- Anzeige -

Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Alles über DOCSIS 3.0

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitragvon rv112 » 30.10.2014, 11:39

Netzteil und Gehäuse gibt es glaub für um die 30 Euro. Dazu habe ich dann noch eine mSSD für 50 und eine mPCIe WLAN Karte für 60 verbaut. Man kann allerdings auch per USB Stick arbeiten. Summ sumarum billiger und besser als die meisten Router, die mehr können als bunt blinken.
KabelBW Internet seit 2003
Bild
- 2 Play 200 PREMIUM
- Cisco EPC3212 IPv4
- pfSense 2.3
rv112
Übergabepunkt
 
Beiträge: 372
Registriert: 28.10.2014, 08:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitragvon Mike0185 » 30.10.2014, 11:41

Dann sollte ich mal über ein Update nachdenken :)
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin
Mike0185
Kabelexperte
 
Beiträge: 209
Registriert: 05.11.2013, 18:46

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitragvon rv112 » 30.10.2014, 11:58

Kann ich nur empfehlen. Komme auch vom Alix und habe mit dem Upgrade auf 100 Mbit/s dann zum APU gewechselt. Hat sich voll rentiert und ist eine Investition in die Zukunft, solange man es auch mit einem Modem nutzen kann. Mit verstümmeltem Zwangsrouterzugang sieht das dann natürlich schonwieder anders aus :sauer:
KabelBW Internet seit 2003
Bild
- 2 Play 200 PREMIUM
- Cisco EPC3212 IPv4
- pfSense 2.3
rv112
Übergabepunkt
 
Beiträge: 372
Registriert: 28.10.2014, 08:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitragvon pixelman10000 » 04.11.2014, 12:15

Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.

Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen. Hab auch Asterisk (+Sipgate) auf der Kiste laufen und einen TV-Stick angeschlossen, damit spart man sich das 2play Zeugs und hat ein TV-Streaming im Netz.

Alternativ würde ich ein passendes Mikrotik Board empfehlen.
pixelman10000
Kabelneuling
 
Beiträge: 6
Registriert: 04.11.2014, 12:08

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitragvon SpaceRat » 04.11.2014, 16:22

pixelman10000 hat geschrieben:Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.
Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen.

Ich glaube Du würdest unzähligen Mitlesern hier sehr helfen, wenn Du dazu mal ein How-To machen könntest.

Definitiv ist nämlich Dein Aufbau das bestmögliche Ergebnis, das sich hinter einem DK7200 erzielen läßt (Fast ...)!
Interessant wäre auch eine bebilderte Anleitung, wie man dann unter OpenWRT IPv6-Freigaben einrichtet (Die müssen sich ja dem wechselnden Präfix anpassen).

Das einzige was mir zum Optimieren noch einfiele:
Hast Du mal ausprobiert, die IPv4-Anbindung durch das DK7200 ganz zu ignorieren und die AFTR-Verbindung im OpenWRT-Router selber aufzubauen?
OpenWrt kann nämlich IPv4-lite ...

Das würde dem DK7200 viel von seinem Schrecken nehmen ...
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitragvon pixelman10000 » 04.11.2014, 19:29

SpaceRat hat geschrieben:
pixelman10000 hat geschrieben:Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.
Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen.

Ich glaube Du würdest unzähligen Mitlesern hier sehr helfen, wenn Du dazu mal ein How-To machen könntest.

Definitiv ist nämlich Dein Aufbau das bestmögliche Ergebnis, das sich hinter einem DK7200 erzielen läßt (Fast ...)!
Interessant wäre auch eine bebilderte Anleitung, wie man dann unter OpenWRT IPv6-Freigaben einrichtet (Die müssen sich ja dem wechselnden Präfix anpassen).

Das einzige was mir zum Optimieren noch einfiele:
Hast Du mal ausprobiert, die IPv4-Anbindung durch das DK7200 ganz zu ignorieren und die AFTR-Verbindung im OpenWRT-Router selber aufzubauen?
OpenWrt kann nämlich IPv4-lite ...

Das würde dem DK7200 viel von seinem Schrecken nehmen ...


Also ich hab die wichtigsten Files der Konfiguration mal ge'zippt und zu einem Dienst hochgeladen. In /etc/config/packages.list ist die Liste der benötigten Pakete. Das ganze setzt auf ebtables auf; DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts :). Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.

http://www.share-online.biz/dl/NTWEZIENG36
pixelman10000
Kabelneuling
 
Beiträge: 6
Registriert: 04.11.2014, 12:08

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitragvon SpaceRat » 05.11.2014, 14:23

pixelman10000 hat geschrieben:DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts :).

Naja, es steckt ja so oder so dahinter, jetzt halt nur über den DK7200.
Und da viele auch Probleme mit gelegentlichem Abbau des AFTR-Tunnels durch das DK7200 haben, wäre es die Sache wert ... meiner Meinung nach :)

pixelman10000 hat geschrieben:Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.

Puh, Du hast da leider alle möglichen Configs und die auch noch ungekürzt reingepackt.

Ist jetzt was schwer für mich, da rauszufiltern, was zum Einrichten der Verbindung an Änderungen ggü. dem "Werkszustand" nötig war und was so oder so eingestellt wäre.
Da Du die losen Configs geschickt hast, mutmaße ich mal, Du hast das auch durch direktes Ändern der Configs eingerichtet ...

Ich glaube, für viele hier wären Screenshots der Oberfläche und den relevanten Einstellungen verständlicher.

Und entweder bin ich blind oder ausgerechnet die relevanten Einstellungen (odhcpc als relay und IPv6-Freigaben) fehlen ...
Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitragvon athurdent » 05.11.2014, 14:46

SpaceRat hat geschrieben:Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.


Ich glaube, halbwegs sauber bekommst Du sowas nur hin, wenn Du intern z.B. ein ULA/64 benutzt und NPt (Network Prefix translation) auf ein Global/64 machst. Dann kannst Du eine Regel schreiben, die any -> auf eine fest ULA IP Port SSH o.ä. macht.
Das würde natürlich voraussetzen, dass IA PD (Prefix Delegation) funktioniert und man via Script automatisch bei Änderungen die NPt NAT rule auf das neue Prefix anpasst.
Ich meine, zumindest mit ner Fritzbox von Unitymedia könnte das klappen, einen Prefix an das nachgelagerte OpenWrt zu geben.
Das EPC3212 macht kein IA PD? Wundert mich, dass es überhaupt IPv6 macht, bei Cisco in den PDFs wird nur vom 3208 und IPv6 gesprochen, beim 3212 steht da nichts von IPv6.
athurdent
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 19.09.2011, 19:50

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitragvon pixelman10000 » 05.11.2014, 17:07

SpaceRat hat geschrieben:
pixelman10000 hat geschrieben:DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts :).

Naja, es steckt ja so oder so dahinter, jetzt halt nur über den DK7200.
Und da viele auch Probleme mit gelegentlichem Abbau des AFTR-Tunnels durch das DK7200 haben, wäre es die Sache wert ... meiner Meinung nach :)

pixelman10000 hat geschrieben:Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.

Puh, Du hast da leider alle möglichen Configs und die auch noch ungekürzt reingepackt.

Ist jetzt was schwer für mich, da rauszufiltern, was zum Einrichten der Verbindung an Änderungen ggü. dem "Werkszustand" nötig war und was so oder so eingestellt wäre.
Da Du die losen Configs geschickt hast, mutmaße ich mal, Du hast das auch durch direktes Ändern der Configs eingerichtet ...

Ich glaube, für viele hier wären Screenshots der Oberfläche und den relevanten Einstellungen verständlicher.

Und entweder bin ich blind oder ausgerechnet die relevanten Einstellungen (odhcpc als relay und IPv6-Freigaben) fehlen ...
Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.


Also das geht über die Oberfläche leider nicht, man muss eigentlich nur die Configs auf das Gerät kopieren und die Pakete installieren. Dann sollte es gehen. Es wird der NDP-Proxy von Unitymedia ins LAN gebridged, damit kann jeder Client eine IPv6 Adresse von Unitymedia beziehen (Relay funktioniert mit dem Cisco davor nicht). Damit ist jedes Gerät automatisch per IPv6 erreichbar. Es wird dann über die Firewall jedoch erst mal alles geblockt und dann kann man die Dienste (z.B. SSH) nach belieben zu schalten. Wenn du in die firewall.ipv6 schaust findest du die Regeln für ICMP und SSH. Also dein Rip bekommt eine IPv6 und du kannst dann in der Firewall die Ports entsprechend öffnen.
pixelman10000
Kabelneuling
 
Beiträge: 6
Registriert: 04.11.2014, 12:08

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitragvon rv112 » 26.11.2014, 09:35

Das 3212 kann auch IPv6, wird jedoch normal nur für IPv4 Kunden eingesetzt.
KabelBW Internet seit 2003
Bild
- 2 Play 200 PREMIUM
- Cisco EPC3212 IPv4
- pfSense 2.3
rv112
Übergabepunkt
 
Beiträge: 372
Registriert: 28.10.2014, 08:18

Vorherige

Zurück zu DOCSIS 3.0 - bis zu 400 Mbit/s

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 13 Gäste