bierkistenschlepper
Goto Top

Gastnetz mit zwei FritzBoxen im ClientIP Mode

Hallo zusammen,

da ich Softwareentwickler und nur Freizeit-Admin bin, wende ich mich hier mal an euch.

Ich habe eine FritzBOX 7362 SL als VDSL Modem im Serverraum stehen. Die stellt die Internetverbindung her und verteilt die IP Adressen via DHCP. Da sie in einem Rak steht, habe ich WLAN abgeschaltet, da das ja durch das Metall stark gedämpft wird. Ich habe ihr daher die minimale Sendeleistung zugeordnet.

FritzBox 2 (WLANAP) ist eine 7390. Sie arbeitet im Client IP Modus und hat WLAN aktiv. An ihr hängen neben dem TV auch mein Smartphone, daher darf sie auch nicht komplett im Gastnetz sein.

Nun das Problem: Um das Gastnetz zu aktivieren muss ich immer auf der 7362 WLAN aktivieren (und Gastnetz) und dann sollte die 7390 diese Einstellung übernehmen.

Mir ist jetzt aber aufgefallen, dass das Gastnetz weiterhin verfügbar ist, auch wenn ich es auf der 7362 abgeschaltet habe. Ist das normal?

Content-ID: 393811

Url: https://administrator.de/contentid/393811

Ausgedruckt am: 23.11.2024 um 12:11 Uhr

aqui
aqui 24.11.2018 um 14:03:24 Uhr
Goto Top
eine FritzBOX 7362 SL als VDSL Modem im Serverraum stehen.
Wie immer bei solch (ungenauer) Angabe:
Wirklich als reines NUR Modem ???
Oder doch als Router in einer klassischen Router_Kaskade ??
Da sie in einem Rak
Du meinst sicher ein Rack, richtig ?
habe ich WLAN abgeschaltet, da das ja durch das Metall stark gedämpft wird. Ich habe ihr daher die minimale Sendeleistung zugeordnet.
Tja was denn nun ?? Abgeschaltet ?? Oder doch angelassen und auf minimale TX Leistung gedreht. Da müssen wir jetzt raten face-sad
daher darf sie auch nicht komplett im Gastnetz sein.
Auch diese Aussage ist irgendwie verwirrend und unsinnig...?!
Als WLAN Client MUSS sie ja in irgendeinem WLAN assoziiert sein und das ist sie dann vollständig. Sowas wie nicht komplett" ist irreführend da technisch nicht möglich.
auch wenn ich es auf der 7362 abgeschaltet habe. Ist das normal?
Nein das ist nicht normal !
Entweder ein Bug oder du hast es falsch konfiguriert !
In dieser konstellation wäre eine Lösung mit einem kleinen 30 Euro Mikrotik Firewall Router und einer Kabelverbindung weitaus sinnvoller als die Gastnetz Frickelei via WLAN.
Zumal man FritzBox Gastnetze eh in Sekunden überwinden kann...jedenfalls für diejenigen die wissen wie es geht face-wink
the-buccaneer
the-buccaneer 24.11.2018 um 15:42:07 Uhr
Goto Top
Etwas unklar, wie oben schon moniert...

Beschreib doch mal, was du genau realisieren willst.
Dann sehen wir weiter.
VG
Buc
Bierkistenschlepper
Bierkistenschlepper 24.11.2018 aktualisiert um 21:04:46 Uhr
Goto Top
Das WLAN an der 7362 ist normalerweise aus, wenn ich es wegen dem Gastnetz anschalte, dann mit minimaler Sedeleistung. Und ja es ist eine Router-Kaskade.

Ich habe auch nach Routern mit VDSL-Modem gesucht, die in ein 10" Rack passen, aber keine gefunden. Wenn ihr so etwas kennt, itte her damit. Die FritzBox passt in das Rack sowieso nicht richtig rein.

Die zweite FritzBox 7390 ist kein WLAN Client sondern hängt im LAN. Nur eben nicht im Gastnetz, sondern im normalen Netz.

Habe jetzt gerade nochmal geschaut, das Gastnetz wird von der 7390 immernoch angeboten, obwohl sie ihre Einstellungen von der 7362 übernehmen soll (Haken Einstellungen für den Gastzugang aus der als Internet-Router genutzten FRITZ!Box übernehmen ist gesetzt). Und bei der 7360 habe ich WLAN komplett deaktiviert, also auch das Gastnetz - würde man denken.

Die 7390 bekommt davon nichts mit... Scheint mir ein Bug zu sein.

Um das Gastnetz zu deaktivieren muss ich WLAN bei der 7360 anschalten, Gastnetz ausschalten und dann auch das WLAN wieder ausschalten. Nur lässt sich das leider nicht mit dem Knopf an der Oberseite machen, wodurch das Ganze ziemlich umständlich wird.

Wie kann man das Gastnetz denn umgehen? Durch feste Zuweisung von IPs? Ich benutze allerdings nicht den Standard-Adressbereich 192.168.178.0/24.

Ich habe auch einen Switch, der VLAN kann, wäre das sicherer? Muss aber schauen, wie ich das entsprechend einrichte, denn die FritzBox kann wohl keine VLAN Tags im WLAN-Gasnetz setzen, oder?

