FB7490: Gastprofil trotz Nicht-Gast-IP aus dem Heimnetz

neumic

Neuer User
Mitglied seit
20 Okt 2019
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Hallo liebe Forumsgemeinde,

ich bin neu hier, lese aber schon lange Zeit hier immer mal nach und habe mir schon viele hilfreiche Tipps holen können. Dafür vielen Dank. Für das folgende habe ich bisher keine Lösung finden können, meine Hardware-Config ist allerdings auch nicht ganz sauber102764;)
Ich habe folgendes Phänomen an meiner FB 7490, FritzOS 7.01, festgestellt, was ich mir nicht erklären kann.

Ich habe das Gastnetz für LAN4 aktiviert. An einem nicht VLAN-fähigen Switch hängen mehrere Rechner/Geräte, auf dem Switch liegen auch gleichzeitig LAN1 und LAN4 der FB. Eigentlich sollte es doch so sein, dass alle Gäste in das 192.168.179.0 - Netz verbannt sind und keinerlei Verbindung zum anderen Netz möglich ist. Das funktioniert auch soweit. Alle Clients, die mit dem "Mischswitch" verbunden sind, und adapterseitig eine 179er Adresse fest zugewiesen haben, sind Gäste mit Gastprofil an LAN4 und können nicht mit dem Heimnetz kommunizieren.
Jetzt das merkwürdige: Ich weise einem Client adapterseitig eine feste IP aus dem 178er Heimnetz zu. Dieser Client wird aber lt. Netzwerkübersicht der FB dennoch manchmal über LAN1 und ein anderes Mal über LAN4 der FB verbunden. Das hat folgende unerklärliche Auswirkung: Wenn der Client über LAN 1 verbunden ist, kann ich ihm das Profil "gesperrt" zuweisen, sodass er keinen Internetzugriff hat. Ist er ein anderes Mal gerade über LAN4 verbunden, was sich nicht beeinflussen lässt und sporadisch wechselt, bekommt er automatisch das nicht änderbare Profil Gast und hat dann auch Internetzugriff(!), obwohl er keine IP aus dem Gastnetz besitzt. Woran kann das liegen?

Ich werde mir allerdings einen VLAN-fähigen Switch besorgen und damit das Gastnetz auf LAN4 vom anderen trennen. Dann hätte ich insoweit erstmal Ruhe. Dennoch wüsste ich gern, was hier falsch läuft.


Danke.

VG

neumic
 

HabNeFritzbox

IPPF-Urgestein
Teammitglied
Mitglied seit
12 Dez 2017
Beiträge
15,283
Punkte für Reaktionen
206
Punkte
63
Kannst wohl froh sein dass überhaupt was geht, und Netzwerk nicht geflutet wird oder Geräte ständig Netz wechseln.

Jedes Gerät zufällig mal Gast mal Heim, je nachdem welches Interface schneller antwortet.

Absoluter Blödsinn was da machst, wenn sind Netze sauber zu trennen entsprechende VLAN. Dafür gibt es auch Switch unter 50€ welche sowas können.
 

neumic

Neuer User
Mitglied seit
20 Okt 2019
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Unnötiges Vollzitat entfernt - HabNeFritzbox
Wieso ständig Netz wechseln? Es werden keine Netze gewechselt. Es gibt feste IP-Adressen und damit auch festgelegte Netze. Es geht hier m.E. um die FB, die Profile zuweist, obwohl die (auch) IP-gebunden sein sollten. Ja und genau das ist meine Frage. Wieso bekommt ein Gerät aus einem anderen Netz mal ein solches und mal ein anderes PROFIL? - Nicht NETZ. Hab ich hier einen Denkfehler?

Das das ist nicht ganz sauber ist, weiß ich selbst und werde auch demnächst die Netze mit unter 50 EUR voneinander trennen. Aber auf IP-Ebene sind die doch schon getrennt, oder nicht? Es geht mit hier um die FB und deren Profile. Sie weist einem Nicht-Gast aus einem andere IP-Netz ein Gastprofil zu. Und das verstehe ich nicht.
 
