.titleBar { margin-bottom: 5px!important; }

7490 - Ethernet-Ports auftrennen (Astaro UTM9)

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von LaCruz, 17 Okt. 2014.

  1. LaCruz

    LaCruz Neuer User

    Registriert seit:
    29 Juni 2005
    Beiträge:
    15
    Zustimmungen:
    1
    Punkte für Erfolge:
    3
    #1 LaCruz, 17 Okt. 2014
    Zuletzt bearbeitet: 11 Dez. 2014
    7490 - Ethernet-Ports auftrennen

    An einer 7490 hängt die Astaro Firewall. Um die Funktionen der Fritzbox zu nutzen sollen die Ports eth0..3 und wlan getrennt konfiguriert werden (siehe Schaubild).

    Kann das so funktionieren mit den Änderungen der ar7.cfg? Hat es Nachteile/Probleme?


    Code:
    						
                            eth0
    DSL --- FritzBox 7490  ------ Astaro UTM9 -------- Switch ----- PC1
                 | |                                     | ||------ PC2
                 | |eth3                                 | |------- ...
                 | |-------------------------------------|
                 |
                 |-wlan <<<< SSID 1>>>> wireless Clients (dhcp via Astaro)
                        <<<< SSID 2>>>> wireless Clients 
    
    Modifizierte ar7.cfg:

    Code:
    		
    		ethinterfaces {
                    name = "eth0";
                    dhcp = no;
                    ipaddr = 192.168.178.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 192.168.178.250;
                    dhcpend = 192.168.178.254;
                    no_dnsd_static = no;
                    is_guest = no;
                    is_hotspot = no;
            } {
                    name = "eth0:0";
                    dhcp = no;
                    ipaddr = 169.254.1.1;
                    netmask = 255.255.0.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    no_dnsd_static = no;
                    is_guest = no;
                    is_hotspot = no;
            } {
                    name = "wlan";
                    dhcp = no;
                    ipaddr = 192.168.182.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    no_dnsd_static = no;
                    is_guest = no;
                    is_hotspot = no;
            } {
                    name = "eth3";
                    dhcp = yes;
                    ipaddr = 0.0.0.0;
                    netmask = 0.0.0.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = no;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    no_dnsd_static = no;
                    is_guest = no;
                    is_hotspot = no;
            }
            brinterfaces {
                    name = "lan";
                    dhcp = no;
                    ipaddr = 192.168.178.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "eth0", "eth1", "eth2", "plc";
                    dhcpenabled = yes;
                    dhcpstart = 192.168.178.250;
                    dhcpend = 192.168.178.254;
                    no_dnsd_static = no;
                    is_guest = no;
                    is_hotspot = no;
            } {
                    name = "lan2";
                    dhcp = yes;
                    ipaddr = 0.0.0.0;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "eth3", "wlan";
                    dhcpenabled = no;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    no_dnsd_static = no;
                    is_guest = no;
                    is_hotspot = no;
            } {
                    name = "lan:0";
                    dhcp = no;
                    ipaddr = 169.254.1.1;
                    netmask = 255.255.0.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    no_dnsd_static = no;
                    is_guest = no;
                    is_hotspot = no;
            } {
                    name = "guest";
                    dhcp = no;
                    ipaddr = 192.168.99.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "wlan_guest", "guest_ct*", "guest_st*";
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    no_dnsd_static = yes;
                    is_guest = yes;
                    is_hotspot = no;
            }
    
     
  2. LaCruz

    LaCruz Neuer User

    Registriert seit:
    29 Juni 2005
    Beiträge:
    15
    Zustimmungen:
    1
    Punkte für Erfolge:
    3
    Muss nochmal nachhaken, macht hier jemand aktiv etwas mit der Fritzbox?

    Würde die Anpassung funktionieren, hat es Nachteile?
     
