[HOWTO] FB 3170 an Sphairon IAD Alice Resale

iiii

Neuer User
Mitglied seit
17 Apr 2008
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hier ein kurzes howto (mit aktiviertem Fritzbox DHCP-Server):

1. Firefox installieren IAD über LAN 1 mit FB verbinden, FB über (W-)LAN mit PC verbinden

2. im Firefox unter Ansicht --> Webseiten-Stil --> kein Stil einstellen

3. Webinterface der FB aufrufen

4. unter Erweiterte Einstellungen --> Internet --> Anschluss: Internetzugang über LAN 1;
Betriebsart: Eine Internetverbindung für alle Computer verwenden (Router);
Zugangsdaten: Zugangsdaten werden benötigt (PPPoE/PPPoA-Zugang);
Verbindungseinstellungen: anderer Internetanbieter;
Benutzername: siehe Alice-Unterlagen (Achtung: nicht von den seltsamen Benutzernamen-Ergänzungen verwirren lassen - die sind egal);
Kennwort: siehe Alice-Unterlagen;
Angeschlossene Netzwerkgeräte dürfen zusätzlich ihre eigene Internetverbindung aufbauen (PPPoE-Passthrough): deaktivieren;
Geschwindigkeiten des DSL-Anschlusses manuell angeben: hier kann man die zutreffende Up- und Downloadgeschwindigkeit eingeben.
Alles Andere habe ich nicht geändert/ausgefüllt.

5. Die FB bezieht ihre öffentliche IP automatisch und da man den DHCP-Server aktiviert hat, beziehen die angeschlossenen Netzwerkgeräte ihre IP auch selbstständig. Das Telefon läuft weiter über das IAD.
 
Zuletzt bearbeitet:

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
36
Hallo,

kurze wichtige Ergänzung: Diese Lösung ist sehr sicherheitskritisch! Da die 3170 nicht in der Lage ist, per VLAN das WAN Device abzukoppeln, gelangen alle internen Ethernetpakete ungefiltert aufs WAN Device. Das sollte zwar vom Anbieter geblockt werden, aber gerade bei Alice sind häufig Probleme diesbezüglich berichtet worden.

Die Symptome in dem Fall: Eure Fritzbox verteilt per DHCP IP-Adressen an andere Alice Nutzer, die sind dann wie per Ethernetswitch in euer LAN eingebunden. Das heißt, sie können eure Dateifreigaben und alle anderen Server in eurem LAN nutzen und ihr Internetverkehr läuft über euren Anschluss. Keine schöne Vorstellung.

Was alles in dem Fall passieren kann:
[PROBLEM] ARP overwritten: ALICE routet fremde private IPs über WAN

heise.de: Wenn der Nachbar heimlich mitsurft

Also jeder solle sich sehr genau überlegen, ob er diesen Hack anwendet! AVM hat die Einstellungen nicht umsonst verborgen in der Weboberfläche!
 

kuki77

Neuer User
Mitglied seit
8 Jun 2006
Beiträge
91
Punkte für Reaktionen
0
Punkte
6
@frank_m24:
Und was ist dann die sichere Alternative dazu?

http://www.ip-phone-forum.de/showpost.php?p=928728&postcount=1

Oder meinst Du, dass nur das Deaktivieren von DHCP ausreicht, um diese Anschlussvariante sicher zu machen?

- EDIT -
Sorry, ich habe das "Resale" im Titel überlesen. Bei der NGN-Variante entspricht doch die o.g. Methode der aus dem verlinkten Thread von Dir, oder?!
 
Zuletzt bearbeitet:

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
36
Hallo,

Und was ist dann die sichere Alternative dazu?
Eine Fritzbox kaufen, die offiziell "Internet über LAN" unterstützt, bzw. einen Router mit Ethernet als WAN Port benutzen.
Diese Methode ist so gefährlich, weil das Modell FB 3170 nicht für "Internet über LAN" geeignet ist - unabhängig vom DSL Anschluss und vom Provider. Das gilt grundsätzlich an absolut allen DSL Anschlüssen überall auf der Welt und für alle Fritzboxen, die kein "Internet über LAN" unterstützen!

Oder meinst Du, dass nur das Deaktivieren von DHCP ausreicht, um diese Anschlussvariante sicher zu machen?
Nein, DHCP spielt nur eine untergeordnete Rolle in dem Szenario. Die Layer 2 Bridge über den DSLAM besteht unabhängig von DHCP.

Bei der NGN-Variante entspricht doch die o.g. Methode der aus dem verlinkten Thread von Dir, oder?!
NEIN! In meinen FAQs steht nichts davon, dass man per CSS Trick bzw. ohne "Webseiten-Stil" verborgene Einstellungen sichtbar machen soll. :?
 

simfes

Mitglied
Mitglied seit
6 Jan 2008
Beiträge
448
Punkte für Reaktionen
0
Punkte
16
Hallo Frank!

Beziehe mich auf folgende Teile deines Statements:
Eine Fritzbox kaufen, die offiziell "Internet über LAN" unterstützt[...]

Diese Methode ist so gefährlich, weil das Modell FB 3170 nicht für "Internet über LAN" geeignet ist[...]

