Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Antworten
rv112
Übergeordneter Verstärkerpunkt
Beiträge: 973
Registriert: 28.10.2014, 07:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von rv112 » 30.10.2014, 10:39

Netzteil und Gehäuse gibt es glaub für um die 30 Euro. Dazu habe ich dann noch eine mSSD für 50 und eine mPCIe WLAN Karte für 60 verbaut. Man kann allerdings auch per USB Stick arbeiten. Summ sumarum billiger und besser als die meisten Router, die mehr können als bunt blinken.
KabelBW Internet seit 2003

Bild
- 2 Play 400 FLY IPv4 / VDSL 50 Dual Stack
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von Mike0185 » 30.10.2014, 10:41

Dann sollte ich mal über ein Update nachdenken :)
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

rv112
Übergeordneter Verstärkerpunkt
Beiträge: 973
Registriert: 28.10.2014, 07:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von rv112 » 30.10.2014, 10:58

Kann ich nur empfehlen. Komme auch vom Alix und habe mit dem Upgrade auf 100 Mbit/s dann zum APU gewechselt. Hat sich voll rentiert und ist eine Investition in die Zukunft, solange man es auch mit einem Modem nutzen kann. Mit verstümmeltem Zwangsrouterzugang sieht das dann natürlich schonwieder anders aus :sauer:
KabelBW Internet seit 2003

Bild
- 2 Play 400 FLY IPv4 / VDSL 50 Dual Stack
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

pixelman10000
Kabelneuling
Beiträge: 6
Registriert: 04.11.2014, 11:08

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von pixelman10000 » 04.11.2014, 11:15

Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.

Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen. Hab auch Asterisk (+Sipgate) auf der Kiste laufen und einen TV-Stick angeschlossen, damit spart man sich das 2play Zeugs und hat ein TV-Streaming im Netz.

Alternativ würde ich ein passendes Mikrotik Board empfehlen.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von SpaceRat » 04.11.2014, 15:22

pixelman10000 hat geschrieben:Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.
Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen.
Ich glaube Du würdest unzähligen Mitlesern hier sehr helfen, wenn Du dazu mal ein How-To machen könntest.

Definitiv ist nämlich Dein Aufbau das bestmögliche Ergebnis, das sich hinter einem DK7200 erzielen läßt (Fast ...)!
Interessant wäre auch eine bebilderte Anleitung, wie man dann unter OpenWRT IPv6-Freigaben einrichtet (Die müssen sich ja dem wechselnden Präfix anpassen).

Das einzige was mir zum Optimieren noch einfiele:
Hast Du mal ausprobiert, die IPv4-Anbindung durch das DK7200 ganz zu ignorieren und die AFTR-Verbindung im OpenWRT-Router selber aufzubauen?
OpenWrt kann nämlich IPv4-lite ...

Das würde dem DK7200 viel von seinem Schrecken nehmen ...
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

pixelman10000
Kabelneuling
Beiträge: 6
Registriert: 04.11.2014, 11:08

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von pixelman10000 » 04.11.2014, 18:29

SpaceRat hat geschrieben:
pixelman10000 hat geschrieben:Also bei 100Mbit reicht bei mir ein TP-Link WDR4300 mit OpenWRT.
Ich route IPv4 und IPv6 wird gebridged (transparente Firewall) wegen dem ND (kein Präfix) von Unitymedia. Das ist wohl erstmal der beste Weg um mit DS-Lite im Unitymedia Netz umzugehen.
Ich glaube Du würdest unzähligen Mitlesern hier sehr helfen, wenn Du dazu mal ein How-To machen könntest.

Definitiv ist nämlich Dein Aufbau das bestmögliche Ergebnis, das sich hinter einem DK7200 erzielen läßt (Fast ...)!
Interessant wäre auch eine bebilderte Anleitung, wie man dann unter OpenWRT IPv6-Freigaben einrichtet (Die müssen sich ja dem wechselnden Präfix anpassen).

Das einzige was mir zum Optimieren noch einfiele:
Hast Du mal ausprobiert, die IPv4-Anbindung durch das DK7200 ganz zu ignorieren und die AFTR-Verbindung im OpenWRT-Router selber aufzubauen?
OpenWrt kann nämlich IPv4-lite ...

Das würde dem DK7200 viel von seinem Schrecken nehmen ...
Also ich hab die wichtigsten Files der Konfiguration mal ge'zippt und zu einem Dienst hochgeladen. In /etc/config/packages.list ist die Liste der benötigten Pakete. Das ganze setzt auf ebtables auf; DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts :). Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.

http://www.share-online.biz/dl/NTWEZIENG36

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von SpaceRat » 05.11.2014, 13:23

pixelman10000 hat geschrieben:DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts :).
Naja, es steckt ja so oder so dahinter, jetzt halt nur über den DK7200.
Und da viele auch Probleme mit gelegentlichem Abbau des AFTR-Tunnels durch das DK7200 haben, wäre es die Sache wert ... meiner Meinung nach :)
pixelman10000 hat geschrieben:Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.
Puh, Du hast da leider alle möglichen Configs und die auch noch ungekürzt reingepackt.

