19
Kabelinternet : Modem : Sophos Firewall : kleine Firma 10 MA
Aktuell läuft in einer kleinen Firma eine FritzBox 6360 als Router, DNS, DHCP, NTP und und und.
Diese FritzBox soll durch eine kleine Sophos Firewall abgelöst werden. Jetzt bleibt nur die Frage, wie ich das Kabelsignal auf Ethernet umsetzen kann. Ich habe gelesen, dass man das durch die FritzBox schleifen und dann am WAN Port einfach nutzen kann.
Hat hier jemand Erfahrungen?
Gibt es überhaupt reine Kabelmodems?
Wäre über Erfahrungsberichte dankbar. Das FritzOS ist auf dem aktuellsten möglichen Stand.
Danke!
Diese FritzBox soll durch eine kleine Sophos Firewall abgelöst werden. Jetzt bleibt nur die Frage, wie ich das Kabelsignal auf Ethernet umsetzen kann. Ich habe gelesen, dass man das durch die FritzBox schleifen und dann am WAN Port einfach nutzen kann.
Hat hier jemand Erfahrungen?
Gibt es überhaupt reine Kabelmodems?
Wäre über Erfahrungsberichte dankbar. Das FritzOS ist auf dem aktuellsten möglichen Stand.
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 378627
Url: https://administrator.de/contentid/378627
Printed on: April 24, 2024 at 21:04 o'clock
19 Comments
Latest comment
Ja läuft hier genauso. Auf der Fritzbox ist alles überflüssige abgeschaltet. Natürlich ist sie noch ein Router und kein Modem, sie baut die Internetverbindung auf und routet den Datenverkehr. Die Sophos und die Fritzbox sind in einem eigenen kleinen IP Netz, für die Sophos ist das einfach nur das Gateway.
Die Situation bei Kabel TV Internet Anschlüssen sieht da leider schlecht aus 
Es gibt natürlich reine Kabelmodems allerdings sind sie sehr zu beschaffen, weil diese rar sind oder eben nur über den Gebrauchtmarkt.
Bzw. die Kabelprovider fahren hier auch gewusst die übliche Gängeltechnik um User zu entmündigen in Bezug auf die freie HW Wahl, obwohl das zumindestens in D nicht mehr gesetzeskonform ist.
Amazon und eBay aus dem Ausland bergen die latente Gefahr das diese hier ggf. nicht funktionieren.
https://www.amazon.com/Motorola-SB6120-SURFboard-eXtreme-Broadband/dp/B0 ...
Die Gefahr ist gering weil DOCSIS weltweit standardisiert ist aber im worst case hast du die Probleme mit der Rückabwicklung.
Du wirst also vermutlich leider nicht um eine NAT Router Kaskade mit all den technischen Nachteilen drumherum kommen.
Letztlich dann aber immer noch besser als gar nix.
Infos zu Router Kaskaden findest du hier:
Kopplung von 2 Routern am DSL Port
Speziell Breitband (Ethernet WAN) Firewalls wie bei dir:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und auch
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Es gibt natürlich reine Kabelmodems allerdings sind sie sehr zu beschaffen, weil diese rar sind oder eben nur über den Gebrauchtmarkt.
Bzw. die Kabelprovider fahren hier auch gewusst die übliche Gängeltechnik um User zu entmündigen in Bezug auf die freie HW Wahl, obwohl das zumindestens in D nicht mehr gesetzeskonform ist.
Amazon und eBay aus dem Ausland bergen die latente Gefahr das diese hier ggf. nicht funktionieren.
https://www.amazon.com/Motorola-SB6120-SURFboard-eXtreme-Broadband/dp/B0 ...
Die Gefahr ist gering weil DOCSIS weltweit standardisiert ist aber im worst case hast du die Probleme mit der Rückabwicklung.
Du wirst also vermutlich leider nicht um eine NAT Router Kaskade mit all den technischen Nachteilen drumherum kommen.
Letztlich dann aber immer noch besser als gar nix.
Infos zu Router Kaskaden findest du hier:
Kopplung von 2 Routern am DSL Port
Speziell Breitband (Ethernet WAN) Firewalls wie bei dir:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und auch
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Zitat von @ukulele-7:
Ja läuft hier genauso. Auf der Fritzbox ist alles überflüssige abgeschaltet. Natürlich ist sie noch ein Router und kein Modem, sie baut die Internetverbindung auf und routet den Datenverkehr. Die Sophos und die Fritzbox sind in einem eigenen kleinen IP Netz, für die Sophos ist das einfach nur das Gateway.
