Router mit vielen Möglichkeiten

[diamdomi]

Hallo zusammen,

folgendes Netzwerk ist bei mir aufgebaut:

200k Leitung von Unitymedia mit einem Schrott Modem von denen. 2 PCs und ein Wlan Netz laufen darüber. Zusätzlich ist ein Router dahinter.
Dabei handelt es sich um ein TP-Link TL-WDR3600. Darauf ist DD-WRT. Die maximale Geschwindigkeit wurde manuell auf 80k-3k beschnitten. Dieser Router verteilt ein eigenes Netzwerk über das Haus unter einem neuem IP Bereich (kein DHCP).

Was brauche ich nun? Ich würde gern ein Gerät haben, mit dem ich sagen kann: die 2 PCs über Lan haben den normalen IP Bereich und die volle Geschwindigkeit, das Wlan Netz wird im Upload gedrosselt.
Desweiteren möchte ich ein weiteres Netzwerk aufmachen, welches über das Haus verteilt wird. Dieses soll aber von der Geschwindigkeit beschnitten werden. Zusätzlich möchte ich hier nur die Geräte haben, die ich auf meiner Whitelist habe.

Eine weitere Funktion: Ich möchte generell jegliche VPN Geschichten verbieten aus nem gutem Grund: dadurch stürzt das Internet ab und ich darf mein Modem neustarten.

Gibt es ein solches Gerät überhaupt? Mir ist klar das ich das Modem noch brauche. Könnte die Fritzbox 6490 von Unitymedia diese Funktionen?

Mfg

 

[inciter]

Ein komplexes Bandwidth-Management wirst du bei herkömmlichen Routern kaum finden. Ebenso bieten Standard-Router keine Möglichkeit zwei Netzwerke gleichzeitig aufzuspannen. Hier müsstest du schon mehr Geld in die Hand nehmen und in den Bereich der UTMs wechseln. Auch die Fritzbox von UM beherscht kein Multi-WAN oder Multi-LAN.

Andernfalls könntest du einen zweiten Router hinter den ersten hängen (quasi: NAT-behind-NAT) und die Bandbreite für das zweite Netzwerk mittels QoS einschränken. So könnte man ein zweites Netzwerk aufbauen, das ebenfalls über einen separaten IP-Bereich verfügt.

Noch eine Frage... Welches Kabelmodem von UM hast du denn?

 

[diamdomi]

Den wunderbaren EVW 3226 :/ Fritzbox somit leider keine Alternative?

Hab den Begriff VLAN gefunden welches dies ermöglichen würde, gibt es aber nur bei Router.

Den zweiten Router mit QoS habe ich momentan im Einsatz. Also ohne eine recht teure Lösung (zB UTM) funktioniert das wohl nicht in einem Gerät. Scheint so als müsste ich mit dieser Lösung leben.

 

[inciter]

Die FritzBox ist leider keine Alternative.

Mittels VLAN könntest du die Netze zwar trennen, aber nur vollständig, womit deine Idee mit der Whitelist nicht greift. Eine übergreifende Kommunikation der Clients ist dann komplett ausgeschlossen. Meiner Erfahrung nach lässt sich auch die Bandbreite der jeweiligen VLANs nicht kontrollieren - jedenfalls was 0815-Router angeht.

 

[diamdomi]

Somit würde ich beim aktuellen Router bleiben für das zweite Netzwerk. Somit muss ich mich in DD-WRT umschauen ob ich eine Whitelist erstellen kann.

VPN generell abschalten - ist das möglich?

 

[inciter]

Mit DD-WRT hat du über Whitelists jede Menge an Möglichkeiten. Hier sind MAC-Adressen interessant. Allerdings erkennen Geräte auf der einen Seite eines NATs weder die IP- noch die MAC-Adressen von Geräten auf der anderen Seite. Willst du also Geräte im zweiten LAN-Bereich kontrollieren, bzw. das gesamte Teil-Netz, muss dies auch der Router erledigen, der zu diesem Teil-Segment gehört.

VPN abschalten ist möglich: (1.) In den Routern VPN generell deaktivieren, (2.) VPN-Passthrough deaktivieren, damit Geräte kein VPN-Server eröffnen können. Passthrough-Option bei DD-WRT im Zweifelsfall ergoogeln. Und (3.) VPN-Ports blockieren (z.B. 1723 für PPTP oder 4500 für IPSec), damit sich Clients nicht in andere Netzwerke mittels VPN verbinden können.

Warum das EVW 3226 bei VPN-Verbindungen abschmiert ist mir allerdings ein Rätsel.


[Nachtrag:]
Wenn du bastelafin bist, schau doch mal bei PCEngines vorbei. Auf dem Alix- oder APU-Board, hast du drei LAN-Adapter. Die können natürlich auch als WAN-Schnittstelle dienen. Über die übrigen beiden LAN-Ports kannst du zwei separate LANs aufspannen. Bei Bedarf, kannst du das Board auch um eine WLAN-Karte erweitern. Alle Netzwerkadapter lassen sich getrennt von einander konfigurieren.

Auf die Hardware wird PFSense installiert. Dann hast du deine Lösung in Form einer kleinen UTM. Es gibt auch Sets inkl. Gehäuse für PCEngine-Boards - z.B. auf Amazon.

 

[diamdomi]

Habe absolut 0 Möglichkeiten beim EVW 3226 VPN auszuschalten, das Wort kommt nicht einmal vor. Portblocking ebenso nicht. Beim zweiten Router habe ich drei Passthrough Möglichkeiten deaktivieren können.

 

[inciter]

Wie lange hast du denn schon den EVW 3226? Frag doch mal bei UM nach, ob sie dir das Gerät nicht austauschen können. Hast halt Probleme damit... sagst, das Ding schmiert ständig ab.

 

[diamdomi]

Möchte ungern was eigenes basteln. Wenn die Mac Sperre klappt und das VPN sicher deaktiviert ist (gern auch nur beim Router) passt es.

Ergänzung (11. Juni 2015)

Wie lange hast du denn schon den EVW 3226? Frag doch mal bei UM nach, ob sie dir das Gerät nicht austauschen können. Hast halt Probleme damit... sagst, das Ding schmiert ständig ab.

Könnte ich probieren, ne kostenlose Fritzbox wäre doch was nettes
Die anderen Geräte sind bestimmt alle Schrott

Gerät habe ich seit Ende Februar ca.


Nachtrag:
habe angerufen und sie haben leider nur eine Störung aufgenommen und wollen das prüfen - das übliche Gelaber leider.
Hab zusätzlich noch gefragt ob ich wie in Anleitung auf Seite 38 (http://www.unitymedia.de/content/da...e/doc/ubee-evw3226-installationsanleitung.pdf) IPSec-Durchleitung und PPTP-PassThrough deaktivieren könnte wegen meines VPN Problems. Ich durfte dem Mitarbeiter dann buchstabieren wie das geschrieben wird, da er keine Ahnung hatte. Nach kurzer Rückfrage kam die Antwort, dass diese Optionen nicht verfügbar sind :/

 

[Raijin]

VPN kannst du in der Firewall blockieren. Das heißt du blockierst ausgehende Verbindungen auf die Standard-Ports für VPN, zB 500+4500 für IPsec und 1194 für OpenVPN. Allerdings hilft das nicht, wenn der VPN-Server im www auf einem anderen Port arbeitet, zB 443. Würdest du den auch blockieren, könnte niemand mehr OnlineBanking machen, eMails abrufen, etc, weil das der https-port ist.
Solchen VPN-traffic ebenfalls zu blockieren wird dann deutlich schwieriger, weil du zwischen "normalen" https-Zugriffen und eben VPN@https unterscheiden musst.

Es wundert mich allerdings, dass VPNs einen Absturz verursachen. Ist das nur bei IPsec der Fall?


Als fortgeschrittene Router kommen MikroTiks, EdgeRouter, pfSense oder von mir aus ein kompletter Linux-PC in Frage. So oder so braucht man dafür aber einiges an KnowHow, weil die eben nicht für "click here for internet access" ausgelegt sind. Die Dinger kommen in der Regel komplett nackt, abgesehen von einer IP-Adresse. Portkonfigurationen (WAN, LAN1, LAN2), DHCP-Server, Routing, Firewall, etc. müssen von Hand konfiguriert werden. Ohne Hintergrundwissen ist das wenig empfehlenswert.

 

[diamdomi]

Kann nicht sagen ob es nur IPsec ist. Ein IPv6 VPN funktioniert übrigens.
Ports blocken íst nur beim Router und nicht beim Modem möglich.

Würde ungern mehr als ein Modem + Router benutzen. ZB einen Linux-PC dafür zu nutzen oder ähnliches wäre mir zu aufwendig.

Gebe aufjedenfall Bescheid wenn sich Unitymedia meldet. Mit einem freiem Modem könnte man soviel mehr machen ...

 

[Raijin]

Klar kannst du die Ports nicht beim Modem blocken, das ist auch nicht die Aufgabe des Modems. Mit einem 08/15-Consumer-Router wirst du dein Vorhaben aber so nicht umsetzen können. So komplexe Bandbreitenverwaltung ist da schlicht und ergreifend nicht vorgesehen. QoS ist hier und da rudimentär implementiert, aber das war's dann meistens auch schon. Willst du mehr, wirst du um einen semiprofessionellen Router nicht drumherum kommen. Zumindest wäre mir kein Heimrouter bekannt, mit dem man sowas machen könnte... Für die fortgeschrittenen Router brauchst du wiederum KnowHow, weil die Handbücher .. .. sagen wir mal .. überschaubar sind - schließlich weiß die Zielgruppe (erfahrene Anwender) ja was sie tun muss.

 

[diamdomi]

Danke für den Einblick und Hilfe. Werde momentan somit mit meinem aktuellen Setup leben müssen, ein Mac Filter eventuell noch anmachen.