Mir ist schon sehr wichtig, dass es sicher ist, da ich AirBNB Gäste habe.
Lochkartenstanzer
Lochkartenstanzer 25.11.2018 aktualisiert um 09:45:15 Uhr
Goto Top
Moin,

Aus eigener Erfahrung kann ich sagen, daß das AVM-Gastnetz eiv vielfältiger Quell für Bugs ist.

Wenn Du wirklich ein Ggastnetz unabhängig von Deinem Zugangsrouter haben willst, nimmt eine TP-Link mit DDWRT oder eine Mikrotik.

lks

PS: z.B. habe ich schon seit der 7270-er Generation das Problem, daß WLAN gar nicht mehr funktioniert, sobald ich das Gastnetz aktiviere. Der Fehler trat bei 7270, 7390, 7490 und 7590 auf, auch ohne Übernahme der alten Konfiguration.
MOS6581
MOS6581 25.11.2018 um 09:43:09 Uhr
Goto Top
Das mit dem WLAN-Bug, wenn das Gastnetz aktiviert ist, kann ich bestätigen. Hatte das derletzt bei Kundschaft mit dem Ergebnis, dass ich denen die Fritzbox erfolgreich ausreden konnte ;)

LG MOS
Lochkartenstanzer
Lochkartenstanzer 25.11.2018 um 09:46:54 Uhr
Goto Top
Zitat von @MOS6581:

Das mit dem WLAN-Bug, wenn das Gastnetz aktiviert ist, kann ich bestätigen. Hatte das derletzt bei Kundschaft mit dem Ergebnis, dass ich denen die Fritzbox erfolgreich ausreden konnte ;)

Naja, in Privathaushalten ohne besondere Anforderungen kann man die Fritzboxen schon einsetzen, insbesodnere in Verbindung mit Telefonie. Aber sobald man (echte) Gastnetze braucht, ist sie fehl am Platz.

lks
MOS6581
MOS6581 25.11.2018 um 09:50:57 Uhr
Goto Top
Jo, für privat find ich die Dinger gar nicht schlecht. Hab mir gestern eine 7530 gekauft, da ich 100 MBit/s VDSL geschalten bekommen hab und dazu neue Hardware von Nöten war. Funktioniert echt nicht schlecht. Aber sobald's in den professionellen Bereich geht, haben die Dinger dort höchstens was als DSL-Modem oder Anrufbeantworter(-in) zu suchen face-smile

Verstehe sowieso nicht, warum so viele Kollegen selbst größeren Firmen noch Fritzboxen hinstellen. Der Frust ist dann groß, wenn etwas nicht so funktioniert wie es soll.
Lochkartenstanzer
Lochkartenstanzer 25.11.2018 aktualisiert um 10:03:23 Uhr
Goto Top
Zitat von @MOS6581:

Verstehe sowieso nicht, warum so viele Kollegen selbst größeren Firmen noch Fritzboxen hinstellen. Der Frust ist dann groß, wenn etwas nicht so funktioniert wie es soll.

Die Dinger sind relativ einfach zu bedienen und für den Standardfall "einfacher Router an (V)DSL ohne Schnickschack" auch durchaus geeignet. Die Probleme kommen dann meist mit den "Extras".

lks
Lochkartenstanzer
Lochkartenstanzer 25.11.2018 um 10:18:54 Uhr
Goto Top
Zitat von @MOS6581:

Das mit dem WLAN-Bug, wenn das Gastnetz aktiviert ist, kann ich bestätigen. Hatte das derletzt bei Kundschaft mit dem Ergebnis, dass ich denen die Fritzbox erfolgreich ausreden konnte ;)


Nachtrag:

wurde hier auch schon vom mir thematisiert:

Fritzbox: WLAN-Modul konnte nicht korrekt initialisiert werden. Bitte FRITZ!Box neu starten! (0200)

lks
Bierkistenschlepper
Bierkistenschlepper 25.11.2018 um 12:16:41 Uhr
Goto Top
Okay, dann ist das ja ein bekanntes Problem. Da ich hier gerade einen Raspi rumliegen habe, würde ich gerne den für das Gastnetz benutzen. Der kommt dann direkt in das Gästezimmer und kriegt eine vollwertige Firewall, die jeden Zugriff auf das norm,ale Heimnetz unterbindet.

Extra Geld ausgeben will ich jetzt eigentlich nicht.

Ich bin mit den FritzBoxen eigentlich sehr zufrieden. Sie bieten viele Funktionen, z.B. VPN und eine gute Software. Für den Einbau ins RAck sind sie halt nicht gebaut. Ich hatte mal einen Netgear und war erstaunt, dass der mit dieser pixeligen Oberfläche mit viel weniger Funktionen noch konkurrenztfähig ist.

Dieser WLAN-Gastnetz-Bug sollte sich eigentlich sehr einfach behaben lassen. Es mu8ss dazu ja nur wenn man WLAN ausschaltet auch das Gastnetz mit ausgeschaltet werden.
Lochkartenstanzer
Lochkartenstanzer 25.11.2018 um 12:29:06 Uhr
Goto Top
Zitat von @Bierkistenschlepper:

Okay, dann ist das ja ein bekanntes Problem. Da ich hier gerade einen Raspi rumliegen habe, würde ich gerne den für das Gastnetz benutzen. Der kommt dann direkt in das Gästezimmer und kriegt eine vollwertige Firewall, die jeden Zugriff auf das norm,ale Heimnetz unterbindet.

Das ist eindeutig die bessere Lösung.


Extra Geld ausgeben will ich jetzt eigentlich nicht.

