[Problem] 2 Subnetze hinter einer Fritzbox: DMZ bzw. Exposed Host?

[JoJoA]

Hallo zusammen,

der Titel passt nicht genau, aber das Problem ist komplizierter:

Ich nutze den von Kabel-BW mitgelieferten Router von D-Link zum Herstellen der Internetverbindung, weil dieser, im Gegensatz zur F!B, die Einstellungsmöglichkeit in der Firewall bietet, dass die Mitglieder des Netzwerks nur über Port 400 und Port 4500 ins Internet dürfen (nämlich über vpn ins Uninetzwerk; der Internetzugang ist nur [auf eigene Verwantwortung] über den vpn-Client des Uninetzwerks möglich).

Dahinter als NAT-Router ist die F!B 7390 eingerichtet, weil die eine vpn-Verbindung zu einem anderen Netzwerk herstellt (Portforwardings, Firewallfreigaben etc. im D-Link-Router sind eingerichtet).


Die eigentlichen Netzwerkuser sitzen alle hinter der Fritzbox und kommen nur über den Uni-vpn-Client ins Internet.
Jetzt brauche ich aber für einen User die Möglichkeit ohne vpn ins Internet zu kommen.
Wie kann ich das realisieren?


Ich kann den User nicht einfach hinter der D-Link klemmen. Das gibt die Verkabelung nicht her.

Wenn ich den User als Exposed Host einrichte: Könnte ich dann im D-Link eine Firewallregel (Freischaltung mit Zugang auf alles[ohne vpn]) für die IP-Adresse des Exposed Hostes aus dem Subnet der Fritzbox erstellen oder "sieht" der D-Link auch bei Exposed Hostes nur die IP-Adresse der WAN-Schnittstelle der Fritzbox?


Vielen Dank
JoJo

 

[chked]

Schau dir mal die neueste Labor-Firmware für die Fritzbox an. Dort kann man über Kindersicherung/Filter explizit einzelne Ports sperren/freigeben.

 

[JoJoA]

Vielen Dank.
Bei AVM steht:
"Kindersicherung: erweitert um Filter für Internetseiten und -anwendungen."
Mal sehen, was das genau bedeutet.
Evtl. kann ich dann den D-Link-Router ganz weglassen. Das würde das Netzwerk sowieso vereinfachen. Zur Not könnte ich die Port-basierte Begrenzung auf vpn im D-Link in der Fritzbox dann auch über die Uni-IPs machen, was dem gleichen Ziel nahe käme.

Werde das heute Abend testen und melde mich dann wieder.

 

[chked]

Hier mal ein Beispiel meiner "erweiterten Kindersicherung".

Man sieht, dass sich beliebige Portbereiche sperren lassen, damit sollte dein Vorhaben gelingen.

 

[JoJoA]

Ich jetzt die Firmware probiert, aber bei mir tut sich gar nichts:
- Ich habe probiert für alle Netzwerkclients, für die keine "Kinderregeln" festgelegt sind, den Internetzugang zu sperren. Der Internetzugang ging trotzdem.
- Ich habe probiert eine "Netzwerkanwendung" zu erstellen, die zuerst mal alle TCP und UDP Ports sperrt und diese bei einem Netzwerkclient als Sperre aktiviert. Der Internetzugang ging trotzdem.
- Ich habe die Whitelist und Blacklist probiert, aber auch die hatten keinen Einfluss (habe es natürlich ohne vpn-Tunnel getestet).


Scheinbar greift die gesamte Kindersicherung nicht. Muss man in der Labor-Firmware die irgendwie gesondert aktivieren?

 

[JoJoA]

Mir ist noch etwas eingefallen:
Ich habe ebenso probiert ein Zeitkontingent der Netzwerkclients einzurichten. Das hatte auch keinen Einfluss, der Internetzugang funktionierte weiterhin.

Kann es sein, dass die F!B für die gesamte Kindersicherung, wieso auch immer, eine Synchronisation mit dem Timeserver machen muss? Bei der Erstinstallation der F!B hatte sie zwar komplett Zugriff auf das Internet, aber jetzt nicht mehr, weil ja im D-Link-Router nur Port 400 und Port 4500 durchgelassen werden.

 

[chked]

Kann es sein, dass die F!B für die gesamte Kindersicherung, wieso auch immer, eine Synchronisation mit dem Timeserver machen muss?

Denkbar ist das schon, da die Kindersicherung ja auch eine (Uhr)Zeitbegrenzung hat. Aber das müsste sich leicht testen lassen, wenn du im D-Link alle Ports öffnest.

 

[JoJoA]

Tut mir leid, dass ich nur so zäh antworte, aber ich habe fast immer nur abends Zeit das zu testen.
Habe erst probiert die F!B ein par Mal neu zu starten, das habe ich hier gelesen:
http://www.netzwelt.de/forum/dsl-netzwerk-technik/66009-geloest-fritzbox-7270-kindersicherung.html
Hat aber nichts gebracht, Kindersicherung ging immer noch nicht.
Dann habe ich den D-Link-Router entfernt und die F!B direkt ans Kabelmodem angeschlossen.
Hat aber nichts gebracht, Kindersicherung ging immer noch nicht.

Dann habe ich die F!B noch ein par mal neu gestartet, irgendwann ging es dann ohne ersichtlichen Grund.
Ist das bei den Labor-Firmware ein bekanntes Problem?


Jetzt ist aber das Problem, dass die vpn-Verbindung nicht mehr vollständig funktioniert:
Die F!B stellt die vpn-Verbindung her und von den Clients aus kann ich auch das Zielnetzwerk anpingen, aber eine Verbindung zu den Netzlaufwerken ist nicht möglich. Auch ein Netzwerkzugriff (bspw. über \\192.168.0.2) über die Netzwerkumgebung ist nicht möglich, war aber vorher möglich.
Muss man evtl. noch zusätzliche Ports freischalten? Habe jetzt zwischen Port 1 und Port 65535 nur 500 und 4500 freigeschaltet, damit die Netzwerkclients den vpn-Client der Uni nutzen können.
(In meinem ersten Post habe ich übrigens fälschlicherweise Port 450 anstelle von 500 geschrieben).

 

[JoJoA]

Ich wollte noch mal fragen, weil ich ab Donnerstag wieder in der Stadt bin, um etwas umzustellen:

Die vpn-Verbindung funktioniert nicht mehr:
Die F!B stellt die vpn-Verbindung her und von den Clients aus kann ich auch das Zielnetzwerk anpingen, aber eine Verbindung zu den Netzlaufwerken ist nicht möglich. Auch ein Netzwerkzugriff (bspw. über \\192.168.0.2) über die Netzwerkumgebung ist nicht möglich, war aber vorher möglich.
Muss man evtl. noch zusätzliche Ports freischalten? Habe jetzt zwischen Port 1 und Port 65535 in der Kindersicherung nur Port 500 und Port 4500 freigeschaltet, damit die Netzwerkclients den vpn-Client der Uni nutzen können.
(In meinem ersten Post habe ich übrigens fälschlicherweise Port 450 anstelle von 500 geschrieben).

Vielen Dank für Beiträge.

 

[JoJoA]

Habe es jetzt gelöst:
Man musste noch TCP Port 445 freischalten. Jetzt funktioniert auch der Netzwerkzugriff.
Ping hat meiner Meinung nach funktioniert, weil ICMP gar nicht geblockt wird.