Netzwerk/Firewallkonfiguration hinter einem VDSL Anschluss

    Hallo zusammen,


    ich habe eine aktuelle Firewall-Appliance geschenkt bekommen. Hab mich da mal etwas mit dem Datenblatt der Firewall usw. beschäftigt. Die Firewall selbst kann PPPoE Einwahl sowie DDNS. Alternativ könnte ich mir auch eine feste IP Adresse zulegen. Aber mal zum grundlegenden Problem. Ich bin mit meinem Internetanschluss bei einem lokalen Provider der dort sein eigenes Netz hat. Derzeit noch alles über Kupfer bis 50MBit ein Glasfaseranschluss habe ich schon im Haus liegen der wird aber derzeit noch nicht beschaltet kommt irgendwann mal. Ich muss vom Provider einen Router verwenden das ist eine AVM FritzBox 7390. Mein derzeitiges Telefon läuft ebenfalls über den Internetanschluss per VOIP.
    Mein erster Gedanke war ok ich stelle die FritzBox auf PPPoE Passthrough um und lass die Firewall die Interneteinwahl sowie DDNS machen. Aber ich vermute mal dann funktioniert mein VOIP vom Provider nicht mehr? Könnte ich den die FritzBox zum Beispiel nur für VOIP nutzen und der Rest geht über die Firewall?


    Oder wäre es eventuell besser die FritzBox als normalen Router für VOIP, DDNS und Interneteinwahl zu verwenden und die Firewall in ein eigenes Netzwerk hinter die FritzBox zu packen und das dann alles über die Firewall zu routen?

    Hm, eine Fritzbox hat doch selbst ne Firewall. Welchen Nutzen siehst Du darin?

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Hi,


    naja ich gehe mal davon aus das es da schon recht gravierende Unterschiede gibt. Eine Fritzbox ist eine reine NAT Firewall. Die Appliance die ich bekommen habe ist eine echte Stateful Firewall und hat zusätzliche Funktionen wie Antivirus, Content Filtering, Intrusion Prevention und was weiß ich noch alles :). Ich sehe da einen Nutzen bei der höheren Sicherheit. Hauptsächlich geht es mir aber darum micht mit dem Thema näher zu beschäftigen da es mich Interessiert.

    Das versteh ich natürlich :D


    Um was für eine Firewall handelt es sich denn?

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Die Firewall ist eine Cisco Meraki MX60.

    Zitat von sewn4

    Die Firewall ist eine Cisco Meraki MX60.


    So eine wo die NSA schon drauf ist?


    Gerald


    HP Proliant MicroServer Gen8, Xeon E3-1230, 12 GB RAM, 3xWD red 2TB im RAID 5, 2xSundtek MediaTV Home DVB-C/T, L4M TWIN-C/T, Ubuntu Server 14.04.1, Plex Media Server
    Samsung UE55H6470

    Hi,


    weiß ich nicht muss ich mal im Log schauen :). Nee keine Ahnung das Teil hab ich noch nicht in Betrieb das liegt halt da rum.

    Ich wollte hier jetzt keine Produktdiskussion oder ähnliches anfangen oder NSA Verschwörungstheorieen diskutieren. Mir ging es eigentlich nur um das technische etc. und da bin noch etwas überfragt ob das alles so machbar ist wie ich mir das vorstelle.

    Soweit ich mich erinnere kann man die neuen FritzBoxen garnicht mehr auf Modem (=Bridge) umstellen. Von Zyxel gibt's noch solche Boxen.


    Und ja, die VoIP Funktionalitaet der Box wirst Du in dem Fall verlieren.


    Du kannst aber die Firewall trotzdem verwenden: einfach alle Ports auf die Box weiterleiten und diese als Router (mit NAT) hinter die FritzBox stellen. Der 506[01] bleibt halt draussen.


    uwe

    server: yavdr trusty testing, 2 * L5420, 32GB, 64TB RAID6 an OctopusNet (DVBS2- 8 ) + minisatip@dsi400 (DVBS2- 4 )
    frontends: kodi und xine

    Würds einfach mal probieren:


    Internet => Firewall => Fritzbox


    Auf der Fritzbox "Externes Modem oder Router" einstellen und auf der Firewall mal nach entsprechenden Rules für VOIP suchen.


    Wobei die Frage ist, hat die Firewall ein Modem? Sonst wäre das eh hinfällig.

    Bilder

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Hi,


    ich hatte mich bezüglich FritzBox und PPPoE schon etwas informiert. Es ist auch in aktuellen Firmware releases möglich allerdings nicht über das Webfrontend. Den Parameter kann man mittels Telnet in der Konfiguration aktivieren.


    Also das heißt ich kann meine FritzBox nicht generell als VDSL Modem mit VOIP benutzen und die Firewall ist für den restlichen kram zuständig?

    Zitat von TheChief

    Würds einfach mal probieren:


    Internet => Firewall => Fritzbox


    Auf der Fritzbox "Externes Modem oder Router" einstellen und auf der Firewall mal nach entsprechenden Rules für VOIP suchen.


    Hi,


    ah cool so rum hab ich das noch gar nicht betrachtet.

    Weiss eben nicht, ob das überhaupt geht und die Firewall ein Modem hat.

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    Die zweite alternative wäre dann ein privates Netz für Fritzbox LAN1 und Firewall WAN1 und hinter der Firewall hängt dann ein zweites privates Netz woran der Rest hängt? Gibt es da was zu beachten?

    Zitat von TheChief

    Weiss eben nicht, ob das überhaupt geht und die Firewall ein Modem hat.


    Hi,


    ah da hast du recht die Firewall hat gar kein Modem :(.

    Zitat von sewn4

    Mein derzeitiges Telefon läuft ebenfalls über den Internetanschluss per VOIP.


    das ist dein eigentliches Problem. Man darf nie den Telefonanschluss zu seinem Internetprovider portieren sondern nur zu einem unabhaengigen VoIP-Anbieter (gibt's ja wie Sand am Meer inzwischen).


    Wenn der Fehler schon passiert ist dann erlauben manche Internetprovider inzwischen sogar im Nachhinein die Telefonnummern woanders hin zu verlegen - fuer den Anbieter immer noch besser als den Kunden komplett zu verlieren:-)


    Durch diese Vorgehensweise kann man eine TA seiner Wahl (z.B. nen vernueftigen Asterisk) nutzen und ist nicht auf Fritzbox & Co. angewiesen. Generell macht man sich so von einzelnen Anbietern deutlich unabhaengiger. Auch was die Geraetewahl betrifft.


    - sparkie

    Rein aus Interesse: Warum darf man das nicht?

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

    weil man dann genau die angesprochenen Probleme (Routerzwang, Telefonanlagenzwang etc.) hat:-)


    Am besten ist es natuerlich man nutzt vom Internetanbieter nur ein Modem und macht den Rest komplett selbst. Aber das erlauben viele nicht mehr.

    Zitat von sparkie

    weil man dann genau die angesprochenen Probleme hat:-)


    Verstehe ich jetzt nicht. Welches Problem? Was hat das denn jetzt mit dem VOIP Provider zu tun? Stehe gerade auf dem Schlauch.

    - Client1: Thermaltake DH 102 mit 7" TouchTFT * Debian Stretch/vdr-2.4.0/graphtft/MainMenuHooks-Patch * Zotac H55-ITX WiFi * Core i3 540 * 4GB RAM ** Zotac GT630 * 1 TB System HDD * 4 GB RAM * Harmony 900 * satip-Plugin

    - Client2: Alfawise H96 Pro Plus * KODI
    - Server: Intel Pentium G3220 * DH87RL * 16GB RAM * 4x4TB 3.5" WD RED + 1x500GB 2.5" * satip-Plugin
    - SAT>IP: Inverto iLNB

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden