Firewall hinter Fritz!Box schalten

P

ps2freak

Neuling
Thread Starter
Mitglied seit
05.10.2013
Beiträge
77
Hallo,

vorab erstmal die Basisinfos:
Internetanschluss: 50.000 VDSL-Anschluss der Telekom mit VoIP
Router: Fritz!Box 7360; Derzeit einzige "Schnittstelle" zwischen Heimnetz und Internetz; WLAN abgeschaltet; 3 Mobilteile via DECT mit der integrierten TK-Anlage verbunden.

Ich habe mir überlegt auf meinem alten N36L Microserver die Sophos UTM (gibt's für Home User ja zum Glück kostenlos) zu installieren und bin zu dem Schluss gekommen, dass ich das auch machen möchte :d
Mein Ziel dabei ist aber, dass im Prinzip erstmal alles so bleiben kann wie es war - also die Telefone sollen weiter via Fritz!Box in die weite Welt telefonieren können.
An den LAN-Anschluss der Fritz!Box würde ich dann die Firewall hängen und dahinter wäre dann das Heimnetzwerk.

Jetzt die Frage: Ist das so in der Form mit den Gegebenheiten realisierbar? Ich kenne das eigentlich nur so, dass vor die FW ein VDSL-Modem geschaltet wird (könnte die Fritz!Box ja theoretisch), aber ich denke dann wirds dann mit der Telefonie (VoIP) problematisch....

Ich habe vor ein paar Tagen mal was im Internet gelesen gehabt (finde es aber leider nicht mehr wieder), dass man bei der Fritz!Box die Firewall als exposed Host konfigurieren soll (Die Einstellung hab ich auch bereits gefunden bei den Portfreigaben) - wäre das der richtige, oder ein richtiger Ansatz? Gibt's noch andere Möglichkeiten?


Vielen Dank vorab
Grüße
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Die Firewall kann man natürlich auch hinter jedem Router betreiben. Man hat dann das Problem, dass die FW eben von außen nicht erreichbar ist. Daher muss man, wenn man das will, eben die Ports vom Router an die FW weiterleiten. Das ist bei 2 Ports noch easy, bei 100 ist das doof. Daher das exposed Host Thema. Das ist nichts anderes als "jede Anfrage von außen, mit der du nichts anfangen kann (keine Portweiterleitung konfiguriert), leite bitte an diese Sammelstelle weiter"

Daher wäre es, wenn es nur wenige Portfreigaben geben wird, besser mit denen zu arbeiten. Wenn nichts reinkommt (defaultroute), kann auch nichts passieren was in deinem Netzwerk Scheibe spielt. (auch ne UTM ist kein Sicherheitsgarant, kein Paket bekommen ist besser, als ein Paket was erst abgewehrt werden muss)

Dennoch wäre es zu empfehlen auf Modem+UTM zu setzen. Einfach aus dem Grund, da es viele Routing und VPN-Geschichten vereinfacht. Mit VoIP brauchst du auch keine Angst haben. Einfach die FB hinter die UTM bauen, als normalen Teilnehmer (gibt dafür extra ne Option, sprich nicht als Router laufen lassen) und die SIP-Daten eintragen. Dann telefoniert die mit dem SIP-Server bei der Telekom.
Muss halt ein Modem extra kaufen.

Diese Konfig wird Millionenfach betrieben. Ich betreibe das auch so. (allerdings mit einem SoHo-Router, der quasi deine UTM bei mir ist)
 
Zuletzt bearbeitet:
underclocker2k4 schrieb:
Die Firewall kann man natürlich auch hinter jedem Router betreiben. Man hat dann das Problem, dass die FW eben von außen nicht erreichbar ist. Daher muss man, wenn man das will, eben die Ports vom Router an die FW weiterleiten. Das ist bei 2 Ports noch easy, bei 100 ist das doof. Daher das exposed Host Thema. Das ist nichts anderes als "jede Anfrage von außen, mit der du nichts anfangen kann (keine Portweiterleitung konfiguriert), leite bitte an diese Sammelstelle weiter"

