Freifunk-Router am Gastzugang einer Fritzbox betreiben

Es gilt einen Freifunkrouter am Gastzugang (LAN) einer Fritzbox 7390 zu betreiben. Welche Ports müssen hierzu in welcher Richtung für welches Protokoll freigegeben werden? Was ist noch zu beachten?

Wenn du deinen Freifunk Router hinter einer Firewall wie dem Fritzbox Gastzugang betreiben willst musst du folgendes freigeben: Port 10000 UDP. DNS sollte natürlich auch noch gehen.

Hat das einen bestimmten Grund das über den Gastzugang zu schleifen?

In diesem Fall handelt es sich um das Netzwerk im Vereinsheim des Sportvereines in dem ich aktiv bin. Die Infrastruktur ist vorgegeben, das Netzwerk in dem Gebäude an das der Router angeschlossen werden soll hängt komplett im Gästenetz besagter Fritzbox.
Ein Argument könnte sein, dass es eben keine Verbindung zwischen dem Gästenetz und dem Heimnetz an den anderen Ports der Fritzbox gibt. Sollte es einem Angreifer gelingen aus dem Freifunkrouter auszubrechen wäre er immer noch nicht am Ziel, dem Heimnetz. Keine Ahnung wie das in der Fritzbox realisiert ist ;-).

Das klingt plausibel.

Also ich sehe in der Fritz!Box nicht wirklich die Möglichkeit, Portfreigaben für das Gastnetz zu machen. Man kann im Gastnetz entweder alles erlauben oder halt diese Einschränkung auf “nur Surfen und Mailen” setzen. Oder wirken sich die normalen Portfreigaben auch auf das Gastnetz aus?

Bei dem Hinweis, dass Port 10000 UDP freigegeben werden muss, sollte auch das Layer 3 Protokoll genannt werden. Ich vermute, aktuell wird ausschließlich IPv4 verwendet, aber das kann sich später auch ändern.

Also das wir IP in irgendeiner Form sprechen, davon bin ich jetzt echt einfach ausgegangen.

Falsch, wir benutzen IPv4 und IPv6. Aktuell nimmt aber nur gw01 auch v6 Verbindungen an.

Also ich habe das jetzt auch mal probiert.
Hab meinen FFRN Router über den Port4 (Gastzugang) angeschlossen, und im Gastzugang die Einschränkungen heraus genommen. Funktioniert sofort ohne Probleme.
Auch die zweite Möglichkeit der Einbindung über WLAN Gastzugang hat funktioniert.
eine extra Portfreigabe war nicht nötig.

Der Knoten braucht außer Port 10000 UDP keine Verbindung ins Internet und sollte deshalb auch nicht mehr bekommen.
Leider kann die Fritzbox keine IPs filtern, dafür kann sie aber auf Schicht 4 nach Protokollen und Ports filtern. Wie man das einstellt, beschreibe ich hier mal kurz:

  • Eine Netzwerkanwendung mit dem Namen „alles außer IPSec“ und den entsprechenden Ports (siehe Bild) anlegen.
    Das wird unter „Filter“ - „Listen“ - „Netzwerkanwendung hinzufügen“ gemacht


  • Eine Netzwerkanwendung mit dem Namen „VPN IPSec“ anlegen.
    Das wird unter „Filter“ - „Listen“ - „Netzwerkanwendung hinzufügen“ gemacht


  • Unter „Filter“ - „Zugangsprofile“ dem Profil „Gast“ die Netzwerkanwendung „alles außer IPSec“ sperren



Das Gast-WLAN kann man ausschalten, es lässt in diesem Setup ohnehin nur UDP Port 10000 ins Internet. Die in dieser Anleitung ungenutze Netzwerkanwendung „VPN IPSec“ kann man beim Loadbalancer der FritzBox nach den eingenen Wünschen einstellen…

1 „Gefällt mir“

@marcus Danke für die Anleitung.

Hier meine finale Konfiguration:

Da das Gästenetz mit der entsprechenden Konfiguration weiter genutzt werden soll, habe ich die vorhandene Standardregel „alles außer Surfen und Mailen“ unter „Internet->Filter->Listen->Netzwerkanwendungen“ wie folgt editiert:

Es wurden für DNS der UDP/TCP Port 53 freigegeben, sowie für Freifunk der UDP Port 10000. Funktioniert nun einwandfrei.

Beim Testen bin ich noch über folgende fiese Einstellung gestollpert. Vielleicht kann das jemand nachvollziehen. Ist unter „WLAN->Gastzugang->Internetverbindungen beschränken: Nur Surfen und Mailen erlaubt“ gesetzt. So sind scheinbar alle UDP Ports gesperrt, wobei auch die zuvor angelegte Regel überstimmt wird.
Besonders fies: Die Einstellung erscheint nur bei aktiviertem WLAN und scheint auch zu greifen wenn der Haken gesetzt ist jedoch der (WLAN-)Gastzugang und auch das WLAN selbst deaktiviert ist. In der Standardkonfiguration ist der Haken jedoch wohl nicht gesetzt.

Vielleicht ist mir da auch ein Fehler unterlaufen, wäre toll wenn es mal jemand nachvollziehen könnte.

1 „Gefällt mir“

DNS hab ich in meinem Setup auch nicht erlaubt, nur UDP 10000. Sonst nix :-)

Hi, kurze Frage: Bleibt es auch mit Gluon bei Port 10000 UDP?

Ja, auch mit Gluon bleibt es bei dieser Konfiguration.

@anon8743323 magst du deine Anleitung die du hier oben schon so schön geschrieben hast, auch noch in unser Wiki übertragen?

hab ich gemacht, inkl. einiger Änderungen. Die Sortierung im Wiki habe ich jetzt nicht angepasst.

1 „Gefällt mir“

Hey, Ich hab eine schnelle Frage:
Welche Ports müssen nach aktuellem Stand freigegeben werden, um dem Router Zugang zum Freifunk Netzwerk zu geben. Im Wiki findet sich ja der oben schon besprochene Eintrag:
https://wiki.ffrn.de/Freifunk_am_fritzbox_gastzugang

Dies funktioniert derzeit bei mir so nicht.
Ich habe alles danach alles mögliche durchprobiert inkl. UDP/TCP 53 + UDP 10000 offen. Es klemmt mir mit diesen Einstellungen allerdings sofort den Zugang zum Freifunknetz ab. Ich hab ein Pihole als DNS dranhängen Port 5335 - auch wenn ich UDP/TCP 5335 + UDP/TCP 53 + UDP 10000 verliere ich Zugang erst wenn ich keinerlei Beschränkungen habe - gibt es keine Probleme.
Weiß jemand weiter?

Hi
Welche FRITZ!Box mit welcher Firmware benutzt du ?

Liebe Grüße
S. Graf