[Anleitung] - Hitron cve-30360-FRITZBox-Kombi

[madmosquito]

Antworten und deren Qualitäten sind halt extrem unterschiedlich. Man stelle sich vor man hätte andreasabaad Antwort befolgt, hätte man Kohle zum Fenster rausgeworfen. Eine Antwort wie es geht oder es geht nicht machen am Anfang für den Unwissenden wirklich Sinn. Die Antwort von Newty suggerierte, dass man die Fritzbox sehr wohl als Druckerport transitiv über die Hitron nutzen kann ohne Speedverlust am LAN- wenn dem nicht der Fall ist, habe ich das Maximum ja schon vor Tagen rausgeholt. Echt schade, dachte halt die Hitron gibt der Fritte intern 'ne Nummer, die ich dann in den Browser gebe, die leitet es weiter und ich hab mein wunschlos Sorgenlospaket.

Bleibt dann wohl nur noch eine Frage mit der Sicherheit und Firewall. Die Fritzbox arbeitet ja nun in meinem Fall als Router in der DMZ des Hitron richtig? Heisst das direkt angeschlossene Rechner an den weiteren LAN-Ports der Hitron laufen ohne Firewall und ungeschützt?

[mason]

DMZ ist normalerweise eine IP oder ein IP-Bereich.
Wenn du als DMZ nur die IP konfiguriert hast, die deine Fritz hat, ist zwischen Internet und deiner Fritz keine Firewall. Das hat keinen Einfluss auf die anderen LAN Ports des HITRON.

[Beaker]

Lokalcomputer ist an LAN2 der Hitron angeschlossen (also nur indirekt mit der 7170, wenn man davon so schreiben darf, ich weiss halt nicht ob man dann von da transitiv auf die 7170 überhaupt noch kommen kann).

Aus Sicht der Fritzbox und aller an der Fritzbox angeschlossenen Geräte (Rechner wie Drucker) ist Dein Lokalcomputer kein lokaler Rechner mehr, sondern ein beliebiger Rechner im bösen Internet. (Er hängt an der WAN-Schnittstelle und hat eine IP im WAN-Netz 192.168.0.x.)

Damit funtzen die meisten von Dir gewünschten Funktionen schon aus Sicherheitsgründen nicht. Man könnte die Fritte zwar so weit "aufmachen" dass das alles funzt, aber das darf dann nicht nur dein PC, sondern jeder Internetnutzer, der Deine IP kennt!. Man kann das zwar per IP-Filter wieder etwas einschränken, aber trotzdem halte ich so eine Konfiguration für gefährlich.

Meine Empfehlung: Mach den Rechner an die Fritte und stöpsel nur dann zeitweise ans Hitron um, wenn Du den Speed wirklich brauchst bzw. auch von der anderen Seite bekommst.

[Thyrael]

Die Fritzbox kann soweit aufgemacht werden wie derjenige es wünscht, es gibt keine Probleme mit der Sicherheit, der Hitronrouter hat eine Firewall.

[Beaker]

Die Fritzbox kann soweit aufgemacht werden wie derjenige es wünscht, es gibt keine Probleme mit der Sicherheit, der Hitronrouter hat eine Firewall.

Jain.
Hier mal ein Bild mit der besprochenen Konfiguration (ohne WLAN-Stick am PC, dazu komme ich später):
[ externes Bild ]
Das Internet sieht nur einen Teilnehmer mit der IP 1.2.3.4, hinter dem sich alles verbirgt. (Die typische Funktion von NAT.) An den LAN-Ports des Hitron hängen ja normalerweise die Rechner des lokalen Netzes. So ist aus Sicht des Hitron auch der Lokalcomputer einzustufen. Er bekommt seine IP vom Hitron und benutzt es als Gateway ins Internet. Alle aus dem Internet eintreffenden Pakete, die das Hitron einer vom Lokalcomputer initiierten Kommunikation zuordnen kann, werden an den Lokalcomputer weitergereicht.

Alle aus dem Internet eintreffenden Pakete, die das Hitron keiner vom Lokalcomputer initiierten Kommunikation zuordnen kann, werden normalerweise kommentarlos verworfen, sofern man keine Portweiterleitungen konfiguriert hat. Das ist die beim NAT inhärente Firewallfunktion.

