Problemlose Alternative zur Fritzbox mit mehr als 2 logischen Netzen gesucht

eehm

Enthusiast
Thread Starter
Mitglied seit
13.09.2011
Beiträge
580
Hallo,
die Fritzbox scheint hier in Deutschland fast der Standard zu sein und läuft eigentlich mit jedem DSL-Provider inkl. Telefonie ohne Probleme.
Leider hat sie nur zwei Netze: Haupt- und Gast-Netz. Dazu kann sie nicht mit VLANs arbeiten sondern Haupt- und Gast-Netz sind logische Netze.

Suchen würde ich eine Alternative die folgendes bietet:
  • Inbetriebnahme von DSL und Telefonie ähnlich einfach wie bei der Fritzbox (deutscher Provider z.B. O2 oder Telekom)
  • mindestes 3 logische Netze (am besten mit VLAN-Funktionalität)
  • Firewall zum Routing ausgewählter Informationen zwischen den Netzen
  • VLAN (wenn möglich (siehe oben))
  • Absicherung meines Heimnetzes gegen das Internet ohne fundierte Kenntnisse ähnlich sicher wie die Fritzbox
Gibt es sowas oder ist das reines Wunschdenken?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
  • Firewall zum Routing ausgewählter Informationen zwischen den Netzen
  • Absicherung meines Heimnetzes gegen das Internet ohne fundierte Kenntnisse ähnlich sicher wie die Fritzbox
Das widerspricht sich ja schon...was die Fritte so "sicher" macht, ist ja die Tasache, dass man nicht viel selbst verbiegen kann.
Denn mit das grösste Risiko in einer konfigurierbaren Firewall liegt immer vor der Tastatur ;-)

Es gibt noch Freetz(-NG): https://freetz-ng.github.io/freetz-ng/ ...wenn Dir die Fritte gehört und Du Dir zutraust da keinen Briefbeschwerer draus zu machen, wäre das eine Option ;-)
 
Was die FB so sicher macht, ist der Umstand, dass sie nichts kann, was Netzwerk angeht.

Sobald man aber ernsthaft Netzwerk machen will, verlassen wir ganz schnell die Gefilde und Art und Weise einer Fritzbox.

Die Frage, die ich mir erstmal stellen würde, was kann ich mir denn grundsätzlich vorstellen?
Wenn das alles so gut geht und es quasi nur um VLANs geht, dann kann man auch alles so lassen wie es ist und einfach einen Router dahinterschalten. Der kann dann 100 Subnetze usw. Nachteil, man hat dann ggf. DoppelNAT. Wenn man eh CarrierNAT hat, ist das wieder egal. Man kann dann also Telefon und Internetseitig alles so lassen wie es ist.
Der Router bekommt die FB an WAN-Anschluss und ab gehts.

Die Frage ist dann, wie soll das dann weitergehen, z.B. mit WLAN, denn das kann die FB dann nicht mehr machen, außer InternetonlyWLAN, was für Gäste auch nicht verkehrt wäre...

Bei der Firewall wirds dann schwer. Es ist die Frage, was für ne Firewall und auf welchem Level. Router können mitunter ACLs, das kann man schon als Semi-Firewall betrachten. Alles was darüber hinausgeht, ist dann eine richtige Firewall, das kostet dann Geld und auch Configaufwand.

Auch das Thema InternetSec ist so nen Thema. Auch da kann man vieles machen, angefangen beim URL-Filter für Youp0rn.

Kurzum, das geht alles relativ einfach, bis hinreichend komplex.

Der richtige Weg? Keiner!

Als reinen Router würde ich mal Draytek ins Gefecht führen. Die können auch Telefon. (aber siehe oben...)
Der kann auch schon URL-Filter als Micropayment usw.
Sobald man aber Firewalls möchte, macht im Homekontext wohl PFSense und Co. Sinn. die können dann aber kein Telefon, würden aber natürlich die Aufgabe des Router gleich mitmachen. Sprich also, jetzt nen Router und dann ggf. später sowas wie PFSense wäre verbranntes Geld.

