35
FritzBox 7530 hinter FortiGateF40 Firewall
Ich bräuchte Hilfe bei der Einrichtung einer Fritzbox 7530 in Kombination mit einer vorgeschalteten FortiGate F40 Firewall.
Das Modem kommt von Magenta. Wie muss ich die Fritzbox konfigurieren? Sprich wer übernimmt hier die NAT Funktion im besten Fall. Kann mir hier jemand helfen?
Das Modem kommt von Magenta. Wie muss ich die Fritzbox konfigurieren? Sprich wer übernimmt hier die NAT Funktion im besten Fall. Kann mir hier jemand helfen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 51443632105
Url: https://administrator.de/contentid/51443632105
Printed on: September 1, 2024 at 08:09 o'clock
35 Comments
Latest comment
Kommt drauf an ob du die Fritte als normalen Kaskaden Router betreiben willst, oder als dummen NUR Host z.B. als reine Telefonanlage oder als reinen WLAN Accesspoint in einem lokalen Netz an der vorhandenen Firewall?
In einer Kaskade aktivierst du das Modem Bapassing (Internet vorhanden) und kaskadierter über den LAN1 Anschluss. Hierbei musst du beachten das die Fritte dann zwangsweise NAT macht und du eine routingtechnische Einbahnstraße hast.
Siehe dazu hier und auch hier.
In einer Kaskade aktivierst du das Modem Bapassing (Internet vorhanden) und kaskadierter über den LAN1 Anschluss. Hierbei musst du beachten das die Fritte dann zwangsweise NAT macht und du eine routingtechnische Einbahnstraße hast.
Siehe dazu hier und auch hier.
Die Fortigate ist soweit konfiguriert, dass ich die Fritzbox am WAN Port anschließe und meinen Host auf PORT 3 der Fortigate Internet Access hat. Ich würde die Fritzbox am liebsten so konfigurieren, dass sie nur als Internet Modem fungiert den Rest sollte eigentlich dann die Fortigate machen. Würde ich die Fritzbox als zusätzlichen WLAN Access Point verwenden, würde der Verkehr nicht über die Firewall gehen oder und wäre somit ungeschützt?
Heißt dass dann die Fritte ist vor der Firewall?
Vielen Dank für die Hilfe
Heißt dass dann die Fritte ist vor der Firewall?
Genau DAS ist etwas wirr und unverständlich beschrieben vom TO! 
Er schreibt ja oben das das Modem (vermutlich vor der Fortinet?!) „von Magenta“ (Telekom) kommt. Was auch immer das heißen soll?? Lässt ja nur den Schluss zu das dies ein Speedport Router ist und in einer technisch wenig guten und wenig performaten Router Kaskade mit doppeltem NAT und doppeltem Firewalling bzw. den anderen üblichen Nachteilen betrieben wird.
Allerdings gibt es auch einige Ausnahmen bei den Speedports die sich auch als reine Modems betreiben lassen. Leider fehlt hier eine zielführende und hilfreiche Information des TOs.
Da er den Beitrag mittlerweile auf „Gelöst„ gesetzt hat ist die Frage ja eh erledigt.
Nur so viel: Die FritzBox ist als Router nur bedingt zum reinen Modembetrieb geeignet. Den einzigen Mode den sie noch supportet ist PPPoE Passthrough wie es hier und hier ansatzweise am etwas älteren xDSL Modell 7412 beschrieben ist.
Ich würde die Fritzbox am liebsten so konfigurieren, dass sie nur als Internet Modem fungiert
Das geht nur mit der o.a. PPPoE Passthrough Option.Technisch deutlich besser wäre die Wahl eines dedizierten NUR Modems wie z.B. einem Zyxel VMG3006 oder einem Vigor 167 für den Anschluss an den WAN Port der Fortinet Firewall.
Ja, ich glaube auch das die Fritzbox für ein dediziertes "Modem" ungeeignet ist! Ich hätte genauso ein Zyxel VMG3006 zuhause! Da müsste ich bei Magenta anfragen ob dieses Installierbar wäre. Sprich die Einstellung auf der Forti bleibt unverändert. Ich stecke das Modem an den WAN Port und konfiguriere dann einen weiteren Port für einen Switch oder einen Host der direkt an der Forti hängt! Ist mir klar!
Habt ihr hier eine Anleitung für die Konfig von Zyxel VMG3006 und Fortigate? Das wäre wirklich hilfreich.