Ist jetzt was schwer für mich, da rauszufiltern, was zum Einrichten der Verbindung an Änderungen ggü. dem "Werkszustand" nötig war und was so oder so eingestellt wäre.
Da Du die losen Configs geschickt hast, mutmaße ich mal, Du hast das auch durch direktes Ändern der Configs eingerichtet ...

Ich glaube, für viele hier wären Screenshots der Oberfläche und den relevanten Einstellungen verständlicher.

Und entweder bin ich blind oder ausgerechnet die relevanten Einstellungen (odhcpc als relay und IPv6-Freigaben) fehlen ...
Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.

athurdent
erfahrener Kabelkunde
Beiträge: 72
Registriert: 19.09.2011, 19:50

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von athurdent » 05.11.2014, 13:46

SpaceRat hat geschrieben: Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.
Ich glaube, halbwegs sauber bekommst Du sowas nur hin, wenn Du intern z.B. ein ULA/64 benutzt und NPt (Network Prefix translation) auf ein Global/64 machst. Dann kannst Du eine Regel schreiben, die any -> auf eine fest ULA IP Port SSH o.ä. macht.
Das würde natürlich voraussetzen, dass IA PD (Prefix Delegation) funktioniert und man via Script automatisch bei Änderungen die NPt NAT rule auf das neue Prefix anpasst.
Ich meine, zumindest mit ner Fritzbox von Unitymedia könnte das klappen, einen Prefix an das nachgelagerte OpenWrt zu geben.
Das EPC3212 macht kein IA PD? Wundert mich, dass es überhaupt IPv6 macht, bei Cisco in den PDFs wird nur vom 3208 und IPv6 gesprochen, beim 3212 steht da nichts von IPv6.

pixelman10000
Kabelneuling
Beiträge: 6
Registriert: 04.11.2014, 11:08

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von pixelman10000 » 05.11.2014, 16:07

SpaceRat hat geschrieben:
pixelman10000 hat geschrieben:DS-Lite mit AFTR-Addresse; das war mir irgendwie nichts :).
Naja, es steckt ja so oder so dahinter, jetzt halt nur über den DK7200.
Und da viele auch Probleme mit gelegentlichem Abbau des AFTR-Tunnels durch das DK7200 haben, wäre es die Sache wert ... meiner Meinung nach :)
pixelman10000 hat geschrieben:Wenn es interessant ist, dann könnte ich das mal genauer dokumentieren; aber schau es dir erst einmal an. Es ist auch QoS für 50Mbit konfiguriert.
Puh, Du hast da leider alle möglichen Configs und die auch noch ungekürzt reingepackt.

Ist jetzt was schwer für mich, da rauszufiltern, was zum Einrichten der Verbindung an Änderungen ggü. dem "Werkszustand" nötig war und was so oder so eingestellt wäre.
Da Du die losen Configs geschickt hast, mutmaße ich mal, Du hast das auch durch direktes Ändern der Configs eingerichtet ...

Ich glaube, für viele hier wären Screenshots der Oberfläche und den relevanten Einstellungen verständlicher.

Und entweder bin ich blind oder ausgerechnet die relevanten Einstellungen (odhcpc als relay und IPv6-Freigaben) fehlen ...
Spannend wäre ja, ob bzw. wie man mit OpernWrt einen einzelnen Port eines einzelnen Gerätes freigibt (z.B. den ssh auf einem RPi oder "diverses" anderes) und zwar so, daß die Freigabe auch gültig bleibt, wenn sich das Präfix ändert.
Also das geht über die Oberfläche leider nicht, man muss eigentlich nur die Configs auf das Gerät kopieren und die Pakete installieren. Dann sollte es gehen. Es wird der NDP-Proxy von Unitymedia ins LAN gebridged, damit kann jeder Client eine IPv6 Adresse von Unitymedia beziehen (Relay funktioniert mit dem Cisco davor nicht). Damit ist jedes Gerät automatisch per IPv6 erreichbar. Es wird dann über die Firewall jedoch erst mal alles geblockt und dann kann man die Dienste (z.B. SSH) nach belieben zu schalten. Wenn du in die firewall.ipv6 schaust findest du die Regeln für ICMP und SSH. Also dein Rip bekommt eine IPv6 und du kannst dann in der Firewall die Ports entsprechend öffnen.

rv112
Übergeordneter Verstärkerpunkt
Beiträge: 973
Registriert: 28.10.2014, 07:18

Re: Welche Firewall hinter Cisco Modem EPC3212 sinvoll?

Beitrag von rv112 » 26.11.2014, 08:35

Das 3212 kann auch IPv6, wird jedoch normal nur für IPv4 Kunden eingesetzt.
KabelBW Internet seit 2003

Bild
- 2 Play 400 FLY IPv4 / VDSL 50 Dual Stack
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

Antworten

Wer ist online?

Mitglieder in diesem Forum: Leseratte10 und 4 Gäste