Professioneller Amateur. Unix/Linux versteher. Internetjunkie.
dsbg Auf deinem Kundenkonto hat es 2 Modems. Einmal die Connect Box 3HFC und einmal die Connect Box 3 Fibre. Die Connect App weiss nun nicht, welches Modem das Korrekte ist.
Bitte kontaktiere unseren Support unter 0800 707 707 damit sie eines der nicht mehr benötigten Modems ausbucht aus dem System.
Liebe Grüsse
Daniele
hallo dsbg
Die Firewall macht auch bei DMZ genau das, was sie im Router Modus macht.
DMZ auf der Connect Box 3 und manch anderen Routern bezeichnet mit DMZ einen einzelnen Host. Streng genommen ist das keine DMZ. Bei der Connect Box 3 werden an diesen Host alle UPD- und TCP-Ports weitergeleitet sofern sie nicht separat einem anderen Host zugewiesen werden. Oftmals wird DMZ als einfach einzurichtende Weiterleitung zur eigenen Firewall/Router benutzt.
Eine wahre DMZ wäre vom Ursprungsnetzwerk getrennt. Dies ist bei der Connect Box 3 nicht der Fall.
dsbg Aber mein Server hinter der Router Firewall, ob nun ein- oder ausgeschaltet, kann bestimmte Funktionen nicht erfüllen.
Was für Funktionen sind dass denn?
IP-Datenpakete mit der Protokollnummer 41 gehören zum “IPv6 durch IPv4-Netzwerke”-Tunneldienst 6in4.
https://de.wikipedia.org/wiki/Protokoll_(IP)
https://de.wikipedia.org/wiki/6in4
https://www.lancom-systems.com/docs/LCOS/Refmanual/DE/topics/lcos_ipv6_tunnel.html
6in4 ist ein unsicherer Tunneldienst, welcher aus Sicherheitsgründen nicht für den Produktiveinsatz verwendet werden soll. Dieser Glasfaser-Internetanschluss (FTTH) sollte ordentliches “Dual Stack” unterstützen.
https://www.elektronik-kompendium.de/sites/net/1904041.htm
Bei “echtem” Dual Stack ist ein IPv6-Tunneldienst schlicht überflüssig (und schlecht für die Performance von IPv6)!
Weiter wird die von 6in4 auf 1480 Bytes reduzierte Path-MTU sicher mehr oder weniger Probleme bereiten.
Nach der Migration von UPC zu Sunrise, bin ich hier im Forum gelandet. Grund dafür waren Probleme mit der Internetverbindung. Ich nehme an, dass dies für die meisten Besucher des Forums zutreffend ist. Eine der häufigsten Fragen betrifft die Verwendung der Connect Box zur Verbindung mit dem Internet. In der Wissensbasis finden sich einige Beiträge zu diesem Thema, nur erklärt keiner dieser Beiträge was denn da genau passiert in der Connect Box. Dieser Beitrag soll nun dazu dienen dies zu erläutern.
Ich selbst habe eine Connect Box 3 HFC die mit ipV4 läuft. Alle Angaben beziehen sich auf diese Box. Manche Dinge mögen für andere Boxen nicht zutreffen, das meiste sollte identisch sein.
Als Erstes die Grundlagen. In einem Netzwerk kommen verschiedene Geräte zum Einsatz.
Die wichtigsten Geräte sind:
Die Connect Box ist eine Verbindung aus all den genannten Geräten und wird deshalb als Multifunktionsgerät bezeichnet.
Zu den Betriebsarten:
Die meistgenutzte Betriebsart dürfte der Router Modus sein. Die Connect Box wird in dieser Konfiguration ausgeliefert und ist prinzipiell ohne weitere Einstellungen betriebsbereit. Die Connect Box hat einen WLAN Access Point verbaut und einen unmanaged Switch mit 4 Ports. Bei einem unmanaged Switch sind alle Ports identisch bis auf die Geschwindigkeit von 2.5Gbit/s auf Port 4. Mit identisch ist gemeint, dass die Geräte, egal an welchem Port sie angeschlossen sind, immer gleichbehandelt werden. In diesem Modus können das lokale Subnet, reservierte IP-Adressen und Portweiterleitungen in der Connect Box eingestellt werden. Diese Betriebsart kann als relativsicher eingeschätzt werden. Ein Ding sollte meiner Meinung nach nicht gemacht werden, dass wäre die Portweiterleitung (genaue Erklärung weshalb ist unten zu lesen).
