Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 38 subscribers
  • Views 8928 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fritzbox und ASG gleichzeitig laufen lassen

TerminatorTerminator
Guten morgen

wie könnte ich sowas machen

Fritzbox ist als Modemkonfiguriert und loss für die ASG als DSL Modem fungieren
---> also Interntraffic über die ASG

die fritzbox soll aber trotzdem im LAN sein, damit ich per Iphone usw auch telefonieren kann

wie mache ich das am besten?


This thread was automatically locked due to age.
  • 0
    Stop net so schnell die Flinte ins Korn werfen !
    habe jetzt erst bemerkt das der post hier mal weiter ging.....

    Das funktioniert, hast du in der Fritzbox eine Statische Route 
    ins Astaro Netz gelegt? Es sollen ja IP's aus dem Astaro Netz 
    vergeben werden.

    /Ron

    PS: Deine Wunsch config läuft genauso hier bei mir ....
  • 0
    Hi, ja die statische Route hab ich angelegt und die Astaro auch als Exposed Host eingerichtet gehabt.
    Leider habe ich zum Schluss noch nicht mal mehr ne Verbindung zur Fritzbox/Internet bekommen.
    Müsste also meine Config nochmal zurück setzen und von vorne anfangen, da ich nicht mehr weis wo mein Fehler lag. 
    Komme aber vor dem Wochenende nicht dazu. Vielleicht können wir das ganze ja dann mal step by step durchgehen.

    Wäre echt Super von Dir.

    Mit freundlichen Grüßen

    Jan
  • 0 in reply to Ron123
    Hallo,

    habe auch die Konstellation Fritzbox (wg. VoIP/DECT/Fritzfons, WLAN-AP) vor Sophos UTM (Astaro).

    Die Box hat ein "externes" Netz hinter sich (192.168.1.0/24), was auf das WAN/External der Astaro läuft. Statische Route in der Fritzbox zum externen IF der Astaro.

    Die Astaro wiederrum hat dann noch das Internal, was also vor dem "externen" (Fritzbox/External, und natürlich dem WAN, was über die Fritzbox abgewickelt wird) durch die Filter/Proxys etc. geschützt wäre.

    WLAN-Clients klinken sich an der Fritzbox an, erhalten jedoch den Lease von der Astaro (also "interne" Adresse). Das funktioniert bei mir (nur), weil ich hier keine physisch (oder via VLAN) getrennten Netze fahre, sondern ich sowieso nur eine NIC in der Astaro Box habe (mit zusätzlicher "external"-Adresse ergänzt). Die Anfrage (DHCP) wird also quasi vom internen "Interface" der Astaro beantwortet, worüber dann auch der Traffic geht.

    Ich weiss ich weiss, keine 100%ige Trennung, aber zumindest lässt sich so der Verkehr/Zugriff steuern und Filtern. Selbst wenn jemand eine "externe" (feste) IP im Notebook/Tablet eingibt, kann er die Fritzbox als Gateway nicht missbrauchen, da hier Kindersicherung an (ohne Regeln = kein I-Net), einzig die Astaro ist zugelassen).

    Nicht professionell, aber für Heimgebrauch (und leider nur 1 NIC in der Box) durchaus komfortabel. ;-)
  • 0
    Hi, danke für die Info. Habe jedoch zwei Netzwerkkarten aufm Mainboard von daher wollte ich schon ein intern und ein externes Netz haben.
    Denke das Wochenende wird zeigen ob es klappt oder nicht.

    Gruß Jan
  • 0
    Richte es einfach mal so step bei step ein wie in meinem 1. Posting hier
    dann sollte es laufen!
    Die Feste Route muss im Fritz gesetzt werden damit gehen dann auch die DHCP 
    Requests vom WLAN Fritz an den DHCP der Astaro 

    /Ron
  • 0 in reply to Ron123
    Ich glaube, hier ist etwas wichtiges nicht deutlich geworden: Ron's Setup bedeutet für die WLAN-Clients *keine* Firewall-Absicherung durch das ASG. Für zuhause ist das nicht sehr tragisch, bedeutet aber auch, dass man nur eingeschränkt Möglichkeiten hat, den Verkehr zu den WLAN-Clients zu filtern.

    Der genutzte "Trick" ist, DHCP in der Fritze zu deaktivieren und dafür aber den DHCP des ASG auf dem WAN-Interface lauschen zu lassen. Verteilte Leases weisen die WLAN-Clients nun an, als GW das WAN-Interface des ASG zu nutzen (anstatt direkt die Fritze im selben Segment).

    Routingtechnisch ist das allerdings nicht gerade elegant, da ein unnötiger Hop entsteht und jeglicher Client-Traffic dann das WAN-Interface des ASG 2x passieren muss. Auch die restliche ASG Konfiguration muss dann abdecken, dass eigentlich interne (WLAN-)Clients aber von extern (WAN) ankommen. In meinen Augen ein sehr fragwürdiges und kompliziertes Setup, bei dem man sich sehr leicht ins Knie schießt. Faktisch gibt es dann gar keine Trennung mehr und man braucht am ASG gar kein zweites (internes) Interface mehr, weil man weitere LAN-Clients dann auch direkt an der Fritze anhängen könnte.

    Wirklich sinnvoll wird das Ganze erst, wenn man auf den WLAN-AP in der Fritze verzichtet und (separate) APs hinter dem ASG einsetzt.
  • 0
    Die WLAN Clients sind durch die Route in der FB sehr wohl hinter der Astaro 
    auf den Clients greift alles an regeln was definiert ist.

    Durch das 32 Subnetz gibt es auf der FB nur noch eine IP für die Box 
    und fürs WAN der Astaro.

    Routingtechnisch mag das nicht elegant sein, aber es ist die einzige Variante die 
    mir einfiel um folgente Punkte zu gewärleisten.

    1. vorhanden Fritzbox und Astaro 
    2. brauche Fritz.Fax 2 Mail 
    3. PushMails der Fritzbox (tagliche Anrufübersicht)
    4. WLAN der Box wenns dran ist soll es auch gehen .....
        wenn auch nur im Keller Büro

    und das Geht mit dem Setup.
    Es hat sich bis jetzt auch noch kein Paket beschwert das es 2x durch ein Interface rennt 
    ;-)

    /Ron
  • 0 in reply to Ron123
    Es hat sich bis jetzt auch noch kein Paket beschwert das es 2x durch ein Interface rennt
    Dies wird auch niemals passieren.
  • 0
    Also, habe das ganze jetzt nochmal durchgemacht und die WLAN Clients bekommen trotz Route keine Internal ip.
    Kann es an den Einstellungen für DHCP liegen? Habe den Internal Port als Dns Adresse und als Standardgateway
    angegeben.

    Gruß Jan
Unfiltered HTML