Fritz.Box GUI sperren über ACL
Ich habe ein Gast VLAN eingerichtet und möchte verhindern dass Nutzer aus dem Gast VLAN die Web GUI der Fritzbox (gleichzeitig Internet Zugang) erreichen können.
Dazu habe ich auf dem Cisco SG300 (Layer 3 - also VLAN Router) eine ACL eingerichtet.
block any 192.168.178.0 0.0.0.255 TCP 80 (fritzbox ist 192.168.178.1)
das Problem dabei ist, dass nicht nur die Web GUI der Fritzbox 7490 gesperrt ist, sondern auch jeglicher http in das Internet, da 192.168.178.1 auch der Default Gateway für das Internet ist.
Hat jemand eine Idee wie die GUI der Fritzbox gesperrt werden kann, ohne den http Verkehr in gesamte Internet zu sperren ?
Viele Dank für Eure Hilfe
Dazu habe ich auf dem Cisco SG300 (Layer 3 - also VLAN Router) eine ACL eingerichtet.
block any 192.168.178.0 0.0.0.255 TCP 80 (fritzbox ist 192.168.178.1)
das Problem dabei ist, dass nicht nur die Web GUI der Fritzbox 7490 gesperrt ist, sondern auch jeglicher http in das Internet, da 192.168.178.1 auch der Default Gateway für das Internet ist.
Hat jemand eine Idee wie die GUI der Fritzbox gesperrt werden kann, ohne den http Verkehr in gesamte Internet zu sperren ?
Viele Dank für Eure Hilfe
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 236977
Url: https://administrator.de/forum/fritz-box-gui-sperren-ueber-acl-236977.html
Ausgedruckt am: 28.04.2025 um 16:04 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
Ja, der Einsatz einer ordentlichen Firewall.
Beste Grüße,
Christian
PS: Abgesehen davon, das Gastnetzwerk in der Fritzbox lässt imho keinen WebGUI Zugriff zu. (port 4?)
Ja, der Einsatz einer ordentlichen Firewall.
Beste Grüße,
Christian
PS: Abgesehen davon, das Gastnetzwerk in der Fritzbox lässt imho keinen WebGUI Zugriff zu. (port 4?)
Hallo,
wie Christian schon schreibt. Bitte prüfe einmal, ob das Netz hinter der Fritzbox an LAN-4 hängt. in der GUI der Fritzbox kannst du unter den Porteinstellungen einstellen, dass der Port 4 ein Gast-Zugang ist.
Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> Gastzugang für LAN 4 aktiv
Somit werden die Zugriffe auf das Web-GUI der Box gesperrt - that simple!
Gruß,
Florian
wie Christian schon schreibt. Bitte prüfe einmal, ob das Netz hinter der Fritzbox an LAN-4 hängt. in der GUI der Fritzbox kannst du unter den Porteinstellungen einstellen, dass der Port 4 ein Gast-Zugang ist.
Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> Gastzugang für LAN 4 aktiv
Somit werden die Zugriffe auf das Web-GUI der Box gesperrt - that simple!
Gruß,
Florian
Hallo Christian,
gehe mal von einem Anfänger bei mir aus.
Wie würde eine Firewall a la PFsense das Problem lösen, dass unter der gleichen IP der Default Gateway als auch das Web GUI liegt - welcher Parameter würde hier unterschieden werden.
Beste Grüße,
Christian
PS: Abgesehen davon, das Gastnetzwerk in der Fritzbox lässt imho keinen WebGUI Zugriff zu. (port 4?)
Das Gastnetz auf Port 4 kenne ich. Kann ich aber nicht verwenden, da kein UPNP für die Playstation geht. Gastnetzwerk ist hier vielleicht auch etwas verwirrend. Das ist das WLAN (separater AP) für meinen Sohn, den ich vom Rest des Netzwerks trennen will. Auch das Gast WLAN der Fritzbox kann ich auf Grund der physikalischen Lage der Fritzbox (Reichweite) nicht verwenden.
Vielen Dank im Voraus für Deine Antwort
gehe mal von einem Anfänger bei mir aus.
