FRITZ!Box, isolierte Geräte im WLAN und ARP-Binding (Anti-ARP-Spoofing) (2023)

S

Serk

Lieutenant
Dabei seit
Jan. 2019
Beiträge
971
  • 17. Oktober 2019
  • #1

Sehe ich das falsch oder kann man im WLAN die Einstellung "Die unten angezeigten aktiven WLAN-Geräte dürfen untereinander kommunizieren" nur für das gesamte WLAN aktivieren, nicht aber einzelne Geräte befreien?

Man könnte jetzt vielleicht auf die Idee kommen, für die isolierten Geräte das Gastnetz zu verwenden, mein Problem dabei ist jedoch, dass das Gastnetz sowohl 2,4 als auch 5,0 GHz nutzt (ich sehe keine Möglichkeit das einzustellen) und das Gerät, das ich verbinden will, die Verknüpfung verweigert, da es das isolierte WLAN als 5,0 GHz erkennt und da es das nicht unterstützt die Verknüpfung verweigert. Dumm, sonst wäre das vielleicht die Lösung gewesen.

Andere Vorschläge?

Außerdem stelle ich mir gerade die Frage, wie ich in der FRITZ!Box ARP-Binding (feste ARP-Tabelle) konfigurieren kann. Soweit ich das erkenne, gibt es das gar nicht? Lediglich kann man dem Gerät eine feste IP-Adresse (DHCP) zuweisen, nicht aber dem Router sagen, dass er zu einer festgelegten IP-Adresse lediglich Pakete an die dazu eingetragene MAC-Adresse sendet (und nicht an ein anderes Gerät, das ARP-Spoofing nutzt).

Habt ihr hierzu vielleicht auch eine Idee?

PS: FRITZ!Box 6490 Cable

H

Harrdy

Lt. Junior Grade
Dabei seit
Okt. 2008
Beiträge
324
  • 17. Oktober 2019
  • #2

Die Fritzbox ist eher nach dem 0-8-15 User ausgerichtet. Du wirst dich damit abfinden müssen das erweiterte Features aus dem SOHO/Enterprise bereich in einer Fritzbox nicht zu finden sind.

Die Einstellung um 2,4 oder 5 Ghz abzuschalten greift für beide Netze. Sowohl das Heimnetz als auch das Gastnetz. Ebenso gibt es keine Features gegen ARP-Spoofing. Lediglich die AP-Client Isolation.

S

Serk

Lieutenant

Ersteller dieses Themas

Dabei seit
Jan. 2019
Beiträge
971
  • 17. Oktober 2019
  • #3

Also wie befürchtet. Für mich fast unbegreiflich, da ich vorher Router von TP-Link hatte und die hatten das alle, selbst für das wesentlich kleinere Geld. Und so eine FRITZ!Box 6490 Cable ist ja auch schon nicht ganz so günstig.

Es ist aber auch dumm, dass man für das Gastnetz zwar AP-Isolation einschalten kann, aber nicht auch gleich sagen kann, dass das nur über 2,4 GHz laufen soll. Und dabei schwärmen immer alle so von AVM und den FRITZ! Geräten.

Nur was will man da machen, große Auswahl an Kabelmodems hat man nicht (und die anderen können das vermutlich ebenso wenig) und einen eigenen Router (den alten TP-Link) dahinterklemmen möchte ich eigentlich auch nicht...

Zuletzt bearbeitet:

E

error

Lt. Commander
Dabei seit
Aug. 2007
Beiträge
1.306
  • 17. Oktober 2019
  • #4

Moin,

Zitat von Serk:

Sehe ich das falsch oder kann man im WLAN die Einstellung "Die unten angezeigten aktiven WLAN-Geräte dürfen untereinander kommunizieren" nur für das gesamte WLAN aktivieren, nicht aber einzelne Geräte befreien?

Ja, bei der FB ist das so.

Zitat von Serk:

Man könnte jetzt vielleicht auf die Idee kommen, für die isolierten Geräte das Gastnetz zu verwenden, mein Problem dabei ist jedoch, dass das Gastnetz sowohl 2,4 als auch 5,0 GHz nutzt (ich sehe keine Möglichkeit das einzustellen) und das Gerät, das ich verbinden will, die Verknüpfung verweigert, da es das isolierte WLAN als 5,0 GHz erkennt und da es das nicht unterstützt die Verknüpfung verweigert. Dumm, sonst wäre das vielleicht die Lösung gewesen.

Andere Vorschläge?

Hä? Wenn dein Gerät kein 5Ghz -Antennen hat kann es sich auch nicht damit verbinden und erst recht nicht das Wlan sehen. Egal wie es sich nennt.
Alternativ kannst du unter Wlan auch separate Namen für das 2,4 und 5 Ghz-Wlan vergeben und Filter für dein Endgerät einrichten.

Zitat von Serk:

Außerdem stelle ich mir gerade die Frage, wie ich in der FRITZ!Box ARP-Binding (feste ARP-Tabelle) konfigurieren kann. Soweit ich das erkenne, gibt es das gar nicht? Lediglich kann man dem Gerät eine feste IP-Adresse (DHCP) zuweisen, nicht aber dem Router sagen, dass er zu einer festgelegten IP-Adresse lediglich Pakete an die dazu eingetragene MAC-Adresse sendet (und nicht an ein anderes Gerät, das ARP-Spoofing nutzt).

Habt ihr hierzu vielleicht auch eine Idee?

PS: FRITZ!Box 6490 Cable

Das gibt es in der Fritzbox auch nicht. Und wenn du in deinem Heimnetz Angst vor Arp-Spoofing hast, dann gute Nacht. Das ist mehr als übertrieben. Außerdem machen statische Arp-Tabellen in der Regel keinen Sinn, da es zu aufwändigt ist diese zu pflegen und aktuell zu halten...

Zitat von Serk:

Also wie befürchtet. Für mich fast unbegreiflich, da ich vorher Router von TP-Link hatte und die hatten das alle, selbst für das wesentlich kleinere Geld. Und so eine FRITZ!Box 6490 Cable ist ja auch schon nicht ganz so günstig.

Falls es dir nicht aufgefallen ist sagt der Preis nichts über die Qualität eines Produktes aus. Der TP-Link Router kann auch nur so "viel" weil er auf OpenWRT basiert. Und bei TP-Link ist der Support eher bescheiden und die Produkte bekommen maximal vielleicht ein bis zwei Updates bevor sie end of life sind. Die Fritzbox ist für Heimanweder gedacht, die einen stabilen, sauberen und mit Updates versorgten Router wollen.

Zitat von Serk:

Es ist aber auch dumm, dass man für das Gastnetz zwar AP-Isolation einschalten kann, aber nicht auch gleich sagen kann, dass das nur über 2,4 GHz laufen soll. Und dabei schwärmen immer alle so von AVM und den FRITZ! Geräten.

Kauf dir einen Cisco-WLC oder einen Catalyst 9000er Switch und passende APs. Damit klappt das.

Zitat von Serk:

Nur was will man da machen, große Auswahl an Kabelmodems hat man nicht (und die anderen können das vermutlich ebenso wenig) und einen eigenen Router (den alten TP-Link) dahinterklemmen möchte ich eigentlich auch nicht...

Entweder du bleiibst bei der Fritte oder klemmst deinen eigenen Router dahinter mit all deinen Features, die du benötigst.

gruß

S

Serk

Lieutenant

Ersteller dieses Themas

Dabei seit
Jan. 2019
Beiträge
971
  • 30. Oktober 2019
  • #5

Zitat von error:

Hä? Wenn dein Gerät kein 5Ghz -Antennen hat kann es sich auch nicht damit verbinden und erst recht nicht das Wlan sehen. Egal wie es sich nennt.

Ja, das denkt man sich erst einmal. Und das stimmt auch, für das Gerät selbst. Allerdings wird das Gerät über eine App eingebunden und die liest aus dem Smartphone 5 GHz aus und meldet dann, dass das nicht ginge. Das ist dumm, keine Frage. Die Lösung: 5 GHz vorübergehend deaktivieren, Gerät einbinden, 5 GHz wieder aktivieren.

Der einzige Haken am Gastnetz ist und bleibt jedoch, dass hier alle Geräte reinkommen, die das Passwort kennen, beziehungsweise, dass hier weder der festgelegte IP-Bereich, noch die Einstellung "WLAN-Zugang auf die bekannten WLAN-Geräte beschränken" greift. Ich weiß, das wäre nicht im Sinne des Erfinders des Gastnetzes, aber in meinem Sinne, für das, wofür ich das Gastnetz gebrauchen kann: Als isoliertes WLAN, das keine direkte Kommunikation unter den Geräten zulässt. Einfacher wäre es, wenn die FRITZ!Box hier bessere Einstellungsmöglichkeiten hätte, aber die gibt es nun einmal nicht. Damit muss ich mich abfinden oder ich muss auf andere Hardware umsteigen oder erweitern. FRITZ!Box, isolierte Geräte im WLAN und ARP-Binding (Anti-ARP-Spoofing) (1)

Ob es nun übertrieben ist, das Optimum an Sicherheit rauszuholen oder nicht, sei mal dahingestellt. Mir ging es in erster Linie darum, die Möglichkeiten der FRITZ!Box zu eruieren beziehungsweise mich zu vergewissern, dass die FRITZ!Box in diesem Punkt tatsächlich das Nachsehen hat. Und nein, ich schiebe keine Paranoia, dass jemand das Passwort herausfindet. Dennoch, das normale WLAN habe ich nur für bekannte Geräte (feste IP) freigegeben.

Zuletzt bearbeitet:

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
15.903
  • 30. Oktober 2019
  • #6

Wenn ein 08/15-Router wie auch die Fritzbox einer ist nicht ausreicht, muss man sich eben nach semiprofessionellem Equipment umschauen. Die Gast-Funktion eines solchen Routers ist schlicht und ergreifend nur ein Haken in der GUI und dafür gedacht, dass Otto Normal auch mal den Kumpel relativ gefahrlos ins WLAN lassen kann. Wenn du das Gast-Netzwerk feiner einstellen musst und dir mehr Möglichkeiten wünschst, musst du dich eben auch von einem 08/15-Gerät für den Consumer-Markt lösen. Dann besorgst du dir einen semiprofessionellen (LAN-)Router wie zB einen ER-X von Ubiquiti oder ein vergleichbares Modell von MikroTik, definierst dort mehrere separate LANs oder auch VLANs und hängst in jedes LAN einen eigenständigen AP oder eben einen VLAN-fähigen AP. SO hast du volle Kontrolle über das rein/raus zwischen den Netzwerken und kannst alle deine Wünsche befriedigen. Es ist sinnfrei, sich darüber zu ärgern, dass eine Fritzbox nicht die notwendigen Features mitbringt, die von 10.000 Nutzern genau einer nutzen würde..............

Anmelden, um zu antworten.

Top Articles
Latest Posts
Article information

Author: Msgr. Refugio Daniel

Last Updated: 03/19/2023

Views: 6663

Rating: 4.3 / 5 (74 voted)

Reviews: 89% of readers found this page helpful

Author information

Name: Msgr. Refugio Daniel

Birthday: 1999-09-15

Address: 8416 Beatty Center, Derekfort, VA 72092-0500

Phone: +6838967160603

Job: Mining Executive

Hobby: Woodworking, Knitting, Fishing, Coffee roasting, Kayaking, Horseback riding, Kite flying

Introduction: My name is Msgr. Refugio Daniel, I am a fine, precious, encouraging, calm, glamorous, vivacious, friendly person who loves writing and wants to share my knowledge and understanding with you.