.titleBar { margin-bottom: 5px!important; }

Routing/Firewall/WLAN

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von sweetie-pie, 22 Feb. 2006.

  1. sweetie-pie

    sweetie-pie Neuer User

    Registriert seit:
    5 Feb. 2005
    Beiträge:
    118
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Niedersachsen
    Hallo,

    habe mal eine Frage, habe so direkt nichts gefunden im Forum.
    Folgender Aufbau:

    Code:
                    WAN
                     |
            +-----------------+
            | Fritz!Box 5050  |
            | openVPN         |
            | LAN A     LAN B |
            +-----------------+
             |               | 
    192.168.2.*              192.168.1.*
     +--------+            +-------------+
     | switch |            | WLAN (WAP54)|
     +--------+            +-------------+
    lokales Netz
    Folgende Regeln:
    192.168.2.*:
    Darf ins WAN
    Darf ins WLAN (192.168.1.*)
    192.168.1.*:
    Darf ins WAN
    Darf nicht direkt ins lokale Netz (192.168.2.*)
    Darf über openVPN ins lokale Netz (192.168.2.*)

    Ist soetwas überhaupt möglich?
    DHCP von der Fritzbox oder muss ich zwangsläufig static haben?
    Kann ich LAN A & B der FB irgenwie in unterschiedliche Netze bringen?

    :noidea:

    sweetie-pie
     
  2. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    VLAN?!? Kein Heimgerät kann VLAN! Das wär mir jetzt total neu und ist doch auch dafür nicht nötig. Das ganze funktioniert nur, wenn die Fritzbox 5050 keinen Switch sondern 2 Netzwerkinterfaces wie auch die 7050 integriert hat, wovon ich ausgehe. Schau doch mal, ob du die Option "Alle Geräte befinden sich im selben Netzwerk" findest, die mußt du deaktivieren, dann kannst du jedem LAN Port Adressen zuweisen.

    EDIT: Hier noch schnell etwas Lektüre bei Wikipedia: http://de.wikipedia.org/wiki/VLAN
    VLAN ist ein in den Ethernet Header eingebetteter Tag, das wurde hier im Forum schon öfter mal falsch benutzt.

    Mfg,
    danisahne
     
  3. heini66

    heini66 Gesperrt

    Registriert seit:
    12 März 2005
    Beiträge:
    2,163
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    irgendwo im wald im kreuz von hh und lg
    #4 heini66, 22 Feb. 2006
    Zuletzt bearbeitet: 22 Feb. 2006
    Die LAN-Ports werden vom ADM6996 von Infineon/ADMtek gebildet. Dieser alte Bekannte wurde auch im WRT54G bis zur Hardwarerevision 2.0 eingesetzt und ist VLAN-fähig. Diese Funktion wird IMHO bei der FBox nicht genutzt, war beim WTR54G essentiell, da dieser über den Switch sowohl internen als auch externen Verkehr abgewickelt hat.
    gefunden:
    http://www.cassy.de/ unter it/ computer 7170.
     
  4. DirkKn

    DirkKn Mitglied

    Registriert seit:
    15 Nov. 2005
    Beiträge:
    475
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    :confused: Also sowohl meine Lancom 1811, wie auch mein D-Link DES-3326S hier können VLAN nach IEEE 802.1q :rolleyes:
     
  5. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    Hast recht, aber für was braucht man im Heimbereich VLAN? Bei ner Fritzbox ist mir das aber noch nicht untergekommen, oder hab ich da schon wieder was übersehen?

    Benutzt du das VLAN Feature? An sich macht es für mich nur Sinn, wenn mehrere VLAN fähige Geräte beteiligt sind. Aber für den normalen Heimanwender ist das doch nicht von Bedeutung.

    EDIT: Der D-Link DES-3326S ist ja wohl kein normales Heimgerät mehr. Die 3Com SuperStack Switches die hier rumliegen können auch VLAN ;)

    Mfg,
    danisahne
     
  6. DirkKn

    DirkKn Mitglied

    Registriert seit:
    15 Nov. 2005
    Beiträge:
    475
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich habe am Anfang damit den Verkehr der beiden DSL-Anschlüsse getrennt. Habe mich dann aber kurze Zeit darauf entschlossen lieber das Loadbalancing zu nutzen ;) , da die Firmennotebooks sowieso per VPN end-to-end arbeiten.
    VPN's sind vielleicht nützlich, wenn man seinen DSL-Anschluss mit dem Nachbarn teilt.
     
  7. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    Also der Switch in der 7170 kann anscheinend VLAN, wird aber nicht genutzt: http://cassy.de/fbox7170/index.html

    Ich halte das in einem Heimnetzwerk immer noch für unwichtig, weil kaum Einsatzscenarien, aber ich hab mich geirrt, scheint immer mehr auch in den Heimgeräten zu kommen. Kostenlose Features nehm ich natürlich gerne mit, aber eine Anwendung hätte ich dafür jetzt nicht.

    Zurück zum Problem, dafür braucht man kein VLAN, da die Fritzbox 2 Netzwerkinterfaces hat.

    @sweetie-pie:
    Hast du die Option "Alle Rechner befinden sich im gleichen Netzwerk" gefunden?

    Mfg,
    danisahne
     
  8. sweetie-pie

    sweetie-pie Neuer User

    Registriert seit:
    5 Feb. 2005
    Beiträge:
    118
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Niedersachsen
    #9 sweetie-pie, 22 Feb. 2006
    Zuletzt bearbeitet: 22 Feb. 2006
    ja, habe ich... danke.:)
    Jetzt stellt sich mir noch die Frage wie ich das Routing/Firewall implementiere?
    Wie deaktiviere ich den Weg von Lan B zu A, aber erlaube Weg A zu B?
    Muss ich openVPN dann an Lan A binden?
    Ist openVPN dann noch über das WAN, Lan B erreichbar?:confused:

    Im Endeffekt brauche ich eine ähnliche Lösung wie hier hier, gell?

    sweetie-pie
     
  9. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    Bin mir nicht sicher, ob das mit der ar7.cfg geht, da müssen anderen antworten. Ich würde z.B. den danisahne mod nehmen, da is Iptables drin. Damit geht es auf jeden Fall.

    Mfg,
    danisahne