Eigene Firewall am Internetanschluss betreiben - Probleme mit Provider

johnydo

Neuer User
Mitglied seit
17 Dez 2008
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe derzeit ein Problem mit meinem Provider. Ich ziehe demnächst um und benötige am neuen Standort einen Internetanschluss. Jetzt ist es so das am neuen Standort über die Telekom maximal 5 MBit zur Verfügung gestellt werden können (DSL RAM 6000 (2)). Dann habe ich gesehen das der dortige lokale Energieversorger ebenfalls Internetanschlüsse anbietet und dieses gehen bis zu 50MBit. Der lokale Energieversorger macht das mit den Internetleitungen nicht selbst sondern ist "nur" der Provider. Im Hintergrung steht dann die Firma Thüga Meteringservice GmbH / KomDSL.

Derzeit bin ich mit meinem Internetanschluss bei der Telekom. Das ist ein 16MBit Anschluss an der TAE Dose hängt mein DSL Modem und dahinter dann meine Firewall. Die Firewall macht dann über PPPoE die Interneteinwahl und alles ist gut.
Jetzt dachte ich das ist bei jedem Provider gleich oder zumindest ähnlich. Da ich den dortigen Energieversorger nicht kenne habe ich mich im Vorfeld dort informiert und mir wurde zugesichert das ich eine eigene Firewall an dem Anschluss betreiben kann. Als DSL Modem / Router gibt es von dem Anbieter die Fritzbox 7390 oder 7490. In zwei Wochen soll die Internetleitung am neuen Standort geschaltet werden und ich habe dann nochmal nachgefragt wie genau das dann mit der Firewall funktioniert da ich noch keine Zugangsdaten etc. habe. Der Energieversorger konnte mir das technisch nicht beantworten und hat mich daher an die Technik von Thüga Meteringservice verwiesen. Nachdem ich dort mit einem Techniker gesprochen habe hat sich rausgestellt das dies so nicht funktioniert. Die Fritzbox wird vorkonfiguriert ausgeliefert und ich selbst habe gar keinen Zugriff auf dieses Gerät.

Laut der Technik kann ich auch kein eigenes DSL Modem verwenden es muss diese besagte FritzBox von denen sein da über diese Box ein Monitoring für die Leitung betrieben wird.

Für das was ich machen möchte hat mir die Technik erklärt bräuchte ich ein anderes Endgerät das mir ebenfalls zur Verfügung gestellt werden kann. Das wäre dann ein Sphairon Gateway 400 und das würde mich um die 600€ kosten. Darüber könnte dann der Provider dann sein Monitoring betreiben und ich dahinter dann meine Firewall.

Was meint Ihr dazu kann das wirklich so sein?

Habe noch folgendes vergessen...die Interneteinwahl bei diesem Provider geht nicht über PPPoE sondern über DHCP sprich es gibt keine Einwahldaten. Der Anschluss wird über die normale Telefonleitung (Kupfer) geschaltet. Es ist kein Kabelanschluss.
 
A

andilao

Guest
Das Sphairon Gateway 400 ist ein ISDN-SIP-Gateway für Telefonie und dürfte mit deiner Aufgabenstellung ganz und gar nichts zu tun haben.

Mit einer 7390/7490 kann man kaum Leitungsmonitoring machen, die meinten wohl eher das (Smart-)Metering, d.h. die Abfrage der Stromzähler etc., was dann wohl über Freigaben/VPN passieren wird. Das hat ja dann den netten kleinen Vorteil, dass es für dich keine "Störerhaftung" mehr geben kann.

Natürlich kannst du dahinter eine Firewall betreiben, nur gibt es kein Modem mit PPPoE und es wird aus Doppel-NAT dann Dreifach-NAT oder falls es wider Erwarten eine öffenliche IPv4-Adresse geben sollte, aus aus Einfach-NAT dann Doppel-NAT


BTW: Beiträge lassen sich einfach editieren, fasse diese bitte mal zusammen bevor es ein Mod tut!
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,086
Punkte für Reaktionen
997
Punkte
113
die Interneteinwahl bei diesem Provider geht nicht über PPPoE sondern über DHCP sprich es gibt keine Einwahldaten.
Thüga/KomDSL hatten wir hier in einem anderen Kontext auch schon.

Wenn ich mich recht erinnere, stellt dieser Provider ohnehin nur "private" IPv4-Adressen zur Verfügung und macht den Rest dann über CGN. Bei dieser Konstellation wäre Dein Internet-Anschluß von extern ohnehin nicht erreichbar und es spielt in meinen Augen auch keine Rolle, wenn Du Deine Firewall hinter die FRITZ!Box hängst.

