minimobile01
Goto Top

Firewall als Modem

Hallo,

ist es möglich ohne viel Umstände die Fritz!Box 5590 (FFTH bei Telekom/1und1) durch eine Fortinet / Checkpoint / Sophos Firewall über den WAN Port zu ersetzen? Aktuell steckt ein SFP Modul(GPON) in meiner selbst gekauften Fritz!Box für das Internet, welche ja gegen eine Firewall getauscht werden soll. Ich dachte da an sowas, wie ne Sophos XG 210 Rev. 3 oder FortiWifi.

Viele Grüße

Content-ID: 3645337560

Url: https://administrator.de/contentid/3645337560

Ausgedruckt am: 05.12.2024 um 02:12 Uhr

aqui
aqui 15.03.2024 aktualisiert um 18:12:54 Uhr
Goto Top
Ja, in der Regel geht das problemlos. Sieheh auch [hier].
Es hängt in erster Linie am SFP Support der von dir genannten Produkte. Du musst allerdings das jetzt verwendete GPON Modul verwenden weil das mit seiner Kennung beim Provider registriert ist, was aber ja kein Problem ist. In einem einfachen Mikrotik SFP Router mit SPI Firewall rennt das fehlerlos. Ansonsten kann man GPON Module auch problemlos bei den FTTH Providern registrieren lassen für seinen Anschluss.
Sofern deine Fortinet / Checkpoint / Sophos Firewalls einen SFP Vendor Check machen musst du am besten vorher klären ob das deaktivierbar ist und falls nicht ob sie GPON SFPs im Portfolio haben oder auch alternative Hersteller gebrandete GPON Module supporten.
Alternativ bleibt dir sonst nur einen ONT Medienwandler zu installieren der auf klassische 1Gig (oder 10G) Simplex oder Duplex SFPs umsetzt die diese Hersteller supporten oder eben RJ-45 Kupfer.
Oder, worst case, einen Router Kaskade mt der Fritte.
minimobile01
minimobile01 15.03.2024 um 18:59:12 Uhr
Goto Top
Danke! Kannst du eine Firewall empfehlen?
Mir sind gerade noch die PFsense in den Sinn gekommen. Also diese müsste die Firewall nur das GPON SFP unterstützen. Jedoch kann ich mir noch nicht ganz vorstellen, wie ich die Zugangsdaten in der FW eintrage.
aqui
aqui 15.03.2024 um 19:24:50 Uhr
Goto Top
FTTH macht in der Regel PPPoE oder DHCP mit oder ohne Mac Registrierungen. Alle Verfahren supporten die OPNsense wie auch die pfSense und natürlich alle anderen Firewalls und Router auf der Welt bekanntlich auch.
Genau das sind ja auch die Zugangsdaten die du in der FB angibst. face-wink
minimobile01
minimobile01 23.03.2024 aktualisiert um 17:36:18 Uhr
Goto Top
Hallo,

