.titleBar { margin-bottom: 5px!important; }

FritzBox und FON.COM / Trennen Internes Netz von FON-Netz

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von bitboy0, 16 Sep. 2006.

  1. bitboy0

    bitboy0 Neuer User

    Registriert seit:
    7 Juni 2005
    Beiträge:
    151
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo erstmal ... ;)

    Also ich möchte gerne "Fonero" werden. Dazu erhält man ja einen WiFi-Router mit spezieller Firmware den man an seinem DSL-Modem anschließen soll.

    Allerdings habe ich das so verstanden das mit diesem einfachen Gerät die Trennung von privatem Netz und WiFi nicht sicher gelingen kann. Da ich als Modem und VoIP-Telefonie-Anlage die Fritzbox weiter benutzen möchte würde ich gerne wissen wie ich das anstelle... der FON-WiFi-Router soll dabei zwar vollen Zugriff auf das Internet haben, aber die dort eingeloggten User sollen keinen Zugriff auf mein internes Netzwerk bekommen... ausser durch die von mir eingerichteten Portweiterleitungen.

    Soweit ich verstanden habe ist das was ich brauche ein DMZ?

    Ich hab eine 7050 und eine 7170 zur Auswahl ... wie richte ich das ein und wie sorge ich dafür das es auch nach einem Neustart der Box noch funktioniert?

    gruß
     
  2. bitboy0

    bitboy0 Neuer User

    Registriert seit:
    7 Juni 2005
    Beiträge:
    151
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Was ist den los Mädels?!

    Geht das was ich will? Hat jemand eine Antwort? Oder ist die Frage so dumm?
    Sagt mal was ... bitte.

    gruß
     
  3. bitboy0

    bitboy0 Neuer User

    Registriert seit:
    7 Juni 2005
    Beiträge:
    151
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Nasowas...

    Nach zwei Tagen noch keine einzige Antwort auf diese Frage... Weis niemand was? gehts nicht?

    HaaaLloooo .... (?)
     
  4. sagichnicht04

    sagichnicht04 Gesperrt

    Registriert seit:
    6 Juli 2006
    Beiträge:
    96
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    FON ist scheiße, das wird der Grund für so viele Antworten sein.
     
  5. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    eine ganz ähnliche Frage hatten wir schon. Wenn ich mich recht erinnere, lässt es sich mit der Fritz nicht realsieren.

    Viele Grüße

    Frank
     
  6. Peanuts

    Peanuts Neuer User

    Registriert seit:
    18 Mai 2005
    Beiträge:
    91
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Nö, geht einwandfrei. Der WAN-Anschluss des FON-Routers kommt an LAN-A oder LAN-B der Fritz!Box, eventuell über einen Switch. Der FON-Router bekommt seine LAN-IP vom DHCP-Server der FB.

    Man muss den FON-Router registrieren, in dem man sich per WLAN mit dem FON-Router verbindet (per Kabel geht nicht) und im Webbrowser eine beliebige Adresse eingibt. Man wird automatisch auf die Login-Seite von FON umgeleitet. Steht aber alles in der Anleitung die beiliegt.
     
  7. Harris

    Harris Neuer User

    Registriert seit:
    25 März 2006
    Beiträge:
    198
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also seit der neusten FW geht es eigentlich ziemlich gut, so lange du kein WDS oder mehrere Boxen hast!
    Der Fon Router sperrt automatisch z.B. bei der FBOX die 192.168.178.xxx Adressen ;-)

    LG

    Harris
     
  8. bitboy0

    bitboy0 Neuer User

    Registriert seit:
    7 Juni 2005
    Beiträge:
    151
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke das mal jemand geantwortet hat ;)

    Ob FON gut ist oder nicht ... ich denke es wird umso besser je mehr Leute da mitmachen, oder? Jedenfalls würde ich das gerne mal testen.

    Wenn der FON-Router alle Adressen des internen Netzes sperrt dann kann niemand über den FON-Router auf mein lokales Netz... das leuchtet mir ein und ist eine gute Lösung.

