Firewall zwischen Fritzbox und FTTH Modem

[mephisto1111]

Hallo zusammen.
Ich bekomme in Kürze FTTH ins Haus gelegt. Dazu habe ich eine Fritzbox 7590 ax als Router. Der geht ja auf das Modem der deutschen Glasfaser.

Nun hatte ich gedacht, da ich auch gern mal was neues ausprobieren möchte, eine Firewall zwischen Fritzbox und Modem zu schalten. Ist das möglich? Einfach wäre sicherlich hinter die Fritzbox zum Switch hin, aber dann wäre das WLAN nicht über die Firewall abgesichert...

Hat da jemand Erfahrung mit gemacht?

Ich traue der in die Fritzbox integriert Firewall zwar durchaus eine Menge zu, aber ich wollte halt mal was probieren. Aber einfach eine Firewall kaufen, ohne das geklärt zu haben, wollte ich eigentlich auch nicht.

Besten Dank und viele Grüße,
Christoph

 

[hominidae]

Nun hatte ich gedacht, da ich auch gern mal was neues ausprobieren möchte, eine Firewall zwischen Fritzbox und Modem zu schalten. Ist das möglich?

Grundsätzlich ja, Du kannst die Fritz hinter der Firewall als WLAN-AP und Telefonie weiter nutzen.
Aber warum solltest Du das machen wollen, wenn Du (vermutlich) keine Ahnung von einer Firewall und deren ordentlicher Konfiguration hast....die Firewall einer Fritz ist da wahrscheinlich sicherer als (D)eine neue, fehlerhaft eingestellte "Super-Firewall".

 

[radicale]

Wenn er es nicht probiert, wird er wohl auch in Zukunft keine Ahnung davon haben. Einfach mal testen mit pfSense oder IPFire etc. Kostenlose Firewalls (Software) gibt es ja genug.

 

[mephisto1111]

Moin. Ich habe schon Ahnung von Firewalls. Nur halt nicht im Home Sektor und vor allem nicht in Kombination mit einer Fritzbox.

BTW. Es handelt sich hier um eine Sophos FW.

 

[hominidae]

Moin. Ich habe schon Ahnung von Firewalls. Nur halt nicht im Home Sektor und vor allem nicht in Kombination mit einer Fritzbox.

-> https://avm.de/service/wissensdaten...ox-fur-Betrieb-mit-anderem-Router-einrichten/

mehr muss man nicht wissen, was die Fritz angeht.

 

[mephisto1111]

Besten Dank. Das ist eine sehr gute Info

Beitrag automatisch zusammengeführt: 13.04.2024

Es würde sich anbieten, die Fritzbox dann als kaskadierten Router zu konfigurieren. Ich möchte ja, bis auf die Firewall, möglichst alle Funktionen nutzen. Ggf. Stelle ich die Firewall der Fritzbox dann auf "Durchzug" und lasse die Sophos alleine ihren Dienst vollrichten.

 

[amdfreund]

Da möchte ich doch mal eine unqualifizierte Zwischenfrage platzieren.
Für mich war das Einwahlgerät immer VOR der Firewall. Kann das andersrum denn überhaupt funktioneren, da ja eigentlich das unzugeordnete Internet da anliegen dürfte.
Und wie man die FW dann im Internet konfigurieren kann sehe ich gerade auch nicht.

 

[hominidae]

Es würde sich anbieten, die Fritzbox dann als kaskadierten Router zu konfigurieren. Ich möchte ja, bis auf die Firewall, möglichst alle Funktionen nutzen. Ggf. Stelle ich die Firewall der Fritzbox dann auf "Durchzug" und lasse die Sophos alleine ihren Dienst vollrichten.

Also, eigentlich würde es sich anbieten die Fritz als WLAN-AP und Telefonie-Server/Dect Basis zu nutzen.
Bei FTTH brauchst Du ja kein Modem und die Firewall der Fritz auch nicht.
Die geht eh nicht abzuschalten, denn selbst wenn Du die neue Firewall hinter die Fritz stellst und diese dann in der Fritz als "Exposed Host" einträgst, bleibt NAT in der Fritz an.

Edit: lies die Beschreibung aus dem AVM-Link nochmal.
"Kaskadierter Router" heisst da *nicht* dass die Fritz der Hauptrouter ist, sondern bereits hinter der ersten Firewall/dem ersten Router hängt und einen eigenen Netzbereich für die Clients aufsspannt, die hinter der Fritz hängen.
Was soll Dir das bringen?

Beitrag automatisch zusammengeführt: 13.04.2024

Für mich war das Einwahlgerät immer VOR der Firewall. Kann das andersrum denn überhaupt funktioneren, da ja eigentlich das unzugeordnete Internet da anliegen dürfte.

Bei FTTH braucht es kein klassisches "Modem", nur einen Medienkonverter und die Einwahl geschieht, je nach Anbieter über ein VLAN und ppoe...das kann die Firewall ja auch (hoffentlich).
Die Einwahl der Fritz zur Telefonie muss dann durch die Firewall zum Anbieter durch...aber auch das geht.