Ja läuft hier genauso. Auf der Fritzbox ist alles überflüssige abgeschaltet. Natürlich ist sie noch ein Router und kein Modem, sie baut die Internetverbindung auf und routet den Datenverkehr. Die Sophos und die Fritzbox sind in einem eigenen kleinen IP Netz, für die Sophos ist das einfach nur das Gateway.
Ich muss also die FritzBox in einen anderen Betriebsmodus versetzen (wenn das überhaupt funktioniert) oder den Zugang auf der FritzBox normal einstellen und die Sophos Firewall einfach dahinter hängen. Ich könnte also die bestehende Config so belassen und die Sophos einfach anstecken und probieren?
Zitat von @aqui:
Die Situation bei Kabel TV Internet Anschlüssen sieht da leider schlecht aus
Es gibt natürlich reine Kabelmodems allerdings sind sie sehr zu beschaffen, weil diese rar sind oder eben nur über den Gebrauchtmarkt.
Bzw. die Kabelprovider fahren hier auch gewusst die übliche Gängeltechnik um User zu entmündigen in Bezug auf die freie HW Wahl, obwohl das zumindestens in D nicht mehr gesetzeskonform ist.
Amazon und eBay aus dem Ausland bergen die latente Gefahr das diese hier ggf. nicht funktionieren.
https://www.amazon.com/Motorola-SB6120-SURFboard-eXtreme-Broadband/dp/B0 ...
Die Gefahr ist gering weil DOCSIS weltweit standardisiert ist aber im worst case hast du die Probleme mit der Rückabwicklung.
Ich habe auch nur Gebrauchtgeräte gefunden, wie von dir beschrieben.Die Situation bei Kabel TV Internet Anschlüssen sieht da leider schlecht aus
Es gibt natürlich reine Kabelmodems allerdings sind sie sehr zu beschaffen, weil diese rar sind oder eben nur über den Gebrauchtmarkt.
Bzw. die Kabelprovider fahren hier auch gewusst die übliche Gängeltechnik um User zu entmündigen in Bezug auf die freie HW Wahl, obwohl das zumindestens in D nicht mehr gesetzeskonform ist.
Amazon und eBay aus dem Ausland bergen die latente Gefahr das diese hier ggf. nicht funktionieren.
https://www.amazon.com/Motorola-SB6120-SURFboard-eXtreme-Broadband/dp/B0 ...
Die Gefahr ist gering weil DOCSIS weltweit standardisiert ist aber im worst case hast du die Probleme mit der Rückabwicklung.
Du wirst also vermutlich leider nicht um eine NAT Router Kaskade mit all den technischen Nachteilen drumherum kommen.
Letztlich dann aber immer noch besser als gar nix.
Ja, es ist eine sehr kleine Firma, ich denke hier ist das zu vernachlässigen.Letztlich dann aber immer noch besser als gar nix.
Infos zu Router Kaskaden findest du hier:
Kopplung von 2 Routern am DSL Port
Speziell Breitband (Ethernet WAN) Firewalls wie bei dir:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und auch
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Danke!Kopplung von 2 Routern am DSL Port
Speziell Breitband (Ethernet WAN) Firewalls wie bei dir:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und auch
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Zitat von @malawi:
Ich muss also die FritzBox in einen anderen Betriebsmodus versetzen (wenn das überhaupt funktioniert) oder den Zugang auf der FritzBox normal einstellen und die Sophos Firewall einfach dahinter hängen. Ich könnte also die bestehende Config so belassen und die Sophos einfach anstecken und probieren?
Jein, die Fritzbox bleibt in ihrem "Betriebsmodus", da musst du nichts verstellen. Du solltest nur überflüssige Dinge wie WLAN deaktivieren denn das sollte ja (vermutlich) nur hinter deiner Sophos statt finden. Die Fritzbox hat dann eine IP und ein eigenes kleines Netz, z.B. 192.168.1.1/24. IP und Netz unterscheiden sich vom eigentlichen Netz der Sophos, z.B. 192.168.0.1/24 IP der Sophos. Dann konfigurierst du an der Sophos einen Port mit 192.168.1.2 und verbindest diesen mit der Fritzbox, alles andere ist nur mit der Sophos verbunden. Außerdem trägst du auf dem Port die 192.168.1.1 als Gateway ein und vermutlich musst du noch eine NAT-Regel auf der Sophos anlegen.Ich muss also die FritzBox in einen anderen Betriebsmodus versetzen (wenn das überhaupt funktioniert) oder den Zugang auf der FritzBox normal einstellen und die Sophos Firewall einfach dahinter hängen. Ich könnte also die bestehende Config so belassen und die Sophos einfach anstecken und probieren?
