26
PC mit Internetzugriff und Portfreigaben aus Heimnetz abgetrennt (Fritzbox Gastzugang LAN4)
Hallo,
ich suche derzeit nach einer Lösung, einen einzelnen PC im Netzwerk komplett vom Heimnetz abzutrennen und darauf Portfreigaben weiter zu leiten?
Hat jemand eine Idee wie man das verwirklichen kann? Mit der Fritzbox am LAN4 (Gastzugang) habe ich es schon versucht.
Ich kann hier zwar im Menü die Portfreigaben eintragen, allerdings sind die nicht aktiv und bei einem Neustart bekommt er eine ganz andere IP zugewiesen.
ich suche derzeit nach einer Lösung, einen einzelnen PC im Netzwerk komplett vom Heimnetz abzutrennen und darauf Portfreigaben weiter zu leiten?
Hat jemand eine Idee wie man das verwirklichen kann? Mit der Fritzbox am LAN4 (Gastzugang) habe ich es schon versucht.
Ich kann hier zwar im Menü die Portfreigaben eintragen, allerdings sind die nicht aktiv und bei einem Neustart bekommt er eine ganz andere IP zugewiesen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 213105
Url: https://administrator.de/forum/pc-mit-internetzugriff-und-portfreigaben-aus-heimnetz-abgetrennt-fritzbox-gastzugang-lan4-213105.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
26 Kommentare
Neuester Kommentar
Moin,
freetzen und vlans nutzen würde ich da sagen..
oder gleich einen monowall auf alix aufsetzen.
oder einen ddwrrt-router holen.
oder ...
lks
freetzen und vlans nutzen würde ich da sagen..
oder gleich einen monowall auf alix aufsetzen.
oder einen ddwrrt-router holen.
oder ...
lks
Auch wenns schnell gehen soll,
Es wäre wirklich peinlich, wenn der Gastzugang so unsicher wäre, dass ihn jeder komprimitieren könnte.
Aber aqui hat da einen netten Beitrag geschrieben: DMZ für Arme oder wie betreibe ich zwei Router hinter dem DSL-Anschluß.
Kopplung von 2 Routern am DSL Port
gruß
Netman
Es wäre wirklich peinlich, wenn der Gastzugang so unsicher wäre, dass ihn jeder komprimitieren könnte.
Aber aqui hat da einen netten Beitrag geschrieben: DMZ für Arme oder wie betreibe ich zwei Router hinter dem DSL-Anschluß.
Kopplung von 2 Routern am DSL Port
gruß
Netman
DMZ des kleinen Mannes wie es in dem o.a. Tutorial und "Alternative 2" nachzulesen ist oder hier:
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html
Technisch am besten ist eine kleine Firewall wo das mit 3 Mausklicks im GUI Setup erledigt ist:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Such dir das schönste aus...
Es ist natürlich logisch das bei einem Endgerät auf das statische Port Freigaben oder Port Forwarding zeigen, dieses selbstredend eine feste statische IP hat und keine DHCP Adresse bekommt. Der Grund dafür dürfte auch einem Laien klar sein...!
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html
Technisch am besten ist eine kleine Firewall wo das mit 3 Mausklicks im GUI Setup erledigt ist:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Such dir das schönste aus...
Es ist natürlich logisch das bei einem Endgerät auf das statische Port Freigaben oder Port Forwarding zeigen, dieses selbstredend eine feste statische IP hat und keine DHCP Adresse bekommt. Der Grund dafür dürfte auch einem Laien klar sein...!
Danke für Eure Antworten, ich les mir die anderen Beiträge mal durch.
Deshalb habe ich es auf DHCP gestellt um zu sehen was für IPs der Client jeweils bekommt. Aber das ist wirklich immer ne andere (IP + Gatewayadresse).
Zitat von @aqui:
Es ist natürlich logisch das bei einem Endgerät auf das statische Port Freigaben oder Port Forwarding zeigen, dieses selbstredend eine feste statische IP hat
und keine DHCP Adresse bekommt. Der Grund dafür dürfte auch einem Laien klar sein...!
