michigrossmann
Goto Top

Sophos UTM mit Fritz Repeater

Hallo liebes Forum,

seit einiger Zeit beschäftige ich mich mit dem Thema Sophos UTM usw.und habe diese nun Zuhause konfiguriert.
Leider bin ich da ein absoluter Rookie und stoße immer an so einige Probleme.

Nun zu meiner Konfiguration:

Fritz Box 7490 -> Sophos UTM -> Internes Netz (Clients, Server, Drucker, Repeater)
Ich habe euch anbei noch ein Bild von meiner Konfig drangehängt.

Nun habe ich folgendes Problem. Seit ich die Fritz Box durch die Installation der UTM in ein anderes IP Netz gesetzt habe erreicht mein Server meine FritzBox nicht mehr.
Daher kann er auch meinen WLAN Clients keine IP zuweisen.

Ebenfalls habe in meiner Fritz Box auch ein Gäste WLAN eingerichtet (IP: 192.168.189..).
Dieses funktioniert, wenn direkt mit der Fritz Box verbunden, logischerweise einwandfrei.

Außerdem habe ich noch eine FritzRepeater DVB-C der als LAN Brücke konfiguriert ist.
Dort ist das Problem, dass mein internes WLAN funktioniert jedoch mein Gäste WLAN nicht.

Ich vermute stark, dass der Repeater die Fritz Box braucht um das Gäste WLAN zu verstärken.
Und rumgedreht kommt der DHCP Server nicht an die WLAN Geräte.

In der Sophos habe ich auch schon mal das DHCP Relay zwischen WAN und Internal eingestellt, leider ohne Erfolg.

Ich weiß dass es von Sophos einen AP gibt, der meine ganzen Probleme löst, jedoch lässt mein Geldbeutel das aktuell nicht zu.
Daher wäre ich euch dankbar, wenn ihr mir Tipps für meine aktuelle Konfig geben könntet.

Eigentlich wollte ich ja die 2. Fritz Box 3270 für das WLAN nehmen, nur leider ist es so, dass wenn ich diese im IP Client Modus laufen lasse, dass die Option Gast WLAN nicht vorhanden ist.

Ich hatte schon im Kopf eine Brücke zwischen Switch und Fritz Box 7490 mit einem Patch Kabel zu setzen.
Da bin ich mir aber nicht so ganz sicher, ob ich dann meine Firewall umgehe?
Ich habe gedacht, dass ich das nicht tu, da die Fritz eine andere IP wie das Interne Netz hat und der DHCP Server verweist ja auf die Firewall als Gateway. Somit dürfte der Verkehr ja nicht an der UTM vorbeigehen oder sehe ich das falsch?

Vielen Dank für eure Hilfe.

Gruß Michael
netzwerk mg

Content-ID: 329502

Url: https://administrator.de/forum/sophos-utm-mit-fritz-repeater-329502.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

certifiedit.net
certifiedit.net 15.02.2017 um 13:10:26 Uhr
Goto Top
Hallo,

wenn du das Gastnetz und die AVM Repeater nutzt kannst du die Sophos auch gleich aussen vor lassen, denn dann tunnelst du quasi durch die UTM durch. Also nicht wirklich sinnig. Nicht ohne Grund platziert Sophos die UTM als Gateway für alle Verbindungsarten, denn dann ist die Gateway/UTM Funktion sichergestellt.

VG
michi1983
Lösung michi1983 15.02.2017 um 13:14:02 Uhr
Goto Top
Hallo,

verkaufe die Fritzbox 3270 in der Bucht und kaufe dir stattdessen ein Modem.
Lasse die Sophos die Einwahl erledigen und die andere Fritte als Access Point.

Dann brauchst du kein extra Geld ausgeben und das Netzdesign stimmt (zumindest mehr als jetzt).

Gruß
MichiGrossmann
MichiGrossmann 15.02.2017 um 13:14:57 Uhr
Goto Top
Hallo,

danke erstmal für die schnelle Antwort.

Es ist ja überall die UTM als Gateway eingetragen, außer im Gast Netz.
Und das wir ja wirklich nur für die Kumpels zum Surfen verwendet wenn sie zu Besuch sind.
Und das Gastnetz ist ja in einem komplett anderen Netzwerk. 192.168.189..