Daher wäre es, wenn es nur wenige Portfreigaben geben wird, besser mit denen zu arbeiten. Wenn nichts reinkommt (defaultroute), kann auch nichts passieren was in deinem Netzwerk Scheibe spielt. (auch ne UTM ist kein Sicherheitsgarant, kein Paket bekommen ist besser, als ein Paket was erst abgewehrt werden muss)

Dennoch wäre es zu empfehlen auf Modem+UTM zu setzen. Einfach aus dem Grund, da es viele Routing und VPN-Geschichten vereinfacht. Mit VoIP brauchst du auch keine Angst haben. Einfach die FB hinter die UTM bauen, als normalen Teilnehmer (gibt dafür extra ne Option, sprich nicht als Router laufen lassen) und die SIP-Daten eintragen. Dann telefoniert die mit dem SIP-Server bei der Telekom.
Muss halt ein Modem extra kaufen.

Diese Konfig wird Millionenfach betrieben. Ich betreibe das auch so. (allerdings mit einem SoHo-Router, der quasi deine UTM bei mir ist)
Zum Vergrößern anklicken....

Ja schon, kannst du denn auch ein günstiges VDSL-Modem empfehlen?
Ich finde immer nur teure Sachen wie ne Fritz!Box....
Ich hätte eigentlich nicht vorgehabt jetzt nochmal um die 100€ auszugeben.... vorallem nicht wenn ich nur ein Modem will und gleich Fritz!Box mit zich anderem Schnickschnack der dann ja nutzlos wäre bekomme....
 
Saubere Strukturen erfordern ein solides Bankkonto. Das ist leider so.
Es ist ja kein Zwang.

ZyXEL VMG1312-B30A (nutze ich, vectoring)
DrayTek Vigor 130 (vectoring)

Ansonten gebraucht
Speedport 300HS
Speedlink 1113
 
Da man die FB glaube auch als Modem betreiben kann, geht die auch.

Eine Fritzbox ist auch ein Gerät, welchen eine Angriffsfläche bietet. Da der Internetanschluss im Layer 3 auf der FB terminiert wird, kann man diese Kiste also angreifen. Du baust dir also nen Panzereingangstür(UTM) in dein Haus ein, lässt aber jeden Hinz und Kunz in deinen Vorgarten (FB).
(denkbar wäre z.B. die FB zu nem VPN-Server umzukonfigurieren und so seinen Internetanschluss zu vergewohltätigen)

Des Weiteren ist eine FB, aus Erfahrung, nicht unbedingt für 100% Stabilität bekannt. Insbesondere dann nicht, wenn sie Router(mit ordentlich Speed), WLAN und VoIP macht.
Weiterhin lassen sich nicht alle Protokolle NATen, was z.B. bei IPSEC hinter einem NAT zum Problem führen kann.

Es ist nicht perse Schlecht die UTM hinter nem Router zu betreiben, allerdings gibt es eben auch bessere Szenarien. Das musst du für dich entscheiden, ob dir die Anschaffung (und Betrieb) eines weiteren Gerätes das Wert ist.
Mir ist es das, aber ich bin auch kein Maßstab für den Homeuser.
Wenn die UTM nur Spaß an der Freude ist, ist egal. Willst du aber ein Sicherheitskonzept umsetzen, so fängt das eben schon bei der TAE-Dose an.
 
Zuletzt bearbeitet:
Okay, danke für die Ratschläge.
Ich denke ich werde erstmal nur zum Testen die UTM wie geplant hinter die FB schalten.
Auf absehbarer Zeit könnte ich mir aber durchaus vorstellen ein VDSL-Modem zu holen und es dann entsprechend so einzurichten.
 
ich fahre eine derartige Konfiguration seit Jahren, allerdings mit den VPN-Gateways von Netgear.

