LAN und PPPoE auf einem Interface?

Nur mal folgender Gedanke:

Im Moment sieht das ganze ja folgendermaßen aus:

Internet --- FritzBox --- Astaro --- Switch --- LAN

Die Connection von der Astaro durch die FritzBox ins Internet läuft über PPPoE, die FritzBox ist als reines Modem konfiguriert.
Wenn ich nun die Fritzbox zusätzlich an meinen internen Switch anschließe, also so:

Internet --- FritzBox --- Astaro --- Switch --- LAN
                 └----------------------┘

... dann kann ich ja auf die Management-Oberfläche der Fritzbox zugreifen. Aber wie sieht es jetzt mit der Sicherheit aus? Von außen kann ja niemand auf die Box zugreifen, da die PPPoE Verbindung in der Astaro terminiert wird, d.h. jemand müßte zuerst die Astaro hacken, damit er überhaupt auf irgendetwas Zugriff bekommt. Darum sollte das doch eigentlich so funktionieren, oder sehe ich das falsch?

Gruß,
  Dino

PS: Ich hätte aber trotzdem gerne gewußt, ob es die Möglichkeit in meinem ersten Post auch gibt, weil es auch managebare Modems mit nur einem LAN-Port gibt und nicht mit mehreren wie bei der FritzBox.

Also mit dem 2. Bild haste quasi die Astaro überbrückt. da kannste sie auch rauslassen. wenn du vom switch auf die fritzbox kommst... geht das ganze auch anders rum.
Was soll das überhaupt für ne funktion haben. Damit umgehst du den Paketfilter und alles andere von der Astaro.

Wieso sollte die Astaro nicht auf die Fritzbox kommen ?
Ist doch nur http/https seite.

Wie issen die IP Adresse von der Fritzbox und dem WAN interface von der Astaro ? 

du gibst doch htttp://***.***.***.*** für die fritzbox ein und nicht http://fritz.box oder ? denn das kennt die Astaro nicht

Nein, das hast Du falsch verstanden. Die FritzBox ist KEIN Router, sondern funktioniert NUR als Modem... die Astaro übernimmt das ganze Routing inkl. PPPoE-Einwahl, darum umgehe ich mit diesem Konstrukt auch nicht den Astaro-Paketfilter, weil der PPPoE-Endpunkt in der Astaro ist.

Ich kann in der Astaro für das External-Interface ja nur eine Verbindungsart einstellen; in diesem Falle PPPoE. Die FritzBox hat jetzt aber z.b. 192.168.1.1 und die Astaro 192.168.2.1, dann komme ich nicht auf die FritzBox, weil das External-Interface nur die WAN-IP zugewiesen bekommt bei der Einwahl und die Astaro nicht weiß, das da noch was anderes mit dran hängt.

Meiner Meinung nach sollte der zweite Aufbau sicherheitstechnisch völlig unkritisch sein, wollte aber sicherheitshalber nochmal hier nachfragen.

Hi,

wenn die Fritz die 1.1 hat, dann verpass doch mal der "WAN-NIC"  der Astaro die 1.2.

Die Brücke von der Fritz zum Switch ist ein "GAU".

tov

Wenn es doch 2 verschiede netze sind, sollt die Astaro doch drauf kommen. 

Also ist es so aufgebaut? z.b 

Fritzbox : 192.168.1.1
Astaro WAN : 192.168.2.1
Astaro Internes NIC :192.168.3.1

Dann würde ich es aber auch wie Tov machen.
Fritz box und Astaro Wan im selben Netz. Internes netz anderes Netz.

teste mal was.

In der astaro legste die fritzbox als rechner an (192.168.1.1) als interface sagste Extern ( WAN)

dann machste ein paketfilter: Internes netzwerk --> any --> fritzbox. Das sollte gehen.

Guten Morgen!

Sorry, aber das geht doch nicht. Wie soll denn dann eine Internet-Verbindung aufgebaut werden, wenn ich dem Astaro-WAN-Interface eine interne IP verpasse? Das WAN-Interface MUß auf PPPoE stehen, anders geht das nicht. Es ist auch egal, ob es zwei verschiedene Netze sind oder nicht. Wie schon mehrmals erwähnt, ist die FritzBox NUR als MODEM konfiguriert. Ich könnte genausogut irgendein anderes Modem da anklemmen, meine Frage bleibt jedoch dieselbe.

Nichts gegen Euch, aber ich glaube irgendwie, ihr versteht das hier nicht. Das ist woanders auch gängige Praxis, wird sogar in diversen Handbüchern (auch in dem der FritzBox) als alternative Lösung vorgeschlagen, das Modem (in diesem Falle die FritzBox) direkt an den Switch zu hängen und die Clients die Verbindung aufbauen zu lassen (in diesem Falle die Astaro).

Es gibt ja z.b. mit einem Linux-Router auch die Möglichkeit, diesen mit nur einer einzigen NIC auszustatten und das DSL-Modem mit an den internen Switch zu hängen. Dann laufen PPPoE und TCP/IP (der interne Traffic) über das selbe Netz.

Da man auf der Astaro nicht beides auf ein Interface konfigurieren kann, muß ich das halt so mit zwei Kabeln lösen. Einmal an das WAN-Interface der Astaro und einmal an den internen Switch. Zwischen der FritzBox und der Astaro wird dann PPPoE und kein TCP/IP gefahren.

Darum ist die Brücke zur Astaro auch definitiv kein "GAU", aber trotzdem möchte ich mal jemanden von Astaro hören, was er dazu sagt, was denn passieren "könnte". Wie gesagt, ein potentieller Angreifer müßte dazu erstmal die Astaro hacken, damit er überhaupt weiterkommt. Aber dann ist es eh egal, ob da eine Brücke drin ist oder nicht, weil er ja dann eh Zugriff auf alle Interfaces hätte.

Gruß,
  Dino

Dann sei mir net Böse aber ein normales Telekom Modem kann ICH nicht Managen.... also muss das ding doch irgendeine IP haben zum Managen

Aber dann lass dir von Astaro helfen....[:P]

Bin zwar nich von Astaro, aber gebe gerne mal meinen Senf dazu :-)

Eigentlich habe ihr beide recht, aber auch unrecht.

Die Astaro mit einem Kabel zu "überbrücken" funktioniert, da hier zwei verschiedene Ethernet Protokolle zum Einsatz kommen - PPPoE für die Einwahl und TCP für das Webinterface der Fritzbox.
Von aussen her sehe ich da keine Sicherheitsbedenken (ausser dass es kosmetisch unschön ist), aber von innen her hindert es jetzt keinen LAN-PC mehr selbst eine PPPoE Verbindung aufzubauen. So ist die Astaro tatsächlich überbrückt.

Nimm ein drittes Ethernet Interface der Astaro und klemm es ebenfalls an das Modem. Definiere darauf einen eigenständigen IP Range, wechsle die Fritzbox in diesen.
Jetzt kannst Du mit Paketfiltern genau regeln, wer wie auf das Modem zugreiffen kann.
Der LAN und WAN Bereich ist jetzt klar durch die Astaro getrennt.

LAN --- Astaro --- Fritz --- WAN

           └---------┘