Fritzbox 6490 DVB-C-Stream hinter der Sophos XG realisieren
Hallo zusammen,
ich möchte mein derzeitiges Netzwerk um eine Sophos XG (auf Basis Zotac-Mini-PC mit 2x LAN) erweitern und benötige ein paar Ratschläge.
Es gibt folgende Fragestellungen bzw. umzusetzende Punkte:
1. Wie am besten WLAN-Geräte (Sonos, Tablet/Handy) sowie DECT-Geräte hinter die Sophos Firewall bringen, wenn...
2. ... weiterhin der DVB-C-Stream über Tablet/Handy-App der Fritzbox 6490 empfangen werden soll.
Auf dem Bild ist mein derzeitiges Netz mit noch weiteren nicht eingezeichneten Sonos-Geräten. RJ45 ist hierfür keine Alternative und ich möchte diese auch abgesichert im LAN halten. So auch die DECT-Telefone, wie ich hier im Forum schon gelesen habe, durch die FW "durchkommen" können.
Optional habe ich noch einen Kabel-Router von Vodafone. Hier hatte ich zwischenzeitlich gedacht: Kabel-Router (als Modem) < ETH0 Sophos ETH1 > Fritzbox > LAN/WLAN. Bei der Konstellation fällt aber dann der DVB-C-Stream flach.
Mir fällt gerade folgendes noch ein. Würde die Variante klappen?
Fritzbox > Sophos XG > Switch > FRITZ!WLAN Repeater
Angeschlossen per RJ45 - DVB‑C-Signal geht gefiltert durch die Sophos - am Repeater vorbei von LAN ins WLAN über
Dann wäre nur noch die Frage: Ist es möglich das WLAN der Fritzbox so einzustellen, dass nur das gefilterte WLAN vom Repeater genutzt wird? Okay, fast zu früh gefreut. Jetzt sind natürlich noch DECT-Telefonie nicht angeschlossen. Die wären aber dann "ungeschützt" weitern an der Fritzbox.
Ist hier nur die Lösung eine weitere Fritzbox hinter der Firewall?
Mein Kopf brummt so langsam.
ich möchte mein derzeitiges Netzwerk um eine Sophos XG (auf Basis Zotac-Mini-PC mit 2x LAN) erweitern und benötige ein paar Ratschläge.
Es gibt folgende Fragestellungen bzw. umzusetzende Punkte:
1. Wie am besten WLAN-Geräte (Sonos, Tablet/Handy) sowie DECT-Geräte hinter die Sophos Firewall bringen, wenn...
2. ... weiterhin der DVB-C-Stream über Tablet/Handy-App der Fritzbox 6490 empfangen werden soll.
Auf dem Bild ist mein derzeitiges Netz mit noch weiteren nicht eingezeichneten Sonos-Geräten. RJ45 ist hierfür keine Alternative und ich möchte diese auch abgesichert im LAN halten. So auch die DECT-Telefone, wie ich hier im Forum schon gelesen habe, durch die FW "durchkommen" können.
Optional habe ich noch einen Kabel-Router von Vodafone. Hier hatte ich zwischenzeitlich gedacht: Kabel-Router (als Modem) < ETH0 Sophos ETH1 > Fritzbox > LAN/WLAN. Bei der Konstellation fällt aber dann der DVB-C-Stream flach.
Mir fällt gerade folgendes noch ein. Würde die Variante klappen?
Fritzbox > Sophos XG > Switch > FRITZ!WLAN Repeater
Angeschlossen per RJ45 - DVB‑C-Signal geht gefiltert durch die Sophos - am Repeater vorbei von LAN ins WLAN über
Dann wäre nur noch die Frage: Ist es möglich das WLAN der Fritzbox so einzustellen, dass nur das gefilterte WLAN vom Repeater genutzt wird? Okay, fast zu früh gefreut. Jetzt sind natürlich noch DECT-Telefonie nicht angeschlossen. Die wären aber dann "ungeschützt" weitern an der Fritzbox.
Ist hier nur die Lösung eine weitere Fritzbox hinter der Firewall?
Mein Kopf brummt so langsam.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 396977
Url: https://administrator.de/forum/fritzbox-6490-dvb-c-stream-hinter-der-sophos-xg-realisieren-396977.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
16 Kommentare
Neuester Kommentar
Moin,
ich würde die FW immer als Breakout zum Internet nutzen und davor ein reines Modem (z.B. Drayktek Vigor) betreiben.
Dann ist an der FW ein IGMP Proxy für den DVB-C Stream nötig. Keine Ahnung ob die XG sowas kann, ich bin keine Sophos Spezi.
Ansonsten gibt es auch hierfür viel im Forum zu finden.
Bezüglich der Telefonie mit der FB, welche dann hinter der FW steht, sind nur simple Regeln erforderlich.
Port 5060 TCP muss Static durchs NAT und am besten machst du das mit den geforderten RTP Ports genau so.
Was anderes ist an Verbindungen nicht nötig. Zu beachten ist allerdings, das Port 5060 von extern kommend nur dein Provider erlaubt ist. Bei den RTP Ports sollte das Forwarding von Any erlaubt sein da SIP sonst, je nach Provider, keine Sprache durch lässt.
Auch hierfür gibt es sehr sehr viele Beiträge hier im Forum.
Dann sollte das schon hinhauen.
Gruß
Spirit
ich würde die FW immer als Breakout zum Internet nutzen und davor ein reines Modem (z.B. Drayktek Vigor) betreiben.
Dann ist an der FW ein IGMP Proxy für den DVB-C Stream nötig. Keine Ahnung ob die XG sowas kann, ich bin keine Sophos Spezi.
Ansonsten gibt es auch hierfür viel im Forum zu finden.
Bezüglich der Telefonie mit der FB, welche dann hinter der FW steht, sind nur simple Regeln erforderlich.
Port 5060 TCP muss Static durchs NAT und am besten machst du das mit den geforderten RTP Ports genau so.
Was anderes ist an Verbindungen nicht nötig. Zu beachten ist allerdings, das Port 5060 von extern kommend nur dein Provider erlaubt ist. Bei den RTP Ports sollte das Forwarding von Any erlaubt sein da SIP sonst, je nach Provider, keine Sprache durch lässt.
Auch hierfür gibt es sehr sehr viele Beiträge hier im Forum.
Dann sollte das schon hinhauen.
Gruß
Spirit
Die Kardinalsfrage ist ja WO kommt dieser ominöse "DVB-C Stream" her ?? Bzw. WAS soll das technsich sein und was hat die FB damit zu tun ??
Ein DVB Kabel Streaming muss ja irgendeine Box im lokalen Netz auf Multicasting, IP-TV oder was auch immer umsetzen. Normal macht sowas nicht der Router respektive FritzBox sondern ein separates Gerät !
Oder meinst du damit technisch gar kein DVB-C sondern einfach IP-TV Multicasting was aus dem Providernetz kommt ??
Auch dafür bräuchte man keine FB sondern lediglich einen Router oder eine Firewall die PIM Routing supportet. Ob deine Sophos Gurke das kann musst du im Handbuch nachlesen. Eine pfSense Firewall löst sowas z.B. über die IGMP Proxy Funktion und andere Router (Mikrotik o.ä.) über Multicast PIM Routing.
Hier ist die o.a. Beschreibung leider recht oberflächlich und/oder laienhaft so das man nur keinen zielführende und helfende Antwort darauf geben kann.
Letztlich ist aber die Vermeidung einer [ Router_Kaskade] mit doppeltem NAT immer die technisch bessere Lösung. Also ein wirkliches, reines NUR Modem und KEIN NAT Router vor die Firewall.
Kollege Spirit hat ja schon alles dazu gesagt oben...
Ein DVB Kabel Streaming muss ja irgendeine Box im lokalen Netz auf Multicasting, IP-TV oder was auch immer umsetzen. Normal macht sowas nicht der Router respektive FritzBox sondern ein separates Gerät !
Oder meinst du damit technisch gar kein DVB-C sondern einfach IP-TV Multicasting was aus dem Providernetz kommt ??
Auch dafür bräuchte man keine FB sondern lediglich einen Router oder eine Firewall die PIM Routing supportet. Ob deine Sophos Gurke das kann musst du im Handbuch nachlesen. Eine pfSense Firewall löst sowas z.B. über die IGMP Proxy Funktion und andere Router (Mikrotik o.ä.) über Multicast PIM Routing.
Hier ist die o.a. Beschreibung leider recht oberflächlich und/oder laienhaft so das man nur keinen zielführende und helfende Antwort darauf geben kann.
Letztlich ist aber die Vermeidung einer [ Router_Kaskade] mit doppeltem NAT immer die technisch bessere Lösung. Also ein wirkliches, reines NUR Modem und KEIN NAT Router vor die Firewall.
Kollege Spirit hat ja schon alles dazu gesagt oben...
Moin,
genau das kann die FritzBox mit dem jüngsten Update:
https://avm.de/service/fritzbox/fritzbox-6490-cable/wissensdatenbank/pub ...
Das Druchreichen sollte mit folgernden Aneltiungen klappen (selbst nicht getestet, da nichts davon im Einsatz/ greifbar):
Sophos XG Firewall: How to configure Multicast Routing
Sophos UTM: Multicast Routing (PIM-SM)
Zur Telefonie:
DECT ja nichts mit der Sophos zu tun. DECT ist DECT und ETHERNET ist ETHERNET
Wenn du die FritzFons (Software und/ oder Hardware/ nutzen willst, musst du wie o.g. die richtigen Ports/ Protokolle durch die Sophos lassen.
Da die Einwahl ins Netz deines Kabelnetzbetreibers ja die Fritte übernimmt, solltest du NAT an der SOphos deaktivieren und stattdessen entsprechende Routen auf der Fritte und der Sophos einrichten, ergänzt und passende FirewallPolicies auf letzterer.
Gruß
em-pie
Zitat von @aqui:
Die Kardinalsfrage ist ja WO kommt dieser ominöse "DVB-C Stream" her ?? Bzw. WAS soll das technsich sein und was hat die FB damit zu tun ??
Ein DVB Kabel Streaming muss ja irgendeine Box im lokalen Netz auf Multicasting, IP-TV oder was auch immer umsetzen. Normal macht sowas nicht der Router respektive FritzBox sondern ein separates Gerät !
Die Kardinalsfrage ist ja WO kommt dieser ominöse "DVB-C Stream" her ?? Bzw. WAS soll das technsich sein und was hat die FB damit zu tun ??
Ein DVB Kabel Streaming muss ja irgendeine Box im lokalen Netz auf Multicasting, IP-TV oder was auch immer umsetzen. Normal macht sowas nicht der Router respektive FritzBox sondern ein separates Gerät !
genau das kann die FritzBox mit dem jüngsten Update:
https://avm.de/service/fritzbox/fritzbox-6490-cable/wissensdatenbank/pub ...
Das Druchreichen sollte mit folgernden Aneltiungen klappen (selbst nicht getestet, da nichts davon im Einsatz/ greifbar):
Sophos XG Firewall: How to configure Multicast Routing
Sophos UTM: Multicast Routing (PIM-SM)
Zur Telefonie:
DECT ja nichts mit der Sophos zu tun. DECT ist DECT und ETHERNET ist ETHERNET
Wenn du die FritzFons (Software und/ oder Hardware/ nutzen willst, musst du wie o.g. die richtigen Ports/ Protokolle durch die Sophos lassen.
Da die Einwahl ins Netz deines Kabelnetzbetreibers ja die Fritte übernimmt, solltest du NAT an der SOphos deaktivieren und stattdessen entsprechende Routen auf der Fritte und der Sophos einrichten, ergänzt und passende FirewallPolicies auf letzterer.
Gruß
em-pie
Da die Einwahl ins Netz deines Kabelnetzbetreibers ja die Fritte übernimmt, solltest du NAT an der SOphos deaktivieren und stattdessen entsprechende Routen auf der Fritte und der Sophos einrichten, ergänzt und passende FirewallPolicies auf letzterer.
Wer er NAT für diese Verbindung deaktiviert wird es ja noch viel witziger.
Die Ports müssen nur mit "static" NAT gemapped werden.
Willst du denn ein flaches Netz betreiben?
Dann hat die XG ja nicht viel mit dem Multicast zu schaffen und es kann einfach alles zusammen gesteckt werden.
Soll hingegen aus verschiedenen Netzbereichen auf den Stream zugegriffen werden setzt dies oben genanntes am Gateway vor raus.
Bezüglich Telefonie steht oben schon alles.
Dann hat die XG ja nicht viel mit dem Multicast zu schaffen und es kann einfach alles zusammen gesteckt werden.
Soll hingegen aus verschiedenen Netzbereichen auf den Stream zugegriffen werden setzt dies oben genanntes am Gateway vor raus.
Bezüglich Telefonie steht oben schon alles.
genau das kann die FritzBox mit dem jüngsten Update:
Danke ! Zum Jahresausklang mal wieder was gelernt Gut, dann kann man sie aber auch als stinknormale Streaming Box und AP ins lokale Netzwerk hängen.
Also dann wie der TO schon sich selbst beantwortet hat:
(Internet)==NUR-Modem---(Sophos-Gurke)---lokales LAN---Endgeräte
Bedenke...ein Modem ist ein Modem (kein aktives IP Paket Forwarding sondern nur Medien Wandler) und KEIN Router !!!
Eine FritzBox ist KEIN Modem sondern ein Router (mit intergriertem Modem) und Vodafone hat keinerlei reine Modems sondern auch nur Router.
Gehe also nochmal in dich was du hier genau meinst...?!
Guckst du auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Endlich: Reines Kabel-TV Modem in D erhältlich !
Das internet wird dann mit so einem NUR Modem direkt auf deiner FW terminiert und NICHT auf einem kaskadierten Router davor !
Eine FritzBox ist KEIN Modem sondern ein Router (mit intergriertem Modem) und Vodafone hat keinerlei reine Modems sondern auch nur Router.
Gehe also nochmal in dich was du hier genau meinst...?!
Guckst du auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Endlich: Reines Kabel-TV Modem in D erhältlich !
Das internet wird dann mit so einem NUR Modem direkt auf deiner FW terminiert und NICHT auf einem kaskadierten Router davor !
Moin ....
Leide zwar grad noch unter Schlafmangel ... sehe das aber trotzdem weniger kompliziert als die Kollegaz ..
die FB vor der FW liefert halt IP-TV und das kannst du völlig normal abgreifen ... wie man sonst halt auf IP-TV im Internet zugreit.
Sollte gar kein Problem darstellen.
Ohne die Konfig komplett zu verändern, wäre auch noch der Weg über DVB-C -Repeater von AVM möglich den du hinter die Sophos hängst dann bekommst du das hinter die FW ... die WLAN-Repeater funktion solltest du dann aber nicht mehr nutzen sondern lediglich Kabelfernsehem damit in heimische Netz bringen.
Gesundes neues Jahr .-...
Leide zwar grad noch unter Schlafmangel ... sehe das aber trotzdem weniger kompliziert als die Kollegaz ..
die FB vor der FW liefert halt IP-TV und das kannst du völlig normal abgreifen ... wie man sonst halt auf IP-TV im Internet zugreit.
Sollte gar kein Problem darstellen.
Ohne die Konfig komplett zu verändern, wäre auch noch der Weg über DVB-C -Repeater von AVM möglich den du hinter die Sophos hängst dann bekommst du das hinter die FW ... die WLAN-Repeater funktion solltest du dann aber nicht mehr nutzen sondern lediglich Kabelfernsehem damit in heimische Netz bringen.
Gesundes neues Jahr .-...
Moin ..
Mhhh, schauen wir mal ob du das gleiche meinst .... also bei mir @home hatte ich ein Probem nach der Umstellung auf DVB-T2 weil damit das TV im Schlafzimmer sozusagen gestorben war ... Nun hatten wir noch einen ungenutzten Kabelanschluß und das TV sollte irgendwie ins Netz und ins Schlafzimmer gestreamt werden, Einfachste Variante in meinem Fall war der DVB-C Repeater von AVM .. der wurde einfach via Kabel ins Netz und an die TV-Dose angeschlossen. In meiner Konfig brauchte ich die WLAN-Funktionalität nicht weil das AP's von Unifi bereitstellen.
Am TV dann ein FireTV-Stick der das ganze in den Fernseher gebracht hat ... fetisch ...
Inzwischen hat sich die Konfig allerdings wieder geändert, inzwischen streame ich DVB-S2 auf den TV von daher kann ich mich nicht so erinnern wie das mit den HD-Sendern war ... ich glaube da gingen nur die Öffentlichen ... es war aber auch ein schnöder Kabelanschluß ohne Extras ...
VG
Zitat von @oliver12:
Oder Moment mal, meinst Du vielleicht doch folgendes, wie ich beim Start schon gefragt habe?
Fritzbox - Sophos - Switch - per RJ45 statt WLAN (LAN-Bridge) an DVB-C Repeater und dann wäre das Signal gefiltert und alles wäre chic?
Dann wären auch alle anderen Endgeräte über den Repeater im WLAN und nicht über die Fritzbox, welches man hier nur ausschalten müsste, sofern es geht.
Oder Moment mal, meinst Du vielleicht doch folgendes, wie ich beim Start schon gefragt habe?
