Firewall im AVM Wifi Mesh

[Der Uwe]

Hallo Freunde,

ich habe eine Frage zum Einsatz einer HW-Firewall (pfsense o.ä.) in meinem Heimnetzwerk.
Aktuell habe ich folgenden Aufbau: Eine Fritzbox für den Internetzugang, dahinter einen Switch (L2+) an dem u.a. zwei Fritz Repeater via Lan-Brücke hängen. Die Repeater und die Fritzbox spannen dabei ein gemeinsames WiFi-Mesh auf, die Fritzbox ist der Master. Aktuell habe ich keine VLANs o.ä. am laufen.

Ich möchte nun die Firewall zwischen Fritzbox und Switch hängen:

Wie wirkt sich das auf das Wifi-Mesh aus? Liegt die Firewall dann vor dem Mesh oder dahinter? Oder kommt es darauf an, mit welchem Meshpoint man verbunden ist?
Falls die FW davor läge: Wäre es ggf. sinnvoll das Mesh aufzulösen und die Repeater nur als Accesspoints laufen zu lassen? Ggf. könnte ich auf das Wifi der Fritzbox verzichten, die steht ohnehin im Keller.
Was meint ihr?

Danke und VG
Uwe

 

[d0xs]

wozu eine Firewall wenn deine Fritzbox eine hat?

 

[Tuetensuppe]

Wäre es ggf. sinnvoll das Mesh aufzulösen und die Repeater nur als Accesspoints laufen zu lassen? Ggf. könnte ich auf das Wifi der Fritzbox verzichten, die steht ohnehin im Keller.

Deine Repeater stellen doch sog. Accesspoints dar, da per LAN angeschlossen.

 

[H3llF15H]

wozu eine Firewall wenn deine Fritzbox eine hat?

Besser konfigurierbar, DMZ etc..

 

[Firefly2023]

Trotzdem unnötig...

 

[Der Uwe]

Deine Repeater stellen doch sog. Accesspoints dar, da per LAN angeschlossen.

Danke für die Rückmeldung. Ich bin leider nicht so firm, was Mesh-Technologie angeht. Was bedeutet das für die Firewall? Wenn ich am Repeater hänge, bin ich durch die Firewall geschützt. Wenn ich jedoch an der Fritzbox im Wifi hänge, dann nicht?

 

[chrigu]

Genau. Alles was durch das lankabel kommt, wird untersucht (externe Firewall), alles was direkt über wlan der Box geht, wird untersucht (interne Firewall)
Wenn du die externe Firewall falsch konfigurierst, hast du mächtig Probleme.
Die Fritz Firewall kann man nur ein oder aus machen. So ist eine fehlkonfiguration nur bedingt möglich.

Solange du keine Patientenakte, bankdaten oder sonstigen heiklen Daten hast, reicht die FRITZ!Box“firewall“

 

[Der Uwe]

Danke für das Feedback.
Um das Mesh dennoch zu erhalten, könnte ich zum Beispiel auch die Sendeleistung der Fritzbox auf 6% reduzieren. Da wählt sich dann niemand mehr darüber ein.

 

[cartridge_case]

Um das Mesh dennoch zu erhalten, könnte ich zum Beispiel auch die Sendeleistung der Fritzbox auf 6% reduzieren.

Da gibt es keinen Zusammenhang. Du kannst das WLAN komplett deaktivieren.

Wieso du aber die anderen Rückfragen so ignorierst verstehe ich nicht.

 

[Der Uwe]

Da gibt es keinen Zusammenhang. Du kannst das WLAN komplett deaktivieren.

Wieso du aber die anderen Rückfragen so ignorierst verstehe ich nicht.

Welche anderen Rückfragen? Wozu ich eine Firewall überhaupt nutzen möchte? Ich glaube, das hat mit dem Thema des Threads nichts zu tun. Das muss jeder für sich selbst entscheiden. Oder ich zitiere:

Besser konfigurierbar, DMZ etc..

Danke und VG

 

[Firefly2023]

Es ist immer schade, wenn auf Fragen nicht eingegangen wird. Es sind ja vielleicht Dinge dabei, die einen interessieren und weiterbringen können. Dieses „tut nichts zur Sache“ ist nicht förderlich, meiner Meinung nach.

Schade. Ich bin hier dann raus.

 

[Karl.1960]

Sendeleistung der Fritzbox auf 6% reduzieren. Da wählt sich dann niemand mehr darüber ein.

Von extern kann das keiner. Nur die das Routerpasswort oder das Wlanpasswort kennen. Das Routerpasswort steht auf der Unterseite der Fritz!Box. Das ist das erste, dass ich sofort geändert hatte plus ein anderes WLan PW.

 

[norKoeri]

Du holst Dir ein DSL-Modem … schaltest es vor die pfSense. Die pfSense macht dann die Internet-Einwahl und spielt Internet-Router. Hinter die pfSense kommt die FRITZ!Box, welche Du in den Modus IP-Client schaltest …

Wozu ich eine Firewall überhaupt nutzen möchte? Ich glaube, das hat mit dem Thema des Threads nichts zu tun. Das muss jeder für sich selbst entscheiden. Oder ich zitiere: „Besser konfigurierbar […]“

Wäre schon wichtig, was Du aktuell nicht konfigurieren kannst bzw. besser konfigurieren zu können glaubst. Selbst wenn dem so wäre, eine FRITZ!Box macht ja nicht nur eine Firewall sondern auch NAT. Das wird Dir immer wieder in Deine pfSense reinhauen, nicht nur wegen Doppel-NAT. Auch die IPv6-Präfix-Delegation macht AVM so dermaßen falsch, dass es nur zwischen zwei FRITZ!Box sauber geht. Folglich müsstest Du je nach Internet-Anbieter auch noch auf IPv6 verzichten. Daher wäre wenigstens sinnvoll, Du würdest uns mitteilen, wen Du als Internet-Anbieter hast.

Deine Repeater stellen doch sog. Accesspoints dar, da per LAN angeschlossen.

Dem Thread-Ersteller geht es um das AVM-Mesh. Im Notfall würde er es auflösen und nimmt seine FRITZ!Repeater nicht als Mesh- sondern reine WLAN-Punkte.

Um das Mesh dennoch zu erhalten, könnte ich zum Beispiel auch die Sendeleistung der Fritzbox auf 6% reduzieren. Da wählt sich dann niemand mehr darüber ein.

Du kannst das AVM-Mesh auch nutzen, wenn die „Einstellungsübernahme“ aus ist, also auch dann wenn WLAN auf dem Mesh-Master aus ist.

Wenn ich am Repeater hänge, bin ich durch die Firewall geschützt. Wenn ich jedoch an der Fritzbox im Wifi hänge, dann nicht?

Jein. Wenn Du im WLAN-Gastnetz bist, dann bist Du mit der FRITZ!Box direkt (über einen L2TPv3-Tunnel) verbunden. Bist Du im Heimnetz, sitzt Du hinter der pfSense, aber …

Liegt die Firewall dann vor dem Mesh oder dahinter?

… so wie Du es aktuell vor hast, sitzt die pfSense dann dazwischen. Du müsstest schauen, dass alle Kontroll- und Steuernachrichten durch die pfSense überhaupt durchkommen. Das wird aufwendig. Was ausgetauscht wird, ist zwar einigermaßen dokumentiert … Aber ich wüsste niemanden, der das bereits umgesetzt hat, also zwischen zwei Subnetzen bzw. über eine Firewall hinweg. Du wirst viele Stunden daran sitzen. Daher mein Tipp lieber

externes DSL-Modem ↔ Firewall ↔ Heimnetz mit AVM-Mesh, also FRITZ!Box als IP-Client und FRITZ!Repeater.​

Wozu ich eine Firewall überhaupt nutzen möchte? Ich glaube, das hat mit dem Thema des Threads nichts zu tun.

Indirekt auf jeden Fall, denn so wie Du fragst, wirst Du Stunden damit beschäftigt sein, pfSense überhaupt richtig mit Deinem Internet-Anbieter zu verbinden, geschweige denn die Firewall-Regeln …

 

[Incanus]

Von extern kann das keiner.

Darum ging es nicht, sondern dass Clients im Mesh-WLAN sich ja sowohl über die FRITZ!Box (nicht gewünscht), als auch die FRITZ!Repeater (gewünscht) verbinden können. Darauf hat man keinen direkten Einfluss.

 

[Raijin]

Welche anderen Rückfragen? Wozu ich eine Firewall überhaupt nutzen möchte? Ich glaube, das hat mit dem Thema des Threads nichts zu tun. Das muss jeder für sich selbst entscheiden.

Doch, das hat es. Eine pfSense erhöht nicht per Definition die Sicherheit, sondern das ist nur durch ihre fachgerechte Konfiguration sichergestellt. Ohne dir auf den Schlips treten zu wollen, aber irgendwie habe ich das Gefühl, dass eben letzteres bei dir nur bedingt der Fall wäre, weil du sonst nicht fragen müsstest wie AVM Mesh auf eine Firewall zwischen Fritzbox und FritzRepeater reagiert.

Selbst wenn du VLANs einsetzen wolltest, ist dies mit den FritzRepeatern so nicht umsetzbar, weil AVM keine VLANs unterstützt. Der Nutzen einer pfSense-Firewall sinkt dadurch immer weiter, weil du einen Großteil der Vorzüge kaum nutzen und sie mutmaßlich auch nicht sauber konfigurieren könntest. Das ist nicht böse gemeint, aber einfach Anleitungen aus Foren, Youtube und Co nachzuklicken hat eben nichts mit einer fachgerechten Konfiguration zu tun, wenn man nicht versteht warum und wieso dies und jenes gemacht wurde.

Etwas überspitzt formuliert kann man sagen: Eine pfSense, die von Peter Planlos konfiguriert wurde, wird niemals sicherer sein als eine Fritzbox, die von ausgebildeten/studierten Technikern, Informatikern und Ingenieuren vorbereitet wurde.


Daher ist die Frage nach dem Sinn der pfSense essentieller Bestandteil solcher Beratungsthreads und wenn du sie einfach beiseite wischst, verpasst du Chancen auf sinnvolle Hinweise und Hilfestellungen.

 

[Karl.1960]

Darum ging es nicht

Ich habe lediglich nur auf seine Befürchtung, dass sich jemand einloggen könnte eingegangen.

 

[Incanus]

Wie gesagt, darum ging es nicht. Das habe ich versucht zu erklären. Lies doch einfach noch mal, was geschrieben wurde.