[Gelöst] Black Dwarf hinter AVM Fritzbox 7490

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
isential gmbh
Beiträge: 160
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

[Gelöst] Black Dwarf hinter AVM Fritzbox 7490

Beitrag von isential gmbh »

Hallo,

wir haben eine UTM-Firewall "Black Dwarf G2 UTM WiFi Edition" erhalten.

Wir hatten vor, unsere AVM Fritz!Box 7490, die an einem VDSL-Anschluß betrieben wird, einfach als Moden zu nutzen, was früher mit anderen Fritzboxen problemlos ging. Nun stellen wir aber fest, dass dies über die Oberfläche nicht mehr möglich ist. Es kursieren Anleitungen im Internet, wie man manuell dies bewerkstelligen kann, aber wir wollen uns auf vom Hersteller nicht unterstützten Betriebsarten nicht einlassen.

Bei näherem Anschauen der Möglichkeiten, die die Fritz!Box bietet (sie soll bleiben, da wir über sie in das VDSL-Netz gehen), fallen mir zwei Möglichkeiten ein, wie man die UTM-Firewall hinter der Fritz!Box betreiben kann:
  1. Auf der Fritz!Box über "Internet > Freigaben" eine Portfreigabe für einen "Exposed Host" einrichten. Dieser soll die UTM-Firewall sein.
  2. Alternativ die Fritz!Box in ein anderes IP-Netz nehmen und den Transfer zwischen Internet und UTM-Firewall über Routen regeln.
Nun meine Fragen an den Support bzw. Experten:
  1. Welche dieser zwei Möglichkeiten funktionieren am besten?
  2. Gibt es dafür Konfigurationsanleitungen?
  3. Gibt es sonst andere Möglichkeiten?
Ich kann natürlich den ganzen Tag damit verbringen, diese Möglichkeiten selbst auszuloten. Da es sich aber um etwas Grundlegendes handelt, gehe ich davon aus, dass diese Möglichkeiten irgendwo gut beschrieben sind.

Im Voraus herzlichen Dank!

René Ketterer

Bjoern
Securepoint
Beiträge: 586
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

also wenn die Fritzbox vor der SP als Router betrieben wird muss diese zwingend ein anderen IP Bereich haben wie das interne Netz. Dann würde ich die Portweiterleitung eintragen. Wenn es noch geht dann natürlich exposed host. Sollte dies nicht machbar sein min. die Ports die Sie von außen ansprechen wollen/müssen.

Gruß Björn

Benutzeravatar
isential gmbh
Beiträge: 160
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Exposed Host geht noch. Das wäre mir insofern lieber, dass so die FB weiterhin im gleichen Netz erreichbar bleibt und ich mich um Routen nicht kümmern müsste. Ich gehe davon aus, dass diese möglich ist, oder irre ich mich etwa?

Angenommen, die FB hat die Adresse 192.168.1.254 und die UTM_Firewall 192.168.1.253. Kann ich die FB dann intern über ihre IP erreichen? Das wäre toll, denn wir nutzen sie als Telefonanlage und wir sollten sie managen können?

Ansonsten böte sich der Routerbetrieb als Alternative an.

Gibt es irgendwo Anleitungen, die das beschreiben?

Vielen Dank!

René

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,

Sie können auf der internen und externen Schnittstelle der Firewall nicht das gleiche Subnetz verwenden.
Wenn die FB die 192.168.1.254 hat, können Sie der Firewall auf der externen Schnittstelle (Standardmäßig eth0) die IP 192.168.1.253 vergeben und eine default Route auf die FB setzen.
Dann können Sie das 192.168.1er allerdings nicht für das interne Netz (Standardmäßig eth1) verweden. Wenn Sie nun intern ein anderes Netz verwenden, können Sie die FB
aber über IP Adresse zur Administration erreichen, dazu brauchen Sie keine besonderen Routen, denn die FB befindet sich so gesehen in der Zone 'external' und Anfragen
die extern raus gehen werden von der Firewall dann mit der 192.168.1.253 geNATet.
Eine Anleitung spezielle für dieses Szenario haben wir nicht, dabei handelt es sich um ein einfaches Transfernetz.

Gruß

Benutzeravatar
isential gmbh
Beiträge: 160
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Danke, ich hatte dies übersehen. Will heißen, die FB ist über LAN1 mit der Firewall über ihren WAN-Port im 192.168.1er-Netz verbunden.

Das interne Netzwerk (z. B. 192.168.2.0) ist mit der Firewall über ihre interne Adresse 192.168.2.254 verbunden

Das interne Netz bekommt als default Gateway 192.168.2.254.

Die Firewall bekommt als default Route 192.168.1.254, so dass alles außer 192.168.2.0 Richtung Fritzbox geht.

Brauche ich überhaupt noch eine Route auf der Fritzbox, wenn diese als Exposed Host die Adresse der Firewall eingetragen hat?

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Genau, wenn Sie Exposed Host auf der FB an die Firewall weiterleiten brauchen Sie keine weitere Route.
Mit WAN-Port meinen Sie allerdings den LAN-Port der FritzBox mit dem die Firewall verbunden ist,
der WAN-Port der FritzBox stellt ja die Internetverbindung her.

Gruß

Benutzeravatar
isential gmbh
Beiträge: 160
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

OK, verstanden.

Mit WAN-Port habe ich hier die externe Schnittstelle der Firewall eth0 gemeint. Diese ist mit LAN1 von der FB verbunden – LAN1 ist von der Firewall aus gesehen das "Draußen", also WAN... ;-)

Nun stellt sich für mich die grundsätzliche Frage: Was ist in meinem Fall besser? Exposed Host oder Routerbetrieb der FB?

Nochmals herzlichen Dank!

René

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Die FritzBox wird dann ja so als Router betrieben, mit der Option Exposed Host leiten Sie nur einfach jeden Port an die Firewall weiter.
Das können Sie gerne machen, denn die Firewall ist ja dafür gedacht, sonst müssten Sie jeden Port den Sie von außen auf der Firewall, bzw. intern,
ansprechen möchten einzeln weiterleiten.

Gruß

Benutzeravatar
isential gmbh
Beiträge: 160
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

OK. Ich denke, ich habe es endlich richtig begriffen. Ich wollte das bestätigt hören.

Eine letzte Frage hätte ich noch, wobei diese eher die FB betrifft, aber vielleicht können Sie mir diese trotzdem beantworten:

Die FB kann auch statische Routen verwalten. Hier kann ich z. B. angeben, dass alles was Richtung 192.168.2.0 (internes Netz) geht, über 192.168.1.253 zu routen ist. Das müsste eigentlich reichen, wenn man keinen Exposed Host verwenden will, oder mache ich hier einen Denkfehler?

So könnte ich z. B. weitere voneinander getrennte Subnetze mit weiteren Firewalls über die FB betreiben.

Nochmals herzlichen Dank und Grüße aus Trossingen!

René

Antworten