Das ist mir schon klar. Allerdings kann ich keine feste IP vergeben wenn sich nach jedem Neustart des Routers die Gatewayadresse verändert.Es ist natürlich logisch das bei einem Endgerät auf das statische Port Freigaben oder Port Forwarding zeigen, dieses selbstredend eine feste statische IP hat
und keine DHCP Adresse bekommt. Der Grund dafür dürfte auch einem Laien klar sein...!
Deshalb habe ich es auf DHCP gestellt um zu sehen was für IPs der Client jeweils bekommt. Aber das ist wirklich immer ne andere (IP + Gatewayadresse).
freetzen und vlans nutzen würde ich da sagen
Wie gut funktioniert das? Hast Du damit schon was gemacht?oder einen ddwrrt-router holen.
Hätte ich noch einen hier. Ich hab da auch mal gelesen dass es mit dem funktionieren soll, wenn man diesen hinter einen anderen hängt und Ihn so einstellt dass von diesem nur direkt ins Internet Zugriff besteht.
Das ist ja völliger Blödsinn, denn die Gateway IP Adresse ist immer fest. Die ändert sich niemals nach einem Reboot, das ist technischer Unsinn, weil diese statisch konfiguriert ist !
Analog ist die statisch auf dem Client konfiguriert. Wie sich da was ändern soll musst du dem Forum erstmal erklären. Sowas gehört ins Reich der Märchen oder ist der Hitze geschuldet !
Oder meinst du die öffentliche IP Adresse auf Providerseite am Router ??
Analog ist die statisch auf dem Client konfiguriert. Wie sich da was ändern soll musst du dem Forum erstmal erklären. Sowas gehört ins Reich der Märchen oder ist der Hitze geschuldet !
Oder meinst du die öffentliche IP Adresse auf Providerseite am Router ??
Ist aber keine schlechte Idee für ein Gastnetz. Nichts stabiles und damit auch darauf kaum eine Angriffsmöglichkeit. Da kann die Box ja immer eine anderes Netz nehmen.
Aber ein paar Details vom TO an der Stelle wären nicht verkehrt, wenn er sich schon damit beschäftigt.
Änderung der Adresse pro Zeit oder pro Einwahl oder pro Link-up and -down. Und welches Netz und welche Subnetzmaske ...
Aber ein paar Details vom TO an der Stelle wären nicht verkehrt, wenn er sich schon damit beschäftigt.
Änderung der Adresse pro Zeit oder pro Einwahl oder pro Link-up and -down. Und welches Netz und welche Subnetzmaske ...
...na ja aber mit seinem Port Forwarding und der Erreichbarkeit dieses Rechners ist das doch erheblich kontraproduktiv ! Da macht man sich ja nur unnötig das Leben schwer. Mit einer anständigen Firewall Regel und einem wasserdichten Passwort erreicht man das gleiche.
Noch besser wäre natürlich ein VPN !
Noch besser wäre natürlich ein VPN !
Zitat von @MrNetman:
Aber ein paar Details vom TO an der Stelle wären nicht verkehrt, wenn er sich schon damit beschäftigt.
Änderung der Adresse pro Zeit oder pro Einwahl oder pro Link-up and -down. Und welches Netz und welche Subnetzmaske ...
Aber ein paar Details vom TO an der Stelle wären nicht verkehrt, wenn er sich schon damit beschäftigt.
Änderung der Adresse pro Zeit oder pro Einwahl oder pro Link-up and -down. Und welches Netz und welche Subnetzmaske ...
Werde ich gerne machen.
Ich habe die anderen Links auch mal überflogen und brauche da mal nen weiteren Rat.
Also derzeit sieht das Netz folgend aus:
Router A (Fritzbox 7270) stellt die Internetverbindung her. An ihm ist intern ein kleiner Daten-/Backupserver und ein paar normale Clients angeschlossen. Zusätzlich hat er eine VPN Verbindung zu einem weiteren Router B (Fritzbox 7390) an einem anderen Standort.
Jetzt soll ein Client (PC) in das Netz A eingebunden werden. Auf diesem PC werden Portfreigaben gebraucht. Zusätzlich soll aber von diesem PC kein Zugriff auf das normale Heimnetz A und natürlich B durch den Tunnel gegeben sein. Der PC braucht nur die Portfreigaben und Internetzugang, er wird dann von extern (Teamviewer) Administriert wenn es erforderlich ist.