    Was ich nicht verstehe... wenn ich auf Kanal 13 ein WDS bestehend aus zwei Fritzboxen habe ... dann sollte es doch kein Problem sein wenn ich auf Kanal 1 (und mit ein paar Metern Abstand) einen FON-Router per TP-Kabel an einer der Fritzboxen anschliesse, oder? Auf jeden Fall müsste der FON-Router doch an der MASTER-Box gehen... also an der Fritzbox die direkt am DSL hängt, oder?

    gruß
     
  9. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Wenn du die APs auf Kanal 1 und 13 betriebst, dann sollte das kein Problem sein. Aber WDS Fritzboxen sind standardmäßig auf Kanal 1, und dann hast du natürlich die volle Kollision. Aber vielleicht kannst du den FON Router umstellen.

    Übrigens hab ich grad die Woche noch irgendwo gelesen (heise.de?), dass es in den FON Routern eine Sicherheitslücke gibt, die den Zugriff aufs LAN des Betreibers erlaubt. So viel zum Thema Trennung.

    Viele Grüße

    Frank
     
  10. bitboy0

    bitboy0 Neuer User

    Registriert seit:
    7 Juni 2005
    Beiträge:
    151
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich hab meine Fritzbox auf 13 konfiguriert.... ja, und ich habe natürlich auch Sorge das mir so eine Sicherheitslücke das Netz öffnet....

    ich werde das auf jeden fall im Auge behalten!

    gruß
     
  11. jjbig

    jjbig Neuer User

    Registriert seit:
    21 März 2005
    Beiträge:
    63
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich überlege auch, hier teilzunehmen, da ich die Idee gut finde. Nur habe ich auch Sicherheitsbedenken. Am liebsten wäre es mir über das ds-mod mit iptables zu arbeiten und damit die Netze auf den ethernet-Interfaces zu trennen. Also quasi vlans aufzubauen die nicht miteinander kommunizieren können.

    Hat jemand schon damit Erfahrung?
     
  12. mayfly

    mayfly Neuer User

    Registriert seit:
    27 Juni 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ist hier schon jemand schlauer geworden was die Sicherheit des eigenen Netzes angeht.
     
  13. lighter

    lighter Neuer User

    Registriert seit:
    21 März 2006
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @frank_m24

    Also ich beschäftige mich schon relativ lange mit FON und kann deine Aussage bzgl. der Sicherheitslücke nicht nachvollziehen!
    Die einzige bekannte Sicherheitslücke der La Fonera (der kostenlose WiFi FON Accesspoint) war in den Firmwares <0.7.1.r2 in welcher man den SSH Zugang aktivieren konnte und somit FON von ungewollte konfigurationen vornehmen konnte. Mittlerweile wurde ja 0.7.1.r2 released und die "Sicherheitslücke" ist geschlossen.
    Dies betrifft aber nicht den Zugriff vom Public FON Wlan auf das Private Netzwerk. Dieser Zugriff ist und war schon immer gesperrt.

    Ich betreibe problemlos 2 La Foneras mit einer 7050 und einer Fritzbox 7170.

    Ihr müsst nur darauf achten, dass ihr den vorgegebenen DNS von FON abändert da dieser zur Zeit stark überlastet ist!
     
  14. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    #14 frank_m24, 14 Jan. 2007
    Zuletzt bearbeitet: 14 Jan. 2007
    Hallo,

    es mag sein, dass der Fonera Router den Zugriff auf das eine Subnetz unterbindet. Dennoch bin ich fest davon überzeugt, dass der Einsatz ein massives Sicherheitsproblem mit sich bringt, da es meistens mehrere Subnetze hinter dem FON Router gibt.

    Nehmen wir nur mal die Fritz Funktion, die Subnetze auf den LAN Interfaces zu trennen. Und schon befinden sich die Rechner in einem anderen Subnetz, als der FON Router, und die Box routet brav den Traffic auf die PCs. Und diese Vorgehensweise kann man auch auf andere Subnetze, die irgendwo vorhanden sind, transferieren. So reagiert ja die Box standardmäßig schon auf verschiedene IPs, und man kann nehezu beliebig auf ihr Webinterface zugreifen.

    Des weiteren bin ich mir nicht klar, wie der FON Router mit Braodcasts umgeht. Möglicherweise lassen sich Informationen des hinter dem FON Router liegenden Netzes aus Broadcasts herausholen. Wie geht der FON Router mit Spielereien an der Subnetzmaske um? Mit manipulierten IP Paketen?

