Anderen DHCP Server / DNS für FritzBox Gast Netzwerk

[Nilson]

Hallo zusammen,

Ich werde wohl auch das GBit Angebot von Vodafone wahrnehmen. Nur bin ich noch bei der Routerwahl unsicher. Aktuell hab ich ne Connect-Box im Bridge-Modus mit TP-Link-Archer C7 dahinter. Daran stört mich eigentlich nur, dass der C7 für das Haupt- und das Gasnetz den gleichen DHCP verwendet und damit die Geräte im Gastnetz mein Pi-Hole nicht finden und damit die Namensauflösung nicht funktioniert.
Ich hab jetzt nix dazu gefunden: Kann die Fritzbox für das Gastnetz einen eigenen DHCP aufmachen bzw. zumindest einen anderen DNS Verteilen? Wenn nein, kann ich mir den Aufpreis für die Fritzbox sparen und ersetze lieber den C7. Oder hat jemand noch eine andere geniale Idee?

Gruß

 

[azereus]

läuft dein C7 mit stock oder alternativer firmware - stichwort openwrt
/edit: https://openwrt.org/toh/tp-link/archer-c7-1750
edit2: https://openwrt.org/docs/guide-user/network/wifi/guestwifi/guest-wlan

 

[Nilson]

Aktuell Stock. OpenWRT könnte ich mal testen.

 

[azereus]

da deine Connect-Box bridged ist - bitte unbedingt den C7 auf seinem WAN-Interface absicher nach dem Firmwarewechsel

 

[Nilson]

Besondere Tipps oder einfach die "Harden your OpenWRT" Punkte abarbeiten, die google ausspuckt?

 

[azereus]

klingt gut. einfach sicherstellen dass das WAN-Interface möglichst keine angriffsfläche bietet (kein http/https, ssh, etc) und falls doch dann nur mit source ip der du vertraust z.b. vom büro aus

 

[Raijin]

Daran stört mich eigentlich nur, dass der C7 für das Haupt- und das Gasnetz den gleichen DHCP verwendet und damit die Geräte im Gastnetz mein Pi-Hole nicht finden und damit die Namensauflösung nicht funktioniert.

Versteh ich nicht, sorry.

Grundsätzlich ist es genau so vorgesehen, dass im Gastnetz kein Zugriff auf das Hauptnetz möglich ist. Dass Gäste also den pihole nicht finden - ich interpretiere es so, dass dieser im Hauptnetz sitzt - ist daher nachvollziehbar und auch genau so gewollt. Während man bei einer eigenen VLAN-Lösung volle Kontrolle über den Traffic zwischen den VLANs hat, könnte man dafür eine Ausnahme erstellen, aber bei einer Gastfunktion im Router sind Ausnahmen eigentlich nicht eingeplant.

Ich verstehe auch den Part mit dem DHCP nicht so ganz. Keine Ahnung wie der Archer das macht, aber normalerweise hat ein Gastnetz im Router ein separates Subnetz, das nicht selten fest und nicht änderbar ist. So wie Fritzboxxen beispielsweise 192.168.179.0/24 verwenden (wenn ich mich nicht irre).

Wenn es aber nur um den pihole geht, könnte man es evtl so lösen:

Im Archer den DNS auf die IP des pihole einstellen. Der pihole selbst bekommt als Upstream-DNS cloudflare, google, o.ä. Nun sollte eigentlich ein Gastgerät den Archer als DNS bekommen wie bisher und dieser fragt dann den pihole, der anschließend cloudflare/google fragt.

Sollte das nicht klappen, rate ich auch zu OpenWRT. Das ist nun mal ein offenes System mit deutlich größerem Funktionsumfang, inkl. voller Kontrolle über die Firewall zwischen den Netzen.

 

[Steffenkrue]

Wenn man in der Fritzbox nur den upstream DNS Server auf pihole ändert dann bekommen Gäste ihr Internet auch gefiltert. Die Fritzbox kann ja mit allen reden.

 

[Nilson]

Grundsätzlich ist es genau so vorgesehen, dass im Gastnetz kein Zugriff auf das Hauptnetz möglich ist.

