AirportExteme im Bridgemodus im Internet ...Problem Firewall

N

NordlichtSH

Mitglied
Thread Starter
Dabei seit
16.09.2012
Beiträge
23
Reaktionspunkte
0
Hallo,

ich aber einen Breitbandsanschluss via Glasfaser und der Netzbetreiber hat ein Übergabestation (CPE) installiert. Diese Station übergibt Telefon, Fernsehen, Internet. So ein http://www.bktel.com/bktel/gb/Fttx/XON1500SVSAT.htmTeil ist das:

Einen Rechner könnte ich direkt an die CPE anschliesen und DHCP ist Pflichteinstellung.

An die CPE habe ich eine AirportExtreme angeschlossen. An der Extreme hängen über einen Switch das MacBookPro, AppleTV, etc.

Die AiportExtreme kann ich nur im Bridgemodus betrieben. Ansonsten habe ich keine Verbindung der Extreme ins Internet. Die CPE hat keine Firewall. Am MacBookPro und MacBookAir habe ich selbstverständlich die Firewall aktiviert. Den DHCP + NAP Modus der Extreme kann ich nicht nutzen. Jedes Gerät hat somit eine eigenen öffentliche IP-Adresse per DHCP.

Seit 2 Tagen habe eine Sysnology DS214+ und diese hängt ebenfalls am Switch. Mache mir jetzt Gedanken, ob die DS214+ zu offen am Netz hängt. Ich habe jetzt erstmal die Firewall der NAS aktiviert und nur interne IP-Adressen zugelassen. Die QuickConnect-Option habe ich noch aktiviert.

Muss ich ernsthaft in Erwägung ziehen, einen Router zwischen der CPE und der Extreme zu schalten?

Viele Grüß

Nordlicht
 
Wenn die Extreme nicht im Router Modus an dem CPE läuft, läuft auch eine anderer Router nicht.

Hattest du den Internetzugang auf DHCP in der Extreme gestellt.
 
AgentMax schrieb:
Wenn die Extreme nicht im Router Modus an dem CPE läuft, läuft auch eine anderer Router nicht.

Hattest du den Internetzugang auf DHCP in der Extreme gestellt.
Zum Vergrößern anklicken....

Ja, habe den Internetzugang auf DHCP gestellt. Das komische ist, dass der Netzbetreiber wegen der Firewall empfiehlt, einen Router anzuschliessen. Zitat aus der Anleitung.

DHCP Einstellungen

DHCP steht für Dynamic Host Configuration Protocol und meint die Zuweisung der Netzwerk- konfigurationsparameter wie IP-Adressen, die automatisch durch den Router vergeben werden. Wenn diese automatische Zuordnung gestört ist, kann Ihr Betriebssystem (z. B. Windows) in der Regel keinen Kontakt mit dem Router herstellen und keine Internetverbindung aufbauen. Sollten Sie auf Ihrem PC, Notebook oder Router kein DHCP verwenden, wird Ihre Internetver- bindung nicht hergestellt.

Die Endgeräte, die an den Port 1 (Internet) der CPE angeschlossen werden, müssen auf DHCP (Automatische Konfiguration) eingestellt sein. Es werden keine Zugangsdaten benötigt, da diese bereits auf der CPE hinterlegt sind.
 
Dann sollte die Extreme aber funktionieren.
 
AgentMax schrieb:
Dann sollte die Extreme aber funktionieren.
Zum Vergrößern anklicken....

Habe die Extreme im Reiter "Internet" auf DHCP stehen und im Reiter "Netzwerk" auf Bridge ... alles läuft

Reiter "Netzwerk" auf DHCP + NAP gestellt und dann geht's nicht mehr ins Internet.
 
Jo, normal DHCP und NAT. Nachdem du die Extreme so eingestellt hast den anderen Krempel mal vom Strom nehmen und wieder neu starten.
Und auch den richtigen Port an der Extrem verwenden. Den WAN Port.
 
AgentMax schrieb:
Jo, normal DHCP und NAT. Nachdem du die Extreme so eingestellt hast den anderen Krempel mal vom Strom nehmen und wieder neu starten.
Und auch den richtigen Port an der Extrem verwenden. Den WAN Port.
Zum Vergrößern anklicken....

Habe ich gemacht. Das andere Teil vom Strom genommen und neu gestartet. Extreme auch neu gestartet. Ergebnis: kein Internet

Den WAN-Port habe ich genommen, um CPE und Extreme zu verbinden - den WAN-Port gibt es ja nur einmal :)

Anscheinend funktioniert diese CPE als Router. Kann an dem aber nicht einstellen.
 
Das CPE kann nicht als Router fungieren wenn alle Geräte dahinter eine öffentliche IP bekommen.
Was bekommst die Extreme denn für eine IP vom dem CPE Teil zugewiesen?
 