Es kann ein paar unterschiede geben z.B. wenn du vom Provider eine feste IP bekommst. Das ist aber ansich recht einfach nur um das genaue lesen der Beiträge die aqui schon genannt hat kommst du nicht drum rum.
Du kannst bei den von Vodafone eingesetzten Modem/Routern im Kundenkonto den Bridgemode Aktivieren. Dann verteilt dieser an seinem Lan Port genau eine öffentliche IP Adresse per DHCP vorzugsweise an deine Sophos. Damit wäre diese dann direkt erreichbar keine Kaskade kein Provider Nat einfach Plain Internet.
Nachteil ist nach meinem nicht aktuellen Stand das immer noch kein Dual Stack möglich ist bzw. nur IPv4.
Vorteil je nach Tarif kann man 5€ für die Fritzbox sparen.
Ob das ganze mit der Fritzbox geht weiß ich leider nicht. Einfach mal in KundenCenter nachschauen.
!Wichtig natürlich über Mobilnetz weil man sich evtl sonst ausschließt. Und zur Info die Umschaltung dauert nur wenige Minuten in beide Richtungen.
Nachteil ist nach meinem nicht aktuellen Stand das immer noch kein Dual Stack möglich ist bzw. nur IPv4.
Vorteil je nach Tarif kann man 5€ für die Fritzbox sparen.
Ob das ganze mit der Fritzbox geht weiß ich leider nicht. Einfach mal in KundenCenter nachschauen.
!Wichtig natürlich über Mobilnetz weil man sich evtl sonst ausschließt. Und zur Info die Umschaltung dauert nur wenige Minuten in beide Richtungen.
Ich muss also die FritzBox in einen anderen Betriebsmodus versetzen
Nein !Das geht technisch auch gar nicht. Die Kabelrouter von AVM können NICHT als reines Modem konfiguriert werden wie es bei xDSL geht.
Die Kabel FB bleibt deshalb ein NAT Router und du stöpselst sie in eine Kaskade mit der Firewall. Steht doch alles in den für dich oben zitierten Tutorials. Lesen und verstehen musst du das schon selber !
Kollege @ukulele-7 hat das meiste ja schon genannt oben. WLAN und DHCP deaktivieren und die statische IP des Firewall WAN Ports im Koppelnetz als Exposed Host anzugeben sind ein paar dieser grundlegenden ToDos für deine Kaskade.
Das wars mehr oder minder aber auch schon. Viel mehr kann man eh nicht machen auf so einem billigen Consumer Gerät.
Hallo Kevische,
je nach Setup ist das eigentlich kein großer Aufwand, viertel, halbe Stunde + Einrichtung Sophos.
Kannst dich dazu gerne bei mir melden, (habt Ihr die Sophos bereits vorliegen oder benötigt ihr diese auch noch?).
Das größte Problem, dass wir damit bisher hatten, waren ziemlich verkorkste Routings des Anbieters. Aber auch das lief am Ende.
Viele Grüße,
Christian
je nach Setup ist das eigentlich kein großer Aufwand, viertel, halbe Stunde + Einrichtung Sophos.
Kannst dich dazu gerne bei mir melden, (habt Ihr die Sophos bereits vorliegen oder benötigt ihr diese auch noch?).
Das größte Problem, dass wir damit bisher hatten, waren ziemlich verkorkste Routings des Anbieters. Aber auch das lief am Ende.
Viele Grüße,
Christian
waren ziemlich verkorkste Routings des Anbieters.
Die hätte die nackte FritzBüx dann aber auch. Sie ist ja das einzige Gerät was der Provider "sieht" auf Kundenseite.Viel Routing ist da ja eh nicht... Die FritzBüx lernt über DHCP (Kabel) ihr Default Gateway auf Providerseite...fertisch.
So richtig Routing mit allem drum und dran ist das ja nicht wirklich
Zitat von @aqui:
Viel Routing ist da ja eh nicht... Die FritzBüx lernt über DHCP (Kabel) ihr Default Gateway auf Providerseite...fertisch.
So richtig Routing mit allem drum und dran ist das ja nicht wirklich
waren ziemlich verkorkste Routings des Anbieters.
Die hätte die nackte FritzBüx dann aber auch. Sie ist ja das einzige Gerät was der Provider "sieht" auf Kundenseite.Viel Routing ist da ja eh nicht... Die FritzBüx lernt über DHCP (Kabel) ihr Default Gateway auf Providerseite...fertisch.
So richtig Routing mit allem drum und dran ist das ja nicht wirklich
Hatte Sie auch, viel aber erst mit Sophos und dahinterliegendem neuen Mailserver auf.
