Unitymedia Geplante Einrichtung möglich? (Routerkaskade)

[horrid]

Guten Abend zusammen,

ich ziehe bald in eine Wohnung ein und habe dort meinen ersten Unitymediaanschluss. Ich habe das 2play 120 Paket bestellt.
Jetzt ist die Hardware unterwegs (2. Lieferung, die erste kam nicht an....) und ich lese mich gerade durch das Netz und frage mich, ob meine geplante Einrichtung überhaupt geht.
Ich habe diese Standardbox von denen bestellt und würde dahinter gerne einen weiteren Router klemmen, also eine Routerkaskade erstellen. Ich möchte nicht, dass über den Fernwartungszugriff eine Lücke in meiner Infrastruktur entsteht oder sonst was von denen. Bei einem eigenen Router habe ich da mehr Möglichkeiten. Den Unitymediarouter würde ich wirklich nur für den Anschluss des zweiten Routers nutzen, also im Endeffekt eine Art DMZ oder? :kratz:
Jetzt meine Frage: Ich würde die beiden DHCP Server auf den Routern lassen, jeder mit einer anderen Range an IP Adressen die er verteilt. Das das Bridging nur über eine eigene Fritzbox (für 150-200 Euro) möglich ist, habe ich nämlich schon gelesen.
Über meinen Router würde ich dann mein gesamtes internes Netz managen, also PC, WLAN Geräte, Raspi mit PiHole (als DNS Server), Switch usw.
Ist das ganze mit der Box realisierbar? Oder habe ich da was übersehen? Ich war noch nie Kabelkunde und hab leider keine Erfahrung...

Noch zwei weitere Fragen:
- Das Kabel von der Unitymediabox: In welchen der Anschlüsse im Router muss der? Einen normalen LAN Port oder der WAN? :kratz:
- Ich überlege einen Router mit OpenWRT zu kaufen (hab zur Zeit keinen vernüftigen, nur so einen für 30 Euro, der mir nicht reicht)... Lohnt sich die Investition? Grundsätzlich kenne ich mich in der IT aus und mag es eigentlich, wenn ich mehr lernen kann... Aber der Router ist ja schon ein wichtiges Stück im Netzwerk, da würde ich eher weniger basteln wollen. Oder ist da eine der besseren Fritzboxen (7490 oder die neue 75xx?) da die bessere Wahl?

Wäre erfreut über ein paar Antworten
Schönen Abend euch noch und danke !

 

[hajodele]

Du bekommst IPv6/DS-Lite.
Damit kannst du dich weitgehend von deinem ganzen Text verabschschieden

 

[horrid]

Inwiefern kann ich mich deswegen davon verabschieden?
DS-Lite sagt mir jetzt ehrlich gesagt nichts..?

 

[Leseratte10]

DS-Lite heißt, du bekommst keine IPv4-Adresse mehr, sondern nur IPv6. Zugriff auf alte IPv4-Seiten laufen dann über einen besonderen Proxy bei Unitymedia. Hängst du da jetzt Router hinter Router, klappt das nicht mehr ganz und du schickst allen Traffic über diesen Proxy, nicht nur den, bei dem es nötig ist. Damit wird der Proxy deutlich mehr belastet was du (und wenn das mehrere machen auch irgendwann alle anderen in deiner Nachbarschaft / Kabelsegment) dann an ner langsameren Verbindung merkst.

 

[horrid]

Also rein theoretisch geht es schon..
Ich müsste halt testen, wie schnell der Traffic ist. Falls überhaupt jemand in der Ecke Kabel hat..
Klingt aber irgendwie alles ziemlich ungünstig... Das die das so machen. :/ -.-

Oder wäre eine eigene FritzBox 6490 Kabel die Lösung? gehört ja dann mir und ich kann alles verwalten oder?

 

[MartinDJR]

DS-Lite sagt mir jetzt ehrlich gesagt nichts..?

DS-Lite ist eine der Möglichkeiten, aus einem IPv6-Netzwerk heraus auf IPv4-Server zuzugreifen.

Falls du dich noch nicht mit IPv6 beschäftigt hast:

Bei IPv6 sehen die IP-Adressen anders aus als bei IPv4 (z.B. 2001:0DB8:4231:5678:9ABCEF0:4231:5678 anstatt 192.0.2.10) und sind deutlich länger (128 anstatt 32 Bits).

Eingeführt wurde das Ganze, weil es bereits seit 5 Jahren nicht mehr genügend IPv4-Adressen (also 192.0.2.10) für alle Internet-Kunden mehr gibt. Bei IPv6 hat jeder einzelne Rechner (nicht nur jeder Internet-Anschluss) eine eigene IP-Adresse.

Außerdem ist das Hintereinanderschalten von Routern nur begrenzt möglich. Dies liegt daran, dass bei IPv6 der "hintere" Router einen "Teilbereich" des Adressraums des "vorderen" Routers haben muss - so, als würde der DHCP-Server des vorderen Routers bei IPv4 den kompletten Bereich von 192.168.0.32-192.168.0.63 an den hinteren Router abgeben. Dies können aber nicht alle "vorderen" Router, aber es gibt wohl inzwischen spezielle "hintere" Router, die auch ohne einen kompletten Adressraum auskommen.

Was ist DS-Lite?

Ein Hauptproblem bei IPv6 ist, dass man zwischen einem Rechner, der nur IPv4 kann und einem, der nur IPv6 kann, keine Daten austauschen kann. Der ursprüngliche Plan in den 1990ern war, dass man zunächst allen Rechnern im Internet zusätzlich IPv6 verpasst, und dann, wenn alle Rechner beides (IPv4 und IPv6) können, IPv4 abschaltet. Leider sind seit 2012 die ersten Provider bereits gezwungen, ausschließlich IPv6 einzusetzen, während (Stand Anfang 2017) über 80% der "beliebtesten Million Webseiten" (laut irgendeinem Ranking) nur IPv4 und noch kein IPv6 können.

Daher gibt es verschiedene Methoden, wie man trotzdem auf einen IPv4-Rechner zugreifen kann. Eine davon ist DS-Lite.

Provider, die kein IPv6 anbieten, aber denen trotzdem nicht mehr genügend IPv4-Adressen haben, verwenden so-genanntes CGNAT. Das ist so, wie zwei hintereinandergeschaltete Router: Dein Internet-Anschluss hat dann z.B. die Adresse 192.168.178.10 - also eine quasi-lokale Adresse - und der deines Nachbarn dann 192.168.178.11... Dein Netz zu Hause hat dann aber z.B. die Adressen 192.168.0.xx.

Dies wird bei DS-Lite etwas anders gehandhabt: Beim Provider werden bereits die "endgültigen" Zieladressen in die IPv4-Datenpakete eingetragen (also z.B. 192.168.0.30, wenn das die Adresse deines PCs ist), die Datenpakete werden dann in IPv6-Datenpakete eingepackt (also wie bei einem VPN) und dann zu dir nach Hause geschickt. Dein Router packt diese Pakete dann nur noch aus.

In beiden Fällen teilen sich mehrere Kunden eine IPv4-Adresse, weswegen z.B. das Einrichten einer "Portweiterleitung" nicht möglich ist. Aus diesem Grund ist DS-Lite hier offenbar recht unbeliebt. Bei DS-Lite wäre dein Netz aber (im Gegensatz zu CGNAT) immerhin noch per IPv6 erreichbar (wenn du die Firewall entsprechend konfigurierst).

Und deine Angst ist nicht ganz unberechtigt: Irgendwelche Sicherheitsexperten haben herausgefunden, dass der Router im Rechenzentrum des Providers bei DS-Lite fast immer in der Lage wäre, beliebige IPv4-Pakete ins lokale Netz zu schicken, ohne dass die irgendwo geblockt werden. Die meisten Router scheinen davon auszugehen, dass der Router beim Provider unerwünschte eingehende Datenpakete bereits abblockt und lassen daher alles durch.

Routerkaskade

Sollte eigentlich möglich sein, wenn der hintere Router IPv6-Pakete nur durch eine Firewall jagt und mit IPv4-Paketen so umgeht, wie es normalerweise gemacht wird.

Falls der hintere Router keine IPv6-Pakete durchleiten kann, hast du allerdings wahrscheinlich zwei Probleme:

1) Geschwindigkeit: Bei DS-Lite kann zur "Rush-Hour" im Netz die Geschwindigkeit von IPv4-Datenverbindungen um bis zu 90% geringer sein als die von IPv6-Datenverbindungen. Wenn der Webserver, auf den du zugreifst, IPv6 kann, ist das echt schade!

2) Bereits jetzt gibt es Server, die nur per IPv6 erreichbar sind. Diese könntest du dann nicht mehr erreichen. Zur Zeit ist das noch recht uninteressant. Ich könnte mir allerdings vorstellen, dass Provider mit DS-Lite irgendwann einmal den IPv4-Zugriff auf Seiten, die per IPv6 erreichbar sind, sperren...

 

[horrid]

Erstmal vielen Dank für die ausführliche Erklärung MartinDJR !
IPv6 usw. kenne ich, nur speziell jetzt DS-Lite nicht.

Eben aus diesen Sicherheitsgründen würde ich gerne noch einen Router dazwischen schalten.
Zum hinteren Router und Pakete durchleiten: Gibt es da Erfahrungsberichte, welche Router funktionieren? Ich dachte an eines der besseren Fritz.Box Modelle, also die 7490 oder die 75xx...
Die 90 % klingen ja doch etwas arg langsam :/

Die Server die nicht zu erreichen sind, sind hoffentlich ja noch nicht so verbreitet, ansonsten müsste man sich dafür noch was ausdenken. Das Blocken ist ja jetzt noch kein Problem und wenn doch, denke ich, dass die das recht schnell umschalten...