Habt ihr hier eine Anleitung für die Konfig von Zyxel VMG3006 und Fortigate? Das wäre wirklich hilfreich.
Wenn der Zyxel im reinen Modem Betrieb läuft und du jetzt auch ein Modem hast, ist das plug and play.
Gruß,
Avoton
Gruß,
Avoton
1
Ok, ich kann von Magenta aus kein anderes Modem verwenden als die Fritzbox. Es gibt auch nicht die Möglichkeit die PPPoE Zugangsdaten zu bekommen um die Fortigate oder ein anderes Mondem an den Anschluss zu hängen. Sprich ich bin gezwungen die FritzBox von Magenta zu verwenden.
1) Fritzbox (Modem) vergibt eines statische IP Adresse an meine FortiGate Firewall (NAT ausgeschalten, WLAN ausgeschalten) Wie kann ich meine Fritzbox weiter absichern? Gibt es hier eine bessere Lösung?
2) Fortigate Firewall übernimmt das NAT.
Wie soll ich die FritzBox hier am besten konfigurieren?
1) Fritzbox (Modem) vergibt eines statische IP Adresse an meine FortiGate Firewall (NAT ausgeschalten, WLAN ausgeschalten) Wie kann ich meine Fritzbox weiter absichern? Gibt es hier eine bessere Lösung?
2) Fortigate Firewall übernimmt das NAT.
Wie soll ich die FritzBox hier am besten konfigurieren?
Ok, ich kann von Magenta aus kein anderes Modem verwenden als die Fritzbox.
Grundsätzlich ist das natürlich technsicher Unsinn! Klassische NUR Modems wie Draytek Vigor 167 und Zyxel VMG3006 usw. laufen bekanntlich auch im Magenta Netz vollkommen problemlos und fehlerfrei, egal mit welchem Endgerät dahinter!!
Es gibt auch nicht die Möglichkeit die PPPoE Zugangsdaten zu bekommen
Auch das ist völliger Unsinn und stimmt so nicht. Jeder kann sich seine PPPoE Zugangsdaten aus der Anschlusskennung selber herleiten. Das ist schon seit Jahrzehnten so bei der Telekom!!https://telekomhilft.telekom.de/t5/Festnetz-Internet/PPPOE-Einwahl-ueber ...
Oder auch HIER bei einem Cisco Router!
Aber auch das ist seit Jahren mit Einführung der neuen BNG Anschlüsse der Telekom eh vollkommen obsolet geworden. Du kannst für diese Kennungen Phantasienummern eingeben, denn diese Daten sind nicht mehr relevant weil die Telekom eine rein anschlussbezogene Authentisierung macht bei BNG.
In einem Administrator Forum sollte man keine solche grundsätzlichen Falschinformationen kolportieren und sich tunlichst besser informieren! 🧐
Die Telekom hat dafür auch einen guten Helpdesk, besonders für Businesskunden.
@aqui
Wenn das so einfach ist die PPPoE Daten aus dem Router auszulesen? Du meinst ich kann eine beliebige Kennung zum Verbindungsaufbau verwenden? Das wage ich schwer zu bezweifeln. Sicherheitstechnisch absolut wiedersprüchlich.
Magenta hat vorgegebene Router - sie zwingen dich diesen Router zu verwenden - hier gibt es auch keine andere Möglichkeit- laut Kundenservice. Die keinen Zugriff auf die PPPoE Daten haben. Ansonsten hätte ich schon ein anderes Modem in Betrieb genommen. Ja, bei A1 war es auch so das man die Zugangsdaten bekommen hat. (Telekom) Magenta braucht auch bei der Einwahl etwas länger als die Telekom, logisch weil es eigentlich das Netz von A1 ist.
So Aqui: Ich nutze dieses Forum gleich wie du um Informationen auszutauschen. Oder Leuten bei Problemen zu helfen. Kläre mich bitte auf wo ich Falschinformationen Preis gegeben habe? Kann es vielleicht sein, dass du selber falsch informiert bist? Ich war vor einigen Tagen mehre Stunden in der Magenta Hotline im Bezug auf meine PPPoE Daten - dass ist nicht möglich! Ich war Business Kunde bei A1 (Telekom) und war abgesehen vom überteuerten Preis absolut unzufrieden.
A1 sieht es auch nicht vor, dass man sein eigenes Modem verwendet. Hier bekommst du keinen telefonischen Support, wenn es um die Verbesserung der Download Geschwindigkeit geht.