Deshalb auch meine Idee mit dem Gast-LAN Port 4 an der Fritzbox. Allerdings scheitert es hier an den Portfreigaben.
Grund: Wenn ich auf dem Port 4 den Gastmodus aktiviere wird dieser Port komplett vom "normalen" Heimnetz abgetrennt. Hier läuft ein DHCP-Server der komplett andere IPs wie im Heimnetz vergibt. Zusätzlich ist mir aufgefallen dass diese nach einem Routerneustart vollständig variieren können.
Beispiel: Heimnetz IP: 192.168.2.100, Gateway: 192.168.2.254
Gastnetz nach 1. Start: IP: 192.168.178.20, Gateway: 192.168.178.1
Gastnetz nach 2. Start: IP: 192.168.181.20, Gateway: 192.168.181.1
Ich habe den Router 2x mal gestartet und über "ipconfig" ausgelesen was der Client für eine IP bekommen hat.
Deshalb ja auch das Problem mit der Portfreigabe, ich weiß gar nicht was ich an dem Client fest einstellen soll wenn die Fritzbox jedesmal den Netzbereich ändert.
Habt Ihr mir eine Idee welche Lösungsmöglichkeit ich für mein Vorhaben am besten umsetzen kann?
PS: Warum sind denn die Alixgeräte so teuer?
Portfreigabe ist schon das falsche Wort.
Es geht um die Portweiterleitung. Damit erklärst sich auch das Problem, dass es nicht klappt. Wohin soll geleitet werden wenn das Ziel sich ändert. Evtl kann man mit Namen arbeiten. Ich hschätze aber, dass gerade der Gastzugang dieses nicht untersützt. Eigentlich nciht übel.
Wenn es so spezifisch ist, ist eine Firewall sicherlich die technisch sauberste Lösung.
Danke für die Infos zur Fritzbox und den Gastzugang. Habe ich mir so in etwa gedacht. So gewöhnt sich keiner der Gäste an eine verlässliche Umgebung.
Es geht um die Portweiterleitung. Damit erklärst sich auch das Problem, dass es nicht klappt. Wohin soll geleitet werden wenn das Ziel sich ändert. Evtl kann man mit Namen arbeiten. Ich hschätze aber, dass gerade der Gastzugang dieses nicht untersützt. Eigentlich nciht übel.
Wenn es so spezifisch ist, ist eine Firewall sicherlich die technisch sauberste Lösung.
Danke für die Infos zur Fritzbox und den Gastzugang. Habe ich mir so in etwa gedacht. So gewöhnt sich keiner der Gäste an eine verlässliche Umgebung.
Zitat von @MrNetman:
Portfreigabe ist schon das falsche Wort.
Es geht um die Portweiterleitung. Damit erklärst sich auch das Problem, dass es nicht klappt. Wohin soll geleitet werden wenn
das Ziel sich ändert. Evtl kann man mit Namen arbeiten. Ich hschätze aber, dass gerade der Gastzugang dieses nicht
untersützt. Eigentlich nciht übel.
Wenn es so spezifisch ist, ist eine Firewall sicherlich die technisch sauberste Lösung.
Danke für die Infos zur Fritzbox und den Gastzugang. Habe ich mir so in etwa gedacht. So gewöhnt sich keiner der
Gäste an eine verlässliche Umgebung.
Portfreigabe ist schon das falsche Wort.
Es geht um die Portweiterleitung. Damit erklärst sich auch das Problem, dass es nicht klappt. Wohin soll geleitet werden wenn
das Ziel sich ändert. Evtl kann man mit Namen arbeiten. Ich hschätze aber, dass gerade der Gastzugang dieses nicht
untersützt. Eigentlich nciht übel.
Wenn es so spezifisch ist, ist eine Firewall sicherlich die technisch sauberste Lösung.
Danke für die Infos zur Fritzbox und den Gastzugang. Habe ich mir so in etwa gedacht. So gewöhnt sich keiner der
Gäste an eine verlässliche Umgebung.
Ja hast Recht, es geht um Portweiterleitung.
Namen geht aucht nicht, sobald ich den PC-Namen auswähle erstellt er die Regel nicht auf den Namen, sondern auf die aktuelle IP.
Hast ne Idee, wie ich es am besten/schnellesten umsetzen könnte?
Gibt es eine saubere Lösung mit einem DD-WRT oder muss ne Alix her?
Oder vielleicht eine Lösung, die ich bisher nicht bedacht habe?
dd-wrt gibt es wohl nicht auf der fritzbox, aber freetz
Zitat von @speedy26gonzales:
Namen geht aucht nicht, sobald ich den PC-Namen auswähle erstellt er die Regel nicht auf den Namen, sondern auf die aktuelle
IP.
Namen geht aucht nicht, sobald ich den PC-Namen auswähle erstellt er die Regel nicht auf den Namen, sondern auf die aktuelle
IP.
Verpaß dem gerät doch eine feste IP. Oder spricht etwas dagegen?
lks
Meinte auch nicht auf der Fritzbox, sondern als zusätzliches Gerät hinter der Fritzbox.
Verpaß dem gerät doch eine feste IP. Oder spricht etwas dagegen?
Welchem Gerät meinst Du ?
Das gerät, zu dem Du die Ports weiterleiten willst.
Ergänzung:
macht die Portweiterleitung z.B. auf 192.168.179.11 und stell in Deinem Gerät ein:
IP 192.168.179.11/24
gw 192.168.179.1
ns 192.168.179.1 (oder 8.8.8.8)
Das sollte ausreichen.
lks
Zitat von @Lochkartenstanzer:
> Zitat von @speedy26gonzales:
> ----
> Welchem Gerät meinst Du ?
Das gerät, zu dem Du die Ports weiterleiten willst.
Ergänzung:
macht die Portweiterleitung z.B. auf 192.168.179.11 und stell in Deinem Gerät ein:
Das sollte ausreichen.
lks
> Zitat von @speedy26gonzales:
> ----
> Welchem Gerät meinst Du ?
Das gerät, zu dem Du die Ports weiterleiten willst.
Ergänzung:
macht die Portweiterleitung z.B. auf 192.168.179.11 und stell in Deinem Gerät ein:
> IP 192.168.179.11/24
> gw 192.168.179.1
> ns 192.168.179.1 (oder 8.8.8.8)
> Das sollte ausreichen.
lks
Na genau das geht ja nicht. Der Router vergibt bei jedem Neustart seinem Gastnetz eine neue Netzadresse, somit ganz andere IPs. (Siehe ein paar Posts weiter oben)
Zitat von @speedy26gonzales:
Na genau das geht ja nicht. Der Router vergibt bei jedem Neustart seinem Gastnetz eine neue Netzadresse, somit ganz andere IPs.
(Siehe ein paar Posts weiter oben)
Na genau das geht ja nicht. Der Router vergibt bei jedem Neustart seinem Gastnetz eine neue Netzadresse, somit ganz andere IPs.
(Siehe ein paar Posts weiter oben)
Dann hast Du eine andere Fritzbox wie ich. Ich habe die auf 192.168.179.0/24 festgetackert und da ändert sich das Netz überhaupt nicht.
lks
Zitat von @Lochkartenstanzer:
> Zitat von @speedy26gonzales:
> ----
> Na genau das geht ja nicht. Der Router vergibt bei jedem Neustart seinem Gastnetz eine neue Netzadresse, somit ganz andere
IPs.
> (Siehe ein paar Posts weiter oben)
Dann hast Du eine andere Fritzbox wie ich. Ich habe die auf 192.168.179.0/24 festgetackert und da ändert sich das Netz
überhaupt nicht.
lks
> Zitat von @speedy26gonzales:
> ----
> Na genau das geht ja nicht. Der Router vergibt bei jedem Neustart seinem Gastnetz eine neue Netzadresse, somit ganz andere
IPs.