Auf längere Sicht will ich mir schon einen AP von Sophos zulegen, nur leider im Moment halt finanziell nicht drin.

Sorry wenn ich blöd Frage, aber wie meinst du das mit dem durchtunneln?

Danke im Voraus.
aqui
aqui 15.02.2017 um 13:20:38 Uhr
Goto Top
durch die Installation der UTM in ein anderes IP Netz gesetzt habe erreicht mein Server meine FritzBox nicht mehr.
Ist ja auch klar und logisch, denn nun ist die Firewall dazwischen mit ihren Regeln die das vermutlich verbieten.
Fazit: Firewall Regeln anpassen !!
Sinnvoller wäre satt einer Router Kaskade die UTM mit einem Modem direkt ans Internet zu klemmen und die FB dann als einfachen WLAN Accesspoint betrieben wie hier beschrieben:
Kopplung von 2 Routern am DSL Port
Oder wenn du dein Design behalten willst das WLAN auf der FB generell zu deaktivieren und es mit einem Accesspoint hinter der Firewall zu betreiben wie es technisch am sinnvollsten ist.
So besteht die Gefahr das alle WLAN User ja quasi dein Firewall aushebeln. Das Gästenetz auf der FB ist so oder so in 3 Minuten geknackt. Alle diese Geräte sind dann ohne Firewall und so wird dein UTM Konzept dann quasi vollkommen ad absurdum geführt. Die FW ist für diese Geräte nichts weiteres als ein sinnloser "Durchlauferhitzer".
Am besten machst du das über einen preiswerten MSSID fähigen Accesspoint mit einem Gastnetz das den Namen auch verdient. Deine Sohos Gurke hat das ja vermutlich alles an Bord.
So ein Konzept ist hier genau beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Außerdem habe ich noch eine FritzRepeater DVB-C der als LAN Brücke konfiguriert ist.
Igitt. Ein Repeater ist immer kontraproduktiv, denn er halbiert per se die Bandbreite im WLAN Netzwerk und reisst die Performance runter. Das dann massive auftretende Hidden Station Problem gibt dem WLAN dann meist den Rest. Ganz besonders im völlig überfüllten 2,4 Ghz Bereich:
https://en.wikipedia.org/wiki/Hidden_node_problem
Repeating sollte man wenn immer möglich vermeiden und den AP immer direkt anschliessen mit Kabel oder D-LAN.
Ich vermute stark, dass der Repeater die Fritz Box braucht um das Gäste WLAN zu verstärken.
Das ist so, denn dafür ist die BSSID wichtig (Mac des APs) auf dessen Basis das repeating funktioniert.
Besser du löst das über einen MSSID AP.
Ich weiß dass es von Sophos einen AP gibt, der meine ganzen Probleme löst,
Das ist wie immer Unsinn, das kann auch jeder Feld- Wald- und Wiesen AP ! Siehe Tutorial oben.
dass wenn ich diese im IP Client Modus laufen lasse, dass die Option Gast WLAN nicht vorhanden ist.
Aus guten Grund. Sie funktioniert dann nicht mehr. Gelinge gesagt ist die Gast Option in der FB Schrott, denn sie ist nicht sicher ! Ausserdem löst sie die User Sicherheit nicht und in D gilt weiterhin Störerhaftung.
Da bin ich mir aber nicht so ganz sicher, ob ich dann meine Firewall umgehe?
Ja damit umgehst du sie. Was du aber für die WLAN Clients ja so oder so schon gemacht hast. In sofern ist dein Konzept grundlegend falsch, denn die FW ist mehr oder minder Spielkram so.
Ich habe gedacht,
Nicht denken sondern nachdenken !!!
Mit dem Bypass verbindest du 2 geroutet Netze mit einem Layer 2 Link. Das tödlichste was man im TCP/IP machen kann.
Dazu kommt es dann zu einen IP Adresschaos zweier Netze.
Leichtet einem aber auch selber ein wenn man mal etwas nachdenkt wie sich IP Pakete im Netzwerk bewegen !
Pjordorf
Pjordorf 15.02.2017 um 13:46:20 Uhr
Goto Top
Hallo,