Ich würde dir empfehlen, sich ggf. einen Rechner zu schnappen, am besten mit 2 NICs und dort dann mal PFSense zum Spielen drauf machen. Damit rumtesten und rummachen und bewerten, ob das was für einen ist.
Wenn das so hinhaut, von der Interaktion und Features (und eben dann auch die Kombi aus beidem) dann kann man überlegen, wie man das macht. Dazu gibt es im Serverbereich nen Thread, wo auch kleine, "günstige", stromsparende HW aus China diskutiert wird, dort dann auch direkt mit 4 Ports, so dass man ggf. sogar Sachen phy. trennen kann.

Auch ggf. überlegen, was mit ggf. vorhandener Infrastruktur ist. Was ist mit WLAN APs, sind die SDN, hat dieser Hersteller einen Router oder ggf. Sec-Gateway mit eben selber SDN-Umgebung? Macht es Sinn einfach in dieser Schiene weiterzufahren? Was sind das für Kosten auch gegenüber einer abgesetzten Lösung?

Was ähnliche einfaches wie ne FB gibt es da nicht, weil, wie gesagt, die FB nichts kann und daher auch weniger Komplexität reinbekommt. Komplexität erhöht auch den Aufwand und damit verringert es die Einfachheit.
 
Ich würde da mit OPNsense oder OpenWRT gehen, wobei ich persönlich klar OpenWRT präferiere. Für Telefon kann man ja eine alte Fritzbox in ihr eigenes kleines VLAN verbannen.
 
Was ähnliche einfaches wie ne FB gibt es da nicht, weil, wie gesagt, die FB nichts kann und daher auch weniger Komplexität reinbekommt. Komplexität erhöht auch den Aufwand und damit verringert es die Einfachheit.
OK, vielen Dank.
Dann ist das Thema somit vom Tisch.
Dann muss mit meinem Know-How auf jeden Fall die Fritzbox das Tor zum Internet werden.
Am besten schalte ich dann einfach einen Router (hEX S, pfSense) oder so dahinter und mache damit alles weitere.
Dann habe ich zwar vielleicht das Doppel-NAT, aber das lässt sich halt nicht ändern!
 
Dann habe ich zwar vielleicht das Doppel-NAT, aber das lässt sich halt nicht ändern!
..da die Fritz *immer* NAT macht, auch wenn der Router dahinter "exposed Host" wird kann man das NAT im 2ten Router auch ausschalten. Man muss hat wissen was man tut.
Alternative, wenn eh ein 2ter Router ran soll und man die Konfig lernen muss, ist immer noch ein DSL-Modem und den Router für WAN und die Fritte für Telefonie in ein VLAN des Routers verbannen, wie oben schon gesagt.

Wenn Du dich an die Komplexität und Vielfalt eines Mikqrotik oder einer Sense nicht rantraust, schau Dir wirklich mal unifi an...da gibt es alles aus "einem Guss" (mehr oder weniger) über eine zentrale Controller-Software, die zumindest von der Benutzung her einen leichten Einstieg ermöglicht.
Wenn man als WAN-Gateway eine Dream-Machine (Pro?) einsetzt, dann ist diese Controller-Software praktisch schon an Bord...Switche und APs könenn dann integriert werden.
DSL-Modem braucht man aber trotzdem und Telefonie macht die Fritz bzw. man holt sich ne Gigaset-Voip-Basis
 
Ich würde exposed Host auf jeden Fall machen, falls kein CarrierNAT ist, dann muss man in Richtung Internet nix mehr machen.

Beim Router und Co. sollte man sich einlesen, Videos schauen usw.

Hier ist die Webseite "meines" Routers.
Da kann man rumprobieren, sich einlesen, wie man das und das macht, und das austoben. Dann sollte man feststellen ob man das hinbekommt. Auch auch die anderen gedachten Lösungen sollte man gut testen.
Vorteil von den PFSense und Co Lösung ist, dass man die eben auf Rechnern so testen kann, sogar VMs gehen, alles für Umme, bevor man das Geld investiert, weiß man, was man erwarten kann.
 
OK, vielen Dank.
Dann ist das Thema somit vom Tisch.
Dann muss mit meinem Know-How auf jeden Fall die Fritzbox das Tor zum Internet werden.
Am besten schalte ich dann einfach einen Router (hEX S, pfSense) oder so dahinter und mache damit alles weitere.
Dann habe ich zwar vielleicht das Doppel-NAT, aber das lässt sich halt nicht ändern!
OpenWRT hat doch auch eine schöne Oberfläche wo man sich alles zusammenklicken kann, daher glaube ich nicht das eine Fritzbox als Router das ganze vereinfachen würde, mit dem Doppelrouter Setup wird das eher komplizierter als das einfach in OpenWRT zu machen.
Kannst dir ja mal
angucken.
 
Die FB würde das schon vereinfachen, zumindest vom Telefonstandpunkt her. Wenn er CarrierNAT hat, ist DoppelNAT eh kein Thema mehr, weil eh egal.
Und natürlich gibt es auch da Lösungen...
Kommt aber auch wieder drauf an#, wie man die FB aktuell nutzt. DECT, POTS, wieviele Nummern/Geräte etc...
Das kann mit ner nonFB Lösung schon "nervig" werden, kann aber auch absolut kein Problem sein.

Ich würde mir, wie gesagt, mal die ganzen Optionen genauer anschauen, Vids schauen, belesen etc., erstmal aus Netzwerksicht.
Man sollte nicht vergessen, dass man in aller Regel noch nen DSL-Modem braucht. Klar, kann man alles kaufen, muss man dann aber auch tun...
Auch das Telefon sollte man sich dann separat anschauen, angefangen bei einem einfachen VoIP-Adapter bis hin zum Luxus Video-Telefon...
Aber auch hier könnte man die FB als VoIP Gateway nach einem neuen Router verwenden.

Viele Wege führen nach Rom.
 
Ich würde dir empfehlen, sich ggf. einen Rechner zu schnappen, am besten mit 2 NICs und dort dann mal PFSense zum Spielen drauf machen. Damit rumtesten und rummachen und bewerten, ob das was für einen ist.
Wenn das so hinhaut, von der Interaktion und Features (und eben dann auch die Kombi aus beidem) dann kann man überlegen, wie man das macht. Dazu gibt es im Serverbereich nen Thread, wo auch kleine, "günstige", stromsparende HW aus China diskutiert wird, dort dann auch direkt mit 4 Ports, so dass man ggf. sogar Sachen phy. trennen kann.
Ich habe hier einen EXSi-Backup Server (4 Onboard NICs) bei dem ich noch 3 NICs nutzen könnte.
Das ist eine gute Idee, dann werde ich am Feiertag mal die PFSense installieren.
Oft wird auch noch OPNSense empfohlen ... ist das einfacher von der Konfiguration her?

Eine Frage noch zur Sicherheit:
Solange ich die Fritzbox lasse wie sie ist und die VM mit der Firewall verbinde kann nicht passieren, weil die Fritzbox alle zum Internet weiterhin abschottet?
Also LAN1,LAN2 oder LAN3 auf den konfigurierten WAN-Port der Sense und dann weiter in die Geräte oder auf die kleinen Testswitches. LAN4 ist bei meiner Fritz der Gast-LAN-Port.
 
Ich habe hier einen EXSi-Backup Server (4 Onboard NICs) bei dem ich noch 3 NICs nutzen könnte.
Das ist eine gute Idee, dann werde ich am Feiertag mal die PFSense installieren.
Oft wird auch noch OPNSense empfohlen ... ist das einfacher von der Konfiguration her?
Würde ich jetzt nicht sagen und die Erweiterbarkeit ist auch eher mau verglichen mit OpenWRT.
Eine Frage noch zur Sicherheit:
Solange ich die Fritzbox lasse wie sie ist und die VM mit der Firewall verbinde kann nicht passieren, weil die Fritzbox alle zum Internet weiterhin abschottet?
Also LAN1,LAN2 oder LAN3 auf den konfigurierten WAN-Port der Sense und dann weiter in die Geräte oder auf die kleinen Testswitches. LAN4 ist bei meiner Fritz der Gast-LAN-Port.
Wenn die Fritzbox uptodate ist sollte sie keine Firewall aktiv haben für das Delegierte Prefix, daher die RouterVM laufen lassen und da dann die Firewall dieser RouterVM ausschalten wäre eher nicht empfehlenswert, allerdings musst du das dann schon mutwillig verbocken, weil das nichts ist was mal eben aus versehen passiert.
 
