Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fritz.Box GUI sperren über ACL

Frage Netzwerke

Mitglied: HomeUser6866

HomeUser6866 (Level 1) - Jetzt verbinden

01.05.2014, aktualisiert 21:19 Uhr, 3866 Aufrufe, 13 Kommentare, 1 Danke

Ich habe ein Gast VLAN eingerichtet und möchte verhindern dass Nutzer aus dem Gast VLAN die Web GUI der Fritzbox (gleichzeitig Internet Zugang) erreichen können.

Dazu habe ich auf dem Cisco SG300 (Layer 3 - also VLAN Router) eine ACL eingerichtet.

block any 192.168.178.0 0.0.0.255 TCP 80 (fritzbox ist 192.168.178.1)

das Problem dabei ist, dass nicht nur die Web GUI der Fritzbox 7490 gesperrt ist, sondern auch jeglicher http in das Internet, da 192.168.178.1 auch der Default Gateway für das Internet ist.

Hat jemand eine Idee wie die GUI der Fritzbox gesperrt werden kann, ohne den http Verkehr in gesamte Internet zu sperren ?

Viele Dank für Eure Hilfe
Mitglied: certifiedit.net
01.05.2014 um 13:24 Uhr
Hallo,

Ja, der Einsatz einer ordentlichen Firewall.

Beste Grüße,

Christian

PS: Abgesehen davon, das Gastnetzwerk in der Fritzbox lässt imho keinen WebGUI Zugriff zu. (port 4?)
Bitte warten ..
Mitglied: flow.ryan
01.05.2014, aktualisiert um 13:34 Uhr
Hallo,

wie Christian schon schreibt. Bitte prüfe einmal, ob das Netz hinter der Fritzbox an LAN-4 hängt. in der GUI der Fritzbox kannst du unter den Porteinstellungen einstellen, dass der Port 4 ein Gast-Zugang ist.

Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> Gastzugang für LAN 4 aktiv

Somit werden die Zugriffe auf das Web-GUI der Box gesperrt - that simple!

Gruß,
Florian
Bitte warten ..
Mitglied: HomeUser6866
01.05.2014 um 13:37 Uhr
Hallo Christian,

gehe mal von einem Anfänger bei mir aus.

Zitat von certifiedit.net:

Hallo,

Ja, der Einsatz einer ordentlichen Firewall.

Wie würde eine Firewall a la PFsense das Problem lösen, dass unter der gleichen IP der Default Gateway als auch das Web GUI liegt - welcher Parameter würde hier unterschieden werden.

Beste Grüße,

Christian

PS: Abgesehen davon, das Gastnetzwerk in der Fritzbox lässt imho keinen WebGUI Zugriff zu. (port 4?)

Das Gastnetz auf Port 4 kenne ich. Kann ich aber nicht verwenden, da kein UPNP für die Playstation geht. Gastnetzwerk ist hier vielleicht auch etwas verwirrend. Das ist das WLAN (separater AP) für meinen Sohn, den ich vom Rest des Netzwerks trennen will. Auch das Gast WLAN der Fritzbox kann ich auf Grund der physikalischen Lage der Fritzbox (Reichweite) nicht verwenden.

Vielen Dank im Voraus für Deine Antwort
Bitte warten ..
Mitglied: flow.ryan
01.05.2014 um 13:45 Uhr
Hallo,

wenn es sich "nur" um deinen Sohn handelt - wieso nicht einfach ein ordentliches Passwort für das GUI setzen?

Gruß,
Florian
Bitte warten ..
Mitglied: HomeUser6866
01.05.2014 um 13:49 Uhr
Mein Sohn und andere nicht vertrauenwuerdige Besucher / Gäste
Bitte warten ..
Mitglied: certifiedit.net
01.05.2014 um 14:05 Uhr
Wenn du deinem Sohn un den Leuten, die er so ins Haus lässt so wenig traust hast du besser deine IT gut verschlossen. Zum FB Zugriff: Der lässt sich per zusätzlicher FW verwehren (hier IP der FB, nicht ALL).

Block FB_IP PORT 80
Bitte warten ..
Mitglied: HomeUser6866
01.05.2014 um 18:09 Uhr
Zitat von certifiedit.net:

Wenn du deinem Sohn un den Leuten, die er so ins Haus lässt so wenig traust hast du besser deine IT gut verschlossen. Zum FB
Zugriff: Der lässt sich per zusätzlicher FW verwehren (hier IP der FB, nicht ALL).

Das hat weniger etwas mit Vertrauen in die Personen zu tun. Mit 12 Jahren weiss man nicht immer was man tut. Mein Bedenken sind ehr versehentlich eingefangene Mal Ware bzw. dass er Programme installiert die er aus dem Internet geladen hat und Schwachstellen im internen LAN darstellen.
Hatte da das besondere Erlebnis als ich mal nach Hamichi gegooglet habe und feststellen musste, dass dies einen direkten Tunnel auf seinen PC aufbaut. D.h. theoretisch können die Freunde bei Ihm auf dem Server auch auf seinen PC.

Die Idee ist einfach sein Segment im LAN/WLAN zu isolieren und dann kann dem Rest der internen IT auch nichts passieren.

Block FB_IP PORT 80

Was macht da die Firewall anders als bei meinem Eintrag in die Access Control Liste für das Gast VLAN ?

block any 192.168.178.0 0.0.0.255 TCP 80 (fritzbox ist 192.168.178.1)
(blocke Verkehr von jeder IP Adresse die mit dem IP Adressbereich 192.168.178.0 - 254 auf Port 80)

Was ich ohnehin nicht verstehe ist:
wenn ich von diesem VLAN ein Website im Internet Aufrufe ist die Destination Address der ACL doch nicht im 192.168.178.x Bereich, sondern nur der Default Gateway ist in diesem Addressbereich. Verstehe ich hier etwas falsch ?

Vielen Dank für Deine Hilfe !!!
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 01.05.2014, aktualisiert um 21:19 Uhr
Gut, nachvollziehbar, wobei Hamachi nur ein VPN für Anfänger ist - Daher ist hier eine gute Vertrauensbasis und eine ordentliche AV Lösung wohl sinnvoller (im Zusammenhang mit dem FB Aufbau)

Das Block usw sollte nur exemplarisch darstellen, wie das ganze zu deuten ist. Du musst die genaue IP der Fritzbox aus diesem Netz blockieren. Das GW ist dann auch nicht mehr die Fritzbox, sondern die Interne IP der Firewall. Dann klappt das auch nachweislich mit dem Block korrekt (eben mit meinem Router getestet, dahinter steht aber auch eine Sophos UTM).

LG
Bitte warten ..
Mitglied: aqui
01.05.2014, aktualisiert um 22:44 Uhr
block any 192.168.178.0 0.0.0.255 TCP 80 (fritzbox ist 192.168.178.1)
(blocke Verkehr von jeder IP Adresse die mit dem IP Adressbereich 192.168.178.0 - 254 auf Port 80)
Die Interpretation ist falsch. Sie besagt vielmehr: Blocke alle Pakete mit beliebiger Absender IP (Source) auf alle Host IP Adressen im 192.168.178.0er Netz mit dem Zielport TCP 80.

Mit der ACL wirst du aber am SG-300 nichts erreichen, denn die ACL wirken nur auf den Switch VLAN IP Adressen als auf geroutetem Traffic. Nie aber auf einfach geswitchten Paketen. Auf allen Ports innerhalb der Layer 2 Domain kannst du keinen Filter auf Layer 3 Basis etablieren.
Sinn macht die ACL also nur auf dem Kids VLAN an dessen Switch IP.

Die Lösung mit dem Gast WLAN ist eh Frickelei und das FB GastWLAN ist leicht zu knacken.
Besser ist du beschaffst für kleines Geld einen Multi SSID AP den du getrennt im Kids VLAN legst. Mit dem Cisco 300er hast du ja denkbar beste Optionen diese Netze zu trennen.
Ein Beispiel wie man das macht findest du hier im Kapitel "Praxisbeispiel":
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: HomeUser6866
01.05.2014 um 23:02 Uhr
Hallo apui,

habe bereits einen Multi SSID Access Point der über LAN an den SG 300 angebunden ist.
Die ACL funktioniert genau so wie beschrieben inzwischen auch (gebunden an Gast VLAN - Cisco SG300 ist in Layer 3 mode).
Ich hatte eine Macke im Gast VLAN, so dass das Internet mit oder ohne ACL nicht erreichbar war. Von daher glaubte ich, das die ACE Regel das Problem war.
Das war aber falsch.
Bitte warten ..
Mitglied: HomeUser6866
01.05.2014 um 23:33 Uhr
Auf welcher Hardware läuft Deine Sohos UTM. Firewall ist bei mir der nächste Schritt. Liebäugle ebenfalls mit der Sohos UTM Home Software auf einem MiniITX MB. Weiss nur noch nicht was das MiniITX an performance haben sollte. Gibt von Intel einen relative neuen Quad Core Atom mit 2 GHz.

Viele Grüße
Bitte warten ..
Mitglied: aqui
01.05.2014 um 23:38 Uhr
Muss nichtmal so viel sein... Ein ALIX Board reicht:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Kann mehr als die Sophos...
Bitte warten ..
Mitglied: certifiedit.net
02.05.2014 um 00:40 Uhr
Zitat von aqui:

Muss nichtmal so viel sein... Ein ALIX Board reicht:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Kann mehr als die Sophos...

Da wäre doch eine Vergleichsliste ganz schick (aber ich möchte hier keine Grundsatzdebatte vom Zaun brechen)

Basis ist die Std. Sophos HW.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
TK-Netze & Geräte
Panasonic KX-TG6811 an Fritz Box 7490 (21)

Frage von bytetix zum Thema TK-Netze & Geräte ...

Router & Routing
Cisco langsam hinter Fritz!box (5)

Frage von PharIT zum Thema Router & Routing ...

LAN, WAN, Wireless
Langsame Verbindung zu FRITZ!Box (1)

Frage von eQuest zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Fritz!Box 6490 Cable hängt in Dauerreboot Schleife (5)

Frage von ketanest112 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...