Kaskadierte FRITZ!Box begrenzen

[Skellgon]

Hallo zusammen,

Ich habe mir ein Mehrfamilienhaus gekauft mit 2 anderen Parteien - insgesamt 3 Wohnungen. In den 2 anderen Wohnungen sind jeweils WGs, worin Studenten leben. Sie haben mich ganz lieb gefragt, ob ich ihnen eventuell meinen Internetzugang zur Verfügung stellen kann. Ich weiß aus eigener Erfahrung, dass das Geld als Student nicht gerade locker sitzt und wollte ihnen dies daher ermöglichen. Ich will allerdings vermeiden, dass sie Zugriff auf mein Heimnetz haben. Ich habe mir daher eine FRITZ!Box 4040 zugelegt und diese mit meinem Haupt-Router (Speedport Smart 4) verbunden. Dies habe ich logischerweise NICHT als IP-Client realisiert sondern als vorhandenen Zugang über den WAN Port. So wird gewährleistet, dass die FRITZ!Box ein eigenständiges Netz hat mit eigener Firewall usw. - so kommen sie auch nicht in das Netz des Speedports. Ich bin gerade noch dabei auf der FRITZ!Box Filter für Kinder****** usw. einzurichten - vertrauen ist gut, Kontrolle ist weit besser

Dies klappt auch wunderbar. Nun kommen wir zu meiner Frage: dadurch, dass meine DSL Leitung nur 50 Mbit/s hergibt, wollte ich die Bandbreite auf der FRITZ!box beschränken - hatte so 10-15 Mbit/s im Kopf - ich denke als kostenloser Zugang ist das fair. Wenn ich im FRITZ!Box Menü Internet - Zugangsdaten die Werte 15 Mbit/s im Down und 1 Mbit/s im Up eingebe und ich dann im entsprechenden WLAN Speedtests durchführe, komme ich dennoch an die vollen 50 Mbit/s. Mache ich was falsch oder muss ich noch woanders etwas anpassen?

Danke euch im Voraus für eure Rückmeldungen.

Liebe Grüße

 

[Thomrock]

Wenn ich im FRITZ!Box Menü Internet - Zugangsdaten die Werte 15 Mbit/s im Down und 1 Mbit/s im Up eingebe und ich dann im entsprechenden WLAN Speedtests durchführe, komme ich dennoch an die vollen 50 Mbit/s

Das funktioniert so nicht über die Interneteinstellungen der 4040. Versuche die 4040 an den LAN-Gastzugang vom Speedport anzubinden und dann dort die Bandbreite vorzugeben. Ich weiss allerdings nicht ob Dein Hauptrouter diese Funktion bietet da ich nie einen Speedport in Benutzung hatte.

 

[Luftgucker]

Der Speedport Smart 4 hat Gastzugang nur via Wlan. Und mehr würde ich den Studenten auch nicht anbieten.

 

[prian]

ich würde hier nicht mit einem Kombi aus Speedport + Fritzbox hantieren, sondern lieber auf Speedport als Hauptrouter und einem Freifunk-Router setzen.
Dieser wird mit seinem WAN-Port an einen LAN-Port des Speedports angeschlossen und "bohrt" sich einen Weg durch Dein Netz mit einem Tunnel zum nächsten Freifunk-Knoten.
Damit sind die Netze komplett getrennt und Du bist auch aus jeglicher Haftung raus.
Bei Freifunk kann man auch die Bandbreite angeben, die der Router bekommt.
Du kann auch festlegen, ob nur WLAN möglich ist oder ob auch die LAN-Ports des FF-Routers funktionieren sollen.

Schau doch mal ob eine Freifunk-Community bei Dir in der Nähe ist.
https://freifunk.net/

Worum es geht (Erklärvideo):
https://freifunk.net/worum-geht-es/

 

[Luftgucker]

Das mit Freifunk klingt gut und laut dieser Liste wird seine Fritzbox 4040 sogar unterstützt:

https://hochstift.freifunk.net/firmware/

 

[prian]

@Luftgucker
Gerade bei meiner FF-Community nachgesehen, da sind diveres Fritzboxen "vertreten".

Es wäre für den TE ein recht einfacher Weg und es ist aus jeglicher Störerhaftung RAUS.
Wenn die FB4040 schon anwesend ist, dann ist das einen Versuch wert.

 

[Incanus]

So wird gewährleistet, dass die FRITZ!Box ein eigenständiges Netz hat mit eigener Firewall usw. - so kommen sie auch nicht in das Netz des Speedports.

Umgekehrt, Deine Geräte kommen nicht in deren Netz. Die Firewall bzw. das NAT der FRITZ!Box wirkt an deren WAN Schnittstelle nach innen, nicht nach außen.
Du brauchst daher noch einen weiteren Router, der Dein Netzwerk schützt.

 

[prian]

Du brauchst daher noch einen weiteren Router, der Dein Netzwerk schützt.

Im Falle von Freifunk nicht, da der FF-Router über einen VPN-Tunnel nach draußen geht und somit das interne Netz des TE nicht sichtbar wäre.

 

[Incanus]

Das kann sein, ich sprach allerdings nicht von Freifunk, sondern dem jetzigen Konstrukt.

 

[prian]

@Incanus
Korrekt, da ist entweder Gastzugang für das Studentennetz nötig oder ein weiterer Router für das eigene Netz.

 

[Raijin]

Ich habe mir daher eine FRITZ!Box 4040 zugelegt und diese mit meinem Haupt-Router (Speedport Smart 4) verbunden. Dies habe ich logischerweise NICHT als IP-Client realisiert sondern als vorhandenen Zugang über den WAN Port. So wird gewährleistet, dass die FRITZ!Box ein eigenständiges Netz hat mit eigener Firewall usw. - so kommen sie auch nicht in das Netz des Speedports.

Wie @Incanus schon geschrieben hat ist das ein Trugschluss. Eine herkömmliche WAN-Firewall blockt stets eingehend, während sie ausgehend offen ist. Für den nachgelagerten Router ist das LAN des Hauptrouters nichts anderes als "das Internet" und darauf kann man ja zugreifen..

So ist der Zugriff möglich:
www <--- (WAN) Speedport (LAN) <--- (WAN) Fritzbox (LAN)

So nicht:
www --->||| (WAN) Speedport (LAN) --->||| (WAN) Fritzbox (LAN)


Bei einer solchen Routerkaskade ist stets das innere Netz das am besten gesicherte und nicht das internet-gebende Netz des Hauptrouters. Möchte man das Hauptnetz schützen, muss man den kaskadierten Router entweder mit dem Gast-Netzwerk des Hauptrouters verbinden (sofern möglich) oder eine 3er Kaskade bauen:

www
|
(WAN)
InternetRouter
(LAN)
|
+-- (WAN) HeimRouter (LAN+WLAN) --- Heimnetzwerk
+-- (WAN) StudentenRouter (LAN+WLAN) --- Studentennetzwerk

Dadurch stehen sich die beiden Wohnungsrouter jeweils mit ihren WAN-Ports gegenüber und somit ist ein gegenseitiger Zugriff blockiert. In dieser Konstellation würde das Netzwerk des InternetRouters ein gemeinsames Netzwerk darstellen, zB für die smarte Gemeinschaftswaschmaschine im Keller, o.ä.

In den 2 anderen Wohnungen sind jeweils WGs, worin Studenten leben. Sie haben mich ganz lieb gefragt, ob ich ihnen eventuell meinen Internetzugang zur Verfügung stellen kann.

Grundsätzlich muss man bei Nachbarn immer vorsichtig sein, selbst wenn es Freunde oder gar Familie wäre, aber bei Fremden erst recht. Du solltest da nicht zu blauäugig rangehen, weil der Brief vom Anwalt in deinem Briefkasten landet und du im Falle eines Falles auf den Kosten sitzen bleibst, weil's ja niemand anderes gewesen sein will. Abgeschaffte Störerhaftung hin oder her, den möglichen rechtlichen Ärger hast du erstmal, auch wenn er sich am Ende in Schall und Rauch auflösen sollte. Ich rate dazu, deine Rechtsschutzsversicherung, die du als Vermieter mutmaßlich sowieso schon hast, um das Modul "Internet" zu erweitern, just in case.

Das von @prian erwähnte Freifunk verspricht diesbezügliche Sicherheit (auch das private Hauptnetz bei der Kaskade betreffend), aber dennoch sollte man sich stets bewusst sein, dass Recht haben und Recht bekommen zwei Paar Schuhe sein können.

 

[crazycusti]

Jap Freifunk ist da ne sehr gute Alternative!

Funktioniert auch mit vielen Boxen die man auf Grund ihres Alters wegschmeißen würde, hab so ein paar alte FritzBoxen wieder neues Leben eingehaucht.

 

[prian]

Das von @prian erwähnte Freifunk verspricht diesbezügliche Sicherheit (auch das private Hauptnetz bei der Kaskade betreffend), aber dennoch sollte man sich stets bewusst sein, dass Recht haben und Recht bekommen zwei Paar Schuhe sein können.

