FritzBox 5590 Kommunikation Haupt LAN mit Gast WLAN

[floert]

Hallo,

habe mal wieder eine Frage zu der ich im Netz keine konkreten Infos finden konnte.

Also die Situation ist folgende: Ich habe eine FB 5590 im Gang die mit einer FB 4040 in meinem Zimmer hier verbunden ist. In der Küche (gleich neben der 5590) ist ein Technisat Webradion, daneben im Wohnzimmer ist ein Chromecast am TV und dort steht auch der Drucker (WLAN). Nun möchte ich hauptsächlich wegen der Ordnung die aufgezählten Geräte über das Gast WLAN umsiedeln. So dass mein Mitbewohner mit seinem Notebook, Smartphone und Tablet auch da eingelogt ist und das Radio, den Chromecast und Drucker benutzen kann, aber keinen Zugriff auf mein LAN hier im Zimmer hat. Das mit "WLAN-Geräte dürfen untereinander kommunizieren" ist mir schon klar, aber nur soweit dass die Geräte im Gast WLAN das können. Ob ich vom Hauptnetz auch darauf zugreifen kann würde mich interessieren?

Ich bitte um eine kurze Antwort hierfür. Danke

EDIT: Um mein Anliegen besser zu erklären: Ich möchte aber mit meinen Geräte den Zugriff auf die Geräte auch behalten!

 

[User007]

Hi...

Das WLAN-Gastnetz der Fritzboxen ist zwar im Grunde auch nichts anderes als ein separates VLAN in einem anderen Subnetz (192.168.179.0/24), allerdings eben doch durch die Firewall des Fritz!OS permanent geblockt.

Nach meinem Verständnis wird man da höchstens Zugriff mittels einer statischen Route bekommen können, da die FBen kein (freies) VLAN-Konfigurationsmanagement anbieten.
Probiert hab' ich sowas allerdings auch noch nicht und mag daher mglw. auch auf dem völlig falschen Pfad sein. 🤷‍♂️

Dazu schon den AVM-Support kontaktet?​

 

[Raijin]

Der Sinn und Zweck des Gastnetzwerks ist der Schutz der Geräte im Hauptnetzwerk vor potentiell gefährlichen fremden Geräten im Gastnetzwerk zu schützen. Die Trennung ist also essentieller Bestandteil des Routers. Es wäre äußerst ungewöhnlich und ebenso unwahrscheinlich, wenn man dies durch einen Haken ändern könnte. Eine statische Route würde nichts bringen, weil streng genommen bereits eine vorhanden ist, die reguläre Interfaceroute. Allerdings ist es die Firewall, die den gegenseitigen Zugriff blockiert und genau das soll sie auch tun.

Consumer-Router wie Fritzboxxen sind nicht dafür konzipiert, mehrere gleichberechtigte Netzwerke zu verwalten, und daher auch nicht für solche Situationen geeignet - zumindest nicht allein.

Es gibt verschiedene Konzepte wie man sowas lösen kann. Von fortgeschrittenen Routern mit ausreichend Schnittstellen (nicht zu verwechseln mit Switch-Ports) und/oder VLAN-Unterstützung über zusätzliche Router bzw Hardware-Firewalls in Form von kleinen MikroTiks, EdgeRoutern oder Geräten mit zB OpenWRT, pfSense, o.ä. bis hin zu Routerkaskaden.

 

[User007]

Eine statische Route würde nichts bringen, [...] und genau das soll sie auch tun.

Schon richtig, dass natürlich die FW genau den Sinn und Zweck erfüllt - erwähnte ich ja auch bereits.

Aber ich meine mich dunkel zu erinnern mal i-wo gelesen zu haben, dass man tatsächlich mittels einer definierten statischen FB-internen Route die FW "austricksen" können soll - mglw. irre ich aber auch oder diese "Sicherheitslücke" mag mittlerweile auch geschlossen worden sein. Hab's halt mangels Anwendungsszenario selbst (noch) nicht getestet. 🤷‍♂️​

 

[Raijin]

Mag sein, dass es da einen Trick gibt, aber technisch erklärbar wäre es nicht, weil ohne Interfaceroute, die das Gast-Subnetz auf LAN4/Gast-WLAN routet, könnte kein Gast-Gerät ins Internet.

Zugegebenermaßen sind Fritzboxxen bei mir aber ein weitestgehend blinder Fleck und ich kann und möchte auch nicht mit Sicherheit widerlegen, dass es einen Trick gibt, der ggfs irgendwas in der Firmware triggert. Letztendlich ist die GUI ja nur ein Wizard und man definiert ja gar keine direkten Regeln, sondern der Wizard tut's im Hintergrund.

