AVM FRITZ!Box hinter einem (anderem) Router

Die Frage taucht häufiger auf als man zunächst meinen sollte: Kann man eine FRITZ!Box hinter einem anderen Router bzw. hinter einer Firewall betreiben? Antwort: Ja. Je nachdem für was Sie (weiterhin) genutzt werden soll oder welche Funktionen die FRITZ!Box in einem solchem Szenario übernimmt gibt es das Eine oder Andere zu beachten.

War die FRITZ!Box bislang der einzige Router im Netz und soll nun sozusagen vor ihr ein anderer Router oder eine Firewall platziert werden, so gibt es ein paar Schritte zu unternehmen. Zwei oder mehr NAT-Router hintereinander (kaskadieren) sollte man vermeiden, vor allem wenn VoIP zum Einsatz kommt! Von daher lautet die dringende Empfehlung, die FRITZ!Box vom Router- in den IP-Client-Modus zu versetzen.

Was erfahrungsgemäß funktioniert ist, das die FRITZ!Box als WLAN-Access Point und DECT-Basis bzw. Telefonanlage weiterhin läuft. Mehr Möglichkeiten, professioneller und besser sind entsprechende Lösungen wie z.B. 3CX für die Telefonie und Ubiquiti für WLAN. Andere Hersteller sollten ebenso funktionieren.

Kurzum: Der neue Firewall-Router übernimmt den Internetzugang, das Firewalling und Routing, ggf. DNS und DHCP (wenn kein Server zum Einsatz kommt) und VPN.

Bevor man die Konfiguration ändert zur Sicherheit eine Datensicherung anlegen! Anleitungen zum Ändern des Betriebsart findet man direkt bei AVM:

FRITZ!Box 7590 Service – FRITZ!Box für Betrieb mit anderem Router einrichten bzw.

FRITZ!Box 7590 Service – FRITZ!Box als IP-Client einrichten

Soll der neue Router bzw. die Firewall die IP-Adresse übernehmen, die bislang die FRITZ!Box inne hatte, muss man bei der Umstellung der FRITZ!Box entweder die Voreinstellung auf DHCP belassen oder eine feste IP-Adresse vergeben.

WLAN

Da WLAN schwer beschränkt werden kann wäre die nächst sichere Option, die FRITZ!Box (sofern sie denn als Access Point weiter betrieben wird) in ein eigenes Netz zu bringen und per Firewall zu regeln, was die WLAN-Clients dürfen (z.B. Zugriff auf das Internet, aber kein Zugriff ins LAN). Am Beispiel von pfSense oder Securepoint UTM ein OPT-Interface (pfSense) oder ein bislang ungenutztes Interface (Securepoint) verwenden und entsprechend konfigurieren.

Firewall

Zu Beginn kann man erstmal eine any-Regel erstellen um die FRITZ!Box ungehindert kommunizieren zu lassen. So lassen sich etwaige Netzwerk-Probleme leichter identifizieren und beheben. Da any-Regeln böse sind, sollte letztlich granularer geregelt werden, was die FRITZ!Box im Netz bzw. Richtung Internet darf und was nicht.

FRITZ!VPN

AVM nutzt IPsec für seine VPN-Implementierung, man könnte zwar versuchen dieses mittels “IPsec VPN Passthrough” vom neuen Router bzw. der Firewall aus weiterzuleiten, meist ist das allerdings nicht zu empfehlen. Besser ist es den neuen Router bzw. die Firewall die Aufgabe des VPN-Servers übernehmen zu lassen.

Geht es um die Sicherheit sollten zudem die VPN-Verbindungen ebenfalls reglementiert werden, soll heißen: Muss wirklich alles durch den Tunnel oder reicht schon beispielsweise nur RDP?! Zugegeben, das geht zwar auch mit den Geräten von AVM, dort allerdings nur über ein manuelles Editieren von Konfigurationsdateien und deren Import.