Naja, ein kleiner Mikrotik oder TP-Link kostet halb so viel wie ein Raspi mit Gehäuse, Netzteil und SD-Karte.


Ich bin mit den FritzBoxen eigentlich sehr zufrieden. Sie bieten viele Funktionen, z.B. VPN und eine gute Software.

Viele Funktionen stimmt schon. Aber mit Guter Software wäre ich vorsichtig. Die Dinger sind wirklich nur für "Standardsituationen" geeignet. Alles was darüber hinausgeht ist Murks.

Für den Einbau ins RAck sind sie halt nicht gebaut.

Das ist keiner der Plasterouter.

Ich hatte mal einen Netgear und war erstaunt, dass der mit dieser pixeligen Oberfläche mit viel weniger Funktionen noch konkurrenztfähig ist.

Die verkaufen über den Preis.

Dieser WLAN-Gastnetz-Bug sollte sich eigentlich sehr einfach behaben lassen. Es mu8ss dazu ja nur wenn man WLAN ausschaltet auch das Gastnetz mit ausgeschaltet werden.

Naja, wenn man das WLAN der FB nicht benutzt, stört einen der Bug auch nicht. face-smile

lks
Pjordorf
Pjordorf 25.11.2018 aktualisiert um 21:24:32 Uhr
Goto Top
Hallo,

Zitat von @Bierkistenschlepper:
wenn ich es wegen dem Gastnetz anschalte, dann mit minimaler Sedeleistung.
Aber das berßtrifft nur Clients die sich an dieser FritzBox im Gästenetzt tatsächlich anmelden.

Und ja es ist eine Router-Kaskade.
Aber dein LAN der ersten FritzBox wird von eben deiner zweiten genutzt oder hast du LAN 4 dazu genutzt - dann n wird eben nur dein GastNetz zur zweiten Fritte (7390) durchgereicht, wogegen wenn du LAN 1-3 der 7362 nutzt kannst du dein Gastnetz der 7362 knicken.

Wenn ihr so etwas kennt, itte her damit. Die FritzBox passt in das Rack sowieso nicht richtig rein.
https://www.windowspro.de/news/fritzbox-19-zoll-serverschrank-packen/033 ...

Die zweite FritzBox 7390 ist kein WLAN Client sondern hängt im LAN. Nur eben nicht im Gastnetz, sondern im normalen Netz.
Dann hat diese mit dein 7362 Gastnetzt nichts zu tun. Dessen Gastnetz ist dann nur in deiner 7390 und in dein Netz zwischen beiden Fritte. Wireshark zeigt es dir.

Habe jetzt gerade nochmal geschaut, das Gastnetz wird von der 7390 immernoch angeboten, obwohl sie ihre Einstellungen von der 7362 übernehmen soll (Haken Einstellungen für den Gastzugang aus der als Internet-Router genutzten FRITZ!Box übernehmen ist gesetzt).
UInd wie soll das gehen? Deine Fritte kann das GastNetz im WLAN und auf einen LAN Port, meistens der LAN 4. Deine zusammenstöpseln lässt nichts anderes zu. Du kannst das GastNetz an deiner 7362 getrost ausschalten bzw. nicht Konfigurien, ändert bei dir nichts.

Und bei der 7360 habe ich WLAN komplett deaktiviert, also auch das Gastnetz - würde man denken.
Bitte mal mit inSSIDer (Version 3.1.2.1 ist noch Kostenlos) prüfen wer bei dir welche SSID auf welchen Kanal rausblässt.

Die 7390 bekommt davon nichts mit... Scheint mir ein Bug zu sein.
Nein kein Bug, sondern die kann davon nichts mitbekommen. Die sieht deine 7362 nur als anderen AP mit evtl. mehreren SSID je nach was du Konfiguriert hast.

Um das Gastnetz zu deaktivieren muss ich WLAN bei der 7360 anschalten,
Beide Fritten bei dir haben WLAN und ein GastNetz. Du solltest also genauer schauen wer was macht. Xirrus WiFi-Inspector ist auch Gratis (Version1.2.1.4) und zeigt dir auch alles wie eben inSSIDer an.

> Durch feste Zuweisung von IPs? Ich benutze allerdings nicht den Standard-Adressbereich 192.168.178.0/24. Sondern du nimmst Buchstaben wie z.B. _das.ist_._ein.WLAN_
face-smile

Ich habe auch einen Switch, der VLAN kann, wäre das sicherer?
VLAN selbst hat jetzt nichts mit Sicherheit zu tun, das ist nur eine anderes Netz.

Muss aber schauen, wie ich das entsprechend einrichte, denn die FritzBox kann wohl keine VLAN Tags im WLAN-Gasnetz setzen, oder?
Ein Fritte kann bis heute weder im LAN noch in dessen WLAN irgend etwas mit VLANs anfangen. Ein Grund mit warum es je nach Umgebung einfach keinen Sinn macht FritzBoxen einzusetzen.

PS. Ich bin kein gegner von Fritten, aber manchmal sind es die falschen Router.

PSI. Das Gastnetzt einer Fritte kann nicht mit dem LAN dergleichen Fritte reden oder Daten austauschen, wenn dann nür über die WAN Schnittstellen (Internet). Da ist auch nicht was man dazu Einrichten könnte. Es sind komplett getrennte Netze.

