[Frage] DMZ auf Fritzbox 7360?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
P

ponderto

Neuer User
Mitglied seit
16 Jan 2010
Beiträge
26
Punkte für Reaktionen
1
Punkte
3
Hallo allerseits,

ich moechte auf meiner Fritzbox 7360 (OS 06.20 international) gerne eine DMZ einrichten. Im Freetz-Wiki habe ich dafuer dieses Howto gefunden.

http://freetz.org/wiki/help/howtos/security/router_and_firewall

In diesem steht, dass es mit der 7050 bzw. allen Routern funktioniert, "so lange sie mit Linux laufen, iptables und 2 getrennt ansprechbare Netzwerkschnittstellen haben.". Ist dieses Howto und diese Aussage noch aktuell oder gibt es irgendwo ein neueres? Das verlinkte ist ja schon ueber 6 Jahre alt.

Mein Ziel ist es, ein Subnetz fuer mein LAN (LAN1 und WLAN) und ein Subnetz fuer die DMZ (LAN2, LAN3 und LAN4) einzurichten. Die Fritzbox ist noch jungfraeulich ;) und bevor ich mich mit Freetz beschaeftige und installiere, wuerde ich gern wissen, ob es ueberhaupt geht.

Danke schonmal
ponderto
 
Geht leider nicht. Man kann die Switch-Ports bei neueren Fritzboxen nicht "auftrennen".
 
Whoopie schrieb:
Geht leider nicht. Man kann die Switch-Ports bei neueren Fritzboxen nicht "auftrennen".
Zum Vergrößern anklicken....
Ich weiß nicht, ob ich das "auftrennen" falsch verstehe, aber bei der 7490 (die sollte analog zur 7360 sein, wenn "neuere FRITZ!Boxen" auf VR9 hinausläuft) läßt sich über eine passende Konfiguration im Abschnitt "brinterfaces" der ar7.cfg schon eine weitere Bridge konfigurieren, in der dann z.B. eth0/1 und eth2/3 (oder auch anders, das Gastnetz arbeitet ja im Prinzip genauso und wäre bei solchen Änderungen aber ein "NoGo", da beim Ein-/Ausschalten die Bridges gleich noch einmal neu konfiguriert werden) zu einem getrennten Netz zusammenfassen lassen.

Das führt zwar noch nicht dazu, daß diese dann intern nicht mehr gegenseitig sichtbar sind und daß die FRITZ!Box nicht zwischen diesen Netzen routet, aber da der avm_pa ja bei lokalen Verbindungen meines Wissens nicht involviert ist und man für das Blockieren keine conntrack-Module braucht, müßte hier mit iptables nach meinem Verständnis eigentlich eine "Sperre" zwischen diesen zwei verschiedenen lokalen Netzen zu realisieren sein.

Ob allerdings mit 06.20 und der verbesserten Plausibilitätskontrolle für Routen und Portfreigaben unterschiedliche Freigaben in beide Netze möglich sind, habe ich noch nie getestet. Auch wenn man die Abschottung dann durch passendes Umkonfigurieren wieder aufheben kann, als "DMZ für Arme" könnte das tatsächlich funktionieren nach meinem (theoretischen) Verständnis. Der Betrieb mit zwei getrennten LANs ist getestet, die iptables-Sperre zur Trennung nicht, genauso wenig wie Freigaben in das zweite LAN.
 
PeterPawn schrieb:
Ich weiß nicht, ob ich das "auftrennen" falsch verstehe, aber bei der 7490 (die sollte analog zur 7360 sein, wenn "neuere FRITZ!Boxen" auf VR9 hinausläuft) läßt sich über eine passende Konfiguration im Abschnitt "brinterfaces" der ar7.cfg schon eine weitere Bridge konfigurieren, in der dann z.B. eth0/1 und eth2/3 (oder auch anders, das Gastnetz arbeitet ja im Prinzip genauso und wäre bei solchen Änderungen aber ein "NoGo", da beim Ein-/Ausschalten die Bridges gleich noch einmal neu konfiguriert werden) zu einem getrennten Netz zusammenfassen lassen.
Zum Vergrößern anklicken....

Hat mich auch gewundert, dass es nicht gehen sollte, da LAN 1,2 1GBit/s und LAN 3,4 100MBit/s Ports sind. So sollten zumindest diese Paare physisch verschiedene Ports sein.

Aber wenn das Routing und Forwarding noch keiner der erfahrenen Nutzer getestet hat, lass' ich vielleicht erstmal die Finger davon. Das Netz muss laufen, ich habe maximal ein paar Stunden Zeit zum basteln.

Ich habe die mal testweise fuer ein paar Tage eine DMZ mit meiner alten 7290 hinter der 7360 eingerichtet. Das groesste Problem ist aber, dass diese nur einen GBit-Port hat und damit der Zugriff vom LAN in die DMZ ziemlich "lahm" ist. Ausserdem scheint diese Box noch andere Probleme ( z.B. WLAN) zu haben. Ich habe diese nicht umsonst vor einiger Zeit gegen die 7360 ausgetauscht. Aber vielleicht benutze ich diese zum Ausprobieren von Freetz und kann meine Erfahrungen dann schneller auf die 7360 umsetzen...
 
ponderto schrieb:
... da LAN 1,2 1GBit/s und LAN 3,4 100MBit/s Ports sind. So sollten zumindest diese Paare physisch verschiedene Ports sein.
Zum Vergrößern anklicken....
Interessanterweise nein, es sind tatsächlich alle 4 Ports direkt vom SoC "versorgt", allerdings ist im SoC (Lantiq VRX288 aka VR9) lediglich für die Ports 1 und 2 ein GbE-PHY integriert. Bei der 7490, 3370 usw. kommen deshalb auf dem PCB separate GbE-PHYs für die LAN-Ports 3 und 4 zum Einsatz.

ponderto schrieb:
Ich habe die mal testweise fuer ein paar Tage eine DMZ mit meiner alten 7290 hinter der 7360 eingerichtet. Das groesste Problem ist aber, dass diese nur einen GBit-Port hat...
Zum Vergrößern anklicken....
:confused: Es gibt weder überhaupt eine 7290 noch eine 7270 oder 7360 die lediglich einen GbE-Port hat sondern entweder 2 oder gar keinen. Soweit ich weiß gibt es lediglich die 7330 welche nur einen GbE-Port besitzt.
 
qwertz.asdfgh schrieb:
:confused: Es gibt weder überhaupt eine 7290 noch eine 7270 oder 7360 die lediglich einen GbE-Port hat sondern entweder 2 oder gar keinen. Soweit ich weiß gibt es lediglich die 7330 welche nur einen GbE-Port besitzt.
Zum Vergrößern anklicken....
Mein Fehler, es ist eine 7270 und wie ich darauf gekommen bin, dass LAN1 1Gbit/s ist, weiss ich auch nicht mehr :confused:
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 834 (Mitglieder: 40, Gäste: 794)

Neueste Beiträge

Statistik des Forums

Themen
244,869
Beiträge
2,219,849
Mitglieder
371,589
Neuestes Mitglied
pcmodum
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück