Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Antworten
wilnuru
Kabelneuling
Beiträge: 2
Registriert: 13.10.2014, 12:11
Wohnort: Stuttgart

Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von wilnuru » 13.10.2014, 12:44

Nach verschiedenen Problemen, auch vielen Verbindungsabbrüchen, mit meinem "KabelBW 50Mbit"-Tarif, bin ich mittlerweile auf den Business-Tarif "Office Internet 50" umgestiegen. Kostet mich jetzt - statt 20 Euro - 36 Euro. Benötige für mein Homeoffice Zugriff auch aus dem Internet. Habe dadurch jetzt:

- einen schnelleren Upload mit 5Mbit
- einen schnelleren Support/Hotline
- ein "offenes" Modem Cisco EPC3212, d.h. hier gibt es kein lokalen DHCP und keine Firewall mehr (!), wie beim Cisco EPC3208G.

Hatte hinter dem Modem ein LAN-Switch, mit Desktop-PCs und NAS/Datenserver, sowie ein WLAN-Router angeschlossen. Jetzt sind alle LAN-Geräte am lokalen LAN-Port des WLAN-Routers, da mir nun eine Firewall fehlt. Mein WLAN-Router arbeitet mit eigenem DHCP für mein Heimnetz (192.168..).

Direkt angeschlossene Geräte, die die IP vom Cisco-Modem, d.h. jetzt durchgereicht, vom zentralen DHCP der KabelBW beziehen, sind mit einer öffentlichen (dynamischen) IPv4-Adresse direkt im Internet, ohne Firewall. Hatte z.B. drei Geräte am Switch angeschlossen und alle bekamen, allerdings aus verschiedenen Netzadressbereichen, eine IP.
Kann dadurch jetzt jedes Gerät aus dem Internet mit dieser IP erreichen. Ein Desktop-PC, mit (testhalber) deaktiverten Firewalloptionen, kann auf einen Ping antworten.

Ok, soweit so gut. Weiß noch nicht, welche Firewall ich jetzt an das Modem anschliessen soll. Ein bezahlbarer Switch mit Firewall für mein kleines Homeoffice wäre z.B der CISCO RV320, aber ist da ein guter WLAN-Router für das gleiche Geld nicht sinnvoller?
Oder spricht etwas gegen zwei WLAN-Router, einer als Firewall für die LAN-Geräte mit öffentlicher IP, ein Zweiter, an dem mein lokales Netz läuft?

Der Datendurchsatz (50Mbit) dürfte ja kaum gebremst werden durch die Kaskadierung. Könnte dann mein Datenserver/NAS, hat zwei LAN-Anschlüsse, mit einem LAN-Kabel an den ersten Switch/Router anschliessen und mit dem zweiten Anschluss an den des WLAN-Routers.

Hinweis: Habe diese Frage auch, als Antwort auf einen anderen, nicht ganz passenden Beitrag, im Helpdesk-Forum gestellt. Hier jetzt, mit passender Überschrift, neu eröffnet.
UM Office Internet 50 / CISCO EPC3212 Modem / TP-Link Archer C7 WLAN Router / Gigaset CP 610 ip + Grandstream DP750

schmitto
Kabelneuling
Beiträge: 4
Registriert: 19.06.2012, 10:26

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von schmitto » 17.10.2014, 09:15

wie wäre es hiermit, der kann beides!
http://routerboard.com/CRS125-24G-1S-2HnD-IN

rv112
Übergeordneter Verstärkerpunkt
Beiträge: 989
Registriert: 28.10.2014, 07:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von rv112 » 28.10.2014, 08:25

pfSense, nothing else!
KabelBW Internet seit 2003

Bild
- 2 Play 400 FLY IPv4 / VDSL 50 Dual Stack
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von Mike0185 » 28.10.2014, 08:40

PfSense!
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

007Sascha
Kabelneuling
Beiträge: 9
Registriert: 12.10.2014, 15:33

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von 007Sascha » 29.10.2014, 12:28

Pfsense auf welcher Platform? Ein extra Rechner ist ja meißt überdimensioniert

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von Mike0185 » 29.10.2014, 13:10

Ich setze ein Alix 2D13 Systemboard ein.
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

rv112
Übergeordneter Verstärkerpunkt
Beiträge: 989
Registriert: 28.10.2014, 07:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von rv112 » 29.10.2014, 17:36

Hatte ich auch zuvor und nun auf das APU1C geupgradet. Läuft tip top.
KabelBW Internet seit 2003

Bild
- 2 Play 400 FLY IPv4 / VDSL 50 Dual Stack
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von Mike0185 » 30.10.2014, 08:29