Gruß,
Peter
Bierkistenschlepper
Bierkistenschlepper 25.11.2018 um 21:16:29 Uhr
Goto Top
Die günstigen Router scheinen mir ausnahmslos Fast-Ethernet-Ports zu haben. Was bringt mir 300 Mbit WLAN, wenn dann das kabelgebundene Netzwerk auf 100 Mbit gedrosselt wird? Für mich ist das TEchnik aus der Vergangenheit face-smile Wenn jemand ein Modell weiß, das Gigabit hat und unter 40 € kostet, dann her damit. Mir reicht auch ein einziger Port.

Das mit dem Raspi wird zu kompliziert, geb ich zu. Das WLAN geht, aber ins Internet kommt er nicht. Trotz genauer Anleitzung...
Bierkistenschlepper
Bierkistenschlepper 25.11.2018 um 21:26:17 Uhr
Goto Top
UInd wie soll das gehen? Deine Fritte kann das GastNetz im WLAN und auf einen LAN Port, meistens der LAN 4. Deine zusammenstöpseln lässt nichts >anderes zu. Du kannst das GastNetz an deiner 7362 getrost ausschalten bzw. nicht Konfigurien, ändert bei dir nichts.^^

Das ist schlichtweg falsch. Ich betreibe die beiden Fritten im ClientIP Modus. Das heißt die eine ist DHCP Server und die andere verteilt nur Adressen der ersteren und dient als WLAN Hotspot.

Und beim Gastnetz entsteht das Problem, dass dieses andere IP-Adressen benutzt. Dadurch muss das Gastnetz auch auf der DHCP-Fritte aktiviert werden, was auch so von AVM vorgesehen ist (Haken Gastnetz-Einstellzungen übernehmen, s.o.). Nur funktioniert das Ausschalten des Gastnetzes mit dem WLAN nicht, sodass ich immer auf die Oberfläche der Boxen muss um es auszuschalten.

Würde ich das Gastnetz immer anlassen wäre alles in Butter. Das will ich aber eigentlich vermeiden. Erhöht sicher den Strombedarf, oder?=

Mir ist auch klar, dass die Fritten von dem Szenario überfordert sind. Ich wollte nur ausloten was geht und was nicht.
the-buccaneer
the-buccaneer 27.11.2018 um 00:01:51 Uhr
Goto Top
Natürlich geht das, was du wolltest: (Soweit ich dich verstehe)

- Gib der 2. Fritte eine feste IP aus dem Bereich der 1. Fritte. (192.168.178.254 beim Standardnetz)
- Schalte auf der 2. Fritte DHCP aus.
- Passe den DHCP Range auf der Fritte1 an.
- Konfiguriere KEINEN Internetzugang auf der 2. Fritte. (Auch keinen Client-Modus, gib ihr evtl. fehlerhafte Daten für DSL, was weiss ich, wichtig ist nur, dass sie KEIN Internet hat. Vergiss die WAN Buchse) Sie hat kein WAn, sie kennt kein WAN, sie braucht kein WAN. Alles Murks. Hier wird kein Routing gebraucht, denn Fritte 1 gibt ihre eigene IP als Standardgateway allen Clients mit.
- Verbinde Fritte 1 per Kabel an irgendeine LAN-Buchse der Fritte 2.
- Fritte2 arbeitet dann komplikationslos (quasi als Switch) im LAN und kann sowohl ein gebridgtes WLAN, als auch ein eigenständiges Gast-WLAN herstellen.
- Deaktiviere Gastnetz ("Netzwerkeinstellungen") und WLAN auf Fritte 1.

Damit hast du das WLAN und das Gast-WLAN komplett auf Fritte2 und Ruhe ist, oder?

Mir fällt kein Grund ein, warum das nicht gehen sollte.

LG
Buc
aqui
aqui 27.11.2018 aktualisiert um 11:24:06 Uhr
Goto Top
Der kommt dann direkt in das Gästezimmer und kriegt eine vollwertige Firewall, die jeden Zugriff auf das normale Heimnetz unterbindet.
Das klappt natürlich wie HIER beschrieben. Ein RasPi Zero reicht dafür völlig.
Allerdings kann auch ein kleiner Router für popelige 20 Euro es noch einfacher machen mit einem GUI und erheblich mehr WLAN Features als eine einfache FB.
https://varia-store.com/de/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
https://varia-store.com/de/produkt/31901-mikrotik-routerboard-rb941-2nd- ...
Einfach mal eine Bierkiste weniger kaufen... face-wink
Bierkistenschlepper
Bierkistenschlepper 28.11.2018 um 21:52:31 Uhr
Goto Top
So wie @the-bucaneer verstehe kann die Fritte 23 kein Gastnetz aufspannen,. da sie kein DHCP hat und somiut auch keinen zweiten IP-Adress-Bereich. Woher sollen denn die Clients dann ihre Adressen bekommen? Von Fritte 1? aber Die weiß doch vom Gastnetz garnichts.
Pjordorf
Pjordorf 28.11.2018 um 23:03:32 Uhr
Goto Top
Hallo,

Zitat von @Bierkistenschlepper:
da sie kein DHCP hat
Eine Fritte hat sehr wohl einen eigenen DHCP Server, aber dieser kann tatsächlich nur für das LAN und nicht für ein GastNetz Konfiguriert werden. Man kann dort auch nichts Einstellen (alles ausgegraut)
Beispiel:
gastnetzdhcpfritte

Gruß,
Peter
Bierkistenschlepper
Bierkistenschlepper 30.11.2018 um 22:56:14 Uhr
Goto Top
Ich habe mich nun entschieden, einen neuen WLAN AP zu kaufen. Da die 7390 Fritte allerdings total lahm ist (nur 120 Mbit/s im Funk) will ich mir einen anständigen WLAN AP holen, der dann auch was kosten darf.Dachte an Gigabit WLAN. Es darf natürlich auch eine neue Fritte sein, aber ich glaube andere Hersteller sind da billiger. Modem-Funktion brauche ich ja nicht. SmartHome habe ich (1 Heizkörperthermostat bisher) aber das geht ja auch mit der bestehenden Fritte 7360.

