mr.heisenberg
Goto Top

Eigener Router hinter FTTH Anschluß?

Hi,

ich nutze einen FTTH Anschluss der Deutschen Glasfaser (ipv6 Dual Stack Lite). Als Router wurde ein Genexis Titanium Live Router angebracht und man ist verpflichtet diesen zu nutzen (Glasfaserleitung wurde im Router verspleißt) Dieser Router besitzt ein sehr schlechtes WLAN, VPN kann er nicht usw..usw.. Der Router bietet ebenfalls keinen Bright-Mode, so das ich einfach meinen eigenen Router dahinter anschließen kann. Jetzt wurde nebenbei noch eine Sicherheitslücke entdeckt, die es ermöglicht, dass z.B. Mitarbeiter der DGF über den Router ins private Netz schauen können.
Jetzt habe ich mir überlegt, den Router nicht zu nutzen und irgendwie meine eigene Hardware dahinter zu betreiben..?
Als Router stehen zur Verfügung:

Fritzbox 7390 (diese wird als DECT-Basis genutzt)
Fritzbox 7170 (diese nutze ich zur Zeit als AP)
Fritzbox 7270 (ebenfalls als AP im Einsatz)
TP-Link AC1750 C7 Version 1.1 (keine Funktion, nur als Ersatz gedacht)
Als Switch nutze ich einen Netgear GS108 GE 8Port

Jetzt möchte ich den vorhanden Glasfaser Router so konfigurieren, dass er keine Funktion mehr hat und das Internet nur durchgeroutet wird?!?
Hat jemand eine Ahnung, wie ich das am besten bewältige.?

Mir ist gerade noch etwas am Router aufgefallen, der bietet einen DMZ-Host an

5adcfc3c3962713fe17b94b1c2886d31

Content-ID: 264664

Url: https://administrator.de/forum/eigener-router-hinter-ftth-anschluss-264664.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

MrNetman
MrNetman 26.02.2015, aktualisiert am 01.03.2015 um 12:38:40 Uhr
Goto Top
Zitat von @Mr.Heisenberg:
sehr schlechtes WLAN, VPN kann er nicht usw..usw.. Der Router bietet ebenfalls keinen Bright-Mode, so das ich einfach meinen eigenen Router dahinter anschließen kann.
Was ist ein bright-mode?

Es sollte recht trival gehen.
Port 1 der Fritzbox an deinen FTTH Router, automatische Adressvergabe einstellen und ab geht die Post ohne weitere Einsichtnahme.
Siehe Anleitung von aqui: Kopplung von 2 Routern am DSL-Port

Beim VPN gibt es evtl. ein kleines oha: Raus geht es immer, rein eventuell oder nur mit Tricks.

Gruß
Netman
Mr.Heisenberg
Mr.Heisenberg 26.02.2015 aktualisiert um 19:54:03 Uhr
Goto Top
Sorry, meinte natürlich Bridge Modus...

Was ist eine Analeitung.. ;)
sorry, musste jetzt sein

So habe ich es versucht, doch leider benötige ich an der Fritzbox noch eine DSL Leitung (Telekom SIP Accounts) und die Fritzbox kann nur DSL oder Zugang über externes Modem.
Ich würde das ganze auch ein wenig aufteilen wollen und zB. das VOIP-Netz vom Internet trennen.
aqui
aqui 26.02.2015 aktualisiert um 20:45:54 Uhr
Goto Top
dass z.B. Mitarbeiter der DGF über den Router ins private Netz schauen können.
Das ist das Schicksal fast aller die einen Zwangsrouter vom Provider benutzen.
Dort ist ein eigener Router oder Firewall absolute Pflicht, jedenfalls für den der wirklich sicher sein will.
Du kannst jeden x-beliebigen Breitband Router nehmen nur der sollte mindesten VDSL Speed haben also einen 100 Mbit Durchsatz in Wirespeed schaffen !
Am sichersten ist eine kleine SPI Firewall wie z.B. diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit hast du auch einen "wirkliche" DMZ und nicht so einen Kasperkram wie an dem Router.
Solche "Dumm DMZ" an den billigen Zwangsroutern sind gefährlich weil sie dann das interne Netz vollkommen frei ins Internet exponieren. Das ist dann quasi sowas wie eine "Anal-Leitung" face-wink
Mr.Heisenberg
Mr.Heisenberg 26.02.2015 um 21:01:52 Uhr
Goto Top
Könnte ich auch den TP-Link mit Open WRT dahinter nutzen? Mein Internes Netz würde ich dann am TP-Link betreiben...
Wäre eine VPN Lösung so möglich?
aqui
aqui 26.02.2015 um 22:42:33 Uhr
Goto Top
Ja, das wäre auch möglich und sinnvoll da dir OpenWRT erheblich mehr Möglichkeiten bietet !
VPN ist bei DS-Lite immer kritisch und hat NICHTS mit deiner HW egal was zu tun sondern mit DS-Lite selber.
Der Provider betreibt ein zentrales NAT, er übersetzt also die internen IPs in öffentliche.
Das heist ausgehende VPN Verbindungen von dir können das Provider NAT immer passieren, so das von dir selber initiierte VPN Links sauber funktionieren.
Nur eingehende VPN Verbindungen enden am Provider NAT. Alle gängigen VPN Protokolle erfordern hier ein Port Forwarding, da sie so ohne weiteres eine NAT Firewall nicht überwinden könnnen.
Da das NAT aber beim Provider liegt und du keinerlei Einfluss auf den Konfig (Port Forwarding) hast bist du absolut chancenlos.
Das ist der Fluch von DS-Lite !!
Lochkartenstanzer
Lochkartenstanzer 27.02.2015 um 08:51:24 Uhr
Goto Top
Zitat von @Mr.Heisenberg:

Der Router bietet ebenfalls keinen Bright-Mode, so das ich einfach meinen eigenen Router dahinter anschließen kann.

Man kann immer einen eigenen Router oder eien eigne Firewall hinter dem Provider-Router anschließen und sollte das auch tun, wenn man ihn nciht ersetzen kann, egal wie hell oder dunkel der Provider-Router ist.

Zu dem Rest haben die kollegen ja schon genug gesagt.

lks

PS: Frag mal Thomas alias @keine-ahnung bzgl. Analeitungen. Könnte mir vorstellen, daß sowas in bei Koloskopien Verwendung finden könnte.