FritzBox 7530 hinter FortiGateF40 Firewall
Ich bräuchte Hilfe bei der Einrichtung einer Fritzbox 7530 in Kombination mit einer vorgeschalteten FortiGate F40 Firewall.
Das Modem kommt von Magenta. Wie muss ich die Fritzbox konfigurieren? Sprich wer übernimmt hier die NAT Funktion im besten Fall. Kann mir hier jemand helfen?
Das Modem kommt von Magenta. Wie muss ich die Fritzbox konfigurieren? Sprich wer übernimmt hier die NAT Funktion im besten Fall. Kann mir hier jemand helfen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 51443632105
Url: https://administrator.de/contentid/51443632105
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
35 Kommentare
Neuester Kommentar
Kommt drauf an ob du die Fritte als normalen Kaskaden Router betreiben willst, oder als dummen NUR Host z.B. als reine Telefonanlage oder als reinen WLAN Accesspoint in einem lokalen Netz an der vorhandenen Firewall?
In einer Kaskade aktivierst du das Modem Bapassing (Internet vorhanden) und kaskadierter über den LAN1 Anschluss. Hierbei musst du beachten das die Fritte dann zwangsweise NAT macht und du eine routingtechnische Einbahnstraße hast.
Siehe dazu hier und auch hier.
In einer Kaskade aktivierst du das Modem Bapassing (Internet vorhanden) und kaskadierter über den LAN1 Anschluss. Hierbei musst du beachten das die Fritte dann zwangsweise NAT macht und du eine routingtechnische Einbahnstraße hast.
Siehe dazu hier und auch hier.
Heißt dass dann die Fritte ist vor der Firewall?
Genau DAS ist etwas wirr und unverständlich beschrieben vom TO! Er schreibt ja oben das das Modem (vermutlich vor der Fortinet?!) „von Magenta“ (Telekom) kommt. Was auch immer das heißen soll?? Lässt ja nur den Schluss zu das dies ein Speedport Router ist und in einer technisch wenig guten und wenig performaten Router Kaskade mit doppeltem NAT und doppeltem Firewalling bzw. den anderen üblichen Nachteilen betrieben wird.
Allerdings gibt es auch einige Ausnahmen bei den Speedports die sich auch als reine Modems betreiben lassen. Leider fehlt hier eine zielführende und hilfreiche Information des TOs.
Da er den Beitrag mittlerweile auf „Gelöst„ gesetzt hat ist die Frage ja eh erledigt.
Nur so viel: Die FritzBox ist als Router nur bedingt zum reinen Modembetrieb geeignet. Den einzigen Mode den sie noch supportet ist PPPoE Passthrough wie es hier und hier ansatzweise am etwas älteren xDSL Modell 7412 beschrieben ist.
Ich würde die Fritzbox am liebsten so konfigurieren, dass sie nur als Internet Modem fungiert
Das geht nur mit der o.a. PPPoE Passthrough Option.Technisch deutlich besser wäre die Wahl eines dedizierten NUR Modems wie z.B. einem Zyxel VMG3006 oder einem Vigor 167 für den Anschluss an den WAN Port der Fortinet Firewall.
Ok, ich kann von Magenta aus kein anderes Modem verwenden als die Fritzbox.
Grundsätzlich ist das natürlich technsicher Unsinn! Klassische NUR Modems wie Draytek Vigor 167 und Zyxel VMG3006 usw. laufen bekanntlich auch im Magenta Netz vollkommen problemlos und fehlerfrei, egal mit welchem Endgerät dahinter!!
Es gibt auch nicht die Möglichkeit die PPPoE Zugangsdaten zu bekommen
Auch das ist völliger Unsinn und stimmt so nicht. Jeder kann sich seine PPPoE Zugangsdaten aus der Anschlusskennung selber herleiten. Das ist schon seit Jahrzehnten so bei der Telekom!!https://telekomhilft.telekom.de/t5/Festnetz-Internet/PPPOE-Einwahl-ueber ...
Oder auch HIER bei einem Cisco Router!
Aber auch das ist seit Jahren mit Einführung der neuen BNG Anschlüsse der Telekom eh vollkommen obsolet geworden. Du kannst für diese Kennungen Phantasienummern eingeben, denn diese Daten sind nicht mehr relevant weil die Telekom eine rein anschlussbezogene Authentisierung macht bei BNG.