Dazu jetzt die Frage, sind die Gastnetze bei diesen Routern per se unsicher? Kann man das bei anderen Herstellern besser konfigurieren?

Wenn Gastnetze per Se nix taugen, dann werde ich die vorhanden 7390 fürs Gastnetz nutzen und den neuen WLAN AP für mich.

Client IP Modus wird dann allerdings nicht gehen, nehme ich an. Das können ja nur AVM Geräte. Insofern wäre die 7260 im Serverraum nur noch ein Modem oder was schlagt ihr vor?

Modellvorschläge sind sehr willkommen. Mehr wie 150 € will ich aber nicht investieren.
Pjordorf
Lösung Pjordorf 01.12.2018 um 03:50:54 Uhr
Goto Top
Hallo,

Zitat von @Bierkistenschlepper:
Dachte an Gigabit WLAN
Na, jetzt werd aber nicht übermütigface-smile Was genau meinst du mit GBit WLAN? Wie viele Antennen hat dein Smartphone oder dein Fernseher oder dein Notenbuch. 2, 3, oder mehr Antennen und MiMo oder was?

Modem-Funktion brauche ich ja nicht.
Ne, das hat ja schon dein FrittenRouter. Und du solltest mal den Unterschied zwischen ein Router, ein Modem und ein AP beachten. Da sind diese 3 Gerätschaften in ein Plastikgehhäuse untergebracht, wie z.B. in deine Fritte. Es gibt auch Fritten ohne eingebautes Modem, die 4040 als Beispiel. Andere Hersteller davon gibt es auch reichlich.
Router ungleich Modem ungleich AP. Auch wenn alles in ein Gehäuse eingepackt ist.

Dazu jetzt die Frage, sind die Gastnetze bei diesen Routern per se unsicher?
Ein Router routet zware ein Gastnetz, hat aber mit seinen Aufbau nichts zu tun. Ein AP macht meist per 2ter BSSID und vLAN ein GastNetz auf. Ein Gastnetz ist ein getrenntes Netz und mit vLAN Spart man halt Hardware und Infrastruktur ein. vLAN ist nicht zwingend nötig für ein Gastnetz, aber wer will schon alles Doppelt haben., weshalb vLAN gern genommen wird.

Kann man das bei anderen Herstellern besser konfigurieren?
Manche finden D-Link klasse, andere sthen auf Fritten und andere mögen nur Netgear. Alle haben diese Plastikkisten mit Modem, Router und AP und jeweils ein GUI. Bei Unify gibt es reine AP, auch MSSID fähig, mit vLAN und GBIT LAN Buchsen, POE 802.3af/at, und Gastnetz per Software - Linux, Windows, auch als VM, oder USB Stick - und falls gewünscht alles in der grossen Wolke. Und die gibt es auch für dein Budget von 150 EUR.

Insofern wäre die 7260 im Serverraum nur noch ein Modem oder was schlagt ihr vor?
Wenn die das kann. AVM hat vor einigen Jahren diese Funktion in ihren Firwares gestrichen.

Gruß,
Peter
Bierkistenschlepper
Bierkistenschlepper 01.12.2018 um 23:06:51 Uhr
Goto Top
Lieber Peter,
vielen Dank für deinen Beitrag.

Ich denke VLANs sind für mein Heimnetz zuviel des Guten. In der c't war neulich mal ein Artikel dazu und es schien mir übermäßig komplex. Ich habe zwar einen HP Switch, der VLANs kann, aber die Fritten können das eben nicht.

Sind Gastnetze auf IP Basis (Subnetze) generell unsicher? Ich würde gerne wissen, wie man die bei FritzBoxen umgehen kann, damit ich das Risiko einschätzen kann.

Selbst wenn ich den HP Switch für VLANs nutze, bleibt das Problem, dass meine Infrastruktur so ist, dass an einer Dose sowohl mein PC als auch der Gäste WLAN-Router hängen würden.

ASPs sind also so definiert, dass sie kein DHCP und kein Routing machen können? Sie erweitern nur das bestehende LAN, ggfs. mit mehreren SSIDs?
Pjordorf
Pjordorf 02.12.2018 um 01:32:05 Uhr
Goto Top
Hallo,

Zitat von @Bierkistenschlepper:
aber die Fritten können das eben nicht.
Und somit ist dann kene Routing zwischen den Netzen möglch, ausser dein HP Switch kann das, dazu mal in den Technischen Daten schauen, weil auch bei HP gibt es eine Vielfalt an Unterschiedlichen Switchen und Funktion, von bis eben alles.