  3. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,622
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Ich habe bei mir das LAN und das WLAN voneinander getrennt in einer 7490, mit folgendem ar7-Abschnitt:
    Code:
           brinterfaces {
                    name = "lan";
                    dhcp = no;
                    ipaddr = 192.168.xx0.1;
                    netmask = 255.255.255.240;
                    dstipaddr = 0.0.0.0;
                    interfaces = "eth0", "eth1", "eth2", "eth3";
                    dhcpenabled = yes;
                    dhcpstart = 192.168.xx0.2;
                    dhcpend = 192.168.xx0.14;
                    no_dnsd_static = no;
                    is_guest = no;
                    is_hotspot = no;
            } {
                    name = "homewlan";
                    dhcp = no;
                    ipaddr = 192.168.xx3.1;
                    netmask = 255.255.255.128;
                    dstipaddr = 0.0.0.0;
                    interfaces = "wlan", "plc";
                    dhcpenabled = yes;
                    dhcpstart = 192.168.xx3.2;
                    dhcpend = 192.168.xx3.126;
                    no_dnsd_static = no;
                    is_guest = no;
                    is_hotspot = no;
            } {
                    name = "lan:0";
                    dhcp = no;
                    ipaddr = 169.254.1.1;
                    netmask = 255.255.0.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    no_dnsd_static = no;
                    is_guest = no;
                    is_hotspot = no;
            } {
                    name = "guest";
                    dhcp = no;
                    ipaddr = 172.31.179.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "wlan_guest", "guest_ct*", "guest_st*";
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    no_dnsd_static = yes;
                    is_guest = yes;
                    is_hotspot = no;
            }
    
    Mit hoher Wahrscheinlichkeit und den richtigen Modifikationen: ja. Ich habe das auch schon für eth2 abgetrennt betrieben. Ich sehe bei Dir aber schon mal "eth3" in zwei verschiedenen Bridges ... das meine ich mit "richtigen" Modifikationen. Ob die Idee, der lan2-Bridge eine DHCP-Adresse von der Firewall zuweisen zu lassen, so überhaupt funktioniert, weiß ich nicht; ich kann auch den Grund dafür nicht nachvollziehen.

    Ja. (Ich nehme die Frage nur wörtlich. ;))

    Aus dem "Schaubild" werde ich beim besten Willen nicht schlau ... was ist eth4 an der FB7490 und wofür soll bitte diese direkte Verbindung zum Switch hinter der Firewall gut sein ?
     
  4. LaCruz

    LaCruz Neuer User

    Registriert seit:
    29 Juni 2005
    Beiträge:
    15
    Zustimmungen:
    1
    Punkte für Erfolge:
    3
    #4 LaCruz, 11 Dez. 2014
    Zuletzt bearbeitet: 11 Dez. 2014
    Die FritzBox 7490 dient zur Telefonie und als Internetversorgung für die Firewall (UTM9). eth4 ist der 4. Port (intern wohl eth3 - mein Fehler im Bild - geändert).

    Die UTM9 verteilt per DHCP Adressen. Die Rückkopplung eth3 - Switch stellt DHCP/Internet für WLAN über FB bereit.
    Die Ports eth3/wlan sollen von den anderen ports isoliert sein, sodaß Verkehr über UTM9 läuft.

    Danke, der eth3 Eintrag ist tatsächlich zu viel!

    :)


    Nach änder ar7.cfg wird nach reboot immer wieder der eth3 hinzugefügt....

    :-(
     
  5. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,622
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Die Idee habe ich ja soweit verstanden, aber der Einwand, daß die FRITZ!Box vermutlich die Adresse für die lan2-Bridge nicht per DHCP beziehen kann, bleibt bestehen.

    Selbst wenn sie es können sollte, würde ich nicht mit der "Maximalforderung" beginnen und erst einmal dieser neuen Bridge eine statische Adresse und eine eigene DHCP-Range mit einem getrennten Subnet zuweisen. Nach meiner Erfahrung ist es sinnvoller, die Änderungen schrittweise vorzunehmen und dann zu schauen, ob und wie lange es funktioniert. Der umgekehrte Weg (alle - teilweise ja auch nur vermuteten - Möglichkeiten einbauen und dann solange zurücknehmen, bis es wieder funktioniert) ist deutlich ineffektiver in meinen Augen ...

