13
FritzBox 7170 hinter Router vom LAN ausschließen für reines Surf-Wlan
Hallo,
die Suche liefert nur alte Einträge.
Die Konstellation im Büro:
Netgear-Router stellt Verbindung über integriertes Modem zum Internet her, vergibt statische IP.
Am Netgear-Router hängt eine Fritzbox 7390 über LAN 1 als IP-Client als Gigabit-Router und als DECT-Telefonanlage.. (Ich weiß, die Fritzbox könnte das allein, aber aus versch. Gründen soll das so bleiben, es funktioniert ja auch).
An der Fritzbox hängt ein Switch zum LAN inklusive des heiligen Servers, aller Client-PC und Drucker usw.
Das Wlan der 7390 soll aus bleiben, es sollen keine Fremden ins LAN kommen und die Freigaben sehen (auch wenn diese nur für die vorhandenen Client-PC lesbar sind)
Nun liegt hier noch eine alte Fritzbox 7170 herum, die man als Wlan-Surfstation nehmen könnte. Sie lässt sich mit der aktuellen Firmware ebenfalls per LAN1 an den Netgear ins Netz hängen, aber dann nur als IP-Client, ohne Router-Funktion - und prinzipbedingt ist auch hier wieder der LAN-Zugriff möglich. Wie kann ich die 7170 so umbauen, dass sie möglichst deutliche vom LAN entkoppelt ist? Mit IP-Routen kenne ich mich bislang nicht aus, weiß nicht, ob diese Einstellung etwas bringen kann.
Meine Überlegungen:
a) Wenn ich die Fritzbox 7170 als Router per LAN1 an den Netgear hänge, ist das Internet nicht mehr zugänglich. Ob eine Trennung vom LAN so grundsätzlich auch einfacher wäre, ist mir ebenfalls nicht klar (ich komme bereits durcheinander).
b) Eine zweite eigenständige Einwahl der 7170 als Modemrouter müsste die Telekom unterstützen (6000er Comfort-Anschluss) - ich könnte mich erkundigen. Das wäre aber die ideale Trennung.
c) Habe irgendwo etwas von IP Tables gehört und würde die 7170 auch irgendwie hacken, wenn ich eine gute Anleitung habe. Mit Subnetzen und IP-Logik kann ich aber nicht jonglieren.
Kann jemand helfen?
Herzlichen Dank,
KK
die Suche liefert nur alte Einträge.
Die Konstellation im Büro:
Netgear-Router stellt Verbindung über integriertes Modem zum Internet her, vergibt statische IP.
Am Netgear-Router hängt eine Fritzbox 7390 über LAN 1 als IP-Client als Gigabit-Router und als DECT-Telefonanlage.. (Ich weiß, die Fritzbox könnte das allein, aber aus versch. Gründen soll das so bleiben, es funktioniert ja auch).
An der Fritzbox hängt ein Switch zum LAN inklusive des heiligen Servers, aller Client-PC und Drucker usw.
Das Wlan der 7390 soll aus bleiben, es sollen keine Fremden ins LAN kommen und die Freigaben sehen (auch wenn diese nur für die vorhandenen Client-PC lesbar sind)
Nun liegt hier noch eine alte Fritzbox 7170 herum, die man als Wlan-Surfstation nehmen könnte. Sie lässt sich mit der aktuellen Firmware ebenfalls per LAN1 an den Netgear ins Netz hängen, aber dann nur als IP-Client, ohne Router-Funktion - und prinzipbedingt ist auch hier wieder der LAN-Zugriff möglich. Wie kann ich die 7170 so umbauen, dass sie möglichst deutliche vom LAN entkoppelt ist? Mit IP-Routen kenne ich mich bislang nicht aus, weiß nicht, ob diese Einstellung etwas bringen kann.
Meine Überlegungen:
a) Wenn ich die Fritzbox 7170 als Router per LAN1 an den Netgear hänge, ist das Internet nicht mehr zugänglich. Ob eine Trennung vom LAN so grundsätzlich auch einfacher wäre, ist mir ebenfalls nicht klar (ich komme bereits durcheinander).
b) Eine zweite eigenständige Einwahl der 7170 als Modemrouter müsste die Telekom unterstützen (6000er Comfort-Anschluss) - ich könnte mich erkundigen. Das wäre aber die ideale Trennung.
c) Habe irgendwo etwas von IP Tables gehört und würde die 7170 auch irgendwie hacken, wenn ich eine gute Anleitung habe. Mit Subnetzen und IP-Logik kann ich aber nicht jonglieren.
Kann jemand helfen?
Herzlichen Dank,
KK
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 175886
Url: https://administrator.de/contentid/175886
Printed on: April 19, 2024 at 21:04 o'clock
13 Comments
Latest comment
Mir wird schon vom lesen schwindelig 
Zuerst:
Möchtest du, dass clients an den 7170 nur per WLAN miteinander unterhalten können !? Oder sollen die dann noch ins Internet ?!
Zweite Einwahl kannst du aber definitiv vergessen, jeder Anbieter hält dann auch noch ein zweites mal die Hand auf (doppelte Kosten).
Hast du an der 7170 nur WLAN Clients ?! Warum kann/darf die 7390 dein Vorhaben nicht unterstützen ?!
Gruß
Carsten
Zuerst:
Möchtest du, dass clients an den 7170 nur per WLAN miteinander unterhalten können !? Oder sollen die dann noch ins Internet ?!
Zweite Einwahl kannst du aber definitiv vergessen, jeder Anbieter hält dann auch noch ein zweites mal die Hand auf (doppelte Kosten).
Hast du an der 7170 nur WLAN Clients ?! Warum kann/darf die 7390 dein Vorhaben nicht unterstützen ?!
Gruß
Carsten
Mir ist immer noch schwindelig :D
Die Clients an der 7170 sollen nur surfen können und Mails abrufen.
Die Idee des Ganzen ist, gar keinen physischen Zugriff auf das LAN zu ermöglichen (also ganz anderer Wlan-Zugang), oder dieses wenigstens netzwerkseitig abzuschotten. Auf dem Büroserver liegen sehr sensible Daten und auch wenn WPA2 sicher ist, erzeugt Wlan ein diffuses Unsicherheitsgefühl beim Bürobetreiber - und sei es nur wegen späterer Sicherheitslücken im Wlan-Chip des Laptops (wie schon geschehen bei Intel) oder im Router oder was auch immer. Etwas paranoid.
Ich werde die Fritzbox 7390 wohl einfach direkt an den DSL-Anschluss hängen, damit sie ordentlich routen kann, momentan ist sie nur Client. Somit ist ein Router weniger im Spiel. Natürlich könnte man dann einfach das Gäste-Wlan der 7390 nutzen, aber dann wäre eben auch das herkömmliche, nicht vom LAN getrennte aktiv... ;)
Ich knabber noch an zwei Dingen: Ich kann bislang keine der beiden FritzBoxen als Router ins LAN hängen, weil diese dann die Internetverbindung nicht durchgereicht bekommen (erwarten wohl eine nicht vorhandene statische IP von der Telekom?) Hänge ich sie als Client rein, können sie nichts. Und davon abgesehen gibt es in den üblichen Firewalls eben keine Blockierfunktion (Kindersicherung der FB nützt hier nichts).
Hilfe
Die Clients an der 7170 sollen nur surfen können und Mails abrufen.
Die Idee des Ganzen ist, gar keinen physischen Zugriff auf das LAN zu ermöglichen (also ganz anderer Wlan-Zugang), oder dieses wenigstens netzwerkseitig abzuschotten. Auf dem Büroserver liegen sehr sensible Daten und auch wenn WPA2 sicher ist, erzeugt Wlan ein diffuses Unsicherheitsgefühl beim Bürobetreiber - und sei es nur wegen späterer Sicherheitslücken im Wlan-Chip des Laptops (wie schon geschehen bei Intel) oder im Router oder was auch immer. Etwas paranoid.
Ich werde die Fritzbox 7390 wohl einfach direkt an den DSL-Anschluss hängen, damit sie ordentlich routen kann, momentan ist sie nur Client. Somit ist ein Router weniger im Spiel. Natürlich könnte man dann einfach das Gäste-Wlan der 7390 nutzen, aber dann wäre eben auch das herkömmliche, nicht vom LAN getrennte aktiv... ;)
Ich knabber noch an zwei Dingen: Ich kann bislang keine der beiden FritzBoxen als Router ins LAN hängen, weil diese dann die Internetverbindung nicht durchgereicht bekommen (erwarten wohl eine nicht vorhandene statische IP von der Telekom?) Hänge ich sie als Client rein, können sie nichts. Und davon abgesehen gibt es in den üblichen Firewalls eben keine Blockierfunktion (Kindersicherung der FB nützt hier nichts).
Hilfe
Hallo,
Fritzbox 7390 über LAN 1 als IP-Client als Gigabit-Router
Läuf die FB wirklch als Router oder nur als Switch?...aber aus versch. Gründen soll das so bleiben, es funktioniert ja auch).
Wenn ich sowas schon höhr!Das Wlan der 7390 soll aus bleiben, es sollen keine Fremden ins LAN kommen und die Freigaben sehen
Dir ist schon bewuss das die FB 7390 ein Gast-WLAN bereitstellen kann?
Kauf dir eine anständige Lancom + Public Spot Option, dann orderst du noch eine zweite Leitung vom Provider die hängst du auch noch drauf.
Anschließend machst du 2 netze und schickst die WLAN's in das PublicSpot Netz, fertig. Du kannst dir das PublicSpot auch Sparen, dann machst du es per Routing mit QOS
Anschließend machst du 2 netze und schickst die WLAN's in das PublicSpot Netz, fertig. Du kannst dir das PublicSpot auch Sparen, dann machst du es per Routing mit QOS
Wirklich sicher bekommst du es nicht. Was möglich ist ist die DMZ des kleinen Mannes:
Kopplung von 2 Routern am DSL Port
Aber wirklich sicher ist das nicht, da du den Traffic nicht trennen kannst.
