[Sammlung] Erfahrung LAN 4 Gastzugang

D

DSL-Hexe

Guest
Bitte hier die Erfahrung mit dem LAN 4 Gastzugang posten.

Meine Plan ist es ein DrayTek Vigor 2130N per WAN mit einer FritzBox 6360 am LAN 4 (Gastzugang) zu verbinden um somit ein 2. Netzwerk zu bauen das abgeschottet ist vom 1. Netzwerk oder das diese FB 6360 nur noch als Modem und Telefonanlage fungiert.

Als KDG Kunde bin ich ganz schön beschnitten mit der FB 6360 und jedesmal KDG bitten das sie mir eine Firmware aufspielen habe ich auch kein Bock. Jetziger Firmwarestand auf der FB 6360 => FRITZ!OS 05.09-21574 (Labor) und dort ist schon der LAN 4 Gastzugang zu finden.

Am Ende soll mein Netzwerk so aussehen:

Kabel Internet --> FB 6360 2 KD Rufnummern Privat, 3 KD Rufnummern Büro (SIP-Server) --> LAN 1 FB 7270 Telefonanlage Büro (SIP-Client der FB 6360) --> LAN 2 + LAN 3 Privates Netzwerk --> LAN 4 <=> WAN Draytek Vigor 2130N Netzwerk Büro

Jetzt suche ich erst einmal Erfahrung nur mit dem LAN 4 Gastzugang und ganz besonders wichtig ob man NAT am LAN 4 Gastzugang deaktivieren kann und ob das Gerät am LAN 4 eine IP Adresse aus einem anderen IP Bereich bekommt.
 

joesy23

Neuer User
Mitglied seit
10 Jun 2005
Beiträge
61
Punkte für Reaktionen
0
Punkte
6
Ich habe jetzt erste Tests mit den Gastzugang über LAN4 mit der 7270v2 gesammelt. AVM nutzt hier die Fähigkeit, den Switch zu splitten:
http://freetz.org/wiki/help/howtos/security/switch_config#VordefinierteSwitch-Konfigurationen


Mit Hilfe von cpmacconfig (http://www.ip-phone-forum.de/showthread.php?t=247234&highlight=cpmacconfig) erhält man folgende Infos:
Ohne Gastzugang
Code:
./cpmacconfig cpmac0 info
Information about cpmac: 
  PHY power: 4000ms on, 16480ms off, status = on save save save off
  Switch mode: normal (1) 
  WAN port 6
  "wan": 0x60
  "eth0": 0x2f
Mit Gastzugang
Code:
 ./cpmacconfig cpmac0 info
Information about cpmac: 
  PHY power: 4000ms on, 16480ms off, status = on save save save off
  Switch mode: special (6) 
  "eth0": 0x27
  "eth3": 0x28
Das LAN4-Interface (eth3) wird der guest-Bridge hinzugefügt, d.h. Gast-WLAN und LAN4 sind im gleichen Netzwerk. Mir ist noch nicht ganz klar, wie die Trennung zwischen den guest- und den lan-Bridges erfolgt. Ich denke mal, dass erfolgt direkt mit Hilfe von multid. Hat hier jemand mehr Infos, wie AVM die Trennung zwischen Gastzugang und dem Heimnetz implementiert hat.

Auf jeden Fall gibt es hier wieder die Möglichkeit, die Fähigkeit des Switches zu verwenden, die Ports aufzuteilen. Dies hatte in den letzten Firmware-Versionen mit cpmaccfg ja nicht mehr funktioniert.

@dsl-hexe
Der Gastzugang erhält eine Adressse aus dem Gastbereich. Bei der 7270:
Code:
Netz = 172.31.179.0;
netmask = 255.255.255.0;
joesy
 
Zuletzt bearbeitet:

ilvoip

Mitglied
Mitglied seit
30 Sep 2007
Beiträge
756
Punkte für Reaktionen
1
Punkte
18
Der Gastzugang scheint mir völlig falsch implementiert zu sein!

Während man alle anderen Anschlüssen und WLAN beschränken kann, ist der FB-Gastzugang immer unbeschränkt!
Keine Kindersicherung, keine Filter, also auch keine Torrentsperre, Kein Blacklisting und kein Jugendschutz und immer voll Speed ohne jede Beschränkung! Nur vom internen LAN getrennt.
Damit sind alle Gäste unbeschränkter als die familiären Stammnutzer. :-x
So eine Fehlentscheidung hätte ich AVM nicht zugetraut.
 

Rohrnetzmeister

IPPF-Promi
Mitglied seit
10 Okt 2009
Beiträge
4,925
Punkte für Reaktionen
2
Punkte
38
Was für eine Fritzbox mit welcher Firmware nutzt du?
 

