110509
Feb 17, 2013, updated at 12:47:40 (UTC)
3540
5
0
Konfiguration Fritz!Box mit Netgear UTM5
Hallo,
ich betreibe schon seit längerem eine Netgear UTM5 hinter einer Fritz!Box - allerdings so, dass die Fritz!Box als Router arbeitet.
Mein ganzes Hausnetz hängt hinter der UTM5.
Desweiteren nutze ich die VPN Möglichkeit der Fritz!Box und habe die UTM5 so konfiguriert, dass ich bei bestehender VPN Verbindung zur Fritz!Box einige Geräte ("Secondary Addresses" für NAS, Server) hinter der UTM5 ansprechen kann. Das ist so nicht die tolle Lösung...
Ich möchte jetzt den Schritt machen, dass ich mich via VPN direkt an der UTM5 anmelden kann. Dazu soll die Fritz!Box nur noch als Modem arbeiten (hab noch eine etwas ältere Firmware drauf - Modem läßt sich noch einfach aktivieren). Bevor ich damit anfange und lange rumprobiere (bin so gar kein Experte auf dem Gebiet und bewege mich auf "sumpfigen" Gelände und wenn die Familie nicht surfen kann, hängt schnell der Haussegen schief
), brauch ich noch etwas mehr Hintergrundwissen, was ich hoffe, dass es mir hier jemand geben kann.
Nun meine Frage
Wenn ich die Fritz!Box als Modem schalte und die Anmeldung beim Provider durch die UTM5 erfolgt, welche IP Adresse bekommt dann die UTM5 ?
a) Verbleibt es bei der IP Adresse die die Fritz!Box vergeben hat (womit ich die UTM5 nicht aus dem Internet ansprechen könnte und ich mit den Änderungen gar nicht erst anzufangen brauch), oder bekommt sie eine vom Provider vergebene IP Adresse ?
b) Sie bekommt eine vom Provider vergebene IP Adresse - rafft das dann die Fritz!Box, wo die Pakete hin müssen ?
Oder kann ich die Konfiguration so lassen (Fritz!Box als Router) und kann dennoch den VPN Zugang der UTM5 nutzen, ohne vorher mich via VPN an der Fritz!Box angemeldet zu haben ?
Hoffe, die Fragen sind nicht zu "einfach"
Gruß & Danke !
Georg
ich betreibe schon seit längerem eine Netgear UTM5 hinter einer Fritz!Box - allerdings so, dass die Fritz!Box als Router arbeitet.
Mein ganzes Hausnetz hängt hinter der UTM5.
Desweiteren nutze ich die VPN Möglichkeit der Fritz!Box und habe die UTM5 so konfiguriert, dass ich bei bestehender VPN Verbindung zur Fritz!Box einige Geräte ("Secondary Addresses" für NAS, Server) hinter der UTM5 ansprechen kann. Das ist so nicht die tolle Lösung...
Ich möchte jetzt den Schritt machen, dass ich mich via VPN direkt an der UTM5 anmelden kann. Dazu soll die Fritz!Box nur noch als Modem arbeiten (hab noch eine etwas ältere Firmware drauf - Modem läßt sich noch einfach aktivieren). Bevor ich damit anfange und lange rumprobiere (bin so gar kein Experte auf dem Gebiet und bewege mich auf "sumpfigen" Gelände und wenn die Familie nicht surfen kann, hängt schnell der Haussegen schief
), brauch ich noch etwas mehr Hintergrundwissen, was ich hoffe, dass es mir hier jemand geben kann.Nun meine Frage
Wenn ich die Fritz!Box als Modem schalte und die Anmeldung beim Provider durch die UTM5 erfolgt, welche IP Adresse bekommt dann die UTM5 ?
a) Verbleibt es bei der IP Adresse die die Fritz!Box vergeben hat (womit ich die UTM5 nicht aus dem Internet ansprechen könnte und ich mit den Änderungen gar nicht erst anzufangen brauch), oder bekommt sie eine vom Provider vergebene IP Adresse ?
b) Sie bekommt eine vom Provider vergebene IP Adresse - rafft das dann die Fritz!Box, wo die Pakete hin müssen ?
