Fritzbox - LAN-Anschlüsse sperren

[x.treme]

Hallo zusammen,

ich nutzte eine Fritzbox 7590 in einer WG.
Für die Mitbewohner habe ich das Gast-WLAN freigegeben.

Ich selber nutzte das normale Netzwerk, worüber auch mein NAS, Server, etc. eingebunden ist (über 5Ghz Wlan im Keller).
Nun würde ich gerne verhindern, dass jemand durch Verbindung eines LAN-Kabels Zugriff auf mein "privates Netzwerk" erhält.

Gibt es hier irgendeine Möglichkeit?

 

[TigersClaw]

Es gibt nur eine Möglichkeit: schliess die Fritzbox ein. In der Box selbst gibt es keine Möglichtkeit, die LAN Anschlüsse zu sperren.

 

[BlubbsDE]

In der 7590 kannst Du LAN 4 auch als Gast LAN einstellen. So wie beim WLAN auch. WG? Ich hätte als WG Mitbewohner etwas dagegen, wenn ein Mitbewohner so den Router in Beschlag nimmt.

Der richtige Weg wäre wohl, Du nutzt hinter der 7590 einen eigenen Router mit eigenem Netz.

 

[x.treme]

Das mit LAN4 ist mir bekannt. Nur habe ich nicht vor, die anderen Ports mit Heißkleber unbrauchbar zu machen
Möglichkeit zum Einsperren ist in der Nähe nicht, außer ich kaufe einen Tresor für die Fritzbox.

Hmm, eine Möglichkeit wäre noch, meine alte Fritzbox 7490 für das WG-Netz zu reaktivieren, und die Fritzbox 7590 über WLAN mit dem Internet zu verbinden. Dann sollten beide Netze ja völlig von einander getrennt sein?
Nur funktioniert dann Port-Freigabe auch noch für das Netz der 7590?

 

[Golgorod]

Physikalischer Zugriff ist immer problematisch. Es gibt aber durchaus Möglichkeiten:
https://www.amazon.de/dp/B00F3VBND4/ref=cm_sw_em_r_mt_dp_U_1tamBbGV2WG5Y

Wie gut das hält ist eine andere Frage....

Edit:
Das sieht auch recht brauchbar aus:
https://global.rakuten.com/en/store/jism/item/4953103169067-44-184-n/

 

[Was_denn]

Du kannst doch über Filter / Kindersicherung die Anschlüsse sperren .

 

[Holzhirsch]

Natürlich kann man die LAN Anschlüsse deaktivieren und dann die Fritz!Box Oberfläche per Passwort schützen.

 

[Humptidumpti]

Und wie deaktiviert man die Lan Ports? Bei meiner 7590 habe ich nur die Möglichkeit die Ports zwischen 1Gbit/s und 100Mbit/s umzuschalten.

 

[JAIRBS]

Man konnte die LAN-Anschlüsse mal vor Jahren (!) über den Energiemonitor deaktivieren. Diese Funktion existiert aber schon lange nicht mehr. Eigentlich schade, denn unnütz war das Feature nicht.

 

[aranax]

RJ45 Schloss?

https://www.amazon.de/LINDY-40470-Schlösser-sichern-Schlüssel/dp/B00F3VBND4

Wobei man natürlich imemr noch nen Switch an deinen Port klemmen kann...

 

[omavoss]

Zwischenmenschliche Probleme regelt man "zwischenmenschlich", also per klärendem Gespräch. Wenn das auf Dauer nicht hilft, hilft nur "Rausschmiss" des oder der Mitbewohner(s). Ergo: Kumpanie ist Lumperie; er oder sie soll(en) sich einen eigenen Internet-Zugang kaufen ... Rausschmiss aus der Wohnung wäre der allerletzte Ausweg.

 

[Was_denn]

Bei meiner 7590 habe ich nur die Möglichkeit die Ports zwischen 1Gbit/s und 100Mbit/s umzuschalten.

Bei der 7490 geht das wie unter #6 geschrieben . Somit bedeutet die 7590 in dem Punkt eine Verschlechterung .

