppeltem NAT anstelle der FB6490 hänge.
Spricht eigentlich etwas gegen das andernorts viel zitierte Ubiquiti USG
https://www.amazon.de/Ubiquiti-USG-Netzwerk-Gigabit-Ethernet-Ports-UniFi ...
als Firewall-Router?
Also wird wohl für meine eingeschränkten Bedarf (und offenbar auch Horizont
) das Beste sein, wenn ich versuchea.) meine VF-FB6591 wieder ans Kabel zu hängen und versuche, diese von VF in den Bridgemode zu versetzen wie hier
https://www.youtube.com/watch?v=SC_BHWW0xGo
dargestellt und dann einen performante Firewall-Router oder Router-Firewall an einen gebridgten Anschluss zu hängen hinter dem sich dann das LAN befinden soll, der "Rest" der FB wäre dann DMZ inkl. Telefonie
oder
b.) ich "nur" einen performante Firewall-Router oder Router-Firewall kaufe und per doppeltem NAT anstelle der FB6490 hänge.
Spricht eigentlich etwas gegen das andernorts viel zitierte Ubiquiti USG
https://www.amazon.de/Ubiquiti-USG-Netzwerk-Gigabit-Ethernet-Ports-UniFi ...
als Firewall-Router?
Fritzbox und Bridgemode klappt nicht, da ist die Telefonie im Weg. Die Fritzbox kann kein VoC, sondern die Telefonie muss per VoIP angebunden werden. Dann würdest du zwei IP-Adressen für die Fritzbox benötigen, die du nicht bekommen wirst.
Ubiquiti macht es dir einfach, das müsstest du dann aber im Gesamtkonzept sehen, zusammen mit dem WLAN und den Switches, damit es vollumfänglich sinnvoll wird und das Zeug quatscht den lieben langen Tag mit dem Hersteller. Cloud halt.
Klär ab, ob deine Fritzbox das statische Routing noch beherrscht, dann kannst du die einfach behalten und packst einen Mikrotik oder eine pfSense hin, die KEIN NAT betreiben muss. Telefonie bleibt auf der Fritzbox und fertig.
Ubiquiti macht es dir einfach, das müsstest du dann aber im Gesamtkonzept sehen, zusammen mit dem WLAN und den Switches, damit es vollumfänglich sinnvoll wird und das Zeug quatscht den lieben langen Tag mit dem Hersteller. Cloud halt.
Klär ab, ob deine Fritzbox das statische Routing noch beherrscht, dann kannst du die einfach behalten und packst einen Mikrotik oder eine pfSense hin, die KEIN NAT betreiben muss. Telefonie bleibt auf der Fritzbox und fertig.
Fritzbox und Bridgemode klappt nicht, da ist die Telefonie im Weg. Die Fritzbox kann kein VoC, sondern die Telefonie muss per VoIP angebunden werden. Dann würdest du zwei IP-Adressen für die Fritzbox benötigen, die du nicht bekommen wirst.
das wird ja im verlinkten youtube-video anders dargestellt. Demnach geht Telefonie wohl einfach wie bisher weiter, denn der Ersteller dort erhielt, wie wohl auch andere, automatisch eine zweite IP-Adresse...hab da also jetzt zwei gegensätzliche Aussagen und werde einfach mal VF anrufen in der Hoffnung, jemanden ans Rohr zu bekommen, der ncht total inkompetent ist.
Ubiquiti macht es dir einfach, das müsstest du dann aber im Gesamtkonzept sehen, zusammen mit dem WLAN und den Switches, damit es vollumfänglich sinnvoll wird und das Zeug quatscht den lieben langen Tag mit dem Hersteller. Cloud halt.
dass die Teile nur mit Cloud funktionieren wusste ich noch nicht - danke! Dann scheidet das aus.
Klär ab, ob deine Fritzbox das statische Routing noch beherrscht, dann kannst du die einfach behalten und packst einen Mikrotik oder eine pfSense hin, die KEIN NAT betreiben muss. Telefonie bleibt auf der Fritzbox und fertig.
statisches Routing sollte meine private FB6591 wohl können. Ich konnte ja problemlos UDP und ESP für VPN auf die "innere" FB6490 routen. Oder sehe ich da was falsch?
das letzte war wohl Quatsch...war beim Port Forwarding....aber ich kann in der FB6591 unter Netzwerkeinstellungen Routing-Tabellen erstellen.
dass die Teile nur mit Cloud funktionieren wusste ich noch nicht - danke! Dann scheidet das aus.
