Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Internetanschluss mit fester IP <- Firewall?

Status
Dieses Thema wurde gelöst! Lösung ansehen…

Hubertus

kennt sich schon aus
Servus werte Community,
ich habe meinen Internet Provider gewechselt und bin nach gut 15Jahren von der Firma mit dem Magenta T weggegangen und zu einem Lokalen Anbieter gewechselt, der auf eigene Kosten unsere Stadt mit Glasfaser angebunden hat. Bei T hatte ich einen klassischen DSL Vertrag 16 der effektiv an guten Tagen mir eine Downloadgeschwindigkeit von 10 zur Verfügung gestellt hat. Traurig aber Wahr unsere Stadt (ca 3000 Einwohner) hat sogar einen DSL Hauptverteiler - also so ein Haus von der Telekom, von dem alles in der näheren Umgebung aus verteilt wird. Und ja es gibt auch VDSL bei uns, aber nur in der Altstadt, also dort wo und ich entschuldige die Aussage, die alten Menschen wohnen und nicht im Neubaugebiet wo die jungen Familien Ihre Smart Homes bauen und auch die Schule ansässig ist. Das Magenta farbende T hatte auch kein interesse das Neubaugebiet zu erschliessen und so kam es zu einem Lokalen Anbieter der das konnte, was das T nicht konnte.

Nun habe ich vom nächsten kvz bis zum hak etwas 230m Kabellänge (CU) und somit sollte die 100 Leitung die ich nun gebucht habe, eine wesentlich bessere Internet Geschwindigkeit mir bieten.

Jetzt hat sich aber noch etwas ergeben durch den Anbieter Wechsel, ich hab in Zukunft einen Internetanschluss mit einer feste IP Adresse

Das wiederrum regt mein Hirn seit paar Tagen an, nachzudenken wie ich diesen Zugang von ausßen absichere und ob ich das überhaupt muß.

Ich habe mal den Schematischen Aufbau meines Netzwerk als Anhang beigefügt. Als Modem fungiert eine FritzBox 6490, das WLAN an der Box ist deaktiviert, da ich das Leistungsstärkere MESH System von Zyxel verwende. Von der Fritzbox geht eine Leitung in meine Elektro Hauptverteilung und bindet dort die SmartHome Technik und den SAT->IP Server ein. Von der FB geht eine Leitung zu meinem Serverschrank in dem die Patch Panels sitzen und ein 48 Port PoE Switch.

Die FritzBox 6490 verfügt natürlich schon über eine Firewall, die Frage ist nur ob die ausreicht um den Externen Zugriff zu schützen. Derzeit nutze ich bereits den Fritz VPN Service um von unterwegs auch auf die Geräte in meinem Haus zuzugreifen, dieses sollte dann durch die feste IP nicht mehr nötig sein, wenn ich das System richtig verstehe. Oder?

Welche Empfehlungen habt ihr für mich?
 

Anhänge

  • Netzwerk.pdf
    224,7 KB · Aufrufe: 75
Anzeige

Sonnschein

gehört zum Inventar
Die Telekom trennt bei mir unregelmäßig die Verbindung und ich bekomme eine neue IP.

Wegen der Sicherheit... Siehe Anhang. Viel mehr bietet die FritzBox nicht. Wenn du eine richtige Hardware Firewall benötigst, gibt es einiges auf dem Markt. Die FritzBox ist und bleibt für den Heimgebrauch attraktiv.
 