Wenn das so einfach ist die PPPoE Daten aus dem Router auszulesen? Du meinst ich kann eine beliebige Kennung zum Verbindungsaufbau verwenden? Das wage ich schwer zu bezweifeln. Sicherheitstechnisch absolut wiedersprüchlich.
Magenta hat vorgegebene Router - sie zwingen dich diesen Router zu verwenden - hier gibt es auch keine andere Möglichkeit- laut Kundenservice. Die keinen Zugriff auf die PPPoE Daten haben. Ansonsten hätte ich schon ein anderes Modem in Betrieb genommen. Ja, bei A1 war es auch so das man die Zugangsdaten bekommen hat. (Telekom) Magenta braucht auch bei der Einwahl etwas länger als die Telekom, logisch weil es eigentlich das Netz von A1 ist.
So Aqui: Ich nutze dieses Forum gleich wie du um Informationen auszutauschen. Oder Leuten bei Problemen zu helfen. Kläre mich bitte auf wo ich Falschinformationen Preis gegeben habe? Kann es vielleicht sein, dass du selber falsch informiert bist? Ich war vor einigen Tagen mehre Stunden in der Magenta Hotline im Bezug auf meine PPPoE Daten - dass ist nicht möglich! Ich war Business Kunde bei A1 (Telekom) und war abgesehen vom überteuerten Preis absolut unzufrieden.
A1 sieht es auch nicht vor, dass man sein eigenes Modem verwendet. Hier bekommst du keinen telefonischen Support, wenn es um die Verbesserung der Download Geschwindigkeit geht.
Du schickst außerdem keine zuverlässige Quellen! Das ist Schrott! Leute schreiben vieles - aber es stimmt nicht so. Zu anderen redest du von Deutschen Anbietern und ich bin aber bei Magenta in Österreich!
Bei A1 gebe ich dir recht - hier bekommst du die PPPoE Daten bei Vertragsabschluss. Doch nicht bei Magenta.
Bei A1 gebe ich dir recht - hier bekommst du die PPPoE Daten bei Vertragsabschluss. Doch nicht bei Magenta.
Wenn man weiß wie PPPoE technisch funktioniert, dann könnte man auch drauf kommen das es zwingend eine Authentifizierung braucht! Das hat auch einen sicherheitstechnischen Aspekt.
In Österreich wurde ursprünglich für ADSL-Zugänge das Point To Point Tunneling Protocol (PPTP) verwendet. Für VDSL & GPON Anschlüsse von A1 wird auch PPPoE verwendet[1].
Link (Wikipedia) dieser Abschnitt stammt aus WikiPedia
In Österreich wurde ursprünglich für ADSL-Zugänge das Point To Point Tunneling Protocol (PPTP) verwendet. Für VDSL & GPON Anschlüsse von A1 wird auch PPPoE verwendet[1].
Link (Wikipedia) dieser Abschnitt stammt aus WikiPedia
Wenn man weiß wie PPPoE technisch funktioniert, dann könnte man auch drauf kommen das es zwingend eine Authentifizierung braucht!
@aqui hat aber Recht, bei neuen Anschlüssen der deutschen Telekom kannst du da völlige Fantasiedaten eintragen, weil die die Authentifizierung quasi über den physischen Port am DSLAM machen, an dem dein Anschluss hängt. Ist auch sicherheitstechnisch nicht schlimm, weil jeder sein eigenes Adernpaar bis zum Haus hat.
Gruß,
Avoton
Wobei hat @aqui recht?
Dass du bei der Deutschen Telekom keine "richtigen" Zugangsdaten brauchst.
1Zitat von @Avoton:
Dass du bei der Deutschen Telekom keine "richtigen" Zugangsdaten brauchst
Wobei hat @aqui recht?
Dass du bei der Deutschen Telekom keine "richtigen" Zugangsdaten brauchst
Ja, dass habe ich schon versucht! Das funktioniert bei uns in Österreich leider nicht. Sowohl auf der Fortigate PPPoE als auch auf einem Zyxel! Ich bekomme keine Verbindung. Ansonsten sag mir wie ich das noch versuchen kann? Ich bi. natürlich bereit was dazu zu lernen.
Hatte das selbe Problem bei A1 (Telekom) mit Business Vertrag!