Wie du sicher weisst, bereits ein kleines bisschen Fehlkonfiguration macht einem Routing (über mehrere Hops) ziemlich schnell den Garaus .
Viele Grüße,
Christian
Vermutlich wars dann wohl eher das berüchtigte Port Forwarding was in solchen doppelten NAT Kaskaden die meisten Probleme bereitet.
Na ja egal...muss man halt mit leben (und kann man auch wenn man weiss was man tut) wenn man Firmenanschlüsse über Consumer Accounts anbindet.
Na ja egal...muss man halt mit leben (und kann man auch wenn man weiss was man tut) wenn man Firmenanschlüsse über Consumer Accounts anbindet.
Leider nein, lag tatsächlich am Routing des ISP, welcher dies natürlich kategorisch ausschloss, durch unseren Hinweis das Problem dann allerdings fixte.
Die Anschlussentscheidung lag zwischen 1Mbit Telekom und 100Mbit Semi Business Kabelanschluss. Klar, wofür sich der Kunde entschied.
Viele Grüße,
Christian
Die Anschlussentscheidung lag zwischen 1Mbit Telekom und 100Mbit Semi Business Kabelanschluss. Klar, wofür sich der Kunde entschied.
Viele Grüße,
Christian
Moin!
ich kenne auch so eine Konstruktion.
Die Fritzbox wird als Telefonanlage genutzt und für einen Gastzugang.
Alles andere wird über einen LAN-Port an die Sophos UTM weitergeleitet. Der LAN-Port ist als exposed Host konfiguriert, damit auch ein VPN-Zugang möglich ist.
Die Sophos UTM übernimmt das DHCP für das interne Netz (sofern keine festen IPs vergeben sind), die Firewall und die anderen Schutzmaßnahmen.
Die "Einwahl" ins Internet übernimmt die Fritzbox, die UTM nutzt als WAN ein Interne Fritzbox IP.
Da die von der Fritzbox zur Verfügung gestellten Telefoniefunktionen und die Anschlüsse für ein kleines Büro dort völlig ausreichen, gibt es keine TK-Anlage.
Zum Glück gibt es ja auch Kabelnetzbetreiber, die Internet anbieten ohne TV-Mitnahmeverpflichtung.
Gruß
ich kenne auch so eine Konstruktion.
Die Fritzbox wird als Telefonanlage genutzt und für einen Gastzugang.
Alles andere wird über einen LAN-Port an die Sophos UTM weitergeleitet. Der LAN-Port ist als exposed Host konfiguriert, damit auch ein VPN-Zugang möglich ist.
Die Sophos UTM übernimmt das DHCP für das interne Netz (sofern keine festen IPs vergeben sind), die Firewall und die anderen Schutzmaßnahmen.
Die "Einwahl" ins Internet übernimmt die Fritzbox, die UTM nutzt als WAN ein Interne Fritzbox IP.
Da die von der Fritzbox zur Verfügung gestellten Telefoniefunktionen und die Anschlüsse für ein kleines Büro dort völlig ausreichen, gibt es keine TK-Anlage.
Zum Glück gibt es ja auch Kabelnetzbetreiber, die Internet anbieten ohne TV-Mitnahmeverpflichtung.
Gruß
Worauf soll die Sophos denn laufen? Wenn eine Alternative denkbar wäre, die OPNSense kann man auch in den transparenten Bridge Mode setzen, das habe ich bei mir. Firewall Regeln funktionieren weiterhin (Fernseher Zugriff Internet ist geblockt) und man hat Kontrolle über Traffic etc.
die OPNSense kann man auch in den transparenten Bridge Mode setzen, das habe ich bei mir.
Könnte man so machen, allerdings hängt er dann direkt an einem Zwangsrouter des Providers der vermutlich auch wieder mit TR069 Schnüffelfunktion ausgestattet ist. Ein NoGo.Da wäre die Kaskade das kleinere Übel.
Ja bei dem Router hast Du Recht. Ich habe auch erst eine Lösung mit einer Kaskade genommen, hatte aber sehr unangenehme Nebeneffekte in meinem Netz (DNS Probleme). Auch hatte ich die unschöne Situation dass mein vorhandenes LAN im 192.168.0.x Netz unterwegs war, der Unitymedia Router aber auch. Da man dort nichts verstellen kann habe ich also ein "Natting" von 192.168.0.x auf 192.168.0.x gehabt. Das Ganze funktionierte nicht sehr schön.
Das interne Netz auf einen anderen IP Adressbereich umbiegen wäre gegangen aber mit extrem viel Aufwand, da ich auch u.a. einen DC betreibe für mein Heimnetz. Auf das Gefummel hatte ich dann keine Lust mehr und die Familie meckert rum wenn man mal das Netz einen Tag lahm legt für Umkonfiguration. Vielleicht mal wieder wenn das Wetter schlechter wird.
Das interne Netz auf einen anderen IP Adressbereich umbiegen wäre gegangen aber mit extrem viel Aufwand, da ich auch u.a. einen DC betreibe für mein Heimnetz. Auf das Gefummel hatte ich dann keine Lust mehr und die Familie meckert rum wenn man mal das Netz einen Tag lahm legt für Umkonfiguration. Vielleicht mal wieder wenn das Wetter schlechter wird.
Hallo zusammen,
Vielleicht verstehe ich die Frage falsch, aber wird hier nicht die Funktion „Bridge-Anschluss“ gesucht vgl. https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/pub ... ?
Mein Verstädnis wäre dann, dass die FritzBox als reines Kabel-Modem funktioniert und die Sophos am WAN-Port eine öffentliche IP erhält.
Gruß
Vielleicht verstehe ich die Frage falsch, aber wird hier nicht die Funktion „Bridge-Anschluss“ gesucht vgl. https://avm.de/service/fritzbox/fritzbox-6360-cable/wissensdatenbank/pub ... ?
Mein Verstädnis wäre dann, dass die FritzBox als reines Kabel-Modem funktioniert und die Sophos am WAN-Port eine öffentliche IP erhält.
Gruß
Ich habe nachgelesen das geht mit den Kabel Fritzboxen nicht. Nur mit den "Routern" direkt von Vodafone un Co.
aber man kann sich ja so einen schicken lassen kostet halt einmalig.
aber man kann sich ja so einen schicken lassen kostet halt einmalig.
hatte aber sehr unangenehme Nebeneffekte in meinem Netz (DNS Probleme)
Sollte es niemals geben wenn man das alles richtig macht !Auch hatte ich die unschöne Situation dass mein vorhandenes LAN im 192.168.0.x Netz unterwegs war, der Unitymedia Router aber auch
Na ja...sorry wer sich lokal so dümmliche Allerwelts IPs gibt im Design hat selber Schuld. Kein Kommentar außer das hier:VPNs einrichten mit PPTP
Das Ganze funktionierte nicht sehr schön.
Kein Wunder bei so grundlegenden Fehlern im IP Adressdesign !und die Familie meckert rum wenn man mal das Netz einen Tag lahm legt für Umkonfiguration
Mit einem einfachen NAS wäre das in 5 Minuten erledigt. Mit den gesparten Stromkosten verglichen mit einem gruseligen Winblows Boliden kann man die Familie besser zum Eis essen einladen und sich wieder beliebt machen Mein Verstädnis wäre dann, dass die FritzBox als reines Kabel-Modem funktioniert
Ja, richtig allerdings supportet AVM das ausschliesslich auf xDSL Routern und NICHT auf Kabel TV Routern !
Hi Aqui,
dass meine DNS Konfiguration in der Hektik eventuell nicht ganz passte will ich nicht ausschließen, Danke für den Hinweis.
Des weiteren möchte ich Dich bitten, auch wenn es implizit ist, Unterstellungen wie dümmlich zu unterlassen, trollen hast Du
meiner Meinung nach nicht nötig.
Es handelt sich um einen normalen IP Adressbereich laut RFC-1918 welchen ich seit 20 Jahren nutze und bisher keine Notwendigkeit
hatte diesen zu wechseln. Noch als Ergänzung: Ich benutze einen Raspberry PI als DC da mir ein NAS zu viel Strom im Vergleich dazu
verbraucht. Aber genug von mir.
Bei einer Fritzbox vom Provider kann man leider nie wissen ob die nicht die Möglichkeit zu bridgen irgendwann mal rausnehmen.
dass meine DNS Konfiguration in der Hektik eventuell nicht ganz passte will ich nicht ausschließen, Danke für den Hinweis.
Des weiteren möchte ich Dich bitten, auch wenn es implizit ist, Unterstellungen wie dümmlich zu unterlassen, trollen hast Du
meiner Meinung nach nicht nötig.
Es handelt sich um einen normalen IP Adressbereich laut RFC-1918 welchen ich seit 20 Jahren nutze und bisher keine Notwendigkeit
hatte diesen zu wechseln. Noch als Ergänzung: Ich benutze einen Raspberry PI als DC da mir ein NAS zu viel Strom im Vergleich dazu
verbraucht. Aber genug von mir.
Bei einer Fritzbox vom Provider kann man leider nie wissen ob die nicht die Möglichkeit zu bridgen irgendwann mal rausnehmen.