Hatte ich auch zuvor und nun auf das APU1C geupgradet. Läuft tip top.
Die hat Gigbit-LAN oder? Kosten?
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

rv112
Übergeordneter Verstärkerpunkt
Beiträge: 989
Registriert: 28.10.2014, 07:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von rv112 » 30.10.2014, 10:26

Ja. 3x GBit. Habe die Platine für 130 Euro bezogen.
KabelBW Internet seit 2003

Bild
- 2 Play 400 FLY IPv4 / VDSL 50 Dual Stack
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von Mike0185 » 30.10.2014, 10:30

Und Zubehör?
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

rv112
Übergeordneter Verstärkerpunkt
Beiträge: 989
Registriert: 28.10.2014, 07:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von rv112 » 30.10.2014, 10:39

Netzteil und Gehäuse gibt es glaub für um die 30 Euro. Dazu habe ich dann noch eine mSSD für 50 und eine mPCIe WLAN Karte für 60 verbaut. Man kann allerdings auch per USB Stick arbeiten. Summ sumarum billiger und besser als die meisten Router, die mehr können als bunt blinken.
KabelBW Internet seit 2003

Bild
- 2 Play 400 FLY IPv4 / VDSL 50 Dual Stack
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von Mike0185 » 30.10.2014, 10:41

Dann sollte ich mal über ein Update nachdenken :)
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

rv112
Übergeordneter Verstärkerpunkt
Beiträge: 989
Registriert: 28.10.2014, 07:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von rv112 » 30.10.2014, 10:58

Kann ich nur empfehlen. Komme auch vom Alix und habe mit dem Upgrade auf 100 Mbit/s dann zum APU gewechselt. Hat sich voll rentiert und ist eine Investition in die Zukunft, solange man es auch mit einem Modem nutzen kann. Mit verstümmeltem Zwangsrouterzugang sieht das dann natürlich schonwieder anders aus :sauer:
KabelBW Internet seit 2003

Bild
- 2 Play 400 FLY IPv4 / VDSL 50 Dual Stack
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

pixelman10000
Kabelneuling
Beiträge: 6
Registriert: 04.11.2014, 11:08

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von pixelman10000 » 04.11.2014, 11:15

Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.

Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen. Hab auch Asterisk (+Sipgate) auf der Kiste laufen und einen TV-Stick angeschlossen, damit spart man sich das 2play Zeugs und hat ein TV-Streaming im Netz.

Alternativ würde ich ein passendes Mikrotik Board empfehlen.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von SpaceRat » 04.11.2014, 15:22

pixelman10000 hat geschrieben:Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.
Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen.
Ich glaube Du würdest unzähligen Mitlesern hier sehr helfen, wenn Du dazu mal ein How-To machen könntest.

Definitiv ist nämlich Dein Aufbau das bestmögliche Ergebnis, das sich hinter einem DK7200 erzielen läßt (Fast ...)!
Interessant wäre auch eine bebilderte Anleitung, wie man dann unter OpenWRT IPv6-Freigaben einrichtet (Die müssen sich ja dem wechselnden Präfix anpassen).

Das einzige was mir zum Optimieren noch einfiele:
Hast Du mal ausprobiert, die IPv4-Anbindung durch das DK7200 ganz zu ignorieren und die AFTR-Verbindung im OpenWRT-Router selber aufzubauen?
OpenWrt kann nämlich IPv4-lite ...

Das würde dem DK7200 viel von seinem Schrecken nehmen ...
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

pixelman10000
Kabelneuling
Beiträge: 6
Registriert: 04.11.2014, 11:08

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von pixelman10000 » 04.11.2014, 18:29

SpaceRat hat geschrieben:
pixelman10000 hat geschrieben:Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.
Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen.
Ich glaube Du würdest unzähligen Mitlesern hier sehr helfen, wenn Du dazu mal ein How-To machen könntest.

Definitiv ist nämlich Dein Aufbau das bestmögliche Ergebnis, das sich hinter einem DK7200 erzielen läßt (Fast ...)!
Interessant wäre auch eine bebilderte Anleitung, wie man dann unter OpenWRT IPv6-Freigaben einrichtet (Die müssen sich ja dem wechselnden Präfix anpassen).

Das einzige was mir zum Optimieren noch einfiele:
Hast Du mal ausprobiert, die IPv4-Anbindung durch das DK7200 ganz zu ignorieren und die AFTR-Verbindung im OpenWRT-Router selber aufzubauen?
OpenWrt kann nämlich IPv4-lite ...