so sieht die Konfiguration von meiner alten Fortigate aus, die ich noch rumliegen hatte. Ich wollte gerne erstmal probieren, ob ich das konfiguriert bekomme.
Könnt Ihr mich unterstützen, was ich hier eintragen muss, damit die Fortigate eine Internetverbindung herstellen kann. Das größte Problem ist hier das Feld IP. Ich habe ja keine Feste IP, sondern ein public IP, die sich alle 24 Stunden ändert.
forti wan
aqui
aqui 23.03.2024 aktualisiert um 17:40:38 Uhr
Goto Top
Das größte Problem ist hier das Feld IP
Was aber in dem o.a. Screenshot gar nicht zu sehen ist?! 🤔
Du hast die Adressierung ja auf PPPoE gesetzt und wie jeder Netzwerker weiss werden PPPoE IPs ja immer negotiated, sprich also mit dem Einwahlsystem am Provider dynamisch ausgehandelt. Folglich kannst du, wie du ja auch schon selber richtig sagst, nirgendwo eine IP eintragen und musst das bei PPPoE auch nicht!
minimobile01
minimobile01 24.03.2024 um 16:42:52 Uhr
Goto Top
Ist das mit den Zugangsdaten noch so korrekt bei FTTH?
Angeblich muss man bei DSL manchmal ein H voranstellen. Hat das schon einer versucht?
https://deer-it.de/fritzbox-7412-modem-bridge-mode-pppoe-passthrough/
aqui
aqui 24.03.2024 aktualisiert um 18:16:12 Uhr
Goto Top
Nein! Warum auch, denn Passthrough macht genau das was der Name schon sagt. Die PPPoE Frames werden 1:1 einfach nur transparent an den Provider durchgereicht. Würdest du an den PPPoE Credentials etwas ändern scheitert natürlich auch die Authentisierung! Die PPPoE Zugangsdaten gibt dir der Provider ja individuell vor.
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254
Hardwaretechnisch sind reine NUR Modems wie Vigor 127 oder Zyxel VMG3006 usw. aber die bessere Wahl.
minimobile01
minimobile01 24.03.2024 um 19:18:28 Uhr
Goto Top
Es geht ja darum, dass die FRITZ!Box entweder ganz weg soll oder im PPPoE Passthought betrieben wird. Dafür muss ich ja die 1 & 1 Zugangsdaten in der Firewall eintragen. Im Netz wird immer wieder erwähnt dass man die VLAN ID (welche weiß ich nicht) und ein H vor die Anmeldekennung gestellt werden soll. Leider finde nirgendwo etwas offizielles von dem Provider mit den benötigten (Zugangs-) Daten. Das ist der Punkt an dem es momentan bei mir scheitert.
aqui
aqui 25.03.2024 aktualisiert um 08:18:48 Uhr
Goto Top
Im Netz wird immer wieder erwähnt dass man die VLAN ID (welche weiß ich nicht)
Dafür gibt es bekanntlich zig Listen im Internet und auch hier:
Einwahlparameter verschiedener deutscher DSL-Provider mit VLAN ID
Steht zudem bei allen Providern auch auf der technischen Support Webseite.
Das VLAN Tagging sollte man aber immer tunlichst dem Modem überlassen. Die o.a. genannten Vigor167 und Zyxel VMG3006 und auch die konvertierte Fritte 7412 supporten das alle und machen das von sich aus.
vigortag.
Das mit dem ominösen H ist wohl eher ein Gerücht. Wäre ja auch unsinnig, denn der PPPoE Server auf Providerseite "sieht" ja nur PPPoE aber nicht welches Gerät das sendet folglich ist es technisch unmöglich das zu unterscheiden. Sagt einem aber auch schon der gesunde IT Verstand. face-wink
Leider finde nirgendwo etwas offizielles von dem Provider mit den benötigten (Zugangs-) Daten
Steht immer in den Vertragsdaten und kann man bei jedem Provider mit einem simplen Anruf in der Kunden Hotline oder Support Email im Handumdrehen klären.
minimobile01
minimobile01 27.03.2024 um 18:24:14 Uhr
Goto Top
Vlan wird automatisch zugewiesen?
Was muss ich bei unnumbered IP eintragen? Die restlichen Default Werte kann ich so lassen?
aqui
aqui 27.03.2024 aktualisiert um 19:00:12 Uhr
Goto Top
Vlan wird automatisch zugewiesen?
Nein! Wie dir oben aber schon mehrfach geschrieben wurde, sollte man immer dem Modem das VLAN Tagging überlassen sofern das verwendete Modem dies supportet! Siehe obigen Screenshot eines Vigor 167er Modems fürs T-Com VLAN 7 Tagging. Beim Zyxel ist es identisch.
Das ist weniger Aufwand. Andernfalls müsste man einen Tagged WAN Port konfigurieren wie du es HIER am Beispiel einer pfSense siehst.
Deutlicher Mehraufwand in der FW Konfig also lasse das immer das modem selber machen!

Unnumbered lässt du leer und den Rest auf den Default Werten. Wichtig sind nur die korrekte Username/Passwort Kombination für den PPPoE Zugang deines Providers.
minimobile01
minimobile01 27.03.2024 um 20:09:41 Uhr
Goto Top
Ich kann es ja mal probieren. Also das mit den Präfixen stimmt deiner Meinung nach nicht?
1und1/xx1234-123@online.com und H1und1/xx1234-123@online.com wäre falsch?

Quelle:
D für Deutsche Telekom
T für Telefonica
W für BSA-Zugänge Deutsche Telekom
V für VoIP
H für VDSL
aqui
aqui 28.03.2024 aktualisiert um 11:05:19 Uhr
Goto Top
Also das mit den Präfixen stimmt deiner Meinung nach nicht?
Die "Meinung" zählt ja nicht, es sind immer die Fakten! Jeder Vertragspartner bekommt von seinem Provider mit dem Vertragsabschluss immer die persönlichen PPPoE Einwahldaten (User/Pass) mit einem Dokument mitgeteilt.
Da der Provider diese festlegt kann niemand eigenmächtig diese ändern. Das wäre ja auch sicherheitstechnisch absurd, denn dann kann jeder ja selber festlegen welchen Login er verwendet und diesen auch an andere weitergeben was ein Login Konzept ja per se ad absurdum führt. Das sagt dir ja auch dein gesunder IT Verstand.
Fazit: Siehe also in deine Vertragsdokumente was dein Provider dir da übermittelt hat und nutze den. Wenn es trotz richtiger Eingabe nicht geht kontakte dessen Hotline. Möglich das dein Account wegen zuvieler Fehlversuche automatisch deaktiviert wird.

