- Bearbeitet
Nach der Migration von UPC zu Sunrise, bin ich hier im Forum gelandet. Grund dafür waren Probleme mit der Internetverbindung. Ich nehme an, dass dies für die meisten Besucher des Forums zutreffend ist. Eine der häufigsten Fragen betrifft die Verwendung der Connect Box zur Verbindung mit dem Internet. In der Wissensbasis finden sich einige Beiträge zu diesem Thema, nur erklärt keiner dieser Beiträge was denn da genau passiert in der Connect Box. Dieser Beitrag soll nun dazu dienen dies zu erläutern.
Ich selbst habe eine Connect Box 3 HFC die mit ipV4 läuft. Alle Angaben beziehen sich auf diese Box. Manche Dinge mögen für andere Boxen nicht zutreffen, das meiste sollte identisch sein.
Als Erstes die Grundlagen. In einem Netzwerk kommen verschiedene Geräte zum Einsatz.
Die wichtigsten Geräte sind:
- Modem (übersetzt die Signale aus dem Internet damit sie das lokale Netzwerk versteht und macht das Gleiche in die andere Richtung)
- Router (verbindet 2 oder mehrere Netzwerke miteinander zBsp. Internet + lokales Netzwerk)
- Firewall (schützt das eigene Netzwerk vor Zugriffen aus einem anderen Netzwerk)
- Switch (stellt die Kommunikation der Geräte in einem Netzwerk sicher, es gibt managed und unmanaged Switche)
- Wireless Access Point (identisch zu einem Switch nur halt nicht über Kabel)
Die Connect Box ist eine Verbindung aus all den genannten Geräten und wird deshalb als Multifunktionsgerät bezeichnet.
Zu den Betriebsarten:
Die meistgenutzte Betriebsart dürfte der Router Modus sein. Die Connect Box wird in dieser Konfiguration ausgeliefert und ist prinzipiell ohne weitere Einstellungen betriebsbereit. Die Connect Box hat einen WLAN Access Point verbaut und einen unmanaged Switch mit 4 Ports. Bei einem unmanaged Switch sind alle Ports identisch bis auf die Geschwindigkeit von 2.5Gbit/s auf Port 4. Mit identisch ist gemeint, dass die Geräte, egal an welchem Port sie angeschlossen sind, immer gleichbehandelt werden. In diesem Modus können das lokale Subnet, reservierte IP-Adressen und Portweiterleitungen in der Connect Box eingestellt werden. Diese Betriebsart kann als relativsicher eingeschätzt werden. Ein Ding sollte meiner Meinung nach nicht gemacht werden, dass wäre die Portweiterleitung (genaue Erklärung weshalb ist unten zu lesen).
Kommen wir nun zum Bridge Mode (Achtung – Experteneinstellung!). In dieser Betriebsart wird die Connect Box 3 nur noch als Modem eingesetzt. Funktionen wie DHCP, Portweiterleitung, WLAN und reservierte IP werden auf der Connect Box deaktiviert, weil ein Modem, das nicht kann. Diese Aufgaben werden nun von eigenen Geräten übernommen. Diese Betriebsart erlaubt das eigene Netzwerk selbst aufzubauen. Es können nun VLANs eingerichtet werden, mehrere WLANs nebeneinander betrieben werden, VPN-Verbindungen eingerichtet werden, und und und… Alles, was auf der Connect Box möglich war, gibt es hier auch und dazu noch deutlich mehr. Diese Betriebsart wird von Leuten verwendet, die ihr eigenes Netzwerk nach ihren Wünschen aufbauen wollen. Die Sicherheit kann in dieser Betriebsart deutlich erhöht werden. Die eigene Firewall kann wesentlich potenter sein und weitere Sicherheitsmassnahmen können implementiert werden.
DMZ ist eine Erweiterung des Router Modus. Sämtliche Funktionen, die die Connect Box bereitstellt, können weiter genutzt werden.
Was passiert, wenn ich DMZ verwende?
Unter Sicherheit wird eine IP-Adresse für die DMZ vergeben. Wer nun glaubt die DMZ befinde sich hinter dieser einen IP-Adresse, der irrt. Die eingetragene IP-Adresse bildet die Ausnahme von der DMZ. Die DMZ bildet sich auf der Connect Box. Die eingetragene IP-Adresse kann nun ungefiltert aus dem Internet erreicht werden und wäre ungeschützt. Damit diese Einstellung erfolgreich funktioniert, muss diese IP-Adresse auf einen Router/Firewall verweisen. Ein ungeschütztes Gerät an diesem Anschluss erlaubt jedem den Zugriff auf das gesamte lokale Netzwerk. Hier gilt, alle Geräte des lokalen Netzwerks gehören hinter die eigene Firewall!
DMZ ist ein schlechter Ersatz für den Bridge Mode, stimmt das?
Nein, diese Behauptung ist nicht richtig. DMZ ist eigentlich eine Sicherheitsmassnahme. Es gibt gewisse Dienste, die sowohl aus dem lokalen Netzwerk als auch aus dem Internet erreichbar sein sollen. Hier kann genau die DMZ helfen. Geräte wie Web-Server, FTP-Server, E-Mail-Server oder gar der eigene Game-Server würden jetzt direkt mit der Connect Box verbunden. Alle Server befinden sich nun in einer vorgelagerten Zone die aus dem lokalen Netzwerk als auch aus dem Internet erreichbar ist. Diese Geräte sind nicht in der Lage, selbst eine Verbindung zum lokalen Netzwerk aufzubauen. Da die Dienste auf der Connect Box alle noch verfügbar sind, können die notwendigen Ports für den Internet-Zugriff an die entsprechenden Geräte weitergeleitet werden. Aus dem lokalen Netzwerk sind die Geräte über die IP-Adresse erreichbar. Wer hier lieber URLs verwenden will benötigt einen lokalen DNS-Server.
DMZ ist ein ungeschützter Bereich des Netzwerks?
Nein, auch das ist nicht richtig. Die DMZ ist ein zugänglicher Teil des Netzwerks, das selbst keinen Zugang zum Netzwerk hat. Lediglich eine Verbindung zum Internet ist möglich und zum Teil auch gewünscht. Deshalb ist die DMZ auf der Connect Box auch so anders.
Ich betreibe meine Connect Box 3 HFC mittlerweile mit DMZ. Diese Betriebsart bietet für mich einige Vorteile gegenüber dem Bridge Mode. Die meisten Dienste auf der Connect Box sind bei mir händisch deaktiviert worden, DHCP und Wireless werden nicht verwendet. Ich kann den DDNS-Dienst, der auf der Connect Box vorhanden ist, verwenden weil mein Anbieter enthalten ist. Geräte, die mit der Connect Box direkt verbunden werden, verfügen über fixe IP-Adressen. Da ich noch immer Geräte an der Connect Box betreiben kann, kann ich auch meine eigene Firewall von aussen testen, ohne das Haus zu verlassen. Man kann Tests machen mit oder ohne Firewall und dies ohne die Sicherheit des lokalen Netzwerks zu gefährden.
Ich bin Netzwerk-Laie, natürlich werden die richtigen Profis anführen, dass sie ihre Server auf einem isolierten VLAN hinter ihrer Firewall mit eingerichteten Sicherheitsrichtlinien unter Einsatz des Bridge Mode betreiben. Sowas mache ich im betrieblichen Umfeld auch, Sunrise wird im privaten Haushalt verwendet.
Wie schon zu Beginn gesagt, es geht hier nur darum gewisse Dinge zu erklären.
Gibt es Dinge zu ergänzen, fell free…