doppelte LAN-Verbindung Fritzbox (exposed Host) - USG: Sinnvoll?

Es gibt 9 Antworten in diesem Thema, welches 3.150 mal aufgerufen wurde. Der letzte Beitrag () ist von passuff.

    Hallo zusammen,


    bevor ich viel erkläre, folgend zunächst mal mein Aufbau:


    Warum das Ganze? Die Fritzbox 6591 ist ein Mietgerät und steht nicht in DECT Reichweite des Telefons (anderes Gebäude). Die Telefonie-Anmeldedaten bekomme ich nicht in direkt in der 7390 aktiviert (vermutlich an das Mietgerät gebunden?). Es bleibt mir scheinbar lediglich übrig, die Telefonie über das LAN weiterzuleiten. Der Aufbau funktioniert soweit. Ich bin mir jedoch nicht sicher, ob die Lösung:


    1. umständlich ist (zwei LAN Verbindungen)

    2. sicher ist


    Ich habe im Controller keinerlei zusätzliche Einstellungen vorgenommen. Eigentlich würde ich gerne den kompletten Traffic bis auf SIP zur Fritzbox 6591 blocken. Ich habe bloß keinen Schimmer wie das geht.


    Vielleicht habt ihr ja Kritik, Hinweise oder Anregungen zu meinem Aufbau...

    Was ich nicht ganz verstehe, warum die 6591 noch einmal mit LAN Port 1 am Switch hängt.


    Wenn die 7390 als IP Client konfiguriert ist, sollte sie sich eigentlich mit den Nummern anmelden können.

    In der 6591 sollten dann aber keine Telefonie eingestellt sein.


    Dann sollte es eigentlich funktionieren. Oder muss die 6591 auch Dect-Basis sein?


    Im Falle einer Mietbox bekommt man keine Telefoniedaten ausgehändigt, da diese provisioniert werden.

    Ich habe es geschafft die Anmeldedaten aus der Konfiguration zu exportieren und zu entschlüsseln, jedoch funktionieren diese nicht in der 7390. Ich vermute, diese sind an die MAC Adresse gekoppelt. Sicher bin ich mir jedoch nicht.

    • Offizieller Beitrag

    Moin passuff und herzlich willkommen bei uns an Bo(a)rd :ship:.


    Wenn es sich bei dem Switch im einen VLAN-fähigen handelt, dann könntest Du das so realisieren. Dafür müsstest Du ein VLAN-only-Netzwerk erzeugen, den Port, der von der 6591 kommt und den, der zur 7390 geht auf dieses VLAN konfigurieren und gut ist's.


    Falls nicht ist das Thema mit der Siherheit auf jeden Fall "in Gefahr", denn was hinder einen Client daran direkt die FB als Gateway zum Internet zu benutzen?


    Das mit der MAC-Adressbindung kann ich mir beim besten Willen nicht vorstellen, denn alles, was aus deinem LAN kommt geht ja am Ende über die 6591 raus - kommt damit immer von der MAC. MWn kann die ursprüngliche Quell-MAC am Ziel nicht mehr identifiziert werden, sondern nur die letzte - und natürlich alle, die sich im Gleichen Netzwerk befinden. #BroadcastDomain


    Glückwunsch :confetti_ball: zu Deinem ersten Beitrag.

    razor


    Bis zur 7390 sind es zwei US8, ein US24 und ein TP Link switch. Wenn ich die Verbindung zwischen 6591 und 7390 isoliere, bin ich nach meinem Verständnis zwar in meinem Hauptnetz hinter der USG sicher, jedoch hat die 7390 dann keinen Schutz durch die USG. Ich würde am liebsten lediglich einen Port für die Telefonie Öffnen und den Rest sperren. Nach meinem Verständnis wäre ich dann safe...


    Bezgl. Telefoniedaten mag ich falsch liegen, jedoch bekomme ich mit den aus der 6591 ausgelesenen Telefoniedaten in der 7390 keine Verbindung mit der Gegenstelle. Benutzer/Passwort habe ich natürlich entschlüsselt.


    Vielen Dank für die Glückwünsche

    • Offizieller Beitrag

    Dafür (Sicherheit) müssen natürlich alle Switches auf der Strecke mit VLANs umgehen können. Sonst haste am Ende nix davon. :winking_face:


    Kannst Du die 7390 bei der 6591 als Mesh-Client registrieren oder "kann" die 6591 in der aktuellen Betriebsart das nicht mehr? So als Idee...

    Zitat von razor

    MAC-Adressbindung kann ich mir beim besten Willen

    Tatsächlich ist das nicht so abwegig. Ich hatte einen ähnlichen Fall wo mir zu mindest der Techniker von Unitymedia vor Ort mitgeteilt hat, dass die einzuwählende Fritz!Box ggü. der CMTS auch die Mac mitsendet.

    P.S: Ja der Benutzername ist mit Absicht falsch. Weil dieser Fehler meine Kindheit begleitet hat. :winking_face:

    razor Mesh funktioniert nur über LAN, was ich nur dann habe wenn ich die 7390 mit der 6591 über das zweite Kabel verbinde. Ansonsten sind es zwei Geräte, die lediglich über das Internet miteinander verbunden sind.
    In der aktuellen Konfiguration (zwei Verbindungen/LAN Kabel) hätte Mesh keinen Vorteil. Ob ich die Telefoniedaten über die Mesh Funktion oder aber über SIP übertrage macht keinen Unterscheid. Physisch habe ich über die 6591 eine zusätzliche Verbindung ins Internet geschaffen, was ich eigentlich lediglich auf den Telefonbetrieb eingrenzen würde.

    Das ist einfach:


    Vodafone rückt mittlerweile die Anmeldedaten bei eine gemietet FritzBox nicht mehr raus, somit kann man die Telefonfunktion nicht über andere Geräte anmelden sondern nur über die FritzBox die automatisch provisioniert werden.


    Damit sich die 7390 an der 6591 für Telefonie anmelden kann, benötigt es die LAN-Verbindung an Port 1. Der Zugang zur Telefonfunktion ist im BridgeModus anders nicht möglich.

    Ich habe eine ähnliche Konstellation, BridgeModus an die UDMPRo und ein extra LAN an die FritzBox Lan1, damit ich mein VoIP Telefon an der FB anmelden kann, genauso wie die Smartphone-App

    Zitat von Tuxtom007

    Ich habe eine ähnliche Konstellation, BridgeModus an die UDMPRo und ein extra LAN an die FritzBox Lan1, damit ich mein VoIP Telefon an der FB anmelden kann, genauso wie die Smartphone-App

    Das klingt sehr vergleichbar. Erlaube mir ein paar Fragen:

    1. Mietbox?
    2. Was ist der Unterscheid zwischen Exposed Host und Bridge Mode aus der Sicht der USG/UDMPro? Sie erhalten ja beide eine eigene IP und sind somit direkt im Netz, wenn ich das korrekt verstehe...
    3. Wie hast du dein Netzwerk abgesichert? Es gibt ja scheinbar eine Verbindung die nicht von der UDMPro gemanaged wird, korrekt?

    Gruß