Anhänge

  • 1.jpg
    1.jpg
    162,5 KB · Aufrufe: 38

PeteM92

gehört zum Inventar
dieses sollte dann durch die feste IP nicht mehr nötig sein,
Sicherheitstechnisch brauchst Du nichts zu unternehmen, Du bist genau so gut wie bisher gegen Zugriffe aus dem Internet geschützt.
Im Satz: "dieses sollte dann durch die feste IP nicht mehr nötig sein" wirst Du das "nötig" vermutlich durch ein "möglich" ersetzen müssen - zumindest kann es sein, daß Du beim Zugriff von Außen Änderungen vornehmen mußt.
Hintergrund: die meisten VPN-Verbindungen setzen eine IPv4-Adresse voraus (die sich zwar ändern kann, das spielt keine große Rolle). Die Telekom bietet das (noch). Die allermeisten anderen Anbieter geben Dir keine IPv4 Adresse mehr, die von außen greifbar ist. Du wirst nur mehr IPv6-Adressen bekommen. Das wiederum bedingt eine andere Art des VPN-Zugriffs.
 

Hubertus

kennt sich schon aus
Bitte Steinigt mich nicht für die Frage - aber da dies meine erste feste IP ist und ich im Internet überraschend wenig diesbezüglich an dokumentation darüber finde, gerade für den Endbenutzer, so frage ich doch mal die geballte Wissensfront dieser Community.

Wie kommuniziere ich dann eigentlich mit den Geräten z.B. SmartHome Server daheim? Jetzt muß ich mich die VPN auf meinem Handy (iPhone) aktivieren und erreichen dann über die App von MDT den SmartHome Server in der heimischen Hauptverteilung.

Dies wird ja dann so nicht mehr gehen, also wenn ich das recht verstehe, baue ich über die feste IP direkt die Verbindung zum heimischen Netzwerk auf und über die Port Adresse dann zum jeweiligen Gerät? Also muß ich den Endgeräten die ich von ausßen zukünftig erreichen will nun unterschiedliche Port Adressen vergeben z.B. 80,81,82,83 usw. ?

Hat jemand evtl. einen Link für mich wo ich mich mit dieser Sache weiter beschäftigen kann?

Danke euch
 

PeteM92

gehört zum Inventar
Wenn Du wirklich eine feste IPv4-Adresse bekommst, brauchst Du höchstwahrscheinlich garnichts zu unternehmen. Ich denke, das ist durch Dein verwendetes Fritz VPN schon abgedeckt. Früher hattest Du ja vermutlich wechselnde IPv4-Adressen, da wurde eine neue Adresse über die Fritzbox an einen AVM-Server gemeldet - in Zukunft wird halt immer dieselbe Adresse gemeldet.
 

Hubertus

kennt sich schon aus
Aber mit fester IP brauche ich ja keine VPN mehr. Ich habe ja die ständige Adresse meines Netzwerkes im Internet, VPN macht ja nur Sinn weil sich immer die Adresse ändert. Oder liege ich da falsch?
 

PeteM92

gehört zum Inventar
VPN bringt Dir eine verschlüsselte Verbindung in Dein Heimnetz. Das hat mit der IPv4-Adresse nichts zu tun. Bei wechselnden IP-Adressen brauchst Du zusätzlich einen DynDNS-Server, der den Namen Deiner Fritzbox in die jeweils neue IPv4-Adresse umsetzt.
Der AVM-VPN-Dienst macht das mit, da mußtest Du nichts extra einrichten.
 

Hubertus

kennt sich schon aus
Also ist es total unerheblich ob man eine feste oder dynamische IP Adresse hat? Welchen nutzen hat man dann durch eine feste IP? Dachte immer, dass man damit dann ohne DynDNS oder VPN übers Internet auf das Netzwerk zugreifen kann?
 

PeteM92

gehört zum Inventar
VPN und DynDNS haben unterschiedliche Aufgaben.

VPN sorgt dafür, daß Du auf Deine Geräte im Heimnetz zugreifen kannst, und zwar sicher.
Ohne VPN kommst Du nicht durch die Firewall Deines Routers durch - und das ist auch gut so.

Mit DynDNS kannst Du erreichen, daß Du mit einem bekannten Namen, z.B. https ://tswxxnorrtxxzen.myfritz.net/# auf Deine Fritzbox zugreifen kannst, auch wenn sich die IPv4-Adresse gelegentlich ändert.

Der VPN-Zugang über myfritz.net kombiniert beides.

Auf den Webseiten von AVM findest Du in der Wissensdatenbank mehr Informationen zu diesen Themen.
 

Hubertus

kennt sich schon aus
Hm da ich eh den VPN Dienst von fritz verwende, habe ich ja eh keinen zusätzlichen DynDNS Dienst benötigt.

Also bleibt alles beim alten, ich muß erst eine VPN Berbindung aktivieren um mit dem Netzwerk/den Endgeräten daheim kommunizieren zu können. Ist ja auch sicherer....
 

Hubertus

kennt sich schon aus
Erschreckend wie wenig Informationen es zum Thema "feste öffentliche IP" im Internet gibt. Ich habe mal eine der wohl beliebtesten Quellen für Anwendungsmöglichkeiten und Tutorials durchforstet - YouTube, aber dort gibt es ja einfach mal nichts zu dem Thema bzw. was für Möglichkeiten mir eine feste IPv4 als Hausanschluss bietet.

In meinem wohl Simplen Gedankenfluss, dachte ich mir so, dass ich nun einfach meine feste IP Adresse in den Browser eingebe, wenn ich beruflich nicht am Wohnort verweile und ich so auf mein heimisches Netzwerk zugreifen kann - ohne zuvor eine VPN Verbindung über meine FritzBox oder iPhone aufzubauen. Ich hatte mir irgendwie erhofft, dass eine feste öffentliche IP Adresse ja irgendwelche Vorteile bieten muss, aber da dieses Thema scheinbar keinerlei beachtungen in irgendwelchen Foren oder DIY/HowTo Videos findet, ist wohl ein fester IP Anschluss etwas was keiner braucht - oder?
 

PeteM92

gehört zum Inventar
Stell Dir mal vor, jeder könnte auf Dein heimisches Netzwerk zugreifen, der Deine IP-Adresse eingibt.
Willst Du das wirklich haben?
Glücklicherweise sorgt Dein Router dafür, daß genau das nicht möglich ist.

Die Begriffe "feste öffentliche IP" mußt Du trennen.
Eine feste IP ist oft nicht notwendig, die kann man durch DynDNS oder ähnliches locker umgehen.
Eine öffentliche IPv4 Adresse ist ein anderes Spiel, die sorgt für einen einfacheren Zugriff auf Dein Netzwerk (mit VPN). Öffentliche IPv4 Adressen sind rar und werden von verschiedenen Internet-Anbietern entweder garnicht oder nur gegen Aufpreis angeboten (die Deutsche Telekom ist da eine Ausnahme - noch).
 
Zuletzt bearbeitet:

Hubertus

kennt sich schon aus
Gute Morgen @PeteM92 und danke für deinen Beitrag...

Die Telekom vergibt auch die feste IPv4 nur auf Antrag und ich bin mir nicht sicher, nur an Geschäftskunden - auch wenn das gegen die EU Verordnung 2015/2120 verstösst - aber hey das die Verordnung nicht für die Telekom (und anderen Providern) gilt ist uns doch spätestens klar geworden, seit dem die Mitglied der Unabhängigen Interessensgemeinschaft CUII sind und ohne Rechtlicherhandhabe die willkürliche DNS Sperre auf Ihre Anschlüsse gelegt haben, die den Zugriff auf Seiten unterbinden, die sich wegen dem Inhalt im Interessenkonflikt der Mitglieder der CUII befinden. Da stellt sich also eine Interessengemeinschaft über die Gesetze und reglementiert was Ihre Kunden sich im Internet ansehen dürfen und was nicht. Sie verstossen somit gegen die o.g Verordnung bzw. dessen Artikel 3 Abs. 3 - aber das nur am Rande erwähnt.

Stimmt eine feste IP Adresse ist nicht notwendig und kann via DynDNS einfach umgangen werden, da Dyn eine Art abgleich macht bzw. man an Dyn eine Anfrage stellt und die sich dann die aktuelle IP Adresse vom router holen - Laienhaft gesprochen natürlich. Das hatte ich früher auch alles - das funktioniert und man kann den Dienst ab und an sogar kostenlos erhalten. Ähnlich ist das ja auch mit meinem VPN Service via FritzBox - ist auch kostenlos und von Haus aus in der Fritzbox drin. Ich baue eine Verbindung zum VPN Dienst auf und der leitet mich über all die Knotenpunkte an meinen Router daheim durch. Funktioniert tadellos und selbst die NAS Funktion via FritBox funktioniert. Aber eigentlich will ich doch keinen extra Dienst/Programm/Cloud Zeug um auf meine Infrastruktur daheim zugreifen zu können.

Eigentlich will ich doch nur mein Handy nehmen oder den Browser vom Laptop öffnen können und einfach die gewünschte Adresse daheim anwählen und dann via Port auf die Haussteuerung, Kameras, NAS o.ä zugreifen können.

Ich brauche keine feste IP um dann doch nur via VPN auf meinen Anschluss und die Komponenten daheim zugreifen zu können. Dadurch hab ich nichts gewonnen - ich dachte eine feste IP macht eine Verbindung leichter?! Warum haben viele Firmen feste IP Adressen - welchen Vorteil haben die dadurch? Es muß ja irgendeinen Vorteil haben-sonst brauch man das ja nicht.

Ach ja na klar - ich möchte natürlich nicht, dass jeder von außerhalb auf meine heimisches Netzwerk zugreifen kann, das war ja der Ursprung dieser Thema....wie kann ich das dann absichern. Wobei dann mein Router auch wieder erkennen müßte, dass ich auf mein Netzwerk zugreifen möchte und das geht am besten mit einer VPN - Teufelskreis ;)

Hm oder ist mein Gedankengang etwas falsch, ich bin gerade zu sehr auf den VPN Zugang via Fritz fokusiert evtl. kann ich einen VPN auch ohne den Service von Fritz aufbauen....also wirklich nur auf Grundlage meiner festen IPv4 und einer "Kontrolleinheit" der meinen Zugang autorisiert.... gibt es da was....könnte das funktionieren....oder ist das alle Käse was in meinem Spatzenhirn da rotiert (Roulette-Syndrom)
 
Zuletzt bearbeitet:

ThomasB

treuer Stammgast
Guten Morgen

Zum Thema VPN: Ja du musst den von AVM nicht nehmen. Du kannst dir zum Beispiel auch einen VPN Server auf einem Raspberry Pi installieren.
Beispielsweise Wireguard. Aber dann musst du dich da schon ein wenig mit beschäftigen. Auf jeden Fall lernst du dabei.

Schönen Sonntag
 

Jürgen

Moderator
Teammitglied
Bei Firmen ist die Sache eine andere, da werden im eigenen Netzwerk durchaus feste Adressen verwaltet weil auch Drucker oder andere Geräte besser eine eigene Adressen brauchen, und es ist für den dortigen Admin auch einfacher in der Fehlersuche, weil da manchmal hunderte bis tausende System in Betrieb sind. In einem Heimnetzwerk gilt aber meistens DHCP wobei da auch für Geräte immer die gleiche Adresse vergeben werden kann. Das passiert dann im Router. Der Provider wechselt aber auch hier alle 24 Stunden die IP zum Router
 

Xandros

treuer Stammgast
Eine "feste IP" ist eine IPv4-Adresse, die einem Anschluss permanent zugeteilt wird.
Eine dynamische IP ist eine IPv4-Adresse, die einem Anschluss dynamisch für eine gewisse Zeit zugeteilt wird und sich je nach Provider nach einem bestimmten Zeitintervall ändern kann (aber nicht muss). Hier kann es ausreichen, den eigenen Router neu zu starten, um bei der erneuten Anmeldung beim Provider eine neue IPv4 zugeteilt zu bekommen. Das kann dann auch mal die gleiche IPv4 sein - je nachdem, wie der Provider seine Lease-Time in seinen DHCP-Servern gesetzt hat.


Die Telekom vergibt auch die feste IPv4 nur auf Antrag und ich bin mir nicht sicher, nur an Geschäftskunden - auch wenn das gegen die EU Verordnung 2015/2120 verstösst
Ja, die Telekom ermöglicht statische IPv4-Adressen in ihren Business-Tarifen. Darin kann der Kunde das über das Telekom-Kundenlogin in seinen Vertragseinstellungen ein- oder ausschalten. (Machen andere Provider auch.)
Nur was soll daran gegen die EU-Verordnung zur Netzneutralität verstossen? Nichts.
Ob man nun einen Privat- oder Business-Vertrag hat und somit eine statische IPv4 nutzen kann oder nicht, ist für die Internetnutzung über diesen Anschluss nicht relevant. Business-Kunden erhalten gegen Aufpreis jedoch die Möglichkeit, eigene Server über eine immer gleich lautende IP im Internet erreichbar zu machen. Das ist eine Zusatzleistung, für die der Kunde auch zusätzlich zahlen darf.

Wenn das bei der Telekom gegen eine EU-Verordnung verstossen würde, dann hätten Kabelnetzanbieter bereits massenhaft Klagen am Hals. Da bekommt man in der Regel keine feste IPv4. Und die zugeordnete IPv4 teilt man sich sogar mit anderen Kunden - da macht der Provider bereits in seinem Netz NAT, sodass nicht einmal DynDNS-Dienste via IPv4 funktionieren. Hier geht ausschliesslich IPv6 für den Zugriff auf den heimischen Rechner/Server.

seit dem die Mitglied der Unabhängigen Interessensgemeinschaft CUII sind und ohne Rechtlicherhandhabe die willkürliche DNS Sperre auf Ihre Anschlüsse gelegt haben, die den Zugriff auf Seiten unterbinden,
Das hat aber mit dem Nutzeranschluss nichts zu tun, sondern damit, dass fragwürdige Dienste über die DNS-Server der Telekom (bzw. des Providers) nicht mehr aufgelöst werden.
Da stellt sich also eine Interessengemeinschaft über die Gesetze und reglementiert was Ihre Kunden sich im Internet ansehen dürfen und was nicht.
Nope. Da setzt eine Interessengemeinschaft die Vorgaben der Regierung um, zu der die Provider gesetzlich verpflichtet wurden. Ist sogar für die Kunden sinnvoll, dass dies in einer Interessengemeinschaft stattfindet. Stell dir vor, jeder Provider würde damit ein eigenes Team beschäftigen. Wie sähe dann die Internetnutzung aus? Bei jedem Provider würden unterschiedliche Dienste gesperrt. Bei jedem Provider müssen Teams für die gleiche Arbeit bezahlt werden, was sich letztlich auf den Anschlusspreis auswirkt. Da sind dann Flat-Verträge zu den aktuellen Preisen kaum mehr zu halten.
Man kann die Geschichte natürlich auch anders herum betrachten:
Würden sich die Kunden eigenständig mehr Gedanken zum Thema Urheberrecht machen, wären Sperren von nicht legalen Streamingdiensten usw. gar nicht nötig - die Dienste hätten schlicht keine Nutzer!
Aber es ist ja zuviel verlangt, dass Nutzer fremdes Eigentum entsprechend behandeln. Was mal im Internet ist, ist in den Köpfen der Nutzer rechtsfrei und darf nach Belieben genutzt, kopiert, verteilt, ..., werden. (Nicht aller Nutzer, aber eines nicht unerheblichen Teils!)
Ich möchte den Nutzer solcher fragwürdigen Diensteanbieter sehen, bei dem mal ein paar hundert Leute auftauchen, sich einfach ohne Erlaubnis dessen Fahrzeug nehmen, sich nach Belieben in die Wohnung setzen, Kaffee kochen, den Kühlschrank leeren.... Und auf Beschwerden dann antworten: "hey, Eigentum spielt doch keine Rolle!"
Eigentum wird bei vielen Internetnutzern erst dann zum Thema, wenn es um das Eigene geht. Bei fremden Eigentum - egal ob materiell oder geistig - wird das nicht so ernst genommen.
Ich baue eine Verbindung zum VPN Dienst auf und der leitet mich über all die Knotenpunkte an meinen Router daheim durch.
hmmm.... jein!
Der VPN-Dienst leitet dich nicht über Knotenpunkte.
Der VPN-Dienst baut lediglich über eine bestehende Verbindung zwischen VPN-Server und VPN-Client einen verschlüsselten Kommunikationstunnel auf. Welche Route die Verbindung dabei verwendet, wird von VPN nicht beeinflusst. Das entscheiden die Knotenpunkte, die untereinander bezüglich ihrer Auslastung kommunizieren, damit die beteiligten Knoten für den Nutzer die jeweils schnellste Verbindung (auf der möglichst keine Datenstaus auftreten) wählen können.
Ich brauche keine feste IP um dann doch nur via VPN auf meinen Anschluss und die Komponenten daheim zugreifen zu können.
Richtig. Andersherum wird erst ein Schuh draus.
Ob statische oder dynamische IP, du brauchst VPN um auf deine Daten daheim zugreifen zu können, wenn du diese Daten nicht der Öffentlichkeit im Internet zugänglich machen willst.

Warum haben viele Firmen feste IP Adressen - welchen Vorteil haben die dadurch?
Betrieb von eigenen Diensten, die für Mitarbeiter und Kunden direkt über das Internet erreichbar sind.
Z.B. eigener Webserver, FTP-Server, Cloudserver, eigener Mailserver (für die Mitarbeiter) usw.. Sprich: Alle Dienste, die man Anderen anbieten möchte und für die keine VPN-Verbindung bis in das Firmennetzwerk hinein
notwendig ist.
Ich wollte keine Kunden über VPN in mein lokales Netzwerk lassen, nur damit sie einen Webdienst erreichen können. Es reicht völlig aus, den Webdienst vor meinem Netzwerk zu platzieren und von Aussen erreichbar zu machen.
evtl. kann ich einen VPN auch ohne den Service von Fritz aufbauen....also wirklich nur auf Grundlage meiner festen IPv4 und einer "Kontrolleinheit" der meinen Zugang autorisiert.... gibt es da was....könnte das funktionieren..
Gedankengang absolut richtig.
Du hast eine statische IP, die du direkt den VPN-Clients eintragen kannst. Das spart den Umweg über (dynamische) DNS-Dienste, um die zugehörige IP zu ermitteln.
Was du dafür brauchst, ist ein Gerät, welches als VPN-Server die Authentifizierung der Clients übernimmt und die verschlüsselten Verbindungen aufbaut. Dazu dann den passenden VPN-Client auf den Endgeräten mit den Zugangsdaten.
Bei einer solchen Konstellation bist du natürlich selbst dafür verantwortlich, dass der VPN-Server gehärtet ist, Aktualisierungen des Betriebssystems und der Software zeitnah bei Erscheinen eingespielt werden, usw.
Daneben musst du in die Firewall der Fritz!Box auch ein Pinholes machen, damit du den eigenen VPN-Server über Internet erreichen kannst. (Bei fehlerhafter Konfiguration des Servers sind diese Portfreigaben dann offene Tore für Eindringlinge, die sonst an der Fritz!Box schon ihre erste Hürde hätten.)
Da das bereits in deiner Fritz!Box enthalten ist, ist es für den Heimnetzwerkbereich völlig ok, diese Dienste der Fritz!Box zu nutzen. Spart es dir nicht nur die Installation, Konfiguration und Pflege eines eigenen VPN-Servers, sondern auch ein zusätzliches Gerät inkl. Stromverbrauch. Die Fritte läuft schliesslich so oder so.
Hat alles seine Vor- und Nachteile.
 
Status
Dieses Thema wurde gelöst! Lösung ansehen…
Anzeige
Oben