.titleBar { margin-bottom: 5px!important; }

[HOWTO] FB 3170 an Sphairon IAD Alice Resale

Dieses Thema im Forum "O2" wurde erstellt von iiii, 12 Juni 2008.

  1. iiii

    iiii Neuer User

    Registriert seit:
    17 Apr. 2008
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 iiii, 12 Juni 2008
    Zuletzt bearbeitet: 13 Juni 2008
    Hier ein kurzes howto (mit aktiviertem Fritzbox DHCP-Server):

    1. Firefox installieren IAD über LAN 1 mit FB verbinden, FB über (W-)LAN mit PC verbinden

    2. im Firefox unter Ansicht --> Webseiten-Stil --> kein Stil einstellen

    3. Webinterface der FB aufrufen

    4. unter Erweiterte Einstellungen --> Internet --> Anschluss: Internetzugang über LAN 1;
    Betriebsart: Eine Internetverbindung für alle Computer verwenden (Router);
    Zugangsdaten: Zugangsdaten werden benötigt (PPPoE/PPPoA-Zugang);
    Verbindungseinstellungen: anderer Internetanbieter;
    Benutzername: siehe Alice-Unterlagen (Achtung: nicht von den seltsamen Benutzernamen-Ergänzungen verwirren lassen - die sind egal);
    Kennwort: siehe Alice-Unterlagen;
    Angeschlossene Netzwerkgeräte dürfen zusätzlich ihre eigene Internetverbindung aufbauen (PPPoE-Passthrough): deaktivieren;
    Geschwindigkeiten des DSL-Anschlusses manuell angeben: hier kann man die zutreffende Up- und Downloadgeschwindigkeit eingeben.
    Alles Andere habe ich nicht geändert/ausgefüllt.

    5. Die FB bezieht ihre öffentliche IP automatisch und da man den DHCP-Server aktiviert hat, beziehen die angeschlossenen Netzwerkgeräte ihre IP auch selbstständig. Das Telefon läuft weiter über das IAD.
     
  2. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    kurze wichtige Ergänzung: Diese Lösung ist sehr sicherheitskritisch! Da die 3170 nicht in der Lage ist, per VLAN das WAN Device abzukoppeln, gelangen alle internen Ethernetpakete ungefiltert aufs WAN Device. Das sollte zwar vom Anbieter geblockt werden, aber gerade bei Alice sind häufig Probleme diesbezüglich berichtet worden.

    Die Symptome in dem Fall: Eure Fritzbox verteilt per DHCP IP-Adressen an andere Alice Nutzer, die sind dann wie per Ethernetswitch in euer LAN eingebunden. Das heißt, sie können eure Dateifreigaben und alle anderen Server in eurem LAN nutzen und ihr Internetverkehr läuft über euren Anschluss. Keine schöne Vorstellung.

    Was alles in dem Fall passieren kann:
    [PROBLEM] ARP overwritten: ALICE routet fremde private IPs über WAN

    heise.de: Wenn der Nachbar heimlich mitsurft

    Also jeder solle sich sehr genau überlegen, ob er diesen Hack anwendet! AVM hat die Einstellungen nicht umsonst verborgen in der Weboberfläche!
     
  3. kuki77

    kuki77 Neuer User

    Registriert seit:
    8 Juni 2006
    Beiträge:
    91
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    #3 kuki77, 16 Juni 2008
    Zuletzt bearbeitet: 16 Juni 2008
    @frank_m24:
    Und was ist dann die sichere Alternative dazu?

    http://www.ip-phone-forum.de/showpost.php?p=928728&postcount=1

    Oder meinst Du, dass nur das Deaktivieren von DHCP ausreicht, um diese Anschlussvariante sicher zu machen?

    - EDIT -
    Sorry, ich habe das "Resale" im Titel überlesen. Bei der NGN-Variante entspricht doch die o.g. Methode der aus dem verlinkten Thread von Dir, oder?!
     
  4. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Eine Fritzbox kaufen, die offiziell "Internet über LAN" unterstützt, bzw. einen Router mit Ethernet als WAN Port benutzen.
    Diese Methode ist so gefährlich, weil das Modell FB 3170 nicht für "Internet über LAN" geeignet ist - unabhängig vom DSL Anschluss und vom Provider. Das gilt grundsätzlich an absolut allen DSL Anschlüssen überall auf der Welt und für alle Fritzboxen, die kein "Internet über LAN" unterstützen!

    Nein, DHCP spielt nur eine untergeordnete Rolle in dem Szenario. Die Layer 2 Bridge über den DSLAM besteht unabhängig von DHCP.

    NEIN! In meinen FAQs steht nichts davon, dass man per CSS Trick bzw. ohne "Webseiten-Stil" verborgene Einstellungen sichtbar machen soll. :?
     