 

[chrigu]

Ja genau.... wenn ein einfaches „bitte nicht die lanports benutzen“ nicht hilft... entweder fritze einschliessen, die lanports mit einem Gitter und Schloss sperren oder fritzbox während deiner Abwesenheit mitnehmen.

 

[Matusalem]

Eine andere Lösung wäre folgendes:

1) Entspannt bleiben und nichts tun.
2) Hin und wieder in die Liste der ungenutzten Verbindungen schauen ob sich dort ein unbekannter Rechner mit einem LAN Port verbunden hat.
3) Erst dann aktiv werden, wenn dieses Ereignis eintritt und z.B. genau diesen unbekannten Rechner dann für den Zugriff auf das Heimnetz per Filterfunktion sperren.

Es ist etwas wiedersprüchlich, dass die Mitbewohner mit dem WLAN-Gastnetz zufrieden sind (deutet auf Personen hin, welche mit Technik wenig am Hut haben). Es aber doch Bedenken gibt, dass die Mitbewohner so technisch versiert sind eine LAN Verbindung zum Heimnetz herzustellen und evtl. auch noch gezielt nach Servern etc. Ausschau halten.

Du kennst Deine Mitbewohner am besten, gibt aber einen Hinweis, dass die entspannte Lösung durchaus eine echte Lösung darstellt.

 

[Raijin]

Wenn du selbst das LAN nutzt, also min. 1 Port benutzt wird, bringen auch Port-Schlösser, o.ä. nichts, weil man dann einfach dein Kabel ziehen und einen Switch dazwischen klemmen kann. Sobald jemand physischen Zugang zu sicherheitsrelevanten Geräten hat, sind die Sicherungsmöglichkeiten stark eingeschränkt.

Daher kann ich meinen Vorrednern nur beipflichten: Kommunikation ist alles. Eine WG trägt den Begriff Gemeinschaft im Namen. Eine Gemeinschaft wiederum basiert auf einem gewissen Vertrauen. Einer der Eckpfeiler von Vertrauen ist Kommunikation.

Es ist nicht sinnvoll, mit Heim-Equipment ein Wettrüsten zu starten, weil Heimequipment für solche Szenarien schlicht und ergreifend nicht gedacht ist. Eine Fritzbox ist für den Einsatz zu Hause konzipiert und zu Hause ist nun mal ein Bereich des Vertrauens. Ist das Vertrauen nicht da, dann ist eine Fritzbox auch nicht unbedingt das richtige Werkzeug. Fakt ist aber, dass physischer Zugang einen Großteil der Sicherheitsmechanismen durch simples Umstecken außer Kraft setzen kann.

Sinnvoller ist daher wohl die Variante, die weiter oben schon vorgeschlagen wurde: Ein separater Router. Wenn man das Netzwerk der Fritzbox allgemein als öffentlich betrachtet und für jeden Mitbewohner einen separaten Router einsetzt, sind alle jeweiligen privaten Netzwerke auch voneinander isoliert. Das kann man auch mit einem geeigneten VLAN-Router/-Switch machen, aber dann sind wir wieder beim physischen Zugang.

 

[x.treme]

Letztendlich ist es eine Zweck-WG, und ich bin öfters im Ausland. Ich bezweifle nun, dass sich jemand per LAN einklinken würde, trotzdem gibt es mir ein besseres Gefühl, wenn die Server isoliert von einem möglichen Zugriff sind.

Habe nun mal verschiedene Varianten durchgespielt.

- Filter/Kindersicherung: Nicht möglich, man kann lediglich den Internetzugriff beschränken, nicht den Netzwerkzugriff
- Separater Router: Die Fritzbox 7490 als Router, die Fritzbox 7590 für das Internet als "vorhandener Zugang über WLAN" konfigurier. Nicht möglich, da Fritzbox diese Verbindungsmöglichkeit auf 2.4 Ghz limitiert. Damit geht die Verbindung auf 50Mbit/s runter (über 5Ghz sind es 260 Mbit/s), und ich kann das VDSL100 nicht auslasten. Zudem deaktiviert es auf der Fritzbox 7590 die Möglichkeit des WPS-Push.
- Schutzkappen: Verdammt überteuert mir ihren 15€. Zudem leicht auszuhebeln. Aber zumindest ein Schutz vor "spontanen einklinken".