Wie würde eine Firewall a la PFsense das Problem lösen, dass unter der gleichen IP der Default Gateway als auch das Web GUI liegt - welcher Parameter würde hier unterschieden werden.
Beste Grüße,
Christian
PS: Abgesehen davon, das Gastnetzwerk in der Fritzbox lässt imho keinen WebGUI Zugriff zu. (port 4?)
Das Gastnetz auf Port 4 kenne ich. Kann ich aber nicht verwenden, da kein UPNP für die Playstation geht. Gastnetzwerk ist hier vielleicht auch etwas verwirrend. Das ist das WLAN (separater AP) für meinen Sohn, den ich vom Rest des Netzwerks trennen will. Auch das Gast WLAN der Fritzbox kann ich auf Grund der physikalischen Lage der Fritzbox (Reichweite) nicht verwenden.
Vielen Dank im Voraus für Deine Antwort
Hallo,
wenn es sich "nur" um deinen Sohn handelt - wieso nicht einfach ein ordentliches Passwort für das GUI setzen?
Gruß,
Florian
wenn es sich "nur" um deinen Sohn handelt - wieso nicht einfach ein ordentliches Passwort für das GUI setzen?
Gruß,
Florian
Mein Sohn und andere nicht vertrauenwuerdige Besucher / Gäste
Wenn du deinem Sohn un den Leuten, die er so ins Haus lässt so wenig traust hast du besser deine IT gut verschlossen. Zum FB Zugriff: Der lässt sich per zusätzlicher FW verwehren (hier IP der FB, nicht ALL).
Block FB_IP PORT 80
Block FB_IP PORT 80
Zitat von @certifiedit.net:
Wenn du deinem Sohn un den Leuten, die er so ins Haus lässt so wenig traust hast du besser deine IT gut verschlossen. Zum FB
Zugriff: Der lässt sich per zusätzlicher FW verwehren (hier IP der FB, nicht ALL).
Wenn du deinem Sohn un den Leuten, die er so ins Haus lässt so wenig traust hast du besser deine IT gut verschlossen. Zum FB
Zugriff: Der lässt sich per zusätzlicher FW verwehren (hier IP der FB, nicht ALL).
Das hat weniger etwas mit Vertrauen in die Personen zu tun. Mit 12 Jahren weiss man nicht immer was man tut. Mein Bedenken sind ehr versehentlich eingefangene Mal Ware bzw. dass er Programme installiert die er aus dem Internet geladen hat und Schwachstellen im internen LAN darstellen.
Hatte da das besondere Erlebnis als ich mal nach Hamichi gegooglet habe und feststellen musste, dass dies einen direkten Tunnel auf seinen PC aufbaut. D.h. theoretisch können die Freunde bei Ihm auf dem Server auch auf seinen PC.
Die Idee ist einfach sein Segment im LAN/WLAN zu isolieren und dann kann dem Rest der internen IT auch nichts passieren.
Block FB_IP PORT 80
Was macht da die Firewall anders als bei meinem Eintrag in die Access Control Liste für das Gast VLAN ?
block any 192.168.178.0 0.0.0.255 TCP 80 (fritzbox ist 192.168.178.1)
(blocke Verkehr von jeder IP Adresse die mit dem IP Adressbereich 192.168.178.0 - 254 auf Port 80)
Was ich ohnehin nicht verstehe ist:
wenn ich von diesem VLAN ein Website im Internet Aufrufe ist die Destination Address der ACL doch nicht im 192.168.178.x Bereich, sondern nur der Default Gateway ist in diesem Addressbereich. Verstehe ich hier etwas falsch ?
Vielen Dank für Deine Hilfe !!!
Gut, nachvollziehbar, wobei Hamachi nur ein VPN für Anfänger ist - Daher ist hier eine gute Vertrauensbasis und eine ordentliche AV Lösung wohl sinnvoller (im Zusammenhang mit dem FB Aufbau)
Das Block usw sollte nur exemplarisch darstellen, wie das ganze zu deuten ist. Du musst die genaue IP der Fritzbox aus diesem Netz blockieren. Das GW ist dann auch nicht mehr die Fritzbox, sondern die Interne IP der Firewall. Dann klappt das auch nachweislich mit dem Block korrekt (eben mit meinem Router getestet, dahinter steht aber auch eine Sophos UTM).