Eine Frage noch zur Sicherheit:
Solange ich die Fritzbox lasse wie sie ist und die VM mit der Firewall verbinde kann nicht passieren, weil die Fritzbox alle zum Internet weiterhin abschottet?
Also LAN1,LAN2 oder LAN3 auf den konfigurierten WAN-Port der Sense und dann weiter in die Geräte oder auf die kleinen Testswitches. LAN4 ist bei meiner Fritz der Gast-LAN-Port.
Wenn die Fritzbox uptodate ist sollte sie keine Firewall aktiv haben für das Delegierte Prefix, daher die RouterVM laufen lassen und da dann die Firewall dieser RouterVM ausschalten wäre eher nicht empfehlenswert, allerdings musst du das dann schon mutwillig verbocken, weil das nichts ist was mal eben aus versehen passiert.
@eehm ...damit ist die iv6 Firewall der Fritz gemeint. Auf der ipv4-Seite ist die normale Firewall mit NAT aktiv.
Du könntest zum testen also auch in der Fritz im Heimnetz und dann in der VM ipv6 zunächst ausschalten und nur mit ipv4 starten.
Einem VLAN ist der IP-Layer erstmal egal.
Das Ganze natürlich unter der Vermutung, das Du bisher auch noch kein ipv6 im Heimnetz eingesetzt....Fritz und O2 als Provider sind ja "im Bestand".
Das Gastnetz/LAN4 wäre als Test-WAN doch eigentlich prädestiniert...so kann die Fritz immer noch etwas normales, altes Heimnetz liefern, während Du testest...hat vielleicht einen WAF ;-) Weitere Gäste an der Fritz (WLAN) sollten voneinander normalerweise isoliert sein....das LAN4 gehört also nur dem WAN der VM.


Das ist eine gute Idee, dann werde ich am Feiertag mal die PFSense installieren.
Oft wird auch noch OPNSense empfohlen ... ist das einfacher von der Konfiguration her?
Ich glaube OPNsense basiert auf dem moderneren FreeBSD und ich würde das nehmen.
OpenWRT gibt es dann auch für x86...würde ich auch probieren, wie @TheBigG schon sagte.
P.S: von Mikrotik gibt es den CHR (RouterOS als Cloud Hosted Router) ...eine VM braucht nur 256MB RAM und 1GB Disk ... Testlizenz 30 Tage, danach fällt die auf 10MBit zurück ;-)
-> https://mikrotik.com/download
P.P.S: für ne RouterVM immer echte NICs durchschleifen
 
Also der VM mittels Passthrough übergeben meinst du?
Ja, wenn das Intel NICs sind. OPNsense und CHR sollten auch mit virtio (das ist aber KVM und kein ESXi) gehen, zur Not...bei openWRT weiss ich es nicht.
Durch den passthrough bist Du dann relativ sicher, dass da kein virtueller Switch und andere VMs, Container dran lauschen.
 
Bei mir läuft OpenWRT auch als VM auf Proxmox und das seit Jahren ohne Probleme.
Ahh ok, danke für den Hinweis. Dachte OpenWRT wäre eher für den Lauf auf Routern gemacht wie vor Jahren auf den alten Linksys.
Aber super, dann weiß ich Bescheid.

Durch den passthrough bist Du dann relativ sicher, dass da kein virtueller Switch und andere VMs, Container dran lauschen.
Danke für den Hinweis.
Hab grad im ESXi geschaut. Sind alle vier "I210 Gigabit Network Connection"
Einer ist halt belegt für die Anbindung des Servers, aber mit drei sollte ich auch erst mal zum Testen auskommen. :)
 
Bei solch einer Luxusausstattung, einfach rumtesten und auch mal ggf. non OpenWRT anschauen.
Wenn man dann auf den Geschmack gekommen ist, kann man das ggf. auf dedizierte HW setzen.
Das ist dann auch ne Geschmackssache. Ich würde den Router dediziert betreiben, muss aber jeder für sich sehen. Auch führen mal wieder viele Wege nach Rom.
 