Oder kann ich die Konfiguration so lassen (Fritz!Box als Router) und kann dennoch den VPN Zugang der UTM5 nutzen, ohne vorher mich via VPN an der Fritz!Box angemeldet zu haben ?
Hoffe, die Fragen sind nicht zu "einfach"
Gruß & Danke !
Georg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201882
Url: https://administrator.de/contentid/201882
Printed on: April 25, 2024 at 06:04 o'clock
5 Comments
Latest comment
Hi GoerschN,
zu a)
Nein, die Einwahldaten für Deinen Provider müssten dann auf die UTM5
und diese erhält dann WAN-seitig die IP vom Provider.
(vorrausgesetzt Normaler DSL-Anschluß und keine statische IP vom Provider)
Die Fritzbox arbeitet dann nur als Modem.
Womit eigentlich auch schon Frage b) beantwortet wäre.
Da hätten wir ja gleich den nächsten Thread...
Ich würde Fritzbox als Router lassen, eventuell statische IP´s vergeben.
Das NAS und den Server gleich hinter die Fritzbox, und so eine DMZ schaffen.
Das WAN der UTM5 an das Netz der Frittenbox für´s LAN dann DHCP und anderes Netz.
Zugriff von internen LAN auf´s NAS und Server problemlos möglich.
Gruß orcape
zu a)
Nein, die Einwahldaten für Deinen Provider müssten dann auf die UTM5
und diese erhält dann WAN-seitig die IP vom Provider.
(vorrausgesetzt Normaler DSL-Anschluß und keine statische IP vom Provider)
Die Fritzbox arbeitet dann nur als Modem.
Womit eigentlich auch schon Frage b) beantwortet wäre.
Oder kann ich die Konfiguration so lassen (Fritz!Box als Router) und kann dennoch den VPN Zugang
der UTM5 nutzen, ohne vorher mich via VPN an der Fritz!Box angemeldet zu haben ?
Warum willst Du Dir das antun, einen funktionierende VPN-Tunnel der Frittenbox gegen einen NETGEAR-VPN einzutauschen.der UTM5 nutzen, ohne vorher mich via VPN an der Fritz!Box angemeldet zu haben ?
Da hätten wir ja gleich den nächsten Thread...
Ich würde Fritzbox als Router lassen, eventuell statische IP´s vergeben.
Das NAS und den Server gleich hinter die Fritzbox, und so eine DMZ schaffen.
Das WAN der UTM5 an das Netz der Frittenbox für´s LAN dann DHCP und anderes Netz.
Zugriff von internen LAN auf´s NAS und Server problemlos möglich.
Gruß orcape
Hallo Georg,
Zitat von @orcape:
und dann eine Netgear Firewall hinter der sich mein lokales Netzwerk (LAN) befindet!
Funktioniert recht gut und auch flüssig und gut ist es.
Alles andere würde diese Konstellation ja auch zu Nichte machen, denn es ist eben eine einfache und billige Methode eine echte und eine saubere DMZ aufzubauen ohne das gesamte lokale Netzwerk Kontakt mit dem Internet haben zu lassen und/oder "vorn" am Router offene Ports zu haben.
Also ich denke die Fritz!Box ist für den privaten Gebrauch schon nicht schlecht, denn sie erlaubt glaube ich 3
VPN Verbindungen zur gleichen Zeit von außerhalb und das sollte doch für den privaten Gebrauch auch reichen.
Ich würde alles so lassen wollen, denn die Fritz!Box kommt mit einer SPI und NAT Funktion daher und das schließt
bei aktueller Firmware schon vieles aus. Je nach dem wie Du die DMZ gesichert hast sollte es da auch keine
Probleme mit geben.
Gruß
Dobby
Zitat von @orcape:
Das NAS und den Server gleich hinter die Fritz!Box, und so eine DMZ schaffen.
Genauso habe ich das hier zu Hause auch! Fritz!Box als Router und mit NAS und allem anderen "Klimbimm"und dann eine Netgear Firewall hinter der sich mein lokales Netzwerk (LAN) befindet!
Funktioniert recht gut und auch flüssig und gut ist es.