Zuletzt bearbeitet von einem Moderator:

HabNeFritzbox

IPPF-Urgestein
Teammitglied
Mitglied seit
12 Dez 2017
Beiträge
15,283
Punkte für Reaktionen
206
Punkte
63
Weil du beide Netze an einem Switch hast, und somit Ping Pong hast.

Gastnetz hat keine festen IPs, und interessiert sich nicht für Zeitlimits oder andere Einschränkungen für einzelne Geräte, nur wenn die Option dass ein Gerät kein Gastnetz nutzen darf.
 

neumic

Neuer User
Mitglied seit
20 Okt 2019
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Gastnetz hat keine festen IPs, und interessiert sich nicht für Zeitlimits oder andere Einschränkungen für einzelne Geräte, nur wenn die Option dass ein Gerät kein Gastnetz nutzen darf.
Ahh, ok. Danke! Dann sollte AVM das aber mal erläutern mit den Profilen. Da schotten die das Dingens völlig ab, ohne dass man da irgendwas beeinflussen oder reglementieren kann (Internet für alle), und dann ist es nicht mal auf den Adressbereich beschränkt...!?
 

HabNeFritzbox

IPPF-Urgestein
Teammitglied
Mitglied seit
12 Dez 2017
Beiträge
15,283
Punkte für Reaktionen
206
Punkte
63
Profile sind für Heimnetz, nicht Gastnetz. Gastnetz ist eigenes Profil, wo es keine Zeitlimit usw. gibt.
 

neumic

Neuer User
Mitglied seit
20 Okt 2019
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Profile sind für Heimnetz, nicht Gastnetz. Gastnetz ist eigenes Profil, wo es keine Zeitlimit usw. gibt.
Naja, aber offensichtlich eben nicht auf den Gastnetz-IP-Adressraum, der sonst so unantastbar und das Ganze obendrein VLAN-unfähig ist, beschränkt. Und das fand ich eben seltsam und unsinnig.

Edit: Habe deshalb gerade mal probiert, einem Heimnetz-Client das Profil "Gast" zuzuweisen. Geht nicht! Von selbst holt er sich es allerdings zeitweise. Wenn er trotz einer Nicht-Gast-IP zufällig an LAN4 nuckelt. Widersprüchlich!
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Micha0815

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,247
Punkte für Reaktionen
778
Punkte
113
Widersprüchlich!
Nicht wirklich. Die Ethernet-Ports des internen Switches verwenden alle dieselbe MAC-Adresse (einfach mal in die Support-Daten gucken, da sollte auch die Ausgabe von "ip addr [show]" auftauchen) ... werden sie zur LAN-Bridge zusammengefaßt, verwendet auch diese Bridge dieselbe MAC-Adresse. Die (logische) Bridge für das Gastnetz kriegt zwar eine eigene MAC-Adresse (wenn das aktiviert ist), aber das gilt weiterhin nicht für das "eth3"-Interface direkt.

Dann kommt noch hinzu, daß die Ports im Switch eben nicht permanent getrennt sind ... ist z.B. der Bootloader aktiv bei einem Neustart der FRITZ!Box, ist "eth3" für mind. 5 Sekunden den anderen LAN-Ports "zugeschlagen" und damit kann der verwendete zusätzliche Switch durchaus durcheinanderkommen mit seiner MAC-Adress-Tabelle, weil er dieselbe MAC-Adresse an den beiden Ports sieht, die per Kabel mit der FRITZ!Box verbunden sind ... zumal er ja auf den beiden Port gleichzeitig eine neue aktive Ethernet-Verbindung signalisiert bekommt, wenn die Box ihren eigenen Switch aktiviert.