Na ja, dann ruft mal halt bei der (Business) Hotline an und lässt sich die Zugangsdaten geben oder sieht in seinen Vertrag wo diese Zugangsdaten schwarz auf weiß abgedruckt sind.
Auch solche Banalitäten kommt man doch auch ohne Foren Thread!
Auch solche Banalitäten kommt man doch auch ohne Foren Thread!
Ja, habe ich gemacht! Die kennen kein PPPoE und haben keine Zugangsdaten. 🙌
@aqui du schreinst immer so als würde dich etwas stören oder du würdest alle für Dumm oder Unwissend verkaufen? - Ich weiß nicht, das ist etwas ungut! Könntest du auch auf anderer Art und Weise kommunizieren, die etwas nettere Art?
@aqui du schreinst immer so als würde dich etwas stören oder du würdest alle für Dumm oder Unwissend verkaufen? - Ich weiß nicht, das ist etwas ungut! Könntest du auch auf anderer Art und Weise kommunizieren, die etwas nettere Art?
Du hast dich vermutlich nicht vom Forum sondern vom first Level Support des Providers für dumm verkaufen lassen oder die haben dich einfach abgewimmelt. DA list also der böse Buhmann zu suchen, nicht hier.
Wenn die dich so abwimmeln lass dich mit entspr. Nachdruck zum 2nd Level weiterverbinden.
Jeder Provider hat doch detailiert dokumentiert WIE der Zugang bei ihm technisch realisiert wird. Wenn es eben kein PPPoE ist dann ist es PPTP oder DHCP oder was auch immer. Das ist doch eine banale Basisinfo die dir der Provider geben muss. Bei den allermeisten ist das auch offen auf den Support Webseiten dokumentiert.
Sorry, aber seit Jahren besteht in der EU Routerfreiheit an das sich alle EU Provider rechtlich zu halten haben. Es ist also rechtlich verpflichtend das du als Kunde die Zugangsdaten zur Verfügung gestellt bekommst.
Es wäre doch absurd und naiv gedacht Business Kunden (und auch private) müssten sich alle eine billige Plaste Fritzbox vor ihre mehrere Tausend Euro teuren Premium Firewalls schalten und mit einer technisch nachteiligen Router Kaskade mit doppeltem NAT und Firewall zwangsweise arbeiten.
Das sind Fakten die doch auch jeder Laie kennt. Das ist jetzt auch mitnichten böse gemeint aber man muss doch auch nicht so rumeiern um an diese Informationen zu kommen.
Wie ein PPPoE Passthrough bei der FB einzurichten ist hat AVM genau dokumentiert:
https://at.avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3232_PPPoE ...
Es sieht so aus als ob Magenta AT die Endgeräte gesondert freischaltet, sprich man also Mac Adresse oder eine anders geartete ID bekanntgeben muss um alternative Endgeräte zu betreiben.
https://www.lteforum.at/mobilfunk/magenta-vdsl-mit-eigenem-router.15337/
https://community.magenta.at/topic/5444-upgrade-auf-vdsl-logindaten-f&uu ...
Auch das erfragt man dann im Support.
Alternativ supportet jeder bessere externe Router oder Firewall eben Mac Cloning so das man die Mac Adresse der registrierten FritzBox auf ein alternatives Endgerät klonen kann.
All das ist doch wahrlich nun kein Hexenwerk und keiner will hier irgendwen für irgendwas verkaufen oder meint etwas böse. Alles lässt sich in Erfahrung bringen mit dem nötigen Nachdruck oder indem man etwas googelt!
Wenn die dich so abwimmeln lass dich mit entspr. Nachdruck zum 2nd Level weiterverbinden.
Jeder Provider hat doch detailiert dokumentiert WIE der Zugang bei ihm technisch realisiert wird. Wenn es eben kein PPPoE ist dann ist es PPTP oder DHCP oder was auch immer. Das ist doch eine banale Basisinfo die dir der Provider geben muss. Bei den allermeisten ist das auch offen auf den Support Webseiten dokumentiert.
Sorry, aber seit Jahren besteht in der EU Routerfreiheit an das sich alle EU Provider rechtlich zu halten haben. Es ist also rechtlich verpflichtend das du als Kunde die Zugangsdaten zur Verfügung gestellt bekommst.
Es wäre doch absurd und naiv gedacht Business Kunden (und auch private) müssten sich alle eine billige Plaste Fritzbox vor ihre mehrere Tausend Euro teuren Premium Firewalls schalten und mit einer technisch nachteiligen Router Kaskade mit doppeltem NAT und Firewall zwangsweise arbeiten.
