14
Exposed host -Sicherheitsrisiko?
Hallo zusammen,
Folgendes Anliegen:
Selbstverständlich ist ein reines Modem einem Router im exposed Host- Modus von der Performance her vorzuziehen -
nichtsdestotrotz fällt mir die Realisierung eines IP- Telefonanschlusses hinter meine Firewall in der Konfiguration 'noch' zu schwer - soweit ich weiß müsste ich dann nämlich einstellen, dass der vom Telefon genutzte Port in der Firewall dauerhaft offen bleibt - wie genau ist mir jedoch noch unklar - Irgwelche Tipps, Ideen?
Daher habe ich notgedrungen vor Lösung 1 zu realisieren und meinen Router als exposed Host zu verwenden - soweit mir bekannt ist (korrigiert mich gerne, falls ich hier falsch liege!) , müsste das Telefon, das direkt am Router hängt dann "automatisch" offen gegenüber dem WAN bleiben und sollte somit funktionieren ...
Die Frage, die mich seit etlicher Zeit nicht loslässt und die ich auch nach gründlichem Recherchieren bisher nicht lösen konnte ist, ob es nicht - neben dem technischen Manko- auch ein Sicherheitsverlust ist, meinen Router als exposed host zu benutzen ... Immerhin könnte jemand doch direkt in diesen Router einen sniffer setzen (selbst wenn ich ihn nur als Pass through benutze ) - da kann doch die dahinterliegende Firewall mein Lan noch so gut schützen wie sie will- Passwörter/Emails/ restlicher Traffic kann ja so einfach abgegraben werden, oder täusche ich mich da?
Freue mich auf eure Rückmeldungen !
Folgendes Anliegen:
Selbstverständlich ist ein reines Modem einem Router im exposed Host- Modus von der Performance her vorzuziehen -
nichtsdestotrotz fällt mir die Realisierung eines IP- Telefonanschlusses hinter meine Firewall in der Konfiguration 'noch' zu schwer - soweit ich weiß müsste ich dann nämlich einstellen, dass der vom Telefon genutzte Port in der Firewall dauerhaft offen bleibt - wie genau ist mir jedoch noch unklar - Irgwelche Tipps, Ideen?
Daher habe ich notgedrungen vor Lösung 1 zu realisieren und meinen Router als exposed Host zu verwenden - soweit mir bekannt ist (korrigiert mich gerne, falls ich hier falsch liege!) , müsste das Telefon, das direkt am Router hängt dann "automatisch" offen gegenüber dem WAN bleiben und sollte somit funktionieren ...
Die Frage, die mich seit etlicher Zeit nicht loslässt und die ich auch nach gründlichem Recherchieren bisher nicht lösen konnte ist, ob es nicht - neben dem technischen Manko- auch ein Sicherheitsverlust ist, meinen Router als exposed host zu benutzen ... Immerhin könnte jemand doch direkt in diesen Router einen sniffer setzen (selbst wenn ich ihn nur als Pass through benutze ) - da kann doch die dahinterliegende Firewall mein Lan noch so gut schützen wie sie will- Passwörter/Emails/ restlicher Traffic kann ja so einfach abgegraben werden, oder täusche ich mich da?
Freue mich auf eure Rückmeldungen !
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 630164
Url: https://administrator.de/contentid/630164
Ausgedruckt am: 24.11.2024 um 01:11 Uhr
14 Kommentare
Neuester Kommentar
Zitat von @Sturmjaeger:
soweit ich weiß müsste ich dann nämlich einstellen, dass der vom Telefon genutzte Port in der Firewall dauerhaft offen bleibt
soweit ich weiß müsste ich dann nämlich einstellen, dass der vom Telefon genutzte Port in der Firewall dauerhaft offen bleibt
Nope. In 98% der Fälle funktioniert das "einfach so", in den restlichen 1,98% der Fälle muss man den SIP-Client so konfigurieren, dass symmetrisches RTP genutzt wird und vielleicht den Registrierungs-Intervall verkürzen.
Insgesamt haben viele Router/Firewalls dafür eingebaute Funktionen (SIP-ALG), um dir die Runzeln auf der Stirn zu nehmen.
Hallo,
- soweit mir bekannt ist (korrigiert mich gerne, falls ich hier falsch liege!) , müsste das Telefon, das direkt am Router hängt dann "automatisch" offen gegenüber dem WAN bleiben und sollte somit funktionieren ...
Was bedeutet dein "offen"?
Gruß,
Peter
Zitat von @Sturmjaeger:
Selbstverständlich ist ein reines Modem einem Router im exposed Host- Modus von der Performance her vorzuziehen -
Ein MODEM kennt keine IP und somit auch keine exposed hosts. Ist so wenn du ein Streichholz mit einer Flulicht anlage vergleichst. Somit ist auch der Performance vergleich hinfällig.Selbstverständlich ist ein reines Modem einem Router im exposed Host- Modus von der Performance her vorzuziehen -
nichtsdestotrotz fällt mir die Realisierung eines IP- Telefonanschlusses hinter meine Firewall in der Konfiguration 'noch' zu schwer - soweit ich weiß müsste ich dann nämlich einstellen, dass der vom Telefon genutzte Port in der Firewall dauerhaft offen bleibt - wie genau ist mir jedoch noch unklar - Irgwelche Tipps, Ideen?
Nenn einfach deine Hardware und was du damit genau tun willst. Dann sehen wir weiter bzw. können dir evtl. auch Helfen. Sonst bleibt alles nur graue Theorie in irgendwelche Plaste gehäuse eingepappt.Daher habe ich notgedrungen vor Lösung 1 zu realisieren und meinen Router als exposed Host zu verwenden
Falsch. Dein Router stellt alles für dein exposed Host (andere Pysikalisches Gerät) ein damit die Pakete von Ausserhalb deines Netzwerks dorthin kommen.- soweit mir bekannt ist (korrigiert mich gerne, falls ich hier falsch liege!) , müsste das Telefon, das direkt am Router hängt dann "automatisch" offen gegenüber dem WAN bleiben und sollte somit funktionieren ...
Was bedeutet dein "offen"?
Die Frage, die mich seit etlicher Zeit nicht loslässt und die ich auch nach gründlichem Recherchieren bisher nicht lösen konnte ist, ob es nicht - neben dem technischen Manko- auch ein Sicherheitsverlust ist, meinen Router als exposed host zu benutzen ... Immerhin könnte jemand doch direkt in diesen Router einen sniffer setzen (selbst wenn ich ihn nur als Pass through benutze ) - da kann doch die dahinterliegende Firewall mein Lan noch so gut schützen wie sie will- Passwörter/Emails/ restlicher Traffic kann ja so einfach abgegraben werden, oder täusche ich mich da?
Ein exposed Host ist immer ein Sicherheitsrisiko. Da kommt alles ungefragt und nicht geprüft von der Aussenwelt (Internet) an. Nur der exposed Host bestimmt dann was mit den Paketen passirt bzw. welche weggeschmissen werden.Gruß,
Peter
Hallo,
das sind zwei Themen.
Doppeltes NAT
Durch den EInsatz der FB als Router und nicht als Modem mit einem 2. Router dahinter erhälst Du automatisch ein doppeltes NAT.
Das kann durchaus zu Problemen führen in Abhängigkeit von Nutzung und Protokolle.
Sicherheit
Wenn Du z.B. zwei FBs hättest.
Auf der 1. richtest Du die 2. FB als Exposed Host ein ändert sich an der Sicherheit nichts.
Ist ja egal ob die 1. FB als Modem arbeitet und die 2. FB aus dem Internet sichtbar ist oder die 1. auf IP-Ebene alles an die 2. weiterleitet.
Und Du sprichtst von Firewall. Also sollte das 2. Gerät eine höhere Sicherheit erlauben.
Stefan
das sind zwei Themen.
Doppeltes NAT
Durch den EInsatz der FB als Router und nicht als Modem mit einem 2. Router dahinter erhälst Du automatisch ein doppeltes NAT.
Das kann durchaus zu Problemen führen in Abhängigkeit von Nutzung und Protokolle.
Sicherheit
Wenn Du z.B. zwei FBs hättest.
Auf der 1. richtest Du die 2. FB als Exposed Host ein ändert sich an der Sicherheit nichts.
Ist ja egal ob die 1. FB als Modem arbeitet und die 2. FB aus dem Internet sichtbar ist oder die 1. auf IP-Ebene alles an die 2. weiterleitet.
Und Du sprichtst von Firewall. Also sollte das 2. Gerät eine höhere Sicherheit erlauben.
Stefan
Zitat von @Pjordorf:
Hallo,
Hallo,
Zitat von @Sturmjaeger:
Selbstverständlich ist ein reines Modem einem Router im exposed Host- Modus von der Performance her vorzuziehen -
Ein MODEM kennt keine IP und somit auch keine exposed hosts. Ist so wenn du ein Streichholz mit einer Flulicht anlage vergleichst. Somit ist auch der Performance vergleich hinfällig.Selbstverständlich ist ein reines Modem einem Router im exposed Host- Modus von der Performance her vorzuziehen -
nichtsdestotrotz fällt mir die Realisierung eines IP- Telefonanschlusses hinter meine Firewall in der Konfiguration 'noch' zu schwer - soweit ich weiß müsste ich dann nämlich einstellen, dass der vom Telefon genutzte Port in der Firewall dauerhaft offen bleibt - wie genau ist mir jedoch noch unklar - Irgwelche Tipps, Ideen?
Nenn einfach deine Hardware und was du damit genau tun willst. Dann sehen wir weiter bzw. können dir evtl. auch Helfen. Sonst bleibt alles nur graue Theorie in irgendwelche Plaste gehäuse eingepappt.Hardware/Netzwerkaufbau:
Kabel-Internet (DSL)-> Firewall: Sophos 106w -> Fritzbox 6491-> netgear switch GS108E
Daher habe ich notgedrungen vor Lösung 1 zu realisieren und meinen Router als exposed Host zu verwenden
Falsch. Dein Router stellt alles für dein exposed Host (andere Pysikalisches Gerät) ein damit die Pakete von Ausserhalb deines Netzwerks dorthin kommen.Mir ist nicht ganz klar was du meinst? Ein exposed Host ist doch quasi wie ein 'Tunnel' -> ein Router im exposed Host Modus routet nix mehr sondern reicht nur noch durch an die Firewall und dann den Switch - > Die Frage ist, kann man quasi diesen traffic im Tunnel mitlesen ?
- soweit mir bekannt ist (korrigiert mich gerne, falls ich hier falsch liege!) , müsste das Telefon, das direkt am Router hängt dann "automatisch" offen gegenüber dem WAN bleiben und sollte somit funktionieren ...
Was bedeutet dein "offen"?
Offen bedeutet für mich kein Nat und dass diese Telefon- IP-Adresse direkt jederzeit aus dem Wan erreichbar ist ... Sonst ist das Telefon ja offline....
Die Frage, die mich seit etlicher Zeit nicht loslässt und die ich auch nach gründlichem Recherchieren bisher nicht lösen konnte ist, ob es nicht - neben dem technischen Manko- auch ein Sicherheitsverlust ist, meinen Router als exposed host zu benutzen ... Immerhin könnte jemand doch direkt in diesen Router einen sniffer setzen (selbst wenn ich ihn nur als Pass through benutze ) - da kann doch die dahinterliegende Firewall mein Lan noch so gut schützen wie sie will- Passwörter/Emails/ restlicher Traffic kann ja so einfach abgegraben werden, oder täusche ich mich da?
Ein exposed Host ist immer ein Sicherheitsrisiko. Da kommt alles ungefragt und nicht geprüft von der Aussenwelt (Internet) an. Nur der exposed Host bestimmt dann was mit den Paketen passirt bzw. welche weggeschmissen werden.
Du meinst mit dem 2. exposed host doch eigtl. nen Router bzw. die Firewall oder?🤔
Gruß,
Peter
Zitat von @StefanKittel:
Hallo,
das sind zwei Themen.
Doppeltes NAT
Durch den EInsatz der FB als Router und nicht als Modem mit einem 2. Router dahinter erhälst Du automatisch ein doppeltes NAT.
Das kann durchaus zu Problemen führen in Abhängigkeit von Nutzung und Protokolle.
Hallo,
das sind zwei Themen.
Doppeltes NAT
Durch den EInsatz der FB als Router und nicht als Modem mit einem 2. Router dahinter erhälst Du automatisch ein doppeltes NAT.
Das kann durchaus zu Problemen führen in Abhängigkeit von Nutzung und Protokolle.