Dann hast Du ab der Firewall wieder die Hoheit über das LAN ... die Aussage, Du "hättest gar keinen Zugriff auf das Gerät" ist imho aber ohnehin nicht ganz richtig.

Du hast sicherlich (offiziell) keinen Zugriff auf die Konfiguration für den Internet-Zugang, eine FRITZ!Box bei der Du keine eigenen Einstellungen zum LAN, WLAN und den diversen anderen Funktionen so einer Box vornehmen kannst, ist ziemlich witzlos. Die werden ja hoffentlich nicht wirklich auf die Schnapsidee kommen und dem Nutzer die WLAN-SSID und das WLAN-Kennwort dauerhaft vorschreiben zu wollen, dann könnten sie auch gleich die komplette Haftung mit übernehmen. Das kann - wenn die nicht eigene Software installieren - nur auf ein Monitoring per TR-069 hinauslaufen. Das ist per se noch nichts Schlimmes, wenn man sich darüber bewußt ist, daß der Provider bis zum ersten eigenen Router immer mitlesen, mitlauschen, ändern kann.

Wenn dann die Telefonie in der Provider-Box laufen kann, hast Du eigentlich kein Problem. Wenn Du mit eigener Technik im LAN hinter der Firewall VoIP-Telefonate führen willst (mit extern logischerweise), brauchst Du in der FB eine entsprechende Konfiguration für die "Telefoniegeräte", da solltest Du aber auch Deine eigenen Einstellungen vornehmen dürfen.

Selbst wenn Du beim Provider vorstellig wirst, weil Du eine offizielle IP-Adresse für Deinen Anschluß benötigst (wegen Zugriffen aus dem Internet), sollte das Einrichten Deiner eigenen Firewall in der FRITZ!Box als "exposed host" ausreichend sein, damit Deine Firewall wie bisher funktioniert (auch wenn das mangels Angaben dazu nur ein Orakelspruch aufgrund der Randbedingungen ist, man weiß ja z.B. nicht einmal genau, ob Deine Firewall überhaupt ohne PPPoE-Anmeldung arbeiten will).
 

rerhafnhabu

Neuer User
Mitglied seit
28 Jul 2006
Beiträge
189
Punkte für Reaktionen
1
Punkte
18
Jetzt ist es so das am neuen Standort über die Telekom maximal 5 MBit zur Verfügung gestellt werden können (DSL RAM 6000 (2)). Dann habe ich gesehen das der dortige lokale Energieversorger ebenfalls Internetanschlüsse anbietet und dieses gehen bis zu 50MBit
Wird der neue Provider dann mehr als die 5 MBit/s zusichern können?
Die Leitung bleibt ja die Gleiche.

rerhafnhabu
 

johnydo

Neuer User
Mitglied seit
17 Dez 2008
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Wird der neue Provider dann mehr als die 5 MBit/s zusichern können?
Die Leitung bleibt ja die Gleiche.

rerhafnhabu
Hallo,

ja, weil der Energieversorger ein eigenes Leitungsnetz hat. So wie ich das verstanden habe hat der Energieversorger ein eigenes Glasfasernetz. Die letzte Meile vom Verteilerkasten bei mir ins Haus ist dann eine Kupferleitung. Sind bei mir ca. 200 Meter.
 

qwertz.asdfgh

IPPF-Promi
Mitglied seit
18 Feb 2011
Beiträge
4,464
Punkte für Reaktionen
61
Punkte
48
Nennt sich dann FTTC- oder FTTN-Ausbau und der "Verteilerkasten" ist ein sog. OutdoorDSLAM.
 

johnydo

Neuer User
Mitglied seit
17 Dez 2008
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Hi,

mein Anschluss wäre ein Fibre-to-the-Cabinet FFTC Anschluss. Wobei in meinem Haustechnikraum auch schon ein Glasfaserkabel raushängt allerdings ist das derzeit noch nicht beschaltet. Zukünftig soll es dann mal möglich sein einen FTTH Anschluss zu bekommen.
 

johnydo

Neuer User
Mitglied seit
17 Dez 2008
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Also seid Ihr der Meinung ich soll den normalen Anschluss mit der FritzBox nehmen und dahinter dann meine Firewall klemmen? Die Firewall kann auf dem WAN Interface mit DHCP umgehen.
 

qwertz.asdfgh

IPPF-Promi
Mitglied seit
18 Feb 2011
Beiträge
4,464
Punkte für Reaktionen
61
Punkte
48
Dir wird (vorerst) nichts anderes übrig bleiben.
 