[...] und für alle Fritzboxen, die kein "Internet über LAN" unterstützen!
Und das sagt AVM dazu:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/Praxis_und_Tipps/12736.php

Hier findet sich keine Einschränkung im Bezug auf "FON"-Boxen mehr. Und (zumindest) mit der .52er-Beta inkl. VPN bzw. der offzl. .53er funktioniert Internet an LAN1 absolut problemlos.
Wenn eine 3170er das ganze auch nicht in der FW direkt in die GUI eingebaut haben sollte, heißt das aber doch noch nicht, dass es nicht geht, oder? :confused:

Was würden sonst all die armen Menschen mit T-Branding machen ;)




[EDIT]
Eben mal die neue FW .57 probiert: Die Einstellungen an LAN1 sind weiterhin verfügbar.
Gerät läuft -testweise- hinter einem Speedtouchmodem.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
36
Hallo,

Vorsicht bitte! Die Links in den Service-Portalen und FAQs sind Boxentyp-abhängig. Du erreichst die Seite direkt nur von den Portalen der Boxen, die das auch können. Und im Service-Portal bzw. den FAQs zur 3170 finde ich den Link nicht. Und: steht dort was von "Webseiten-Stil deaktivieren"? :-Ö
Also bitte: Stelle erst mal klar, zu welcher Box dieser Link gehört.

Und (zumindest) mit der .52er-Beta inkl. VPN bzw. der offzl. .53er funktioniert Internet an LAN1 absolut problemlos.
Nur weil etwas funktioniert, heißt es noch lange nicht, dass es auch frei von Sicherheitslücken und im vorgesehenen Umfeld arbeitet.
Mein Notebook läuft auch ohne Virenscanner und Firewall, ich kann mein WLAN unverschlüsselt betreiben oder meine Samba Freigaben ins Internet stellen. Geht alles, ist technisch überhaupt kein Problem. Und dafür muss ich nicht mal eine versteckte Option in einem Konfigurationsinterface sichtbar machen.

Wenn eine 3170er das ganze auch nicht in der FW direkt in die GUI eingebaut haben sollte, heißt das aber doch noch nicht, dass es nicht geht, oder? :confused:
Du willst mich verkohlen, oder?
Warum sollte AVM wohl ein viel gesuchtes Feature, das einen echten Mehrwert darstellt, in der Web-Oberfläche verstecken? Genau: Weil es einen handfesten Grund gibt.

[EDIT]
Eben mal die neue FW .57 probiert: Die Einstellungen an LAN1 sind weiterhin verfügbar.
Gerät läuft -testweise- hinter einem Speedtouchmodem.
Und verteilt nach wie vor schön brav seine Layer2 Broadcasts ins DSL Netz. Clever.
 

simfes

Mitglied
Mitglied seit
6 Jan 2008
Beiträge
448
Punkte für Reaktionen
0
Punkte
16
Hallo Frank,

die von mir verlinkte Seite ist direkt aus dem Portal der 3270er heraus abrufbar, in der Tat nicht über das Portal der 3170er.
Es gibt innerhalb des Manuals und auch eben direkt vom Portal aus einen eigenen Punkt "Einsatz hinter Kabel- oder DSL-Modem" - aber eben wirklich nur bei der neuen 3270er, nicht bei der alten 3170er.

Wenn mich allerdings richtig erinnere und mal in der uralten Auslieferungs-Firmware meiner 3170er stöbere, bin ich mir sehr sicher, dass es möglich war, den ATA-Modus damals auch noch direkt über GUI konfigurieren zu können :confused: - Mal schauen, ob ich die olle Kamelle noch einmal testweise auf die Bastelbox spiele... Denke mal ja, wenn es wirklich so ein heißes Thema sein sollte.

Wobei: Wenn es damals "sicher" gewesen sein soll, dann könnte der Wegfall der Funktion vielleicht auch eher marketingtechnische Gründe gehabt haben, oder? ;)
 

fb1112

Aktives Mitglied
Mitglied seit
24 Aug 2007
Beiträge
919
Punkte für Reaktionen
0
Punkte
0
Hi,

das ist doch irgendwie ein Armutszeugnis, dass die 3170 offiziell kein "Internet über LAN" unterstützt, oder? Die 3170 ist doch sozusagen eine 7170 ohne Fon-Funktion, die 7170 kann es offiziell, warum dann die 3170 nicht?
 

minoki

Neuer User
Mitglied seit
25 Jan 2008
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Hi
@Frank_m, oder wer es auch noch weiß :)

Ich habe über Lan1 meine 3170 als IP-Client hinter einer 3270 angeschlossen.
Da die 3270 Internet über Lan1 offiziell beherrscht, und direkt am IAD hängt, dürften die oben beschriebenen Sicherheitsprobleme bei meiner Konstellation doch nicht auftreten, oder täusche ich mich da ?
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
36
Hallo,

nein, bei den Boxen, für die AVM die Funktion freiwillig anbietet, ist es nicht gefährlich. Die verfügen entweder über 2 separate LAN Ports oder können einen LAN Port per VLAN aus einem Switch-Verbund herauslösen und so LAN und WAN sauber voneinander trennen. Dann hat alles seine Richtigkeit.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,288
Beiträge
2,032,435
Mitglieder
351,819
Neuestes Mitglied
olafa