Wer meiner Anleitung allerdings im Idealfall folgt, trägt die Fritz Box als DMZ ein. (Was, wie hier schon angemerkt wurde, in Wirklichkeit "exposed host" heißen müsste.) Dann schickt das Hitron alle eingehenden Pakete, die nicht dem Lokalcomputer zugeordnet werden können, an die Fritte. Der ganze Müll, der aus dem Internet hereinprasselt, schlägt also ungefiltert auf der Fritte auf. Die Firewall im Hitron schützt also den Lokalcomputer, aber nicht die Fritte. (Wer die DMZ-Eintragung nicht gemacht hat, weil er keine Portweiterleitungen braucht oder sie auch im Hitron manuell einrichtet, ist natürlich sicherer.)

Die Fritte wiederum hängt mit ihrer WAN-Schnittstelle und der IP 192.168.0.2 im Transitnetz. Für die Fritte ist das Transitnetz bereits das Internet. (Das Hitron zählt dann schon als "Internetrouter" vom Provider.) Die Fritte setzt außerdem alle Rechner im echten Lan per NAT auf die 192.168.0.2 um. Man kann aus dem Transitnetz daher nur die Fritte auf der 192.168.0.2 sehen. Die Rechner im Lan und die Lan-Schnittstelle der Fritte (192.168.178.1) sind durch das NAT verborgen.

Wenn der Lokalcomputer mit der Fritte kommunizieren will (sei es für die Konfiguration oder für die USB-Freigabe), muss er die Fritte also auf ihrer WAN-Schnittstelle mit der 192.168.0.2 ansprechen. Die Fritte verweigert dort natürlich alle derartigen Kommunikationsversuche, denn die kommen ja aus dem "Internet". Für die Fritzbox-Konfiguration vom Lokalcomputer aus muss man also die Fernkonfiguration auf der Fritte aktivieren. Will man Drucken, muss der USB-Server in der Fritte dazu gebracht werden, auch an der WAN-Schnittstelle auf Befehle zu hören. (Keine Ahnung, ob das überhaupt geht...) Will man vom Lokalcomputer auf Netzwerkfreigaben des Laptops zugreifen, müssen die nötigen SMB-Ports in der Portweiterleitung der Fritte auf den Laptop weitergeleitet werden.

Wenn man dies ohne weitere Filter tut, ist es der Fritte aber scheißegal, ob jetzt der Zugriff jetzt vom Lokalcomputer kommt oder von irgendeinem Rechner im Internet, der vom Hitron an die Fritte weitergereicht wurde. Man sollte daher den Quelladressenbereich in den Filtern unbedingt auf 192.168.0.x einschränken. Ich halte das aber auch dann für riskant.

Das Problem von madmosquito sollte sich per WLAN-Stick aber lösen lassen, ohne die Fritte "aufzumachen":

1. Den Lokalcomputer erstmal vom Netz (Hitron und WLAN) trennen. (Das WLAN trennen, den Stick aber eingesteckt lassen)
2. Alles erstmal so einrichten, dass Hitron, Fritte, Drucker und Läppi im Lan wie gewünscht funktionieren.
3. in der IP-Konfiguration der LAN-Schnittstelle vom Lokalcomputer alles auf Automatik stellen
4. in der IP-Konfiguration der WLAN-Schnittstelle vom Lokalcomputer alles manuell konfigurieren
IP: 192.168.178.50 (Die 50 ist ein Beispiel. Es muss eine freie Adresse sein, die nicht im DHCP-Bereich der Fritte liegt)
Subnetzmaske: 255.255.255.0
Einträge für Gateway und DNS leer lassen!
5. Netzwerkschnittstelle vom Lokalcomputer wieder an das Hitron stöpseln
Jetzt sollte der Lokalcomputer wieder ins Internet können und das Hitron auf der 192.168.0.1 anpingen können.
6. WLAN vom Lokalcomputer wieder in das WLAN der Fritte einbinden.
Jetzt sollte der Lokalcomputer die Fritte auf ihrer LAN-Schnittstelle (192.168.178.1) anpingen können und das Webinterface der Fritte auch funktionieren. (Man muss jetzt immer die IP 192.168.178.1 angeben. "fritz.box" funktioniert nicht mehr, weil die Fritte ja kein DNS für den Lokalcomputer macht.)

