Internet mit mehreren Wohnparken teilen

[TAdS]

Siehe hier:

http://avm.de/service/fritzbox/frit...FRITZ-Box-als-kaskadierten-Router-einrichten/

Gruesse

 

[Lerendy]

Dieses 'rumgeschwafel nervt. Also dann: Wenn der TE eine FB einsetzen möchte, z.B. weil er einfach eine hat, was soll/kann er denn da "Hand anlegen", was verhindern würde, dass beim Zurücksetzen auf Werkseinstellungen seine Rechner im "allgemeinen" LAN hängen würden (was sie jetzt eh' tun), bzw. wie soll er "Hand anlegen", um die FB im reinen Routerbetrieb über den WAN-Port zu verbinden?

Richtig: Nichts davon ist (für den TE) möglich. Was sollen also deine Beiträge an Erkenntnisgewinn beitragen?

Dennoch muss man doch wissen was man da tut. Wir reden hier über etwas was sofort das gesamte eigene Netzwerk kompromittieren würde und nicht etwas wo das Internet dann etwas langsamer wird. Vielleicht überlegt der TE es sich einfach nochmal oder klemmt den zuleitenden Port einfach ab bevor der Reset Knopf lange gedrückt wird. Dafür muss man natürlich wissen dass das Netzwerk ab dem Augenblick in dem der Reset Knopf lange gedrückt wird offen liegt.

Dass man sich für so einen Hinweis rechtfertigen muss, passiert auch nur hier.

 

[tjp]

Bei einem Router benötigt man IP-Adressen für ein Subnetz und alle Computer und Devices sind von überall aus dem Netzwerk erreichbar. Sie werden eben nicht vor unberechtigtem Zugriff geschützt.

Gesucht ist hier also eine Firewall mit IP-NAT und kein Router. Es soll ja das private Netzwerk komplett abgetrennt werden, dazu braucht man eine Firewall. Ferner benötigt man IP-NAT, weil die einzige öffentliche IP-Adresse für alle Computer genutzt werden muß. Die Firewall schützt vor unberechtigtem Zugriff auf bestimmte Ports im Netz.

Die Begriffsverwirrungen entstehen, weil die typischen DSL-Router, sowohl DSL-Modem, Router, Firewall als auch IP-NAT Server sind.

 

[ottomane]

Leider absolut wahr. Ein Router verbindet, eine Firewall trennt. Und NAT ist ein Krampf, der nur in den typischen Implementierungen quasi zufällig eine Sicherheitsfunktion erfüllt.

Sind in dem Setup eigentlich Haftungsfragen geklärt worden? Zwar scheint gerade die Störerhaftung zu verschwinden, aber es bleibt ein strafrechtliches Risiko für den Betreiber.

 

[Farafan]

Zwar scheint gerade die Störerhaftung zu verschwinden....

Scheinbar.

Hier bleibt aber abzuwarten ob diese Lösung nicht nur für Cafés, Restaurants und Hotels greifen wird.
Noch sind wir meilenweit davon entfernt das jeder jedem unbeschränkt gefahrlos Zugriff aufs Internet erlauben kann.

 

[ottomane]

Scheinbar.

Hier bleibt aber abzuwarten ob diese Lösung nicht nur für Cafés, Restaurants und Hotels greifen wird.
Noch sind wir meilenweit davon entfernt das jeder jedem unbeschränkt gefahrlos Zugriff aufs Internet erlauben kann.

Was unbeachtet dessen gilt, ist die Haftung nach Strafgesetzbuch, von der bislang niemand redet und die so auch nicht verschwinden wird.

 

[Rastafari]

Bei einem Router benötigt man IP-Adressen für ein Subnetz und alle Computer und Devices sind von überall aus dem Netzwerk erreichbar. Sie werden eben nicht vor unberechtigtem Zugriff geschützt.

Sie sind nur von INNERHALB dieses Subnetzes aus sichtbar und damit sehr wohl von Zugriffen externer Geräte isoliert.
Sollen in einem gerouteten Subnetz eine exakt bestimmte Auswahl von Hosts auch von aussen ansprechbar sein, muss dies ganz explizit mit Ausnahmeregeln definiert werden ("port forwarding" bzw "virtual server" bzw "virtuelle DMZ").

Gesucht ist hier also eine Firewall mit IP-NAT und kein Router

Als "Router" bezeichnet man gemeinhin einen "Switch", der eben über genau diese NAT-Fähigkeit verfügt.
Und nein, eine Firewall (mit aktiver Paketstatuskontrolle, aka "SPI") ist zwar in jedem dieser Geräte obligatorisch vorhanden und auch einigermassen sinnvoll, aber dessen Aktivierung ist keineswegs zwingend erforderlich.

Was unbeachtet dessen gilt, ist die Haftung nach Strafgesetzbuch

Und welche bitteschön soll das sein?

 

[markthenerd]

Weil es noch nicht gesagt wurde und ich noch immer mitbekomme, dass es sträflich vernachlässigt wird, im eigenen Router ein möglichst starkes Passwort einsetzen.

Also mit 30, 40 oder mehr Zeichen und alles drin. Gross-, Kleinbuchstaben, Zahlen und Satzzeichen.

VORSICHT! Es gibt Satz- und vor allem Sonderzeichen die in Passworten nicht zulässig sind.

 

[ottomane]

Als "Router" bezeichnet man gemeinhin einen "Switch", ...