Zitat von @MichiGrossmann:
Nun habe ich folgendes Problem. Seit ich die Fritz Box durch die Installation der UTM in ein anderes IP Netz gesetzt habe erreicht
mein Server meine FritzBox nicht mehr.
A - Warum soll dein Server die Fritte erreichen?
B - meinst du mit erreichen ein Ping oder was?
c - Wenn dein Server nicht die Sophos und die nicht die Fritte erreichen, wieso geht dann Internet? Oder ist dein Fritte nicht für das Internet zuständig?

Daher kann er auch meinen WLAN Clients keine IP zuweisen.
Das wird auch so nicht funktionieren. Dazu müsstest du deine Fritte als reinen Access Point laufen lassen - da ist dann nix mehr mit Internet.

Dieses funktioniert, wenn direkt mit der Fritz Box verbunden, logischerweise einwandfrei.
Klar.

Dort ist das Problem, dass mein internes WLAN funktioniert jedoch mein Gäste WLAN nicht.
Welches WLAN (SSID) soll der denn Repeaten. Ist der auf dein Gäste WLAN deiner Fritte eingestellt?


Ich vermute stark, dass der Repeater die Fritz Box braucht um das Gäste WLAN zu verstärken.
Wenn von dieser FritzBox dein Gäste WLAN kommt - natürlich

Und rumgedreht kommt der DHCP Server nicht an die WLAN Geräte.
Nö.

In der Sophos habe ich auch schon mal das DHCP Relay zwischen WAN und Internal eingestellt, leider ohne Erfolg.
Hast du denn mehrere IP Netze am laufen wo Clients von einen Zentralen DHCP (nicht von deiner Sophos UTM) ihre IPs beziehen?

Ich weiß dass es von Sophos einen AP gibt, der meine ganzen Probleme löst, jedoch lässt mein Geldbeutel das aktuell nicht zu.
Der AP muss nicht von Sophos stammen. da tut es jeder Access Point der mehr als eine SSID kann (dazu brauchst du dann VLANs (zwingend).

Daher wäre ich euch dankbar, wenn ihr mir Tipps für meine aktuelle Konfig geben könntet.
Frag deine Kumpel der dir deine Sohops eingerichtet hat. Sophos UTM 9 Home Zugriff Webinterface

Eigentlich wollte ich ja die 2. Fritz Box 3270 für das WLAN nehmen, nur leider ist es so, dass wenn ich diese im IP Client Modus laufen lasse, dass die Option Gast WLAN nicht vorhanden ist.
Ist doch irgendwie logisch, oder? wenn deine fritte nicht als Router sondern als reiner IP-Client läuft - kann es kein Gäste LAN oder Gäste WLAN von der Fritte geben. Die kann dann weder Routen noch kann die dann mehr als ein IP Netz. Und ein Gäste LAN / WLAN setzt doch immer ein anderes IP Netz voraus, oder du verwendest andere Verfahren um ein abgetrenntes Gast Netz aufzumachen.

Da bin ich mir aber nicht so ganz sicher, ob ich dann meine Firewall umgehe?
Da wird deine Firewall zu 100 % umgangen, was dir aber auch nichts bringt da deine Fritte und dessen LAN ein anderes Netz verwendet als dein LAN. Dir wurde doch in dein Sophos UTM 9 Home Zugriff Webinterface schon gesagt was geht oder eben nicht geht. Das was du vorhast ist mit deinen Mitteln so nicht umsetzbar. Und wenn du kein Geld inverstieren willst, dann begrabe deine Träume.

Ich habe gedacht, dass ich das nicht tu, da die Fritz eine andere IP wie das Interne Netz hat und der DHCP Server verweist ja auf die Firewall als Gateway. Somit dürfte der Verkehr ja nicht an der UTM vorbeigehen oder sehe ich das falsch?
Wenn deine Sophos UTM nicht einfach nur dumpf Strom verbraten und zu sonst nichts zu gebrauchen sein soll, nein - dann macht man das nicht.