  5. simfes

    simfes Mitglied

    Registriert seit:
    6 Jan. 2008
    Beiträge:
    448
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    127.0.0.1
    Hallo Frank!

    Beziehe mich auf folgende Teile deines Statements:
    Und das sagt AVM dazu:
    http://www.avm.de/de/Service/Service-Portale/Service-Portal/Praxis_und_Tipps/12736.php

    Hier findet sich keine Einschränkung im Bezug auf "FON"-Boxen mehr. Und (zumindest) mit der .52er-Beta inkl. VPN bzw. der offzl. .53er funktioniert Internet an LAN1 absolut problemlos.
    Wenn eine 3170er das ganze auch nicht in der FW direkt in die GUI eingebaut haben sollte, heißt das aber doch noch nicht, dass es nicht geht, oder? :confused:

    Was würden sonst all die armen Menschen mit T-Branding machen ;)




    [EDIT]
    Eben mal die neue FW .57 probiert: Die Einstellungen an LAN1 sind weiterhin verfügbar.
    Gerät läuft -testweise- hinter einem Speedtouchmodem.
     
  6. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Vorsicht bitte! Die Links in den Service-Portalen und FAQs sind Boxentyp-abhängig. Du erreichst die Seite direkt nur von den Portalen der Boxen, die das auch können. Und im Service-Portal bzw. den FAQs zur 3170 finde ich den Link nicht. Und: steht dort was von "Webseiten-Stil deaktivieren"? :-Ö
    Also bitte: Stelle erst mal klar, zu welcher Box dieser Link gehört.

    Nur weil etwas funktioniert, heißt es noch lange nicht, dass es auch frei von Sicherheitslücken und im vorgesehenen Umfeld arbeitet.
    Mein Notebook läuft auch ohne Virenscanner und Firewall, ich kann mein WLAN unverschlüsselt betreiben oder meine Samba Freigaben ins Internet stellen. Geht alles, ist technisch überhaupt kein Problem. Und dafür muss ich nicht mal eine versteckte Option in einem Konfigurationsinterface sichtbar machen.

    Du willst mich verkohlen, oder?
    Warum sollte AVM wohl ein viel gesuchtes Feature, das einen echten Mehrwert darstellt, in der Web-Oberfläche verstecken? Genau: Weil es einen handfesten Grund gibt.

    Und verteilt nach wie vor schön brav seine Layer2 Broadcasts ins DSL Netz. Clever.
     
  7. simfes

    simfes Mitglied

    Registriert seit:
    6 Jan. 2008
    Beiträge:
    448
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    127.0.0.1
    Hallo Frank,

    die von mir verlinkte Seite ist direkt aus dem Portal der 3270er heraus abrufbar, in der Tat nicht über das Portal der 3170er.
    Es gibt innerhalb des Manuals und auch eben direkt vom Portal aus einen eigenen Punkt "Einsatz hinter Kabel- oder DSL-Modem" - aber eben wirklich nur bei der neuen 3270er, nicht bei der alten 3170er.

    Wenn mich allerdings richtig erinnere und mal in der uralten Auslieferungs-Firmware meiner 3170er stöbere, bin ich mir sehr sicher, dass es möglich war, den ATA-Modus damals auch noch direkt über GUI konfigurieren zu können :confused: - Mal schauen, ob ich die olle Kamelle noch einmal testweise auf die Bastelbox spiele... Denke mal ja, wenn es wirklich so ein heißes Thema sein sollte.

    Wobei: Wenn es damals "sicher" gewesen sein soll, dann könnte der Wegfall der Funktion vielleicht auch eher marketingtechnische Gründe gehabt haben, oder? ;)
     
  8. fb1112

    fb1112 Aktives Mitglied

    Registriert seit:
    24 Aug. 2007
    Beiträge:
    919
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    das ist doch irgendwie ein Armutszeugnis, dass die 3170 offiziell kein "Internet über LAN" unterstützt, oder? Die 3170 ist doch sozusagen eine 7170 ohne Fon-Funktion, die 7170 kann es offiziell, warum dann die 3170 nicht?
     
  9. minoki

    minoki Neuer User

    Registriert seit:
    25 Jan. 2008
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi
    @Frank_m, oder wer es auch noch weiß :)

    Ich habe über Lan1 meine 3170 als IP-Client hinter einer 3270 angeschlossen.
    Da die 3270 Internet über Lan1 offiziell beherrscht, und direkt am IAD hängt, dürften die oben beschriebenen Sicherheitsprobleme bei meiner Konstellation doch nicht auftreten, oder täusche ich mich da ?
     
  10. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    nein, bei den Boxen, für die AVM die Funktion freiwillig anbietet, ist es nicht gefährlich. Die verfügen entweder über 2 separate LAN Ports oder können einen LAN Port per VLAN aus einem Switch-Verbund herauslösen und so LAN und WAN sauber voneinander trennen. Dann hat alles seine Richtigkeit.