Kombination von FritzBox und Airport Extreme zur Einrichtung einer DMZ

[macmoby]

Hi,

ich habe eine Fritzbox 7330 als DSL-Router und DECT Basis, die ich weiterhin für Gast-WLAN und DECT benutzen möchte.

Dahinter möchte ich einen WLAN/LAN-Router mit einem anderen Subnet (als Zugriffsschutz) hängen und habe an die
Airport Extreme gedacht.

Beispiel: FB hat 192.168.1.1 und vergibt WLAN-Gast-Adressen über 192.168.1.x.
AE hängt als 192.168.1.2 dahinter. Ich gehe davon aus, dass die AE als DHCP-Server konfiguriert werden und Adressen
in einem anderen Raum, sagen wir 192.168.178.x, für ihr WLAN und LAN vergeben kann.

Ist das aus Eurer Sicht technisch in Ordnung und machbar? Gibt es eine bessere Variante?

Vielen Dank für Eure Hilfe!

macmoby

 

[roedert]

Ein einfaches Routing kann die AE imho nicht - es ist immer verbunden mit NAT (Network Adress Translation) wie es bei privaten Internetanschlüssen eigentlich immer verwendet wird.
NAT zwischen deiner "DMZ" und deinem LAN ist abe reicht nötig, bzw. durch das doppelte NAT (Fritzbox und AE) eher störend und wird von der AE auch als Warnung angezeigt.

Ich würde für deinen Zweck eher die freie Router-Software DD-WRT auf einem unterstützen Router einsetzen (zB Linksys WRT54G)- oder gleich ein dafür passendes aber wahrscheinlich auch teureres Gerät kaufen, eben keinen Internetrouter. Ausserdem wäre es sinnvoll auf diesem Router eine frei konfigurierbare Firewall zu haben wenn du schon auf Sicherheit setzen willst. Auch das bietet DD-WRT.

Voraussetzung für das richtige Funktionieren und vor allem für die von dir gewünschte "erhöhte Sicherheit" ist natürlich das richtige Konfigurieren der beteiligten Geräte mit dem richtigen Hintergrundwissen.

 

[macmoby]

Vielen Dank, roedert,

ich hatte es (ohne Hintergrundwissen) so verstanden, dass die NAT genau der Trick ist, die beiden Netze (FB und AE) zu trennen
und trotzdem den gemeinsamen (ohnehin vergleichsweise langsamen) 16Mbit/s-DSL-Anschluss für beide zu nutzen. Daher sollte
die doppelte NAT geschwindigkeitsmäßig eigentlich kein Problem darstellen, oder?
Im inneren WLAN/LAN-Netz könnte ich dann den schnellen 802.11ac der AE für die WLAN-Geräte nutzen.

Ist das, was ich mir gedacht hatte, technisch möglich (Du sprachst von einer Warnung der AE)?

 

[roedert]

Doppeltes NAT ist technisch prinzipiell möglich, kann aber u.U. zu Problemen führen ... deshalb wird es ja in der AE auch als Warnung angezeigt.
Goggel einfach mal nach dem Thema "doppeltes NAT" ... und du wirst genügend Lesestoff finden

NAT ist nur nötig um ein Netzwerkbereich (zB. IP-Bereich 192.168.1.x/24) über eine einzige öffentliche IP-Adresse Zugang zum Internet zu ermöglichen. Und genau das macht die Fritzbox (oder jeder andere Internetrouter am DSL-Anschluss).