Netzwerkzugriff auf Mesh Repeater einschränken

[TD13]

An einem 2. Standort teile ich mir den Internetzugang mit 2 weiteren Parteien per WLAN. An meiner Fritzbox 7490 gibt es ein Gastnetz, was die beiden weiteren Parteien benutzen. Bisher waren beide Netze voneinander getrennt. Jetzt möchten beide Parteien aber auch IPTV schauen, was im Gastnetz nicht möglich ist, da diese Pakete gefiltert werden.Daher haben beide Parteien sich einen Repeater mit LAN Anschluß zugelegt. Sie sind per Mesh eingebunden. Meine Fritzbox ist per VPN mit meiner Hauptfritzbox verbunden. Es läuft ein Raspi, ein NAS und einige Tasmota Schalter, die nicht passwortgeschützt sind. (DLNA, gemeinsamer Familienordner und Tasmota Steckdosen).

Daher mein Anliegen: ich möchte den Zugriff meiner 2 Partner auf alle Netzwerke sperren außer dem direkten Internetzugang auf der eigentlichen IP Adresse für IPTV Streaming und den Gastnetzbereich bzw. nur IPTV und das Gastnetz freigeben. Ist das irgendwie machbar? Danke.

 

[HabNeFritzbox]

Dein IPTV scheint wohl von Telekom zu sein, dass läuft nur über Multicast was FB nur über Heimnetz verteilt.

Wenn da etwas einschränken willst, ginge es nur über einen gemanagten Switch, über entsprechende Port Beschränkungen und ggf. Regeln (ACL).

 

[TD13]

Ja, es handelt sich um Mulitcast IPTV. Ein Switch kommt nicht in Frage, da die Repeater per WLAN angebunden sind.

 

[HabNeFritzbox]

Dann heißt es entweder, oder.

Zumal Problem wäre, dass Mesh dann wohl auch nicht möglich wenn man dem alles an Heimnetz Verbietet bis auf Multicast für IPTV. Und würden deine Geräte die Repeater nutzen, könntest auch nicht ins Heimnetz.

 

[TD13]

Ich brauche keinen Zugriff auf das Mesh, da ich in meinem Appartment einen perfekten Empfang habe. Das Mesh deshalb, da mehrere Stockwerke überwunden werden müssen.

 

[avm_7170]

Ein Switch kommt nicht in Frage, da die Repeater per WLAN angebunden sind.

Installiere doch eine zusätzliche FB die das Internet über LAN1 von deiner FB bezieht. Als Betriebsart stellst du "Internetverbindung selbst aufbauen" ein. Diese zusätzliche FB stellst nun deine Mitnutzern den IP Bereich zu Verfügung und hat eine eignen Firewall.
Deine Mitnutzer sind an der zusätzlichen FB per Wlan und Mesh mit dieser verbunden .

 

[PeterPawn]

Auch wenn solche Vorschläge immer wieder kommen ... mit einer Router-Kaskade verhindert man keinen Zugriff von den Clients an einem kaskadierten Router auf die Clients irgendeines beliebigen Routers, der davor (also in Richtung Internet) in der Kaskade hängt. Will man also den Zugriff auf Geräte hinter dem Edge-Router verhindern, hilft eine "einfache Kaskade" da auch nicht weiter ... die einzige Lösung mit einem zusätzlichen Router wäre es, die zu schützenden Geräte ebenfalls hinter einen eigenen kaskadierten Router zu setzen (der dann wieder direkt am Edge-Router hängt, parallel zu anderen Clients - auch weiteren kaskadierten Routern), was - je nach Anwendungen - nicht immer eine gute Idee ist.

 

[avm_7170]

mit einer Router-Kaskade verhindert man keinen Zugriff von den Clients an einem kaskadierten Router auf die Clients irgendeines beliebigen Routers

Den Zugriff von Clients an dem Zusätzlichen Router der eine eignen Firewall hat ..und eine eignen IP Adresse Bereich und Subnetzmaske.
Mir scheint das es genauso sicher wäre wie das Gastnetz ...
Natürlich wäre ein zweiter zusätzliche Router für die eignen Anwendungen noch sicher ... die Frage ist doch auch ..wie sicher muss es für den TS denn sein.

 

[PeterPawn]

Mir scheint das es genauso sicher wäre wie das Gastnetz

Niemals ... jeder Client hinter dem kaskadierten Router kann - genauso auch beim Gastnetz, da werden nur die nutzbaren Ports zusätzlich beschränkt in der Standardeinstellung - auf die Clients in jedem Netz vor dem Router zugreifen, genauso wie auf jede andere "Internet-Adresse", denn am WAN-Interface des kaskadierten Routers beginnt für die Clients dahinter bereits "das Internet".

