m.fessler
Goto Top

Fritzbox: Wie gut ist die Trennung zwischen Haupt- und Gastnetz?

Hallo zusammen,

man liest immer wieder, dass das Gastnetz/Gastzugang (Wlan bzw. Port 4) einfach zu umgehen sei.
Nun stehe ich vor der Anschaffung eines Routers für einen Bekannten und möchte abwägen ob mir bzw. uns die Trennung "gut genug" ist.
Leider hab ich keine Fritzbox zur Hand und auch noch keine vor mir gehabt, sind diese hier in Österreich doch deutlich seltener anzutreffen als in Deutschland.

Wenn ich es richtig verstehe, wird nicht via VLAN getrennt sondern "nur" ein zweites Subnetz erstellt.
Einfach nur eine andere IP und passende Subnetmaske wird (hoffentlich) nicht reichen um vom Gast- ins Hauptnetz zu kommen - oder etwa doch?

Danke schon mal für jede Erläuterung!
Alternativ gerne auch per PN wenn man das lieber nicht öffentlich machen sollte.

Grüße,
Martin

Content-ID: 4217381565

Url: https://administrator.de/contentid/4217381565

Ausgedruckt am: 13.11.2024 um 00:11 Uhr

micneu
micneu 10.10.2022 um 09:35:25 Uhr
Goto Top
Moin,
1. was genau ist dein Ziel (könnte sein das es bessere Lösungen gibt)?
2. das Gastnetz der Fritzbox ist intern ein VLAN mit eigenem Netzbereich
3. Ich Persönlich mag das Gästenetz der Fritzbox nicht, manches funktioniert in diesem netz NICHT
z. B. SSH zu irgendwelchen Servern (nicht im LAN)

hier mal wie ich mein Netz aufgebaut habe:
                                            ┌──────────────────────────┐
                                            │                          │
                                            │  WAN / Internet (PPPoe)  │
                                            │        Willy.tel         │
                                            │ 1000/250Mbit/s Glasfaser │
                                            │                          │
                                            └─────────────┬────────────┘
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │
                                                          │
 ┌────────────────┐   ┌────────────────┐       ╔══════════╩════════════ pfSense+ 22.05 ══╗    Stand: ─ ─ ┐
 │                │   │     Switch     ├───────╣                                         ║  │
 │    TrueNAS     ├───┤  USW-Flex-XG   │       ║                Intel NUC BNUC11TNHV50L00║    23.09.2022 │
 │                │   │                ├────┐  ║                      LAN: 192.168.3.0/24║  │
 └────────────────┘   └────────┬───────┘    │  ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║   ─ ─ ─ ─ ─ ─ ┘
                               │            │  ║       IoT WLAN (VLAN34): 192.168.34.0/24║
                      ┌────────┴───────┐    │  ║     DynDNS über deSEC mit eigener Domain║
                      │      UBNT      │    │  ║                                   VPN's:║  
                      │EdgeSwitch 8 XP │    │  ║         2 x Fritzbox (7490 & 6591) IPSec║
                      │                │    │  ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║
                      └───┬────────────┘    │  ║               1 x WireGuard Road Warrior║
 ┌────────────────┐       │                 │  ║                         (172.16.33.0/24)║
 │ Fritzbox 7490  │       │                 │  ╚═════════════════════════════════════════╝
 │   (Nur VoIP)   ├───────┤                 │
 │                │       │               ┌─┴──────────────┐     ┌────────────────┐   ┌────────────────┐
 └────────────────┘       │               │     Switch     │     │     Switch     │   │    1 x UBNT    │
 ┌────────────────┐       │               │  USW-Flex-XG   ├─────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│
 │      UBNT      │       │               │                │     │                │   │                │
 │UniFi Cloud Key ├───────┤               └───────┬────────┘     └─────────┬──────┘   └────────────────┘
 │                │       │                       │  ┌────────────────┐    │          ┌────────────────┐
 └────────────────┘       │                       │  │                │    │          │                │
 ┌────────────────┐       │                       └──┤    Clients     │    └──────────┤    Clients     │
 │    2 x UBNT    │       │                          │                │               │                │
 │UniFI AP AC Pro ├───────┘                          └────────────────┘               └────────────────┘
 │                │
 └────────────────┘
aqui
aqui 10.10.2022 aktualisiert um 10:02:59 Uhr
Goto Top
<OT> Nicht besonders intelligent und performant die RWs dann noch mit 2 völlig unterschiedlichen VPN Protokollen zu betreiben wenn man es mit dem schon für die FBs verwendeten kann und sich zudem die Frickelei mit externer VPN Client Software auf den Endgeräten auch erspart...aber egal!
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten </OT>
Zum Rest ist das aber richtig. Wenn man das wirklich sicher trennen will ist eine dedizierte SPI Firewall oder ein SPI Firewall Router wie z.B. pfSense, OPNsense, Cisco, Mikrotik usw. die deutlich bessere Wahl! Beide Lösungen haben sogar noch ein onboard Captive Portal für Gäste.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
rzlbrnft
rzlbrnft 10.10.2022 aktualisiert um 12:18:13 Uhr
Goto Top
Zitat von @m.fessler:
Wenn ich es richtig verstehe, wird nicht via VLAN getrennt sondern "nur" ein zweites Subnetz erstellt.
Einfach nur eine andere IP und passende Subnetmaske wird (hoffentlich) nicht reichen um vom Gast- ins Hauptnetz zu kommen - oder etwa doch?

Der Port wird aus dem Heimnetz heraussegmentiert, wie sollte das funktionieren, wenn nicht mit einem eigenen VLAN?
Die Funktionsweise ist recht einfach, du bekommst ein Heimnetz mit Zugriff auf alles und ein Gastnetz das nur Zugriff auf im Internet geroutete IPs hat, nicht auf private, und auch nur auf die gängigsten Ports für normalen Browser Traffic (443,80,21,...). Wenn ich das recht in Erinnerung habe ist auch standardmäßig Host Isolation aktiv, also im Gastnetz befindliche Geräte können sich nicht gegenseitig sehen.
Für den 0815 Home User sollte das ausreichen, wenn du mehr machen willst, brauchst du was gescheites.
Dann sollte sich der Bekannte, dem du das einrichtest aber auch damit auskennen, sonst darfst du da öfter mal vorbeischaun.