Geht wohl auch ohne, aber das Zeug quatscht wie Weltmeister. Ist die Frage, ob man das unbedingt will.statisches Routing sollte meine private FB6591 wohl können. Ich konnte ja problemlos UDP und ESP für VPN auf die "innere" FB6490 routen. Oder sehe ich da was falsch?
Das, was du beschreibst, ist kein statische Routing sondern Destination-NAT, vulgo Portweiterleitung. Statisches Routing ist die ursprüngliche Art des Routing, hat nichts mit NAT zu tun.Das, was du beschreibst, ist kein statische Routing sondern Destination-NAT, vulgo Portweiterleitung. Statisches Routing ist die ursprüngliche Art des Routing, hat nichts mit NAT zu tun.
Ja, natürlich. Sorry. Ich hatte das oben noch nachträglich versucht richtig zu stellen. Wie eingangs erwähnt, bin ich nicht sattelfest in diesem Bereich.
Aber inziwschen geprüft...ich kann in der privaten FB6591 Routing-Tabellen erstellen unter Heimnetz-Netzwerk-Netzwerkeinstellungen, so wie von AVM für statisches Routing dargestellt.
https://avm.de/service/fritzbox/fritzbox-6591-cable/wissensdatenbank/pub ...
Sowohl für IPv4 als auch für IPv6.
Dann einfach einen Mikrotik oder eine pfSense an die FBox, NAT bei dieser abschalten, statische Route(n) auf der FBox anlegen, für die Netzwerke hinter dem neuen Router, Firewall entsprechend konfigurieren und schon ist das Doppel-NAT weg. In der FBox alles unnötige abschalten, wie WLAN, Medienserver und sowas.
Ist nicht perfekt, aber müsste funktionieren.
In dem Netz zwischen FBox und dem neuen Router sollte kein anderes Gerät sein.
Aber bevor du das Netzwerk komplett auseinanderpflückst, erstmal das neue Gerät ins vorhandene Netzwerk und kräftig mit beschäftigen.
Ist nicht perfekt, aber müsste funktionieren.
In dem Netz zwischen FBox und dem neuen Router sollte kein anderes Gerät sein.
Aber bevor du das Netzwerk komplett auseinanderpflückst, erstmal das neue Gerät ins vorhandene Netzwerk und kräftig mit beschäftigen.
Ok, nochmal danke!
Das werde ich nochmal überschlafen und dann gfs. bestellen. Wobei ich noch immer nicht schlüssig bin, ob ein Mikrotik (wenn ja welches???) oder ein APU (wenn ja welches???) die richtige Anschaffung wäre.
Das heißt dann also konkret,
-ich nutze die FB6591 nur noch als Telefonanlage für DECT und angeschlosseses S0-Gerät (TK-Anlage).
-Die per statischer Route angebundene Lösung Mikrotik oder APU übernimmt das (einmalige) NAT, das Routing und die Firewall komplett.
-Dahinter schalte ich an getrennte Ethernet-Anschlüsse oder auch per VLAN (muss ich erst anlesen) sowohl eine DMZ als auch ein privates LAN.
-Zugriffe vom privaten LAN in die DMZ (mit z.B. den Ü-Kameras) kann ich dann in der Firewall bzw. im Router einrichten.
-VPN ins private LAN richte ich dann ebenso in dem Mikrotik oder der APU ein (geht das eigentlich wie bisher mit "stehendem VPN" zu der entfernten FB6490 oder nur noch über Einwahl einzelner Clients?).
Ist das so richtig verstanden von mir?
Korrektur:
Wenn ich das nochmal übedenke, meinst du wohl NAT in der pfSense bzw. dem Mikrotik abschalten?
Mit dem statischen Routen das in der FB auf die hinter Mikrotik oder pfSense liegenden Netze eingerichtet wird übernimmt dann die FB das NAT weiterhin aber nicht (doppelt) Mikrotik oder pfSense???
Das werde ich nochmal überschlafen und dann gfs. bestellen. Wobei ich noch immer nicht schlüssig bin, ob ein Mikrotik (wenn ja welches???) oder ein APU (wenn ja welches???) die richtige Anschaffung wäre.
In dem Netz zwischen FBox und dem neuen Router sollte kein anderes Gerät sein.