Das sind Fakten die doch auch jeder Laie kennt. Das ist jetzt auch mitnichten böse gemeint aber man muss doch auch nicht so rumeiern um an diese Informationen zu kommen.
Wie ein PPPoE Passthrough bei der FB einzurichten ist hat AVM genau dokumentiert:
https://at.avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3232_PPPoE ...
Es sieht so aus als ob Magenta AT die Endgeräte gesondert freischaltet, sprich man also Mac Adresse oder eine anders geartete ID bekanntgeben muss um alternative Endgeräte zu betreiben.
https://www.lteforum.at/mobilfunk/magenta-vdsl-mit-eigenem-router.15337/
https://community.magenta.at/topic/5444-upgrade-auf-vdsl-logindaten-f&uu ...
Auch das erfragt man dann im Support.
Alternativ supportet jeder bessere externe Router oder Firewall eben Mac Cloning so das man die Mac Adresse der registrierten FritzBox auf ein alternatives Endgerät klonen kann.
All das ist doch wahrlich nun kein Hexenwerk und keiner will hier irgendwen für irgendwas verkaufen oder meint etwas böse. Alles lässt sich in Erfahrung bringen mit dem nötigen Nachdruck oder indem man etwas googelt!
Hallo! Ich habe jetzt die Fritzbox auf Port 1 zum WAN Port der Forti angesteckt.
1) Ich komme auf das Interface von der Forti (192.168.175.250 - Fritzbox)
2) Hier habe ich eine Static Route eingerichtet (IP Adresse von FritzBox)
3) Dann eine Firewall Policy LAN > WAN - Internet Access
Irgendwo liegt noch der Fehler und ich kann über die Forti nicht ins Internet!
1) Ich komme auf das Interface von der Forti (192.168.175.250 - Fritzbox)
2) Hier habe ich eine Static Route eingerichtet (IP Adresse von FritzBox)
3) Dann eine Firewall Policy LAN > WAN - Internet Access
Irgendwo liegt noch der Fehler und ich kann über die Forti nicht ins Internet!
Ich habe jetzt die Fritzbox auf Port 1 zum WAN Port der Forti angesteckt.
1.)Also wieder eine stinknormale Router Kaskade mit doppeltem Firewalling und doppeltem NAT. Keinerlei Änderung also zu dem was du vorher hattest!
Zudem ist der LAN1 Port der FB der dort fürs Modem Bypassing verwendet wird, also auch noch eine sehr schlechte Portwahl on Top.
2.)
Eine static Route ist Blödsinn, denn die Fortinet "kennt" logischerweise alle an ihr direkt angeschlossenen IP Netze. Was sollte das also für einen Sinn haben? Sehr wahrscheinlich ist damit dann auch diese Route syntaktisch falsch?!
3.)
Was genau soll das für eine "Policy" sein? Zumal die Default Policy der Fortinet ja schon dafür sorgt das sämtlicher Traffic ihres LAN Segments über ihr WAN Segment ins Internet geht. Eine zusätzliche "Policy" die das gleiche bewirkt wäre also überflüssig.
und ich kann über die Forti nicht ins Internet!
Wie gesagt ein klassisches und banales Router Kaskaden Setup was auch jeder Netzwerk Laie in 10 Minuten zum Fliegen bringt. Einmal das o.a. Kaskaden Tutorial in aller Rihe lesen und verstehen kann helfen. Gehe doch einfach einmal strategisch vor...
- Resette die FB auf ihre Defaults
- Trage deine Zugangscredentials ein oder lasse sie die automatisch via TR069 von der FB vom Provider ziehen und checke vorher die FB z.B. an LAN Port 2 mit einem Test PC ob sie einen funktionierenden Internet Zugang und DHCP Adressen am LAN zur Verfügung stellt. Das stellt dann sicher das die FB als klassischer Internet Router sauber funktioniert.
- Resette auch die Fortinet auf ihre Factory Defaults. In der Regel arbeitet ihr WAN Port dann als DHCP Client, zieht sich also eine IP dort. Das LAN Segment hat üblicherweise im Default Internet Zugang mit einem entsprechenden Regelwerk und der WAN Port macht NAT (Adress Translation). Klassischer Default wie es auch bei allen anderen Firewalls auf der Welt wie z.B. pfSense oder OPNsense der Fall ist.