Das mögen manche so tun, aber dass dies technisch kompletter Unsinn ist, muss ich dir sicher nicht erklären.

Und welche bitteschön soll das sein?

Die Störerhaftung betrifft nur zivilrechtliche Belange. Strafrechtliche Belange, z.B. KiPo, Terrorismus etc. sind zunächst dem Betreiberanschluss zuzuordnen und werfen den Verdacht auf den Anschlussinhaber, was im Zweifel nicht lustig ist.

Oder ausführlich hier: https://www.lawblog.de/index.php/archives/2016/05/12/dein-wlan-dein-risiko/

 

[tjp]

Sie sind nur von INNERHALB dieses Subnetzes aus sichtbar und damit sehr wohl von Zugriffen externer Geräte isoliert.

Was für ein gefährliches Unwissen! Ein Router erzeugt eine eigene L2 Domain und filtert den reinen L2 Traffic weg, L3 Traffic wird durchgelassen, wenn die IP Adresse laut Routing Tabelle auf der anderen Seite liegt. Mehr macht ein Router nicht. Alle L3 Switches sind Router und mit so einem Gerät könnte man das hier geschilderte Problem definitiv nicht lösen.

Sollen in einem gerouteten Subnetz eine exakt bestimmte Auswahl von Hosts auch von aussen ansprechbar sein, muss dies ganz explizit mit Ausnahmeregeln definiert werden ("port forwarding" bzw "virtual server" bzw "virtuelle DMZ").

Du redest hier nicht über einen Router sondern über IP-NAT, das ist eine andere Funktionalität, und für eine DMZ ist eine Firewall zwingend notwendig und da nimmt man üblicherweise nicht bloß einen Paketfilter sondern ein ALG.

Als "Router" bezeichnet man gemeinhin einen "Switch", der eben über genau diese NAT-Fähigkeit verfügt.

Eben nicht! Es kann sein, daß Router die IP-NAT Funktionalität eingebaut haben, das ist aber üblicherweise bei Routern nicht der Fall, da die Hochgeschwindigkeitsrouter im RZ damit überfordert wären.

Die SoHo Kästchen haben all diese Funktionalität integriert, aber im RZ sind das noch immer getrennte Geräte.

 

[TAdS]

Das heisst, die Ausführungen von AVM (siehe Post 21) sind falsch?

 

[ottomane]

Nein, sie sind nicht falsch. Aber die FritzBox ist ein Kombigerät, das Vieles kann, z.B. auch Routen.

In diesem Fall ist aber die genutzte Firewall-Funktion (und ich vermute auch das NAT) gefordert, sodass letztlich eine gewisse Sicherheitsfunktion bereitgestellt wird.

Ich plädiere für eine saubere Trennung der Begriffe:

A) Ein "Router" ist ein reiner Router. So etwas hat der Consumer nicht zu Hause. Wie der Name schon sagt, routet er IP-Pakete, verbindet in der Regel also Netze.

B) Die "Fritzbox" ist ein Kombigerät aus Switch, Router, Firewall, NAT, NAS, Telefonbasis, WLAN-AP, DSL-Modem, ... Nennt es von mir aus "Consumer-Kombigerät" oder "Eierlegende Wollmilchsau". Hier im Thread ist eine Trennung von Netzen gefordert. Das leistet die Firewall-Komponente und auch das NAT in der implementierten Variante.

Das ist so als ob jemand unterwegs surfen will und jemand schlägt ihm ein Telefon vor. In Wirklichkeit braucht er die Surffunktion eines Smartphones, mit dem man zufällig auch telefonieren kann.

 

[Rastafari]

Was für ein gefährliches Unwissen!

Oh, Männchen...
Was man sich hier nach über 30 Berufsjahren in der Netzwerktechnik sagen lassen müsste, das haut den stärksten Bären aus dem Fell.
Da war man mal jahrelang als ein gewisser User "root" bei seinerzeit Deutschlands viertgrösstem Internetprovider erreichbar, und dann sowas... ja wie geil ist das denn hier?
You make my day, seriously.

 

[Farafan]

Ich glaube kaum das dem TE diese Diskussion weiterhilft.

 

[ottomane]

Oh, Männchen...

Es ist nicht wichtig, wer etwas schreibt, sondern was er schreibt. Und oben entsteht leider der Eindruck, dass das eine nicht zum anderen passt. Deine Kompetenz ist unumstritten, aber deine Äußerungen oben sind - sagen wir - missverständlich.

 

[Rastafari]

deine Äußerungen oben sind - sagen wir - missverständlich.

Ich wiederhole das wesentliche gern noch mal ganz unmissverständlich:
Für die geforderte Aufgabe (die Isolation des/der eigenen Rechner vor den Zugriffen anderer Stationen) ist die Firewall-Funktion weder erforderlich noch hilfreich. Das leistet NAT, und das ist bei absolut jedem im Handel erhältlichen Router für den Heim-/Bürobedarf bereits integriert und voreingestellt aktiv.
Der weiter oben auch noch genannte und empfohlene "Bridge Modus" schaltet die NAT ab und degradiert den Router zum gewöhnlichen, trivialen Switch (bzw "Hub"), der sämtlichen ankommenden Datenverkehr einfach nur gänzlich ungehindert durchleitet. Damit ist das exakt das, was man keinesfalls tun darf um das gewünschte Ziel zu erreichen.
War das eindeutig genug für deinen Geschmack?

 

[ottomane]

Ja, so kann man das stehenlassen.