Das heißt dann also konkret,
-ich nutze die FB6591 nur noch als Telefonanlage für DECT und angeschlosseses S0-Gerät (TK-Anlage).
-Die per statischer Route angebundene Lösung Mikrotik oder APU übernimmt das (einmalige) NAT, das Routing und die Firewall komplett.
-Dahinter schalte ich an getrennte Ethernet-Anschlüsse oder auch per VLAN (muss ich erst anlesen) sowohl eine DMZ als auch ein privates LAN.
-Zugriffe vom privaten LAN in die DMZ (mit z.B. den Ü-Kameras) kann ich dann in der Firewall bzw. im Router einrichten.
-VPN ins private LAN richte ich dann ebenso in dem Mikrotik oder der APU ein (geht das eigentlich wie bisher mit "stehendem VPN" zu der entfernten FB6490 oder nur noch über Einwahl einzelner Clients?).
Ist das so richtig verstanden von mir?
Korrektur:
Wenn ich das nochmal übedenke, meinst du wohl NAT in der pfSense bzw. dem Mikrotik abschalten?
Mit dem statischen Routen das in der FB auf die hinter Mikrotik oder pfSense liegenden Netze eingerichtet wird übernimmt dann die FB das NAT weiterhin aber nicht (doppelt) Mikrotik oder pfSense???
Hallo noch einmal!
Vorab nochmals Danke, dass sich hier einige von euch meiner laienhaften und für die Netzwerk-Profis vermutlich eher lästigen Frage angenommen haben!
Ich möchte eine Teillösung meines Anliegens hier anderen Laien, die wie ich Hilfe benötigen nicht vorenthalten.
Es ist mir inzwischen gelungen, in meiner privaten FritzBox 6591 (in einer Leihbox wäre das wohl eher nicht zulässig, da im Eigentum des Providers und gemäß AGBs vermutlich verboten tiefergehend zu verändern) den Bridgemode zu aktivieren und einen (von insgesamt drei möglichen) LAN-Ports dafür frei zu schalten. Ich habe auch prompt eine (weitere) dynamische private IPv4-Adresse auf diesem Port bekommen. Überdiese konnte ich testweise eine RDP-Verbindung über Internet zwischen zwei PC aufbauen. Auch ein Speedtest verlief ohne jede Leistungseinschränkung (logisch, PC mit integrierter Firewall direkt am Modem).
Nun kann ich also daran gehen, mir auf die eine oder andere Weise eine eigene Firewall daran zu hängen und eine echte DMZ einzurichten.
Die Vorgehensweise an der Kabel-FritzBox kann man z. B. analog hier
https://www.youtube.com/watch?v=yYzLLYQOGMA
und hier
https://www.kraeg.de/2018/01/04/fritzbox-6490-im-bridge-modus-fritzos-06 ...
nachlesen.
manchmal steht man im Wald und sieht die Bäume nicht...so ging es mir dabei wohl auch.
HG
Vorab nochmals Danke, dass sich hier einige von euch meiner laienhaften und für die Netzwerk-Profis vermutlich eher lästigen Frage angenommen haben!
Ich möchte eine Teillösung meines Anliegens hier anderen Laien, die wie ich Hilfe benötigen nicht vorenthalten.
Es ist mir inzwischen gelungen, in meiner privaten FritzBox 6591 (in einer Leihbox wäre das wohl eher nicht zulässig, da im Eigentum des Providers und gemäß AGBs vermutlich verboten tiefergehend zu verändern) den Bridgemode zu aktivieren und einen (von insgesamt drei möglichen) LAN-Ports dafür frei zu schalten. Ich habe auch prompt eine (weitere) dynamische private IPv4-Adresse auf diesem Port bekommen. Überdiese konnte ich testweise eine RDP-Verbindung über Internet zwischen zwei PC aufbauen. Auch ein Speedtest verlief ohne jede Leistungseinschränkung (logisch, PC mit integrierter Firewall direkt am Modem).
Nun kann ich also daran gehen, mir auf die eine oder andere Weise eine eigene Firewall daran zu hängen und eine echte DMZ einzurichten.
Die Vorgehensweise an der Kabel-FritzBox kann man z. B. analog hier
https://www.youtube.com/watch?v=yYzLLYQOGMA
und hier
https://www.kraeg.de/2018/01/04/fritzbox-6490-im-bridge-modus-fritzos-06 ...
nachlesen.
manchmal steht man im Wald und sieht die Bäume nicht...so ging es mir dabei wohl auch.
HG
