FritzBox Gastzugang?
Moin,
Ich habe aus Sicherheitsgründen bei meiner FritzBox einen Gastzugang auf LAN Port 4 für meinen webserver eingerichtet. Nachdem ich ihn dort einsteckte konnte ich jedoch nicht mehr auf meine http website zugreifen, oder ihn per SSH bedienen usw.
Gibt es da eine Lösung ?
LG!
1 Antwort
Nachdem ich ihn dort einsteckte konnte ich jedoch nicht mehr auf meine http website zugreifen, oder ihn per SSH bedienen usw.
Der Zugriff aus dem Heimnetz in das Gastnetz sowie andersrum wird unterbunden, es ist keine direkte Kommunikation möglich. Ohne weiteres ist das auch nicht zu umgehen - du bräuchtest ein Gerät, welches sich befindet, und Datenpakete entsprechend weiterleiten kann. Dafür muss in der FritzBox auch eingestellt sein, dass Gastgeräte miteinander kommunizieren dürfen
Willst du eine DMZ, solltest du auch einen Router nutzen, welcher sowas unterstützt. Ich werfe einfach mal OPNsense in den Raum
ah ich seh schon, aber wo muss ich das installieren ?
ah ich seh schon, aber wo muss ich das installieren ?
Auf einem beliebigen Rechner oder gar in einer VM. Optimalerweise hat dieser zwei oder mehr Intel-basierte Netzwerkanschlüsse, um mehrere Netzwerke getrennt per Kabel ansprechen zu können. Realtek kann funktionieren, aber auch zu Problemen führen
Ich selbst nutze, wie ich dir schon gesagt hatte, z.B. einen HP T620 Plus mit Intel i340-T4
das wird schwer. ich betreibe aus brandsicherheitsgründen nur einen PC am laufen im Haus und das ist der Server, also wäre eine Lösung für den Router besser...
Exposed Host, allein, wäre keine Option oder ?
das wird schwer. ich betreibe aus brandsicherheitsgründen nur einen PC am laufen im Haus und das ist der Server, also wäre eine Lösung für den Router besser...
Dein Router ist auch nur ein PC ...
Egal wie, deine Fritzbox hat diese Funktion nicht. Du wirst dir einen anderen Router besorgen müssen, welcher fortgeschrittene Funktionen liefert.
Denke auch daran, dass solche Router dann in der Regel ohne WiFi, Telefonanlage und den weiteren Features geliefert werden, wenn du dir das überlegst.
Oftmals fehlt auch das Modem, du brauchst also noch das dazu, willst du ihn direkt am Netz betreiben. Du kannst die OPNsense natürlich auch als Host in deiner Fritzbox laufen lassen.
Aber was wäre mit Exposed host ? Keine option oder ?
Aber was wäre mit Exposed host ? Keine option oder ?
Exposed Host ist etwas ganz anderes als eine DMZ.
Bei einem Exposed Host leitest du alle (!) externen Anfragen, die nicht aus dem Heimnetz initialisiert wurden, an das entsprechende Zielgerät weiter. Dieses sollte also eine Firewall selbst haben und entsprechend abgesichert sein.
Du könntest also z.B. eine OPNsense an die Fritzbox hängen und diese als exposed Host einstellen, damit diese direkt aus dem Internet angesprochen werden könnte und die Portfreigaben von dieser zählen
Was du alternativ machen kannst, um dir eine DMZ zu basteln: hol dir einen anderen zweiten Router (beliebig, jedoch mit Firewall) und richtige diesen als Host in der FritzBox ein
Dein Server ist jetzt als Gerät in der FritzBox, dein Heimnetz im anderen Router.
Geräte aus dem anderen Router können auf das Netz der FritzBox zugreifen, andersrum nicht, sofern es keine expliziten Regeln dafür gibt
und den zweiten router an dem mein lan hängt muss ich diesen als was einstellen ? Exposed host ?
Nein, nur wenn du dort (öffentliche) Portfreigaben machen willst - was jedoch weniger Sinn macht.
Du müsstest nur in der FritzBox statische Routen auf die Subnetze des anderen Routers setzen
okay ein anderer user hier auf gutefrage riet mir die ausgehenden verbindungen des servers ins heimnetz mit ufw einfach zu blockieren macht das sinn?
Na ja, sollte ein Angreifer irgendwie root-Zugriff auf die Maschine bekommen, kann er die ufw-Regeln deaktivieren oder umgehen.
Ja, es bietet mehr Schutz als "einfach so" im Heim-Netz zu sein, ich würde jedoch nicht komplett drauf vertrauen
Ich hab bei mir als Regeln für die DMZ z.B. auch, dass alle Anfragen an RFC1918 gedropt werden, genereller Internetzugriff jedoch möglich ist
Was ist OPNsense ?