    Fazit: Ich bin nicht davon überzeugt, dass der Ansatz, den Zugriff auf das Subnetz hinter dem FON Router zu blocken, hinreichend ist. Diese Funktion an sich mag gehen, aber um seine PCs vor illegalem Zugriff zu schützen, wird das meines Erachtens nicht reichen.

    Viele Grüße

    Frank
     
  15. lighter

    lighter Neuer User

    Registriert seit:
    21 März 2006
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wieso probierst du es nicht einfach mal aus?
    Ich meine du bist ja ein echter Fachmann auf diesem Gebiet und könntest es ja austesten. Mir fehlt dazu einfach das Fachwissen.

    LaFoneras gibt es an jeder Ecke umsonst!! Falls man dann doch seine Mitgliedschaft kündigen will, gibt man den Router einfach weiter oder schickt ihn an Fon zurück.

    Ich denke aber wenn die von dir beschriebenen bedenken bestehen würden, wären sie schon längst publick geworden. Entweder auf diversen fonboards, in fachzeitschriften oder sonstwo.

    gruß
     
  16. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    du hast einen FON Router an einer Fritzbox? Melde dich einfach mal an deinem FON Router an und tippe in einen Browser http://192.168.179.1. Dann berichte mal, was passiert.

    Viele Grüße

    Frank
     
  17. lighter

    lighter Neuer User

    Registriert seit:
    21 März 2006
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #17 lighter, 14 Jan. 2007
    Zuletzt bearbeitet: 14 Jan. 2007
    Ok, soweit reichen meine kentnisse dann doch *g*.
    Also wenn man mit dem Privaten WPA2 verschlüsselten WLAN verbunden ist, kann man auf die Fritzbox zugreifen und auf alle angeschlossenen Computer mit Freigaben (dann aber nur über die IP).
    Ist man mit dem Öffentlichen WLAN verbunden, werden sämtliche Zugriffsversuche ins eigene Netzwerk geblockt. Sei es auf den Router (192.168.178.1) oder auf andere Computer, auch wenn man sich als FON User authentifiziert hat. Ausnahmslos!

    Edit:
    Pingbefehl an die Fritzbox scheiter auch, wenn man mit dem öffentlichen Netz verbunden ist.
    Obwohl ich die Fritzbox als DNS eingetragen hab.
     
  18. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Du sollst nicht 192.168.178.1, sondern 192.168.179.1 aufrufen.

    Viele Grüße

    Frank
     
  19. lighter

    lighter Neuer User

    Registriert seit:
    21 März 2006
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    OK, zugriff aufs webinterface (192.168.179.1) gibt es sogar im öffentlichen WLAN, aber erst nach authentifizierung auf der FON loginseite.
     
  20. detg

    detg Aktives Mitglied

    Registriert seit:
    18 Aug. 2006
    Beiträge:
    1,498
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Irgendwo in der Pampa zwischen Kassel und Frankfur
    #20 detg, 15 Jan. 2007
    Zuletzt bearbeitet: 15 Jan. 2007
    Das ist natürlich übel, aber es ist logisch, dass der Zugriff funktioniert, denn das Fonera hängt ja intern an der Fritzbox. So wie der PC, mit dem ich konfiguriere.

    Man bräuchte also wirklich ein zweites lokales IP-Netz auf der Fritzbox, an dem das Fonera hängt und über das das Webinterface der Fritzbox blockiert ist.

    Ähnliche Anfrage meine ich hier im Forum schon gelesen zu haben. Müsste doch per Mod möglich sein ?

    EDIT: Ich habe gerade nochmal im Fonera-Forum nachgeschaut. Also das Fonera blockt wohl von sich aus schon alle Zugriff ins lokale Netz. Lediglich den Zugriff auf die Fritzbox muss man noch blocken. Dafür muss man, wie man das von der Fritzbox per Telnet kennt, über SSH auf das Fonera drauf gehen und z.B. die iptables modifizieren.

    Infos dazu findet man hier: http://www.fonboard.de/wie-mache-ich-die-fonera-sicher-t602.html