LG
Das Block usw sollte nur exemplarisch darstellen, wie das ganze zu deuten ist. Du musst die genaue IP der Fritzbox aus diesem Netz blockieren. Das GW ist dann auch nicht mehr die Fritzbox, sondern die Interne IP der Firewall. Dann klappt das auch nachweislich mit dem Block korrekt (eben mit meinem Router getestet, dahinter steht aber auch eine Sophos UTM).
LG
1
block any 192.168.178.0 0.0.0.255 TCP 80 (fritzbox ist 192.168.178.1)
(blocke Verkehr von jeder IP Adresse die mit dem IP Adressbereich 192.168.178.0 - 254 auf Port 80)
Die Interpretation ist falsch. Sie besagt vielmehr: Blocke alle Pakete mit beliebiger Absender IP (Source) auf alle Host IP Adressen im 192.168.178.0er Netz mit dem Zielport TCP 80.(blocke Verkehr von jeder IP Adresse die mit dem IP Adressbereich 192.168.178.0 - 254 auf Port 80)
Mit der ACL wirst du aber am SG-300 nichts erreichen, denn die ACL wirken nur auf den Switch VLAN IP Adressen als auf geroutetem Traffic. Nie aber auf einfach geswitchten Paketen. Auf allen Ports innerhalb der Layer 2 Domain kannst du keinen Filter auf Layer 3 Basis etablieren.
Sinn macht die ACL also nur auf dem Kids VLAN an dessen Switch IP.
Die Lösung mit dem Gast WLAN ist eh Frickelei und das FB GastWLAN ist leicht zu knacken.
Besser ist du beschaffst für kleines Geld einen Multi SSID AP den du getrennt im Kids VLAN legst. Mit dem Cisco 300er hast du ja denkbar beste Optionen diese Netze zu trennen.
Ein Beispiel wie man das macht findest du hier im Kapitel "Praxisbeispiel":
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hallo apui,
habe bereits einen Multi SSID Access Point der über LAN an den SG 300 angebunden ist.
Die ACL funktioniert genau so wie beschrieben inzwischen auch (gebunden an Gast VLAN - Cisco SG300 ist in Layer 3 mode).
Ich hatte eine Macke im Gast VLAN, so dass das Internet mit oder ohne ACL nicht erreichbar war. Von daher glaubte ich, das die ACE Regel das Problem war.
Das war aber falsch.
habe bereits einen Multi SSID Access Point der über LAN an den SG 300 angebunden ist.
Die ACL funktioniert genau so wie beschrieben inzwischen auch (gebunden an Gast VLAN - Cisco SG300 ist in Layer 3 mode).
Ich hatte eine Macke im Gast VLAN, so dass das Internet mit oder ohne ACL nicht erreichbar war. Von daher glaubte ich, das die ACE Regel das Problem war.
Das war aber falsch.
Auf welcher Hardware läuft Deine Sohos UTM. Firewall ist bei mir der nächste Schritt. Liebäugle ebenfalls mit der Sohos UTM Home Software auf einem MiniITX MB. Weiss nur noch nicht was das MiniITX an performance haben sollte. Gibt von Intel einen relative neuen Quad Core Atom mit 2 GHz.
Viele Grüße
Viele Grüße
Muss nichtmal so viel sein... Ein ALIX Board reicht:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kann mehr als die Sophos...
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kann mehr als die Sophos...
Zitat von @aqui:
Muss nichtmal so viel sein... Ein ALIX Board reicht:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kann mehr als die Sophos...
Muss nichtmal so viel sein... Ein ALIX Board reicht:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kann mehr als die Sophos...
Da wäre doch eine Vergleichsliste ganz schick (aber ich möchte hier keine Grundsatzdebatte vom Zaun brechen)
Basis ist die Std. Sophos HW.