Das ist dann auch ne Geschmackssache. Ich würde den Router dediziert betreiben, muss aber jeder für sich sehen. Auch führen mal wieder viele Wege nach Rom.
Ich traue VMs und wir haben in der Arbeit auch viele wichtige Sachen auf VMs laufen.
Aber am Ende würde ich meine Firewall wohl auch auf Blech aufsetzten, dann kann man den Server auch mal abschalten oder durch den Backup-Server ersetzen ohne die Firewall inkl. Routing zu verlieren.
Gehen tut aber sicher beides hervorragend. (y)
 
dann kann man den Server auch mal abschalten oder durch den Backup-Server ersetzen ohne die Firewall inkl. Routing zu verlieren.
Das ist genau der Punkt. Wer viel spielt, kann auch viel kaputt machen und wenn du dann wieder Brieftauben losschicken musst, dann nervt es. Auf der anderen Seite kostet es auch Geld und Strom...
Hat alles Vor- und Nachteile.
 
..da die Fritz *immer* NAT macht, auch wenn der Router dahinter "exposed Host" wird kann man das NAT im 2ten Router auch ausschalten. Man muss hat wissen was man tut.
Alternative, wenn eh ein 2ter Router ran soll und man die Konfig lernen muss, ist immer noch ein DSL-Modem und den Router für WAN und die Fritte für Telefonie in ein VLAN des Routers verbannen, wie oben schon gesagt.
Nochmals eine Frage hierzu.

Möglichkeit 1:
Mir erscheint es immer als sicherster Weg die Fritzbox als Modem und nicht benutzen Router am Telefonanschluss zu haben.
Dann geht man in einen anderen Router und nutzt hier den WAN-Port und schaltet im zweiten Router das NAT aus. Der Vorteil ist doch dann, dass der zweite Router meint er hat eine direkte Verbindung zum Internet aber in Wirklichkeit sichert die Fritzbox das "böse Internet" zu meinem Hausnetz noch sehr sicher ab.
Außerdem funktioniert die Telefonie an der Fritzbox wie gewohnt.

Möglichkeit 2:
Wenn ich jetzt ein reines DSL-Modem an den Telefonanschluss hänge und danach einen Router, dann ist jeder Konfigurationsfehler im Router doch ein offenes Scheunentor, oder?

Somit bitte für mich Netzwerk-Laien nochmals auf praktische Art erklärt, warum bis auf den Stromverbrauch die zweite Lösung die bessere wäre?
Bzw. wo hat die zweite Lösung ggf. noch große Vorteile?
 
Wozu brauchst Du denn VLANs? Du kannst auch mit einem VLAN-fähigen Switch für 30 EUR hinter der Fritte Sachen voneinander abschotten, dazu dann noch die Kindersicherung der FB. Ich sage das nur, weil deine Fragen doch eher sehr allgemeiner Natur sind und Du wirst dich durch so ein Projekt nicht komplett durchfragen können.
Ich betreibe eine pfSense-Firewall und habe mir alles "selbst" beigebracht, aber mich interessiert auch das Thema Netzwerk irgendwie. Ich bin aber auch der Meinung, dass das eigentlich niemand zuhause wirklich braucht. :-)
 
Wozu brauchst Du denn VLANs?
Ich würde gerne folgendes erreichen, ohne später Kabel umstecken zu müssen.
Ich verbinde alle Netzwerkdosen und Außenanschlüsse vom Patchpanel mit dem Switch.
Egal welches Gerät ich dann wo auch immer per Kabel anstecke, wird per MAC-Regel in das entsprechende VLAN eingruppiert.

Bei den angeschlossenen WLAN-Accesspoints wird für jedes VLAN eine separate SSID zum Logging angeboten.
Bei den Accesspoints wird man natürlich gewisse Ports fest definieren müssen, weil diese als Trunk-Port zu konfigurieren sind, aber die Accesspoints steckt man ja so und so nicht wild umher. :)
 
Nochmals eine Frage hierzu.