Besser ist da immer eine kleine Firewall mit 3 Ports, damit bekommst du es wasserdicht hin:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kopplung von 2 Routern am DSL Port
Aber wirklich sicher ist das nicht, da du den Traffic nicht trennen kannst.
Besser ist da immer eine kleine Firewall mit 3 Ports, damit bekommst du es wasserdicht hin:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
@Jens
nur als switch - ein ausdrucksfehler. daher auch kein gäste-wlan, das wäre ja sonst die option gewesen.
nur als switch - ein ausdrucksfehler. daher auch kein gäste-wlan, das wäre ja sonst die option gewesen.
Wenn ich sowas schon höhr! <
nun, ich muss mich an den gegebenheiten orientieren, ob es mir gefällt, ist eine andere frage. unsicherer ist die jetzige konfiguration nicht.
@josef: noch mehr hardware für ein 6-mann-büro kaufen ist wohl etwas zuviel. das mit den 2 netzen klingt interessant, ich schaue mir grad ip-routing an und verstehe auch worum es geht, aber bei der umsetzung werden wir sehen. danke für den hinweis!
danke, das schau ich mir an!
und sorry wegen den vielen antworten, ich finde die antwortfunktion sehr verwirrend. mein kommentar erscheint beim bearbeiten unter dem jeweiligen beitrag und nach dem speichern dann einfach ganz unten. ja wie denn nun...
und sorry wegen den vielen antworten, ich finde die antwortfunktion sehr verwirrend. mein kommentar erscheint beim bearbeiten unter dem jeweiligen beitrag und nach dem speichern dann einfach ganz unten. ja wie denn nun...
Moin,
guck doch mal in der aktuellen C´t nach, da gibt es eine Bericht, wie man einen Router mit einem "Access Point" koppelt, in der WLAN-Gäste keinen Zugriff aufs LAN erhalten .
Ich habe den Bericht nur überflogen, aber das könnte die Lösung deines Problems sein (allerdings benötigst du wohl neue Hardware).
Gruß
Carsten
guck doch mal in der aktuellen C´t nach, da gibt es eine Bericht, wie man einen Router mit einem "Access Point" koppelt, in der WLAN-Gäste keinen Zugriff aufs LAN erhalten .
Ich habe den Bericht nur überflogen, aber das könnte die Lösung deines Problems sein (allerdings benötigst du wohl neue Hardware).
Gruß
Carsten
hey,
die c't liegt bei mir auf klo
neue hardware stimmt leider und es passt nicht genau zum problem, aber ich danke dir für den hinweis!
gruß, kk
die c't liegt bei mir auf klo
neue hardware stimmt leider und es passt nicht genau zum problem, aber ich danke dir für den hinweis!
gruß, kk
Deine beiden Optionen sind DMZ des kleinen Mannes (Kaskadierung) was aber mega unsicher und nicht zu empfehlen ist.
Die beste Lösng ist ein Captive Portal (Hotspot) wenn du kannst noch mit einer VLAN Lösung um die Netze vollständig zu trennen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Eine andere Auswahl hast du nicht !
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen !
P.S.: Deine Shift Taste ist defekt !
Die beste Lösng ist ein Captive Portal (Hotspot) wenn du kannst noch mit einer VLAN Lösung um die Netze vollständig zu trennen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Eine andere Auswahl hast du nicht !
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen !
P.S.: Deine Shift Taste ist defekt !
Danke,
ich weiß nun, dass es entweder eine Profilösung sein muss oder das Ganze eben nie ganz sicher sein kann.
Meine Shift-Taste war übrigens nicht defekt, in Eile verfall ich aber gern mal in Kleinschreibung. Und kann mir mittlerweile sehr gut die sogenannte "gemäßigte kleinschreibung" im alltag vorstellen ;)
ich weiß nun, dass es entweder eine Profilösung sein muss oder das Ganze eben nie ganz sicher sein kann.
Meine Shift-Taste war übrigens nicht defekt, in Eile verfall ich aber gern mal in Kleinschreibung. Und kann mir mittlerweile sehr gut die sogenannte "gemäßigte kleinschreibung" im alltag vorstellen ;)
Das ist ja Unsinn was du da sagst. Die Lösung mit einer Monowall und/oder pfSense wie oben beschrieben ist ja nun keine Profilösung höchstens semi professionell sondern auch was auf Basis einer Eigeninitiative.
Profi ist wenn du dir was Fertiges kaufst auf einer Controllerbasis inkl. Service und Support. Allerdings bis du dann finanziell in wirklich ganz anderen Gefilden als du dich da bewegst...
Scheinbar verwechselst du hier wohl etwas....
Profi ist wenn du dir was Fertiges kaufst auf einer Controllerbasis inkl. Service und Support. Allerdings bis du dann finanziell in wirklich ganz anderen Gefilden als du dich da bewegst...
Scheinbar verwechselst du hier wohl etwas....