Genau deshalb will ich ja das Gast-WLAN verwenden.

ich interpretiere es so, dass dieser im Hauptnetz sitzt

Genau

Ich verstehe auch den Part mit dem DHCP nicht so ganz. Keine Ahnung wie der Archer das macht, aber normalerweise hat ein Gastnetz im Router ein separates Subnetz, das nicht selten fest und nicht änderbar ist. So wie Fritzboxxen beispielsweise 192.168.179.0/24 verwenden (wenn ich mich nicht irre).

Der Archer macht das wohl anders. Egal ob Gast-Netz oder nicht, die Geräte bekommen immer die gleiche IP aus dem gleichen (einstellbaren) DHCP-Bereich.

Im Archer den DNS auf die IP des pihole einstellen. Der pihole selbst bekommt als Upstream-DNS cloudflare, google, o.ä. Nun sollte eigentlich ein Gastgerät den Archer als DNS bekommen wie bisher und dieser fragt dann den pihole, der anschließend cloudflare/google fragt.

Wenn man in der Fritzbox nur den upstream DNS Server auf pihole ändert dann bekommen Gäste ihr Internet auch gefiltert. Die Fritzbox kann ja mit allen reden.

Danke! So einfach, aber doch so fern. Das lässt der TP-Link nicht zu:

 

[Raijin]

Der Archer macht das wohl anders. Egal ob Gast-Netz oder nicht, die Geräte bekommen immer die gleiche IP aus dem gleichen (einstellbaren) DHCP-Bereich.

Hm... Vermutlich macht der Archer das intern mit ACLs und nicht mit Subnetzen. Aber was macht der Archer, wenn man den DHCP-Server abschaltet? Ist dann auch die Gastfunktion tot oder wie?

Das lässt der TP-Link nicht zu

Schade.. Dann ist die Originalfirmware schlicht und ergreifend nicht dafür geeignet. Ist im übrigen keine Seltenheit. Die Gastfunktion in Routern ist .. .. sagen wir mal .. .. rudimentär und Abweichungen vom zugenagelten 08/15 Szenario sind konzeptionell ausgeschlossen.
Mit OpenWRT kannst du das aber umgehen. Ist in komplexeren Setups, die auch nur 1% über das Standard-Szenario hinausgehen, sowieso die bessere Wahl.

Ob die beschriebene Lösung bei einer Fritzbox funktioniert, kann ich mangels AVM-Erfahrung nicht beurteilen. Allerdings würde ich es erstmal mit OpenWRT probieren und wenn das nicht klappt - gibt auch TP-Link-Modelle, die sich mit OpenWRT schwer tun - würde ich tendenziell eher nach einem semiprofessionellen Router schauen und nicht nach einer Fritzbox, weil du sonst einen Consumer-Router durch den nächsten ersetzt und früher oder später vermutlich in die nächste Einschränkung solcher Router rennst. MikroTik hat nette Modelle im Angebot, die deutlich mächtiger sind als jeder Consumer-Router auf dem Markt.

 

[Nilson]

Danke. Dann lass ich das mit der Fritzbox und wenn ich mal Zeit und Lust habe werd ich mich mal mit OpenWRT beschäftigen bzw. mir was "gescheites" zulegen.
Empfehlungen für MikroTik?
Nach einer spontanen Suche würde ich an sowas denken:
MikroTik RouterBOARD hEX (RB750Gr3) plus MikroTik RouterBOARD cAP ac (RBcAPGi-5acD2nD)

 

[Raijin]

MikroTik hat ein sehr breites Produktangebot und bietet im Gegensatz zu Ubiquiti eben auch Modelle inkl. WLAN an, sofern man das möchte.

hAP ac2

bis hin zum

RB4011 (ohne WLAN) / RB4011 (mit WLAN)

Letzterer geht dann zwar schon in preisliche Regionen einer Fritzbox 7590, aber das ist schon ein feines Stück Hardware, das ich liebend gern für mein Netzwerklabor im Keller hätte..... 🤩

 

[Nilson]

Hat sich eh erledigt. Als ex Unitymedia Kunde muss wohl ich die Komfort-Option buchen um meine IPv4 zu behalten. Hab die Fritzbox so oder so. Mal gucken was die kann.

 

[Nilson]

Ob die beschriebene Lösung bei einer Fritzbox funktioniert, kann ich mangels AVM-Erfahrung nicht beurteilen.

Funktioniert. FritzBox ist da. Kann dort den Pi-Hole eintragen und alles funktioniert wie gewünscht.