Kein Einwand zum dem was Du sonst geschrieben hast.
Hier aber die Nachfrage, wie ich "Recht haben und Recht bekommen" verstehen soll?
Wenn Du ein Freifunk-Netz bei Dir aufbaust und zur Verfügung stellst, dann taucht nirgens Deine eigene IP-Adresse auf, da der Freifunk-Router einen Tunnel zum nächsten Freifunk-Knoten aufbaut, DESSEN IP-Adresse ist dann der Einstieg ins Internet, nicht Deine eigene IP. Nur der Freifunk-Knoten kann dann feststellen, wo das herkommt.
Oder habe ich was missverstanden? Dann bitte kurze Anmerkung,

 

[Raijin]

Hintergrund meiner Anmerkung sind solche Berichte. Ob der Fall nun 100%ig passt, sei mal dahingestellt.

Wenn Du ein Freifunk-Netz bei Dir aufbaust und zur Verfügung stellst, dann taucht nirgens Deine eigene IP-Adresse auf, da der Freifunk-Router einen Tunnel zum nächsten Freifunk-Knoten aufbaut, DESSEN IP-Adresse ist dann der Einstieg ins Internet, nicht Deine eigene IP. Nur der Freifunk-Knoten kann dann feststellen, wo das herkommt.

So verstehe ich das Konzept grundsätzlich auch. Letztendlich ist die Konstellation nicht viel anders als wenn man Cyberghost, o.ä. verwendet, nur dass es eben community-basiert abläuft.

Spoiler: Freifunk

Technisch ist der einzelne Freifunkrouter im Netzwerk nicht identifizierbar. Die einzelnen Freifunkrouter werden mit Gateways verbunden, die den gesamten Traffic über den Server des Fördervereins Freie Netzwerke oder ausländische Server lenken. Der Förderverein in Berlin kann die IP-Adressen nicht zuordnen und speichert diese auch nicht, denn in Deutschland gibt es keine Vorratsdatenspeicherung. Die bisherigen Regelungen zur Vorratsdatenspeicherung waren verfassungswidrig, vgl. BVerfGE zur Vorratsdatenspeicherung .
[..]
Für den einzelnen Freifunkrouterbetreiber sind allerdings Abmahnungen faktisch ausgeschlossen, da der einzelne Freifunkrouter technisch nicht identifizierbar ist (s.o.). Für den einzelnen Freifunker ist diese Frage sehr theoretischer Natur.

Quelle: Klick

Dennoch wäre ich bei sowas lieber zu vorsichtig als zu vertrauensvoll. Das Rechtssystem in Deutschland ist grundsätzlich unübersichtlich, teilweise mit Ausnahmen gespickt und darüber hinaus auch einem stetigen Wandel unterworfen. Für Nicht-Juristen ist das meines Erachtens nicht rechtssicher zu beurteilen - da schließe ich mich selbst natürlich mit ein.

Das BfDI schreibt dazu:

Spoiler: Vorratsdatenspeicherung

Im aktuellen Telekommunikationsgesetz (TKG) ist die Vorratsdatenspeicherung in den §§ 176 bis 180 weiterhin enthalten. Hiernach sind Telekommunikationsdienstleister verpflichtet, Standortdaten für vier Wochen und genau bezeichnete Verkehrsdaten, die bei der Telekommunikation anfallen, zehn Wochen im Inland zu speichern und Strafverfolgungsbehörden auf Anfrage bereitzustellen.
[..]
Aktuelle Diskussion um die (Wieder-)einführung der Vorratsdatenspeicherung in Deutschland
[..]
Im Zuge einer gesetzlichen Neuregelung wird derzeit auch eine Neuregelung für ein sog.„Quick-Freeze“-Verfahren diskutiert. „Quick-Freeze“ bietet aus Sicht des BfDI eine gute Balance aus Datenschutz und effektiver Strafverfolgung. Dieses Verfahren ist zweistufig. Im ersten Schritt können Ermittlungsbehörden beim Verdacht einer bestimmten Straftat verlangen, dass Telekommunikationsanbieter Daten zu einem bestimmten Kunden nicht (turnusgemäß) löschen und zusammen mit zukünftig anfallenden Daten speichern („einfrieren“).

Natürlich muss man auch unterscheiden was für Rechtsverstöße möglicherweise begangen werden. Meistens hat man nur Urheberrechtsverletzungen im Kopf und da werden die Strafverfolgungsbehörden wohl eher mäßiges Engagement an den Tag legen. Aber was ist, wenn Volksverhetzung und andere handfeste Straftaten im Raume stehen?