AgentMax schrieb:
Das CPE kann nicht als Router fungieren wenn alle Geräte dahinter eine öffentliche IP bekommen.
Was bekommst die Extreme denn für eine IP vom dem CPE Teil zugewiesen?
Zum Vergrößern anklicken....

Laut Extreme hat der Router eine Adresse xx.xxx.169.1.

Die Extreme bekommt xx.xxx.168.8 zugewiesen.

Auszug von der HP des Anbieters:

Wir empfehlen die Verwendung eines breitbandtauglichen Routers (kein DSL oder VDSL), weil hier
1. Schutz vor Netzwerkattacken gegeben ist,
2. ein breitbandtauglicher Router für eine saubere Übertragung und Kommunikation zwischen Computer und Breitbandnetz sorgt und
3. Sie bei Nutzung eines Routers mehrere PC´s entweder direkt oder per Switch an das Breitbandnetz anschliessen können.

Die Verwendung eines Switches ist auch möglich, dieser dient allerdings nur als Weiche und bietet somit keinen Schutz. Ausserdem hat ein Switch in der Regel keine eigene, interne IP-Adressenvergabe - dies hat zur Folge, das Sie Ihre IP Adresse von uns zugewiesen bekommen. Die Anzahl der Adressen pro Kunde sind allerdings beschränkt, weshalb bei einem Einsatz von mehreren Computern ein Router notwendig wird. Den Switch kann man selbstverständlich hinter dem Router weiterhin benutzen.

Hier ist eine Liste der Router, die getestet worden sind: http://www.vereinigte-stadtwerke.de/media/FAQ/tfaq/tfaq_internet/6.php
 
Also sollte jeder 0815 Router funktionieren. Und in dem CPE Ding da kannst nix einstellen oder so?
Aber selbst wenn das CPE eine Routerfunktion hätte, würdest du dann eben über eine Doppel NAT nach außen kommen.
Das Internet sollte auf jeden Fall funktionieren.
 
>Diese Station übergibt Telefon, Fernsehen, Internet. So ein

Siehe das Gerät doch mal ganz unkompliziert und ganz einfach als "Modem" an.. (Ist es zwar in diesem Sinn nicht, aber das ist Egal)
Für dich und deine Geräte kommt hinten dran "Ethernet" heraus.
Das ist das einzige was wirklich Interessant ist.

>Einen Rechner könnte ich direkt an die CPE anschliesen und DHCP ist Pflichteinstellung.

Deine Airport Extreme auch. Und zwar mit ihrem WAN-Port.
Unterscheide "DHCP" unter dem Reiter "Internet" und unter den Einstellungen "Drahtlos" in der Apple Basis.

Du kannst die Airport Extreme als Router konfigurieren. Dafür ist einzig und alleine die Einstellung unter "Internet" interessant.
Du stellst sie unter "Internet" auf DHCP. Fertig.
Und natürlich "über Ethernet"..

Du musst diese Konfiguration in der Apple Basis sichern und dann dein CPE -und- die Airport Extreme vom Strom trennen, warten
und beide neu mit dem Strom verbinden! Sonst wird das nichts.

Du wirst sehen das deine Apple Basis später eine Verbindung zu dem CPE hat.


Danach kannst du deren WLAN und alles weitere Konfigurieren.
Dazu kannst du dich mit der Basis auch über einen freien LAN-Port oder ihr voreingestelltes Applexxxx WLAN verbinden.

(Zu finden in der Menüleiste unter dem WLAN-Symbol unter "neue Basistation..")


>An der Extreme hängen über einen Switch das MacBookPro, AppleTV, etc.

Das ist in Ordnung so.

>Die AiportExtreme kann ich nur im Bridgemodus betrieben.

Dann hast du keine Router-Funktion, es geht zwar, aber nicht so wie du es brauchst.

> Jedes Gerät hat somit eine eigenen öffentliche IP-Adresse per DHCP.

Das dürfte ein Irrtum sein, es wird nur jeweils das Gerät eine Internet-Verbindung haben das die Verbindung zu erst geöffnet hat.
Alle anderen nicht, denn du hast keinen Router. Nur ein Router erlaubt es mehrere Teilnehmer gleichzeitig mit dem Internet zu verbinden.
Unabhängig davon welches dieser Geräte die Verbindung geöffnet hat.

Zumindest steht hinter deinem Link kein Wort von "Router", sondern "Managed Switch". Das ist ein kleiner Unterschied.


Nur der Router schickt von JEDEM Teilnehmer dessen DNS-Anfragen in das Netz und verteilt die Antworten aus dem Netz zu dem Teilnehmer der danach gefragt hat.

>Mache mir jetzt Gedanken, ob die DS214+ zu offen am Netz hängt.

Synology NAS besitzen eine eigene interne konfigurierbare Firewall. Alle.
Eine Verschwendung die nicht zu nutzen. Auch wenn schon eine Firewall / NAT davor ist.

>einen Router zwischen der CPE und der Extreme zu schalten?

Nein. Die Airport Extreme ist bereits ein Router und das für ihre LAN-Ports und das WLAN das sie erzeugt.


Bis hierhin würde das dein "Internet" schaffen.
Wie das mit diesem Teil mit Fernsehen und Telefon läuft kann ich nicht sagen.






www.doitarchive.de/airport.html
 
Da schließe ich mich Stargate an, das funktioniert auf jeden Fall, wenn es so wie von Stargate beschrieben eingerichtet ist auf der Apple-Airportexreme, regulärer Routermodus mit Adresse mit DHCP beziehen.

Zum NAS allerdings: Es sollte nie dazu kommen, dass Anfragen aus dem Internet bis zur Firewall des Geräts vordringen, ein NAS soll für eingehende Verbindungen generell nicht aus dem Internet erreichbar sein. Das führt nämlich genau zu Szenarien wie dieser Virus, der kürzlich viele Synology-Geräte befallen hat und Daten löscht. Da irgendwas falsch zu konfigurieren oder zu vergessen, ein Firmwareudate einzuspielen, das Sicherheitslücken behebt, das führt ganz schnell dazu, dass deine Daten im Internet sichtbar sind. Ein nicht notwendiges und glücklicherweise einfach zu vermeidendes Risiko:

Betreibe das NAS mit Router zw. deinem Netzwerk und dem Internet (also mit der Airportextreme)... dann kannst du die Firewall am NAS auch ausschalten, im internen Netz brauchen deine einzelnen Geräte nur dann eine Firewall, wenn du darauf installierten Programmen/Diensten den Internetzugang nach draußen sperren willst (klassische Anwendung: Verbieten, dass Software "heimtelefonieren" kann). Das abzuschalten ist keine Verschwendung, schließlich erfüllt die Firewall am NAS keinen Zweck. Da müsste ein Angreifer schon vor Ort mit Kabel ans Netzwerk angeschlossen sein, und dann kann er auch gleich ein Zimmer weiter zum OP gehen und ihm mit vorgehaltenen Messer nach dem Synology-Passwort fragen.
 
Vielen Dank für die Hinweise bis hierher. War schon am überlegen, ob ich die Extreme einfach auf den Auslieferungszustand resete. Muss man lesen, wie das geht. Und dann komplett von neu anfange.

Werde aber voher die Einstellungen so nochmal testen und beide 10 Minuten vom Strom abziehen.

Da der Netzbetreiber schreibt: Die Anzahl der Adressen pro Kunde sind allerdings beschränkt, weshalb bei einem Einsatz von mehreren Computern ein Router notwendig wird. Ausserdem hat ein Switch in der Regel keine eigene, interne IP-Adressenvergabe - dies hat zur Folge, das Sie Ihre IP Adresse von uns zugewiesen bekommen.

Das bedeutet ja ganz klar, dass die Endgeräte vom Router die IP bekommen können. Muss mal sehen, wann die Family aus dem Netz geht und später alles zurücksetzten bzw. neu aufsetzen.
 
Ich danke Euch. Man was war das für eine schwere Geburt. Es klappte wieder nicht. Dann habe ich gesehen, dass sich nach dem Neustart der beiden Geräte die IP des Routers im Fled DNS stand. Das geändert auf die richtige IP und dann ging es. Nochmals vielen Dank. DHCÜ + NAT läuft jetzt.

Werde morgen für die DS214+ und einige andere Geräte ne feste IP eintragen und die in der Extreme als reserviert speichern.
 
>die Extreme einfach auf den Auslieferungszustand resete.

Das ist so oder so die beste Voraussetzung.

>und beide 10 Minuten vom Strom abziehen.

Eine bis zwei Minuten ist vollkommen ausreichend.

>Da der Netzbetreiber schreibt: Die Anzahl der Adressen pro Kunde sind allerdings beschränkt, weshalb bei einem Einsatz von mehreren Computern

Das ist ja auch richtig.
Nach deinem Router - in Form der Airport Extreme - kannst du 50 Teilnehmer anschließen - und den Internet-Anbieter geht es nichts an.

>interne IP-Adressenvergabe - dies hat zur Folge, das Sie Ihre IP Adresse von uns zugewiesen bekommen.

Genau

>Das bedeutet ja ganz klar, dass die Endgeräte vom Router die IP bekommen können.

Bekommen müssen, entweder per DHCP oder in Form eine statischen IP die NICHT aus dem DHCP Bereich des Routers stammt.

>Muss mal sehen, wann die Family aus dem Netz geht und später alles zurücksetzten

Das hat mich noch nie gestört. Wer bezahlt darf konfigurieren wann er will :->
 
>Werde morgen für die DS214+ und einige andere Geräte ne feste IP eintragen und die in der Extreme als reserviert speichern.

Das ist auch ratsam, spart das suchen nach der Diskstation..
Mit einem Drucker, Fernseher, Videorecorder ect. würde ich es genau so machen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten