Zwei getrennte Subnetze mit Zugang zum Internet über eine Fritzbox

[predator7]

Hallo, Ich habe eine Frage bezüglich zwei getrennten Subnetze im Zusammenhang mit der Fritzbox.

Mir geht es darum zwei Subnetze im Haus aufzubauen und das diese ohne sich gegenseitig zu sehen über die Fritzbox ins Internet können. Ich möchte Sicherheitsbeding zwei logich getrennte Subnetze aufbauen.

Die Idee ist das ganz normale Hausnetzwerk (Subnetz 1) zu haben mit all den Netzwerkgeräten (Windows PC's usw.) und einen Raspberry PI in einem anderen Subnetz (Subnetz 2) welcher Dienste hostet (z.B. Nextcloud usw.). Falls der Raspberry PI mal kompromitiert wird darf, der Angreifer nicht auf das Hausnetzwerk gelangen, deswegen die logische Trennung der Subnetze.

Dazu war jetzt die Annahme das ich per einem managed Switch zwei VLANs (für Subnetz 1 und Subnetz 2) aufbaue und diese an Port 1 und Port 2 (Kein Port 4 mit dem Gastnetz) der Fritzbox verbinde. Dann in der Fritzbox zwei Subnetze (z.B. 192.168.1.1/24 und 192.168.2.1/24) definiere und manuelle Routen der jeweiligen Subnetze (in der Fritzbox) zum Gateway der Fritzbox definiere.

Die Frage ist, ist meine Annahme so richtig und lässt sich das auf der Fritzbox so realisieren? Wären die Subnetze nach dieser Prozedur dann auch komplett getrennt voneinander, aber hätten Internetzugang?


Ich weis das der DHCP Server der Fritzbox nur für ein Subnetz ausgelegt ist, was mir für mein Subnetz 1 (Hausnetzwerk) reichen würde. Das Gastnetz der Fritzbox möchte ich nicht benutzen, da es Einschränkungen hat z.B. in der Form das man im Gastnetzwerk kein Port forwarding hat.

Gruß

 

[dvor]

lässt sich das auf der Fritzbox so realisieren?

Nein. Fritz!Boxen sind als Telefonanlage recht gut aber als Router schwach.

Die einige Möglichkeit, die LAN Ports in unterschiedliche Subnetze zu bringen, ist das Gastnetz.

Entweder das Gastnetz oder einen anderen Router verwenden.

 

[Nilson]

und lässt sich das auf der Fritzbox so realisieren?

Nein. Eine Fritzbox kann keine VLANs (ok, Zwei: Heim+Gastnetz, wenn man das so sehen will)

 

[DJMadMax]

Der (neue) Router müsste VLANs unterstützen, wenn ich das richtig nachvollziehe. Mit einer Fritzbox kommt man da leider nicht weit.

 

[chrigu]

Mhh. Warum nicht das Gastlan (lan4) benutzen? So bist du zu 100% physisch getrennt vom Rest. Nur subnetz ändern ist nicht physisch. Zusätzlich ein Vlan-Switch im Netzwerk wäre auch physisch getrennt, jedoch an der fritzbox ist die Trennung nicht mehr vorhanden. Vigor Router haben vlan bis ins Internet, kosten aber entsprechend und brauchen auch „wissen“

 

[derchris]

... jedes. mal, wenn ich AVM fragte, wann denn flexible VLANs zu den FRITZ!Boxen kommen bekam ich als Antwort: "Bei den FRITZ!Boxen handelt es sich um Consumer-Produkte, wo dieses Feature nicht benötigt wird ..."

 

[Nilson]

Das Gastnetz zu nützen ist auch blöd, weil die FB nicht zwischen den beiden Netzen routet. Man kommt also nicht auf den Pi und umgekehrt.

 

[CM286]

Die Idee ist das ganz normale Hausnetzwerk (Subnetz 1) zu haben mit all den Netzwerkgeräten (Windows PC's usw.) und einen Raspberry PI in einem anderen Subnetz (Subnetz 2) welcher Dienste hostet (z.B. Nextcloud usw.). Falls der Raspberry PI mal kompromitiert wird darf, der Angreifer nicht auf das Hausnetzwerk gelangen, deswegen die logische Trennung der Subnetze.

Wenn VLAN 1 komprommitiert ist, kommst du von dort nicht in VLAN2, nur nach draußen auf die FB. Oder sehe ich das falsch?

 

[bondki]

... jedes. mal, wenn ich AVM fragte, wann denn flexible VLANs zu den FRITZ!Boxen kommen bekam ich als Antwort: "Bei den FRITZ!Boxen handelt es sich um Consumer-Produkte, wo dieses Feature nicht benötigt wird ..."

Ist ja nun mal auch so.

 

[predator7]

Ja genau, Subnetz 1 und Subnetz 2 sollen sicherheitsbedingt nur über das Internet miteinander kommunizieren können.

Ergänzung (24. September 2022)

Das heist in der Fritzbox würde man eine VLAN Funktionalität (OSI Layer 2) benötigen und das manuelle routen der beiden Subnetze zum Gateway (OSI Layer 3?) würde die Subnetze voneinander dann nicht wirklich Trennen und diese könnten dann trotzdem noch miteinander auf der OSI Layer 2 Ebene kommunizieren?

 

[Nilson]

Gibt verschiedene Wege das zu lösen. Einfach einzurichten wäre mit einem zweiten Router eine Routerkaskade und damit eine "DMZ für arme" zu schaffen. Das geht mit jedem 20 € Consumer Router.
Alternativ setzt du auf einen Semi-Professionellen Router wie die kleinen Kisten von Ubiquiti oder Mikrotik. Die bieten dir recht viel Flexibilität für den Preis, bieten aber auch mehr Fläche für eine Fehlkonfiguration.

 

[predator7]

Ich habe einen Asus RT-N12

Gibt verschiedene Wege das zu lösen. Einfach einzurichten wäre mit einem zweiten Router eine Routerkaskade und damit eine "DMZ für arme" zu schaffen. Das geht mit jedem 20 € Consumer Router.
Alternativ setzt du auf einen Semi-Professionellen Router wie die kleinen Kisten von Ubiquiti oder Mikrotik. Die bieten dir recht viel Flexibilität für den Preis, bieten aber auch mehr Fläche für eine Fehlkonfiguration.

Ich habe einen Asus RT-N12 Router mit der Tomato/FreshTomato Firmware geflasht. Dieser hat auch die VLAN Funktionalität. Würde das Kaskadieren hiermit funktionieren?

 

[Nilson]

Für eine Kaskadierung braucht es keine VLANs. Die Kaskadierung sollte mit dem daher kein Problem sein. Mit der mit der Tomato/FreshTomato Firmware kenne ich mich nicht aus und müsste mich erstmal einlesen. Aber wenn das ähnlich zu OpenWRT ist, sollte sich damit umsetzen lassen, was du ursprünglich mit der Fritz box vorhattest. Die Fitzbox wird dann zum reinen Modem "degradiert".

 

[predator7]

An meiner Fritzbox ist auch ein analoges Telefon angeschlossen. Wenn ich diese jetzt zum Modem degradiere, beeinflussen sich die Telefonfunktion und die Netzwerkfunktion (Heimnetz) nicht gegenseitig oder?

 

[dvor]

An meiner Fritzbox ist auch ein analoges Telefon angeschlossen. Wenn ich diese jetzt zum Modem degradiere

... funktioniert das Telefon gar nicht mehr.

 

[chrigu]

Du kannst meines Wissens die fritzbox ab einer bestimmten Firmware nicht mehr als Modem umschalten. Also entweder lan4 gastlan nutzen, anderen Router kaufen oder den Wunsch nach getrennten Netzwerke nochmals überdenken. Den das wird mit Consumer Router schwierig

 

[norKoeri]

Wenn ich diese jetzt zum Modem degradiere, beeinflussen sich die Telefonfunktion und die Netzwerkfunktion (Heimnetz) nicht gegenseitig oder?

Gibt im Forum eine Anleitung, wie das trotzdem geht. Finde die gerade nicht. Aber eigentlich von AVM nicht so gedacht. Ein Vectoring-Modem bekommst Du ab 15 € (Speedport Entry 2 umschaltbar auf Modem). Eines mit Super-Vectoring ab 40 € (Digitalisierungsbox Basic umschaltbar auf Modem). Weitere …

Wir reden über DSL?

Kaskade […] Die Fitzbox wird dann zum reinen Modem "degradiert".

Die FRITZ!Box bleibt bei einer Router-Kaskade ein Router. Aber vielleicht kann Nilson nochmal antworten, was er genau mit dem Satz meinte. Oder ob das die Alternative zur Router-Kaskade gewesen wäre.

@predator7 bei welchem DSL-Anbieter bist Du? Wenn Du bei 1&1 wärest, könntest Du auch PPPoE-Passthrough der FRITZ!Box nutzen. Dann macht die FRITZ!box weiterhin Telefonie (und optional zusätzlich sein Netz). Und der Asus die VLANs (oder sein Netz).

 

[predator7]

Gibt verschiedene Wege das zu lösen. Einfach einzurichten wäre mit einem zweiten Router eine Routerkaskade und damit eine "DMZ für arme" zu schaffen.

Welche Einstellung muss man hier dafür in der Fritzbox setzen um das zu realisieren (Fritbox zu einem Modem umstellen)?

 

[NOTAUS]

Nur so als Hinweis: Egal welche Spielereien du machen willst, Drittanbietersoftware ist auf Fritzboxen mittlerweile generell tabu.

 

[Raijin]

Die Idee ist das ganz normale Hausnetzwerk (Subnetz 1) zu haben mit all den Netzwerkgeräten (Windows PC's usw.) und einen Raspberry PI in einem anderen Subnetz (Subnetz 2) welcher Dienste hostet (z.B. Nextcloud usw.). Falls der Raspberry PI mal kompromitiert wird darf, der Angreifer nicht auf das Hausnetzwerk gelangen, deswegen die logische Trennung der Subnetze.

Das ist klingt nach einem klassischen Szenario für eine DMZ. Eine Fritzbox bietet diese Möglichkeit nicht, aber man kann eine "DMZ für arme" - wie @Nilson es so schön formuliert hat - bauen.

www
|
(WAN)
Fritzbox (Gast-WLAN + optional LAN4) --- Gastnetzwerk
(LAN+WLAN)
|
| (DMZ für arme)
|
(WAN)
Kaskadierter Router
(LAN+WLAN)
|
Hauptnetzwerk

In dieser Konstellation kann das Hauptnetzwerk zwar auf die DMZ und die darin enthaltenen Server zugreifen - zB den PI - aber andersherum geht dies nicht. Das heißt, dass ein kompromittierter Server nicht selbsttätig auf das Hauptnetzwerk zugreifen kann, da dies durch die WAN-Firewall des kaskadierten Routers verhindert wird. Dieser lässt lediglich Antwort-Pakete durch, also nur dann, wenn der Verbindungsaufbau vom Hauptnetzwerk ausging.

Ja genau, Subnetz 1 und Subnetz 2 sollen sicherheitsbedingt nur über das Internet miteinander kommunizieren können.

Was versprichst du dir davon, dass beide Netze "sicherheitsbedingt" nur über das Internet verbunden sind? Das würde ein VPN voraussetzen, weil ohne VPN von Sicherheit keine Rede sein kann. Und selbst mit VPN, ist es fragwürdig welche Sicherheit man dadurch gewinnt, wenn man von einem Netzwerk ein VPN zu einem anderen Netzwerk am selben Router über das Internet aufbaut. Da kommt dann nämlich sowas wie NAT-Loopback und ein möglicher Flaschenhals in der WAN-Engine des Routers zum Tragen. Eine DMZ wie oben beschrieben ist ein Sicherheitskonzept, das explizit für den Betrieb von potentiell kompromittierten Servern erdacht wurde. So werden in so ziemlich jeder Firma mit halbwegs vernünftiger IT-Administration die Server vom Hauptnetzwerk getrennt. Möchte man mehr Sicherheit, sollte man sich um eine Hardware-Firewall mit pfSense/OPNsense oder dergleichen bemühen.


Fritzboxxen und andere Consumer-Router sind nun mal nur für 08/15 Szenarien gedacht. Ihre Fähigkeiten sind daher stark eingeschränkt und die Konfiguration ist unter der Haube zu 99% fest vorgegeben. Für fortgeschrittene Szenarien bedient man sich daher bei eingeschränktem KnowHow einer Routerkaskade wie oben dargestellt oder eines fortgeschrittenen Routers bzw. einer Hardware-Firewall. Während eine Routerkaskade jedoch out-of-the-box einfach zusammenzustecken ist, will ein (semi)professioneller Router fachgerecht konfiguriert werden. Kannst du eine DMZ aus dem Stegreif konfigurieren? Kannst du überhaupt eine Firewall konfigurieren? Ich meine damit nicht die Firewall-GUI einer Fritzbox, o.ä., sondern eine vollständige Firewall mit connection states und allem drum und dran. Wenn die Antwort darauf "nein" lautet, rate ich dringend zu einer Routerkaskade, weil youtube und Forum kein Fachwissen ersetzen können. Nach Anleitung nachklicken kann zwar jeder, aber wenn man nicht nachvollziehen kann was man da klickt, baut man sich mit Pech mehr Sicherheitslücken ein als man sich vorstellen kann