> (Siehe ein paar Posts weiter oben)
Dann hast Du eine andere Fritzbox wie ich. Ich habe die auf 192.168.179.0/24 festgetackert und da ändert sich das Netz
überhaupt nicht.
lks
Wo kann ich das Gastnetz auf eine IP fest einstellen? Den Menüpunkt habe ich bei der 7270 nicht gefunden?
Zitat von @speedy26gonzales:
Wo kann ich das Gastnetz auf eine IP fest einstellen? Den Menüpunkt habe ich bei der 7270 nicht gefunden?
Wo kann ich das Gastnetz auf eine IP fest einstellen? Den Menüpunkt habe ich bei der 7270 nicht gefunden?
Ist unter Heimnetz netzwerkeinstellungen gewesen, sowohl bei der 7270 früher, als auch später dann mit der 7390. Allerdings habe ich gerade nachgeschaut und siehe da, ich finde es auch nciht mehr. Kann sein, daß AVM das inwzischen geändert hat. Aber trotzdem hat mein GastLAN immer noch die 192.168.179.0/24.
lks
Aber trotzdem hat mein GastLAN immer noch die 192.168.179.0/24.
Funktioniert dann bei Dir auch die Portweiterleitung auf eine Gastnetz-IP ?
Komisch dass es den Menüpunkt nicht mehr gibt, ich habe auch über Google nix gefunden.
Zitat von @speedy26gonzales:
Funktioniert dann bei Dir auch die Portweiterleitung auf eine Gastnetz-IP ?
Funktioniert dann bei Dir auch die Portweiterleitung auf eine Gastnetz-IP ?
Hatt emal, inzwishen aber aus irgendwelchen Gründen nicht mehr. Ich habe allerdings seit dem letzten mal, wo ich das benötigt hatte schon mehrere "Umabuarbeiten" an der Kiste.
Komisch dass es den Menüpunkt nicht mehr gibt, ich habe auch über Google nix gefunden.
Notfalls muß man halt die Anpassungen manuell in der ar7.cfg machen. (die entsprechenden Konfigurationen mit guest).
Aber die einfachste variante dürfet immer noch sein, sich einen ddwrt-router für unter 50€ zu besorgen.
lks
Aber die einfachste variante dürfet immer noch sein, sich einen ddwrt-router für unter 50€ zu besorgen.
Hatte ich ja geschrieben, dass ich so einen habe. Kann ich den einfach hinter die bestehende Fritzbox hängen und dann dort ein weiteres Netz aufbauen?
Zitat von @speedy26gonzales:
> Aber die einfachste variante dürfet immer noch sein, sich einen ddwrt-router für unter 50€ zu besorgen.
Hatte ich ja geschrieben, dass ich so einen habe. Kann ich den einfach hinter die bestehende Fritzbox hängen und dann dort
ein weiteres Netz aufbauen?
> Aber die einfachste variante dürfet immer noch sein, sich einen ddwrt-router für unter 50€ zu besorgen.
Hatte ich ja geschrieben, dass ich so einen habe. Kann ich den einfach hinter die bestehende Fritzbox hängen und dann dort
ein weiteres Netz aufbauen?
Prinzipiell ja. Anleitung beschrieben. Für dich dürfte Variante 2 maßgeblich sein.
Das Gerät hängst Du dann direkt an dir Fritzbox. Zwischen Fritzbox und dem weiteren Router ist dann Deine neutrale Zone (des kleines Mannes).
lks
Hi Leute,
ich habe die Sache jetzt nochmals versucht. Leider ohne Erfolg.
Ich habe mal ein Bildchen gemalt wie es im Moment Netzwerktechnisch aufgebaut ist:
Ich brauche Zugriff von PC2 auf fileserver1 und fileserver2.
webserver soll keinen Zugriff auf fileserver1 und das Netz der Fritzbox 7390 (PC2 und fileserver2) haben.
Ich habe einen Router mit DD-WRT den ich evtl. zwischen Fritzbox 7270 und webserver hängen kann. Mit dem habe ich auch die Variante 2 versucht. Ich habe dann keinen Zugriff mehr vom normalen Netz auf den webserver, aber vom webserver aufs gesammte Netz 7270 und 7390. Genau das möchte ich eben nicht.