Alles andere würde diese Konstellation ja auch zu Nichte machen, denn es ist eben eine einfache und billige Methode eine echte und eine saubere DMZ aufzubauen ohne das gesamte lokale Netzwerk Kontakt mit dem Internet haben zu lassen und/oder "vorn" am Router offene Ports zu haben.
Also ich denke die Fritz!Box ist für den privaten Gebrauch schon nicht schlecht, denn sie erlaubt glaube ich 3
VPN Verbindungen zur gleichen Zeit von außerhalb und das sollte doch für den privaten Gebrauch auch reichen.
Ich würde alles so lassen wollen, denn die Fritz!Box kommt mit einer SPI und NAT Funktion daher und das schließt
bei aktueller Firmware schon vieles aus. Je nach dem wie Du die DMZ gesichert hast sollte es da auch keine
Probleme mit geben.
Gruß
Dobby
Danke Ihr beiden für den Tipp - hab ich gar nicht drüber nachgedacht ...
Es gibt aber einen kleinen Hacken - das komplette Hausnetz (hinter der UTM-5) ist bei mir in 3 Subnetze getrennt:
.0.x : Secondary Adressen FB <-> UTM5
.100.x : Server/NAS/PCs
.110.x : Hausautomation
.120.x : WLAN
Server/NAS könnte ich einfach an die FB hängen - muss ich halt ein paar Adressen ändern und gut ist.
Die Hausautomation will ich nicht an die FB hängen um komplett zu verhindern, dass da irgendwas drauf zugreift, was da nicht drauf zugreifen darf/soll. Klar, es gibt auch ein Portal das mir über einen Server im Internet direkten Zugriff ermöglichen, ähm, ... nö danke - ist zwar alles verschlüsselt, aber irgendwann wird die Seite gehackt und irgendeiner fängt lustig an bei mir die Lichter ein und auszuschalten ... nicht wirklich lustig.
Eine Möglichkeit wäre die 2/3 Lösung - Hausautomation weiterhin hinter der UTM5, Server/NAS an die FB. Muß ich mal drüber nachdenken - wäre eine einfache Lösung ohne "Risiko" ...
Es gibt aber einen kleinen Hacken - das komplette Hausnetz (hinter der UTM-5) ist bei mir in 3 Subnetze getrennt:
.0.x : Secondary Adressen FB <-> UTM5
.100.x : Server/NAS/PCs
.110.x : Hausautomation
.120.x : WLAN
Server/NAS könnte ich einfach an die FB hängen - muss ich halt ein paar Adressen ändern und gut ist.
Die Hausautomation will ich nicht an die FB hängen um komplett zu verhindern, dass da irgendwas drauf zugreift, was da nicht drauf zugreifen darf/soll. Klar, es gibt auch ein Portal das mir über einen Server im Internet direkten Zugriff ermöglichen, ähm, ... nö danke - ist zwar alles verschlüsselt, aber irgendwann wird die Seite gehackt und irgendeiner fängt lustig an bei mir die Lichter ein und auszuschalten ... nicht wirklich lustig.
Eine Möglichkeit wäre die 2/3 Lösung - Hausautomation weiterhin hinter der UTM5, Server/NAS an die FB. Muß ich mal drüber nachdenken - wäre eine einfache Lösung ohne "Risiko" ...
Hallöle,
- kürzlich entdeckte uPnP Lücke (uPnP abschalten) (ca. 40 - 80 Millionen Router)
- davor entdeckte Lücke im Hardware Design diverser Chips und Prozessoren die auch in Fritz!Boxen verbaut wurden.
(ca. 14 Millionen Router)
So und nun zu Deinem Hauptproblem, Angst:
Wenn die Fritz!Box (welche überhaupt) vorne keine Ports offen hat, wird in der Regel auch alles geblockt was
von außen kommt und von innen nicht angefordert wurde.
Sind Ports offen? Und wenn ja wofür
Was für Server sind das? LAN, DB, Email, FTP, File,....
In der regel sieht es doch wirklich so aus das man eine DMZ mit zwei Routern oder einer Firewall und einem
Router dehalb aufbaut um auf Nummer sicher zu gehen.