Sind Gastnetze auf IP Basis (Subnetze) generell unsicher?
Je nach dem was die tun oder können oder ermöglichen sind die von Uúnsicher bis sicher. Es kommt halt drauf an. Bei einer Fritte können Gastnetze halt nur Web und Mail und können nicht auf dein LAN zugreifen. Und trotzdem gibt es Umgebungen wo dies ein Sicherheitsrisiko darstellt und ein Gastnetzt eben nicht bereitgestellt wird. Es kommt halt drauf an was...

Ich würde gerne wissen, wie man die bei FritzBoxen umgehen kann, damit ich das Risiko einschätzen kann.
Es kommt drauf an wie und was und wo dein Gastnetz tut, bereitgestellt wird, genutzt werden kann, Zugriff usw. Schalte es auf deiner Fritte an und teste es doch einfach aus - Wireshark ist da dein Freund und auch eine Freitte kann Packet Capture. Es gibt aber FritzBoxen dennen der Ausgebende dies abgewöhnt hat - meistens KabelBoxen vom ISP.

Selbst wenn ich den HP Switch für VLANs nutze, bleibt das Problem, dass meine Infrastruktur so ist, dass an einer Dose sowohl mein PC als auch der Gäste WLAN-Router hängen würden.
Und deshalb gibt es ja auch vLAN. Nutzung einer Infrastruktur für verschiedene getrennte Netze

ASPs sind also so definiert, dass sie kein DHCP und kein Routing machen können? Sie erweitern nur das bestehende LAN, ggfs. mit mehreren SSIDs?
Ob ein AP DHCP kann ist sache des Funktionsumfang und die meisten können das, denn nicht jeder hat eine Infrastruktur wo schon ein oder mehrere DHCP werkeln oder genutzt werden können. Und warum soll/muss ein AP auch Routen können - das ist nur ein Medienwandler (Bridge) von LAN Kabel auf WLAN und der Funktionsumfang ist auch hier Herstellersache. Wie schon gesagt - es kommt drauf an was du tun willst.

Gruß,
Peter
Bierkistenschlepper
Bierkistenschlepper 15.12.2018 aktualisiert um 12:05:11 Uhr
Goto Top
Hallo,
ich habe mir jetzt für mein privates WLAN eine 4040 auf der Bucht geschossen. Habe nun also drei FritzBoxen.

Fritte 1 7360
Steht im Abstellraum und arbeitet als DHCP Server und VDSL Modem. Auf LAN 4 ist das Gastnetz aktiviert. Die Netzwerkdosen in meiner Wohnung hängen an LAN 1 (mit einem unmanaged Switch dazwischen)
192.168.170.1

Fritte 2 4040
WLAN AP im IP Client Modus, die verteilt also IPs von Fritte 1. Hängt im Wohnzimer an eine rDose.
192.168.170.5

Fritte 3 7390
Soll das Gastnetz aufbauen, aber nur für Internet. Intern soll nichts erreichbar sein. Das einzige, was erreichbar sein darf, sind Dienste, die aus dem Inet erreichbar sid, aber die sind eh immer erreichbar.
An LAN 1 hängt hier ein Switch und dann Fritte 1. Auf LAN 1 hat sie also eine IP von Fritte 1
192.168.170.28 (LAN 1)
192.168.175.1 (ihre eigene IP)
Sie arbeitet also auch als DHCP Server

Server 192.168.170.11
Hier laufen die ganzen schützenswerten Dienste, der Server hat eine eigene Firewall (UFW)
Leider geht es noch nicht.

Irgendwas erlaubt den Hosts mit IP aus dem 175er Netz auf die Hosts im 170er Netz zuzugreifen. Vermutlich das NAT? Dabei habe ich extra eine Firewall auf meinem Server, die das eben verhindern sollte. Es ist dabei ganz egal, ob ich die Fritte 3 direkt an Port 4 (Gastnetz der Fritte 1 anschließe oder nicht. Die IP meines Servers taucht sogar im Netzwerkscanner Fing auf.

Was mache ich hier falsch?
Pjordorf
Pjordorf 15.12.2018 um 13:02:12 Uhr
Goto Top
Hallo,

Zitat von @Bierkistenschlepper:
Hängt im Wohnzimer an eine rDose.
Was ist eine rDose?

Soll das Gastnetz aufbauen,
Welches in deiner Fritte 1 gemacht wird?

Das einzige, was erreichbar sein darf, sind Dienste, die aus dem Inet erreichbar sid, aber die sind eh immer erreichbar.
!?!

An LAN 1 hängt hier ein Switch und dann Fritte 1. Auf LAN 1 hat sie also eine IP von Fritte 1
192.168.170.28 (LAN 1)
192.168.175.1 (ihre eigene IP)
Sie arbeitet also auch als DHCP Server
Also als Router und Internet per LAN1?

Server 192.168.170.11
Hier laufen die ganzen schützenswerten Dienste, der Server hat eine eigene Firewall (UFW)
Was ist eine UFW bzw. welches Produkt und an welcher Fitte ist die angeklemmt bzw. an welchem Switch? Male uns das doch mal auf...

Leider geht es noch nicht.
Geht was nicht?

Irgendwas erlaubt den Hosts mit IP aus dem 175er Netz auf die Hosts im 170er Netz zuzugreifen. Vermutlich das NAT?
Ne, was soll NAT damit zu tun haben. Du hast eine normale Routerkaskade und alles aus dem 192.168.175.0/24 kann somit auf deine Gerätschaften im davorgeschalteten Netz 192.168.170.0/24 Netz. Ist so bei einer Kaskade. NAT ist daran nicht schuld.