    Und woher sollen wir jetzt wissen, wie Du die Änderungen vorgenommen hast (am ehesten würde ich den FBEditor empfehlen, da ohnehin nach der Änderung an der Bridge mindestens ctlmgr und dsld neu gestartet werden müssen) ?

    Zweitens wäre es dann irgendwie wichtig zu wissen, ob das oben nun die Konfiguration vor oder nach dem Hinzufügen von eth3 sein soll bzw. wie Deine Wunschkonfiguration, die Dir von der Box wieder überschrieben wird, aussehen sollte. Wenn da Fehler drin sind, die die Box zur Übernahme der Standardeinstellungen veranlassen, mußt Du Dich nicht wundern, wenn die Änderungen rückgängig gemacht werden von der Box.
     
  6. LaCruz

    LaCruz Neuer User

    Registriert seit:
    29 Juni 2005
    Beiträge:
    15
    Zustimmungen:
    1
    Punkte für Erfolge:
    3
    FBEditor wurde verwendet und auch nvi.

    Es scheint zu funktionieren, jedoch taucht immer wieder eth3 auf?
     
  7. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,622
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Es muß nicht jeder gleich zur "Quasselstrippe" mutieren, aber mit dieser lapidaren Feststellung kann imho niemand (zumindest definitiv ich nicht) etwas anfangen.

    Eine mögliche Interpretation: Sei doch froh, wenn der eth3-Port sich nicht einfach durch eine Konfigurationsänderung "in Luft auflöst" und das dort eventuell eingesteckte Kabel dann nutzlos herumliegt ... wenn Du eine Box ohne eth3 haben willst, würde ich eine aus der "kleinen" Gruppe (x312) empfehlen, die haben m.W. weniger Ports.

    Wenn das bei Dir tatsächlich funktionieren sollte (so sieht die letzte von Dir hier angebotene Konfiguration jedenfalls aus), daß die FRITZ!Box für eine Bridge ihre eigene Adresse von der nachgeschalteten Firewall bezieht, wäre das zwar wirklich interessant ... aber diesen kleinen (aber feinen) Unterschied bestätigst Du ja auch gerade nicht und wie das am Ende zu "Es scheint zu funktionieren" kam, müssen alle anderen jetzt auch raten.

    "Fasse Dich kurz" ist sicherlich kein schlechter Rat ... aber das galt schon bei Telefonzellen eher dann, wenn der Nächste schon vor der Tür stand. "Lasse die anderen raten" ist ein schlechter Rat, wenn man das Rätsel nicht so interessant gestaltet, daß es den Leser gar nicht mehr losläßt und das ist Dir hier - zumindest für mich kann ich das sagen - definitiv nicht gelungen.

    Frohe Weihnachten ...
     
  8. LaCruz

    LaCruz Neuer User

    Registriert seit:
    29 Juni 2005
    Beiträge:
    15
    Zustimmungen:
    1
    Punkte für Erfolge:
    3
    #8 LaCruz, 27 März 2015
    Zuletzt bearbeitet: 27 März 2015
    Funktioniert Bridge eth3:wlan - WLAN Clients beziehen IP via UTM9.

    Code:
    brctl show
    bridge name     bridge id               STP enabled     interfaces
    lan             8000.0896d7b6666a       no              eth0
                                                            eth1
                                                            eth2
    lan2            8000.0896d7b6666a       no              eth3
                                                            wlan
    guest           8000.0896d7b6666a       no
    
     
  9. MdeWendt

    MdeWendt Neuer User

    Registriert seit:
    3 Mai 2005
    Beiträge:
    128
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo.

