FritzBox 6591 Cable vor der Dream Maschine Pro

Es gibt 64 Antworten in diesem Thema, welches 6.061 mal aufgerufen wurde. Der letzte Beitrag () ist von plasmediaX.

  • Hier ist die Anleitung wie man den Bridge-Mode aktivieren kann: FritzBox Bridge Mode - Einfach erklärt und Freigeschaltet - Anleitung (6591 / 6660 / 6490) (youtube.com)

    Wenn das nicht geht, bleibt immer noch die neue Firmware, ist aber nur 2. Wahl: 🔥 BREAKING NEWS: UniFi OHNE doppeltes NAT 🔥 Kein NAT mehr mit der Fritzbox (youtube.com)

    Darf ich fragen warum das zweite Wahl ist?


    Ich habe nämlich den Bridge Mode und hatte überlegt ob eine der beiden Varianten Vorteile hat.

  • Wenn Du den Bridge Mode hast, dann hast Du kein NAT.

    Das wollte ich nicht wissen.


    Meine Frage ist, wenn man die Möglichkeit hat, den Bridge Mode zu nutzen oder das NAT in der UTM zu deaktivieren, hat dann eine der beiden Varianten einen Vorteil oder Nachteil?


    Weil du hast gesagt, das wäre zweite Wahl.

  • Hallo zusammen.

    Eine - vielleicht dumme - Frage von mir zum Bridgemode.

    Wie sieht es nach einem Update der FritzBox auf ein neues FritzOS aus? Bleibt da der Bridgemode erhalten oder muss dieser wieder neu konfiguriert werden?

    Ich spiele nämlich gerade ebenfalls mit dem Gedanken, meine FB6591 in den Bridgemode zu versetzen. Die Alternative wäre, ein Kabelmodem davor zu hängen. Dies wäre allerdings mit aus meiner Sicht folgenden Nachteilen verbunden: Kosten für Neuanschaffung, Neuprovisionierung durch Vodafone und noch ein weiteres Gerät am Netz.

    Danke!

  • Hallo zusammen.

    Eine - vielleicht dumme - Frage von mir zum Bridgemode.

    Wie sieht es nach einem Update der FritzBox auf ein neues FritzOS aus? Bleibt da der Bridgemode erhalten oder muss dieser wieder neu konfiguriert werden?

    Ich spiele nämlich gerade ebenfalls mit dem Gedanken, meine FB6591 in den Bridgemode zu versetzen. Die Alternative wäre, ein Kabelmodem davor zu hängen. Dies wäre allerdings mit aus meiner Sicht folgenden Nachteilen verbunden: Kosten für Neuanschaffung, Neuprovisionierung durch Vodafone und noch ein weiteres Gerät am Netz.

    Danke!

    Ich habe meine FRITZ!Box schon sehr lange im Bridge Mode. Bis jetzt hatte ich noch nie Probleme.

    Aber es kann natürlich sein, dass es je nach Betreiber unterschiedlich ist.


    Ich bin übrigens auch bei Vodafone.

  • Das Video kenne ich, danke.

    Aber ich verstehe es so: Ich habe dann zwar kein doppeltes NAT mehr, allerdings hat meine Dream Machine weiterhin nur eine interne WAN IP und eben keine öffentliche IPv4 Adresse, was wiederum an anderer Stelle problematisch sein kann. Bspw. benötige ich doch für einen WireGuard Server auf der UDM eine öffentliche WAN Adresse, oder nicht?

  • Das Video kenne ich, danke.

    Aber ich verstehe es so: Ich habe dann zwar kein doppeltes NAT mehr, allerdings hat meine Dream Machine weiterhin nur eine interne WAN IP und eben keine öffentliche IPv4 Adresse, was wiederum an anderer Stelle problematisch sein kann. Bspw. benötige ich doch für einen WireGuard Server auf der UDM eine öffentliche WAN Adresse, oder nicht?

    Dafür gibt es nach wie vor Portforwarding.


    Die meiner Meinung nach beste und sauberste Lösung ist je nach Anschluss etwas im Bridge Mode so dass die öffentliche IPv4 auf dem Router landet von dem es nur einen gibt. Dieser macht natürlich fast immer NAT.

  • Ich habe nett bei Vodafone gefragt ob sie die Mietbox 6591 auf Bridge stellen können.

    Die Antwort war "nein geht nicht, schicke euch ne Vodafone Station". Nach zwei Tagen war die Station da, Installation und Daten über Kabel war in 5 Minute erledigt. Das Menü zum Bridge Modus war innerhalb der Station schon freigeschaltet.


    plasmediaX

    Für Wireguard brauchst du so wie DoPe schrieb, nur ne Portweiterleitung, ist nix größer und in zwei Minuten erledigt.


    Eines sollte man bedenken:

    Der Bridge Modus ist nett, aber....dein Gateway hängt direkt am großen Netz und wer deine IP eingibt landet auf der Anmeldeseite deines Gateway.

    Nun wissen die bösen Jungs welcher Hersteller dahinter steht und könnten besser angreifen. (Soweit Intresse besteht)

    Also bist du gänzlich für deine Netzwerk Sicherheit verantwortlich, also nicht mal ausversehen SSH anlassen.

    Der Vorteil hinter einer Fritzbox mit nicht öffentlicher IP, angreifer müssten erst die Fritte überwinden, erst danach sehen sie was Hintern dran steckt.

    Also die Vor/Nachteile sollte man abwägen.

  • DoPe  BlackSpy Danke für den Hinweis mit der Portweiterleitung. Das muss ich mir nochmals anschauen. Wenn das gehen würde, wäre perfekt. Dann könnte ich einfach wie im Video beschrieben, das Natting auf meiner Dream Machine ausschalten. Bisher habe ich aber das Problem, dass ich per Wireguard nur auf Geräte im Subnetz der Frintzbox komme (192.168.178.0/24). Zu meiner testweise als Exposed Host angeschlossenen Dream Machine sowie Geräte in deren Subnetz (10.0.0.0/24) kann ich dagegen bisher leider keine Verbindung über Wireguard aufbauen.


    BlackSpy Deinen Hinweis bzgl. Sicherheit kann ich grundsätzlich nachvollziehen, allerdings hängt ja die FB bisher auch direkt am Netz. Insofern besteht ja auch jetzt schon das von Dir genannte Risiko.

  • Bisher habe ich aber das Problem, dass ich per Wireguard nur auf Geräte im Subnetz der Frintzbox komme (192.168.178.0/24)

    Naja, dafür kannst du ein Loch in die Firewall deiner UDM bohren (Source ist interne virtuelle VPN IP der Fritzbox, Destination ist z.B. ein Netz der UDM oder eine IP in einem Netz der UDM auf die über VPN zugriffen werden soll). Allerdings ist dann deine UDM für jeden Angreifer der die Fritte überwunden hat, offen wie ein Scheunentor...


    Ich habe das in der Kombination FB7590 -> UCG(NAT abgeschaltet) so laufen um DDNS und VPN der Fritte weiter nutzen zu können. Bevor ich meine UCG hatte, musste ich mich sowieso auf die Firewall der Fritte verlassen.

  • Lustige Dinge hier zu lesen...


    Prinzipiell kenne ich mal keinen halbwegs aktuelle Router, bei dem auf dem WAN Port irgendwas aus Richtung Internet erreichbar ist. Auch nicht die UDMs. Wenn man aus dem LAN die öffentliche IP der Unifis aufruft, dann erscheint die Seite, das ist korrekt. Das findet aber aus dem Internet so nicht statt, solange man das nicht selbst aktiv in INTERNET_LOCAL erlaubt. Gleiches gilt natürlich auch für ssh usw.


    plasmediaX Ich würde den Wireguard Server auf die UDM packen und das Fritzbox LAN mal komplett aussen vorlassen. Wenn Du da keine Geräte mehr hast, dann willst Du doch auch eigentlich nicht in dieses Netz. Ansonsten ist es korrekt was DarkVolli schreibt, auf dem WAN der UDM ist auch bei deaktiviertem NAT die Firewall aktiv und muss angepasst werden.


    Allerdings ist dann deine UDM für jeden Angreifer der die Fritte überwunden hat, offen wie ein Scheunentor...

    Ist das nicht immer so, wenn der Internetzugangsrouter "in Feindeshand" gerät und man nicht wilde Kaskaden und x-fach NAT dahinter hängen hat?

  • [...]

    Eines sollte man bedenken:

    Der Bridge Modus ist nett, aber....dein Gateway hängt direkt am großen Netz und wer deine IP eingibt landet auf der Anmeldeseite deines Gateway.

    Nun wissen die bösen Jungs welcher Hersteller dahinter steht und könnten besser angreifen. (Soweit Intresse besteht)

    [...]

    Kann ich nicht bestätigen. Ich habe ebenfalls Kabelmodem im Bridge Modus, ist via WAN1 mit meinem UDM SE verbunden und Telekom DSL (PPPoE) via WAN2. Über beiden öffentlichen IPs sind über Internet nicht erreichbar! Solange die Default Rule bei der Kategorie "Internet In" drin sind, also Traffic droppen.

  • Kann ich nicht bestätigen. Ich habe ebenfalls Kabelmodem im Bridge Modus, ist via WAN1 mit meinem UDM SE verbunden und Telekom DSL (PPPoE) via WAN2. Über beiden öffentlichen IPs sind über Internet nicht erreichbar! Solange die Default Rule bei der Kategorie "Internet In" drin sind, also Traffic droppen.

    So sollte es per Default auch sein - wäre grob fahrlässig, wenn Unifi die WebUI vom WAN aus per Default frei erreichbar hätte.

    Dann sollte man die wirklich mal fragen, ob die noch wissen was sie tun.

  • Irgendwie komme ich mit dem VPN nicht weiter.

    Ich würde den Wireguard Server auf die UDM packen und das Fritzbox LAN mal komplett aussen vorlassen. Wenn Du da keine Geräte mehr hast, dann willst Du doch auch eigentlich nicht in dieses Netz. Ansonsten ist es korrekt was DarkVolli schreibt, auf dem WAN der UDM ist auch bei deaktiviertem NAT die Firewall aktiv und muss angepasst werden.

    Grundsätzlich bin ich bei Dir, den Wireguard Server direkt auf der UDM zu nutzen. Allerdings bekomme ich das nicht hin, da ich dort ja keine öffentliche IP als WAN IP habe sondern nur eine interne von der Fritzbox?! Oder gibt es da einen Workaround? Das wär natürlich die sauberste Variante.


    Für Wireguard brauchst du so wie DoPe schrieb, nur ne Portweiterleitung, ist nix größer und in zwei Minuten erledigt

    Welche Ports muss ich den wo weiterleiten?


    Zum Testen bin ich folgendermaßen vorgegangen:


    Ich habe eine statische Route in der FB wie folgt angelegt

    10.0.0.0 (Subnetz der UDM)

    255.255.255.0

    192.168.178.3 (WAN-IP der UDM)


    Die Fritzbox hat das Netz 192.168.178.0/24

    Der VPN User auf der Fritzbox hat die IP 192.168.178.242


    Dann habe ich noch folgende Firewall Rule in der UDM angelegt


    Aber irgendwas mache ich falsch. Ich komme weder ohne noch mit VPN der Fritzbox auf meine UDM aus dem FritzBox Subnet. Irgendwas ist also noch falsch oder fehlt.

    Ports habe ich noch keine weitergeleitet, da ich nich weiß, welche und wo, also ob auf der FB oder in der UDM.

    Die UDM ist übrigens als Exposed Host in der FB angelegt

    Könnt Ihr mir vielleicht noch Tipps geben oder mich auf die richtige Spur bringen?

    Vielen Dank!

  • Ist das 10.0.0.0 (welche Maske?) dein Default Netz?


    Versuchst Du auf die UDM zu kommen oder auf irgendein Gerät im Default LAN? Was genau testest Du? Auf die UDM kommst Du nicht mit der Firewallregel bei INTERNET_IN... (Die ist für in die Netze der UDM Rein) INTERNET_LOCAL wäre für die UCG eigenen Schnittstellen aus Richtung WAN - Würde ich aber dringenst abraten das zu erlauben.


    Und trag mal bitte bei der Firewallregel nicht nur den VPN Client ein, sondern das ganze 192.168.178.0/24 sonst kommst Du nie mit einem Gerät aus dem Fritzbox LAN da durch.


    btw: keine Ports weitergeleitet??? Wenn die UDM Exposed Host ist, dann hast Du alles dahin weiter geleitet, bis auf die Dinge, die sich die Fritte krallt oder die explizit woanders hin weitergeleitet sind.