In einem Administrator Forum sollte man keine solche grundsätzlichen Falschinformationen kolportieren und sich tunlichst besser informieren! 🧐
Die Telekom hat dafür auch einen guten Helpdesk, besonders für Businesskunden.
Wenn man weiß wie PPPoE technisch funktioniert, dann könnte man auch drauf kommen das es zwingend eine Authentifizierung braucht!
@aqui hat aber Recht, bei neuen Anschlüssen der deutschen Telekom kannst du da völlige Fantasiedaten eintragen, weil die die Authentifizierung quasi über den physischen Port am DSLAM machen, an dem dein Anschluss hängt. Ist auch sicherheitstechnisch nicht schlimm, weil jeder sein eigenes Adernpaar bis zum Haus hat.
Gruß,
Avoton
Wobei hat @aqui recht?
Dass du bei der Deutschen Telekom keine "richtigen" Zugangsdaten brauchst.
Du hast dich vermutlich nicht vom Forum sondern vom first Level Support des Providers für dumm verkaufen lassen oder die haben dich einfach abgewimmelt. DA list also der böse Buhmann zu suchen, nicht hier.
Wenn die dich so abwimmeln lass dich mit entspr. Nachdruck zum 2nd Level weiterverbinden.
Jeder Provider hat doch detailiert dokumentiert WIE der Zugang bei ihm technisch realisiert wird. Wenn es eben kein PPPoE ist dann ist es PPTP oder DHCP oder was auch immer. Das ist doch eine banale Basisinfo die dir der Provider geben muss. Bei den allermeisten ist das auch offen auf den Support Webseiten dokumentiert.
Sorry, aber seit Jahren besteht in der EU Routerfreiheit an das sich alle EU Provider rechtlich zu halten haben. Es ist also rechtlich verpflichtend das du als Kunde die Zugangsdaten zur Verfügung gestellt bekommst.
Es wäre doch absurd und naiv gedacht Business Kunden (und auch private) müssten sich alle eine billige Plaste Fritzbox vor ihre mehrere Tausend Euro teuren Premium Firewalls schalten und mit einer technisch nachteiligen Router Kaskade mit doppeltem NAT und Firewall zwangsweise arbeiten.
Das sind Fakten die doch auch jeder Laie kennt. Das ist jetzt auch mitnichten böse gemeint aber man muss doch auch nicht so rumeiern um an diese Informationen zu kommen.
Wie ein PPPoE Passthrough bei der FB einzurichten ist hat AVM genau dokumentiert:
https://at.avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3232_PPPoE ...
Es sieht so aus als ob Magenta AT die Endgeräte gesondert freischaltet, sprich man also Mac Adresse oder eine anders geartete ID bekanntgeben muss um alternative Endgeräte zu betreiben.
https://www.lteforum.at/mobilfunk/magenta-vdsl-mit-eigenem-router.15337/
https://community.magenta.at/topic/5444-upgrade-auf-vdsl-logindaten-f&uu ...
Auch das erfragt man dann im Support.
Alternativ supportet jeder bessere externe Router oder Firewall eben Mac Cloning so das man die Mac Adresse der registrierten FritzBox auf ein alternatives Endgerät klonen kann.
All das ist doch wahrlich nun kein Hexenwerk und keiner will hier irgendwen für irgendwas verkaufen oder meint etwas böse. Alles lässt sich in Erfahrung bringen mit dem nötigen Nachdruck oder indem man etwas googelt!
Wenn die dich so abwimmeln lass dich mit entspr. Nachdruck zum 2nd Level weiterverbinden.
Jeder Provider hat doch detailiert dokumentiert WIE der Zugang bei ihm technisch realisiert wird. Wenn es eben kein PPPoE ist dann ist es PPTP oder DHCP oder was auch immer. Das ist doch eine banale Basisinfo die dir der Provider geben muss. Bei den allermeisten ist das auch offen auf den Support Webseiten dokumentiert.
Sorry, aber seit Jahren besteht in der EU Routerfreiheit an das sich alle EU Provider rechtlich zu halten haben. Es ist also rechtlich verpflichtend das du als Kunde die Zugangsdaten zur Verfügung gestellt bekommst.
Es wäre doch absurd und naiv gedacht Business Kunden (und auch private) müssten sich alle eine billige Plaste Fritzbox vor ihre mehrere Tausend Euro teuren Premium Firewalls schalten und mit einer technisch nachteiligen Router Kaskade mit doppeltem NAT und Firewall zwangsweise arbeiten.
Das sind Fakten die doch auch jeder Laie kennt. Das ist jetzt auch mitnichten böse gemeint aber man muss doch auch nicht so rumeiern um an diese Informationen zu kommen.
Wie ein PPPoE Passthrough bei der FB einzurichten ist hat AVM genau dokumentiert:
https://at.avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3232_PPPoE ...
Es sieht so aus als ob Magenta AT die Endgeräte gesondert freischaltet, sprich man also Mac Adresse oder eine anders geartete ID bekanntgeben muss um alternative Endgeräte zu betreiben.
https://www.lteforum.at/mobilfunk/magenta-vdsl-mit-eigenem-router.15337/
https://community.magenta.at/topic/5444-upgrade-auf-vdsl-logindaten-f&uu ...
Auch das erfragt man dann im Support.
Alternativ supportet jeder bessere externe Router oder Firewall eben Mac Cloning so das man die Mac Adresse der registrierten FritzBox auf ein alternatives Endgerät klonen kann.
All das ist doch wahrlich nun kein Hexenwerk und keiner will hier irgendwen für irgendwas verkaufen oder meint etwas böse. Alles lässt sich in Erfahrung bringen mit dem nötigen Nachdruck oder indem man etwas googelt!
Ich habe jetzt die Fritzbox auf Port 1 zum WAN Port der Forti angesteckt.
1.)Also wieder eine stinknormale Router Kaskade mit doppeltem Firewalling und doppeltem NAT. Keinerlei Änderung also zu dem was du vorher hattest!
Zudem ist der LAN1 Port der FB der dort fürs Modem Bypassing verwendet wird, also auch noch eine sehr schlechte Portwahl on Top.
2.)
Eine static Route ist Blödsinn, denn die Fortinet "kennt" logischerweise alle an ihr direkt angeschlossenen IP Netze. Was sollte das also für einen Sinn haben? Sehr wahrscheinlich ist damit dann auch diese Route syntaktisch falsch?!
3.)
Was genau soll das für eine "Policy" sein? Zumal die Default Policy der Fortinet ja schon dafür sorgt das sämtlicher Traffic ihres LAN Segments über ihr WAN Segment ins Internet geht. Eine zusätzliche "Policy" die das gleiche bewirkt wäre also überflüssig.
und ich kann über die Forti nicht ins Internet!
Wie gesagt ein klassisches und banales Router Kaskaden Setup was auch jeder Netzwerk Laie in 10 Minuten zum Fliegen bringt. Einmal das o.a. Kaskaden Tutorial in aller Rihe lesen und verstehen kann helfen. Gehe doch einfach einmal strategisch vor...
- Resette die FB auf ihre Defaults
- Trage deine Zugangscredentials ein oder lasse sie die automatisch via TR069 von der FB vom Provider ziehen und checke vorher die FB z.B. an LAN Port 2 mit einem Test PC ob sie einen funktionierenden Internet Zugang und DHCP Adressen am LAN zur Verfügung stellt. Das stellt dann sicher das die FB als klassischer Internet Router sauber funktioniert.
- Resette auch die Fortinet auf ihre Factory Defaults. In der Regel arbeitet ihr WAN Port dann als DHCP Client, zieht sich also eine IP dort. Das LAN Segment hat üblicherweise im Default Internet Zugang mit einem entsprechenden Regelwerk und der WAN Port macht NAT (Adress Translation). Klassischer Default wie es auch bei allen anderen Firewalls auf der Welt wie z.B. pfSense oder OPNsense der Fall ist.
- Dann steckst du den WAN Port der Fortinet auf den LAN 2 Port der FB. Da die FB ja getestet Internet Zugang hat kann man diese als mögliche Ursache ausschliessen. Über das GUI der Fortinet kannst du nun checken ob diese am WAN Port eine IP aus dem FB LAN bekommen hat. Zusätzlich sollte sie eine Default Route und auch einen DNS Server bekommen haben was beides logischerweise der FB LAN IP entspricht. Ist das der Fall sieht das gut aus.