Fritzbox - Sophos - Switch - per RJ45 statt WLAN (LAN-Bridge) an DVB-C Repeater und dann wäre das Signal gefiltert und alles wäre chic?
Dann wären auch alle anderen Endgeräte über den Repeater im WLAN und nicht über die Fritzbox, welches man hier nur ausschalten müsste, sofern es geht.
Mhhh, schauen wir mal ob du das gleiche meinst .... also bei mir @home hatte ich ein Probem nach der Umstellung auf DVB-T2 weil damit das TV im Schlafzimmer sozusagen gestorben war ... Nun hatten wir noch einen ungenutzten Kabelanschluß und das TV sollte irgendwie ins Netz und ins Schlafzimmer gestreamt werden, Einfachste Variante in meinem Fall war der DVB-C Repeater von AVM .. der wurde einfach via Kabel ins Netz und an die TV-Dose angeschlossen. In meiner Konfig brauchte ich die WLAN-Funktionalität nicht weil das AP's von Unifi bereitstellen.
Am TV dann ein FireTV-Stick der das ganze in den Fernseher gebracht hat ... fetisch ...
Inzwischen hat sich die Konfig allerdings wieder geändert, inzwischen streame ich DVB-S2 auf den TV von daher kann ich mich nicht so erinnern wie das mit den HD-Sendern war ... ich glaube da gingen nur die Öffentlichen ... es war aber auch ein schnöder Kabelanschluß ohne Extras ...
VG
Hallo,
Ich weiß nicht ob das hier jemand schon zum Laufen gebracht hat,
aber habe auch eine FritzBox (aktuell 6591 Cable) und eine Sophos SG230 mit XG als OS.
Und mich hatte das schon gestört, das ich hinter der Sophos kein Live-TV läuft,
deswegen habe ich mich paar Minuten damit befasst und habe direkt diese Infos von AVM gefunden unter welchen Port das Live-TV läuft:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7530/1422_Live-TV- ...
da ich bei Vodafone bin habe ich dann diese Konfigurationen auf der Sophos:
Regeln und Richtlinien -> NAT-Regeln
Ursprüngliche Quelle: FritzBox
Ursprünglicher Dienst: UDP 10000:10500 (10000-10500) (Laut AVM bei Telekom Port 10000)
Rest: Beliebig
Routing -> Multicast (PIM-SM)
PIM aktivieren
PIM-aktivierte Schnittstelle -> WiFi (oder die Schnittstellen bei den das Laufen soll)
Jetzt wird das Signal von der FritzBox durch dir Sophos an die ausgewählte Schnittstelle weitergeleitet.
Die FritzBox sollte ja standartmäßig die Portfreigabe für die Firewall "Exposed Host" haben.
Ich habe dann die App auf mein Handy gestartet und alles so gelassen wie es vorher war.(DVB-C Empfänger FritzBox IP)
Und es läuft genauso gut wie im WLAN Netz der FritzBox.
Viel Spaß
mucsav1977
Ich weiß nicht ob das hier jemand schon zum Laufen gebracht hat,
aber habe auch eine FritzBox (aktuell 6591 Cable) und eine Sophos SG230 mit XG als OS.
Und mich hatte das schon gestört, das ich hinter der Sophos kein Live-TV läuft,
deswegen habe ich mich paar Minuten damit befasst und habe direkt diese Infos von AVM gefunden unter welchen Port das Live-TV läuft:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7530/1422_Live-TV- ...
da ich bei Vodafone bin habe ich dann diese Konfigurationen auf der Sophos:
Regeln und Richtlinien -> NAT-Regeln
Ursprüngliche Quelle: FritzBox
Ursprünglicher Dienst: UDP 10000:10500 (10000-10500) (Laut AVM bei Telekom Port 10000)
Rest: Beliebig
Routing -> Multicast (PIM-SM)
PIM aktivieren
PIM-aktivierte Schnittstelle -> WiFi (oder die Schnittstellen bei den das Laufen soll)
Jetzt wird das Signal von der FritzBox durch dir Sophos an die ausgewählte Schnittstelle weitergeleitet.
Die FritzBox sollte ja standartmäßig die Portfreigabe für die Firewall "Exposed Host" haben.
Ich habe dann die App auf mein Handy gestartet und alles so gelassen wie es vorher war.(DVB-C Empfänger FritzBox IP)
Und es läuft genauso gut wie im WLAN Netz der FritzBox.
Viel Spaß
mucsav1977