Wenn alles gut geht, sollte der Lokalcomputer jetzt per WLAN mit allen Geräten im Lan der Fritte (und der Fritte selbst) sprechen können und für das Internet immer das Hitron an seiner LAN-Schnittstelle benutzen. Allerdings kann es sein, dass einige Suchautomatismen im Netz nicht funktionieren, weil der Rechner jetzt gleichzeitig in zwei Netzen hängt. Daher sollte man immer die IP-Adressen der Ziele im Lan direkt eingeben. Dem Treiber für den Drucker muss man daher irgendwie verklickern, dass er die 192.168.178.1 nehmen soll, sonst versucht es es vielleicht auf dem Hitron.

Windows sollte eigentlich schlau genug sein, die Pakete richtig in die Netze zu sortieren. Sollte es wider Erwarten nicht funtzen, bitte folgendes versuchen:

1. CMD aufmachen
2. Hitron anpingen (sollte gehen, sonst liegt der Fehler woanders)
3. irgendwas im Internet anpingen (sollte gehen, sonst liegt der Fehler woanders)
4. 192.168.178.1 anpingen
wenn das nicht geht:
5. "route ADD 192.168.178.0 MASK 255.255.255.0 192.168.178.50 METRIC 5" eingeben (50 oder die andere gewählte WLAN-IP benutzen)
6. 192.168.178.1 nochmal anpingen
wenn es jetzt geht:
7. "route -p ADD 192.168.178.0 MASK 255.255.255.0 192.168.178.50 METRIC 5" eingeben (das -p sorgt dafür, dass die Einstellung auch einen Neustart überlebt.)
wenn es nicht geht:
Keine Ahnung, dann liegt der Fehler woanders...

So sollte es funtzen, ich persönlich würde aber lieber hinter der Fritte bleiben und mit dem Geschwindigkeitsverlust leben.

[Thyrael]

Die Fritzbox kann soweit aufgemacht werden wie derjenige es wünscht, es gibt keine Probleme mit der Sicherheit, der Hitronrouter hat eine Firewall.

Jain.

Stimmt, ich hatte nicht gesehen das die FritzBox in der DMZ läuft, dann sollte man in der Tat vorsichtig sein ja. Wenn die FritzBox nicht in die DMZ eingetragen ist oder es keine Portforwardings auf die Fritzbox gibt, ists allerdings egal ob und wie man die Firewall der Box konfiguriert.

[SkyCon]

4. Fritte einrichten (das läuft jetzt etwas blind, weil ich die Firmware der 7390 nicht kenne und eine 7170 beschreibe)

- einen einzelnen Rechner auf automatische Adresskonfiguration stellen und an den LAN-Port der Fritte hängen, ABER NICHT AN LAN 1!
- die Konfiguration der Fritte aufrufen (je nach Firmware 192.168.178.1 oder 192.168.2.1, im Zweifelsfall fritz.box oder am Rechner nachgucken, welche IP das Gateway hat)
- evtl. Assistenten abbrechen und Expertenansicht einschalten
- unter Internet->Zugangsdaten "Internetzugang über LAN1" aktivieren
- "Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)" aktivieren
- "Zugangsdaten werden nicht benötigt (IP)" wählen
- "IP-Adresse manuell wählen"
- IP: 192.168.0.2 (die Fritte ist der DMZ-Host)
- Subnetzmaske: 255.255.255.0
- Standard-Gateway: 192.168.0.1 (das Hitron)
- DNS: keine Ahnung, ob man hier auch das Hitron eintragen kann, aber ich nehme eh andere Nameserver: 208.67.222.222 (OpenDNS) 85.214.20.141 (FoeBud) oder 8.8.8.8 (Google)
- Haken bei "Internetzugang nach dem Übernehmen prüfen" rausnehmen
- "Übernehmen" (Warnung, dass LAN1 für die Konfiguration stillgelegt wird, bestätigen)
- Konfig der Fritte offen lassen

Hallo,

wenn ich das in meiner FB 7390 so einrichte, kann ich keine Portfreigaben mehr machen, da die FB denkt sie ist nicht der Router und alles voll durchleitet.
Mein internes Netz ist dann völlig offen. AVM hat mir heute telefonisch gesagt dass alle Verbindungen die die FB nicht selber aufbaut ohne Firewall laufen.