Du solltest dir auch noch einmal das hier gesagte ins Gedächtniss zurückrufen. Was nicht ist das ist nicht.

Gruß,
Peter
MichiGrossmann
MichiGrossmann 15.02.2017 um 13:52:47 Uhr
Goto Top
Hallo,

@michi1983: Das habe ich mir auch schon überlegt die FritzBox 7490 ins interne Netz zu holen und dort das WLAN machen zu lassen. Dann müsste da Gastnetz auch laufen. Nur habe mal geschaut, so ein VDSL Moden liegt auch schon um die 130€ rum. Das ist leider nicht drin im Moment.

@aqui:

- Die Frage ist was mit dem VOIP passiert, wenn die FritzBox7490 hinter der UTM sitzt? Funktioniert das dann noch? Und im Gästenetz ist sowieso nur erlaubt zu surfen. Alles andere ist gesperrt. Und wie muss ich denn die Regeln anpassen, dass es jetzt funktioniert?

- Ich kann es leider nicht ohne Repeater lösen, da die Strecken zu weit auseinander liegen. Und der Fritz Repeater ist ja per LAN Brücke angeschlossen. Den würde ich auch nicht verlieren wollen, da er zusätzlich das TV Signal im Netzwerk verteilt. Eine wirklich super Funktion.

- Und das er die Bandbreite runterzieht, kann ich nicht bestätigen, da ich beim WLAN volle Geschwindigkeit habe. 50Mbit down und 10Mbit up.

- Naja das ohne den Bypass umgehe ich die UTM ja nicht, da die WLAN Geräte die direkt mit der FB verbunden sind keine IP bekommen, da der Server diese nicht erreicht. Das einzigste was geht ist das Gäste WLAN. Und das wird ja auch über die FW der FritzBox geschützt. Wie gut der Schutz ist, darüber lässt sich sicher streiten.

Ich verwehre mich ja nicht gegen die Vorschläge mit dem Modem oder dem AP von Sophos. Aber wie gesagt, im Moment ist das finanziell einfach nicht drin. Und daher muss ich es Stück für Stück nachrüsten.

Ich möchte ja eigentlich auch nur, dass mein Gäste WLAN wieder in meinem Hobbyraum geht. Denn der FritzRepeater befindet sich ja in meinem Netz und bekommt von dem Server die IP Adresse. Daher denke ich nicht, dass die Geräte, die sich über diesen AP verbinden ein Sicherheitsrisiko sind bzw. die Firewall umgehen. Nur das Gastnetz tut halt nicht mehr.

Danke im Voraus auch für eure Hilfe.

Michael
MichiGrossmann
MichiGrossmann 15.02.2017 um 14:09:57 Uhr
Goto Top
Achja,

was ich mir auch schon überlegt habe:

Ob ich über LAN4 der Fritz Box 7490 nicht auf die UTM eth2 gehe.
Wenn ich dann das DHCP Relay einrichte wäre es doch theoretisch möglich, dass sich der Repeater das Gastnetz der Box findet oder?
Und ich würde nicht die UTM umgehen. Denn dann könnte ich doch das WLAN an der Box komplett ausschalten.

Denn der Repeater macht dann das interne WLAN für meine Geräte im internen Netz und das für die Gäste wäre auch erreichbar.

Meint ihr das geht?

Michael
Spirit-of-Eli
Lösung Spirit-of-Eli 15.02.2017 aktualisiert um 22:40:25 Uhr
Goto Top
Moin,

das ist ein hier oft durchgesprochener Aufbau.

Du brauchst vorweg ein Modem vor der Firewall und holst deine 7490 ins interne Netz. Dort muss diese im Lan Modus laufen.
Ne Fritzbox 7390 gibt es als Modem schon sehr Günstig. <s>Zudem kannst du diese dann ebenfalls als TK betreiben.</s> (von der 7390 weiß ich, das diese recht günstig erhältlich ist)

Dann musst von der Sophos noch den Zugriff in das Netz der ggf. 7390 zulassen und kannst sogar SIP Teilnehmer nutzen. FW Funktionalität der Sophos ist dann vollständig gegeben.
Oder als reines Modem brauchst du eben noch ne andere TK Option. Das wäre aus dem Internen Netz auch machbar aber würde ein weiteres Stück
Hardware vorraussetzen und zusätzlich einen SIP-Proxy in der Sophos.