Hinter dem Router, da dort das Modem meist mit enthalten ist, kommt dann ein Switch (DMZ Switch - Layer2)
und an dem hängen alle Server und Netzwerkspeicher (wie Dein NAS) die aus dem LAN und dem Internet erreichbar sein sollen. Und hinter der Firewall, hier in Deinem Fall eine von Netgear, kommt das ganze lokale Netzwerk also das LAN und das ist daher ganz nett, weil wenn nun jemand in Deine DMZ "einbricht" kann er in der Regel nur in der DMZ wüten und Schaden anrichten aber nicht in Deinem Netzwerk.
Nur was man eben einmal dazu sagen muss ist doch folgendes, wenn man vorne an der Fritz!Box Ports öffnet hat
man halt auch ein Problem, das ist wie in den Urlaub fahren und alle Fenster und Türen, oder zumindest einige,
offen zu lassen und sich dann zu wundern wenn man wieder zu Hause ist, das eingebrochen wurde. Oder?
Man kann das aber auch schnell um gehen in dem man;
- Sich nur via VPN einwählt und dort etwas schaltet und waltet
- Einen kleinen MikroTik Router an den DMZ Switch anschließt und den zum DMZ Radius (integrierter s.g. "User Manager") Server macht, fertig. Wer kein Zertifikat hat kommt nicht in die DMZ rein! und hinter der DMZ ist ja noch die Netgear Firewall die das LAN beschützt!
Also es wäre ja jetzt schon einmal angebracht wenn Du uns nun ein paar Einzelheiten erzählen würdest
sonst endet das hier nur in einem heiteren "Topfschlagen" und Ratespiel.
Es gibt doch schon kleine APPs von AVM und damit kann man mit jedem iPhone und iPad schnell eine VPN
Verbindung aufbauen, oder?
Nimmst Du überhaupt eine Smartphone oder ein Tablet oder hast Du einen Laptop oder ein Notebook?
Dann geht das wohl nur ohne Internet meines Erachtens nach zumindest.
Was lässt sich denn alles schalten mit der Hausautomation?
Gibt es dazu evtl. eine Software oder auch eine APPs?
Funktioniert nicht auch eine programmierbare Gembird Steckdosenleiste mit LAN Anschluss in der DMZ zur Not?
Gruß
Dobby
Dazu soll die Fritz!Box nur noch als Modem arbeiten (hab noch eine etwas ältere Firmware drauf - Modem läßt sich noch einfach aktivieren).
Das würde ich einmal als erstes ganz schnell ändern!- kürzlich entdeckte uPnP Lücke (uPnP abschalten) (ca. 40 - 80 Millionen Router)
- davor entdeckte Lücke im Hardware Design diverser Chips und Prozessoren die auch in Fritz!Boxen verbaut wurden.
(ca. 14 Millionen Router)
So und nun zu Deinem Hauptproblem, Angst:
Wenn die Fritz!Box (welche überhaupt) vorne keine Ports offen hat, wird in der Regel auch alles geblockt was
von außen kommt und von innen nicht angefordert wurde.
Sind Ports offen? Und wenn ja wofür
Was für Server sind das? LAN, DB, Email, FTP, File,....
In der regel sieht es doch wirklich so aus das man eine DMZ mit zwei Routern oder einer Firewall und einem
Router dehalb aufbaut um auf Nummer sicher zu gehen.
Hinter dem Router, da dort das Modem meist mit enthalten ist, kommt dann ein Switch (DMZ Switch - Layer2)
und an dem hängen alle Server und Netzwerkspeicher (wie Dein NAS) die aus dem LAN und dem Internet erreichbar sein sollen. Und hinter der Firewall, hier in Deinem Fall eine von Netgear, kommt das ganze lokale Netzwerk also das LAN und das ist daher ganz nett, weil wenn nun jemand in Deine DMZ "einbricht" kann er in der Regel nur in der DMZ wüten und Schaden anrichten aber nicht in Deinem Netzwerk.
Nur was man eben einmal dazu sagen muss ist doch folgendes, wenn man vorne an der Fritz!Box Ports öffnet hat
man halt auch ein Problem, das ist wie in den Urlaub fahren und alle Fenster und Türen, oder zumindest einige,
offen zu lassen und sich dann zu wundern wenn man wieder zu Hause ist, das eingebrochen wurde. Oder?
