Fritzbox mit öffentlichem 8er IP Subnetz

[pleshA]

Hallo zusammen

Ich habe von meinem Provider ein öffentliches IPv4 8er Subnetz und möchte, hinter der Fritzbox 2 Firewalls mit eigener öffentlicher IP Adresse betreiben.

Ausgangslage:

Öffentliches Subnetz:
1.1.1.0 /29
IP WAN Fritzbox: 1.1.1.1
IP FW1: 1.1.1.x
IP FW2: 1.1.1.y

offene Fragen:

Trage ich jetzt einfach das gesamte Netz 1.1.1.0, 255.255.255.248 auf der Fritzbox bei "Öffentliches IPv4-Subnetz" ein und konfiguriere auf der Firewall folgendes:

IP: 1.1.1.2
Subnetz: 255.255.255.255
Default GW: 1.1.1.1

Oder muss hier trotzdem noch mit exposed hosts oder dergleichen auf der Fritzbox gearbeitet werden?

Leider finde ich im Internet keine hilfreichen/detaillierten Infos.

Der Provider sagt natürlich, dass bei fixen IPs eine Fritzbox nicht empfohlen wird. (Hat er ja eigentlich recht)
Vllt. hat ja jemand ein solches Setup das funktioniert im Betrieb und kann mir hier auf die Sprünge helfen.

 

[MadMax_87]

avm.de/service/wissensdatenbank/dok/FRITZ-Box-5490/1638_Offentliches-IPv4-Subnetz-in-FRITZ-Box-einrichten/

Wie man dir schon in deinem letzten Thread gesagt hat: Frag doch mal bei AVM....
Ich bin mir ziemlich sicher das es auch für "deine" Fritzbox einen entsprechenden Eintrag gibt bei AVM
Der obere Link war 5 sekunden googlen...aber ja dieses Internet und "Fritzbox Subnetz" bei google eingeben...puh das ist echt anstrengend......

 

[pleshA]

avm.de/service/wissensdatenbank/dok/FRITZ-Box-5490/1638_Offentliches-IPv4-Subnetz-in-FRITZ-Box-einrichten/

Wie man dir schon in deinem letzten Thread gesagt hat: Frag doch mal bei AVM....
Ich bin mir ziemlich sicher das es auch für "deine" Fritzbox einen entsprechenden Eintrag gibt bei AVM
Der obere Link war 5 sekunden googlen...aber ja dieses Internet und "Fritzbox Subnetz" bei google eingeben...puh das ist echt anstrengend......

Aus meiner Sicht funktioniert dieser KB Beitrag bei öffentlicher WAN IP und zusätzlichem unabhängigen Subnetz. Und was die Fritzbox im Hintergrund macht, wenn man etwas einstellt, ist halt jeweils auch nicht klar, daher die Frage ob dies Jemand funktionierend im Einsatz hat.
Sorry, wenn dies für dich anstrengend ist.

 

[riversource]

Subnetz: 255.255.255.255

Das ist natürlich Unsinn.

Der AVM Link funktioniert. Ich habs zwar nicht selber am Laufen, aber es gibt mehrere Fälle hier im Forum und auch in anderen Foren, da hat man es genau danach eingerichtet, und es war erfolgreich.

 

[RalphS]

😯

DU hast ein public 8er Netz bekommen vom Provider.

Erm, ich hoffe Du nimmst mir das nicht übel, aber ich bin mir zu >90% sicher, daß das so nicht sein kann. Plausibilitätsprüfung nicht bestanden.

Wär schön, wenn Du die Umstände etwas exakter darlegen könntest.

Ich rieche Hausaufgabe, um ehrlich zu sein.

 

[Raijin]

Das liegt mutmaßlich an der Definition von "8er Subnetz". Für den TE ist das scheinbar ein Subnetz mit 8 IP-Adressen, für alle anderen wäre das wohl ein /8 Subnetz mit mal eben 256x256x256 = ~16,7 Millionen IPs

 

[RalphS]

Heh... okay, das kann sein mit der /29 :-) Bin an der 1.0.0.0 (/8) hängengeblieben.

Ansonsten bin ich beim Provider. Fritzbox ist Käse.
Wenn Fritzbox, oder sonst irgendein Heim"router", dann NAT aus und richtig machen.

 

[MadMax_87]

Lieber TE
da du offensichtlich nicht in der Lage bist, Google zu benutzen, "aus deiner Sicht" kommentierst ohne den Artikel zu lesen bzw. zu verstehen; insbesondere scheint mir da ein "ich werfe Fachbegriffe und Definitionen" durch die Welt, hier eine Step-By-Step Anleitung:
IP Adresse aus DEINEM Subnetz an die Fritzbox binden:
https://www.giga.de/hardware/avm-fritz-box-fon-wlan-7390/tipps/fritzbox-feste-ip-vergeben-so-geht-s/
DANN das Subnetz wie in dem AVM Link verfügbar machen
Dann deine 1-2 firewalls oder was auch immer mit IP's entweder einrichten oder es die fritzbox machen lassen (siehe "giga" Link, die kann dann auch DHCP mit den Adressen aus deinem 29er! Subnetz)

Vlt "probierst du das einfach mal aus", und fragst bei AVM bzgl der "was die Box im Hintergrund macht"-Thematik nach;DAS wird dir nämlich hier kaum einer beantworten können,da sich hier noch kein FritzOS-Programmierer hierher verirrt hat....

 

[pleshA]

wie geschrieben /29 (wir sagen dem halt 8er Subnetz)
Es geht auch nicht um Hausaufgaben, mit Fortigate/Cisco wäre klar, wie dies eingerichtet wird.
Nur bei der Fritzbox hat man eben keinen Plan was das Ding genau macht, wenn im GUI etwas eingetragen wird. Daher die Hoffnung, dass dies bei Jemandem funktionierend im Einsatz ist.
Aber ja, dann wird halt probiert, wies geht wenn der Anschluss umgestellt wird.

Hat sich für mich erledigt, danke für die Hilfestellung.

 

[cartridge_case]

Aber ja, dann wird halt probiert

Wieso drückst du dich denn so um den Support von AVM? Der ist eigentlich vorbildlich!

 

[pleshA]

Wieso drückst du dich denn so um den Support von AVM? Der ist eigentlich vorbildlich!

Guter Punkt. War wohl noch voreingenommen, wegen den letzten "Problemen". In diesem Fall wäre dies wohl sinnvoll gewesen.

 

[foo_1337]

Hat die Fritz!Box denn Support für unnumbered? Denn genau das braucht man dafür. Sonst gehts nur mit Transfernetz.

Aus Linux Sicht ohne unnumbered ppp:

ppp0: 1.2.3.1/29
eth0: 10.1.2.3/24

Deine FG, Cisco und Co stehen aber in eth0, damit geht das nicht.


Mit unnumbered:
ppp0: 1.2.3.4/29
eth0: 1.2.3.2/29
cisco via eth0: 1.2.3.3/29

usw.

Mit Transfernetz:

ppp0: 2.3.4.5/32
eth0: 1.2.3.4/29 (was vom provider auf die 2.3.4.5/32 gerouted wird)

 

[Holzkopf]

Ich glaube kaum das du dieses öffentliche Netz hast.
1.1.1.0/24 gehört cloudflare und 1.1.1.0/29 geht von 1-7.
1.1.1.1 ist Cloudflares DNS Server.

 

[foo_1337]

Alter schwede.... Das waren simple Beispiele und sollten eindeutig zeigen, was der public part ist. Müssen solche unqualifizierten Kommentare sein? Die helfen niemandem.

Und PS: Nein, 1.1.1.0/24 gehört nicht CF sondern der APNIC. CF hat ein Agreement mit der APNIC um die nutzen zu dürfen.

Ergänzung (30. Januar 2022)

@pleshA Brauchst du die Fritzbox für WLAN o.Ä.? Wenn nein, kannst du die einfach auf PPPoE Passthrough konfigurieren und die PPPoE Einwahl von der Forti oder der Cisco übernehmen lassen.

 

[Holzkopf]

Alter schwede.... Das waren simple Beispiele und sollten eindeutig zeigen, was der public part ist. Müssen solche unqualifizierten Kommentare sein? Die helfen niemandem.

Und PS: Nein, 1.1.1.0/24 gehört nicht CF sondern der APNIC. CF hat ein Agreement mit der APNIC um die nutzen zu dürfen.

Ergänzung (30. Januar 2022)

@pleshA Brauchst du die Fritzbox für WLAN o.Ä.? Wenn nein, kannst du die einfach auf PPPoE Passthrough konfigurieren und die PPPoE Einwahl von der Forti oder der Cisco übernehmen lassen.

I habe schon so viel zeugs in Foren gelesen das ich sowas ohne das da beispiel dabei steht mittlerweile ernst nehme.

 

[riversource]

Es kommt auf den Provider an, ob es ein Transfernetz gibt, oder nicht. Bei der Telekom hat man üblicherweise keins, bei Vodafone auch nicht. Ich hab auch noch nicht gelesen, dass PPPOE zum Einsatz kommt.

Die Konfigurationen, die ich kenne, laufen so: Das /29 Netz mit 8 Adressen hat (gemäß des Beispiels von oben):

• eine Netzwerk-Adresse (1.1.1.0/29)
• eine Gateway-Adresse beim Provider (1.1.1.1/29)
• eine Modem-Adresse für den Router beim Kunden (in diesem Fall die Fritz!Box), (1.1.1.2/29)
• eine Broadcast-Adresse (1.1.1.7/29)
• 4 Adressen zur freien Verteilung beim Kunden (1.1.1.3/29 - 1.1.1.6/29).

Die Adressen werden vollwertig ins LAN der Fritz!Box gegeben, aber durch die Firewall geschützt. Sprich: Es braucht Portfreigaben bzw. Exposed Hosts für die Clients im LAN. Meines Wissens macht die Fritz!Box Proxy ARP dafür. Als Gateway bekommen die Clients die Gateway-Adresse beim Provider.

Ihre eigene Adresse nutzt die Box für die NAT Clients im Netz.

 

[foo_1337]

Es war irgendwie klar, dass die Fritz!Box dafür wieder irgendne Krücke baut. Für den Fall gibt es unnumbered PPP. Das ist eigentlich schon seit Anfang/Mitte der 2000er dafür Standard, damit der ISP keine IPs für ein Transfernetz verballern muss. Die Cisco CPEs, die wir ca 2003 dafür unseren Kunden gegeben haben, konnten das jedenfalls schon und auch linux hat dafür recht schnell Support bekommen. Bei unnumbered ppp "leiht" sich das ppp if halt einfach eine von den auf dem eth if konfiguierten ips. Das ist IMHO die deutlich sauberere Variante.
Von PPPoE ging ich jetzt einfach mal aus, da ja IPoE in D leider die absolute Ausnahme bei DSL ist. Aber auch bei IPoE geht selbstverständlich unnumbered.

 

[pleshA]

Danke Jungs, ich schau mir dies später an.
Ist pppoe (schweiz) ohne transfernetz. Defaultgateway ist aus völlig anderem range und ändert je nach Einwahlpunkt(load balancing/redundanz)

 

[foo_1337]

Jo, was das Gateway ist, spielt bei unnumbered ppp keine Rolle, da die PtP Verbindung das selbst aushandelt. Das ist ein weiterer Vorteil, denn so muss keines von deinen /29 Adressen auf der PE Seite benutzt werden und sie steht dir zur Verfügung.
Vermutlich ist PPPoE PT tatsächlich die beste Lösung. Ist aber etwas hacky auf der FB. Habe das bei mir aber auch so am laufen und die Opnsense dahinter macht die PPPoE Einwahl

 

[pleshA]

Läuft jetzt folgendermassen:

-WAN (automatisch via pppoe zugewiesen): 1.1.1.1
-öffentliches IPV4 Subnetz auf der Fritzbox eingetragen: Präfix: 1.1.1.0, Subnetmaske: 255.255.255.248
-IP Konfiguration FW1: 1.1.1.2 /29, DG: 1.1.1.1
-IP Konfiguration FW2: 1.1.1.3 /29, DG: 1.1.1.1

Dann noch beide als Exposed host definiert.

Laufen tuts, schön ist es nicht

thx @foo_1337 und @riversource für die Hilfe und technischen Hintergrundinformationen.