Freifunk am fritzbox gastzugang

Aus Freifunk Rhein-Neckar Wiki
Version vom 28. Januar 2020, 17:37 Uhr von Maintenance script (Diskussion | Beiträge) (Import der alten DokuWiki)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Freifunk-Router als Uplink an einer FritzBox betreiben

//Diese Anleitung beschreibt die Einrichtung einer FritzBox mit Fokus auf Sicherheit //

 * Der Freifunk Router sollte nicht im gleichen Subnetz wie das private Netzwerk sein.
 * Der Freifunk Router sollte keine Verbindungen in das Internet aufbauen dürfen, die über VPN (UDP 10000) hinausgehen.
 * Der Freifunk Router, als exponiertes IT-System, muss als potentiell kompromittiert betrachtet werden.
 * Die FritzBox muss im Modus "Ansicht: Erweitert" sein


Fritz Box Features
 * Die FritzBox kennt hinter Ihrem NAT zwei Netze, welche voneinander getrennt sind. Dabei handelt es sich um das reguläre private Netzwerk und um das Gästenetzwerk.
 * Das Gästenetzwerk kann man als zweites WLAN anbieten sowie auf den LAN-Port 4 der Fritz Box schalten.
 * Für das Gästenetz kann man über das Zugangs-Profil "Gast" den Zugang zum Internet einschränken.
 * Die FritzBox selbst hat einen DNS Dienst, der von jedem Gerät aus dem Gästenetz erreichbar ist.
Lösungsansatz

//Dieser Lösungsansatz zielt darauf ab, den Freifunk Router in das Gästenetz zu isolieren und alle ausgehenden Verbindungen ausser UDP 10000 aus dem Gästenetz zu verbieten.// Die FritzBox muss im "Ansicht:Erweitert" sein, damit man die nötigen Änderungen wie "Anwendungen" überhaupt einstellen kann.


 - Unter "Filter" - "Listen" - "Netzwerkanwendung hinzufügen" wird eine neue Netzwerkanwendung mit dem Namen "alles außer IPSec" angelegt. Es soll nur Port 10000 UDP erlaubt sein, daher muss alles andere gesperrt werden. A7f4196b4dad018921082461e7492d5c7030137f 1 690x313.png?nolink
 - Unter "Filter" - "Zugangsprofile" dem Profil "Gast" die Netzwerkanwendung "alles außer IPSec" sperren. B9df3e9b255d4bb2eb2a43e5fb1dcdadeb8ac149 1 690x311.png?nolink
 - Unter "Netzwerk" - "Netzwerkeinstellungen" den Gastzugang für LAN4 aktivieren. B84350e5fc009f12825c29964ac1ea5eec973513 1 690x179.png?nolink
 - Den Freifunk-Router an den LAN Port 4 der FritzBox anschließen.

Abgrenzung

Mit diesen Einstellungen ist das Gästenetz nicht mehr für das normale Surfen nutzbar. Diese Funktion übernimmt dann das Freifunk Netzwerk.

Sollte das FRITZ!Box-Gästenetz weiterhin benötigt werden, so ist es am einfachsten die vorhandene Liste "alles außer Surfen und Mailen" um die oben genannten zwei UPD-Regeln zu erweitern und die vorhandene pauschale UDP-Regel zu löschen.

Vorsicht: Wer die Regel dabei auf "alles außer Surfen, Mailen und Freifunk" oder so ähnlich umbenennt, der muss sie dem Zugangsprofil "Gast" danach wieder zuordnen!