Telefonmännchen

IPPF-Promi
Mitglied seit
22 Okt 2004
Beiträge
5,393
Punkte für Reaktionen
2
Punkte
38
Der Gastzugang scheint mir völlig falsch implementiert zu sein!
Nein, nur Dein Verständnis desselbigen. Er ist dazu vorgesehen, nicht ständigen Nutzern einen temporären Zugang zum Internet zu gewähren ohne diesen ins eigene Netz bzw. ins eigene WLAN (incl. persönlichem Schlüssel) zu lassen. Umfangreiche Konfigurationsmöglichkeiten sind für diese nur sehr zeitbegrenzten Nutzer fehl am Platz und die Entwicklung gegenüber dem Nutzen zu aufwändig.

Gruß Telefonmännchen
 

golf16v

Neuer User
Mitglied seit
2 Nov 2006
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
Hi Leute,

kann mir einer sagen wie gut das mit dem "abgegrenzten LAN" funktioniert?
Ich möchte dies auch einrichten.
Es soll ein Rechner sein der kein Zugriff auf das interne Netzwerk besitzt, eben nur das Internet.
Wenn ich für diesen Rechner Portfreigaben bräuchte, muss man die trotzdem normal einstellen?
Wie sieht es eigentlich mit VPN-Verbindungen aus? Kann dieser Rechner dann auf dieses "entfernte" Netz auch nicht zugreifen?

Im Moment besteht zwischen A und B eine ständige VPN-Verbindung.
Der Rechner soll bei B in Betrieb genommen werden.
Ich hätte dort eine Fritzbox 7270 V2 im Einsatz.
 

StevenV

Neuer User
Mitglied seit
18 Jan 2007
Beiträge
186
Punkte für Reaktionen
0
Punkte
16
Hallo,

habe die Erfahrung gemacht das das Gastnetzwerk keinerlei Verbindung zum eigentlichen internen Netzwek hat, egal in welcher Form. Es ist halt ein Netzwerkzweig der völlig eigenständig und abgeschottet Zufriff zum Internet hat.

Was ich nicht so ideal finde (durch Supportkontakt mit AVM bestätigt) ist das z.B. weitere Fritzboxen im Gastnetzwerk ihren Push-Service nicht absetzen können. Es gibt also Einschränkungen im Detail.

Viele Grüße
Stephan
 

golf16v

Neuer User
Mitglied seit
2 Nov 2006
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
Würde also bedeuten es hat keinen Zugriff auf das interne sowie das externe VPN Netz?
 

StevenV

Neuer User
Mitglied seit
18 Jan 2007
Beiträge
186
Punkte für Reaktionen
0
Punkte
16
Ich kann zumindest bestätigen das bei "deaktiviertem" Gastzugang alles gewohnt funktioniert (auch VPN z.B. nach extern) und das bei aktivem Gastzugang "nichts mehr geht":

Die interne FritzBox kann nicht auf Boxen, oder PC im Gastzugang zugreifen. Die PC im Gastzugang können nicht auf das interne Netz, auf die VPN-Verbindungen des internen Netzes zugreifen. Die FritzBoxen des Gastzuganges sind von der internen FritzBox nicht erreichbar. Der Push-Service der Gastzugangs-FritzBoxen funktioniert (AVM bestätigt) nicht.

Grüße
Stephan
 

golf16v

Neuer User
Mitglied seit
2 Nov 2006
Beiträge
93
Punkte für Reaktionen
0
Punkte
0
Hi,

Danke für die Antwort. Somit wäre der LAN4 wirklich abgeschottet.
Wie sieht es mit evtl. Portfreigaben aus? Oder hängt LAN4 dann auch komplett ausserhalb der Firewall?
 

voip-spain

Neuer User
Mitglied seit
9 Mai 2010
Beiträge
174
Punkte für Reaktionen
0
Punkte
16
Ist die Nutzung von VPN nach draussen eingeschränkt?
Kann man sich über den Gastzugang bei einem Freund mit VPN mit der eigenen Box zu Hause verbinden?
 

andiling

IPPF-Promi
Mitglied seit
19 Jun 2013
Beiträge
5,975
Punkte für Reaktionen
1
Punkte
0
Das kannst Du selbst im Zugangsprofil Gast einrichten; standardmäßig ist nur Mailen und Surfen erlaubt.
 

voip-spain

Neuer User
Mitglied seit
9 Mai 2010
Beiträge
174
Punkte für Reaktionen
0
Punkte
16
ok. super. danke
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
12,560
Punkte für Reaktionen
330
Punkte
83
Moins

Ich möchte an dieser Stelle zu Bedenken geben, dass der Gastzugang nicht nur für Gäste gut ist.
Durch die Trennung des LANs und Gast-LANs und surfen und mailen im Gast-LAN ist man selber weitestgehend
vor XSS Attacken sicher. Besonders vor solchen die bestimmte Adressen antesten.
...wie: 169.254.1.1, 192.168.178.1, fritz.box, fritz.nas, myfritz.box, fritz.fonwlan.box,...
 

voip-spain

Neuer User
Mitglied seit
9 Mai 2010
Beiträge
174
Punkte für Reaktionen
0
Punkte
16
VPN Verbindung über Gastzugang funktioniert problemlos.
gerade probiert.