Router Kaskade, Abgeschottetes Netz für Gäste

[user027557]

Hallo zusammen,

Ich hab eine FRITZ!Box an der wichtige Rechner angeschlossen sind.
Diese möchte ich schützen, indem ich ein zweites Netz für Gäste und IoT Geräte aufbauen.
Der FRITZ!Box Gastzugang in besser halt. Ich hab mir überlegt eine Router Kaskade aufzubauen,
jedoch ist dann immer noch die Möglichkeit vom Netz2 eine Verbindung zu einem Gerät im Hauptnetz herzustellen.
Der Router den ich fürs Netz2 nutzen möchte hat keine Firewall Einstellungen um diese Verbindungen zu blockieren.
Ich hatte überlegt einen VLAN Switch an die Fritzbox anzuschließen und den zweiten Router an den Switch via WAN. Mein Halbwissen sagt mir das das funktionieren sollte. Im Grunde will ich einfach nur das Geräte aus Netz2 nicht mit Geräten aus dem Hauptnetz kommunizieren können, aber einen Internetzugang haben.

LG

 

[rezzler]

Ich hatte überlegt einen VLAN Switch an die Fritzbox anzuschließen und den zweiten Router an den Switch via WAN. Mein Halbwissen sagt mir das das funktionieren sollte.

Es wird funktionieren, allerdings können die Geräte dann trotzdem mit dem Hauptnetz kommunizieren, nur mit dem Switch als "Durchlauferhitzer". VLAN bringt dir mit einer FritzBox keine Vorteile, weil die FB kein VLAN kann.

Im Grunde will ich einfach nur das Geräte aus Netz2 nicht mit Geräten aus dem Hauptnetz kommunizieren können, aber einen Internetzugang haben.

Genau das kann bereits das Gast-Netz der FritzBox. Ich versteh daher nicht, weshalb du hier weiteren Aufwand treiben willst?

 

[TorenAltair]

Fritzbox -> VLAN-fähigen Switch -> 2 Netze.
Sprich Fritzbox als das und nur genau das nutzen als was sie immer bezeichnet wird (Router), aber technisch nicht ist.

 

[eigs]

Der FRITZ!Box Gastzugang in besser halt.

Was ist dein Ziel bzw. was soll besser werden?

Ich hatte überlegt einen VLAN Switch an die Fritzbox anzuschließen und den zweiten Router an den Switch via WAN.

Ein VLAN ohne Firewall bringt dir nichts zumal die Fritz!Box auch keine VLANs unterstützt. Du kannst nur vom Switch zum zweiten Router ein VLAN machen, macht aber keinen Sinn wenn sonst nichts darauf läuft.

Du kannst bei der Fritz!Box einen LAN Port als Gast festlegen und damit zum WAN vom Router gehen.

 

[till69]

Switch an LAN4 (Gastnetz) der FB und fertig.

Oder aber:
https://geizhals.de/ubiquiti-edgerouter-x-er-x-a1271798.html

 

[xxMuahdibxx]

Routerkaskade ist doch passend .

Problem das das abgeschottete Netz hinter dem 2. Router sitzen muss ergo alles private muss halt Umziehen.

Internet <-> Router 1 -> Gastlan/WLAN -> Router 2 -> privates LAN/WLAN.

 

[user027557]

muss halt Umziehen

Und genau das will ich vermeiden

Genau das kann bereits das Gast-Netz der FritzBox. Ich versteh daher nicht, weshalb du hier weiteren Aufwand treiben willst?

Die Frage ist wie sicher das ganze ist

 

[gaym0r]

was sie immer bezeichnet wird (Router), aber technisch nicht ist.

Die Fritzbox ist kein Router? Wie funktioniert das ganze dann? Magie?

 

[rezzler]

Und genau das will ich vermeiden

Du könntest alternativ auch den 2. Router vor deinen jetzigen setzen, dann sparst du dir das umziehen und musst nur der bestehenden FB klar machen, das sie ihr Internet jetzt via WAN-Port/externes Modem bekommt.

Die Frage ist wie sicher das ganze ist

Ausreichend, damit Geräte aus dem Heimnetz nicht mit dem Geräten im Gastnetz kommunizieren können.

Hast du konkrete Bedenken oder schlechte Erfahrungen, das du hier Zweifel hast?

 

[TorenAltair]

@gaym0r
Fritzbox ist ein Multifunktionsgerät mit vielen Funktionen von denen eine relativ kleine das Routen ist. Ein Router hat keine Telefonfunktionen, Switch, USB-Ports, Druckerhosts, Access Points usw. eingebaut.