Dabei habe ich extra eine Firewall auf meinem Server, die das eben verhindern sollte
Dann ist die falsch eingerichtet (Bedenke deine Kaskade).

Was mache ich hier falsch?
Dein Netzaufbau und / oder deine UFW (was immer das sein soll) sind falsch bzw. falsch konfiguriert.

Gruß,
Peter
Bierkistenschlepper
Bierkistenschlepper 15.12.2018 um 15:13:33 Uhr
Goto Top
Hallo Peter,
mancmal frage ich mich schon, warum du derartig pingelig bei Tippfehlern bist. Es ist eine normale Wanddose gemeint.

UFW sollte dir als Netzwerker bekannt sein. Es handelt sich um eine Standard-Linux-Firewall. Und die erlaubt eigentlich nur IPs auf dem 170er Netz auf die Dienste zuzugreifen.

Wenn du sagst, dass es kein NAT gibt, dann haben Pakete aus dem 175er Netz also auch im 170er Netz noch eine Quell-IP mit 175? Dann stimmt wirklich mit der Firewall etwas nicht. Ich dachte, dass diese Adressen dann mit NAT umgesetzt werden.

Dann hatte ich eine falsche Vorstellung von den Subnetzen. Ich dachte mit einer IP aus einem anderen Subnetz kann der Dienst garnicht gefunden werden.
Pjordorf
Pjordorf 15.12.2018 aktualisiert um 15:40:38 Uhr
Goto Top
Hallo,

Zitat von @Bierkistenschlepper:
mancmal frage ich mich schon, warum du derartig pingelig bei Tippfehlern bist. Es ist eine normale Wanddose gemeint.
OK, manchmal ist es eben kein Schreibfehler oder so.

UFW sollte dir als Netzwerker bekannt sein.
Das ubn diese verwendete abkürzung war mir noch nicht begegnet.

Es handelt sich um eine Standard-Linux-Firewall
Nein, es ist eher ein zusatzprodukt. UFW - Uncomplicated Firewall.
The Linux kernel in Ubuntu provides a packet filtering system called netfilter, and the traditional interface for manipulating netfilter are the iptables suite of commands. iptables provide a complete firewall solution that is both highly configurable and highly flexible.

Becoming proficient in iptables takes time, and getting started with netfilter firewalling using only iptables can be a daunting task. As a result, many frontends for iptables have been created over the years, each trying to achieve a different result and targeting a different audience.

The Uncomplicated Firewall (ufw) is a frontend for iptables and is particularly well-suited for host-based firewalls. ufw provides a framework for managing netfilter, as well as a command-line interface for manipulating the firewall. ufw aims to provide an easy to use interface for people unfamiliar with firewall concepts, while at the same time simplifies complicated iptables commands to help an adminstrator who knows what he or she is doing. ufw is an upstream for other distributions and graphical frontends.

Und die erlaubt eigentlich nur IPs auf dem 170er Netz auf die Dienste zuzugreifen.
Dann ist die falsch konfiguriert. Wenn dort keinerlei Zugriffe aus dein 192.168.170.0/24 erwünscht sind, warum lässt du die dann zu?

Wenn du sagst, dass es kein NAT gibt, dann haben Pakete aus dem 175er Netz also auch im 170er Netz noch eine Quell-IP mit 175?
Nein, natürlich nicht. Aber sperre doch einfach die any any regel oder das Qellnetz 192.168.175.0/24. Nutze mal ein Wireshark um dir anzuschauen was an deiner UFW alles ankommt und was du nicht möchtest. Auch ein UFW ändert nichts an der Funktionsweise von IPTables, was in dein Linux eben enthalten und Standard ist.

Dann stimmt wirklich mit der Firewall etwas nicht
Oder dessen Konfiguration face-smile

Ich dachte, dass diese Adressen dann mit NAT umgesetzt werden.
Werden deine 192.168.175.0/24 ja auch, sonst würde es ja auch nicht gehen. Aber diese werden eben umgeschrieben in die 192.168.170.28/24 und diese IP ist ebene in dein Netz was die beiden Fritten verbindet. Das ist halt eine Router Kaskade oder für dich in Reihe geschaltete Router. Works as Designed.

Dann hatte ich eine falsche Vorstellung von den Subnetzen. Ich dachte mit einer IP aus einem anderen Subnetz kann der Dienst garnicht gefunden werden.
Das stimmt auch, aber du willst ja eine Router Kaskade verwenden und da hilft auch kein NAT am ende um zu verhindern das keine Zugriffen vom hinteren LAN auf das vordere LAN (aus sicht (Richtung) vom Internet betrachtet). Wie sollte sonst eine AldiWebSeite auf deine Gerätschaften kommen wenn NAT nicht nur eine Network Address Translation macht und keine Zugriffe möglich wären.

Sperre einfach in deiner UFW Zugriffe vom Quellnetz 192.168.175.0/24 auf jedem Gerät in dein 192.168.170.0/24 Netz oder setzte dort einen Router davor ein der das 192.168.175.0/24 nicht routen tut.

Gruß,
Peter
Lochkartenstanzer
Lochkartenstanzer 15.12.2018 um 15:53:31 Uhr
Goto Top
Zitat von @Bierkistenschlepper:

Was mache ich hier falsch?

Den ganzen Nettzaufbau.

hinter der 7360 sollte das "offenen netz für gäste und nciht vertrauenswürdige Systeme sein.

Da hängst Du dann die 7390 dran, die Dein internes LAN vor diese DMZ abschirmt. Und wenn es sein muß, machst sie halt noch ein GAST-WLAN.

Die 4040 hängt dann halt noch im Clientmodus hinter der 7390.

So können die Gäste dann nciht aus dem gastnetz in dein Internes LAn, weil da die NAT-Fritte davor ist.

Das wäre das, wie ich es machen würde mit den gegeben Geräten.

Aber wenn ich es richtig machen woltle, würde ich hinter die 7360 einen Mikrotik oder eine pfsense hängen und gast und privatnetz damit machen.

ggf noch einen vlan-fähigen switch, um die Kabel bsser nutzen zu können.

lks

lks
Bierkistenschlepper
Bierkistenschlepper 15.12.2018 um 17:43:12 Uhr
Goto Top
Aha, das ist also mein Denkfehler. Das Gastnetz als Erweiterung des bestehenden Heimnetzes. Um richtig zu funktionieren müsste das Heimnetz eine Erweiterung des Gastnetzes sein. Das kann ich jetzt leider nicht so leicht umbauen, da da viele, viele feste IPs dran hängen (VPN zu den Eltern usw.). Kurzum: das ist mir jetzt erstmal zu aufwändig. Vielleicht habe ich nach Weihnachtsn Zeit dafür.

Ich dachte eben, man kann der Fritte abgewöhnen, die IP-Pakete ins Heimnetz zu routen. Aber das geht vermutlich nur mit einer "richtigen" Firewall, ergo ein eigenes Gerät.

Wenn man im Gastnetz einer normalen FritzBox ist, dann sieht man doch auch nicht Geräte im anderen Netzwerk? Also wird hier offenbar das Routing verhindert.
Lochkartenstanzer
Lösung Lochkartenstanzer 15.12.2018 um 18:00:59 Uhr
Goto Top
Zitat von @Bierkistenschlepper:

Wenn man im Gastnetz einer normalen FritzBox ist, dann sieht man doch auch nicht Geräte im anderen Netzwerk? Also wird hier offenbar das Routing verhindert.

Aber nur ins eigene Netz. Das "Heimnetz" ist für Deine 7390 "das Internet".

lks
Pjordorf
Lösung Pjordorf 15.12.2018 um 19:42:49 Uhr
Goto Top
Hallo,

Zitat von @Bierkistenschlepper:
Aha, das ist also mein Denkfehler. Das Gastnetz als Erweiterung des bestehenden Heimnetzes. Um richtig zu funktionieren müsste das Heimnetz eine Erweiterung des Gastnetzes sein.
Und das kann kein Gerät. Eine Fritte macht das schon richtig - das trennen eines LAN und eines Gastnetzes.

Ich dachte eben, man kann der Fritte abgewöhnen, die IP-Pakete ins Heimnetz zu routen
Eine Fritte kann jein Gastnetz ins Heimnetz oder umgekehrt Touten oder sonstwie Verbinden. Beide können nur das Internet gemeinsam nutzen und so gesehen tut es auch dein 2ntes Netz 192.168.175.0/24 welches das gemeinsame Internet - eben dein 192.168.170.0/24 an dessen Internt Port (LAN 1) deiner Fritte 3 nutzt. Weil nur darüber eben du Internet für dein 192.168.175.0/24 bekommen kannst.

Aber das geht vermutlich nur mit einer "richtigen" Firewall, ergo ein eigenes Gerät.
Deine Fritte kann soetwas nicht da diese für ein Heimszenario gedacht ist und dein Wunsch ist eben mehr als jedes Heimszenario darstellt. Ausserdem braucht dieses Gerät dann noch eine weitere LAN Schnittstelle mit eigenen IP Kreis. Dein Aufbau kann niemals das tun was du erwartest. Dein Design ist fehlerhaft oder du brauchst noch weitere Gerätschaften wie einen reine Ethernet Router

Wenn man im Gastnetz einer normalen FritzBox ist, dann sieht man doch auch nicht Geräte im anderen Netzwerk?
Weil das in der Software bzw. deren Konfiguration nicht vogesehen ist. Alles eine Frage was die CPU leisten soll, wieviel RAM, welchen Stromverbrauch und schließlich was das alles Kosten soll. Die Fritte ist für den Massenmarkt im Heimbereich gedacht - und das kann die ja.

Also wird hier offenbar das Routing verhindert.
Kann man so bei einer Fritte sagen, und seitdem es immer schwieriger wird dort Einstellungen vorzunehmen welche nicht über der GUI gemacht werden können bzw sollen - ist es so. Entweder baut jeder das Auto was ihm vorschwebt oder er kauft ein fertiges von einen Auto Hersteller. Oder er schaut sich mal bei Freetz um oder DD-WRT oder FLI4L bzw. EisFair oder OpenWRT oder oder um und baut selbst was. https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions. Auch ein Windows kann genutzt werden soie ein Linux oder Raspberry - muss halt nur entsprechende Schnittstellen haben.

Und wenn du dein Heimnetz (192.168.170.0/24) deiner 7360 durch eine weitere Fritte trennst, bleiben dir immr noch 4 Rouer in dein Design wobei du dann evtl. Probleme mit dein DNS und DHCP bekommen kannst...

PS:
Aha, das ist also mein DenkDesignfehler
Ja face-smile

Gruß,
Peter