Theoretisch kannst du aber auch die 7490 als TK aus dem Internen Netz nutzen. Da bin ich mir nicht sicher ob dir AVM im Lan-Mode nicht doch ein Strich durch die Rechnung macht. Dazu habe ich keinerlei Erfahrungswerte.

Gruß Spirit
MichiGrossmann
MichiGrossmann 20.02.2017 um 12:10:26 Uhr
Goto Top
Hallo,

sorry dass ich jetzt erst wieder schreibe, aber ich war das Wochenende unterwegs.

Also ich habe mir nochmal Gedanken gemacht und werde es vorerst so lösen, dass ich mir eine FritzBox 4020 kaufe.
Die gibt es gerade für 49€ bei Media Markt. Diese werde ich dann im internen Netz im Client Modus betreiben. Laut AVM Support
funktioniert im IP CLIENT Modus das Gast WLAN ohne Probleme. Das WLAN der 7490 werde ich komplett deaktivieren.

Dann ist wirklich alles sauber getrennt. 7490 macht dann eigentlich nur noch VOIP und Internet. Und der Rest ist intern.

Den auf Nachfrage bei AVM verneinte mir der Mitarbeiter, dass ein reines nutzen als DSL Modem keine Fritz Box derzeit unterstützt.

Auf lange Sicht hingesehen, werde ich mir dann mal ein reines VDSL Moden zulegen und die 7490 ins interne Netz holen.
Ich habe gestern nochmal ein bisschen Recherche betrieben und rausgefunden, dass es wohl kein Problem ist, das VOIP Signal durch zuschleifen.

Auf jeden Fall danke ich Euch für eure Ideen und Anregungen.

Gruß Michael
aqui
aqui 20.02.2017 aktualisiert um 13:04:36 Uhr
Goto Top
Dann ist wirklich alles sauber getrennt.
Nein, ist es nicht.
Hier machst du einen fatalen Denkfehler, denn das Gastnetz ist nur vom normalen WLAN dann rein innerhalb des 4020 abgetrennt.
Beide Netze "treffen" sich dann aber wieder auf dem WAN Port mit dem du die 4020 vermutlich in dein netzwerk hängst wie hier beschrieben:
Kopplung von 2 Routern am DSL Port
Das wäre dann ein Riesenfehler, da damit dann Gäste direkt in deinem lokalen LAN sind. Ein NoGo !

Oder willst du den 4020 etwa wieder als gruseligen WLAN Repeater laufen lassen ??
Das tötet dir dann deine WLAN Performance für alle deinen WLAN Netze.
dass es wohl kein Problem ist, das VOIP Signal durch zuschleifen.
Das ist es generell nicht !
Für VoIP ist auch kein Router zwingend. das kann man auch mit VoIP Endgeräten direkt erledigen oder mit einem preiswerten VoIP Adapter mit dem man alle Telefone unabhängig VoIP machen kann:
https://www.reichelt.de/Telefone-VoIP/CISCO-SPA112/3/index.html?ACTION=3 ...
Ein reines Modem geht so oder nicht, denn das ist paaiv und gar nicht am IP Packet Forwarding beteiligt.
certifiedit.net
certifiedit.net 20.02.2017 um 13:43:26 Uhr
Goto Top
Hallo,

wie wärs,wenn du das Projekt noch einen Monat zurückstellst und dir dann gleich einen ordentlichen AP von Sophos zulegst?

VG
MichiGrossmann
MichiGrossmann 20.02.2017 um 13:44:54 Uhr
Goto Top
Hi aqui,

sorry wenn ich so blöd frage, aber die Gäste kommen doch garnicht ins interne Netz, weil diese doch in einem komplett anderen Netz surfen.
Und außer surfen ist auch nichts für die Gäste erlaubt. Und die Firewall der Fritz Box ist ja hier auch noch im Einsatz.
Geplant ist nämlich, dass die 4020 als AP im IP Client Modus läuft und rein das WLAN dann zur Verfügung stellt.