Man kann das aber auch schnell um gehen in dem man;
- Sich nur via VPN einwählt und dort etwas schaltet und waltet
- Einen kleinen MikroTik Router an den DMZ Switch anschließt und den zum DMZ Radius (integrierter s.g. "User Manager") Server macht, fertig. Wer kein Zertifikat hat kommt nicht in die DMZ rein! und hinter der DMZ ist ja noch die Netgear Firewall die das LAN beschützt!
Also es wäre ja jetzt schon einmal angebracht wenn Du uns nun ein paar Einzelheiten erzählen würdest
sonst endet das hier nur in einem heiteren "Topfschlagen" und Ratespiel.
Klar, es gibt auch ein Portal das mir über einen Server im Internet direkten Zugriff ermöglichen, ähm, ... nö danke - ist zwar alles verschlüsselt, aber irgendwann wird die Seite gehackt und irgendeiner fängt lustig an bei mir die Lichter ein und auszuschalten ... nicht wirklich lustig.
Jo das versteht sich ja von selbst und wo ist nun das Problem mit der AVM Fritz!Box und dem VPN?Es gibt doch schon kleine APPs von AVM und damit kann man mit jedem iPhone und iPad schnell eine VPN
Verbindung aufbauen, oder?
Eine Möglichkeit wäre die 2/3 Lösung - Hausautomation weiterhin hinter der UTM5, Server/NAS an die FB.
Warum? Kannst Du die AVM VPN verbindung aus irgend einem Grund nicht herstellen?Nimmst Du überhaupt eine Smartphone oder ein Tablet oder hast Du einen Laptop oder ein Notebook?
Muß ich mal drüber nachdenken - wäre eine einfache Lösung ohne "Risiko" ...
Wenn der Grundsatz lautet: " nichts ist sicher und alles ist Möglich!"Dann geht das wohl nur ohne Internet meines Erachtens nach zumindest.
Was lässt sich denn alles schalten mit der Hausautomation?
Gibt es dazu evtl. eine Software oder auch eine APPs?
Funktioniert nicht auch eine programmierbare Gembird Steckdosenleiste mit LAN Anschluss in der DMZ zur Not?
Gruß
Dobby
> Dazu soll die Fritz!Box nur noch als Modem arbeiten (hab noch eine etwas ältere Firmware drauf - Modem läßt
sich noch einfach aktivieren).
Das würde ich einmal als erstes ganz schnell ändern!
- kürzlich entdeckte uPnP Lücke (uPnP abschalten) (ca. 40 - 80 Millionen Router)
- davor entdeckte Lücke im Hardware Design diverser Chips und Prozessoren die auch in Fritz!Boxen verbaut wurden.
(ca. 14 Millionen Router)
Nö - hab ich irgendwo geschrieben, dass bei mir uPnP offen ist ? Nö, also muss ich es auch nicht schliessensich noch einfach aktivieren).
Das würde ich einmal als erstes ganz schnell ändern!
- kürzlich entdeckte uPnP Lücke (uPnP abschalten) (ca. 40 - 80 Millionen Router)
- davor entdeckte Lücke im Hardware Design diverser Chips und Prozessoren die auch in Fritz!Boxen verbaut wurden.
(ca. 14 Millionen Router)
So und nun zu Deinem Hauptproblem, Angst:
Wenn die Fritz!Box (welche überhaupt) vorne keine Ports offen hat, wird in der Regel auch alles geblockt was
von außen kommt und von innen nicht angefordert wurde.
Sind Ports offen? Und wenn ja wofür
Was für Server sind das? LAN, DB, Email, FTP, File,....
Keine - ich hab auch nirgendwo geschrieben, dass an meiner Fritz!Box irgendwelche Ports offen sindWenn die Fritz!Box (welche überhaupt) vorne keine Ports offen hat, wird in der Regel auch alles geblockt was
von außen kommt und von innen nicht angefordert wurde.
Sind Ports offen? Und wenn ja wofür
Was für Server sind das? LAN, DB, Email, FTP, File,....