johnydo

Neuer User
Mitglied seit
17 Dez 2008
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Komme ich den auf die Fritzbox drauf wenn ich das Passwort von dem UI nicht habe? Bzw. ich möchte da so zugreifen das die Daten nicht verloren gehen :)...das ich zumindest mal schauen kann was alles so möglich ist.
 

andiling

IPPF-Promi
Mitglied seit
19 Jun 2013
Beiträge
5,975
Punkte für Reaktionen
1
Punkte
0
I.d.R. kann man Einstellungen an der Fritzbox vornehmen, die "Hoheit" hat aber der Anbieter, der gewisse Einstellungen ändern kann. Die Funktionen der 7390/7490 wirst Du aber nutzen können, bei CGN aber nicht von außen.
 

johnydo

Neuer User
Mitglied seit
17 Dez 2008
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Hardware für eigene Firewall sowie Vorschlag für Firewall Software

Hallo zusammen,

ich möchte mir eine eigene Firewall zusammenstellen und darauf eine Firewallsoftware wie zum Beispiel IPFire laufen lassen. Was für Hardware könnt Ihr dafür empfehlen?

Zwingend für mich wären:
1x WAN, 1x LAN, 1x DMZ

Optional:
1x WLAN, 1x DMZ-Test

Wobei ich beim WLAN noch nicht so recht weiß was hier besser wäre. WLAN direkt in der Firewall oder besser auf einen AccessPoint auslagern? Was wären hier die Vor- und Nachteile?

Bisher kenne ich nur IPFire könnt Ihr sonst noch was empfehlen? Eventuell gibt es auch schon fertige Hardware Appliances für den Heimgebrauch die einen ähnlichen Funktionsumfang wie IPFire haben und von den Kosten ähnlich der eigenen Hardware liegen?
 

andiling

IPPF-Promi
Mitglied seit
19 Jun 2013
Beiträge
5,975
Punkte für Reaktionen
1
Punkte
0
Für den "Heimgebrauch" gibt es doch jede Menge Router, die WAN, LAN, WLAN, DMZ können.

Welche Firewall hast Du denn im Moment?
 

Ohrenschmalz

Aktives Mitglied
Mitglied seit
19 Apr 2006
Beiträge
802
Punkte für Reaktionen
27
Punkte
28
Ich häng mich mal auch rein...
Ich hab ne Juniper NS-5GT. Tut auch alles was sie soll hinter nem dummen DSL-Modem (PPPoE-Einwahl etc.). Fritte hängt als Client dran und macht DECT und WLAN.
Leider, leider, kommen ankommende Anrufe (VoIP) nicht an. Ausgehend kein Problem.
Da mir mein Weib aber aufn Mund schlägt, wenn sie nicht mehr angerufen werden kann, hab ich das erstmal zurückgebaut...

Habt ihr Tips?
 

andiling

IPPF-Promi
Mitglied seit
19 Jun 2013
Beiträge
5,975
Punkte für Reaktionen
1
Punkte
0
Ports offen halten in der Fritte aktiviert? Alternativ Ports weitergeleitet?
 

Ohrenschmalz

Aktives Mitglied
Mitglied seit
19 Apr 2006
Beiträge
802
Punkte für Reaktionen
27
Punkte
28

johnydo

Neuer User
Mitglied seit
17 Dez 2008
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Hallo,

mein Internetanschluss wurde geschaltet. Einen Zugriff auf die Frtizbox habe ich bekommen. Es ist so das ich eine private IP Adresse zugewiesen bekomme. Da fallen Dienste wie DynDNS, MyFritz etc. erstmal flach. Habe ich dann nur noch die Möglichkeit mir eine feste IP Adresse schalten zu lassen damit ich von außen auf mein VPN komme?
 

andiling

IPPF-Promi
Mitglied seit
19 Jun 2013
Beiträge
5,975
Punkte für Reaktionen
1
Punkte
0
Hast Du Deinen Anbieter mal gefragt ob er auch eine öffentliche IP zuteilen würde? Ob dynamisch oder fest ist mal egal.

Als Notlösung wäre noch IPv6 eine Option, wenn verfügbar.
 

johnydo

Neuer User
Mitglied seit
17 Dez 2008
Beiträge
35
Punkte für Reaktionen
0
Punkte
0
Hast Du Deinen Anbieter mal gefragt ob er auch eine öffentliche IP zuteilen würde? Ob dynamisch oder fest ist mal egal.

Als Notlösung wäre noch IPv6 eine Option, wenn verfügbar.
Hi,

genau diese Frage habe ich per Mail an die Technik geschickt aber bisher noch keine Antwort erhalten.