Probieren geht sowieso über studieren. Kaputtmachen kann man damit ja eigentlich nichts - abgesehen von der ursprünglichen Sicherheit der Gastfunktion, aber das wäre hier ja erwünscht

 

[Engaged]

Am chromecast gibt es doch zumindest den gastmodus, dann können auch Gäste Handys streams darauf anfordern ohne im eigenen Netzwerk zu sein soweit ich weiß.

Und eventuell kann dein Drucker ja direkt drucken, zumindest mein HP bietet so eine Option an, ich glaube das heißt direct Print oder so, da wird es denn direkt von einem Gerät an den Drucker gesendet ein Netzwerk ist nicht benötigt.

 

[chrigu]

Den avm Support kann dir bestimmt weiterhelfen… weil gastzugang eigentlich genau die Funktion hat, dein Netzwerk von Gast zu trennen. Meines Wissens kannst du nur Zeitbeschränken, url sperren und Bandbreite limitieren, nicht aber untereinander kommunizieren.
Ansonsten lass den inneren monk im Schrank und vergiss den gastzugang damit dein Mitbewohner auf alles Zugriff hat.

 

[Raijin]

@Engaged
Klar, so geht's natürlich auch, wenn die Rahmenbedingungen stimmen. Den Drucker könnte man ggfs ja auch via USB und parallel via (W)LAN anbinden und so ebenfalls getrennt voneinander, aber gemeinsam, nutzen. Wenn ich das richtig verstanden habe, steht der Drucker allerdings im Wohnzimmer und das würde die USB-Nutzung natürlich .. .. .. erschweren

Mit der AdHoc-WLAN-Funktion des Drucker (sofern unterstützt) könnte es aber in der Tat klappen. Zum Chromecast kann ich diesbezüglich nichts sagen, keine Ahnung.

Die Schwierigkeit, die ich bei dem Vorhaben generell sehe, ist, dass 3 Sicherheitszonen gewünscht sind (2x privat + 1x gemeinsam), die physische Sicherung sich aber eher schwierig gestaltet. Würde man beispielsweise die Fritzbox gegen einen VLAN-fähigen Draytek tauschen, könnte man private Netze und DMZ einrichten, aber der Mitbewohner könnte einfach rangehen und die Kabel umstöpseln, um im anderen Netzwerk zu landen....
Ähnliches gilt für eine Routerkaskade mit 3 Routern (InternetRouter ---DMZ=== BewohnerRouter1/2 -- private Netze). Ist das eigene Zimmer abgeschlossen, käme ein Bewohner nicht an den Router des anderen. Sind die Türen hingegen offen, ist auch das hinfällig.

Es stellt sich daher grundsätzlich die Frage welche Klimmzüge man machen möchte und ob Aufwand vs Nutzen in einem sinnvollen Verhältnis stehen. Bei geteilten Internetzugängen mit Nachbar-Wohnungen bzw. -Häusern rate ich stets zu einer strikten Trennung, selbst wenn die Nachbarn Familie sind. In einem einzelnen Haushalt - und WGs sind ein Haushalt - teilt man aber noch zahlreiche andere Dinge und ohne ein gewisses Grundvertrauen funktioniert das nicht. Das zu beurteilen steht mir aber nicht zu und bleibt natürlich @floert 's Entscheidung. Ein paar Lösungsansätze haben wir ja schon gesammelt. Warten wir mal auf das erste Feedback.

 

[Engaged]

Beim gastmodus kann ein gastgerät mit einem Pin der auf dem Bildschirm angezeigt wird eine Verbindung für die handysteuerung zum chromecast aufbauen, und der chromecast selber fordert die streams ja direkt aus dem Internet an z.b Netflix und Co.
Wie das mit lokalen streams aussieht weiß ich allerdings nicht, da man sich aber per chromecast-knopf verbinden kann dürfte auch das theoretisch gehen, da hilft aber nur learning by doing.

@floert wir reden hier doch vom klassischen CC ohne Android TV Oberfläche, sonst würde dein Mitbewohner ja einfach mit der Fernbedienung eine App starten oder? 😅

 

[floert]

Also laut meinem Verständniss von Subnettig (die Berufsschule war aber vor ca. 20 Jahren ) müsste es do schon laufen wenn das lokale NW 192.168.0.x ist und das Gast 192.168.178.x ist die Subnetmaske auf 255.255.0.0 zu ändern. Oder habe ich hier einen Denkfehler?

@Engaged: Ja einem klassischen CC, es geht auch nicht darum dass er es kann - denn er ist ja im Gastnetz. Ich möchte wissen ober ich vom HauptWLAN mit meinem SP darauf zugreifen kann und hauptsächlich geht es ums drucken.

Ich werde einfach den AVM Support anschreiben.

 

[Engaged]

Also die Netze sind getrennt, sollte man netzübergreifend zugreifen können wäre das eine sicherheitslücke, diese sollte dann spätestens mit dem nächsten Patch von AVM geschlossen werden. 😉

Kannst ja berichten was AVM selber dazu sagt.

Umgekehrt könntest du dann ja mit gästepin drauf zugreifen, ich weiß dass du dies nicht meinst aber anders wird es wohl nicht möglich sein.
Nicht umsonst schieben ganz viele ihren Smart Home Kram mit Absicht ins Gäste Netzwerk weil die das im hauptnetzwerk nicht haben möchten, stehen dann aber oft vor demselben Problem sofern irgendeine App mit lokalen befehlen arbeitet. 😅

 

[Raijin]

Oder habe ich hier einen Denkfehler?

Ja, hast du. Haupt- und Gastnetzwerk sind zwei separate Netzwerke. Subnetting bringt dir da überhaupt nichts, weil sich diese beiden Subnetze gar nicht begegnen. Sie dürfen zwar nicht überlappen oder gar identisch sein, aber das liegt einzig und allein daran, dass der Router selbst ja jeweils ein Bein in beiden Netzwerken hat und dort die .1 belegt. Aber Smartphone im Hauptnetzwerk und anderes Smartphone im Gastnetzwerk wissen nichts voneinander und haben auch keinerlei Möglichkeit, miteinander zu kommunizieren. Dies müssten sie "durch den Router hindurch" tun, weil der Router jeweils das Standardgateway ist, aber die Firewall im Router sagt dann "Nein, Gast und Haupt darf nicht miteinander".

 

[floert]

Reine Spekulation: Habe kürzlich auf Deskmodder einen Artikel über Pi-Hole mit Unbound gelesen, und da stand dass ich mittel Unbound einer IP aus meinem Netz einen Namen zuweisen könnte. Das wird aber auch nur im eigenen Netz funktionieren und nicht im Gast WLAN?

 

[Raijin]

Das hilft dir aber nicht bei einer Trennung. Unbound ist ein DNS-Server und DNS ist sozusagen nur ein Telefonbuch, das statt Vor-/Nachname --> Telefonnummer eben Einträge mit Hostname/Domain --> IP-Adresse enthält.

Ja, in einen (lokalen) DNS-Server kann man in der Regel auch benutzerdefinierte Einträge einpflegen. Bei der DNS-Funktion im Router wird das jedoch häufig nicht angeboten, weil der DNS sich dort lediglich automatisch mit den Hostnamen der lokalen Geräte füllt, die sich via DHCP eine IP vom Router abholen. Bei separaten lokalen DNS wie Unbound, bind, dnsmasq als Basis oder darauf aufbauend zB pihole oder Adguard geht das schon.

An dieser Stelle ist dann aber auch schon Schluss. Ob zB der DNS in der Fritzbox bei Anfragen aus dem Gastnetzwerk auch Hostnamen aus dem Hauptnetzwerk zurückgibt (und andersherum) weiß ich nicht, aber es bringt leider auch nichts, weil die eigentliche Verbindung stets über die IP-Adresse hergestellt wird so wie du ja nach einem Blick ins Telefonbuch auch die Telefonnummer wählst und nicht den Namen ins Telefon eintippst. Und genau in diesem Moment sagt die Firewall im Router dann "Ne, diese IP liegt im anderen Netzwerk (Gast-->Haupt oder Haupt-->Gast) und da darfst du nicht hin".

*edit
Man kann sich die Firewall zwischen Haupt- und Gastnetzwerk im Router so vorstellen wie eine Anrufsperre beim Telefon, die zB bestimmte Vorwahlen blockiert. Da kannst du noch so oft ins Telefonbuch gucken, wenn die Vorwahl geblockt wird, gibt's keinen Anruf.

 

[floert]

Ok, dann warte ich erstmal die Antwort vom Support ab! Vielen Dank inzwischen!

 

[floert]

Habe heute eine Antwort von AVM bekommen und ihr hattet recht!

Jetzt ist mir aber noch ein Gedanke gekommen, der aber wahrscheinlich auch nicht so wie gewünscht umsetzbar sein wird!

Nämlich habe ich in meinem PC 2 NICs und auch einen R PI 3+ mit Pi-Hole hier (hätte noch inaktives WLAN für das Gasetnetz), und könnte ich nicht über einen von diesen eine Brücke bauen? Im Hauptnetz die DHCP Subnetmaske auf 255.255.0.0 stellen und im Gastnetz auf 255.255.255.0 lassen (was aber sowiso keine Rolle spielt so wie ich das verstanden habe)
Aber müsste es nicht so möglich sein unabhängig von der Fritzbox vom Hauptnetz auf das Gastnetz zuzugreifen (ab nicht umgekehrt).

Wie gesagt liegt mein NW Wissen grösstenteils 20 Jahre zurück und war hauptsächlich Berufschulwissen, aber laut meinem Verständniss sollte sowas doch in diese Richtung durchführbar sein (wenn auch über Umwege).