Das würde dem DK7200 viel von seinem Schrecken nehmen ...
Also ich hab die wichtigsten Files der Konfiguration mal ge'zippt und zu einem Dienst hochgeladen. In /etc/config/packages.list ist die Liste der benötigten Pakete. Das ganze setzt auf ebtables auf; DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts :). Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.

http://www.share-online.biz/dl/NTWEZIENG36

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von SpaceRat » 05.11.2014, 13:23

pixelman10000 hat geschrieben:DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts :).
Naja, es steckt ja so oder so dahinter, jetzt halt nur über den DK7200.
Und da viele auch Probleme mit gelegentlichem Abbau des AFTR-Tunnels durch das DK7200 haben, wäre es die Sache wert ... meiner Meinung nach :)
pixelman10000 hat geschrieben:Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.
Puh, Du hast da leider alle möglichen Configs und die auch noch ungekürzt reingepackt.

Ist jetzt was schwer für mich, da rauszufiltern, was zum Einrichten der Verbindung an Änderungen ggü. dem "Werkszustand" nötig war und was so oder so eingestellt wäre.
Da Du die losen Configs geschickt hast, mutmaße ich mal, Du hast das auch durch direktes Ändern der Configs eingerichtet ...

Ich glaube, für viele hier wären Screenshots der Oberfläche und den relevanten Einstellungen verständlicher.

Und entweder bin ich blind oder ausgerechnet die relevanten Einstellungen (odhcpc als relay und IPv6-Freigaben) fehlen ...
Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von athurdent » 05.11.2014, 13:46

SpaceRat hat geschrieben: Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.
Ich glaube, halbwegs sauber bekommst Du sowas nur hin, wenn Du intern z.B. ein ULA/64 benutzt und NPt (Network Prefix translation) auf ein Global/64 machst. Dann kannst Du eine Regel schreiben, die any -> auf eine fest ULA IP Port SSH o.ä. macht.
Das würde natürlich voraussetzen, dass IA PD (Prefix Delegation) funktioniert und man via Script automatisch bei Änderungen die NPt NAT rule auf das neue Prefix anpasst.
Ich meine, zumindest mit ner Fritzbox von Unitymedia könnte das klappen, einen Prefix an das nachgelagerte OpenWrt zu geben.
Das EPC3212 macht kein IA PD? Wundert mich, dass es überhaupt IPv6 macht, bei Cisco in den PDFs wird nur vom 3208 und IPv6 gesprochen, beim 3212 steht da nichts von IPv6.

pixelman10000
Kabelneuling
Beiträge: 6
Registriert: 04.11.2014, 11:08

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von pixelman10000 » 05.11.2014, 16:07

SpaceRat hat geschrieben:
pixelman10000 hat geschrieben:DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts :).
Naja, es steckt ja so oder so dahinter, jetzt halt nur über den DK7200.
Und da viele auch Probleme mit gelegentlichem Abbau des AFTR-Tunnels durch das DK7200 haben, wäre es die Sache wert ... meiner Meinung nach :)
pixelman10000 hat geschrieben:Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.
Puh, Du hast da leider alle möglichen Configs und die auch noch ungekürzt reingepackt.

Ist jetzt was schwer für mich, da rauszufiltern, was zum Einrichten der Verbindung an Änderungen ggü. dem "Werkszustand" nötig war und was so oder so eingestellt wäre.
Da Du die losen Configs geschickt hast, mutmaße ich mal, Du hast das auch durch direktes Ändern der Configs eingerichtet ...

Ich glaube, für viele hier wären Screenshots der Oberfläche und den relevanten Einstellungen verständlicher.

Und entweder bin ich blind oder ausgerechnet die relevanten Einstellungen (odhcpc als relay und IPv6-Freigaben) fehlen ...
Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.
Also das geht über die Oberfläche leider nicht, man muss eigentlich nur die Configs auf das Gerät kopieren und die Pakete installieren. Dann sollte es gehen. Es wird der NDP-Proxy von Unitymedia ins LAN gebridged, damit kann jeder Client eine IPv6 Adresse von Unitymedia beziehen (Relay funktioniert mit dem Cisco davor nicht). Damit ist jedes Gerät automatisch per IPv6 erreichbar. Es wird dann über die Firewall jedoch erst mal alles geblockt und dann kann man die Dienste (z.B. SSH) nach belieben zu schalten. Wenn du in die firewall.ipv6 schaust findest du die Regeln für ICMP und SSH. Also dein Rip bekommt eine IPv6 und du kannst dann in der Firewall die Ports entsprechend öffnen.

rv112
Übergeordneter Verstärkerpunkt
Beiträge: 989
Registriert: 28.10.2014, 07:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von rv112 » 26.11.2014, 08:35

Das 3212 kann auch IPv6, wird jedoch normal nur für IPv4 Kunden eingesetzt.
KabelBW Internet seit 2003

Bild
- 2 Play 400 FLY IPv4 / VDSL 50 Dual Stack
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

Antworten

Wer ist online?

Mitglieder in diesem Forum: brisbone, friendsfan, Leseratte10 und 3 Gäste