Möglichkeit 1:
Mir erscheint es immer als sicherster Weg die Fritzbox als Modem und nicht benutzen Router am Telefonanschluss zu haben.
Dann geht man in einen anderen Router und nutzt hier den WAN-Port und schaltet im zweiten Router das NAT aus. Der Vorteil ist doch dann, dass der zweite Router meint er hat eine direkte Verbindung zum Internet aber in Wirklichkeit sichert die Fritzbox das "böse Internet" zu meinem Hausnetz noch sehr sicher ab.
Ein "normaler" 2ter Router mit dediziertem WAN interface wird eh nochmal NAT machen.
Das man es ausschalten kann, weil die Fritz eh immer NAT macht (alles ipv4 wohlgemerkt) macht es nicht sicherer oder unsicherer.
Du willst eine DMZ einrichten...dann musst Du die Firewall durchlöchern...NAT hin oder her.
Außerdem funktioniert die Telefonie an der Fritzbox wie gewohnt.
...die funktioniert genauso gut/schlecht hinter einem Router mit ihrer Telefonie.
Siehe zB hier: https://avm.de/service/wissensdaten...ox-fur-Betrieb-mit-anderem-Router-einrichten/

Möglichkeit 2:
Wenn ich jetzt ein reines DSL-Modem an den Telefonanschluss hänge und danach einen Router, dann ist jeder Konfigurationsfehler im Router doch ein offenes Scheunentor, oder?
Bei ipv6 sowieso in beiden Varianten, denn die Fritz hat keine ipv6 Firewall...das hatten wir weiter oben.
Bei ipv4, wenn der 2te Router exposed Host ist (siehe meine Anmerkung zur DMZ), dann trifft das auch auf den 2ten Router zu.
Um sowas aufzubauen musst Du einfach wissen, wie Routing funktioniert, wie Pakete durch ne Firewall fliessen und zB was connection states sind.
Wenn Du da ängstlich bist ist das OK, aber wenn Du nicht weisst, was Du tust und auch nicht weisst wie Du eine Konfig testest, ob sie offen wie ein Scheunentor ist, dann lass es lieber ganz
Das kann man mMn nicht durch Fragen oder YT-Videos lernen.

Somit bitte für mich Netzwerk-Laien nochmals auf praktische Art erklärt, warum bis auf den Stromverbrauch die zweite Lösung die bessere wäre?
Bzw. wo hat die zweite Lösung ggf. noch große Vorteile?
Die zweite Lösung nimmt die Fritz nur als Telefonserver hinter den Router und Du hast mit dem Router nur eine Stelle, die Du Firewall/IP-technisch beherrschen/konfigurieren musst.
Lösung 1 wird immer irgendwann zu einer hybriden Konfig.
Daher ist die zweite weniger anfällig für User Error, weil weniger komplex/dem Standard entsprechend.
my 2 cents.
 
Du willst eine DMZ einrichten...dann musst Du die Firewall durchlöchern...NAT hin oder her.
Naja auf die DMZ könnte ich wohl zur Not auch verzichten. Dann muss halt das VPN der Fritzbox ausreichen.

Wenn Du da ängstlich bist ist das OK, aber wenn Du nicht weisst, was Du tust und auch nicht weisst wie Du eine Konfig testest, ob sie offen wie ein Scheunentor ist, dann lass es lieber ganz
Das kann man mMn nicht durch Fragen oder YT-Videos lernen.
Ein wahres Wort. Auch wenn es bitter ist.
Es gibt wahrscheinlich auch kein zu empfehlendes Buch, das smir viele Basics näher bringt, dass ich sowas ggf. am Ende selbst testen könnte?
Weil ohne es testen zu können, ist es wie du sagst eigentlich ein Witz! :(

Die zweite Lösung nimmt die Fritz nur als Telefonserver hinter den Router und Du hast mit dem Router nur eine Stelle, die Du Firewall/IP-technisch beherrschen/konfigurieren musst.
Lösung 1 wird immer irgendwann zu einer hybriden Konfig.
Daher ist die zweite weniger anfällig für User Error, weil weniger komplex/dem Standard entsprechend.
my 2 cents.
OK, das leuchtet ein, aber dann muss man leider wissen was man tut und noch wichtiger man muss testen können, ob das gemachte auch passt! :)
 
Egal welches Gerät ich dann wo auch immer per Kabel anstecke, wird per MAC-Regel in das entsprechende VLAN eingruppiert.
Das ist zwar keine Antwort auf meine Frage, aber das, was Du da möchtest, kann längst nicht jedes Gerät.
 