Und in meiner alten Firma hatten wir halt von Sophos die AP. Und die machen ja im Prinzip auch nichts anderes.
Klar kann ich über die Sophos mehr einstellen und habe halt die Überwachung über die Sophos.

Aber im Prinzip mache ich ja über die Fritz Box auch nichts anderes oder? Und ich kann ja theoretisch die 4020 auf einen eigene LAN Port der Sohos hängen. Dann könnte ich ja theoretisch auch noch mal ein bisschen genauer einstellen was auf dem Port passieren darf.

Und ich denke auch, man darf generell nicht vergessen, dass ich keine Firma sondern privat bin.
Und klar habe ich den Ehrgeiz alles so perfekt und sicher wie möglich zu machen. Aber ich kann halt nicht los wie ne Firma und mir mal schnell für ein paar hundert Euro Hardware kaufen. Und deswegen mag für die Profis hier, dass manchmal Pfusch sein, oder nicht perfekt wie in einem Firmenumfeld. Aber wie schon erwähnt bitte ich mir dass ein bisschen nachzusehen. Und ich denke man darf sich hier auch trotzdem ans Forum wenden, auch wenn man kein IT Profi ist oder?

Außerdem betreibe ich halt gewisse Geräte, wie meinen Fritz DVB-C Repeater, auf den ich nicht verzichten möchte.
Denn es ist für mich einfach genial, dass ich mit meinem IPAD über WLAN TV schauen kann. Vor allem weil ich im Schlafzimmer kein TV habe.
Und da er als LAN Brücke angeschlossen ist, habe ich auch keine Schwierigkeiten mit der Performance. Denn ich habe voll 50 Mbit down und 10Mbit up. Und das reicht für mich vollkommen aus.

Und sorry wenn ich nochmal doof frage, aber wo liegt das Problem am Gäste Netz? Ich mein, wenn könnten doch nur meine Kumpels Blödsinn machen oder? Denn von außen ist es ja so nicht zu erreichen. Und meine Kumpels wollen ja nur mit dem Handy ins Internet oder whats app schreiben wenn se zum Bundesliga schauen kommen.

Ich denke auch, alles was der Mensch erfindet, kann auch gehackt werden.


Danke im Voraus für deine/eure Geduld.

Gruß Michael
MichiGrossmann
MichiGrossmann 20.02.2017 um 13:51:14 Uhr
Goto Top
Hallo,

auf lange Sicht gesehen, wird es auch so kommen.
Jedoch hab ich ja das Problem, dass mein Gastnetz im Moment nicht funktioniert.
Daher war das jetzt der Lösungsansatz mit der 4020. Denn gebraucht bekomme ich die bei Ebay Kleinanzeigen schon für 25€.

Und wie unten gefragt, kann ich mir es aktuell einfach nicht vorstellen, dass es so eine katastrophale Lösung ist.
Denn vielleicht verstehe ich das auch falsch, aber für mich hört sich das immer so an, als wäre ich offen wie ein Scheunentor und meine Sophos nur ein Staubfänger.

Danke
Gruß Michael
michi1983
michi1983 20.02.2017 um 13:57:19 Uhr
Goto Top
Wenn du gar kein Geld ausgeben möchtest, könntest du auch die 3270 mit freetz bestücken.
Eventuell kann die dann VLANs und Multi SSDIDs (müsstest du im Internet recherchieren).
MichiGrossmann
MichiGrossmann 20.02.2017 um 14:04:31 Uhr
Goto Top
Hi Michi1983,

danke für den Tip. Das werde ich mir mal genauer anschauen.

Denn davon habe ich noch nicht gehört.


Gruß Michael
Pjordorf
Pjordorf 20.02.2017 aktualisiert um 14:42:58 Uhr
Goto Top
Hallo,

Zitat von @MichiGrossmann:
sorry wenn ich so blöd frage, aber die Gäste kommen doch garnicht ins interne Netz, weil diese doch in einem komplett anderen Netz surfen.
Am WAN bzw. LAN1 der Fritte sind die schon in dein Netz. Was die dort tun können....

