[linux-l] FritzBox in die DMZ?

[Bodo Eichstädt]

Lothar Gregor schrieb:
> ....
> Was hat das für Nachteile? Gibt es überhaupt etwas, was potentielle 
> Angreifer auf der FritzBox
> angreifen können?

Die SIP-Login-Daten. Aber an die kommt man leichter, wenn man Deine 
Leitung belaucht (Klartext-Passwörter!).


Aber davon abgesehen musst Du dann auch den Router selbst mit 
Traffic-Prioritisierung konfigurieren! Sonst hättest Du Dir den Spass 
mit der Fritz!Box sparen können. Der Vorteil liegt ja gerade darin, dass 
sie für eine abgestimmt Config zwischen SIP-Firewall-Routing sorgt. Ergo 
würde ich die Box _vor_ den Router/Gateway hängen.

Bei mir sieht die Verkabelung so aus:

Netzwerk: Splitter -> Fritz!Box 5012 -> Linksys WLAN-Router inkl DHCP -> 
LAN/WLAN-Clients

ISDN: Splitter/NTBA -> Fritz!Box -> TK-Analage -> ISDN-Nebenstellen
  und   Splitter/NTBA -> TK-Anlage -> Analoge Nebenstellen (Fax, DECT)

Meine TK-Anlage (DETEWE varix Business) hat 2 ext. S0-Ports, einen int. 
S0-Port und eine handvoll int. Analogports.

Dieser Workaround war nötig, weil sonst die Zahl der MSN nicht zu 
managen gewesen wäre. (Die Fritz!Box bekommt aus dem ISDN-Netz 10 
Nummern, aus dem SIP-Netz 5 Nummern, kann aber intern nur 10 
weitergeben. Ausserdem fehlen die analogen Ports.)

Dieser Netzwerk-Aufbau ist so gewachsen. Zuerst war der Linksys + ext. 
DSL-Modem. Dann kam die Fritz!Box, die einfach das Modem ersetzt hat. 
Dem Linksys habe ich gesagt: "nutz auf dem WAN-Interface nicht PPPOE 
sondern als normale Netzwerk-Schnittstelle mit IP/DHCP".

Vorteile:
- Ich habe eine echte DMZ (zwischen Fritz und Linksys)
- Der Aufwand war sehr, sehr gering!

Nachteile:
- Jeder Traffic der Workstations muss durch zwei Router.
- Skaliert nicht besonders gut (weder Telefon noch Netzwerk)
- damit m.W. kein Anschluss an QSC o.ä. mit mehr als einer ext. 
öffentlichen IP möglich.

In welchem Umfeld (privat, kleines Home-Office, großes Office) willst Du 
es denn betreiben? Wie sieht Deine Aussenanbindung aus?

Bodo