- Dann steckst du den WAN Port der Fortinet auf den LAN 2 Port der FB. Da die FB ja getestet Internet Zugang hat kann man diese als mögliche Ursache ausschliessen. Über das GUI der Fortinet kannst du nun checken ob diese am WAN Port eine IP aus dem FB LAN bekommen hat. Zusätzlich sollte sie eine Default Route und auch einen DNS Server bekommen haben was beides logischerweise der FB LAN IP entspricht. Ist das der Fall sieht das gut aus.
- Zum Schluss gehst du mal in die Ping Diagnostic Tools auf dem GUI der Forti und pingst als erstes die IP der Fritzbox 192.168.178.1 (wenn du den Default beibehälst), dann eine nackte IP im Internet wie 8.8.8.8 und dann einen DNS Namen wie www.heise.de. Klappt das, klappt es auch vom LAN
Ja gut! Eine ganze Leihe bin ich ja nicht! Das hätte ich einmal geschafft. Die FG hängt jetzt am WAN Port und ist verbunden mit dem LAN Port 2 auf der FB. Ich kann mit meinem Notebook über die Firewall das Internet erreichen. Alles fein. (Ich habe auf der FB das NAT deaktiviert und auf der Forti aktiviert, dass heißt ich habe auch kein doppeltes NAT mehr)
So: Jetzt habe ich aber bei der FortiGate 40F keine Möglichkeit für ein gesichertes WLAN. Dahingehend will ich das der Datenverkehr gesichert über die FortiGate läuft. Hier würde ich mir von NetGear den "ORBI" kaufen und diesen auf der FG (FortiGate) konfigurieren. Und ich hätte mein Ziel erreicht.
Darüberhinaus würde ich gerne den PORT 2 der FortiGate dafür verwenden und diesen auf einen reinen Internet Access beschränken, wie gehe ich hier vor? Sprich das Netzwerk sollte nur WLAN mit Internet zu Verfügung stellen. Gibt es hier noch Sicherheitseinstellungen?
So: Jetzt habe ich aber bei der FortiGate 40F keine Möglichkeit für ein gesichertes WLAN. Dahingehend will ich das der Datenverkehr gesichert über die FortiGate läuft. Hier würde ich mir von NetGear den "ORBI" kaufen und diesen auf der FG (FortiGate) konfigurieren. Und ich hätte mein Ziel erreicht.
Darüberhinaus würde ich gerne den PORT 2 der FortiGate dafür verwenden und diesen auf einen reinen Internet Access beschränken, wie gehe ich hier vor? Sprich das Netzwerk sollte nur WLAN mit Internet zu Verfügung stellen. Gibt es hier noch Sicherheitseinstellungen?
Das WLAN der FB würde ich dafür abdrehen.
Habe auch den Port 2 auf ein neues Netz geschalten. Funktioniert auch. Sprich ich habe den Admin Access auf Port 1 und auf Port 2 habe ich nur rein auf Internet beschränkt! DHCP Bereich von 192.168.34.10 bis 192.168.34.20
Das einzige Problem ist noch das die FB die IP Adresse über DHCP vergibt! Hier könnte ich das DHCP abdrehen und der FortiGate ein statische IP Adresse geben? Macht das Sinn?
Wie sperre ich da Admin Interface auf die Fritzbox auf der Forti? Sodass alles gesperrt ist.
Das einzige Problem ist noch das die FB die IP Adresse über DHCP vergibt!
Das ist auch unglücklich, denn muss man einmal mit Port Forwarding auf dem davor kaskadierten Router arbeiten ist das schlecht wenn man mit dynamischen und damit wechselnden IPs arbeitet.Das kann man kinderleicht ändern und kommt man als Admin eigentlich auch von selbst drauf... 😉
Gibt 2 Optionen:
- Du belässt DHCP aktiv machst aber eine feste Reservierung auf Basis der Mac Adresse. Damit bekommt dann der WAN Port immer eine fest zugwiesene IP Adresse vom FB DHCP. Z.B. 192.168.178.254 so das man immer ideal zwischen der obersten und untersten Adresse "sehen" kann wer es ist.
- Du deaktivierst das DHCP komplett auf der Fritte. Das macht insbesondere Sinn wenn das Netz zur Fritte ein reines Punkt zu Punkt Koppelnetz ist. Dann setzt du den Port Mode des Fortinet WAN Ports auf Static und konfigurierst dem dort statisch z.B. die 192.168.178.254 mit einer 24 Bit Maske, setzt das Default Gateway und DNS Server IP auf die Fritzbox IP Adresse .1 und fertisch.
