This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wie Webinterface der Fritzbox vor RED erreichbar machen?

Hallo,

wir haben eine Aussenstelle, in der eine Fritzbox 7590 mit Glasfaseranschluss steht. Darauf ist die Telefonie eingerichtet. Internet geht aber komplett über eine daran angeschlossenen RED50 mit VPN zur UTM in der Hauptstelle.

 

Ich würde nun gern von der Hauptstelle aus auf das Webinterface der Fritzbox zugreifen können, damit ich mal z.B. was an den Telefonieeinstellungen ändern kann, ohne erst hinfahren zu müssen.

 

Was muss ich konfigurieren, damit das klappt? Wir haben hier mehrere Aussenstellen mit diesem Aufbau, wäre schön, wenn das überall machbar wäre.



This thread was automatically locked due to age.
  • Hallo,

     

    die RED müsste dann eine Art NAT können, weiss so meines Erachtens nicht möglich ist.

    Hier mal ein Post aus früheren Zeiten https://community.sophos.com/products/unified-threat-management/f/german-forum/89921/gerate-hinter-red15-erreichbar-machen

    Warum konfigurierst Du nicht deine Fritzbox so, dass Du Extern darauf zugreifst ? 

  • Hi,

    die RED im Standard Modus kann das nicht.

    Im standard Modus wird sämtlicher Traffic an die UTM geschickt und dort weiter verarbeitet, kein lokaler Internetzugriff, kein Zugriff auf das Uplink Netzwerk der RED.

     

    Du könntest per Standard/Split arbeiten, dann werden die Netze deines Zentral-Standortes durch den RED Tunnel geschickt, alles andere über den Uplink der RED direkt raus, dann könntest du von einem Rechner im RED Standort aus auf die Fritzbox zugreifen (jedoch nicht aus der Zentrale).

    Damit verschenkst du allerdings sämtliche Schutzfunktionen (z.b. Proxy) den die UTM mitbringen würde.

    alternativ, aber Extrem aufwändig du schreibst in die "Split Networks" eine Negativ-Liste

    sinngemäß, wenn das Fritzbox Netz "192.168.178.0/24" ist:

    network range: 0.0.0.0-192.168.177.254

    network range: 192.168.179.0-255.255.255.255

    da das Feld keine Ranges annimmt musst du dich per Supernetting irgendwie daran annähern.

     

    alternative: nimm statt der RED50 eine XG85, die kostet nahezu gleichviel, hat die IPsec-tunnel in der Basis Lizenz enthalten und du kannst viel granularer an den Routen / VPNs arbeiten.

     

    Gruß Lukas

    lna@cema

    SCA (utm+xg), SCSE, SCT

    Sophos Platinum Partner

  • Von aussen wollte ich die Fritzbox eigentlich nicht zugänglich machen. Das ist ja dann auch irgendwie eine Sicherheitslücke.

     

    Wenn ich z.B. den LAN 2 der Fritzbox mit dem Switch hinter der RED verbinde, dann mache ich mir auch nur ein Backdoor in meine geschütze Umgebung, oder? Eher auch nicht empfehlenswert (sofern das überhaupt technisch funktionieren würde...).

     

    Aber ok, dann werde ich wohl das geringste Übel in Kauf nehmen und alle Fritzboxen übers Internet zugänglich machen - mit starkem Passwort und https. Es sind mehrere Aussenstellen, die so angebunden sind.

  • Ich hätte schon den gesamten Verkehr der Aussenstellen über die RED geroutet, damit meine UTM am Hauptstandort auch alles schön filtert usw. Neue Hardware wird ich mir jetzt dafür nicht extra anschaffen. Soo wichtig ist das dann auch wieder nicht. Wäre halt schon gewesen, wenn das ginge. Die andere Lösung mit Fritzbox-Fernzugriff geht ja immer, egal was dahinter für Geräte hängen.

  • eine letzte idee hätt ich noch, hängt von der größe deiner Aussenstellen ab, die RED ist grundsätzlich auch vlan-fähig (dann kannst du die Switchports der RED allerdings nicht mehr für clients nutzen).

    Wenn du einen VLAN-Fähigen Switch im Standort hast, könntest du in einem zweiten VLAN ein Transfernetz zwischen Fritzbox und UTM schalten.

    lna@cema

    SCA (utm+xg), SCSE, SCT

    Sophos Platinum Partner

  • Das hört sich interessant an...

     

    An der RED 50 ist nur ein einziger LAN-Port belegt, der geht auf meinen fully managed 24-Port POE-Switch. Da hängt dann alles weitere dran. So groß ist die Außenstelle nicht. Ein paar verkabelte Geräte und der Rest läuft über ein paar Sophos-WLAN-APs ab.

     

    Aber hole ich mir dann kein Sicherheitsrisiko ins Haus, wenn ich den LAN2-Port der Fritzbox ungeschützt auf den internen Switch lege? Ich umgehe die RED doch in diesem Fall komplett? Was bringt mir dann das zusätzliche VLAN? Irgendwie muss der Zugriff aus dem internen Netz auf das VLAN ja freigegeben sein und dann bin ich doch im internen Netz?

  • technisch relativ einfach, sind allerdings ein paar Abstraktionsebenen mehr, die man vorher verstehen muss.

    ich habe mal versucht das ganze aufzuzeichnen und zur veranschaulichung ein paar IP Bereiche erfunden.

    zum Verständniss: die RED Box ist einfach ein Langes Netzwerkkabel, alles was du da rein steckst verhält sich, als würde es direkt in einem interface der UTM stecken.

    auf diesem langen Netzwerkkabel (bzw. das Interface in der UTM heißt hier reds1) legen wir zwei Netze an, eins direkt auf dem Interface als Standortnetz, eines als VLAN als Transfernetz für das Fritzbox Management.

    der Switch, den wir dort anschließen (bzw. über die RED dort anschließen) bekommt ebenfalls diese beiden VLANs mitgeteilt.

    die Fritzbox bekommt zwei Netze, einmal das standard Inside Netzwerk der Fritzbox, da wird der Uplink der RED angeschlossen, und einmal das Transfernetz, das kommt an das transfer-VLAN auf dem Switch.

     

    Die Sicherheit ist dadurch gegeben, dass der Übergang zwischen Produktiv- und Transfernetz über die UTM per Firewallregeln abgegrenzt werden kann.

     

     

    Gruß Lukas

    lna@cema

    SCA (utm+xg), SCSE, SCT

    Sophos Platinum Partner