VoIP

Die Erfahrung hat gezeigt, das es am ehesten in Sachen Internet-Telefonie (VoIP) zu Schwierigkeiten kommen kann. Im Grunde ist bei einer FRITZ!Box hinter einem Firewall-Router das Gleiche zu beachten, wie bei dem Betrieb jeder anderen VoIP-Telefonanlage auch. D.h. zum Internet, besser nur zum Provider-Server hin müssen die Ports

  • 5060/udp (SIP)
  • 7078 – 7085/udp (RTP) bzw.
    7078 – 7109/udp (RTP) bzw.
    7078 – 7110/udp (RTP)

zugelassen sein. Siehe dazu den Beitrag: Securepoint UTM und AskoziaPBX

Unklar ist, wie groß der RTP-Bereich ist, finden sich in verschiedenen Dokumentationen doch unterschiedliche Angaben:

sipgate Team – AVM FRITZ!Box: Betrieb hinter einem Router

FRITZ!Box 7560 Service – Gesprächspartner hören sich nicht

Hilfe FRITZ!Box 7490 – Sicherheitsdiagnose Internet: RTP

Bei BSD-basierten Firewalls wie pfSense und OPNsense sollte zudem das NAT umgestellt werden.

FRITZ!Box spezifisch gibt’s dann noch diese Einstellung:

Telefonie - Eigene Rufnummern - Anschlusseinstellungen:
Portweiterleitung des Internet-Routers für Telefonie aktiv halten: 30 Sek.

Sofern vermeidbar und nicht zwingend notwendig sollte man auf das Weiterleiten von Port 5060/udp (SIP) zur FRITZ!Box verzichten. Hintergrund ist, das über diesen Port die Registrierungen von Telefonverbindungen stattfinden. Ein solch zum Internet hin offener Port kann im Falle geknackter Zugangsdaten für den Missbrauch genutzt werden.

Wenn es doch nicht anders geht, sollte man den Zugriff auf diesen Port soweit möglich einschränken. Beispielsweise das nur der Telefonieserver des Anbieters sich verbinden darf. Siehe dazu: Securepoint UTM: Telekom-VoIP-Gespräche brechen nach 15 Minuten ab

Entfernte Telefone wie beispielsweise Smartphones die als Nebenstelle dienen oder welche im HomeOffice sollte man besser via VPN anbinden!

Telekom-Telefonie

Wird ein solches Szenario, sprich FRITZ!Box als Telefonanlage hinter einem anderen Router, eingesetzt und der Anschluss stammt von der Telekom, so wird normalerweise “Anonymous” für die Registrierung der Rufnummern verwendet. Im Idealfall kann man dies in der FRITZ!Box so lassen. Es kann allerdings auch vorkommen, das nach dem Wechsel der Betriebsart dies so nicht mehr funktioniert. In einem solchen Fall muss man die entsprechenden Telekom-Zugangsdaten für die einzelnen Rufnummern in der FRITZ!Box eintragen.

Mesh

Eine FRITZ!Box kann als Mesh-Master oder Mesh-Repeater betrieben werden. Es kann vorkommen, das mit dem Wechsel der Betriebsart sich auch der Mesh-Modus ändert, in einem solchen Fall muss man den Modus wieder manuell ändern und ggf. das Mesh neu aufbauen.

Smart Home

Die Smart Home-Funktionen können in der Regel weiter verwendet werden. Bereits verbundene Geräte bleiben samt ihrer Einstellungen nach dem Wechsel der Betriebsart erhalten.

Troubleshooting

Wenn’s dennoch klemmt, bleibt mitunter nur das nähere Hinschauen. Beim letzten Einsatz dieser Art lies sich die FRITZ!Box, eine 7490, zwar in die IP-Client-Betriebsart wechseln, allerdings übernahm Sie zunächst nicht die manuell vergebene IP-Adresse, so dass dieser Schritt nochmal wiederholt werden musste. Ferner gerieten die Einstellungen des Anrufbeantworters durcheinander, wobei an der Telefonie überhaupt nichts verändert wurde.

Beim Wechsel der Mesh-Betriebsart von Repeater zu Master kann es zudem passieren, das die FRITZ!Box ihre manuell zugewiesen IP-Einstellungen verändert. Bei einem Kunden wurde zwar die IP-Adresse sowie Subnetzmaske beibehalten, allerdings wurde bei Gateway und DNS aus dem AVM-typischen Netz “192.168.180.x” eingetragen.

Bei allem weiteren muss man ggf. tiefer gehen. Speziell bei pfSense und Securepoint bietet sich der Einsatz von

  • tcpdump
  • conntrack (sofern nicht entladen) und
  • netstat -a

an. Siehe dazu:

Securepoint – Wiki – UTM – Fehleranalyse mit tcpdump

The conntrack-tools user manual

Quellen:

OPNsense – Forum – Telekom-VoIP mit Fritzbox 7490 hinter opnSense

Devilsystems.org – Fritz.Box hinter Sophos Firewall und VOIP weiter nutzen

Telekom – Community – FritzBox 7490 als Telefonanlage hinter Router

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.