ubuntuusers.de

Es ist so ich will Gästen mein Wlan zur Verfügung stellen. Und um die Sicherheit zu erhöhen, und da mein Hauptrouter keine Gastfunktion hat, habe ich eine alte Fritzbox per lan an meinen Hauptrouter angeschlossen.

Das müsste eigentlich ein neues Netzwerk erstellen und die Firewall des Routers müsste helfen, dass falls auf den Gastgeräten Malware sein sollte, diese nicht direkt auf mein Netzwerk zugreifen kann.

Die Werte hab ich mal einfach eingegeben, wie im Bild im Anhang. Es funktioniert so. Aber ich habe recht wenig Ahnung davon, also wenn sich jemand berufen fühlt mir ein bisschen zu erläutern was ich getan habe, dann gerne her mit den Infos.

Soweit ich das verstanden habe muss auf meinem Hauptrouter alles so bleiben wie es ist, dhcp sorgt für eine einfachere Einrichtung. Es dürfen keine IP-Konflikte mit dem bestehenden Router auftreten, also muss man eine andere IP wählen als man mit ifconfig inet (ip) von seinem Hauptrouter abruft. Man muss die zweite Fritzbox über ein Lan Kabel mit dem Hauptrouter verbinden. Crossover oder Patch Kabel ist ja egal, weil die neue Netzwerk Hardware ja mit allen Typen zurecht kommt.

Wenn Gefahr besteht, dass sich Malware im Netzwerk (hier selber Ethernet-Link) ausbreiten kann, liegt das Problem bei den Rechnern, die dafür anfällig sind. Behebe das zuerst.

Zum Rest: Ich rate dazu, einen Router zu besorgen, der die Gastfunktion hat und nur einen zu betreiben. Ist für dich einfacher.

Nun, wenn ich mehr Sicherheit haben kann ohne viel Aufwand, dann mache ich das. Rechner patchen ist ja Grundvoraussetzung. Und das Gastnetz wird nur ein paar Tage gebraucht, dafür würde ich mir kein neues Gerät anschaffen.

Krümelomat schrieb:

Und um die Sicherheit zu erhöhen, und da mein Hauptrouter keine Gastfunktion hat, habe ich eine alte Fritzbox per lan an meinen Hauptrouter angeschlossen.

Das scheint mir ja eine uralte FRITZ!Box zu sein und damit willst du die Sicherheit erhöhen!?

Schlimmer als direkt zum Router kann es nicht sein, also ja, damit will ich die Sicherheit erhöhen. Bemerkenswert ist, dass ich auf die Konfig Seite per Lan zugereifen kann, aber nicht auf inet. Bei Wlan ist es andersrum. Find ich aber geil dass es so gut funktioniert, genau richtig für diesen Einsatzzweck.

Wenn dein Router eventuell zwei WLAN Netzwerke 2.4 und 5GHZ als Standard hat kann man das auch so machen. Ich selbst nutze ein Huawei Router und dahinter per Lan als WLAN Zugang einen TP Link Router der hat übrigens aus die Gäste WLAN Funktion. Ansonsten kann man aber auch einfach eine Prepaid SIM Karte mit ordentlich Datenvolumen in einen extra Router stecken. Viel Erfolg wird schon alles gut funktionieren. Was die Sicherheit angeht muss man dann natürlich immer die neusten Updates einspielen blöd nur wenn es keine mehr gibt. Trotzdem funktioniert mein alter TP Link Router super.

Diese Updates dürften relativ wenig über die Sicherheit des Routers aussagen. Wenn es öfters Updates gibt, kann das alles heißen, nicht unbedingt dass relevante Sicherheitslücken geschlossen werden. Und wenn er ewig keine Updates bekommen hat kann es heißen dass er keine Probleme hat. Man müsste schon selbst die Sicherheit überprüfen. Man kann z.B. auf www.shodan.io seine IP eingeben. Bei mir ist nur der Port für den ISP offen, das sollte passen, der wenn ich ihn explizit mit einem Webservice scanne auch geschlossen. Es soll Router geben da sind die Zugangsdaten hardcoded, aber was will man dann damit anstellen? Anderen DNS Server speichern und zu phishing Seiten umleiten? Oder andre Software aufspielen, und für Botnet verwenden? Normal kommt man aber auf den Router nur übers Lan Kabel. Ich denke wenn man mal nach seinem Modell sucht und nichts relevantes findet dann ist das ok. Ich würde Telekom Router oder Zyxel (O2) bevorzugen. Oder noch besser, einen wo man eine Firmware draufmachen kann: OpenWrt (Gargoyle), DD-WRT, Tomato, Gargoyle.

Wlan Router sollte halt mindestens WPA2 können und das können die uralten auch noch.

Allerdings würde ich mir schon Gedanken manchen was genau am DLS Anschluss hängt. Z.B. einfach nur ein DSL Modem ohne Router oder ein ewig alter Router von unbekanntem Hersteller wäre schlecht. Ich bin ja selbst nur mit oberflächlichem Wissen unterwegs, hier scheint jemand richtig auf Router spezialisiert zu sein: https://www.routersecurity.org/testrouter.php

Etwas interessantes gibt es aber doch, diese ISP Zugänge kann man durch debranding bzw. custom Firmware ausschalten. Aber darf man nur mit einem Router machen der nicht gemietet ist.

Hier gibts z.B. Probleme: https://www.cybersicherheit-bw.de/aktuelles/update-kritische-schwachstellen-linksys-routern

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Wegweiser_Checklisten_Flyer/Wegweiser_kompakt_Router_einrichten.html

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-216748-1032.pdf?__blob=publicationFile&v=4 https nutzen, default

https://winfuture.de/news,147637.html

Klogriff für AVM, gute Hardware per Gerichtsanordnung unsinnigerweise zwangsverschrotten für Profit, sowas geht gar nicht, da zeigt sich wie es dem Hersteller um den Umweltschutz wirklich steht. Identische Hardware und Software = Identische Sicherheit wie die von AVM verkaufte Geräte. Noch zudem wird ein Upcycling Unternehmen geschädigt: https://www.heise.de/news/AVM-verhindert-Verkauf-gebrauchter-Fritzboxen-4688693.html Hier hätte AVM beweisen müssen, dass andere Chips verbaut wurden und die Updatefunktion daher nicht funktioniert. So bleibt es nur eine verunsicherde Schutzbehauptung, die nur bei Elektronikunerfahrenen zieht. Bewiesen ist nur eine andere Gehäusefarbe, und das rechtfertigt überhaupt nichts. Mit einem Gerichtsurteil anzukommen dass den Nutzen der Harware künstlich einschränken soll, so wie es bei den Simlocks war, was mittlerweile 2016 gesetzlich verboten wurde, ist wie soll ich sagen unter aller Würde.

Hallo Krümelomat,

Hast du im Fritz Router DHCP deaktiviert ?

Das ist kein echtes Gast WLAN .... die fremden Rechner nutzen nur die Weiterleitung deines Netzwerken. Ist somit das Gleiche wie wenn due den direkten Zugang zu deinem Hauptrouter gibst.

Gruss Lidux

richtig, aber wenigstens muss ich nicht mein eigenes wlan passwort rausgeben. nein dhcp ist nicht aktiviert, die konfig ist im anhang im ersten post.

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3229_FRITZ-Box-als-kaskadierten-Router-einrichten/

beim hauptrouter ist nur ein anschluss an lan port registriert, aber unter verbindungen wird nur mein rechner gelistet nicht aber die fritzbox.

Der erklärt wie man das Netzwerk um Wlan erweitert, bei dem TP link hätte man dann das Gastwlan wenn man das modem oder router von lan>wan anschließt, dann geht alles sogar automatisch und man kann die Daten auf den Typenschild des Routers verwenden. https://www.youtube.com/watch?v=HMnjwXTg1G0

Ob man im selben Netzwerk ist müsste man eigentlich mit KDE Connect prüfen können, wenn die vorletzte Nummer der IP sich unterscheidet, also bei den beiden routern, dann kann man nicht connecten. Glaub ich zumindest ich hab es nicht explizit getestet. Mit ping ip geht es auch, wenn der pc über ethernet verbunden ist kann ich das handy nicht anpingen, wennich aber über wlan ins gleiche netz komme dann gets.

hab nochmal mit der ollen fritzbox 3170 rumprobiert, man kann zwar das internet teilen, aber immer wieder mal hat dann der rechner am lan port des internet routers keinen internetzugriff. Außerdem kann man kein eigenes Subnetz erstellen, sonst kommt die Meldung:

Fehler im Feld Standard-Gateway: diese Adresse befindet sich in einem anderen Subnetz, als das durch die IP-Adresse und Netzmaske definierte.

damit ist das realtiv unbrauchbar. Man kann sich diese ganzen configurationsgeschichten auch sparen und einfach bridget und dhcp aktivieren.

Es wird vor Schwachstellen im tplink TL-WR841N gewarnt, aber man kann ihn getrost weiterverwenden, denn die Lücke gilt nur wenn jemand im selben Netzwerk ist wie der Router, über das Internet ist er also nicht angreifbar. Ich hab z.B. die Hardwareversion 8 die keinen Patch bekommen hat.

https://www.heise.de/news/Remote-Code-Exploit-in-TP-Link-Routern-7224392.html

https://jvn.jp/en/vu/JVNVU99392903/ (adjacent network:) es geht nicht weiter ins detail, ich denke man muss auch noch auf dem web interface des routers eingeloggt sein.

man kann auch einen wlan hotspot über wlan stick einrichten, mit ubuntu, einfach im menü anklicken. Die IP ist völlig verschieden von der des Routers im System, trotzdem hat KDE Connect und ping eine Verbindung zum damit verbunden Handy.

Mit OpenWRT kann man so ein Gastnetzwerk einrichten: https://www.codingblatt.de/openwrt-gast-wlan-einrichten/