Ja, das ist natürlich auch alles sehr theoretisch und unwahrscheinlich, aber manche Menschen gewinnen mit 1:140.000.000 im Lotto und bei anderen steht mit einer ähnlichen Wahrscheinlichkeit eben plötzlich das SEK vor der Tür

 

[Skellgon]

Danke für die Rückmeldungen.
Das mit Freifunk sieht tatsächlich sehr interessant aus. Werde die Firmware nachher mal auf die Fritzbox schmeißen und dann testen. Melde mich wieder.

 

[Skellgon]

Kurze Rückmeldung von mir: Ich habe die Firmware auf die 4040 drauf bekommen, auch wenn es speziell bei dem Modell etwas tricky war. Warte nun auf die Freischaltung - diese sollte wohl im laufe des heutigen Tages erfolgen. Denke damit habe ich das Thema am elegantesten gelöst - danke nochmal für den Tipp!
Habe übrigens eine 10 Mbit/s Drossel drin - da gratis, sollten sie wohl nicht meckern.

Tatsächlich sind in meiner näheren Umgebung 2 weitere Freifunk Router aktiv. Fand ich erstaunlich - aber das nur nebenbei.

Beste Grüße

Ergänzung (22. Mai 2024)

Möchte man das Hauptnetz schützen, muss man den kaskadierten Router entweder mit dem Gast-Netzwerk des Hauptrouters verbinden (sofern möglich) oder eine 3er Kaskade bauen:

Kleine Nachfrage hierzu, da mich das Thema sehr interessiert:

Hätte ich mein Hauptnetz auch geschützt, wenn ich mit der o.g. Kaskade bei der FRITZ!Box 4040 das Gäste-WLAN statt dem normalen WLAN aktiviert hätte?

Also das normale WLAN der FRITZ!Box ausschalten (kann man ja ausblenden) und dafür das Gäste-WLAN der FRITZ!Box an, womit sich die Mieter verbinden.

 

[rezzler]

Kleine Nachfrage hierzu, da mich das Thema sehr interessiert:

Hätte ich mein Hauptnetz auch geschützt, wenn ich mit der o.g. Kaskade bei der FRITZ!Box 4040 das Gäste-WLAN statt dem normalen WLAN aktiviert hätte?

Also das normale WLAN der FRITZ!Box ausschalten (kann man ja ausblenden) und dafür das Gäste-WLAN der FRITZ!Box an, womit sich die Mieter verbinden.

Also die 4040 direkt am Speedport? Nein, da hätte auch das Gastnetz der 4040 nichts daran geändert, das dessen Nutzer Zugriff auf das LAN des Speedport gehabt hätten. Weil dieses LAN aus Sicht der FB ja bereits „Internet“ ist.

 

[Raijin]

Hätte ich mein Hauptnetz auch geschützt, wenn ich mit der o.g. Kaskade bei der FRITZ!Box 4040 das Gäste-WLAN statt dem normalen WLAN aktiviert hätte?

Die Gastfunktion trennt ausschließlich innerhalb dieses Routers das Gastnetzwerk vom Hauptnetzwerk. Nach außen hin, also entweder direkt ins www oder eben in ein übergeordnetes Netzwerk wie das eines internetliefernden Speedports, gibt es keine Trennfunktion.

www
|
Fritzbox ----- Gastnetz
|
Hauptnetz


Die interne Firewall der Fritzbox macht nun das hier:

Hauptnetz <--||--> Gastnetz
Hauptnetz -------> www
Gastnetz -------> www

Aus www-Sicht kann man also gar nicht mehr unterscheiden ob Gast oder nicht. So sähe das eine wie das andere folglich auch für den Speedport gleich aus.

Anders wäre es, wenn die nachgelagerte Fritzbox im Gastnetzwerk des Speedports hängen würde. In dem Fall würde die ganze Fritzbox für den Speedport als Gast gelten und vom Hauptnetz des Speedports getrennt. Leider bieten Speedports aber nur Gastnetzwerk via WLAN und nicht via LAN4 wie es bei Fritzboxxen der Fall ist.

Eine Routerkaskade muss man in mehreren Ebenen betrachten, die allerdings für sich genommen alle denselben Regeln folgen. Die Fritzbox hat Internet, Haupt- und Gastnutzer. Ihr Internet ist sozusagen der Speedport. Der Speedport hat auch Internet, Haupt- und Gastnutzer. Für ihn ist das Internet eben der Provider und die Fritzbox ein Nutzer. "Nach draußen" ist gewissermaßen alles offen, aber "nach innen" wird blockiert. So wie man eben am Speedport "das ganze Internet" nutzen kann, aber eben "das Internet" nicht einfach so beim Speedport "rein" darf. Selbe Situation an der Fritzbox, eben nur mit Speedport=Internet.