Netzwerk/Firewallkonfiguration hinter einem VDSL Anschluss

  • Hi..


    Ich verstehe noch nicht ganz, was dein cisco Gerät davon abhalten sollte die vom DHCP erhaltene IP entsprechend zu routen.
    Gut, klar, du nutzt die Fritzbox nicht, also gibts auch erstmal kein VIOP, aber rein IP-technisch... wie kann ich denn einen DHCP-Server dazu bringen eine IP nicht(!) zu verteilen?


    Hi,


    an was soll ich den meine Firewall anschließen? An die TAE Dose :=)?


    Ich brauche ja vor der Firewall ein Gerät Modem etc. was die Leitung terminiert. Und von dort aus kann ich dann auf die Firewall weiter? Oder verstehe ich dich jetzt falsch?


    EDIT:
    der DHCP Server könnte IPs nur an bestimmte MAC Adressen vergeben. Das würde auch erklären warum der Anschluss nur mit einem Gerät vom Provider funktioniert? Oder kann das nicht sein?

  • Zitat

    an was soll ich den meine Firewall anschließen? An die TAE Dose :=)?


    Hmm..sicher das du da eine TAE-Dose hast?

    Zitat

    Ich brauche ja vor der Firewall ein Gerät Modem etc. was die Leitung terminiert.


    Das wäre dann ein Splitter, ein Modem kann sowas meiner Meinung nach nicht..vorallem bin ich der Meinung das ein Modem keine(!) IP von einem DHCP-Server bekommt..
    Nun aber mittlerweile bauen die ja alles in sone FritzBox ein...

    Zitat

    der DHCP Server könnte IPs nur an bestimmte MAC Adressen vergeben. Das würde auch erklären warum der Anschluss nur mit einem Gerät vom Provider funktioniert? Oder kann das nicht sein?


    Theoretisch schon, aber:

    Zitat

    Bei einigen Firewalls kannst Du die MAC "faken".

    Deshalb bietet das wohl keine wirkliche kontrolle.


    [size=10]nOpacity: Icons
    [size=10]skindesigner: tryoutsglassy

  • hi,


    ich sehhe nicht wie da die Sphairon Gateway 400 was ändern sollte, die scheint nur mehr isdn zu haben aber da steckt genau so ein vdsl/adsl modem drin
    wenn man das ding "nur" als modem schalten würde und ein "normales LAN" aus deim "modem" kommt und man dann mit der cisco über dhcp (oder auch ppoe) den zugang zum provider herstellt, kann die Sphairon ja schlecht selbst eine IP verbindung zum provider aufbauen (was für voip ja nötig wäre), in der regel wird bei reinem modem/bridge betrieb der ganze router/NAT/voip kram totgeschalten, in dem fall werden sie dir die voip daten dann wohl auch nicht verraten und du zahlst dann evtl. für 8 x voip (4 x S0 = 8 "Leitungen" = 8 gleichzeitige gespräche = 8 x voip) und hast nichts davon
    davon abgesehen sehe ich nichts im handbuch des Sphairon Gateway 400 das darauf hindeutet das man es in einen reinen modem modus schalten könnte, man kann nur das modem toto legen und lan-mäßig über den wan port arbeiten (für externes modem), das kann die fritzbox auch und hilft dir ja nicht


    aber das du nicht mal das WLAN selbst einstellen kannst weder passwort noch MAC filter wäre aus meiner technischen sicht schon als verdeckter mangel bz. überraschende klausel im vertrag zu betrachten und evtl. ein kündigungsgrund, da lassen sich ja nicht mal grundlegende absicherungen durchführen (auch kein frequenzwechsel falls es wlan störungen gibt)
    klingt eher unprofessionell wenn die die fritzbox nicht über TR069 verwalten sondern das passwort ein mal vor ort sezten und man an nochts in der box drankommt


    für mich sieht die Sphairon nur so aus als könnte sie mehr isdn geräte und voip verbindungen zum provider bediehnen und wird deshalb für KMU kunden benutzt (4 x S0 bus wo die fritzbox nur einen S0 hat)