Kommen wir nun zum Bridge Mode (Achtung – Experteneinstellung!). In dieser Betriebsart wird die Connect Box 3 nur noch als Modem eingesetzt. Funktionen wie DHCP, Portweiterleitung, WLAN und reservierte IP werden auf der Connect Box deaktiviert, weil ein Modem, das nicht kann. Diese Aufgaben werden nun von eigenen Geräten übernommen. Diese Betriebsart erlaubt das eigene Netzwerk selbst aufzubauen. Es können nun VLANs eingerichtet werden, mehrere WLANs nebeneinander betrieben werden, VPN-Verbindungen eingerichtet werden, und und und… Alles, was auf der Connect Box möglich war, gibt es hier auch und dazu noch deutlich mehr. Diese Betriebsart wird von Leuten verwendet, die ihr eigenes Netzwerk nach ihren Wünschen aufbauen wollen. Die Sicherheit kann in dieser Betriebsart deutlich erhöht werden. Die eigene Firewall kann wesentlich potenter sein und weitere Sicherheitsmassnahmen können implementiert werden.
DMZ ist eine Erweiterung des Router Modus. Sämtliche Funktionen, die die Connect Box bereitstellt, können weiter genutzt werden.
Was passiert, wenn ich DMZ verwende?
Unter Sicherheit wird eine IP-Adresse für die DMZ vergeben. Wer nun glaubt die DMZ befinde sich hinter dieser einen IP-Adresse, der irrt. Die eingetragene IP-Adresse bildet die Ausnahme von der DMZ. Die DMZ bildet sich auf der Connect Box. Die eingetragene IP-Adresse kann nun ungefiltert aus dem Internet erreicht werden und wäre ungeschützt. Damit diese Einstellung erfolgreich funktioniert, muss diese IP-Adresse auf einen Router/Firewall verweisen. Ein ungeschütztes Gerät an diesem Anschluss erlaubt jedem den Zugriff auf das gesamte lokale Netzwerk. Hier gilt, alle Geräte des lokalen Netzwerks gehören hinter die eigene Firewall!
DMZ ist ein schlechter Ersatz für den Bridge Mode, stimmt das?
Nein, diese Behauptung ist nicht richtig. DMZ ist eigentlich eine Sicherheitsmassnahme. Es gibt gewisse Dienste, die sowohl aus dem lokalen Netzwerk als auch aus dem Internet erreichbar sein sollen. Hier kann genau die DMZ helfen. Geräte wie Web-Server, FTP-Server, E-Mail-Server oder gar der eigene Game-Server würden jetzt direkt mit der Connect Box verbunden. Alle Server befinden sich nun in einer vorgelagerten Zone die aus dem lokalen Netzwerk als auch aus dem Internet erreichbar ist. Diese Geräte sind nicht in der Lage, selbst eine Verbindung zum lokalen Netzwerk aufzubauen. Da die Dienste auf der Connect Box alle noch verfügbar sind, können die notwendigen Ports für den Internet-Zugriff an die entsprechenden Geräte weitergeleitet werden. Aus dem lokalen Netzwerk sind die Geräte über die IP-Adresse erreichbar. Wer hier lieber URLs verwenden will benötigt einen lokalen DNS-Server.
DMZ ist ein ungeschützter Bereich des Netzwerks?
Nein, auch das ist nicht richtig. Die DMZ ist ein zugänglicher Teil des Netzwerks, das selbst keinen Zugang zum Netzwerk hat. Lediglich eine Verbindung zum Internet ist möglich und zum Teil auch gewünscht. Deshalb ist die DMZ auf der Connect Box auch so anders.
Ich betreibe meine Connect Box 3 HFC mittlerweile mit DMZ. Diese Betriebsart bietet für mich einige Vorteile gegenüber dem Bridge Mode. Die meisten Dienste auf der Connect Box sind bei mir händisch deaktiviert worden, DHCP und Wireless werden nicht verwendet. Ich kann den DDNS-Dienst, der auf der Connect Box vorhanden ist, verwenden weil mein Anbieter enthalten ist. Geräte, die mit der Connect Box direkt verbunden werden, verfügen über fixe IP-Adressen. Da ich noch immer Geräte an der Connect Box betreiben kann, kann ich auch meine eigene Firewall von aussen testen, ohne das Haus zu verlassen. Man kann Tests machen mit oder ohne Firewall und dies ohne die Sicherheit des lokalen Netzwerks zu gefährden.
Ich bin Netzwerk-Laie, natürlich werden die richtigen Profis anführen, dass sie ihre Server auf einem isolierten VLAN hinter ihrer Firewall mit eingerichteten Sicherheitsrichtlinien unter Einsatz des Bridge Mode betreiben. Sowas mache ich im betrieblichen Umfeld auch, Sunrise wird im privaten Haushalt verwendet.
Wie schon zu Beginn gesagt, es geht hier nur darum gewisse Dinge zu erklären.
Gibt es Dinge zu ergänzen, fell free…