Was die o.a. Quelle angeht mag das stimmen. Die üblichen Billigheimer wie 1&1 und Co. die keine eigene Netzwerk Infrastruktur betreiben sind immer Wiederverkäufer der bestehenden Provider MIT Infrastruktur. Diese Billig Wiederverkäufer haben natürlich dann andere Zugangs Credentials als die Infrastruktur Besitzer selber. Außerdem ist davon auszugehen das diese Billigheimer nicht nur bei einem Infrastruktur Besitzer ihre Leitungen einkaufen sondern von mehreren und sie damit ihre Kunden Einwahl daten für PPPoE entsprechend kodieren das sie wissen auf welchen Leitungen diese laufen.

All das hat dich aber gar nicht zu interessieren wo die deine Leitung eingekauft haben. Wichtig ist einzig nur DEINE persönlichen Zugangsdaten die DU mit deinen Vertragsdaten übermittelt bekommen hast. Die trägst du ein und gut iss. Es wäre doch absurd einem Endkunden zu überlassen selber rauszubekommen wo sein Provider die Leitung her hat und dann welche kryptische Kodierung in den Zugangsdaten diese nutzen. Das Gros der Endkunden ist dazu gar nicht in der Lage weil sie die Technik gar nicht verstehen. Sind doch aber alles bekannte Binsenweisheiten!
minimobile01
minimobile01 28.03.2024 aktualisiert um 18:27:23 Uhr
Goto Top
Danke!
Ich werde heute Abend den WAN Port der Fortigate mal a die FRITZ!Box anschließen und dort PPPoE Passtrougth aktivieren und die Zugangsdaten, wie du geschrieben hast ebenfalls in die Fortigate eintragen
minimobile01
minimobile01 28.03.2024 aktualisiert um 19:34:58 Uhr
Goto Top
Problem ich habe gerade mit einem 1und1 Techniker gechattet und er teilte mir mit, dass nur ein Gerät eine PPPoE Verbindung aufbauen darf und nicht mehrere Geräte, somit fällt das PPPoE Passthrough als Möglichkeit weg oder? Direkt an das LWL Kabel kann ich den SFP Port nicht benutzen, sodass die Fritzbox erstmal wegfällt oder?

Dazu kommt von dem selben Techniker:
"Wenn Sie ein privates Glasfasermodem nutzen möchten, kontaktieren Sie uns bitte für die Registrierung des Modems."
aqui
aqui 28.03.2024 aktualisiert um 19:40:07 Uhr
Goto Top
dass nur ein Gerät eine PPPoE Verbindung aufbauen darf
Das wurde ja oben auch schon mehrfach gesagt und ist eine altbekannte PPPoE Binsenweisheit die jeder ITler kennt!
somit fällt das PPPoE Passthrough als Möglichkeit weg oder?
Nein...
Das kannst du sehr einfach umgehen!
Konfiguriere der FB einfach bewusst falsche PPPoE Credentials, denn scheitert bewusst deren PPPoE Aufbau und die Fortigate gewinnt dann immer mit ihrem PPPoE! First come first serve... face-wink
Direkt an das LWL Kabel kann ich den SFP Port nicht benutzen
Wie kommst du darauf?!
Mit einer richtigen SFP Optik kannst du auch immer das LWL nutzen! Auch gibt es SFP Kupfer Adapter so das du aus einem SFP Port auch einen Kupfer Port machen kannst. Ist alles möglich...
minimobile01
minimobile01 28.03.2024 aktualisiert um 20:03:31 Uhr
Goto Top
Was ist den der Unterschied, ob ich die Fritzbox mit PPPoE Passthrough und die Fortigate direkt an das Fiber zu hängen? Eigentlich sollte letzteres Ja besser sein, da es so eine Fehlerquelle weniger gibt.
Mit dem von dir geschrieben Trick kastriere ich die Fritzbox auch zum Medienconverter LWL <-> Kupfer
aqui
Lösung aqui 28.03.2024 um 21:02:33 Uhr
Goto Top
Eigentlich sollte letzteres Ja besser sein, da es so eine Fehlerquelle weniger gibt.
Absolut richtig! Die ist dann nur überflüssiger Durchlauferhitzer. Und zusätzlich erspart es dir einen unnützen Stromfresser. Diese Option ist technisch natürlich die Beste.

Bei SFP Ports gibt es immer ein paar Dinge zu klären:
  • Erzwingt der Hersteller gebrandete SFP Optiken oder lässt er auch ungebrandete Optiken zu?
  • Supportet der Hersteller AON oder GPON Optiken wie sie in der Regel an FTTP Anschlüssen zu finden sind
Im einfachsten Fall steckst du den FB SFP in den SFP Slot der Fortinet und beobachtest das Log. Die Fortinet wird dann sagen ob sie den SFP erkennt und supportet.
Alternativ klärst du das mit dem Hersteller direkt oder dem Partner.
minimobile01
minimobile01 29.03.2024 um 10:23:02 Uhr
Goto Top
Also ich habe gestern die Zugangsdaten 1:1 in die Fortigate eingetragen und bekomme einen PPPoE Authentifizierungserror. Es sind in der FRITZ!Box und der Fortigate dieselben Zugangsdaten eingetragen. Würde zur Analyse das Log der Fortigate helfen?