Tipps für DMZ Router vor der Fritzbox

  • Hallo,

    Ich möchte eure Meinungen und Tipps.

    Ziel:

    Ich will an meinem 1000er Kabelanschluss 2 getrennte Netze, bzw eine DMZ.


    Momentan:

    Dass es wie früher 2 öffentliche IP bei 2 angeschlossenen Geräten gibt, scheint ja nicht mehr zu sein (oder mache ich was falsch?).

    Ich habe einen cga4233de als Modem im Bridge Mode (man kann/konnte dort den dhcp Server nicht abschalten, deshalb fiel der raus. Bin aber auch zu Tipps hierzu offen).

    Dort hängt eine fritz 7590 dahinter, die alles andere (außer dhcp) macht.


    1. Idee: Das Gastlan der Fritz benutzen. Sei angeblich unsicher und zu umgehen? Vor allem aber kann man wohl keinen Portforward zu einem Rechner im Gastlan setzen.

    Wenn jemand gegenteiliges weiß (gerne auch über modemtool oder andere Spielchen), wäre das wohl das einfachste.


    2. Idee: Weitere Hardware zwischen Modem und fritz hängen und dort zb eine opensense draufspielen. Das Problem hierbei ist, dass die dann auch das Gigabit Durchstz schaffen sollte, was vermutlich günstige, oder vorhandene Althardware ausschließt? Was hier noch rumliegt wäre zb ein Edgerouter-x, oder diverse TP-Link Router.


    Was fällt euch noch so dazu ein?

    Eine Hardware sollte möglichst unter 50€ kommen und eine einstellige Wattzahl verbrauchen.

    Ich bin auch für Minimallösungen, z.B. mit Openwrt und der dortigen Firewall zu haben, sofern es die 1000mbit schafft.

  • 2. Idee: Weitere Hardware zwischen Modem und fritz hängen und dort zb eine opensense draufspielen. Das Problem hierbei ist, dass die dann auch das Gigabit Durchstz schaffen sollte, was vermutlich günstige, oder vorhandene Althardware ausschließt? Was hier noch rumliegt wäre zb ein Edgerouter-x, oder diverse TP-Link Router.

    Um welchen Durchsatz reden wir hier? Meistens limitiert ja die NAT Tabelle, sprich IPv4 - die Geräte müssten alle IPv6 und IPv4 im normalen Routing können mit 1 GBit/s - die NAT Tabelle ist halt das, was bremst - auch bei OpenWRT. Da hilft meistens ein Hardware Offloading.

  • Für den ER-X gibt es OpenWRT und das soll darauf auch NAT Hardware-offloading können und damit 2Gbps Full-Duplex schaffen. Die CPU ist davon abgesehen aber auch ohne Offloading (knapp) schnell genug für 1Gbps in eine Richtung. Da du das Gerät schon hast, würde ich es damit versuchen.

  • Ich kann mal gucken, was meine Mikrotik Hardware so für ein NAT Durchsatz hat

    Danke.

    Von denen hab ich nur ein rb952ui da liegen. Aber das hat ja nur 100er Ports...

    aber 50€ sind auch echt schwierig

    Deshalb würde ich auch vorhandene Hardware bevorzugen. Die kostet ja z Tl. mehr als das.

    Zudem: wenn die Fritzbox das schafft, sollte es auch andere Router geben, die das bringen.

    Evtl brauchts ja auch garkein Nat, sondern nur Routing. Ich könnte die FW ja auch zb hinter die FB Hängen und durch deren Routing den Zugriff aufs LAN verhindern. Oder ich Schalte den VF Router wieder auf Routing und mache doppeltes NAT.

    Das ist mir aber grad zuviel "Denkarbeit" zu der ihr mir aber gerne auch Bedenken äussern könnt.

  • das soll darauf auch NAT Hardware-offloading können

    Das wär natürlich super. Hast du dazu vielleicht einen Link, oder nähere Config Tipps für mich? Ich habmit dem Teil noch nie was gemacht und mit Openwrt seit gefühlten Jahrzehnten auch nicht...


    Und gleich noch eine Nachfrage: Auch im EdgeOS gibt es ja das hwnat bzw hardware offloading. Wo läge denn der Vorteil drain, openwrt zu benutzen?

  • Hast du dazu vielleicht einen Link

    https://openwrt.org/toh/ubiquiti/edgerouter_x_er-x_ka

    Wo läge denn der Vorteil drain, openwrt zu benutzen?

    Ich ging davon aus, dass dich irgendwas an EdgeOS stört, denn sonst hättest du das Gerät ja schon für diesen Zweck einsetzen können. Wenn dir EdgeOS zusagt, kannst du auch das nehmen. Schön an OpenWRT ist natürlich, dass es eine Menge Erweiterungsmöglichkeiten gibt. Aber viel CPU hat das Kästchen nicht übrig, wenn du den Durchsatz brauchst. Das mindert den Vorteil.

  • Ich ging davon aus, dass dich irgendwas an EdgeOS stört

    Nein, ich hatte das Ding irgendwann mal gekauft und nur in der Ecke liegen. Fand auf Anhieb dann auch nicht wirklich etwas über den Möglichen Datendurchsatz.


    Als erstes wollt ich nochmal schaun, ob sich was an dem VF Router getan hat.

    Ich glaube das was das Ding für mich obsolet machte war die Tatsache, dass man dort ausschließlich 192.168er Netze eintragen kann.

    Weshalb zum Geier legt man sowas als unveränderliches Datum in nem Router fest?

  • Weshalb zum Geier legt man sowas als unveränderliches Datum in nem Router fest?

    Die haben noch entsprechende Voice und Admin Netze (ggf. noch CGNAT Netze), die auf dem gleichen Router laufen, aber für den Kunden nicht sichtbar sind.

    Diese laufen auch mit RFC1918 Adressen - wenn du nun also zufällig das gleiche Netz auswählst, beißt sich da die Routing Tabelle.


    Deshalb die Beschränkung auf 192.168.0.0/16 - für 95% der Kunden ist das ja auch ausreichend.

    Ich werde von meinen IT Kollegen auch immer doof angeguckt, wenn die meine internen Netze zu Hause sehen (172.20.20.0/24 und andere).

  • Diese laufen auch mit RFC1918 Adressen

    Die sind aber eher als vlans ausgeführt und sollten sich nicht stören. Im Bridgemode geht ja sowohl Telefonie als auch der interne Modemzugriff trotzdem.

    Und die Fritzbox hat die Beschränkung ja nicht. Ist wohl einfach mal wieder eine Nachlässigkeit der Firmwareprogrammierer.

    Ich werd wohl mal schaun, wie die 444 Performance ist...

  • Jetzt hab ich ein Problem...

    Ich habe das Ding wieder von Bridge auf Router umgestellt. Es hat n Firmwareupdate gemacht und man kann jetzt das Subnetz und die Netzmaske frei einstellen, sowie den DHCP abschalten.

    Eigentlich könnte ich jetzt also mein Lannetz direkt über das VF Teil laufen lassen statt über die FB.

    Dann bin ich aber wieder so weit wie vorher und brauche eine Lösung zum sicheren Abtrennen meines DMZ Netzes. :)

    Lass ich jetzt das doppelte Nat, nehm das VF LAN als DMZ und häng dort die Fritz mit dem zweiten LAN rein?

    Dann sollten ja die Rechner im VF LAN komplett von meinem FB LAN getrennt sein, oder häng ich den Edgerouter ins Gemeinsame LAN mit dem VF Router als GW? Dann muss ich mich auf die Firewall des Edgerouters verlassen, dass der nur Daten aus und ins Internet zulässt und mein Restlan zuverlässig abschirmt...

    Was meint ihr?

    Wenn letzteres, welches Firewallsystem würdet ihr empfehlen?

  • Ich würde den Edgerouter nehmen, wenn du ihn sowieso hast. Die Firewall regelt das halt genau so wie du es willst, aber um Double NAT zu verhindern müsstest du mal schauen, ob du beim VF LAN eine statische Route zum Edgerouter einrichten kann.


    Ansonsten halt eine OPNsense/pfSense Kiste wie du am Anfang schon erwägt hast. Dort hast du dann mehr Funktionen und kannst die Hardware so skalieren wie du willst. Gigabit Durchsatz schafft aber jeder Toaster solange du kein IPsec und IDS/IPS willst.

  • Gigabit Durchsatz schafft aber jeder Toaster

    Naja, meine Toaster sind meist ziemlich alt.

    Kennt jemand die Switchfähigkeiten/geschwindigkeiten (backplane etc) der FB 7590?

    Eine weitere Frage ist nun nämlich, ob und wie ich die 4 Ports der Fritzbox benutze.

    Führe ich von dort nur ein Kabel zum 1. Switch (momentan ein 3com 3cdsg8, also ein HP v1900) und binde dort den Server (einige VM, Nas, Zoneminder, etc) an,

    oder stecke ich den Server auch in eine Lanbuchse der Fritz (Die Kameras laufen auf einem extra Switch zusammen)?

    Desweiteren stehen zur Verfügung: einige Dlink DGS1210 und verschiedene TL-SG1024D (zum Teil auch T-Link mit Websmart).

    Mal wieder die Qual der Wahl...