    aber wo soll das problem liegen die cisco firewall (oder einen zusätzlichen eigenen wlan router) hinter die zwangsbox zu setzen, ist im grunde doch nicht anders als bei z.b. vodafone easyboxen (nur hat man da auf viele teile trotzdem zugriff um z.b. wlan einzustellen aber die settings könen durch den provider wieder überschrieben werden)
    was du machen kannst ist vdsl - zwangsbox (fritzbox) - cisco (Router/firewall) - LAN und dann WLAN AP im LAN
    bei der einrichtung würde man wlan abschalten lassen oder wenn keiner mehr hinschaut die box öffnen (ist ja deine zu hast se bezahlt) und die wlan antennen intern abklemmen (bei den vodafone vdsl boxen kann muss man nur die stecker zu den antennen auf der platine abziehen, das ist reversibel)
    ISDN, analog bezieht man aud der zwangsbox und da die 7390/7490 selbst in ihrem netz (das dann vor der eigenen firewall liegt und dann eine dmz ist) voip server ist kann man da auch ip telefone einfädlen aber es müsste auch möglich sein vom LAN auf über die firewall voip an die fritzbox zu geben


    mal ip mäßig
    von vdsl auf fritzbox, die macht auf dem internen 4fach switch 192.168.0.0/255.255.255.0 nd hat selbst die 192.168.0.1, die cisco bekommt auf dem wan port die 192.168.0.2 und im lan machst du 192.168.1.0/255.255.255.0, die cisco hat dann im lan 192.168.1.1, dein wlan AP (da geht auch ein wlan router bei dem man nur die lan seite nutzt) bekommt die 192.168.1.2, die cisco oder/und wlan ap machen dan dhcp im lan
    aller verkehr vom lan geht dann durch die cisco und für die fritzbox kommt der verkehr von der 192.168.0.2 und wird weiter in richtung internet geleutet, was vom internet zurückkommt wird dann automatisch an die 192.168.0.2 "zurückgegeben"


    ps: falls sie ein reines modem wirklich zulassen und selbst Sphairon Gateway 400 von Zyxel verwenden, dann frag doch mal nach ZyXEL Prestige 871M, das wäre ein reines vdsl2 modem das man an den WAN port eines routers bzw. der cisco anschließen würde - aber denen geht es meist nicht um den "netzabschluss" die wollen mehr einfluss auf den kunden und den ganzen router samt wlan kontrollieren
    wenn sie das modem akzeptieren und due die voip zugangsdaten bekommst (PPoE zugangsdaten gibts je keine) wäre alles bestens


    pps: wenn ich das richtig deute hat die telekom bei auch keine DSLAM's und der lokale anbiter hat selbst DSLAM's bei euch auf der straße und die telekom will sich da nicht "einmieten" um vdsl als bitstream zugang zu realisieren (so wie sie das z.b. in gebieten macht die von vodafon mit vdsl versorgt werden)

  • Hi,


    ja, ich bin sicher das ich eine TAE Dose habe. Einen Splitter braucht man mittlerweile bei den IP Anschlüssen nicht mehr. Die Fritzbox wird direkt in die TAE Dose eingesteckt. Der Splitter war ja nötig um die zwei Frequenzen aufzuteilen bei einem IP Anschluss geht ja alles über die gleiche Frequenz.
    Aber jetzt mal unabhängig davon. Warum sagt mir der Techniker von der Hotline das was ich vorhabe geht nicht?

  • Hi IG88,


    ich denke ich werde von dem lokalen Provider den "normalen" VDSL Anschluss mit der Zwangsfritzbox 7390 nehmen. Zumindest habe ich da volle 50MBit und keine langsame Leitung von den restlichen Providern. Bezüglich VOIP habe ich schon vorgesorgt und mir bei Sipgate eine Nummer besorgt diese kann ich im Notfall dann verwenden. Das Sphairon Gateway 400 werde ich auf jeden Fall nicht beauftragen da mir das zu teuer ist. Verstehe das auch nicht wirklich was ich damit soll weil Telefonie etc. brauche ich eigentlich gar nicht.


    Ich hänge dann hinter die Fritzbox meine eigene Firewall und verwalte dort mein Netzwerk sowie das WLAN. Hier muss ich eventuell mit dem doppelten NAT etc. leben aber denke das ist immer noch besser wie sich auf den Router vom Betreiber zu verlassen.


    Mal schauen was alles so möglich ist wenn die Fritzbox dann da ist.

  • ps: falls sie ein reines modem wirklich zulassen und selbst Sphairon Gateway 400 von Zyxel verwenden, dann frag doch mal nach ZyXEL Prestige 871M, das wäre ein reines vdsl2 modem das man an den WAN port eines routers bzw. der cisco anschließen würde - aber denen geht es meist nicht um den "netzabschluss" die wollen mehr einfluss auf den kunden und den ganzen router samt wlan kontrollieren


    Ein anderes Modem wie das genannte oder ein eigenes ist nicht möglich. Der Techniker hat mir das ja bereits erklärt das die über die Geräte ein Monitoring betreiben. Ich vermute mal auf der Fritzbox ist eine Providerfirmware (nicht die Originalfirmware) und darauf läuft ein Agent oder irgendwas das dann Daten vom Gerät zum Provider schickt.
    Ich vermute das ein herkömmliches VDSL Modem daher nicht funktioniert weil dort keine Agents oder was auch immer vom Provider läuft bzw. laufen kann. Ich gehe mal davon aus die haben für die Fritzbox sowie das Sphairon Gateway bereits eine fertige Firmware und daher keine anderen Geräte unterstützen.

  • hallo,


    ich glaube nicht das die eine eigene firmware haben, die boxen können selbst genug überwachen und das lässt sich sicher über definierte protokolle/schnittstellen abfragen (z.b. snmp)
    ich denke eher die haben genau das nciht (spezielle firmware)
    ich weis das bei kabel deutschalnd fritzboxen benutz werden und da wird der kunde nicht komplett ausgesperrt, man kann sich an der box anmelden und alle möglichen dinge einstellen, nicht nur wlan
    wenn der einzige zugang zur box der admin user ist und der kunde nichts bekommt ist das eher extrem unprofessionell und da hätte ich im so mehr befürchtungen das da noch andere dinge laufen (wer findet die "schönsten bilder/filme" in kunden lan's oder ähnliches), wenn die es nicht mal schaffen die firmware richtig zu nutzen dann werden die auch viele andere dinge nicht haben (datenschutz, auditing, firmware updates, ...)


    aber wenn di so vorgehst wie beschrieben kannst du dich zwar etwas abgrenzen aber z.b. kann bei provider pfusch ein angreifer die telefon funktionen auf der zwangsbox missbrauchen und kosten produzieren (gabs ja schon bei größeren anbietern)


    und ich denke mal schon das es möglichkeiten gibt daten von dem modem zu bekommen, ich kann ja über das modem auch ermitteln was im dslam für hardware läuft



    ps: aber da ich nicht im bereich isp arbeite sind meine äußerungen sehr subjektiv und nicht mit viel harten fakten unterfüttert


    pps: http://www.heise.de/netze/arti…selbst-gebaut-221656.html
    http://www.heise.de/netze/arti…ter-Kaskaden-1825801.html

  • Hi IG88,


    VOIP würde ich dann aus dem internen LAN hinter meiner Firewall verwenden. Auf der Zwangsbox lasse ich alles außer die Interneteinwahl deaktivieren.

  • Hallo,


    mal noch eine Frage. Ich habe mich da mal etwas eingelesen bezüglich FritzBox und einer Firewall dahinter. In der Fritzbox gibt es die Einstellung "Exposed Host" was nichts anderes bedeutet das alle Ports von außen auf diesen Host weitergeleitet werden. Wäre das nicht genau das was ich brauche? Ich trage die IP von der Firewall WAN Schnittstelle dort ein und es geht alles von außen dann auf die Firewall. Was für Einschränkungen kann es hier dann geben?

  • Hm, nach Deinen Schilderungen scheitert das bei "ICH trage die IP....". Denn wenn der Provider Dich nicht auf die BOx lässt, kannst Du auch nichts eintragen.
    Selbst mit noch so tollen Leistungen käme mir ein Router, auf den ich keinen Einfluß habe, nicht ins Haus.


