.titleBar { margin-bottom: 5px!important; }

WLAN-Internet-Zugang kappen bei Fritz!Box 7050

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von fant, 5 Juni 2005.

  1. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo LeutInnen und Leute,

    ich will dem WLAN-Port den Zugang aufs Internet blocken und nur einen Server erreichbar machen, der am Ethernet-Port 1 wohnt. Per telnet komme ich auf den Router (FW .62) und ich denke, die ar7.cfg ist das, was ich modifizieren muß.

    Wie erzwinge ich, daß vom WLAN aus nur noch ins Intranet geroutet wird?

    Konstellation:

    Server: 192.168.100.2

    Fritzbox:
    IP1: 192.168.100.1
    IP2: 192.168.200.1
    WLAN: 192.168.3.1

    Vielen Dank für Eure Hilfe.

    Gruß,
    Fant
     
  2. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Und es geht doch!

    :D

    Nachdem sich keiner fand, der was dazu sagen wollte, habe ich es einfach mal selbst versucht...und es geht:

    Die Datei /var/flash/ar7.cfg mit nvi (!) editieren.
    Es muß die Rubrik dslifaces gesucht werden. Dann die Unterrubrik
    dsldpconfig -> highoutput -> accesslist mit folgendem Eintrag erweitern:

    "deny ip 192.168.3.0 255.255.255.0 any"

    Das verbietet dem Subnetz 192.168.3.0/24 (das ist mein WLAN) den Zugriff auf alles. Da sich dieses Verbot wohl nur auf das DSL-Interface bezieht, geht das Intranet, jedenfalls bei mir, ganz normal.

    Alle Mods, wie immer, ohne Gewähr!!!!!! :twisted:

    Gruß,
    Fant
     
  3. Nachbar

    Nachbar Mitglied

    Registriert seit:
    18 Juli 2005
    Beiträge:
    294
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Evtl kannst du mir weiter helfen??

    Ich möchte gerne der Box 7050 eine feste IP geben:
    Box (z.B. 192.168.133.1).
    Ersten PC auch ne feste IP (z.B. 192.168.133.4).
    Zweite PC auch eine (z.B. 192.168.133.5).
    Laptop auch (z.B. 192.168.133.2) -> Netzwerk über WLAN

    Erste PC und Laptop sollen ins I-Net gehen könne, nur der 2. PC nur im Netzwerk.

    Wie und wo muß ich was bei wem einstellen/eingeben?
     
  4. wichard

    wichard IPPF-Promi

    Registriert seit:
    16 Juni 2005
    Beiträge:
    6,954
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Aachen
    Hallo "Nachbar",

    Nach obiger Logik müsste es dann so funktionieren (ebenfalls ohne Gewähr, kann das hier auch gerade nicht testen):

    "deny ip 192.168.133.5 255.255.255.255 any"

    Bitte auf jeden Fall die Syntax in der ar7.cfg beachten - Anführungszeichen, Kommata, Semikolon, ... setzen wie bei allen anderen Einträgen vorhanden.

    HTH,
    Wichard

    EDIT: Die ar7.cfg muß man nicht unbedingt per Telnet in der Box bearbeiten, es geht auch komfortabler: http://www.ip-phone-forum.de/forum/viewtopic.php?t=19622
     
  5. Nachbar

    Nachbar Mitglied

    Registriert seit:
    18 Juli 2005
    Beiträge:
    294
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Puh... des is zu viel für mich.
    Kenne mich noch nicht mal mit den ganzen Einstellungen der FritzBox Oberfläche aus.
    Und irgendwelche Dateien habe ich noch nicht geändert, bzw weiß nicht mal welche und wie.....

    Dachte wenn der PC, der nicht ins I-Net soll, keine Standardgateway (also die IP der BOX ?) hat, dann kann er doch nicht ins I-Net sondern nur im Netzwerk sein, oder?


    Achne..... ohne Standartgateway kann der ja auch nicht ins Netzwerk greifen, oder ?? Das sollte dann der Fall sein, wenn 2 PC's direkt an der Box sind?

    Ich muß allerdings noch was dazu schreiben, ich habe an der Box direkt ein Switch, dort sind 2 PC's dran.
    So müßten dann doch die 2 PC's über den Switch so sich sehen/kommunizieren?
    Aber der Laptop wohl nicht........ Der Laptop ist per WLAN
    hmmm......

