Hallo,
ich habe zuhause eine Fritzbox 7390. Das interne DSL-Modem wird nicht
verwendet, stattdessen ist am LAN1 ein Kabelmodem eingesteckt.
Mein Netzwerk sieht folgendermaßen aus
1
LAN1 - Kabelmodem mit Internetzugang
2
LAN2 - PC Nr 1 (Win10)
3
LAN3 - NAS
4
LAN4 - Switch mit 5 Ports
5
- 1 Patchkabel zur Fritzbox
6
- 2 SmartTV
7
- 3 Drucker
8
- 4 PC Nr 2 (Win10)
9
- 5 n.c.
10
11
WLAN mit Smartphones und Tablet....
Nun möchte ich PC Nr 2 so im Netzwerk "isolieren", dass er zwar eine
Internetverbindung hat, aber die anderen Netzwerkteilnehmer nicht sieht!
Derzeit habe ich die FritzBox noch auf "Standardkonfiguration" = also
einfach alles eingesteckt und alles hat untereinander Verbindung...
PC Nr 2 soll nun quasi denken, dass er völlig alleine ist. Er darf
keinen Zugriff auf NAS, Drucker oder PC Nr 1 bzw. das Tablet/
Smartphones haben.
Ist soetwas generell möglich?
Muss ich hierfür den PC Nr 2 direkt an der FritzBox einstecken oder
geht das auch über den Netzwerkswitch? (Da sind ein paar Meter Kabel
dazwischen - es wäre schön, wenn man PC Nr2 am switch lassen könnte)
Leider sind mir die geläufigen Fachbegriffe nicht bekannt - ich benötige
daher eine kurze Erklärung wie man so eine "Netzwerkisolierung" wirklich
nennt - mit Isolieren oder Netzwerk trennen finde ich leider keine
passende Lösung...
Ich bin um jeden tipp dankbar.
Danke!
Wenn Du den Switch, an dem PC2 und die diversen anderen Dinge
angeschlossen sind, durch einen gemanagten Switch ersetzt, kannst Du
Deine Netzwerkisolation mit diesem Switch konfigurieren. Solange der
Switch aber ein "dummer" Switch ist, ist diese Isolation prinzipbedingt
nicht möglich.
Ein recht günstiger Switch mit Managementfunktionen wäre der D-Link
DGS-1100-08 (ca. 30 EUR).
Manche Fritzboxen (z.B. die 7580) bieten eine Gast-LAN-Funktion mit
einem ihrer LAN-Ports an; ich weiß nicht, ob die 7390 das auch kann.
Diese Funktion entspricht dem von "schufti" erwähnten WLAN-Gast-Zugang.
G. H. schrieb:> PC2 über WLAN ins Gast-WLAN
Grundsätzlich bietet die 7390 die Möglichkleit eines Gastzugangs über
WLAN und LAN (am Anschluss LAN4). Beides funktioniert aber nur, wenn für
den Internetzugang das interne Modem der Fritzbox benutzt wird, aber
nicht bei Verwendung eines externen Modems.
Abhilfe in dieser Situation kann, wie bereits beschrieben, ein
konfigurierbarer Switch (managed Switch) bringen, der dann die
Isolierung von Heim- und Gastnetz vornimmt.
J.-u. G. schrieb:> Beides funktioniert aber nur, wenn für> den Internetzugang das interne Modem der Fritzbox benutzt wird,
auch nicht für das Gast WLAN, sicher?
Robert schrieb:> Nun möchte ich PC Nr 2 so im Netzwerk "isolieren", dass er zwar eine> Internetverbindung hat, aber die anderen Netzwerkteilnehmer nicht sieht!
Das geht mit dem Gäste-Netz, das die FritzBox an LAN4 ausgeben kann:
LAN1 - Kabelmodem mit Internetzugang
LAN2 - Switch mit 5 Ports
- 1 Patchkabel zur Fritzbox
- 2 SmartTV
- 3 Drucker
- 4 PC Nr 1 (Win10)
- 5 n.c.
LAN3 - NAS
LAN4 - Gastzugang für PC Nr 2
Also nur wenig umstecken.
Falls das mit den Kabeln so nicht geht (weil z.B. PC2 im falschen
Zimmer), wird es teurer: Dann braucht man 2 VLAN-fähige Switche, die
also mindestens "smart" sein müssen. Ein Switch kommt mit 2 Ports an die
Box (LAN2 und LAN4, letzteres wird auf ein "Gast" VLAN gemappt). Ein 2.
Switch kommt mit dem Kabel an den 1. Switch und verteilt die VLAN Pakete
an verschiedene Ports.
Mach 2 Subnetze auf der fizzbox:
192.168.178.0/24 und
192.168.179.0/24
Ins erste packst du das normale Equipment und in das zweite den PC2.
Dann noch das Forwarding zwischen den beiden Subnetzen ausschalten.
Fettich iss.
P.S.: Ich hab keine fizzbos (zu dumm, zu teuer und zu leistungsarm)
oerks schrieb:> Mach 2 Subnetze auf der fizzbox:> 192.168.178.0/24 und> 192.168.179.0/24
Da stellt sich mir die Frage, wie "sicher" die Netze voneinander
getrennt sind?
Würmer und Trojaner dürften sich um subnetze keine Gedanken machen....
oerks schrieb:> Mach 2 Subnetze auf der fizzbox:
Das ist die einfachste Lösung, aber nicht die sicherste. Wer am PC
sitzt, kann den natürlich jederzeit so (um) konfigurieren, dass er das
ganze Netzwerk sieht.
Es kommt halt drauf an, was der TO erwartet, vermutlich versteht er den
Unterschied zu einem abgeschotteten Gastzugang garnicht. Das Problem an
der Sache ist dass jemand der sich mal umsehen will wahrscheinlich viel
bessere technische Kenntnisse hat als der TO.
Der Vorschlag mit dem managbaren Switch setzt natürlich auch voraus,
dass der Switch gegen Ändernungen abgesichert ist, da muss man sich auch
ein bisschen auskennen.
Fazit: für Ahnungslose ist die Fritzbox mit Gastzugang am geeignetsten.
Georg
oerks schrieb:> P.S.: Ich hab keine fizzbos (zu dumm, zu teuer und zu leistungsarm)
Eventuell kannst Du ja irgendwo eine gebrauchte bekommen, und beim
Einrichten kann dir bestimmt jemand helfen.
> Da stellt sich mir die Frage, wie "sicher" die Netze voneinander> getrennt sind?
iptables -I FORWARD -s 192.168.178.0/24 -d 192.168.179.0/24 -j REJECT
iptables -I FORWARD -d 192.168.178.0/24 -s 192.168.179.0/24 -j REJECT
Ja, als D.A.U. kann Mann solche Fragen stellen.
Ein OpenWRT kann das.
> Wie kann man auf einer FB 2 Subnetze machen?
Tja: (zu dumm, zu teuer und zu leistungsarm)
> Eventuell kannst Du ja irgendwo eine gebrauchte bekommen, und beim> Einrichten kann dir bestimmt jemand helfen.
Warum sollte ich?
Hallo,
vielen dank für Eure Hilfe!
Die Möglichkeit mit dem Gastzugang war mir neu, das werde ich als erstes
ausprobieren, ich denke damit dürfte mein Anliegen erfüllt werden.
+++++++
Zum Hintergrund was ich hier vor habe:
Der PC welcher ich "isolieren" möchte, wird im heimischen Netzwerk nicht
benötigt, jedoch werden hier immer wieder mal USB-Sticks von
Vereinsmitgliedern eines sehr großen Vereins eingestöpselt.
Ich möchte nun zwei Dinge verhindern:
1. Sollte ich mal aus eigener Dummheit heraus einen Virus auf meinem PC
haben, so will ich nicht die Daten des Vereins (Beschlußprotokolle,
Mitgliederverwaltung und Buchhaltung) infizieren.
- Dieses Problem ist abwägbar und wird soweit abgesichert, alsdass ich
regelmäßig Sicherungen auf USB mache...
2. Das größere Problem: mir ist es bisher zweimal passiert, dass beim
einstecken einen fremden USB-Sticks der Virenscanner Alarm schlägt! per
Mail ist die Gefahr etwas geringer, da der Mailserver des Vereins die
Anhänge überprüft - aber es ist nahezu unmöglich, allen Mitgliedern zu
erklären, dass sie zukünftig alles per Mail machen müssen.
Sollte hier wirklich mal ein cryptovirus oder ähnliches in mein Netzwerk
kommen, wäre das sehr blöd!
Ich möchte die Sicherheit meiner Daten daher selbst in die Hand nehmen
und nicht blindlings auf unseren Mailserver vertrauen.
das meiste auf der NAS ist natürlich mit einem PW gesichert, es gibt
aber (aufgrund der endgeräte und deren System) auch Bereiche die public
sind, darunter Musik, Urlaubsbilder, PDF-Dokumente und videos.
Die Urlaubsbilder sind z.B. alle für die Anzeige am TV auf FullHD
herunter skaliert. Ich könnte diese auch wiederherstellen, aber es wäre
recht viel Arbeit..
Mir wird deshalb einfach mulmig bei dem Gedanken, dass ich mir da
irgendwo etwas einfangen könnte - muss ja auch nicht sein...
Ein managebarer L3-Switch mit ACLs koennte das natuerlich auch.
Ist halt ein wenig teuerer.
Und nicht alle haben ACLs.
OpenWRT tut auch schon auf < 10 Eu Routern.
oerks schrieb:> OpenWRT tut auch schon auf < 10 Eu Routern.
Das hilft aber im vorliegenden Fall nicht, wenn der zu isolierende PC
am gleichen Switch angeschlossen ist wie die Geräte, von denen er zu
isolieren ist.
Robert schrieb:> Mein Netzwerk sieht folgendermaßen aus
[...]
> Nun möchte ich PC Nr 2 so im Netzwerk "isolieren", dass er zwar eine> Internetverbindung hat, aber die anderen Netzwerkteilnehmer nicht sieht!> Ist soetwas generell möglich?
Sehr wahrscheinlich: Nein.
Mit den Mitteln der Fritzbox auf jeden Fall aber nicht, weil die nicht
in der Lage ist, irgendwas bezüglich des Traffic innerhalb des LANs zu
beeinflussen. Die kann nur Einfluss nehmen auf den Traffic ZWISCHEN
Schnittstellen, also etwa zwischen LAN und WAN oder zwischen LAN und
WLAN. Als einziger Sonderfall und Ausnahme von der Regel sei hier die
Clientisolation im WLAN erwähnt. Vergleichbares im LAN kann die Fritzbox
aber nicht und würde im Übrigen im konkreten Fall auch nicht
weiterhelfen, da der PC2 ja überhaupt nicht direkt an der Fritzbox
angeschlossen ist.
Letztlich hängt es davon ab, ob der 5-Port-Switch, an dem PC2
tatsächlich angeschlossen ist, ein "manageable" Switch ist. Ist er aber
sehr wahrscheinlich nicht. Damit hast du überhaupt keine Möglichkeiten,
etwas derartiges zu konfigurieren.
Wenn dieser Switch aber "manageable" wäre, dann ginge es sehr
wahrscheinlich. Man müßte einfach nur für den Port, an dem er hängt,
jegliche Layer2-Kommunikation auf genau die Pakete beschränken, in dem
die MAC des LAN-Interface der Fritzbox entweder Quelle oder Ziel ist.und
schon wäre der Drops gelutscht...
c-hater schrieb:> Wenn dieser Switch aber "manageable" wäre, dann ginge es sehr> wahrscheinlich. Man müßte einfach nur für den Port, an dem er hängt,> jegliche Layer2-Kommunikation auf genau die Pakete beschränken, in dem> die MAC des LAN-Interface der Fritzbox entweder Quelle oder Ziel ist.und> schon wäre der Drops gelutscht...
Mist, noch nicht ganz. Es müßten zusätzlich natürlich auch noch vom Port
kommende Broadcasts erlaubt werden.
Rufus Τ. F. schrieb:> Das hilft aber im vorliegenden Fall nicht, wenn der zu isolierende PC> am gleichen Switch angeschlossen ist wie die Geräte, von denen er zu> isolieren ist.
Kommt drauf an: Solange niemand befugt ist, an den Netzwerkeinstellungen
zu drehen, kann der PC2 mit einem eigenen Netz gerne am selben Switch
hängen. Im einfachsten Falle ein exposed Host im eigenem Netz, aber auch
gerne eine echte DMZ.
Ich weiß allerdings nicht, ob die Fritz-Plastikrouter mehrere Netze
verwalten können, hier geht das mit bintec etwas erwachsener zu.
Butter bei die Fische:
Meine FB7390 (OS 06:83) hängt über LAN1 an einem FTTH-Modem.
Gastzugang über WLAN funktioniert definitiv.
Gastzugang über LAN4 hab ich nicht getestet. Die Checkbox dafür ist aber
vorhanden.
IIRC betrafen die die genannten Einschränkungen ältere
Firmware-Versionen.
Hinweis: Geräte am Gastzugang bekommen automatisch das Zugangsprofil
"Gast" und sind standarmäßig auf "surfen u. mailen" beschränkt. Kann man
aber ändern.
Max M. schrieb:> Meine FB7390 (OS 06:83) hängt über LAN1 an einem FTTH-Modem.> Gastzugang über WLAN funktioniert definitiv.
Soweit sehr gewöhnlich und seit vielen Jahren möglich. Genauso wie die
Client-Isolation im WLAN.
> Gastzugang über LAN4 hab ich nicht getestet. Die Checkbox dafür ist aber> vorhanden.
Das ist denkbar, dürfte aber mit den meisten FB-Modellen mit mehr als
zwei LAN-Ports nicht so sein. Das Problem ist: die ganzen LAN-Anschlüsse
hängen bei den allermeisten dieser FBs an einem ziemlich dummen
Switch-IC, wie er auch in den billigen SOHO-Switches verbaut ist. D.h.:
die FB-Firmware hat keinerlei Kontrolle über den Traffic zwischen den
LAN-Ports, den handelt der IC komplett nach eigenem Ermessen (d.h.: ohne
jegliche Restriktionen) ab.
Es ist aber natürlich möglich, dass in neueren FBs teilweise
intelligentere Switch-ICs verbaut werden, eben managebare. Dann wäre
sowas natürlich durchaus denkbar.
Würde dem TO bei seiner gegenwärtigen Topologie aber, wie schon gesagt,
auch nicht helfen. Denn der PC2 hängt nicht direkt an einem Port der FB.
D.h.: Selbst wenn dieses Feature wirklich vorhanden wäre, könnte er es
nur nutzen, wenn er die Topologie ändert.
> IIRC betrafen die die genannten Einschränkungen ältere> Firmware-Versionen.
Das ist kein Problem der Firmware. Die kann nur nutzen, was sie an
Hardware verfügbar hat. Ist's eben so ein billiger Switch-IC, kann auch
die beste Firmware nix ausrichten. Und bei den allermeisten FBs ist's
halt genau so ein Teil...
c-hater schrieb:> Es ist aber natürlich möglich, dass in neueren FBs teilweise> intelligentere Switch-ICs verbaut werden, eben managebare. Dann wäre> sowas natürlich durchaus denkbar.
Wobei die 7390 von 2010 ist...
Hallo
Der Tipp mit dem Gäste-WLAN hat zufriedenstellend funktioniert!
Ich habe mit einen uralt Fritz WLAN-USB-Stick den Vereins-PC (PC Nr2) in
ein neu erstelltes Gäste-WLAN gehängt.
Ohne mein zutun hat die FritzBox Dem PC direkt in ein anderes Subnetz
gesteckt. Die Suche nach NAS und Drucker war erfolglos - so wollte ich
es ja!
Grüße und Euch allen einen schönen Sonntag!
Reinhard S. schrieb:> Wobei die 7390 von 2010 ist...
Hmm. Wenn das so ist, würde ich sehr gerne mal ein Screenshot des GUI
sehen, was eine "Isolation" eines LAN-Ports anbietet...
Und ich würde dann gern testen, was diese "Isolation" tatsächlich wert
ist...
Vermutlich handelt es sich nur um eine Layer3-Beschränkung in Richtung
WAN. Nicht um eine Isolation im LAN. Also: völlig huppse für den Zweck
des TO...