Wie sperre ich da Admin Interface auf die Fritzbox auf der Forti? Sodass alles gesperrt ist.
Oha, du scheiterst schon an den einfachsten Dingen... Da setzt du am LAN Port eine Firewall Regel auf
DENY Source: <lokales_LAN> Destination: 192.168.178.1 Port: TCP 80, 443
PERMIT Source: <lokales_LAN> Destination: ANY
Die Regel ist selbsterklärent...
Erstes Statement verbietet den HTTP Traffic über TCP 80 und 443 auf das GUI der Fritte. (Annahme das diese die Default IP hat)
Das 2te Statement erlaubt dann allen Traffic vom Fortinet LAN Netz überall hin.
Bedeutet dann aber das keiner im Fortinet LAN Netz aufs GUI der FB kommt um da ggf. Wartungsarbeiten zu machen auch ggf. du selber nicht. Willst du das und hast du das IP Netz 10.0.0.0/24 in diesem Netz konfiguriert und dein PC die .100 dort sieht die Fortinet LAN Regel etwas anders aus.
PERMIT Source: 10.0.0.100 Destination: 192.168.178.1 Port: TCP 80, 443
DENY Source: <lokales_LAN> Destination: 192.168.178.1 Port: TCP 80, 443
PERMIT Source: <lokales_LAN> Destination: ANY
Das bewirkt dann das nur die .100 aus dem Fortinet LAN noch die FB konfigtechnisch erreicht.
Generell aber bleibt die Frage was der tiefere Sinn einer Firewall hinter einem Router ist der auch schon eine Firewall und NAT an Bord hat. Aber das kannst wohl nur du selber beurteilen.
Stichwort "Security": 🤣
Ja, damit gebe ich dir Recht! Mehr Sicherheit hätte ich sicher wenn die Fritte wegfällt und sich die FG direkt über PPPoE einwählen kann. Funktioniert in diesem Fall aber nicht, also muss ich es so nehmen wie es kommt!
Hab ich auch so gemacht! - somit liegen wir von den Einstellungen nicht soweit auseinander.
Naja, die FRITZ!Box übernimmt in meinem Fall die Modem Funktion und noch ein bissl was! Mehr nicht! Ich hab soweit es geht alles abgeschalten!
Hab ich auch so gemacht! - somit liegen wir von den Einstellungen nicht soweit auseinander.
Naja, die FRITZ!Box übernimmt in meinem Fall die Modem Funktion und noch ein bissl was! Mehr nicht! Ich hab soweit es geht alles abgeschalten!
Funktioniert in diesem Fall aber nicht
Natürlich funktioniert das auch. Man muss nur wissen wie und es richtig machen! Naja, die FRITZ!Box übernimmt in meinem Fall die Modem Funktion
Sie ist aber kein reines Modem sondern immer ein Router. Ein großer Unterschied der leider oft laienhaft verwechselt wird.Technisch zwar keine gute Lösung aber wenn man mit einer Router Kaskade leben kann...warum nicht?!
Ich hätte es gerne anders! Das hab ich bei Magenta bisher noch nicht erreichen können! Da Router Zwang!
Da Router Zwang!
Ist bekanntlich in der EU rechtlich verboten und Millionen Anschlüsse die mit privaten Routern und Firewalls arbeiten widerlegen diese Behauptung eindeutig. Stell dir mal vor Großkonzerne oder größere Unternehmen müssten sich alle zwangsweise eine Billo Plaste Fritte an den Anschluss hängen. Die würden dem Provider was husten. Das so ein Unsinn ins Reich der IT Märchen gehört weisst du sicher auch selber oder ahnst es zu mindestens.Aber das Thema hatten wir ja bereits...!
Ja, nicht einmal der technische Support konnte mir die PPPoE Daten geben! Soetwas wird nicht unterstützt! Was soll ich machen?
Dann Versuch du doch bei Magenta Österreich anzurufen und erfrage die PPPoE Daten für das DSL Internet!
Dass die Zugangsdaten nicht am Telefon rausrücken macht ja irgendwo Sinn. Fordere die Zugangsdaten mit Verweis auf die Routerfreiheit schriftlich an und gut...
Gruß,
Avoton
Gruß,
Avoton
1