    Ansonsten ist das genau das was doppeltes NAT ist. Die FB macht NAT und Dein Router macht NAT.


    Michael

  • sewn4
    ja, das mit dem exposed host würde dafür sorgen das du einen bestimmten port direkt über die cisco an ein system im lan weiterleiten kannst
    aber wie mikeM schon schreibt geht das nur wenn du einfluss auf die fritzbox hast, selbst wenn der techniker des providers das für dich einstellt kann das beim nächsten remote update der settings oder firmware wieder verschwinden
    einfache nutzung wir mail abrufen, surfen oder mal was hochalden geht auch ohne das, das mit dem port forwarding brauchen die meisten gar nicht, aber wenn dyn. dns verwendet um an sein heimisches NAS oder die webcam vom internet aus zu kommen würde man es wohl brauchen


    wenn die sich nur auf das normale passwort ohne tr069 stützen dann kannst du auch versuchen dem techniker einen schein die hand zu drücken wenn er dir das passwort überlässt? aber dann müsste man genau wissen wie die arbeiten um sicher zu sein das man demnächst auch noch rein kommt und am besten würde man den provider aussperren bzw. deren zugang in einen begrenzten ändern?

  • Hallo zusammen,


    ich bin gerade über meinen neuen Internetanschluss online. Einen Zugriff auf die Fritzbox habe ich bekommen. Habe mich mal etwas in der FritzBox umgeschaut und es ist so das ich per DHCP eine private IP Adresse zugewiesen bekomme. Das ist ja schon mal gar nicht so gut :(. DnyDNS bzw. MyFritz Service kann ich dadurch schon mal nicht nutzen. Komme ich dann ohne öffentliche feste IP Adresse auf mein privates VPN? Vermutlich nicht oder geht das dann anderst? Als Anschluss wird in der FritzBox VDSL2 angezeigt.


    Eine öffentliche IP wäre an dem Anschluss kein Problem bzw. das würde mich 1€ pro Monat extra kosten.


    EDIT:
    Wie wäre das dann eigentlich wenn ich eine feste öffentliche IP Adresse bekomme. Bekommt dann die FritzBox diese direkt zugewiesen oder schaltet die der Provider vor und mach dann ein NAT auf meine interne?

  • Keiner eine Idee dazu?

  • EDIT:
    Wie wäre das dann eigentlich wenn ich eine feste öffentliche IP Adresse bekomme. Bekommt dann die FritzBox diese direkt zugewiesen oder schaltet die der Provider vor und mach dann ein NAT auf meine interne?

    Nein, NAT ist und war immer nur eine Lösung für knappe IPv4 Adressen. Wenn Du eine feste, öffentliche IP bekommst, dann bekommt die die Fritzbox zugeteilt und ist mit dieser Adresse auch von aussen erreichbar. Wenn dein Provider das auch noch NATen würde, dann müsste er ja um Deine Box von aussen erreichbar zu machen ein Portforwarding für Dich machen je nachdem mit was Du auf dein Netz zugreifen willst.


    bye
    Sven


    Link: Richtig fragen

  • hallo,


    wenn diu eine statische ip bekommst kann das eine ipv4 oder ipv6 adresse sein
    bei ipv4 würde dann deine fritzbox nat auf deine internen privaten ipv4 adressen machen und du bräuchtest nicht mal dyn dns da du deine fritzbox immer unter der gleichen ip vom internet aus erreichen kannst (dyn dns soll ja eigentlich den mangel an statischer ip durch einen statischen namen mit dynamisch angepasster ip ausgleichen)
    wenn du ipv6 bekommst dann dürfte es komplizierter werden und du solltest vorher noch mal genauer zu dem thema nachlesen (dann gibt es in der regel bei internen ipv6 geräten keine nat/schutz funktion mehr so das alle geräte direkt vom internet aus ansprechbar sind)

  • Hi,


    nach längerem Telefonat mit der Technik vom Provider habe ich jetzt eine dynamische öffentliche IP Adresse an der Fritzbox anliegen :). Na dann kann ich mal loslegen...