    Ich habe von Netzwerk, etc. nicht so viel Ahnung, fang erst an.
     
  6. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Default Route als Sicherheitseinrichtung???

    Hallo Herr Nachbar - guten Tag Herr Kaiser... :wink:

    Ich würde nicht einfach per Default-Route versuchen, Sicherheit zu gewährleisten. Die Frage ist, inwiefern der PC, der nicht ins Inet soll, "lieb" ist. Gehen wir mal davon aus, er ist lieb - dann kann das funktionieren, getreu dem Motto "Ohne Default Route - kein Inet." Jetzt stellt Dir mal vor, irgendein Proggy installiert sich, sei es mal ein Wurm oder Virus. Das Proggy schaut sich den Netzwerkverkehr an und denkt sich: SubNet 192.168.133.0, das sind nur 254 Möglichkeiten. Vielleicht ist ja einer der anderen in meinem Netz der Gateway ins Netz. Also flugs durchprobiert und siehe da: der Wurm telefoniert nach Hause.

    Ich weiß, daß das nach Paranoia klingt. Aber der Eintrag für die Default Route kann von jedem Admin geändert werden. Wenn also der Admin will, dann kommt die Kiste auch Netz. Natürlich kann auf dem selben Wege die IP-Adresse 192.168.133.5 auf einen Wert geändert werden, mit dem der Inet-Zugang möglich ist. Also auch nix...

    "Sicherheit" kann meines Erachtens nur durch Abblocken eines kompletten Subnetzes, also einer Gruppe von Rechner, deren IPs in den ersten drei Blöcken übereinstimmen, so einigermaßen hergestellt werden. Es ist nicht so einfach, in ein Netzwerksegment zu routen, das eine andere SubNetMask hat. Also hänge die Rechner, die ins Netz dürfen, an den einen Anschluß der Fritzbox und die, die nicht lieb sind, an einen anderen und blocke das böse Netz im Router.

    Gruß,
    Fant
     
  7. Nachbar

    Nachbar Mitglied

    Registriert seit:
    18 Juli 2005
    Beiträge:
    294
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Naja, böse ist er nicht grad...... es ist mein Spiele-PC, und dieser ist bisher ohne auch nur irgendein Problem zu machen gelaufen.
    Liegt wohl daran, daß er nicht mit dem I-Net kommuniziert.
    Es soll aber im Netzwerk vorhanden sein, für den anderen PC und den Laptop.
    Klar sollte ich auch mal damit rechnen daß sich da was einschleicht und, wie du schon geschrieben hast, sich ne Verbindung sucht.
    Wollnwer abba nit....

    Versuche mal den vorhandene bzw. den baldigen Hardware-Aufbau zu beschreiben (abgehend von Box 7050):

    ----------über WLAN der Laptop (Netzw./I-Net fähig)
    ---------/
    AVM Box 7050----------------- Spiele-PC (Netzw fähig)
    ---\------\-------------------------/
    ----\------über LAN ein Switch
    -----\------------------------------\
    ------\-----------------------------"Arbeits-PC" (Netzw./I-Net fähig)
    -------LinkStation von Buffalo (zugänglich für alle im Netzw.)


    Wenn ich das jetzt richtig verstehe, muß ich wohl in irgendeine Datei in der Box was machen... ?

    Um erstmal leicht anzufangen: Wie kann ich feste IP's vergeben ?
    Nehmen wir den Arbeits-PC, ich möchte für ihn eine feste IP.
    Ebenso die Box.
    Dann kommt der Laptop dazu.
    Rest hat Zeit.
     
  8. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Feste Ips

    Hallo Nachbar,

    die FritzBox hat ja ohnehin feste IPs, das ist also kein Problem. Und unter Windows feste IPs zu vergeben, sollte auch kein Problem sein. Du gehst einfach in die Eigenschaften der Netzwerkumgebung (Windows XP/2000) bzw. Systemsteuerung -> Netzwerkeinstellungen (Windows 98/ME) und trägst im Reiter TCP/IP die Adressen, Netmask und Default Gateway ein. Du mußt darauf achten, die die ersten drei Blöcke der Adressen immer übereinstimmen und die vierte Zahl bei allen Rechner unterschiedlich und keine 0 oder 255 ist. Die Netmask, die Du eintragen mußt, ist üblicherweise 255.255.255.0, Dein Netzwerk ist hinreichend einfach.

    Wieso steckst Du die Linkstation nicht auch auf den Switch?

    Mir ist nur nicht ganz klar, wieso Du feste IPs haben willst. Der DHCP-Server der Fritzbox sollte im Subnetz ab der letzten Zahl 20 einfach die Rechner durchnummerieren. Und da wahrscheinlich die Linkstation immer an ist, wird sie, soweit ich das überblicke, auch immer die gleiche IP haben (..20). Bei den anderen PCs sind dann nur noch die IPs 21 und 22 zu haben, dann paßt das. Also wieso unbedingt fest?

    BTW: Ich habe hier auch feste Adressen, die aber von einen DHCP-Server auf meinem Linux-Server stammen und für den entsprechenden Rechner immer gleich ist.

    Gruß,
    Fant
     
  9. Nachbar

    Nachbar Mitglied

    Registriert seit:
    18 Juli 2005
    Beiträge:
    294
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Die LinkStation mache ich nicht an den Switch, weil ich mit dem Laptop saugen möchte und dann die Daten auf die LS sollen.
    Der Switch geht erst mit den beiden anderen PC's über ne Steckdosenleiste an.... daher.

    Wie IP's unter Win eingerichtet werden weiß ich ja.... hatte ja auch schon ein Netzw. mit festen IP's (nur alles am Switch).
    Wollte dies gern so beibehalten, nur das der Spiele-PC nicht ins I-Net kann.

    Daher dachte ich, ich "speise" das I-Net in den Switch ein und sperre es nur für den Spiele-PC.
    Jetzt kommt natürlich der Laptop über WLAN etwas in die Quere.

    Mal angenommen ich nehme dies DHCP bei der Box raus, wo muß ich am PC die IP eintragen damit ich dennoch ne Verbindung zum I-Net habe?
     
  10. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo Nachbar,

    alles klar mit der LinkStation. Das ist klar.

    DHCP und feste IPs können in einem Netzwerk friedlich koexistieren. Es ist nur so, daß man die Bereiche nicht überlappen sollte. Wenn also das DHCP der FritzBox die Adressen ab 20 aufwärts vergibt, dann solltest Du mit den festen Adressen zwischen 1 und 20 bleiben, jeweils exklusive den Grenzen, weil 1 die Box selber und 20 der erste DHCP-Client ist. Außerdem hat DHCP eigentlich nix mit Routing ins Inet zu tun, außer der Default Gateway wird per DHCP vergeben.

    Wenn Du dem Spiele-PC eine feste IP aufdrückst und keinen Gateway einträgst, dann kann der PC nicht ins Netz, solange keiner (also kein Mensch und kein Proggy), dann kann der PC nicht ins Netz. Das ist klar, und wenn Du nur Software installierst, deren Herkunft Du kennst, dann sollte das keinen Ärger machen.

    Gruß,
    Fant
     
  11. Marcoul

    Marcoul Neuer User

    Registriert seit:
    20 Okt. 2005
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hi ich glaub hier bin richtig.
    ich habe eine fritz box 7050
    am port a hängen meine haus rechner und am port b ein D-link DWL-2100AP
    für das w-lan zu den nachbarn da wir zusammen eine dsl leitung nutzen.
    jetzt möchte ich das beine netzwerke auf das internet können allerdings nicht untereinander
    also sozusagen lan a den zugriff auf lan b sperren und lan b den zugrif auf lan a.

    wo muss ich da was eintragen ??
    ip lan a 192.168.2.1 255.255.255.0
    ip lan b 192.168.1.1 255.255.255.0

    gruß marco
     
  12. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo Marco,

    tut mir leid, aber dazu weiß ich leider gar nix, da ich das Problem hier nicht habe. Allerdings interessiert es mich schon, wieso Du einen separaten WLAN-AP nimmst, um Deinen Nachbarn anzubinden.

    Eventuell könnten Dir die Mods weiterhelfen, die iptables in die Box einbasteln. Damit kannst Du dann den Verkehr recht feinfühlig steuern.

    Gruß,
    Fant
     
  13. Marcoul

    Marcoul Neuer User

    Registriert seit:
    20 Okt. 2005
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    die box hängt im keller da ist eine ca 20cm dicke wand im weg und der ap hängt noch von früher, von linux router zeiten wo man ganz einfach jede route ein und austragen konnte *erinner*

    ist auf jedenfall ne idee danke