 

[Raijin]

Der FRITZ!Box Gastzugang in besser halt.
[..]
Mein Halbwissen

Ohne dir auf den Schlips treten zu wollen, aber ich habe das Gefühl, dass es nicht mal Halbwissen ist. Was f0hrt zu deiner Annahme, dass das Gastnetzwerk der Fritzbox nicht sicher ist? Weißt du denn wie genau diese Sicherheit hergestellt wird? Weißt du wie eine Firewall funktioniert? Nein, nicht "in der Fritzbox setze ich nen Haken", sondern die tatsächlichen Regeln, die dahinterstecken. Wie man diese Regeln definiert? Ich vermute mal, dass die Amtwort auf diese Fragen Nein lautet. Wenn du das aber nicht weißt, wie kannst du dann beurteilen, dass die Fritzbox nicht sicher ist? Genau, gar nicht.

Sicherheit kommt in Netzwerken nicht allein durch den bloßen Einsatz von fortgeschrittenen Routern wie MikroTiks, EdgeRouter oder Hardware-Firewalls mit pfSense, OPNsense, o.ä., sondern durch deren fachgerechte Konfiguration. Eine Firewall mit pfSense, die von Peter Planlos konfiguriert wurde, hat 1000x mehr Sicherheitslücken als eine Fritzbox, die von Profis konfiguriert wurde, in einer Million Jahren nicht haben würde.

Problem das das abgeschottete Netz hinter dem 2. Router sitzen muss ergo alles private muss halt Umziehen.

Internet <-> Router 1 -> Gastlan/WLAN -> Router 2 -> privates LAN/WLAN.

Und genau das will ich vermeiden

Genau das ist aber der übliche Weg. Dieses Setup wird gemeinhin auch als DMZ für Arme bezeichnet. Sas Netzwerk des Internetrouters fungiert als DMZ und der kaskadierte Router beherbergt das eigentliche private Netzwerk.

Möchte man das so nicht und das private Netzwerk "vorne" und das böse Netzwerk "hinten" haben, muss die Firewall im kaskadierten Router so eingestellt werden, dass ausgehende Verbindungen ins Subnetz des Internetrouters blockiert werden. Kann der Router, den du bereits hast oder anzuschaffen planst, das nicht, ist es das falsche Gerät für diesen Zweck. Dann bietet sich beispielsweise ein Router mit OpenWRT, o.ä. als kaskadierter Router an.

Und was hast du am Ende gewonnen? Ehrlich gesagt überhaupt nichts, weil du prinzipiell die Gastfunktion der Fritzbox exakt nachgestellt hast, mit Kosten für einen zweiten Router und mit der Gefahr, dass du bei dessen Einrichtung einen Fehler gemacht und die Sicherheit sogar verschlechtert hast. Schuster, bleib bei deinen Leisten.

 

[gaym0r]

@gaym0r
Fritzbox ist ein Multifunktionsgerät mit vielen Funktionen von denen eine relativ kleine das Routen ist. Ein Router hat keine Telefonfunktionen, Switch, USB-Ports, Druckerhosts, Access Points usw. eingebaut.

Ziemlicher Quarsch. Nach der Definition gibt es keinen einzigen Router, weil jedes Gerät noch andere Funktionen mitbringt.

Kurz: natürlich ist die fritzbox ein Router.

 

[omavoss]

@gaym0r :
Ein Router kann auch auf einem beliebigen PC mit zwei Netzwerkkarten und der entsprechenden Software aufgesetzt werden, das ist dann tatsächlich ein Router und kein Multifunktionsgerät wie z.B. die Fritzbox eines ist.

Insofern ist Dein Beitrag #12 tatsächlich Quatsch. Umgangssprachlich nennen die Hersteller in Deuschland ihre Multifunktionsgeräte Router, in anderen Teilen der Welt ist das nicht so. Die Routing-Funktion des Multifunktionsgerätes inkl. einer umfangreichen Firewall wird durch einen Bestandteil der Firmware gewährleistet.

 

[Raijin]

Sicherlich sind Fritzboxxen und Co Multifunktionsgeräte, aber ihre Hauptaufgabe ist dennoch das Routing. NAS, Telefonie und Co sind Zusatzfunktionen, die ohnehin erst in den letzten Jahren hinzugekommen sind. Der kleine 4er Switch dient der komfortablen Nutzung für 08/15 Heimnetzwerke ebenso wie der interne Access Point.
Dass sich der Umfang der Konfigurationsmöglichkeiten im Bereich Routing (und genau genommen auch allen anderen Bereichen) auf ein Mindestmaß beschränkt, steht außer Frage, aber das ist lediglich der Zielgruppe geschuldet.

Die Grenzen verschwimmen auch bei Profigeräten. Schließlich bietet ein "richtiger" Router in der Regel auch zB einen DHCP-Server nebst DNS (forwarder), die ebenfalls rein gar nichts mit Routing zu tun haben. Sicherlich kann man diese Funktionen auslagern und das wird in fortgeschrittenen Netzwerken auch durchaus praktiziert, aber das ändert nichts daran, dass die Geräte es könnten.

Es ist daher müßig, das Thema breiter zu treten als es tatsächlich ist.