Nur was man eben einmal dazu sagen muss ist doch folgendes, wenn man vorne an der Fritz!Box Ports öffnet hat
man halt auch ein Problem, das ist wie in den Urlaub fahren und alle Fenster und Türen, oder zumindest einige,
offen zu lassen und sich dann zu wundern wenn man wieder zu Hause ist, das eingebrochen wurde. Oder?
Wie hilft mir jetzt diese Info ?man halt auch ein Problem, das ist wie in den Urlaub fahren und alle Fenster und Türen, oder zumindest einige,
offen zu lassen und sich dann zu wundern wenn man wieder zu Hause ist, das eingebrochen wurde. Oder?
Man kann das aber auch schnell um gehen in dem man;
- Sich nur via VPN einwählt und dort etwas schaltet und waltet
- Einen kleinen MikroTik Router an den DMZ Switch anschließt und den zum DMZ Radius (integrierter s.g. "User
Manager") Server macht, fertig. Wer kein Zertifikat hat kommt nicht in die DMZ rein! und hinter der DMZ ist ja noch die
Netgear Firewall die das LAN beschützt!
Einwahl in Fritz!Box ist eh nur via VPN möglich- Sich nur via VPN einwählt und dort etwas schaltet und waltet
- Einen kleinen MikroTik Router an den DMZ Switch anschließt und den zum DMZ Radius (integrierter s.g. "User
Manager") Server macht, fertig. Wer kein Zertifikat hat kommt nicht in die DMZ rein! und hinter der DMZ ist ja noch die
Netgear Firewall die das LAN beschützt!
Also es wäre ja jetzt schon einmal angebracht wenn Du uns nun ein paar Einzelheiten erzählen würdest
sonst endet das hier nur in einem heiteren "Topfschlagen" und Ratespiel.
Konfigruation - wie schon mal geschrieben:sonst endet das hier nur in einem heiteren "Topfschlagen" und Ratespiel.
Fritz-Box mit nachgeschalteter UTM5. Ich will via VPN in die UTM5. Mehr will ich nicht.
Jo das versteht sich ja von selbst und wo ist nun das Problem mit der AVM Fritz!Box und dem VPN?
Es gibt doch schon kleine APPs von AVM und damit kann man mit jedem iPhone und iPad schnell eine VPN
Verbindung aufbauen, oder?
Jo - zur Info, da Du Dich offensichtlich nicht so auskennst: Bei der Fritz!Box/iPhone Kombi braucht man noch nicht mal eine App. Das kann iOS schon immer ohne App.Es gibt doch schon kleine APPs von AVM und damit kann man mit jedem iPhone und iPad schnell eine VPN
Verbindung aufbauen, oder?
> Eine Möglichkeit wäre die 2/3 Lösung - Hausautomation weiterhin hinter der UTM5, Server/NAS an die FB.
Warum? Kannst Du die AVM VPN verbindung aus irgend einem Grund nicht herstellen?
Die Hausautomation sitzt hinter der UTM5 und läßt sich ohne Secondary Address von der FB aus nicht erreichen. Egal ob ich lokal an der Fritz!Box einen PC eingesteckt habe oder mich via VPN an die Fritz!Box angemeldet habe.Warum? Kannst Du die AVM VPN verbindung aus irgend einem Grund nicht herstellen?
Nimmst Du überhaupt eine Smartphone oder ein Tablet oder hast Du einen Laptop oder ein Notebook?
Zur Zeit setze ich Trommeln ein - man, was soll das ? Das ist völlig irrelevant für meine Frage. Aber wenn es wichtig ist : Alle genannten und auch noch PCs (die hast Du in deiner Aufführung vergessen)Was lässt sich denn alles schalten mit der Hausautomation?
Gibt es dazu evtl. eine Software oder auch eine APPs?
Funktioniert nicht auch eine programmierbare Gembird Steckdosenleiste mit LAN Anschluss in
der DMZ zur Not?
Ähm, mach Dich mal schlau was eine "Hausautomation" ist. Auch das ist für meine Frage völlig irrelevant.Gibt es dazu evtl. eine Software oder auch eine APPs?
Funktioniert nicht auch eine programmierbare Gembird Steckdosenleiste mit LAN Anschluss in
der DMZ zur Not?
