Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PC mit Internetzugriff und Portfreigaben aus Heimnetz abgetrennt (Fritzbox Gastzugang LAN4)

Frage Netzwerke Router & Routing

Mitglied: speedy26gonzales

speedy26gonzales (Level 1) - Jetzt verbinden

01.08.2013 um 13:02 Uhr, 8190 Aufrufe, 26 Kommentare

Hallo,

ich suche derzeit nach einer Lösung, einen einzelnen PC im Netzwerk komplett vom Heimnetz abzutrennen und darauf Portfreigaben weiter zu leiten?

Hat jemand eine Idee wie man das verwirklichen kann? Mit der Fritzbox am LAN4 (Gastzugang) habe ich es schon versucht.
Ich kann hier zwar im Menü die Portfreigaben eintragen, allerdings sind die nicht aktiv und bei einem Neustart bekommt er eine ganz andere IP zugewiesen.

26 Antworten
Mitglied: Lochkartenstanzer
01.08.2013 um 13:29 Uhr
Moin,

freetzen und vlans nutzen würde ich da sagen..

oder gleich einen monowall auf alix aufsetzen.

oder einen ddwrrt-router holen.

oder ...

lks
Bitte warten ..
Mitglied: MrNetman
01.08.2013 um 13:59 Uhr
Auch wenns schnell gehen soll,

Es wäre wirklich peinlich, wenn der Gastzugang so unsicher wäre, dass ihn jeder komprimitieren könnte.
Aber aqui hat da einen netten Beitrag geschrieben: DMZ für Arme oder wie betreibe ich zwei Router hinter dem DSL-Anschluß.
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...

gruß
Netman
Bitte warten ..
Mitglied: aqui
01.08.2013, aktualisiert um 14:28 Uhr
DMZ des kleinen Mannes wie es in dem o.a. Tutorial und "Alternative 2" nachzulesen ist oder hier:
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html

Technisch am besten ist eine kleine Firewall wo das mit 3 Mausklicks im GUI Setup erledigt ist:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Such dir das schönste aus...
Es ist natürlich logisch das bei einem Endgerät auf das statische Port Freigaben oder Port Forwarding zeigen, dieses selbstredend eine feste statische IP hat und keine DHCP Adresse bekommt. Der Grund dafür dürfte auch einem Laien klar sein...!
Bitte warten ..
Mitglied: speedy26gonzales
01.08.2013, aktualisiert um 14:42 Uhr
Danke für Eure Antworten, ich les mir die anderen Beiträge mal durch.


Zitat von aqui:
Es ist natürlich logisch das bei einem Endgerät auf das statische Port Freigaben oder Port Forwarding zeigen, dieses selbstredend eine feste statische IP hat
und keine DHCP Adresse bekommt. Der Grund dafür dürfte auch einem Laien klar sein...!
Das ist mir schon klar. Allerdings kann ich keine feste IP vergeben wenn sich nach jedem Neustart des Routers die Gatewayadresse verändert.
Deshalb habe ich es auf DHCP gestellt um zu sehen was für IPs der Client jeweils bekommt. Aber das ist wirklich immer ne andere (IP + Gatewayadresse).

freetzen und vlans nutzen würde ich da sagen
Wie gut funktioniert das? Hast Du damit schon was gemacht?

oder einen ddwrrt-router holen.
Hätte ich noch einen hier. Ich hab da auch mal gelesen dass es mit dem funktionieren soll, wenn man diesen hinter einen anderen hängt und Ihn so einstellt dass von diesem nur direkt ins Internet Zugriff besteht.
Bitte warten ..
Mitglied: aqui
01.08.2013 um 14:42 Uhr
Das ist ja völliger Blödsinn, denn die Gateway IP Adresse ist immer fest. Die ändert sich niemals nach einem Reboot, das ist technischer Unsinn, weil diese statisch konfiguriert ist !
Analog ist die statisch auf dem Client konfiguriert. Wie sich da was ändern soll musst du dem Forum erstmal erklären. Sowas gehört ins Reich der Märchen oder ist der Hitze geschuldet !
Oder meinst du die öffentliche IP Adresse auf Providerseite am Router ??
Bitte warten ..
Mitglied: MrNetman
01.08.2013 um 14:46 Uhr
Ist aber keine schlechte Idee für ein Gastnetz. Nichts stabiles und damit auch darauf kaum eine Angriffsmöglichkeit. Da kann die Box ja immer eine anderes Netz nehmen.

Aber ein paar Details vom TO an der Stelle wären nicht verkehrt, wenn er sich schon damit beschäftigt.
Änderung der Adresse pro Zeit oder pro Einwahl oder pro Link-up and -down. Und welches Netz und welche Subnetzmaske ...
Bitte warten ..
Mitglied: aqui
01.08.2013 um 14:56 Uhr
...na ja aber mit seinem Port Forwarding und der Erreichbarkeit dieses Rechners ist das doch erheblich kontraproduktiv ! Da macht man sich ja nur unnötig das Leben schwer. Mit einer anständigen Firewall Regel und einem wasserdichten Passwort erreicht man das gleiche.
Noch besser wäre natürlich ein VPN !
Bitte warten ..
Mitglied: speedy26gonzales
01.08.2013, aktualisiert um 15:22 Uhr
Zitat von MrNetman:
Aber ein paar Details vom TO an der Stelle wären nicht verkehrt, wenn er sich schon damit beschäftigt.
Änderung der Adresse pro Zeit oder pro Einwahl oder pro Link-up and -down. Und welches Netz und welche Subnetzmaske ...

Werde ich gerne machen.
Ich habe die anderen Links auch mal überflogen und brauche da mal nen weiteren Rat.

Also derzeit sieht das Netz folgend aus:
Router A (Fritzbox 7270) stellt die Internetverbindung her. An ihm ist intern ein kleiner Daten-/Backupserver und ein paar normale Clients angeschlossen. Zusätzlich hat er eine VPN Verbindung zu einem weiteren Router B (Fritzbox 7390) an einem anderen Standort.

Jetzt soll ein Client (PC) in das Netz A eingebunden werden. Auf diesem PC werden Portfreigaben gebraucht. Zusätzlich soll aber von diesem PC kein Zugriff auf das normale Heimnetz A und natürlich B durch den Tunnel gegeben sein. Der PC braucht nur die Portfreigaben und Internetzugang, er wird dann von extern (Teamviewer) Administriert wenn es erforderlich ist.
Deshalb auch meine Idee mit dem Gast-LAN Port 4 an der Fritzbox. Allerdings scheitert es hier an den Portfreigaben.

Grund: Wenn ich auf dem Port 4 den Gastmodus aktiviere wird dieser Port komplett vom "normalen" Heimnetz abgetrennt. Hier läuft ein DHCP-Server der komplett andere IPs wie im Heimnetz vergibt. Zusätzlich ist mir aufgefallen dass diese nach einem Routerneustart vollständig variieren können.
Beispiel: Heimnetz IP: 192.168.2.100, Gateway: 192.168.2.254
Gastnetz nach 1. Start: IP: 192.168.178.20, Gateway: 192.168.178.1
Gastnetz nach 2. Start: IP: 192.168.181.20, Gateway: 192.168.181.1
Ich habe den Router 2x mal gestartet und über "ipconfig" ausgelesen was der Client für eine IP bekommen hat.
Deshalb ja auch das Problem mit der Portfreigabe, ich weiß gar nicht was ich an dem Client fest einstellen soll wenn die Fritzbox jedesmal den Netzbereich ändert.

Habt Ihr mir eine Idee welche Lösungsmöglichkeit ich für mein Vorhaben am besten umsetzen kann?

PS: Warum sind denn die Alixgeräte so teuer?
Bitte warten ..
Mitglied: MrNetman
01.08.2013 um 15:33 Uhr
Portfreigabe ist schon das falsche Wort.
Es geht um die Portweiterleitung. Damit erklärst sich auch das Problem, dass es nicht klappt. Wohin soll geleitet werden wenn das Ziel sich ändert. Evtl kann man mit Namen arbeiten. Ich hschätze aber, dass gerade der Gastzugang dieses nicht untersützt. Eigentlich nciht übel.

Wenn es so spezifisch ist, ist eine Firewall sicherlich die technisch sauberste Lösung.

Danke für die Infos zur Fritzbox und den Gastzugang. Habe ich mir so in etwa gedacht. So gewöhnt sich keiner der Gäste an eine verlässliche Umgebung.
Bitte warten ..
Mitglied: speedy26gonzales
01.08.2013, aktualisiert um 16:28 Uhr
Zitat von MrNetman:
Portfreigabe ist schon das falsche Wort.
Es geht um die Portweiterleitung. Damit erklärst sich auch das Problem, dass es nicht klappt. Wohin soll geleitet werden wenn
das Ziel sich ändert. Evtl kann man mit Namen arbeiten. Ich hschätze aber, dass gerade der Gastzugang dieses nicht
untersützt. Eigentlich nciht übel.

Wenn es so spezifisch ist, ist eine Firewall sicherlich die technisch sauberste Lösung.

Danke für die Infos zur Fritzbox und den Gastzugang. Habe ich mir so in etwa gedacht. So gewöhnt sich keiner der
Gäste an eine verlässliche Umgebung.

Ja hast Recht, es geht um Portweiterleitung.

Namen geht aucht nicht, sobald ich den PC-Namen auswähle erstellt er die Regel nicht auf den Namen, sondern auf die aktuelle IP.

Hast ne Idee, wie ich es am besten/schnellesten umsetzen könnte?
Gibt es eine saubere Lösung mit einem DD-WRT oder muss ne Alix her?
Oder vielleicht eine Lösung, die ich bisher nicht bedacht habe?
Bitte warten ..
Mitglied: MrNetman
01.08.2013 um 17:09 Uhr
dd-wrt gibt es wohl nicht auf der fritzbox, aber freetz
Bitte warten ..
Mitglied: Lochkartenstanzer
01.08.2013 um 17:19 Uhr
Zitat von speedy26gonzales:
Namen geht aucht nicht, sobald ich den PC-Namen auswähle erstellt er die Regel nicht auf den Namen, sondern auf die aktuelle
IP.

Verpaß dem gerät doch eine feste IP. Oder spricht etwas dagegen?

lks
Bitte warten ..
Mitglied: speedy26gonzales
01.08.2013 um 17:56 Uhr
Zitat von MrNetman:
dd-wrt gibt es wohl nicht auf der fritzbox, aber freetz

Meinte auch nicht auf der Fritzbox, sondern als zusätzliches Gerät hinter der Fritzbox.

Verpaß dem gerät doch eine feste IP. Oder spricht etwas dagegen?

Welchem Gerät meinst Du ?
Bitte warten ..
Mitglied: Lochkartenstanzer
01.08.2013, aktualisiert um 18:08 Uhr
Zitat von speedy26gonzales:
Welchem Gerät meinst Du ?

Das gerät, zu dem Du die Ports weiterleiten willst.


Ergänzung:

macht die Portweiterleitung z.B. auf 192.168.179.11 und stell in Deinem Gerät ein:

IP 192.168.179.11/24  
gw 192.168.179.1 
ns 192.168.179.1 (oder 8.8.8.8)
Das sollte ausreichen.

lks
Bitte warten ..
Mitglied: speedy26gonzales
01.08.2013 um 18:30 Uhr
Zitat von Lochkartenstanzer:
> Zitat von speedy26gonzales:
> ----
> Welchem Gerät meinst Du ?

Das gerät, zu dem Du die Ports weiterleiten willst.


Ergänzung:

macht die Portweiterleitung z.B. auf 192.168.179.11 und stell in Deinem Gerät ein:

> IP 192.168.179.11/24  
> gw 192.168.179.1 
> ns 192.168.179.1 (oder 8.8.8.8) 
> 
Das sollte ausreichen.

lks

Na genau das geht ja nicht. Der Router vergibt bei jedem Neustart seinem Gastnetz eine neue Netzadresse, somit ganz andere IPs. (Siehe ein paar Posts weiter oben)
Bitte warten ..
Mitglied: Lochkartenstanzer
01.08.2013, aktualisiert um 19:09 Uhr
Zitat von speedy26gonzales:
Na genau das geht ja nicht. Der Router vergibt bei jedem Neustart seinem Gastnetz eine neue Netzadresse, somit ganz andere IPs.
(Siehe ein paar Posts weiter oben)

Dann hast Du eine andere Fritzbox wie ich. Ich habe die auf 192.168.179.0/24 festgetackert und da ändert sich das Netz überhaupt nicht.

lks
Bitte warten ..
Mitglied: speedy26gonzales
02.08.2013, aktualisiert um 11:33 Uhr
Zitat von Lochkartenstanzer:
> Zitat von speedy26gonzales:
> ----
> Na genau das geht ja nicht. Der Router vergibt bei jedem Neustart seinem Gastnetz eine neue Netzadresse, somit ganz andere
IPs.
> (Siehe ein paar Posts weiter oben)

Dann hast Du eine andere Fritzbox wie ich. Ich habe die auf 192.168.179.0/24 festgetackert und da ändert sich das Netz
überhaupt nicht.

lks

Wo kann ich das Gastnetz auf eine IP fest einstellen? Den Menüpunkt habe ich bei der 7270 nicht gefunden?
Bitte warten ..
Mitglied: Lochkartenstanzer
02.08.2013, aktualisiert um 12:04 Uhr
Zitat von speedy26gonzales:
Wo kann ich das Gastnetz auf eine IP fest einstellen? Den Menüpunkt habe ich bei der 7270 nicht gefunden?


Ist unter Heimnetz netzwerkeinstellungen gewesen, sowohl bei der 7270 früher, als auch später dann mit der 7390. Allerdings habe ich gerade nachgeschaut und siehe da, ich finde es auch nciht mehr. Kann sein, daß AVM das inwzischen geändert hat. Aber trotzdem hat mein GastLAN immer noch die 192.168.179.0/24.

lks
Bitte warten ..
Mitglied: speedy26gonzales
02.08.2013 um 12:32 Uhr
Aber trotzdem hat mein GastLAN immer noch die 192.168.179.0/24.

Funktioniert dann bei Dir auch die Portweiterleitung auf eine Gastnetz-IP ?

Komisch dass es den Menüpunkt nicht mehr gibt, ich habe auch über Google nix gefunden.
Bitte warten ..
Mitglied: Lochkartenstanzer
02.08.2013, aktualisiert um 13:53 Uhr
Zitat von speedy26gonzales:
Funktioniert dann bei Dir auch die Portweiterleitung auf eine Gastnetz-IP ?

Hatt emal, inzwishen aber aus irgendwelchen Gründen nicht mehr. Ich habe allerdings seit dem letzten mal, wo ich das benötigt hatte schon mehrere "Umabuarbeiten" an der Kiste.

Komisch dass es den Menüpunkt nicht mehr gibt, ich habe auch über Google nix gefunden.

Notfalls muß man halt die Anpassungen manuell in der ar7.cfg machen. (die entsprechenden Konfigurationen mit guest).


Aber die einfachste variante dürfet immer noch sein, sich einen ddwrt-router für unter 50€ zu besorgen.

lks
Bitte warten ..
Mitglied: speedy26gonzales
02.08.2013 um 17:50 Uhr
Aber die einfachste variante dürfet immer noch sein, sich einen ddwrt-router für unter 50€ zu besorgen.

Hatte ich ja geschrieben, dass ich so einen habe. Kann ich den einfach hinter die bestehende Fritzbox hängen und dann dort ein weiteres Netz aufbauen?
Bitte warten ..
Mitglied: Lochkartenstanzer
02.08.2013 um 18:01 Uhr
Zitat von speedy26gonzales:
> Aber die einfachste variante dürfet immer noch sein, sich einen ddwrt-router für unter 50€ zu besorgen.

Hatte ich ja geschrieben, dass ich so einen habe. Kann ich den einfach hinter die bestehende Fritzbox hängen und dann dort
ein weiteres Netz aufbauen?

Prinzipiell ja. Hier hat das @aqui in einer immer noch aktuellen Anleitung beschrieben. Für dich dürfte Variante 2 maßgeblich sein.

Das Gerät hängst Du dann direkt an dir Fritzbox. Zwischen Fritzbox und dem weiteren Router ist dann Deine neutrale Zone (des kleines Mannes).

lks
Bitte warten ..
Mitglied: speedy26gonzales
18.09.2013, aktualisiert 20.09.2013
Hi Leute,

ich habe die Sache jetzt nochmals versucht. Leider ohne Erfolg.
Ich habe mal ein Bildchen gemalt wie es im Moment Netzwerktechnisch aufgebaut ist: f5c8866351f6b2380304f3098f406338 - Klicke auf das Bild, um es zu vergrößern

Ich brauche Zugriff von PC2 auf fileserver1 und fileserver2.

webserver soll keinen Zugriff auf fileserver1 und das Netz der Fritzbox 7390 (PC2 und fileserver2) haben.

Ich habe einen Router mit DD-WRT den ich evtl. zwischen Fritzbox 7270 und webserver hängen kann. Mit dem habe ich auch die Variante 2 versucht. Ich habe dann keinen Zugriff mehr vom normalen Netz auf den webserver, aber vom webserver aufs gesammte Netz 7270 und 7390. Genau das möchte ich eben nicht.
Gibt es unter DD-WRT evtl. Einstellungen wo ich den Zugriff so beschränken kann, dass der webserver mit seinen freigegeben Ports, Zugriff ins Internet hat und sonst auf nix im Netzwerk? Dann wäre mein Problem gelöst.
Bitte warten ..
Mitglied: speedy26gonzales
30.10.2013 um 11:23 Uhr
Keiner noch eine Idee dazu?
Bitte warten ..
Mitglied: aqui
30.10.2013 um 12:05 Uhr
Ja natürlich kann man das so machen allerdings musst du dann die interne Firewall der FBs customizen, da du ja per se eine LAN zu LAN Kopplung machst mit dem VPN Tunnel.
D.h. beide lokalen Netze "sehen" sich und jeder hat mit jedem Zugang. Das ist auch bei der FB VPN Implementation so gewollt.
Ein Customizen der Firewall um einzelene Rechner oder eine Gruppe bestimmten Zugang zu erlauben oder nicht sieht AVM in der Konfig nicht vor ! Du musst also dann die lokale Firewall an den Servern nutzen um diese Zugriffe zu beschränken.
Das ist deine einzige Möglichkeit. Ist nicht ideal da du den Traffic erstmal zulassen musst aber anders ist das mit deiner HW so nicht zu machen.
Erheblich sinnvoller wäre es gewesen die 2te FB ist eine Firewall wie die pfSense oder ein Mikrotik Router wo man den VPN Tunnel mit realisiert. Dort hat man die Möglichkeit sehr fein und granular den Zugriff zu steuern, da du eben die Firewall dieser Geräte konfigurieren kannst was bei deiner aktuell verwendeten HW nicht möglich ist.
Genau deshalb hat hier auch keiner mehr eine Idee !
Müsste dir eigentlich auch selber klar sein...?
Bitte warten ..
Mitglied: Lochkartenstanzer
30.10.2013 um 12:46 Uhr
Moin,

Alternativ könnte man in der fritzbox selbst mit iptables die Zugriffsbeschränkungen implementieren. Ist aber ein ziemliches Gepfriemel und beißt sich mit der AVM-Config.

lks
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst Fritzbox AP: Gastzugang ohne Internet bei Nicht-AVM-Routern (17)

Frage von Uwoerl zum Thema Router & Routing ...

Router & Routing
gelöst Aus Gastzugang (Fritzbox) VPN Verbdindung nach Hause aufbaue (5)

Frage von duffy6 zum Thema Router & Routing ...

Firewall
gelöst Sophos Home und Fritzbox und die Portfreigaben (7)

Frage von Stefan007 zum Thema Firewall ...

Router & Routing
FritzBox WLAN Gastzugang - Nutzungsbedingungen bearbeiten? (4)

Frage von tarek13 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...