Und außer surfen ist auch nichts für die Gäste erlaubt.
Deine 3270 kann auch Gastnetz. Auch ohne Gäste WLAN - Der 3270 ein eigenes Interface (LAN Port) zuordnen, anderen IP kreis nutzen, dein gewünschte Firewall regeln erstellen und deine Gäste dort fröhlich surfen lassen. Das sit dann auch sicher - allerdings kein Zugriff in dein LAN und auch gar nicht dran denken dies per ACL oder sonstwie zu realisieren. Da braucht es keine 4020.

Geplant ist nämlich, dass die 4020 als AP im IP Client Modus läuft und rein das WLAN dann zur Verfügung stellt.
Nimm deine 3270. Die tuts dann auch.

Und in meiner alten Firma hatten wir halt von Sophos die AP
Die braucht es nicht zwingend

Und ich kann ja theoretisch die 4020 auf einen eigene LAN Port der Sohos hängen.
Kanst du mit deiner 3270 auch.

Dann könnte ich ja theoretisch auch noch mal ein bisschen genauer einstellen was auf dem Port passieren darf.
Wie du selsbt sagst - nur Surfen für Gäste.

Und ich denke auch, man darf generell nicht vergessen, dass ich keine Firma sondern privat bin.
Ändert aber nichts an deine Forderung. Wenn du tatsächlich keine Tödlichen Verkehrsunfall erleiden willst - dann darfst du ab sofort kein PKW oder taxi oder sonstein Verkehrmittel mehr nutzen.

Und klar habe ich den Ehrgeiz alles so perfekt und sicher wie möglich zu machen.
Aber das kostet auch Geld.

Aber ich kann halt nicht los wie ne Firma und mir mal schnell für ein paar hundert Euro Hardware kaufen.
Dann musst du deine Anforderungen herunterschrauben bis das Geld passt.

Außerdem betreibe ich halt gewisse Geräte, wie meinen Fritz DVB-C Repeater, auf den ich nicht verzichten möchte.
Wenn du da drauf nicht verzichten willst, dann passe deine anderen Forderungen eben an.

Ich mein, wenn könnten doch nur meine Kumpels Blödsinn machen oder?
Du musst wissen was du von deinen Kumpels zu erwarten hast wenn die so könnten wie die wollten...

Und meine Kumpels wollen ja nur mit dem Handy ins Internet oder whats app schreiben wenn se zum Bundesliga schauen kommen.
Nur deine Kumpels können dir sagen was die wirklich wollen...

Dir wurden alle Möglichkeiten aufgezeigt. Es ist an dir sich für die eine oder andere Lösung zu entscheiden. Wenns Geld nicht reicht, Anforderungen überdenken bzw. zurückschrauben oder ganz darauf verzichten. Du entscheidest. Wir haben nur auf deine Fragen geantwortet und wenn dann Lösungen sich als über dein Budget herausstellen - war nicht unsere Frage... face-smile

Du darfst dir auch ein Steak vor deiner WLAN Antenne tackern und hoffen das es bald medium Rare wird. WLAN ist auch eine Art von Mikrowelle(nherd).

Gruß,
Peter
MichiGrossmann
MichiGrossmann 20.02.2017 um 15:07:37 Uhr
Goto Top
Hallo Peter,

das weiß ich schon, dass meine Anforderungen hoch bzw. evtl. genauso wie in einem Firmenumfeld sind.

Das Problem ist, dass die 3270 die GAST WLAN Option im IP Client Modus deaktiviert ist. Die Box wird auch schon nicht mehr
supportet von AVM. Bei den neuen Boxen (z.B. 4020) geht das aber. Daher war die Überlegung mir diese zuzulegen.

Wenn ich die 3270 nur auf den eth2 der Sophos hänge, kann ich vermutlich nur ein Gäste WLAN darstellen oder?

Und wenn ich es richtig verstehe, besteht die Gefahr lediglich darin, dass die Gäste theoretisch sich auf interne Netz hacken könnten oder?

Weil wen dass der Fall ist, dann wäre das ein für mich kalkulierbares Risiko. Denn wir reden von 3-5 Kumpels, die sich mit der EDV überhaupt nicht auskennen. Von daher bin ich mir sicher, dass hier keine Gefahr besteht!

Und das sowas Geld kostet ist mir ja bewusst und wie schonmal erwähnt verschließe ich mich ja nicht, nur muss ich halt noch ein bisschen sparen face-wink

Ist ja denk ich wie bei jedem anderen Hobby auch. Die Leute die Modellflugzeuge bauen, können auch nicht gleich mehrere tausend € für den Motor investieren.

Gruß Michael
certifiedit.net
certifiedit.net 20.02.2017 um 15:17:16 Uhr
Goto Top
Hallo MIchael,

naja, dann solltest du dir aber überlegen, wohin du willst. Mit einer Sophos UTM/SG als Firewall und dann einem solchen ...."Aufbau" ist die Sophos im Endeffekt tatsächlich zu nichts nütze. Da muss schon das Konzept stimmen. Um auf deine Modellbaumetapher zurück zu kommen. Mehrere tausende Motor, aber Flügel aus Self-made-Pappe? Dir ist die Schlussfolgerung sicher klar...
MichiGrossmann
MichiGrossmann 20.02.2017 um 15:58:33 Uhr
Goto Top
Hi,

ja das ist mir schon klar.

Wie schon mal gesagt, sorry wenn ich nochmal nachfrage. Aber was ist jetzt technisch daran so eine Katastrophe an meiner Übergangslösung?

Ist es nicht so, dass nur meine Gäste Dummheiten von innerhalb machen können?

Weil wie gesagt, dass es keine Dauerlösung ist, das weiß ich selber.

Aber mein ganzer Verkehr von internen Netz geht ja über die Sophos und was von extern kommt. Von daher finde ich als Laie jetzt nicht dass se komplett wertlos ist. Aber ist nur mein empfinden.

Wäre super wenn ihr mir mal die technische Sicht zum Verständnis erklären könntet. Weil ich höre immer nur, dass es ne Katastrophe ist, aber warum genau erschließt sich mir nicht zu 100%.

Ich meine mir ist schon bewusst, dass wen man es richtig macht, es trennt.
Und da empfiehlt ja jeder den AP 15 zum Beispiel von Sophos. Und wir hatten diesen auch auf der Arbeit. Das war wirklich super das Teil und daher strebe ich auch so einen an!

Weil nochmal erwähnt, wenn es nur so ist, dass meine Kumpels die eigentliche Gefahr sind, kann ich das als Überganslösung verantworten.

Danke

Gruß Michael
Spirit-of-Eli
Spirit-of-Eli 20.02.2017 aktualisiert um 21:11:41 Uhr
Goto Top
Ich verstehe nicht wieso du dir nicht einfach nen AP bsp von Ubiquiti holst. Mit der 3270 sind deine Anforderungen doch nicht zu realisieren.
Ich habe so eine Kiste mit freetz hier liegen. da ist ohne Hand an zu legen und die Konfig so umzuschreiben nichts zu machen, zumal man garnicht mit VLans arbeiten kann.

Wenn schon ne vernünftige FW dann auch ne schöne Wlan Infrastruktur.
MichiGrossmann
MichiGrossmann 21.02.2017 um 11:32:27 Uhr
Goto Top
Hi,

wie ich oben schon geschrieben habe, werde ich auf lange oder kurze Sicht mir einen gescheiten AP zulegen.
Nur leider im Moment gibt es das Budget nicht ganz her.

Möchte mir aber schon den Sophos AP 15 zulegen, da mir der von vielen Seiten empfohlen wird.

Und als Notlösung werde ich es jetzt mit der Fritz Box 4020 überbrücken.

Ich weiß das es nicht die sauberste Lösung ist, jedoch habe ich mich nochmal
ein bisschen gegoogelt.

Und so wie ich das verstehe, ist es natürlich nicht die perfekte Lösung, da beide Netze physikalisch miteinander verbunden sind.
Und die größte Gefahr hier von innen besteht (Kumpels). Und das ist aber für mich im Moment ein absolut kalkulierbares Risiko.

Gruß Michael