    Würde das theoretisch auch mit einer 7390 funktionieren?
    @LaCruz: funktioniert das jetzt mit der oben gezeigten ar7.cfg von dir oder musstest du noch etwas ändern? Ich möchte auch eine externe Firewall und UTM einschleifen.
    @PeterPawn: wenn ich DHCP an dem neuen Bridge Interface ausschalte, ist es aber doch trotzdem mit dem "Internet" verbunden oder? Oder findet das Routing ein Layer höher abhängig von der IP statt - und da keine IP kein Routing?


    Martin
     
  10. qwertz.asdfgh

    qwertz.asdfgh IPPF-Promi

    Registriert seit:
    18 Feb. 2011
    Beiträge:
    4,462
    Zustimmungen:
    60
    Punkte für Erfolge:
    48
    Nicht so wie hier gezeigt (und zwar >[post=2185822]deshalb[/post]<).
     
  11. Jäger25

    Jäger25 Neuer User

    Registriert seit:
    24 Okt. 2009
    Beiträge:
    14
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi
    ich habe deine Einstellungen übernommen, dennoch können sich beide Netze erreichen. Mein Ziel ist es aber beide Netze zu trennen. Heisst nur ein Router würde es ermöglichen die Verbindung zwischen den Netzen herzustellen. Ist es machbar?

    Habe die FB 7490 mit OS 6.60.
    Code:
           ethinterfaces {
                    name = "eth0";
                    dhcp = no;
                    ipaddr = 192.168.178.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = no;
                    dhcpstart = 192.168.178.70;
                    dhcpend = 0.0.0.0;
                    is_guest = no;
                    is_hotspot = no;
                    multicast_snooping = yes;
            } {
                    name = "eth0:0";
                    dhcp = no;
                    ipaddr = 169.254.1.1;
                    netmask = 255.255.0.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    is_guest = no;
                    is_hotspot = no;
                    multicast_snooping = yes;
            } {
                    name = "eth3";
                    dhcp = no;
                    ipaddr = 192.168.100.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 192.168.100.70;
                    dhcpend = 0.0.0.0;
                    is_guest = no;
                    is_hotspot = no;
                    multicast_snooping = yes;
            } {
                    name = "wlan";
                    dhcp = no;
                    ipaddr = 192.168.182.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    is_guest = no;
                    is_hotspot = no;
                    multicast_snooping = yes;
            }
            brinterfaces {
                    name = "lan";
                    dhcp = no;
                    ipaddr = 192.168.178.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "eth0", "eth1", "eth2", "eth3";
                    dhcpenabled = no;
                    dhcpstart = 192.168.178.70;
                    dhcpend = 0.0.0.0;
                    is_guest = no;
                    is_hotspot = no;
                    multicast_snooping = yes;
            } {
                    name = "lan2";
                    dhcp = no;
                    ipaddr = 192.168.100.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "wlan", "plc";
                    dhcpenabled = yes;
                    dhcpstart = 192.168.100.70;
                    dhcpend = 0.0.0.0;
                    is_guest = no;
                    is_hotspot = no;
                    multicast_snooping = yes;
            } {
                    name = "lan:0";
                    dhcp = no;
                    ipaddr = 169.254.1.1;
                    netmask = 255.255.0.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    is_guest = no;
                    is_hotspot = no;
                    multicast_snooping = yes;
            } {
                    name = "guest";
                    dhcp = no;
                    ipaddr = 192.168.179.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "wlan_guest", "guest_ct*", "guest_st*";
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    is_guest = yes;
                    is_hotspot = no;
                    multicast_snooping = yes;
            }
            dslinterface {
                    name = "dsl";
                    dhcp = no;
                    ipaddr = 0.0.0.0;
                    netmask = 0.0.0.0;
                    dstipaddr = 0.0.0.0;
                    dhcpenabled = yes;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
                    is_guest = no;
                    is_hotspot = no;
                    multicast_snooping = yes;
            }
     
  12. MdeWendt

    MdeWendt Neuer User

    Registriert seit:
    3 Mai 2005
    Beiträge:
    128
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo.

    Gibt es hier noch Ideen zur Konfiguration um einen LAN Port zusammen mit dem WLAN "abzutrennen"?


    Martin