[Beaker]

wenn ich das in meiner FB 7390 so einrichte, kann ich keine Portfreigaben mehr machen, da die FB denkt sie ist nicht der Router und alles voll durchleitet.
Mein internes Netz ist dann völlig offen. AVM hat mir heute telefonisch gesagt dass alle Verbindungen die die FB nicht selber aufbaut ohne Firewall laufen.

Das interne Netz kann doch gar nicht offen sein, da die Fritte doch immer noch NAT von 192.168.0.x nach 192.168.178.x machen muss. Der Punkt "Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)" ist ja aktiv. Mit "Zugangsdaten werden nicht benötigt (IP)" ist das eine klassische Konfiguration für den Betrieb an Kabelmodems. (Abgesehen von der manuellen IP-Konfiguration.)

Wenn ich mich aber bezüglich der 7390 umsehe, sehe ich, dass AVM eine "Kabel Deutschland" Konfiguration direkt eingebaut hat. Die wird bei diesem Szenario aber vermutlich nur halb funtzen, da sich die Fritte ihre WAN-IP-Konfiguration dann per DHCP von Hitron holt. Damit funzt dann zwar Internet, aber die DMZ-Weiterleitung geht ins Leere, weil die Fritte garantiert eine andere IP bekommen hat. Ein Workaround wäre, den DHCP-Server im Hitron so einzustellen, dass er nur IPs von 192.168.0.2 bis 192.168.0.2 verteilt. (Keine Ahnung, ob das geht.)

Kannst Du mal bitte Screenshots von der Konfiguration machen, wenn man "Vorhandener Zugang über LAN" einstellt? Kann ja sein, dass die NAT-Funktion in dem Fall rausgenommen wurde. (Dann kann die von mir vorgegebene IP-Konfiguration aber nicht funktionieren. Welche IPs haben WAN und LAN an Deiner Box?)

[Beaker]

So, ich hab mir mal eine 7390 organisiert. Mit der alten Firmware auf der Box lief alles wie in meiner Anleitung beschrieben. Dann hab ich aber die aktuelle 5.22 raufgespielt und musste feststellen, dass AVM die Konfiguration ziemlich "verschlimmbessert" hat.

"Vorhandener Zugang über LAN" sollte man hier besser nicht benutzen, da es kaum Einstellmöglichkeiten gibt.

Statt dessen:

Internetanbieter: "Weitere Internetanbieter"
zweites Auswahlfeld: "Anderer Internetanbieter"

Anschluss
[X] Externes Modem oder Router

Betriebsart
[X] Internetverbindung selbst aufbauen

Werden Zugangsdaten benötigt?
[X] Nein

Auf "Verbindungseinstellungen ändern" klicken

IP-Einstellungen
[X] IP-Adresse manuell festlegen
...und weiter wie in meiner Anleitung...

Dann funtzt eigentlich alles wie geplant. Portforwarding lässt sich konfigurieren, DynDNS kriegt aber immer noch die falsche IP.

[daelch]

Hallo Beaker,

vielen Dank für Deine detaillierte Anleitung. Da steckt richtig Arbeit dahinter! Respekt und ein großes Dankeschön!

Ich habe noch eine Frage: Ich habe nun alles so konfiguriert wie in Deinen Posts beschrieben (einzige Abweichung: beim Konfigurieren habe ich nichts abgestöpselt, sondern die cfg über die Fritze 7390 in das Hitron eingespielt. Ich hoffe, das war kein Problem).

Nach wie vor funktioniert nun aber die Fernwartung der Fritzbox aus dem Internet nicht. Sowohl https://xxx.xxx.xxx.xxx (also meine IP) als auch https://meinalias.dyndns.org klappen nicht. Woran kann das liegen?

Übrigens: auch hinter dem Hitron kann ich über die Fritzbox erfolgreich die öffentliche IP beziehen. Dazu habe ich unter Internet-->Freigaben-->Dynamic DNS eingegeben:

Dynamic DNS-Anbieter: Benutzerdefiniert
Update-URL: members.dyndns.org/nic/update?hostname=meinalias.dyndns.org
Domainname: meinalias.dyndns.org
Benutzername: meinbenutzer
Kennwort: meinkennwort

Viele Grüße