Selbst wenn der zusätzliche Switch damit umgehen können sollte, kann es - je nachdem, wie lange die einmal erkannte MAC-Adresse in der Table für den Port verweilt, bis sie wieder gelöscht wird - auch im Nachhinein noch Probleme geben ... wenn z.B. gerade ein Paket auf dem anderen Kabel übertragen wird, könnte der Switch auch auf die Idee kommen, den alternativen Port zu verwenden, sofern er dahinter weiterhin dieselbe MAC-Adresse (die als Target im zu übertragenden Ethernet-Paket steht) erwartet.

Wenn eine "saubere Trennung" von (Ethernet-)Netzen auf L3 möglich wäre (also ausschließlich anhand der IP-Adresse), dann gäbe es keine VLAN-fähigen Switches (bzw. auch keine Notwendigkeit für solche).

Bei der FRITZ!Box ist es eben sogar so, daß ein "bösartiger Client" die Box im Bootloader einfach festhalten könnte, auch wenn er "nur" über den LAN4-Anschluß per Kabel angebunden ist ... allerdings bei den neueren (GRX-)Modellen nur noch dann, wenn die FRITZ!Box einen Kaltstart (Power-On-Reboot) hinlegt - ansonsten klappt das Anhalten in EVA nicht mehr (ob das Absicht ist oder nur eine schlechte Initialisierung des Switches, weiß außerhalb von AVM auch niemand so 100%ig).

Aber wenn die Box eine Weile im Bootloader herumsteht, kann man in dieser Zeit wunderbar die "Grenze" zwischen dem Gastnetz und dem eigentlichen LAN "überwinden" - darauf habe ich aber schon mehrfach aufmerksam gemacht. Man kann sie dann ja kurze Zeit später auch als Angreifer per FTP zum erneuten Restart bewegen, wenn man seine Ziele erreicht hat - irgendein IoT-Gerät im LAN ist schnell infiziert und ggf. kann man später dann auch mit dem "direkt reden", wenn es neben der STA-Funktion im WLAN plötzlich noch einen AP bietet.

Wer tatsächlich eine strikte Trennung zwischen einem (kabelbasierten) Gastnetz und dem eigenen LAN braucht und das Ganze auch "unbeaufsichtigt" betreiben will, der sollte dafür nicht zu einer FRITZ!Box greifen. Selbst wenn die Box "eingeschlossen" ist, hat sie vielleicht nicht unbedingt eine eigene USV und kann durch die Elektro-Sicherung neu gestartet werden oder auch durch das Ausnutzen eines Fehlers im FRITZ!OS, der auch vom Gastnetz aus zuschlagen kann.

EDIT:
Ähnliche Probleme bereiten - nur nebenbei - auch Konstellationen, wo die Box über LAN1 als Router arbeitet (dann verwendet das "eth0"-Interface (im "kdsld") auch eine andere MAC-Adresse) und dabei i.V.m. einem VLAN-fähigen Switch jeweils als "untagged" verwendet wird, weil die Box selbst keine Tags unterstützt (zumindest nicht "out of the box" und mit FRITZ!OS). Packt man hier die WAN- und irgendeine LAN-Verbindung auf denselben Switch und setzt die Ports auf "untagged" (wo also erst der Switch den Paketen beim Weitertransport dann ein Tag verpaßt, das für den entsprechenden Port konfiguriert wurde), bringt der Bootloader auch dabei den VLAN-fähigen Switch durcheinander (ich habe Netgear GS-105E und HP ProCurve als Modelle im LAN und mit diesen probiert), weil beim Neustart der 7490 dieselbe MAC-Adresse auf beiden Ports auftaucht. Auch die "Sicherheitsprobleme" (LAN1-4 sind auch dabei im Bootloader gebridged) sind natürlich ähnlich ... gelingt einem "WAN-seitigen" Angreifer (meinetwegen in einer "echten DMZ" vor der FRITZ!Box) das Anhalten der Box im Bootloader, kann er ohne jede Firewall bis ins LAN der FRITZ!Box "durchgreifen".
 
Zuletzt bearbeitet:

Bastler1

Neuer User
Mitglied seit
4 Dez 2009
Beiträge
140
Punkte für Reaktionen
8
Punkte
18
Verhält sich bei der 7590 der WAN Port auch wie im letzter Absatz beschrieben oder hat dieser immer seine echte MAC?
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,247
Punkte für Reaktionen
778
Punkte
113
Bei der 7590 weiß ich es nicht definitiv und meine 7580 ist auch gerade nicht betriebsbereit. Alte Supportdaten sagen aber, daß der WAN-Port bei der 7580 (und dann garantiert auch bei der 7590) eine eigene MAC-Adresse kriegt. Bei mir die "macdsl", also nicht 100% eine eigene, aber keine, die in Konflikt mit anderen LAN-Anschlüssen geraten könnte.

Und da der (nach meinen Tests jedenfalls) im Bootloader auch noch nicht mit den LAN-Ports gebridged wird (das erfolgt erst später, wenn das DSL-Modem verwendet wird und der WAN-Port der LAN-Bridge zugeschlagen wird), habe ich bei der 7580 diese Probleme bei mir noch nicht feststellen können.
 

neumic

Neuer User
Mitglied seit
20 Okt 2019
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Vielen Dank @PeterPawn. Ich glaube, ich hab das einigermaßen oder eben doch noch nicht ganz verstanden.
DIe beiden Netze sind jetzt mit einem Zyxel GS1200-8 für unter 50,-EUR in VLANs verbannt. Funktioniert soweit. Aber diese Box mit ihrem Gastnetz versteh' einer:
Folgende Konfig: Auf dem Rechner läuft eine VMWare-VM. Ich habe auf dem Host, der nur eine physische NIC (Intel) besitzt, in Win7 zwei virtuelle NICs für die VLANs erstellt. VLAN1 und VLAN2. Der Port am Switch ist entsprechend für VLAN1 und VLAN2 auf tagged konfiguriert. Gastnetz an Port4 der Box befindet sich im VLAN2. In der VM, die sich im Gastnetz befinden soll, habe ich den Netzwerkadapter auf die Host-NIC VLAN2 gebridged. So weit so gut. Die VM hat eine 179er IP-Adresse und ist im VLAN2 mit Port4 der Box verbunden und hat keinen Zugriff auf das andere Netz. Wenn ich aber nun zusätzlich der VLAN2-NIC des Hosts eine 178er IP verpasse, dann (und nur dann, mit einer beliebigen anderen, die nicht zu den beiden IP-Adressräumen der Box gehört, ist das nicht der Fall) sehe ich in der Netzwerkübersicht der Fritzbox diese Adresse des Hosts, und zwar an Port4, was ja aufgrund des VLAN-taggings auch korrekt ist. Aber es ist eben eine IP-Adresse, die nicht zum Gastnetz gehört, aber dennoch das nicht änderbare Profil "Gast" erhält und damit Internetzugriff bekommt!? (Dieselbe MAC mit selbiger IP-Adresse ist zuvor auf Port1 der Box verbunden gewesen und dort für den Internetzugriff mit dem Profil "gesperrt" versehen worden.) Letztlich ist es mir egal, war nur ein Test. Bei der virtuellen VLAN2-NIC des Hosts habe ich nämlich im Betrieb die TCP/IP-Stacks v4 und v6 deaktiviert, sodass hierüber im Host-System keine Kommunikation stattfindet. Aber woran liegt das? Arbeitet die Box nur auf MAC-Ebene und ignoriert die festen IP-Adressen, die sie per DHCP selbst ihren beiden Netzen verpasst, um sie zu trennen?
 
Zuletzt bearbeitet:

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,147
Beiträge
2,030,709
Mitglieder
351,529
Neuestes Mitglied
ukuhn