Firewall als Modem
Hallo,
ist es möglich ohne viel Umstände die Fritz!Box 5590 (FFTH bei Telekom/1und1) durch eine Fortinet / Checkpoint / Sophos Firewall über den WAN Port zu ersetzen? Aktuell steckt ein SFP Modul(GPON) in meiner selbst gekauften Fritz!Box für das Internet, welche ja gegen eine Firewall getauscht werden soll. Ich dachte da an sowas, wie ne Sophos XG 210 Rev. 3 oder FortiWifi.
Viele Grüße
ist es möglich ohne viel Umstände die Fritz!Box 5590 (FFTH bei Telekom/1und1) durch eine Fortinet / Checkpoint / Sophos Firewall über den WAN Port zu ersetzen? Aktuell steckt ein SFP Modul(GPON) in meiner selbst gekauften Fritz!Box für das Internet, welche ja gegen eine Firewall getauscht werden soll. Ich dachte da an sowas, wie ne Sophos XG 210 Rev. 3 oder FortiWifi.
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3645337560
Url: https://administrator.de/contentid/3645337560
Ausgedruckt am: 05.12.2024 um 02:12 Uhr
19 Kommentare
Neuester Kommentar
Ja, in der Regel geht das problemlos. Sieheh auch [hier].
Es hängt in erster Linie am SFP Support der von dir genannten Produkte. Du musst allerdings das jetzt verwendete GPON Modul verwenden weil das mit seiner Kennung beim Provider registriert ist, was aber ja kein Problem ist. In einem einfachen Mikrotik SFP Router mit SPI Firewall rennt das fehlerlos. Ansonsten kann man GPON Module auch problemlos bei den FTTH Providern registrieren lassen für seinen Anschluss.
Sofern deine Fortinet / Checkpoint / Sophos Firewalls einen SFP Vendor Check machen musst du am besten vorher klären ob das deaktivierbar ist und falls nicht ob sie GPON SFPs im Portfolio haben oder auch alternative Hersteller gebrandete GPON Module supporten.
Alternativ bleibt dir sonst nur einen ONT Medienwandler zu installieren der auf klassische 1Gig (oder 10G) Simplex oder Duplex SFPs umsetzt die diese Hersteller supporten oder eben RJ-45 Kupfer.
Oder, worst case, einen Router Kaskade mt der Fritte.
Es hängt in erster Linie am SFP Support der von dir genannten Produkte. Du musst allerdings das jetzt verwendete GPON Modul verwenden weil das mit seiner Kennung beim Provider registriert ist, was aber ja kein Problem ist. In einem einfachen Mikrotik SFP Router mit SPI Firewall rennt das fehlerlos. Ansonsten kann man GPON Module auch problemlos bei den FTTH Providern registrieren lassen für seinen Anschluss.
Sofern deine Fortinet / Checkpoint / Sophos Firewalls einen SFP Vendor Check machen musst du am besten vorher klären ob das deaktivierbar ist und falls nicht ob sie GPON SFPs im Portfolio haben oder auch alternative Hersteller gebrandete GPON Module supporten.
Alternativ bleibt dir sonst nur einen ONT Medienwandler zu installieren der auf klassische 1Gig (oder 10G) Simplex oder Duplex SFPs umsetzt die diese Hersteller supporten oder eben RJ-45 Kupfer.
Oder, worst case, einen Router Kaskade mt der Fritte.
Das größte Problem ist hier das Feld IP
Was aber in dem o.a. Screenshot gar nicht zu sehen ist?! 🤔Du hast die Adressierung ja auf PPPoE gesetzt und wie jeder Netzwerker weiss werden PPPoE IPs ja immer negotiated, sprich also mit dem Einwahlsystem am Provider dynamisch ausgehandelt. Folglich kannst du, wie du ja auch schon selber richtig sagst, nirgendwo eine IP eintragen und musst das bei PPPoE auch nicht!
Nein! Warum auch, denn Passthrough macht genau das was der Name schon sagt. Die PPPoE Frames werden 1:1 einfach nur transparent an den Provider durchgereicht. Würdest du an den PPPoE Credentials etwas ändern scheitert natürlich auch die Authentisierung! Die PPPoE Zugangsdaten gibt dir der Provider ja individuell vor.
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254
Hardwaretechnisch sind reine NUR Modems wie Vigor 127 oder Zyxel VMG3006 usw. aber die bessere Wahl.
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254
Hardwaretechnisch sind reine NUR Modems wie Vigor 127 oder Zyxel VMG3006 usw. aber die bessere Wahl.
Im Netz wird immer wieder erwähnt dass man die VLAN ID (welche weiß ich nicht)
Dafür gibt es bekanntlich zig Listen im Internet und auch hier:Einwahlparameter verschiedener deutscher DSL-Provider mit VLAN ID
Steht zudem bei allen Providern auch auf der technischen Support Webseite.
Das VLAN Tagging sollte man aber immer tunlichst dem Modem überlassen. Die o.a. genannten Vigor167 und Zyxel VMG3006 und auch die konvertierte Fritte 7412 supporten das alle und machen das von sich aus.
Das mit dem ominösen H ist wohl eher ein Gerücht. Wäre ja auch unsinnig, denn der PPPoE Server auf Providerseite "sieht" ja nur PPPoE aber nicht welches Gerät das sendet folglich ist es technisch unmöglich das zu unterscheiden. Sagt einem aber auch schon der gesunde IT Verstand.
Leider finde nirgendwo etwas offizielles von dem Provider mit den benötigten (Zugangs-) Daten
Steht immer in den Vertragsdaten und kann man bei jedem Provider mit einem simplen Anruf in der Kunden Hotline oder Support Email im Handumdrehen klären.Vlan wird automatisch zugewiesen?
Nein! Wie dir oben aber schon mehrfach geschrieben wurde, sollte man immer dem Modem das VLAN Tagging überlassen sofern das verwendete Modem dies supportet! Siehe obigen Screenshot eines Vigor 167er Modems fürs T-Com VLAN 7 Tagging. Beim Zyxel ist es identisch.Das ist weniger Aufwand. Andernfalls müsste man einen Tagged WAN Port konfigurieren wie du es HIER am Beispiel einer pfSense siehst.
Deutlicher Mehraufwand in der FW Konfig also lasse das immer das modem selber machen!
Unnumbered lässt du leer und den Rest auf den Default Werten. Wichtig sind nur die korrekte Username/Passwort Kombination für den PPPoE Zugang deines Providers.
Also das mit den Präfixen stimmt deiner Meinung nach nicht?
Die "Meinung" zählt ja nicht, es sind immer die Fakten! Jeder Vertragspartner bekommt von seinem Provider mit dem Vertragsabschluss immer die persönlichen PPPoE Einwahldaten (User/Pass) mit einem Dokument mitgeteilt.Da der Provider diese festlegt kann niemand eigenmächtig diese ändern. Das wäre ja auch sicherheitstechnisch absurd, denn dann kann jeder ja selber festlegen welchen Login er verwendet und diesen auch an andere weitergeben was ein Login Konzept ja per se ad absurdum führt. Das sagt dir ja auch dein gesunder IT Verstand.
Fazit: Siehe also in deine Vertragsdokumente was dein Provider dir da übermittelt hat und nutze den. Wenn es trotz richtiger Eingabe nicht geht kontakte dessen Hotline. Möglich das dein Account wegen zuvieler Fehlversuche automatisch deaktiviert wird.
Was die o.a. Quelle angeht mag das stimmen. Die üblichen Billigheimer wie 1&1 und Co. die keine eigene Netzwerk Infrastruktur betreiben sind immer Wiederverkäufer der bestehenden Provider MIT Infrastruktur. Diese Billig Wiederverkäufer haben natürlich dann andere Zugangs Credentials als die Infrastruktur Besitzer selber. Außerdem ist davon auszugehen das diese Billigheimer nicht nur bei einem Infrastruktur Besitzer ihre Leitungen einkaufen sondern von mehreren und sie damit ihre Kunden Einwahl daten für PPPoE entsprechend kodieren das sie wissen auf welchen Leitungen diese laufen.
All das hat dich aber gar nicht zu interessieren wo die deine Leitung eingekauft haben. Wichtig ist einzig nur DEINE persönlichen Zugangsdaten die DU mit deinen Vertragsdaten übermittelt bekommen hast. Die trägst du ein und gut iss. Es wäre doch absurd einem Endkunden zu überlassen selber rauszubekommen wo sein Provider die Leitung her hat und dann welche kryptische Kodierung in den Zugangsdaten diese nutzen. Das Gros der Endkunden ist dazu gar nicht in der Lage weil sie die Technik gar nicht verstehen. Sind doch aber alles bekannte Binsenweisheiten!
dass nur ein Gerät eine PPPoE Verbindung aufbauen darf
Das wurde ja oben auch schon mehrfach gesagt und ist eine altbekannte PPPoE Binsenweisheit die jeder ITler kennt!somit fällt das PPPoE Passthrough als Möglichkeit weg oder?
Nein...Das kannst du sehr einfach umgehen!
Konfiguriere der FB einfach bewusst falsche PPPoE Credentials, denn scheitert bewusst deren PPPoE Aufbau und die Fortigate gewinnt dann immer mit ihrem PPPoE! First come first serve...
Direkt an das LWL Kabel kann ich den SFP Port nicht benutzen
Wie kommst du darauf?!Mit einer richtigen SFP Optik kannst du auch immer das LWL nutzen! Auch gibt es SFP Kupfer Adapter so das du aus einem SFP Port auch einen Kupfer Port machen kannst. Ist alles möglich...
Eigentlich sollte letzteres Ja besser sein, da es so eine Fehlerquelle weniger gibt.
Absolut richtig! Die ist dann nur überflüssiger Durchlauferhitzer. Und zusätzlich erspart es dir einen unnützen Stromfresser. Diese Option ist technisch natürlich die Beste.Bei SFP Ports gibt es immer ein paar Dinge zu klären:
- Erzwingt der Hersteller gebrandete SFP Optiken oder lässt er auch ungebrandete Optiken zu?
- Supportet der Hersteller AON oder GPON Optiken wie sie in der Regel an FTTP Anschlüssen zu finden sind
Alternativ klärst du das mit dem Hersteller direkt oder dem Partner.