Unitymedia Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

[wilnuru]

Nach verschiedenen Problemen, auch vielen Verbindungsabbrüchen, mit meinem "KabelBW 50Mbit"-Tarif, bin ich mittlerweile auf den Business-Tarif "Office Internet 50" umgestiegen. Kostet mich jetzt - statt 20 Euro - 36 Euro. Benötige für mein Homeoffice Zugriff auch aus dem Internet. Habe dadurch jetzt:

- einen schnelleren Upload mit 5Mbit
- einen schnelleren Support/Hotline
- ein "offenes" Modem Cisco EPC3212, d.h. hier gibt es kein lokalen DHCP und keine Firewall mehr (!), wie beim Cisco EPC3208G.

Hatte hinter dem Modem ein LAN-Switch, mit Desktop-PCs und NAS/Datenserver, sowie ein WLAN-Router angeschlossen. Jetzt sind alle LAN-Geräte am lokalen LAN-Port des WLAN-Routers, da mir nun eine Firewall fehlt. Mein WLAN-Router arbeitet mit eigenem DHCP für mein Heimnetz (192.168..).

Direkt angeschlossene Geräte, die die IP vom Cisco-Modem, d.h. jetzt durchgereicht, vom zentralen DHCP der KabelBW beziehen, sind mit einer öffentlichen (dynamischen) IPv4-Adresse direkt im Internet, ohne Firewall. Hatte z.B. drei Geräte am Switch angeschlossen und alle bekamen, allerdings aus verschiedenen Netzadressbereichen, eine IP.
Kann dadurch jetzt jedes Gerät aus dem Internet mit dieser IP erreichen. Ein Desktop-PC, mit (testhalber) deaktiverten Firewalloptionen, kann auf einen Ping antworten.

Ok, soweit so gut. Weiß noch nicht, welche Firewall ich jetzt an das Modem anschliessen soll. Ein bezahlbarer Switch mit Firewall für mein kleines Homeoffice wäre z.B der CISCO RV320, aber ist da ein guter WLAN-Router für das gleiche Geld nicht sinnvoller?
Oder spricht etwas gegen zwei WLAN-Router, einer als Firewall für die LAN-Geräte mit öffentlicher IP, ein Zweiter, an dem mein lokales Netz läuft?

Der Datendurchsatz (50Mbit) dürfte ja kaum gebremst werden durch die Kaskadierung. Könnte dann mein Datenserver/NAS, hat zwei LAN-Anschlüsse, mit einem LAN-Kabel an den ersten Switch/Router anschliessen und mit dem zweiten Anschluss an den des WLAN-Routers.

Hinweis: Habe diese Frage auch, als Antwort auf einen anderen, nicht ganz passenden Beitrag, im Helpdesk-Forum gestellt. Hier jetzt, mit passender Überschrift, neu eröffnet.

 

[schmitto]

wie wäre es hiermit, der kann beides!
http://routerboard.com/CRS125-24G-1S-2HnD-IN

 

[rv112]

pfSense, nothing else!

 

[Mike0185]

PfSense!

 

[007Sascha]

Pfsense auf welcher Platform? Ein extra Rechner ist ja meißt überdimensioniert

 

[Mike0185]

Ich setze ein Alix 2D13 Systemboard ein.

 

[rv112]

Hatte ich auch zuvor und nun auf das APU1C geupgradet. Läuft tip top.

 

[Mike0185]

Hatte ich auch zuvor und nun auf das APU1C geupgradet. Läuft tip top.

Die hat Gigbit-LAN oder? Kosten?

 

[rv112]

Ja. 3x GBit. Habe die Platine für 130 Euro bezogen.

 

[Mike0185]

Und Zubehör?

 

[rv112]

Netzteil und Gehäuse gibt es glaub für um die 30 Euro. Dazu habe ich dann noch eine mSSD für 50 und eine mPCIe WLAN Karte für 60 verbaut. Man kann allerdings auch per USB Stick arbeiten. Summ sumarum billiger und besser als die meisten Router, die mehr können als bunt blinken.

 

[Mike0185]

Dann sollte ich mal über ein Update nachdenken

 

[rv112]

Kann ich nur empfehlen. Komme auch vom Alix und habe mit dem Upgrade auf 100 Mbit/s dann zum APU gewechselt. Hat sich voll rentiert und ist eine Investition in die Zukunft, solange man es auch mit einem Modem nutzen kann. Mit verstümmeltem Zwangsrouterzugang sieht das dann natürlich schonwieder anders aus :sauer:

 

[pixelman10000]

Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.

Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen. Hab auch Asterisk (+Sipgate) auf der Kiste laufen und einen TV-Stick angeschlossen, damit spart man sich das 2play Zeugs und hat ein TV-Streaming im Netz.

Alternativ würde ich ein passendes Mikrotik Board empfehlen.

 

[SpaceRat]

Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.
Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen.

Ich glaube Du würdest unzähligen Mitlesern hier sehr helfen, wenn Du dazu mal ein How-To machen könntest.

Definitiv ist nämlich Dein Aufbau das bestmögliche Ergebnis, das sich hinter einem DK7200 erzielen läßt (Fast ...)!
Interessant wäre auch eine bebilderte Anleitung, wie man dann unter OpenWRT IPv6-Freigaben einrichtet (Die müssen sich ja dem wechselnden Präfix anpassen).

Das einzige was mir zum Optimieren noch einfiele:
Hast Du mal ausprobiert, die IPv4-Anbindung durch das DK7200 ganz zu ignorieren und die AFTR-Verbindung im OpenWRT-Router selber aufzubauen?
OpenWrt kann nämlich IPv4-lite ...

Das würde dem DK7200 viel von seinem Schrecken nehmen ...

 

[pixelman10000]

Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.
Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen.

Ich glaube Du würdest unzähligen Mitlesern hier sehr helfen, wenn Du dazu mal ein How-To machen könntest.

Definitiv ist nämlich Dein Aufbau das bestmögliche Ergebnis, das sich hinter einem DK7200 erzielen läßt (Fast ...)!
Interessant wäre auch eine bebilderte Anleitung, wie man dann unter OpenWRT IPv6-Freigaben einrichtet (Die müssen sich ja dem wechselnden Präfix anpassen).

Das einzige was mir zum Optimieren noch einfiele:
Hast Du mal ausprobiert, die IPv4-Anbindung durch das DK7200 ganz zu ignorieren und die AFTR-Verbindung im OpenWRT-Router selber aufzubauen?
OpenWrt kann nämlich IPv4-lite ...

Das würde dem DK7200 viel von seinem Schrecken nehmen ...

Also ich hab die wichtigsten Files der Konfiguration mal ge'zippt und zu einem Dienst hochgeladen. In /etc/config/packages.list ist die Liste der benötigten Pakete. Das ganze setzt auf ebtables auf; DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts . Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.

http://www.share-online.biz/dl/NTWEZIENG36

 

[SpaceRat]

DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts .

Naja, es steckt ja so oder so dahinter, jetzt halt nur über den DK7200.
Und da viele auch Probleme mit gelegentlichem Abbau des AFTR-Tunnels durch das DK7200 haben, wäre es die Sache wert ... meiner Meinung nach

Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.

Puh, Du hast da leider alle möglichen Configs und die auch noch ungekürzt reingepackt.

Ist jetzt was schwer für mich, da rauszufiltern, was zum Einrichten der Verbindung an Änderungen ggü. dem "Werkszustand" nötig war und was so oder so eingestellt wäre.
Da Du die losen Configs geschickt hast, mutmaße ich mal, Du hast das auch durch direktes Ändern der Configs eingerichtet ...

Ich glaube, für viele hier wären Screenshots der Oberfläche und den relevanten Einstellungen verständlicher.

Und entweder bin ich blind oder ausgerechnet die relevanten Einstellungen (odhcpc als relay und IPv6-Freigaben) fehlen ...
Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.

 

[athurdent]

Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.

Ich glaube, halbwegs sauber bekommst Du sowas nur hin, wenn Du intern z.B. ein ULA/64 benutzt und NPt (Network Prefix translation) auf ein Global/64 machst. Dann kannst Du eine Regel schreiben, die any -> auf eine fest ULA IP Port SSH o.ä. macht.
Das würde natürlich voraussetzen, dass IA PD (Prefix Delegation) funktioniert und man via Script automatisch bei Änderungen die NPt NAT rule auf das neue Prefix anpasst.
Ich meine, zumindest mit ner Fritzbox von Unitymedia könnte das klappen, einen Prefix an das nachgelagerte OpenWrt zu geben.
Das EPC3212 macht kein IA PD? Wundert mich, dass es überhaupt IPv6 macht, bei Cisco in den PDFs wird nur vom 3208 und IPv6 gesprochen, beim 3212 steht da nichts von IPv6.

 

[pixelman10000]

DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts .

Naja, es steckt ja so oder so dahinter, jetzt halt nur über den DK7200.
Und da viele auch Probleme mit gelegentlichem Abbau des AFTR-Tunnels durch das DK7200 haben, wäre es die Sache wert ... meiner Meinung nach

Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.

Puh, Du hast da leider alle möglichen Configs und die auch noch ungekürzt reingepackt.

Ist jetzt was schwer für mich, da rauszufiltern, was zum Einrichten der Verbindung an Änderungen ggü. dem "Werkszustand" nötig war und was so oder so eingestellt wäre.
Da Du die losen Configs geschickt hast, mutmaße ich mal, Du hast das auch durch direktes Ändern der Configs eingerichtet ...

Ich glaube, für viele hier wären Screenshots der Oberfläche und den relevanten Einstellungen verständlicher.

Und entweder bin ich blind oder ausgerechnet die relevanten Einstellungen (odhcpc als relay und IPv6-Freigaben) fehlen ...
Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.

Also das geht über die Oberfläche leider nicht, man muss eigentlich nur die Configs auf das Gerät kopieren und die Pakete installieren. Dann sollte es gehen. Es wird der NDP-Proxy von Unitymedia ins LAN gebridged, damit kann jeder Client eine IPv6 Adresse von Unitymedia beziehen (Relay funktioniert mit dem Cisco davor nicht). Damit ist jedes Gerät automatisch per IPv6 erreichbar. Es wird dann über die Firewall jedoch erst mal alles geblockt und dann kann man die Dienste (z.B. SSH) nach belieben zu schalten. Wenn du in die firewall.ipv6 schaust findest du die Regeln für ICMP und SSH. Also dein Rip bekommt eine IPv6 und du kannst dann in der Firewall die Ports entsprechend öffnen.

 

[rv112]

Das 3212 kann auch IPv6, wird jedoch normal nur für IPv4 Kunden eingesetzt.