Es gibt wahrscheinlich auch kein zu empfehlendes Buch, das smir viele Basics näher bringt, dass ich sowas ggf. am Ende selbst testen könnte?
Weil ohne es testen zu können, ist es wie du sagst eigentlich ein Witz! :(
Ganz wichtig, mMn ist es auch die Terminologie zu verstehen. Da ist dann die Beherrschung der angelsächsischen Sprache Pflicht, wenn man was lernen und verstehen will.
In meinem Zeitalter, ohne YT und Co, waren die Bücher von O'Reilly Pflichtlektüre.
Mit ner Linux VM kann man da vieles nachbauen und ausprobieren, da immer echte Beispiele dabei sind.
Darum mag ich Mikrotik...ist Linux und die Help-Seiten sind wirklich sehr ausführlich.
...ist aber beides eben nicht Jedermanns Welt.

Ein guter Basis-Test war/ist mMn immer noch der "Shields Up!" Test von GRC: https://www.grc.com/x/ne.dll?bh0bkyd2
 
Hier ist die Webseite "meines" Routers.
http://eu.draytek.com:13910/
Dein Router ist ja ein wahres Monster. :d
Aber ich habe mir heute auch mal die DrayTek Modem Router angesehen.
Die Serie 2756 und 2865 scheinen sehr interessant zu sein. Integriertes Modem, VLAN-fähig, Firewall, diverse VPN-Möglichkeiten, uvm.
Vigor2765/2766 Serie
Vigor2865/2866 Serie
Kann jemand zu diesen Geräten eine Erfahrung abgeben.
Wäre das für einen Laien mit Willen was zu Lernen vielleicht eine Lösung um Möglichkeiten zu haben und dennoch sicher unterwegs zu sein?
Darf ich mir diese Geräte von der Sicherheit der Firewall per default ähnlich sicher vorstellen wie eine Fritzbox oder muss man hier selbst Hand an der Firewall anlegen, dass das Gerät sicher wird?
Also ich spreche hier von einem kompletten Ersatz der Fritzbox durch so ein Gerät und die Fritz fliegt raus ;)
 
blöde Frage, kann man die modernen Fritzboxen nicht mehr als DSL Modem nutzen und einfach eine nachgeschaltete Firewall die Internetverbindung via PPPOE-Passtrough aufbauen lassen?
 
blöde Frage, kann man die modernen Fritzboxen nicht mehr als DSL Modem nutzen und einfach eine nachgeschaltete Firewall die Internetverbindung via PPPOE-Passtrough aufbauen lassen?
Würde ich auch vorschlagen. So ist man technologieunabhängig. Geht man auf Cable, anderes Modem (und andere Config), geht man auf LWL, anderes Modem (und andere Config).
Klar ist dann ein separates Modem notwendig. Wobei ich glaube, dass das bei der FB in den aktuellsten Versionen nicht mehr ging!?
Aber DSL-Modems findet man etliche am Markt.


Ich habe ein paar 2925n als "Kleinrouter". Ähnlich stabil, wenngleich schon sehr alt und daher nicht mehr die neuste Plattform, damit weniger Features und auch weniger Power. Die machen irgendwo bei ~300MBit/s im NAT zu... Einer davon wurde früher auch an DSL betrieben...

Da die Fritzbox keine Firewall integriert hat, kann man die Drayteks nicht wirklich vergleichen.
Das, was du unter Firewall verstehst, ist ein NAT. Das ist aber nicht im entferntesten eine Firewall. Dass Verkehr, der von außen initiiert wird, nicht nach innen kommt, ist eine Eigenheit des NATs und hat nichts mit einer Firewall zu tun. Und diese Eigenheit hat jeder Router, der im NAT-Modus betrieben wird, ja, auch die 10EUR Teile.
Das liegt, wie gesagt, nicht an den Geräten, sondern an der Funktionsweise von NAT.