Würden meine Bedenken mit einer eigenen FritzBox 6940 Kabel denn beseitigt? Dann bin ich ja dafür zuständig, dass Firewall usw. aktiviert sind. Ich denke mal das diese UM ConnectBox nur sehr wenig macht und eine vernüftige Fritzbox ohne UM wahrscheinlich besser konfiguriert ist... ^^
Jemand ein paar Gedanken dazu?

 

[Leseratte10]

Wenn du ne eigene Kabel-Fritzbox kaufst hast du die Probleme nicht. Die hängt ja dann direkt am Anschlus und kann mit DS-Lite umgehen.

 

[Andreas1969]

Wenn du ne eigene Kabel-Fritzbox kaufst hast du die Probleme nicht. Die hängt ja dann direkt am Anschlus und kann mit DS-Lite umgehen.

Dann bleibt aber noch ein Problem: Der Anschluß ist seitens IPV4 eine Einbahnstraße :winken:

 

[MartinDJR]

Würden meine Bedenken mit einer eigenen FritzBox 6940 Kabel denn beseitigt? Dann bin ich ja dafür zuständig, dass Firewall usw. aktiviert sind.

Kommt darauf an, wie stark du Angst hast:

Bei guten DS-Lite-fähigen Routern kann man den IPv6-teil der Firewall recht gut konfigurieren (Ausnahme: beim TC 7200 geht nur "ein" oder "aus").

Der IPv4-Teil scheint bei DS-Lite hingegen bei allen Routern recht primitiv zu sein: Da der Provider die Pakete bereits mit der endgültigen Zieladresse versieht, werden die IPv4-Pakete einfach aus den IPv6-Paketen, in die sie verpackt sind, ausgepackt und in das lokale Netz weitergesendet. (Möglicherweise gibt es aber auch hier Router, die eine Firewall für die "entpackten" Pakete haben.)

Wenn man die Router beim Provider entsprechend manipuliert, könnte man also wirklich beliebige IPv4-Pakete in dein lokales Netz senden.

Andererseits müsste man schon den Router beim Provider im Rechenzentrum hacken, um dir ein unerwünschtes Datenpaket in dein lokales Netz zu schicken. Da der Router dort (was IPv4 angeht) NAT macht (also wie ein lokaler WLAN-Router) ist es nicht ganz einfach, vom "Internet aus" hinter diesen Router zu kommen.

 

[horrid]

Erstmal danke für die ganzen Antworten !
Welche vernünftigen Alternativen außer einer eigenen Fritzbox gibt es denn noch?
Die Fritzbox als Bridge benutzen und dahinter einen weiteren Router stellen sollte ja nicht viel ändern?
Ansonsten klingt es im Moment so, als ob ich mir wohl eine eigene Fritzbox holen sollte...
Da ist zumindest jeder Port zu, also keine Fernwartung usw.

 

[Andreas1969]

Die Fritzbox als Bridge benutzen

Das geht bei einer eigenen Box sowieso nicht.

Der Bridge Modus funktioniert bei der Fritzbox nur, wenn folgende Vorraussetzungen erfüllt sind:

- Es muß die Unitymedia Provider-Fritzbox sein
- Anschluß muß IPV4 sein (kein DSLITE)
- Anschluß muss sich in NRW oder Hessen befinden (in BW funktioniert die Bridge nicht)

 

[Andreas1969]

Welche vernünftigen Alternativen außer einer eigenen Fritzbox gibt es denn noch?

Alternativ würde noch ein reines Modem gehen und dann einen eigenen Router dahinter.
Da hast Du nur das Problem, daß es immer noch kein geeignetes Modem zu kaufen gibt.

 

[addicted]

Sorry, dass ich das hier erst an dieser Stelle im Thread einbringen.
Und ich hoffe Du verstehst mich nicht falsch.

Bei Deinem augenscheinlichen Kenntnisstand zu Netzwerken und deren Security würde ich Dir nicht unbedingt empfehlen mit einem OpenWRT- oder noch weiter konfigurierbarem anderen Gerät selbst an den Einstellungen herumzuspielen. Die Gefahr besteht darin, dass Du aus Unkenntnis eine Konfiguration vornimmst, die unsicherer ist als wenn Du nichts eingestellt hättest.

Besorgt Dir eine eigene Fritzbox und Du bist fertig. Keine Kaskade notwendig.

 

[horrid]

Nochmal danke für eure Antworten!
Ich denke ich werde das einfach so machen, also die Kabel Fritzbox kaufen und fertig. Da habe ich dann schon ein wenig mehr Kontrolle.

Verstehe ich nicht falsch addicted bin mir ja selver nicht sicher damit... So ein Router muss ordentlich laufen, da werde ich erstmal die Finger von lassen