Fritz!Box Fon mit DMZ ohne Freetz?

Dunji

Neuer User
Mitglied seit
28 Nov 2008
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Hi Leute

Habe gestern meine neue FBF 7270 gekriegt. Ich will damit drei meiner alten Geräte ersetzen (Modem, OpenWRT-Router und VOIP-Gateway).

Ein paar Worte zur Topologie bei mir zuhause:
- 1 Public IP
- Privates LAN bridged mit WLAN (192.168.1.0/24)
- DMZ mit Webserver, Mailserver u.a. (192.168.10.0/24)
- Analog-Telefonanschluss
- Ein paar Telefone und ein paar VOIP-Provider

Ich war wohl etwas zu optimistisch, als ich dachte, das sollte kein Problem sein, alles mit der FBF out-of-the-box abzudecken... :)

Aber fast! Nur die DMZ bereitet mir Kopfzerbrechen. Nach einigem Stöbern in den Threads hier habe ich herausgefunden, wie ich immerhin den Switch so konfigurieren kann, dass er mir auf einem der LAN-Ports ein anderes Subnetz aufzieht:

/var/flash/debug.cfg:
Code:
/data/cpmaccfg ssms -w 1 wan 0x21 eth0 0x26 eth1 0x28
/data/cpmaccfg ssm special
ifconfig eth1 192.168.10.1 netmask 255.255.255.0 up
Das klappt tatsächlich entgegen vieler Behauptungen auch mit meiner 7270, zumindest mit der Labor-Firmware 54.04.63-13046.

(Ich muss leider momentan das WAN noch über LAN1 vom alten Modem beziehen, da ich zu blöd war, auf das Annex in CH zu achten :mad: Aber da finde ich dann schon noch eine Lösung...)

Nun fängts aber schon an: Wenn ich Portfreigaben zur DMZ mache (über eth1), dann funktionieren diese zwar, aber nur bis zum nächsten Reboot. Ich muss diese dann löschen und neu erstellen, damit sie wieder greifen. Ich nehme an, das Problem kommt daher, dass bei der Verarbeitung von ar7.cfg das Subnetz 192.168.10.0/24 noch gar nicht existiert, da ja die debug.cfg erst später abgearbeitet wird.

Daher ein paar Fragen an euch Experten:
1) Lassen sich die Portfreigaben irgendwie refreshen nachdem der Switch umkonfiguriert wurde? Ich finde drum die übersichtliche Darstellung im Webinterface noch angenehm, und würde diese daher gerne dort lassen.
2) Oder, falls nein, kann ich sie aus der Debug.cfg heraus selbst erstellen? Wenn es das Web-Interface kann, dann müsste das ja irgendwie möglich sein, da es ja vor dem Reboot funktioniert bei "frischen" Freigaben im Webinterface.
3) Da ich die Einstellung "Alle Computer befinden sich im selben IP-Netzwerk" abstellen musste, ist nun das WLAN nicht mehr im gleichen Subnetz wie das LAN. Kann man das nachträglich ändern, z.B. in der ar7.cfg? Oder ist diese Einstellung "ethmode" die einzige, die das steuert?
4) Kann man das Routing vom DMZ-Subnetz zum LAN verhindern, ohne auf iptables umsteigen zu müssen?
5) Und dann noch der Traffic-Shaper. Lässt sich vielleicht sogar der Traffic der DMZ priorisieren, an zweiter Stelle nach dem VOIP?

Ich befürchte leider, dass ich wohl nicht um Freetz herumkomme, stimmts? Dabei habe ich doch gerade deswegen die Fritz gekauft, um mir nicht mehr die hunderte von Configfiles des OpenWRT um die Ohren schlagen zu müssen :D
(Ich habe mir mal die Menuconfig von Freetz angeschaut. Wurde mir leider fast schlecht.... Das dauert doch Tage oder Wochen, bis man da alle Infos zusammenhat, nur schon welche Pakete benötigt werden, und ob der Platz dann reicht etc.)

Danke schon mal im Voraus für jedwede Unterstützung!

Greetz!
dunji
 

Beetlejuice

Mitglied
Mitglied seit
2 Feb 2007
Beiträge
251
Punkte für Reaktionen
0
Punkte
0
Hallo!