- Zum Schluss gehst du mal in die Ping Diagnostic Tools auf dem GUI der Forti und pingst als erstes die IP der Fritzbox 192.168.178.1 (wenn du den Default beibehälst), dann eine nackte IP im Internet wie 8.8.8.8 und dann einen DNS Namen wie www.heise.de. Klappt das, klappt es auch vom LAN
Das einzige Problem ist noch das die FB die IP Adresse über DHCP vergibt!
Das ist auch unglücklich, denn muss man einmal mit Port Forwarding auf dem davor kaskadierten Router arbeiten ist das schlecht wenn man mit dynamischen und damit wechselnden IPs arbeitet.Das kann man kinderleicht ändern und kommt man als Admin eigentlich auch von selbst drauf... 😉
Gibt 2 Optionen:
- Du belässt DHCP aktiv machst aber eine feste Reservierung auf Basis der Mac Adresse. Damit bekommt dann der WAN Port immer eine fest zugwiesene IP Adresse vom FB DHCP. Z.B. 192.168.178.254 so das man immer ideal zwischen der obersten und untersten Adresse "sehen" kann wer es ist.
- Du deaktivierst das DHCP komplett auf der Fritte. Das macht insbesondere Sinn wenn das Netz zur Fritte ein reines Punkt zu Punkt Koppelnetz ist. Dann setzt du den Port Mode des Fortinet WAN Ports auf Static und konfigurierst dem dort statisch z.B. die 192.168.178.254 mit einer 24 Bit Maske, setzt das Default Gateway und DNS Server IP auf die Fritzbox IP Adresse .1 und fertisch.
Wie sperre ich da Admin Interface auf die Fritzbox auf der Forti? Sodass alles gesperrt ist.
Oha, du scheiterst schon an den einfachsten Dingen... Da setzt du am LAN Port eine Firewall Regel auf
DENY Source: <lokales_LAN> Destination: 192.168.178.1 Port: TCP 80, 443
PERMIT Source: <lokales_LAN> Destination: ANY
Die Regel ist selbsterklärent...
Erstes Statement verbietet den HTTP Traffic über TCP 80 und 443 auf das GUI der Fritte. (Annahme das diese die Default IP hat)
Das 2te Statement erlaubt dann allen Traffic vom Fortinet LAN Netz überall hin.
Bedeutet dann aber das keiner im Fortinet LAN Netz aufs GUI der FB kommt um da ggf. Wartungsarbeiten zu machen auch ggf. du selber nicht. Willst du das und hast du das IP Netz 10.0.0.0/24 in diesem Netz konfiguriert und dein PC die .100 dort sieht die Fortinet LAN Regel etwas anders aus.
PERMIT Source: 10.0.0.100 Destination: 192.168.178.1 Port: TCP 80, 443
DENY Source: <lokales_LAN> Destination: 192.168.178.1 Port: TCP 80, 443
PERMIT Source: <lokales_LAN> Destination: ANY
Das bewirkt dann das nur die .100 aus dem Fortinet LAN noch die FB konfigtechnisch erreicht.
Generell aber bleibt die Frage was der tiefere Sinn einer Firewall hinter einem Router ist der auch schon eine Firewall und NAT an Bord hat. Aber das kannst wohl nur du selber beurteilen.
Stichwort "Security": 🤣
Funktioniert in diesem Fall aber nicht
Natürlich funktioniert das auch. Man muss nur wissen wie und es richtig machen! Naja, die FRITZ!Box übernimmt in meinem Fall die Modem Funktion
Sie ist aber kein reines Modem sondern immer ein Router. Ein großer Unterschied der leider oft laienhaft verwechselt wird.Technisch zwar keine gute Lösung aber wenn man mit einer Router Kaskade leben kann...warum nicht?!
Da Router Zwang!
Ist bekanntlich in der EU rechtlich verboten und Millionen Anschlüsse die mit privaten Routern und Firewalls arbeiten widerlegen diese Behauptung eindeutig. Stell dir mal vor Großkonzerne oder größere Unternehmen müssten sich alle zwangsweise eine Billo Plaste Fritte an den Anschluss hängen. Die würden dem Provider was husten. Das so ein Unsinn ins Reich der IT Märchen gehört weisst du sicher auch selber oder ahnst es zu mindestens.Aber das Thema hatten wir ja bereits...!