Eben das wollte ich vermeiden, daher entweder meinen bisherigen Router( Fritte 6491 ) als Passthrough verwenden und die Firewall als exposed host Ziel definieren oder gleich nur nen Modem vor die Firewall packen und dann die Fritte hinter die Firewall setzen ...
Sicherheit
Wenn Du z.B. zwei FBs hättest.
Auf der 1. richtest Du die 2. FB als Exposed Host ein ändert sich an der Sicherheit nichts.
Ist ja egal ob die 1. FB als Modem arbeitet und die 2. FB aus dem Internet sichtbar ist oder die 1. auf IP-Ebene alles an die 2. weiterleitet.
Könntest du die zweite Option noch ein bissl ausführen? Das wäre dann die Fritte vor die Firewall packen oder? Mit doppeltem Nat dann leider ... IP Ebene wäre sicherer ?
Und Du sprichtst von Firewall. Also sollte das 2. Gerät eine höhere Sicherheit erlauben.
Jup. Aber kann der Traffic nicht trotzdem in der ersten Fritte quasi im Passthrough- Tunnel mitgelesen werden? Dann bringt mir die Sicherheit der Firewall doch nichts mehr oder .... 🤔 Weißt was ich mein .... ?
Zitat von @LordGurke:
Nope. In 98% der Fälle funktioniert das "einfach so", in den restlichen 1,98% der Fälle muss man den SIP-Client so konfigurieren, dass symmetrisches RTP genutzt wird und vielleicht den Registrierungs-Intervall verkürzen.
Insgesamt haben viele Router/Firewalls dafür eingebaute Funktionen (SIP-ALG), um dir die Runzeln auf der Stirn zu nehmen.
Zitat von @Sturmjaeger:
soweit ich weiß müsste ich dann nämlich einstellen, dass der vom Telefon genutzte Port in der Firewall dauerhaft offen bleibt
soweit ich weiß müsste ich dann nämlich einstellen, dass der vom Telefon genutzte Port in der Firewall dauerhaft offen bleibt
Nope. In 98% der Fälle funktioniert das "einfach so", in den restlichen 1,98% der Fälle muss man den SIP-Client so konfigurieren, dass symmetrisches RTP genutzt wird und vielleicht den Registrierungs-Intervall verkürzen.
Insgesamt haben viele Router/Firewalls dafür eingebaute Funktionen (SIP-ALG), um dir die Runzeln auf der Stirn zu nehmen.
Super, das freut mich sehr zu hören! Bleibt nur noch das 'kleine' Problem den RJ45 Eingang der Firewall mit dem Interneteingang über eine Sat-Koaxial-Buchse zu verbinden - ist physikalisch ohne immense Verluste nämlich nicht machbar ... hab ich mich gerade belesen .... daher leider doch wieder zu Option 2. Mit der Fritte als Passtrough zur Firewall 😏
Ich verstehe Dein Problem nicht so ganz.
Wenn Du Internet -> Fritte -> Firewall (UTM) -> Switch baust und die Fritte dann als exposed Host auf die Firewall, hast Du doch alles abgedeckt. Dein Netz abgesichert und telefonieren kannst Du auch. Egal ob Du intern VoiP oder ISDN oder Analog hast. ISDN und / oder Analog mußt Du nur an der Fritte anschließen. VoiP geht auch durch die Firewall, weil das Telefon die Verbindung aufbaut. Sollte das nicht gehen, gibst Du dem Telefon eine feste IP aus Deinem Netz und gibst die dann in der Firewall frei. Wenn Du ein VoiP Telefon an der Fritte anschließt geht es dann ohnehin. Dann hast Du sogar Telefonie und LAN getrennt. Analog läuft es mit einer Telefonanlage, so Diese denn vorhanden ist.
🖖
Wenn Du Internet -> Fritte -> Firewall (UTM) -> Switch baust und die Fritte dann als exposed Host auf die Firewall, hast Du doch alles abgedeckt. Dein Netz abgesichert und telefonieren kannst Du auch. Egal ob Du intern VoiP oder ISDN oder Analog hast. ISDN und / oder Analog mußt Du nur an der Fritte anschließen. VoiP geht auch durch die Firewall, weil das Telefon die Verbindung aufbaut. Sollte das nicht gehen, gibst Du dem Telefon eine feste IP aus Deinem Netz und gibst die dann in der Firewall frei. Wenn Du ein VoiP Telefon an der Fritte anschließt geht es dann ohnehin. Dann hast Du sogar Telefonie und LAN getrennt. Analog läuft es mit einer Telefonanlage, so Diese denn vorhanden ist.
🖖
Zitat von @Dr.Bit:
Ich verstehe Dein Problem nicht so ganz.
Wenn Du Internet -> Fritte -> Firewall (UTM) -> Switch baust und die Fritte dann als exposed Host auf die Firewall, hast Du doch alles abgedeckt. Dein Netz abgesichert und telefonieren kannst Du auch. Egal ob Du intern VoiP oder ISDN oder Analog hast. ISDN und / oder Analog mußt Du nur an der Fritte anschließen. VoiP geht auch durch die Firewall, weil das Telefon die Verbindung aufbaut. Sollte das nicht gehen, gibst Du dem Telefon eine feste IP aus Deinem Netz und gibst die dann in der Firewall frei. Wenn Du ein VoiP Telefon an der Fritte anschließt geht es dann ohnehin. Dann hast Du sogar Telefonie und LAN getrennt. Analog läuft es mit einer Telefonanlage, so Diese denn vorhanden ist.
🖖
Eben so war die Idee - aber das was ich mich frage, ist ob nicht ein reines Modem vor der Fritte sicherer wäre als eine Fritte quasi als Modem-Ersatz nur zum Passthrough zu verwenden- eben weil ja die Fritte noch mehr "Softwareeinstellungen" und somit Angriffsoptionen bietet - oder täusche ich mich da ....Ich verstehe Dein Problem nicht so ganz.
Wenn Du Internet -> Fritte -> Firewall (UTM) -> Switch baust und die Fritte dann als exposed Host auf die Firewall, hast Du doch alles abgedeckt. Dein Netz abgesichert und telefonieren kannst Du auch. Egal ob Du intern VoiP oder ISDN oder Analog hast. ISDN und / oder Analog mußt Du nur an der Fritte anschließen. VoiP geht auch durch die Firewall, weil das Telefon die Verbindung aufbaut. Sollte das nicht gehen, gibst Du dem Telefon eine feste IP aus Deinem Netz und gibst die dann in der Firewall frei. Wenn Du ein VoiP Telefon an der Fritte anschließt geht es dann ohnehin. Dann hast Du sogar Telefonie und LAN getrennt. Analog läuft es mit einer Telefonanlage, so Diese denn vorhanden ist.
🖖
Im Vergleich: Von einem Wasserhahn (Internet) soll über eine Leitung (Modem oder Fritte als Passthrough) das Wasser (Internetdatenstrom) zu einer Filteranlage (Firewall) fliessen -
Es macht doch einen Riesenunterschied ob ich als Leitung nen einfachen Gartenschlauch verwende -> quasi reines Modem ( wenn im Wasser irgwas Spitzes/Viren ect. sind machen die mir nur den Schlauch kaputt aber kommen nicht im Sammelbecken an ... )
ODER
ob ich eine in drei einzelne Röhren unterteilte Leitung nehme bei der ich einfach 2 Röhren stilllege quasi Fritte mit deaktiviertem Routing als REINES Passthrough. Denn wenn in dieser Leitung eine Röhre verletzt wird, kann das Wasser auch noch u.U. in die beiden inaktivierten Röhren eindringen und somit bis zur Filteranlage weiterfliessen .... Weisst ? Meine Sorge ist dass ich mir mit ner Fritte als Passthrough nur nen unnötiges Risiko schaffe, weil sie ja (theoretisch) viel mehr Optionen darstellt ....in ein reines Modem kann man meines Wissens nach KEINEN Sniffer reinsetzen .. in ne Fritte schon 😁🧐
Für die Sicherheit hast Du dann doch die Sophos. Und wenn Du die zwischen Fritte und LAN setzt, was ja auch gar nicht anders geht, kannst Du Deine Telefone weiter an der Fritzbox betreiben und hast die dann auch noch vom LAN getrennt. Wäre interessant, was für Telefone es sind und ob da vielleicht eine "echte" Telefonalage dranhängt und nicht die Fritzbox als Telefonanlage genutzt wird.
🖖
Edit: wenn Du den Exposed Host einschaltest, hast Du im Prinzip ein Modem. Viel was Anderes machen die Modems, die man so für DSL Anschlüsse bekommt auch nicht.