 

[Tarnatos]

Du ganz ehrlich das ist Käse.

Mit der letzten Änderungen des TMG kannst du angeben, ein offenes (geteiltes) WLAN anzubieten und bist damit raus aus der Haftungsfrage.

Lass den Kram mit Sperren das macht mehr Arbeit und Ärger als Nutzen.

 

[Raijin]

Ein separater Router muss doch nicht via WLAN angebunden sein.

So wie ich das verstehe steht die Fritzbox ja an einem "öffentlich" zugänglichen Ort, zB in der Abstellkammer oder dem Flur. An dieser Fritzbox steckst du per LAN dran und hast ein NAS (als Beispiel) laufen. Wenn nun ein Mitbewohner ebenfalls ein LAN-Kabel in die Fritzbox steckt, ist er zwangsläufig im selben Netzwerk wie dein NAS.

Mit einem separaten Router würdest du das nun so machen:

Fritzbox im Flur, LAN-Kabel wie gehabt in dein Zimmer, dort einen zweiten Router per WAN-Port anklemmen. Mit diesem zweiten Router kannst du dann erneut ein WLAN erstellen und Geräte lokal per Kabel anschließen. Die Mitbewohner würden weder dein NAS noch sonstige Geräte in deinem Zimmer-(W)LAN sehen, weil dazwischen eben der zweite Router mit seinem NAT bzw. seiner Firewall sitzt. Da du dein Zimmer abschließen kannst, kommt auch kein Mitbewohner an dein Netzwerk, wenn du im Ausland bist.

Läuft die Verbindung in dein Zimmer hingegen über WLAN, muss der Router in deinem Zimmer eben "WISP" können. WISP steht für "Wireless Internet Service Provider" und bedeutet, dass der Router eben die WLAN-Verbindung als WAN ansieht und so das NAT bzw. die Firewall zwischen WLAN und LAN setzt. Bei einer Fritzbox geht das soweit ich weiß auch, aber AVM nennt das nicht WISP, sondern schreibt das eher aus, ähnlich wie "Internet via WLAN beziehen". Ansonsten eben einen anderen Router mit WISP besorgen, zB einen 30€ MR3020 von TP-Link.

 

[x.treme]

Ein LAN-Kabel zu meinem Router kann ich leider nicht legen.

Genau die "Internet via WLAN beziehen"-Funktion meiner Fritzbox habe ich angewandt. Leider geht diese nur mit 2.4 Ghz, was die Verbindungsgeschwindigkeit zur öffentlichen Fritzbox auf 50-60Mbit reduziert (vomit VDSL100 nicht auslastbar ist). Im Repeater-Modus über 5Ghz erreiche ich derzeit 260Mbit/s zur Fritzbox im Flur.

Von daher bleibt wohl die einzige Möglichkeit, eine 5Ghz-Bridge zu kaufen, und diese dann mit dem WAN-Port meiner Fritzbox zu verbinden.

 

[JAIRBS]

Um das Ganze nochmal neu aufzurollen:

Es ist nicht Dein privates Netzwerk, sondern Euer privates Netzwerk (aus technischer Sicht, nicht moralischer). Umgangen hast Du das jetzt mit dem Gast-WLAN, das ein eigenes Subnetz aufmacht und Euch technisch voneinander trennt. Überbrücken kann man das, wenn sich jemand per LAN anschließt. Kommen wir nun zu den zwei Hauptfragen:

1.) Wie wahrscheinlich ist das Szenario überhaupt? Das klingt hier alles ein wenig nach "Ich mach's weil ich's kann!". Aber das ist Dein Bier.

2.) Was hindert Dich daran nicht das Netzwerk, sondern Deine Clients (NAS, Server) so zu configgen, dass nur Du Zugriff hast? Das wäre wohl wesentlich einfacher.