Gibt es unter DD-WRT evtl. Einstellungen wo ich den Zugriff so beschränken kann, dass der webserver mit seinen freigegeben Ports, Zugriff ins Internet hat und sonst auf nix im Netzwerk? Dann wäre mein Problem gelöst.
ich habe die Sache jetzt nochmals versucht. Leider ohne Erfolg.
Ich habe mal ein Bildchen gemalt wie es im Moment Netzwerktechnisch aufgebaut ist:
Ich brauche Zugriff von PC2 auf fileserver1 und fileserver2.
webserver soll keinen Zugriff auf fileserver1 und das Netz der Fritzbox 7390 (PC2 und fileserver2) haben.
Ich habe einen Router mit DD-WRT den ich evtl. zwischen Fritzbox 7270 und webserver hängen kann. Mit dem habe ich auch die Variante 2 versucht. Ich habe dann keinen Zugriff mehr vom normalen Netz auf den webserver, aber vom webserver aufs gesammte Netz 7270 und 7390. Genau das möchte ich eben nicht.
Gibt es unter DD-WRT evtl. Einstellungen wo ich den Zugriff so beschränken kann, dass der webserver mit seinen freigegeben Ports, Zugriff ins Internet hat und sonst auf nix im Netzwerk? Dann wäre mein Problem gelöst.
Keiner noch eine Idee dazu?
Ja natürlich kann man das so machen allerdings musst du dann die interne Firewall der FBs customizen, da du ja per se eine LAN zu LAN Kopplung machst mit dem VPN Tunnel.
D.h. beide lokalen Netze "sehen" sich und jeder hat mit jedem Zugang. Das ist auch bei der FB VPN Implementation so gewollt.
Ein Customizen der Firewall um einzelene Rechner oder eine Gruppe bestimmten Zugang zu erlauben oder nicht sieht AVM in der Konfig nicht vor ! Du musst also dann die lokale Firewall an den Servern nutzen um diese Zugriffe zu beschränken.
Das ist deine einzige Möglichkeit. Ist nicht ideal da du den Traffic erstmal zulassen musst aber anders ist das mit deiner HW so nicht zu machen.
Erheblich sinnvoller wäre es gewesen die 2te FB ist eine Firewall wie die pfSense oder ein Mikrotik Router wo man den VPN Tunnel mit realisiert. Dort hat man die Möglichkeit sehr fein und granular den Zugriff zu steuern, da du eben die Firewall dieser Geräte konfigurieren kannst was bei deiner aktuell verwendeten HW nicht möglich ist.
Genau deshalb hat hier auch keiner mehr eine Idee !
Müsste dir eigentlich auch selber klar sein...?
D.h. beide lokalen Netze "sehen" sich und jeder hat mit jedem Zugang. Das ist auch bei der FB VPN Implementation so gewollt.
Ein Customizen der Firewall um einzelene Rechner oder eine Gruppe bestimmten Zugang zu erlauben oder nicht sieht AVM in der Konfig nicht vor ! Du musst also dann die lokale Firewall an den Servern nutzen um diese Zugriffe zu beschränken.
Das ist deine einzige Möglichkeit. Ist nicht ideal da du den Traffic erstmal zulassen musst aber anders ist das mit deiner HW so nicht zu machen.
Erheblich sinnvoller wäre es gewesen die 2te FB ist eine Firewall wie die pfSense oder ein Mikrotik Router wo man den VPN Tunnel mit realisiert. Dort hat man die Möglichkeit sehr fein und granular den Zugriff zu steuern, da du eben die Firewall dieser Geräte konfigurieren kannst was bei deiner aktuell verwendeten HW nicht möglich ist.
Genau deshalb hat hier auch keiner mehr eine Idee !
Müsste dir eigentlich auch selber klar sein...?
Moin,
Alternativ könnte man in der fritzbox selbst mit iptables die Zugriffsbeschränkungen implementieren. Ist aber ein ziemliches Gepfriemel und beißt sich mit der AVM-Config.
lks
Alternativ könnte man in der fritzbox selbst mit iptables die Zugriffsbeschränkungen implementieren. Ist aber ein ziemliches Gepfriemel und beißt sich mit der AVM-Config.
lks