Der Router übersetzt die Adressen aus seinem LAN in die eigene WAN-Adresse (wir bleiben der Einfachheit halber mal bei IPv4) und mit dieser ist jeder beliebige Client aus jedem Netz, das zwischen diesem Router und dem Edge-Router (der dann tatsächlich die Internet-Verbindung herstellt) liegt, zu erreichen und zwar auch bidirektional, solange die Verbindung von einem "späteren" Client in der Kaskade aufgebaut wurde und damit ein "connection tracking" in der Firewall vorhanden ist, das Antwortpakete von außen nach innen durchläßt.

Da ist also gar nichts wirklich sicher ... die einzige Herausforderung für einen Client hinter dem kaskadierten Router wäre das "Kartieren" der Netze davor und den ersten Hinweis auf die verwendeten Netzwerk-Adressen erhält man schon über das IGD(2)-Interface, was fast jeder SOHO-Router auch anbietet.

Das "Gastnetz" verhindert auch nur den Zugriff auf die LAN-Clients des Routers, von dem es "aufgespannt" wird - da wird dann das Routing von IP-Paketen zwischen diesen Interfaces (in der FRITZ!Box sind das zwei Software-Bridges) unterbunden. Aber die vorgelagerten Router haben gar keine Ahnung, ob ein Paket nach dem Setzen der WAN-Adresse des Routers als Quelle (das ist dann das, was man als NAT kennt) nun aus dem Gastnetz oder irgendeinem anderen Netz hinter dem Router mit dieser WAN-Adresse stammt. Das könnte man auch nur mittels spezieller Flags oder über eine getrennte WAN-Adresse irgendwie mitteilen ... ist hier aber auch nicht der Fall. Damit sehen die Pakete vor dem Router alle gleich aus, egal ob die aus dessen LAN oder aus dessen Gastnetz stammen.

 

[TD13]

In anderen Worten keine Chance über eine kaskadierte Fritzbox die Netze zu trennen. Im Prinzip müßte ich über einen AP mit eingebauter Bridge den Gastzugang ermöglichen. Dann würden auch Mulitcast Pakete durchgehen. Die Mesh Funktion hätte ich dann nicht mehr,

 

[avm_7170]

In anderen Worten keine Chance über eine kaskadierte Fritzbox die Netze zu trennen.

Wie PeterPawn schrieb gibt es eine Chancen, nur du muss eben 3 FB einsetzen,
1. FB für den Internetzugang
2. FB an einen LAN Anschluss für dich
3. FB an einen zweiten LAN Anschluss für deine Nachbarn.

 

[TD13]

OK. Danke

 

[betaman2]

...also ich selbst betreibe diese Lösung mit dem "kaskadierten Router" ohne Probleme.
Der "Client"-Router hat nach "außen" eine IP-Adresse aus dem Adreßbereich des "Master"-Routers" und nach innen (Lan2 bis Lan4) einen eigenen, anderen Bereich mit DHCP.
Die Rechner hinter dem Client können IP-Fernsehen.
Mit dem "Advanced IP-Scanner" kann ich keine Netzwerkgeräte aus dem jeweiligen anderen Netzwerk sehen, selbst der "Client"-Router ist aus dem "Master"-Netzwerk nicht zu sehen.
Weil das alles "innerhalb der Familie" stattfindet, erwarte ich auch keine Angriffe.
Über das Lan-Kabel könnte man selbstverständlich ohne Schwierigkeiten in das primäre Netz gelangen.
Um das zu verhindern käme die Lösung von @avm_7170 infrage.
@PeterPawn , was ist eigentlich IDG(2) ?

 

[PeterPawn]

Internet Gateway Device Protocol - Wikipedia

en.wikipedia.org

 

[betaman2]

Vielen Dank, das hatte ich noch nicht "auf dem Schirm". Bin ja eher der Hardwarefuzzi.
Meine kaskadierte Box arbeitet natürlich nicht als IP-Client sondern als Router hinter dem Modem.
Ich habe auch noch eine 3.Box (z.Zt. 3270), als IP-Client, um mein Netzwerk vor den Mesh-Unarten zu schützen.
Meine (Not)Lösung
Was müßte man denn tun, um meinen Aufbau von außen anzugreifen?