Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fritz.Box GUI sperren über ACL

Frage Netzwerke

Mitglied: HomeUser6866

HomeUser6866 (Level 1) - Jetzt verbinden

01.05.2014, aktualisiert 21:19 Uhr, 4155 Aufrufe, 13 Kommentare, 1 Danke

Ich habe ein Gast VLAN eingerichtet und möchte verhindern dass Nutzer aus dem Gast VLAN die Web GUI der Fritzbox (gleichzeitig Internet Zugang) erreichen können.

Dazu habe ich auf dem Cisco SG300 (Layer 3 - also VLAN Router) eine ACL eingerichtet.

block any 192.168.178.0 0.0.0.255 TCP 80 (fritzbox ist 192.168.178.1)

das Problem dabei ist, dass nicht nur die Web GUI der Fritzbox 7490 gesperrt ist, sondern auch jeglicher http in das Internet, da 192.168.178.1 auch der Default Gateway für das Internet ist.

Hat jemand eine Idee wie die GUI der Fritzbox gesperrt werden kann, ohne den http Verkehr in gesamte Internet zu sperren ?

Viele Dank für Eure Hilfe
Mitglied: certifiedit.net
01.05.2014 um 13:24 Uhr
Hallo,

Ja, der Einsatz einer ordentlichen Firewall.

Beste Grüße,

Christian

PS: Abgesehen davon, das Gastnetzwerk in der Fritzbox lässt imho keinen WebGUI Zugriff zu. (port 4?)
Bitte warten ..
Mitglied: flow.ryan
01.05.2014, aktualisiert um 13:34 Uhr
Hallo,

wie Christian schon schreibt. Bitte prüfe einmal, ob das Netz hinter der Fritzbox an LAN-4 hängt. in der GUI der Fritzbox kannst du unter den Porteinstellungen einstellen, dass der Port 4 ein Gast-Zugang ist.

Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> Gastzugang für LAN 4 aktiv

Somit werden die Zugriffe auf das Web-GUI der Box gesperrt - that simple!

Gruß,
Florian
Bitte warten ..
Mitglied: HomeUser6866
01.05.2014 um 13:37 Uhr
Hallo Christian,

gehe mal von einem Anfänger bei mir aus.

Zitat von certifiedit.net:

Hallo,

Ja, der Einsatz einer ordentlichen Firewall.

Wie würde eine Firewall a la PFsense das Problem lösen, dass unter der gleichen IP der Default Gateway als auch das Web GUI liegt - welcher Parameter würde hier unterschieden werden.

Beste Grüße,

Christian

PS: Abgesehen davon, das Gastnetzwerk in der Fritzbox lässt imho keinen WebGUI Zugriff zu. (port 4?)

Das Gastnetz auf Port 4 kenne ich. Kann ich aber nicht verwenden, da kein UPNP für die Playstation geht. Gastnetzwerk ist hier vielleicht auch etwas verwirrend. Das ist das WLAN (separater AP) für meinen Sohn, den ich vom Rest des Netzwerks trennen will. Auch das Gast WLAN der Fritzbox kann ich auf Grund der physikalischen Lage der Fritzbox (Reichweite) nicht verwenden.

Vielen Dank im Voraus für Deine Antwort
Bitte warten ..
Mitglied: flow.ryan
01.05.2014 um 13:45 Uhr
Hallo,

wenn es sich "nur" um deinen Sohn handelt - wieso nicht einfach ein ordentliches Passwort für das GUI setzen?

Gruß,
Florian
Bitte warten ..
Mitglied: HomeUser6866
01.05.2014 um 13:49 Uhr
Mein Sohn und andere nicht vertrauenwuerdige Besucher / Gäste
Bitte warten ..
Mitglied: certifiedit.net
01.05.2014 um 14:05 Uhr
Wenn du deinem Sohn un den Leuten, die er so ins Haus lässt so wenig traust hast du besser deine IT gut verschlossen. Zum FB Zugriff: Der lässt sich per zusätzlicher FW verwehren (hier IP der FB, nicht ALL).

Block FB_IP PORT 80
Bitte warten ..
Mitglied: HomeUser6866
01.05.2014 um 18:09 Uhr
Zitat von certifiedit.net:

Wenn du deinem Sohn un den Leuten, die er so ins Haus lässt so wenig traust hast du besser deine IT gut verschlossen. Zum FB
Zugriff: Der lässt sich per zusätzlicher FW verwehren (hier IP der FB, nicht ALL).

Das hat weniger etwas mit Vertrauen in die Personen zu tun. Mit 12 Jahren weiss man nicht immer was man tut. Mein Bedenken sind ehr versehentlich eingefangene Mal Ware bzw. dass er Programme installiert die er aus dem Internet geladen hat und Schwachstellen im internen LAN darstellen.
Hatte da das besondere Erlebnis als ich mal nach Hamichi gegooglet habe und feststellen musste, dass dies einen direkten Tunnel auf seinen PC aufbaut. D.h. theoretisch können die Freunde bei Ihm auf dem Server auch auf seinen PC.

Die Idee ist einfach sein Segment im LAN/WLAN zu isolieren und dann kann dem Rest der internen IT auch nichts passieren.

Block FB_IP PORT 80

Was macht da die Firewall anders als bei meinem Eintrag in die Access Control Liste für das Gast VLAN ?

block any 192.168.178.0 0.0.0.255 TCP 80 (fritzbox ist 192.168.178.1)
(blocke Verkehr von jeder IP Adresse die mit dem IP Adressbereich 192.168.178.0 - 254 auf Port 80)

Was ich ohnehin nicht verstehe ist:
wenn ich von diesem VLAN ein Website im Internet Aufrufe ist die Destination Address der ACL doch nicht im 192.168.178.x Bereich, sondern nur der Default Gateway ist in diesem Addressbereich. Verstehe ich hier etwas falsch ?

Vielen Dank für Deine Hilfe !!!
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 01.05.2014, aktualisiert um 21:19 Uhr
Gut, nachvollziehbar, wobei Hamachi nur ein VPN für Anfänger ist - Daher ist hier eine gute Vertrauensbasis und eine ordentliche AV Lösung wohl sinnvoller (im Zusammenhang mit dem FB Aufbau)

Das Block usw sollte nur exemplarisch darstellen, wie das ganze zu deuten ist. Du musst die genaue IP der Fritzbox aus diesem Netz blockieren. Das GW ist dann auch nicht mehr die Fritzbox, sondern die Interne IP der Firewall. Dann klappt das auch nachweislich mit dem Block korrekt (eben mit meinem Router getestet, dahinter steht aber auch eine Sophos UTM).

LG
Bitte warten ..
Mitglied: aqui
01.05.2014, aktualisiert um 22:44 Uhr
block any 192.168.178.0 0.0.0.255 TCP 80 (fritzbox ist 192.168.178.1)
(blocke Verkehr von jeder IP Adresse die mit dem IP Adressbereich 192.168.178.0 - 254 auf Port 80)
Die Interpretation ist falsch. Sie besagt vielmehr: Blocke alle Pakete mit beliebiger Absender IP (Source) auf alle Host IP Adressen im 192.168.178.0er Netz mit dem Zielport TCP 80.

Mit der ACL wirst du aber am SG-300 nichts erreichen, denn die ACL wirken nur auf den Switch VLAN IP Adressen als auf geroutetem Traffic. Nie aber auf einfach geswitchten Paketen. Auf allen Ports innerhalb der Layer 2 Domain kannst du keinen Filter auf Layer 3 Basis etablieren.
Sinn macht die ACL also nur auf dem Kids VLAN an dessen Switch IP.

Die Lösung mit dem Gast WLAN ist eh Frickelei und das FB GastWLAN ist leicht zu knacken.
Besser ist du beschaffst für kleines Geld einen Multi SSID AP den du getrennt im Kids VLAN legst. Mit dem Cisco 300er hast du ja denkbar beste Optionen diese Netze zu trennen.
Ein Beispiel wie man das macht findest du hier im Kapitel "Praxisbeispiel":
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: HomeUser6866
01.05.2014 um 23:02 Uhr
Hallo apui,

habe bereits einen Multi SSID Access Point der über LAN an den SG 300 angebunden ist.
Die ACL funktioniert genau so wie beschrieben inzwischen auch (gebunden an Gast VLAN - Cisco SG300 ist in Layer 3 mode).
Ich hatte eine Macke im Gast VLAN, so dass das Internet mit oder ohne ACL nicht erreichbar war. Von daher glaubte ich, das die ACE Regel das Problem war.
Das war aber falsch.
Bitte warten ..
Mitglied: HomeUser6866
01.05.2014 um 23:33 Uhr
Auf welcher Hardware läuft Deine Sohos UTM. Firewall ist bei mir der nächste Schritt. Liebäugle ebenfalls mit der Sohos UTM Home Software auf einem MiniITX MB. Weiss nur noch nicht was das MiniITX an performance haben sollte. Gibt von Intel einen relative neuen Quad Core Atom mit 2 GHz.

Viele Grüße
Bitte warten ..
Mitglied: aqui
01.05.2014 um 23:38 Uhr
Muss nichtmal so viel sein... Ein ALIX Board reicht:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Kann mehr als die Sophos...
Bitte warten ..
Mitglied: certifiedit.net
02.05.2014 um 00:40 Uhr
Zitat von aqui:

Muss nichtmal so viel sein... Ein ALIX Board reicht:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Kann mehr als die Sophos...

Da wäre doch eine Vergleichsliste ganz schick (aber ich möchte hier keine Grundsatzdebatte vom Zaun brechen)

Basis ist die Std. Sophos HW.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
WhatsApp Fritz.Box Sperren Zugangsprofile Filter Listen
Frage von MidivirusRouter & Routing5 Kommentare

Hallo Gemeinde, der Versuch funktioniert, bis auf eine Kleinigkeit. Was bisher geschah: Unter "Listen" eine neue Netzwerkanwendung hinzugefügt. Dieser ...

LAN, WAN, Wireless
ACLs: Teilbereiche sperren, Internet erlauben
Frage von PaulAtreidesLAN, WAN, Wireless3 Kommentare

Hi, ich möchte mit ACLs den Zugriff auf Teilbereiche des Netzwerks beschränken. Das klappt auch soweit nur der Zugriff ...

DNS
DynDNS an Fritz.Box
Frage von ggmuserDNS23 Kommentare

Hallo Zusammen, ich habe folgendes Problem. Ich habe eine Netzwerk-Kamera (LevelOne WCS-6020) die ich über das Internet erreichen möchte. ...

Router & Routing
Fritz.Box statische Route zu anderem Subnetz
gelöst Frage von FrankensteinRouter & Routing16 Kommentare

Guten Tag, ich habe aktuell zwei Fritz.Boxen im Einsatz, Fritz.Box1 hängt ganz normal als Router am Netz und Fritz.Box2 ...

Neue Wissensbeiträge
Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 22 MinutenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 14 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 18 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 18 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...