FVS336Gv2 für Dual WAN (Failovermodus):
FVS318N

Damit klappen sogar Site2Site VPNs.

Eine Sophos wird richtig konfiguriert sicherlich nicht schlechter sein :) (2 Netzwerkkarten setze ich mal voraus.)
 
FVS336Gv2 bei einem Kunden, der eine Fallback-Leitung benötigt, falls KD ausfällt (2. Leitung ist DSL)
Da arbeiten jeden Tag mindestens 6 Personen zeitgleich via VPN aus dem Homeoffice (Client2Site-VPN)

FVS318N bei mir und 3 weiteren Kunden.
zu allen 4 Routern habe ich 'ne VPN (Site2Site) Verbindung (Ich bin sozusagen die Spinne im Netz :)
Darüber mache ich Fernwartung, Monitoring etc.

Ich sage mal so: Die Firewalls in den Netgear VPN-Gateways sind sicherlich besser als die in einer Fritzbox, andererseits sicherlich nicht so Leitungsfähig wie dedizerte IDS-Firewalls und Content-Firewalls oder auch "grössere" UTMs wie z.B. eine Sophos.
 
Zuletzt bearbeitet:
VPN Gateway zwischen Fritzbox und LAN oder allgemeiner; zwischen Providergerät und LAN.
Wenn Providergerät als Router läuft ist das VPN-Gateway als exposed Host/DMZ definiert. Dies ist quasi Voraussetzung, damit eingehende VPN-Verbindungen angenommen werden können (Ansonsten müssen bestimmete Ports und Protokolle weitergeleitet werden können, was wiederum nur wenige Geräte wirklich können - IPSEC Passthrough reicht i.d.R. nicht).
Wenn das VPN Gateway nicht als exposed Host/DMZ (oder mit entsprechenden Port/Protokollweiterleitungen) definiert werden kann, sind nur ausgehende VPNs möglich. (diese Konstellation habe ich bei 2 Kunden, die VPN Verbindung dahin muss aktiv von deren Gateways aufgebaut werden).
 
Okay, ich habe das nun so eingerichtet, wie zu Anfang gewollt, also die UTM hinter die Fritz!Box.
Funktioniert soweit auch erstmal alles wunderbar, grundsätzlich komme ich ja nun auch ins Internet.

Ich habe allerdings noch ein paar Probleme, wo ich auch nach Stundenlangem Googlen nicht weiterkomme...
Und zwar funktioniert eben doch noch nicht alles - Steam verweigert beispielsweise seine Dienste völlig. Vermutlich liegt es daran, dass diese Ports geblockt sind - oder viel mehr daran, dass eben nichts durchgelassen wird, solange es nicht so standard-Sachen wie HTTP/HTTPs sind....
Außerdem würde ich gerne ein paar Portfreigaben von Außen vornehmen, sodass ich beispielsweise wieder meinen Webserver von außen erreichen kann - auch daran scheitere ich, das ist bei Weitem nicht so leicht wie in der Fritz!Box....

Ich habe mal um es generell einmal zu testen einen PC an einen speziellen Port der Firewall gehangen, auf diesem Port habe ich ein Testnetz eingerichtet.
Ich habe dann in der Firewall einfach mal zwei Rules erstellt und zwar in der Form:
Testnet (Network) -- Any --> Any
Any -- Any -- Testnet (Network)

Leider ohne Erfolg, Steam will imemrnoch nicht.
Habe dann gelesen, man soll eine NAT-Regel erstellen.
Habe es dann mal in der Form versucht, hier:

DNAT
Traffic selector: WAN (Network) → Any → Testnet (Network)
Destination translation: Testnet (Address)

Habe dann gedacht, ich mache mal Application COntrol an udn erlaube Steam für dieses Netzwerk, hat aber leider auch ncihts gebracht.....


Könnt ihr mir irgendwie helfen?
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh