.titleBar { margin-bottom: 5px!important; }

Sichere Trennung WLAN und LAN-Clients (FBF 7170)

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von ESLALO001, 30 Dez. 2006.

  1. ESLALO001

    ESLALO001 Neuer User

    Registriert seit:
    16 Dez. 2004
    Beiträge:
    28
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 ESLALO001, 30 Dez. 2006
    Zuletzt bearbeitet: 30 Dez. 2006
    Hallo Zusammen,

    um eine sichere Trennung meines kleinen Firmennetzwerkes zu den Clients meiner Jungs zu bewerkstelligen, habe ich folgende Einstellungen vorgenommen:

    Firmennetzwerk-Clients nur über LAN an FBF angeschlossen.
    Clients meiner Jungs gehen nur über WLAN ins Internet und sind nicht in der Domain angemeldet (nur Mitglied einer Arbeitsgruppe)

    In der FBF habe ich die Möglichkeit der verschiedenen Subnetze (Alle Computer befinden sich im selben IP-Netzwerk - deaktiviert) benutzt, so das das Firmennetzwerk z.B. unter 192.168.500.* und die PCs der Jungs unter 192.168.600.* erreichbar sind.

    Damit war ich der Meinung das eine saubere Trennung gegeben ist, bis ich per Zufall festgestellt habe das von 192.168.600.100 (PC Jungs) ein Ping an die FBF unter 192.168.500.1 ging.

    Eine Anfrage beim AVM-Support ergab, das es nicht ganz auszuschliesen ist das die FBF (es ist nunmal ein Router :noidea: ) auch unter verschiedenen Subnetzen routet.

    Nun meine Frage:

    Gibt es für die 7170 (neuste Firmware) einen Mod mit dem ich eine strickte Trennung der Subnetze bewerkstelligen kann ?

    Environment:

    FBF 7170 - Firmware: 29.04.29
    Firmennetzwerk mit Windows 2003 Server
    Clients Windows 2000 und XP Clients.
    Die PCs meiner Jungs haben alle Windows XP und sind auf den aktuellen Stand.

    Hat jemand einen Tipp für mich ?

    Danke

    Andreas
     
  2. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Nicht auszuschließen? :D Das ist ganz sicher so. Ist sogar dokumentiert.

    Mit iptables aus dem DS-Mod vielleicht. Erfordert aber einiges Hintergrundwissen über Firmware-Mods, Linux und Firewalls.

    Ganz sicher wäre es, dein Firmennetz hinter einen zweten NAT Router zu hängen. Dann ist Schluss, da kommen deine Jungs nicht durch.

    Viele Grüße

    Frank
     
  3. ESLALO001

    ESLALO001 Neuer User

    Registriert seit:
    16 Dez. 2004
    Beiträge:
    28
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Frank,

    danke für die Antwort.
    Mir scheint es so als ob AVM da nicht ganz sauber programmiert hat. Wenn ich zwei verschiedene Subnetze einrichte dürfte ein "übergreifen" nicht möglich sein.
    Kann aber auch sein das dieses technisch in einen Router nur dann zu realisieren ist wenn doppelte Hardwarekomponenten vorhanden sind. Und das scheint bei der FBF wohl nicht zu sein.

    Gruss

    Andreas
     
  4. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    1
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    Darüber kann man streiten. Ich z.B. halte es für die Aufgabe eines Routers, zwischen seinen Subnetzen zu routen. Will man das nicht, so muss man andere Maßnahmen ergreifen.

    Was heißt "doppelte Hardware Komponenten"? Die 7170 kann unterschiedliche Subnetze für LAN und WLAN einrichten, also genau für ihre zwei Netzwerkomponenten. Man kann verhindern, dass Datenverkehr zwischen diesen beiden Komponenten ausgetauscht wird. Aber wie gesagt: Ich halte das nicht für korrekt.

    Viele Grüße

    Frank
     
  5. master99

    master99 Neuer User

    Registriert seit:
    22 Dez. 2006
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,
    versuche es doch einfach mal mit anderen (gültigen) Subnetzen.

    192.168.600.*
    192.168.500.*

    sollten meines Wissens nach keine gültigen Subnetze sein (da die daraus resultierenden IPs ungültig sind). Zum Aufbau einer IPV4 Adresse siehe:
    http://de.wikipedia.org/wiki/IP-Adresse

    Zitat:
    "Die seit der Einführung der Version 4 des Internet Protocols überwiegend verwendeten IPv4-Adressen bestehen aus 32 Bits, also 4 Oktetts (Bytes). Damit sind 232, also 4.294.967.296 Adressen darstellbar. In der dotted decimal notation werden die 4 Oktetts als vier durch Punkte voneinander getrennte Dezimalzahlen im Bereich von 0 bis (einschließlich) 255 geschrieben.."

    In Klasse C Netzen (siehe: http://de.wikipedia.org/wiki/Netzklasse), dazu gehört dein Heimnetzwerk, sind nur Adressen im Bereich:
    192.0.0.0 - 223.255.255.255
    erlaubt.

    Ums auf deinen Adressbereich umzumünzen, es wären Subnetze bis maximal 192.168.255.* gültig.

    Wundert mich irgendwie das das bei dir überhaupt soweit funktioniert.

    Gruß,
    Master