Vorweg erstmal die Info, dass in der FW der 7270 die nötigen Binarys für AnnexA und AnnexB drin sind, zumindest in der Nicht-Labor-FW 4.59. Es liegt für mich die Vermutung nahe, dass das eingebaute Modem grundsätzlich für beide Annex-Varianten zu gebrauchen ist. D.h., selbst wenn Du Dir eine AnnexA Box gekauft hast, wäre es den Versuch wert, sie auf AnnexB umzuflashen und auszuprobieren, ob es funktioniert. Andersherum sollte eh kein Problem sein. Mach Dich in diesem Thread mal schlau.

Eventuell kannst Du Dir das aber auch sparen: Wenn Du gute Gründe hast, Deine Server in einer DMZ zu betreiben, dann würde ich an Deiner Stelle gar nicht versuchen, irgendwie eine Softwarelösung in der FritzBox zusammenzubasteln. Häng Deinen alten Router ans DSL, daran Deine Server (DMZ) und die FritzBox, welche wiederum als Router für Dein privates LAN konfiguriert wird. Eine solche Trennung per Hardware würde ich jeder noch so eleganten Bastellösung vorziehen. Was spricht, abgesehen vom Stromverbrauch für den einen Router zusätzlich, denn dagegen?
 

Dunji

Neuer User
Mitglied seit
28 Nov 2008
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Beetlejuice, danke für den Tip wegen Annex A. Das klappt bei mir nur irgendwie nicht, weder über ein Pseudo-Image, noch über Telnet mit den entsprechenden EXPORTs und anschliessendem Neustart von dsld (Das WebUI ist danach nicht mehr ansprechbar).

Vermutlich hast Du Recht und ich sollte wirklich die FBox hinter den andern Router stellen. Damit stellen sich allerdings ein paar neue Probleme: Ich möchte per OpenVPN von aussen auf das LAN zugreifen. Das wird zumindest schwierig, wenn ich die FB im NAT-Modus betreibe. Ausserdem wollte ich mich wirklich von meinem alten Modem verabschieden, da ich vorhabe, bald auf ADSL2+ upzugraden, und das läuft mit dem alten Teil nicht.

Apropos Freetz, ich habe gestern beinahe die Box getötet damit :)
Nach dem Flashen hat sie endlos rebootet und zunächst hat nicht mal mehr Recover funktioniert. (Schock!) Zum Glück liess sie sich von Hand per ADAM2 wiederbeleben. Ich sollte wohl besser die Finger davon lassen und nur die paar Tools, die ich wirklich brauche per FWMod zum Image hinzufügen...
 

Beetlejuice

Mitglied
Mitglied seit
2 Feb 2007
Beiträge
251
Punkte für Reaktionen
0
Punkte
0
Zu dem Annex umflashen kann ich leider nicht mehr sagen. Ich musste mich noch nie damit auseinandersetzen. Wenn Du Probleme hast, häng Dich am besten an den genannten Thread dran, da lesen wohl die Leute mit, die mehr Ahnung haben. Vielleicht ist Dein Problem ja auch schon irgendwo auf den z.Zt. 79 Seiten beschrieben... ;)

Wenn Du demnächst Deinen DSL-Anschluss umstellst, kannst Du vielleicht einen brauchbaren Router mit eingebautem Modem günstig dazubekommen!?

Mit dem VPN und anderen Dingen auf der FritzBox sollte eigentlich auch kein Problem sein: Im DSL-Router leitest Du nur die notwendigen Ports zu Deinen Servern weiter. Alle anderen Ports leitest Du an die FritzBox (Stichwort "Exposed Host"). Die Firewall der FritzBox verwirft ja eh alles, was sie nicht erwartet, daher sehe ich da kein Sicherheitsrisiko.

Mit Freetz hatte ich persönlich noch nie ein Problem. Könnte aber auch daran liegen, dass ich damit eigentlich nichts anstelle, was nicht eh schon irgendwo erprobt und beschrieben wurde. Mit cpmacfg hab ich nie rumgespielt.
 

Dunji

Neuer User
Mitglied seit
28 Nov 2008
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Jetzt hab ichs auch hingekriegt. Annex A mit Freetz auf Labor-Firmware 54.04.63-13046!

Wunderbar. Jetzt, wo ich schon so weit bin, will ich aber den Rest auch noch versuchen hinzukriegen. Ich mach mal nen neuen Thread. Danke, Beetlejuice
 

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
232,920
Beiträge
2,028,148
Mitglieder
351,078
Neuestes Mitglied
saxybuma