 

[mephisto1111]

Ich wollte kaskadierten Router einsetzen, damit die Fritzbox weiterhin z.b. DHCP macht. Die Firewall soll nur die Einwahl ins Internet und halt ein Regelwerk u.s.w. machen. Den Rest, wie WLAN, Telefon usw fie Fritzbox. Meine Firewall kann kein WLAN verwalten

 

[What9000]

Verlierst du da nicht zu viel Granularität in den Regeln? Die Firewall sieht ja dann nur noch einen Client.

 

[mephisto1111]

Okay, stimmt. Das könnte ein Problem sein...
Da es aber ja prinzipiell geht, werde ich es auf jeden Fall probieren. Wie auch immer es dann zum Schluss aussieht

 

[mikedien]

Ich stehe aktuell vor derselben Problematik.

Fritzbox soll als Meshmaster hinter eine PFsense FW, die wiederum hinter einem ISP Router steht.
Ja, ich habe ältere Erfahrungen mit astaro und sophos UTMs. Die PFsense konfig ist also nicht das Problem.

Vorab, ich lebe in Spanien und habe einen 1 Gbit synchron FTTH Anschluß.
Nur hier bekommt kein Kunde von den Providern die Zugangsdaten. Zuviel Supportaufwand für die ISPs.

Man kann also den "spartanischen" Huawei Router nicht austauschen. Sonst hätte ich das längst getan.
Dazu kommt noch das inzwischen wohl obligatorische CGNAT. grummel.
Ich brauche keinen Fernzugang, spiele keine Onlinespiele etc. Mit ist also Doppel oder 3fach NAT relativ egal. Die Leitung hat genug Reserven und bald kommt 2Gbit synchron für 15€/Monat)

Hinter dem ONT -> Huawei ISP Router (eigenes LAN 192.168.18.0) soll --> eine PFsense Firewall und dann --> FritzBox4060 (192.168.178.0)
mit 4 Repeatern und recht großem Mesh (Proxmox mit 8 Vms, 4 PC clients und diverser smarthome kram)

FB als IP Client scheidet aus, da verliere ich das Gastnetz und andere Mesh Annehmlichkeiten. Also geht nur die FRITZ!Box als kaskadierten Router einrichten.
Was momentan ohne Problem und sehr performant funktioniert (eben ohne extra FW).

Man kann gerne über die Sinnhaftigkeit streiten, aber ich muß halt mit dem arbeiten was vorhanden ist. Bzw. das Fritz!Mesh muß so bleiben wie es ist.
Ich würde auch lieber den ISP Router rauswerfen und ganz durch die PFsense ersetzen.

Ich gebe also dem 1. LAN Port der PFsense(WAN) eine IP im huawei Netz und dem zweiten LAN Port der PFsense (LAN) eine IP im FritzMesh.

Handeln die Router (PFsense/Fritz) dann ihre Routen und Rückrouten selber aus, oder muss ich da noch manuell eingreifen?

Oder habe ich bei dem Konstrukt noch einen Denkfehler?
Bzw. kennt jemand einen besseren Weg?

Saludos Mike

Beitrag automatisch zusammengeführt: 04.04.2025

lies die Beschreibung aus dem AVM-Link nochmal.
"Kaskadierter Router" heisst da *nicht* dass die Fritz der Hauptrouter ist, sondern bereits hinter der ersten Firewall/dem ersten Router hängt und einen eigenen Netzbereich für die Clients aufsspannt, die hinter der Fritz hängen.
Was soll Dir das bringen?

Es soll wohl - wie bei mir - bringen, dass ich mein fertig konfiguriertes Fritz!Mesh genau so weiter benutzen kann wie bisher. Nur mit einer extra FW davor.
Meine Fritz 4060 ist genau für solche Fälle ohne eigenes Modem entwickelt worden.

 

[Shihatsu]

Ich traue der in die Fritzbox integriert Firewall zwar durchaus eine Menge zu

Ich habe schon Ahnung von Firewalls.

Does not compute...

 

[p4n0]

@mikedien Wenn du eh bisschen Netzwerk-bewandert bist… Klemm doch n Geraet von dir vor den WAN Port des Providerrouters und zieh nen Packetcapture. Bin fast sicher dass das Huawei-Ding sofort mit der Einwahl beginnen will ^^

 

[mikedien]

Interessante Idee. Aber ob der Huawei die credentials unverschlüsselt überträgt?
Jedenfalls geht vom ONT nur ein Fiberkabel in den huawei... da habe ich nichts passendes

Ich habe den ISP heute nochmal angeschrieben und verlangt, dass er den huawei gegen einen media converter umtauscht
Damit müssen die mir dann auch die credentials geben...

mal sehen was er antwortet.

 

[p4n0]

Ich meine, dass pppoe unverschluesselt uebetragen wird.