🖖
Edit: wenn Du den Exposed Host einschaltest, hast Du im Prinzip ein Modem. Viel was Anderes machen die Modems, die man so für DSL Anschlüsse bekommt auch nicht.
Die Angriffsfläche ist zumindest theoretisch geringer, wenn man ein reines Modem anstelle einer FritzBox benutzt.
Denn die FritzBox wird für manche Protokolle, z.B. SIP, weiterhin als ALG arbeiten und die Pakete analysieren und ist damit potentiell anfällig für Fehler in diesen Parsern.
"Viel was anderes" im Sinne von "Sie sind eine reine L2-Bridge ohne IP und man baut die PPPoE-Session direkt vom Router/Firewall hinter dem Modem auf"? Da muss ich keinen Exposed Host definieren und muss auch nicht mit doppeltem NAT herumpfuschen.
Außerdem gibt es dann noch interessante Effekte, weil die FritzBox WIMRE auch weiterhin VoIP aktiv hat und du zumindest mit Port 5060 (SIP) aufpassen musst.
Je weniger ein Gerät selbst kann (resp. möglichst viel abschaltbar ist), desto besser.
Denn die FritzBox wird für manche Protokolle, z.B. SIP, weiterhin als ALG arbeiten und die Pakete analysieren und ist damit potentiell anfällig für Fehler in diesen Parsern.
Zitat von @Dr.Bit:
Edit: wenn Du den Exposed Host einschaltest, hast Du im Prinzip ein Modem. Viel was Anderes machen die Modems, die man so für DSL Anschlüsse bekommt auch nicht.
Edit: wenn Du den Exposed Host einschaltest, hast Du im Prinzip ein Modem. Viel was Anderes machen die Modems, die man so für DSL Anschlüsse bekommt auch nicht.
"Viel was anderes" im Sinne von "Sie sind eine reine L2-Bridge ohne IP und man baut die PPPoE-Session direkt vom Router/Firewall hinter dem Modem auf"? Da muss ich keinen Exposed Host definieren und muss auch nicht mit doppeltem NAT herumpfuschen.
Außerdem gibt es dann noch interessante Effekte, weil die FritzBox WIMRE auch weiterhin VoIP aktiv hat und du zumindest mit Port 5060 (SIP) aufpassen musst.
Je weniger ein Gerät selbst kann (resp. möglichst viel abschaltbar ist), desto besser.
Zitat von @LordGurke:
"Viel was anderes" im Sinne von "Sie sind eine reine L2-Bridge ohne IP und man baut die PPPoE-Session direkt vom Router/Firewall hinter dem Modem auf"? Da muss ich keinen Exposed Host definieren und muss auch nicht mit doppeltem NAT herumpfuschen.
Außerdem gibt es dann noch interessante Effekte, weil die FritzBox WIMRE auch weiterhin VoIP aktiv hat und du zumindest mit Port 5060 (SIP) aufpassen musst.
Je weniger ein Gerät selbst kann (resp. möglichst viel abschaltbar ist), desto besser.
"Viel was anderes" im Sinne von "Sie sind eine reine L2-Bridge ohne IP und man baut die PPPoE-Session direkt vom Router/Firewall hinter dem Modem auf"? Da muss ich keinen Exposed Host definieren und muss auch nicht mit doppeltem NAT herumpfuschen.
Außerdem gibt es dann noch interessante Effekte, weil die FritzBox WIMRE auch weiterhin VoIP aktiv hat und du zumindest mit Port 5060 (SIP) aufpassen musst.
Je weniger ein Gerät selbst kann (resp. möglichst viel abschaltbar ist), desto besser.
Völlig richtig, daher will ich ja wissen, wo die Telefone dranhängen oder ob eine Telefonalage im Einsatz ist. Wenn nämlich die Fritzbox die Telefonalage macht und keine Anlage angeschaft werden soll, dann kommt man um meine beschrieben Konfiguration, mit vorhandenen Geräten, kaum rum.
🖖
Außerdem gibt es dann noch interessante Effekte, weil die FritzBox WIMRE auch weiterhin VoIP aktiv hat und du zumindest mit Port 5060 (SIP) aufpassen musst.
Je weniger ein Gerät selbst kann (resp. möglichst viel abschaltbar ist), desto besser.
Je weniger ein Gerät selbst kann (resp. möglichst viel abschaltbar ist), desto besser.
wenn @sturmjäger eine gute Firewall einsetzt und diese auch sauber konfiguriert ist, wäre es eine Überlegung wert, die FB vor die Firewall zu bringen und in der FB Telefon, FAX, DECT und ggf. das Gastnetz zu nutzen und alles Andere hinter die Firewall zu bringen.
Dann gibt es kein doppeltes NAT und mit dem exp.host kommen auch die VPN-Anfragen zur Firewall durch.
Geräte im Gastnetz/Gast-W-LAN der FB sind dann auch außerhalb der Firewall.
Die Fritzbox kann man dann bei Bedarf auch nutzen, um das DSL-Signal zu analysieren und hier ggf. Probleme oder Leistungsschwankungen zu erkennen. Macht auch weniger Probleme beim Provider, falls die FB ein Providerrouter ist und der Nutzer 'mal beim Service anrufen muss.
Gruß
Zitat von @Dilbert-MD:
wenn @sturmjäger eine gute Firewall einsetzt und diese auch sauber konfiguriert ist, wäre es eine Überlegung wert, die FB vor die Firewall zu bringen und in der FB Telefon, FAX, DECT und ggf. das Gastnetz zu nutzen und alles Andere hinter die Firewall zu bringen.
Dann gibt es kein doppeltes NAT und mit dem exp.host kommen auch die VPN-Anfragen zur Firewall durch.
Geräte im Gastnetz/Gast-W-LAN der FB sind dann auch außerhalb der Firewall.
Die Fritzbox kann man dann bei Bedarf auch nutzen, um das DSL-Signal zu analysieren und hier ggf. Probleme oder Leistungsschwankungen zu erkennen. Macht auch weniger Probleme beim Provider, falls die FB ein Providerrouter ist und der Nutzer 'mal beim Service anrufen muss.
Gruß
wenn @sturmjäger eine gute Firewall einsetzt und diese auch sauber konfiguriert ist, wäre es eine Überlegung wert, die FB vor die Firewall zu bringen und in der FB Telefon, FAX, DECT und ggf. das Gastnetz zu nutzen und alles Andere hinter die Firewall zu bringen.
Dann gibt es kein doppeltes NAT und mit dem exp.host kommen auch die VPN-Anfragen zur Firewall durch.
Geräte im Gastnetz/Gast-W-LAN der FB sind dann auch außerhalb der Firewall.
Die Fritzbox kann man dann bei Bedarf auch nutzen, um das DSL-Signal zu analysieren und hier ggf. Probleme oder Leistungsschwankungen zu erkennen. Macht auch weniger Probleme beim Provider, falls die FB ein Providerrouter ist und der Nutzer 'mal beim Service anrufen muss.
Gruß
Hmm, genau das habe ich gesagt.
🖖
Moinsen,
kann das hier aus dem hobbykelleradmin-Bereich genau so bestätigen.
Problemlos einfacher Aufbau:
WAN > Fritzbox mit DECT Telefon und alternatives Gastnetz > pfsense > switch und eben LAN....
In der FB ist eine PWL angelegt, um von extern auf den openVPN Server der pfsense zu kommen, sonst alles zu. Ja, doppeltes NAT, aber für den Heimanwenderbereich absolut i.O. Performance reicht mir persönlich aus und die wenigen extra Einstellungen bei doppelt NAT und VPN dahinter hat @aqui in den Tutorials ja gut abgedeckt...
Wäre imho das simpelste Vorgehen....
Schickes Wochenende allen!!
the other
kann das hier aus dem hobbykelleradmin-Bereich genau so bestätigen.
Problemlos einfacher Aufbau:
WAN > Fritzbox mit DECT Telefon und alternatives Gastnetz > pfsense > switch und eben LAN....
In der FB ist eine PWL angelegt, um von extern auf den openVPN Server der pfsense zu kommen, sonst alles zu. Ja, doppeltes NAT, aber für den Heimanwenderbereich absolut i.O. Performance reicht mir persönlich aus und die wenigen extra Einstellungen bei doppelt NAT und VPN dahinter hat @aqui in den Tutorials ja gut abgedeckt...
Wäre imho das simpelste Vorgehen....
Schickes Wochenende allen!!
the other