Ansonsten kannst du auf den Drayteks "Firewalling" machen. Das ist aber eher ein Layer4 Paketfilter denn eine Firewall. (schaue dazu in dem Link oben einfach mal unter dem Reiter "Firewall")

PS: Und natürlich muss es kein 3910 sein, das ist dann, in aller Regel, etwas drüber.
Beitrag automatisch zusammengeführt:

Wozu brauchst Du denn VLANs? Du kannst auch mit einem VLAN-fähigen Switch für 30 EUR hinter der Fritte Sachen voneinander abschotten, dazu dann noch die Kindersicherung der FB.
Wie willst du das machen?
1. ein VLAN fähiger Switch, macht erstmal nur VLANs. Aber wie kommt man zwischen einzelnen VLANs hin und her? Dazu braucht es einen Router. Und nein, die FB kann dafür nicht hernehmen. (diese Pseudo Gast-Netz vergessen wir mal ganz schnell wieder)
2. VLANs setzen also Router voraus, sonst kann man zwischen verschiedenen Subnetzen nicht vermitteln. Das kann ein Switch mit (einfacher) L3-Funktion sein. Der macht dann InterVLAN-Routing.
3. Mit InterVLAN-Routing kann erst mal jeder mit jedem anderen Teilnehmer sprechen, egal in welchem VLAN er ist. Das mal die L3-Funktion ganz stumpf.
4. Jetzt könnte man mit ACLs anfangen. So weit zu gut, jetzt kann man damit in aller Regel nur IP zu IP unterbinden. Man kann aber nicht festlegen, dass IP A zwar auf HTTP IP B kann, aber nicht auf die Pornosammlung, die via SMB erreichbar ist.
5. Es braucht also irgendeine Komponente, die min. TCP/UDP Ports versteht. Besser wäre ne Komponente, die auch Protokolle versteht.
6. Wie nennt man solche Geräte? Richtig, Firewalls. Im Idealfall kann die Firewall auch gleich das Routing, dann kommen alle Netze eh bei ihr an und die kann dann gleich eingreifen, wenn etwas passendes dabei ist.
 
Zuletzt bearbeitet:
Das, was du unter Firewall verstehst, ist ein NAT. Das ist aber nicht im entferntesten eine Firewall. Dass Verkehr, der von außen initiiert wird, nicht nach innen kommt, ist eine Eigenheit des NATs und hat nichts mit einer Firewall zu tun. Und diese Eigenheit hat jeder Router, der im NAT-Modus betrieben wird, ja, auch die 10EUR Teile.
Vielen Dank für diese Aussage. Damit ist mir jetzt vieles klarer geworden. (y)
Ich habe mich gestern hier etwas eingelesen und verstehe jetzt NAT und somit auch die Misere damit im generellen.
Hier darf zwar jedes Gerät alles ins Internet senden, aber von außen kommt man nicht über die "NAT-Barriere".

Das heißt am Ende bleiben mir nur die folgenden Optionen, wenn ich mir die Konfiguration und das Testen einer "Firewall" nicht vollständig zutraue.
  1. Fritzbox und nachgeschalter VLAN-Router+Switch(L2):
    Vorteil: sehr sicher und keine großen Fehler möglich, da die Fritz Box noch das NAT macht und man im ipv4-Bereich bleibt
    Nachteil: Doppel-NAT und zwei Router
  2. Modem und VLAN-Router mit aktivem NAT+Switch(L2):
    Vorteil: kein Doppel-NAT, nur ein Router
    Nachteil: Ich muss sicherstellen können, dass NAT aktiv ist und der Router von außen her erst mal dicht ist
  3. Fritzbox und nachgeschalteter Switch(L3)
    Vorteil: nur ein Router und der Rest wird im L3-Switch gemacht (ähnlich eines Routers), Sicherheit wie bei Punkt 1
    Nachteil: ggf. Performance geringer und L3-Switch ziemlich teuer

Ich denke das sollten alle Möglichkeiten sein?
Oder habe ich etwas essenzielles und wesentlich sinnvolles vergessen?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh