Freifunk-Router als Uplink an einer FritzBox betreiben

Diese Anleitung beschreibt die Einrichtung einer FritzBox mit Fokus auf Sicherheit

  • Der Freifunk Router sollte nicht im gleichen Subnetz wie das private Netzwerk sein.
  • Der Freifunk Router sollte keine Verbindungen in das Internet aufbauen dürfen, die über VPN (UDP 10000) hinausgehen.
  • Der Freifunk Router, als exponiertes IT-System, muss als potentiell kompromittiert betrachtet werden.
  • Die FritzBox muss im Modus „Ansicht: Erweitert“ sein
  • Die FritzBox kennt hinter Ihrem NAT zwei Netze, welche voneinander getrennt sind. Dabei handelt es sich um das reguläre private Netzwerk und um das Gästenetzwerk.
  • Das Gästenetzwerk kann man als zweites WLAN anbieten sowie auf den LAN-Port 4 der Fritz Box schalten.
  • Für das Gästenetz kann man über das Zugangs-Profil „Gast“ den Zugang zum Internet einschränken.
  • Die FritzBox selbst hat einen DNS Dienst, der von jedem Gerät aus dem Gästenetz erreichbar ist.

Dieser Lösungsansatz zielt darauf ab, den Freifunk Router in das Gästenetz zu isolieren und alle ausgehenden Verbindungen ausser UDP 10000 aus dem Gästenetz zu verbieten. Die FritzBox muss im „Ansicht:Erweitert“ sein, damit man die nötigen Änderungen wie „Anwendungen“ überhaupt einstellen kann.

  1. Unter „Filter“ - „Listen“ - „Netzwerkanwendung hinzufügen“ wird eine neue Netzwerkanwendung mit dem Namen „alles außer IPSec“ angelegt. Es soll nur Port 10000 UDP erlaubt sein, daher muss alles andere gesperrt werden.
  2. Unter „Filter“ - „Zugangsprofile“ dem Profil „Gast“ die Netzwerkanwendung „alles außer IPSec“ sperren.
  3. Unter „Netzwerk“ - „Netzwerkeinstellungen“ den Gastzugang für LAN4 aktivieren.
  4. Den Freifunk-Router an den LAN Port 4 der FritzBox anschließen.

Abgrenzung

Mit diesen Einstellungen ist das Gästenetz nicht mehr für das normale Surfen nutzbar. Diese Funktion übernimmt dann das Freifunk Netzwerk.

Sollte das FRITZ!Box-Gästenetz weiterhin benötigt werden, so ist es am einfachsten die vorhandene Liste „alles außer Surfen und Mailen“ um die oben genannten zwei UPD-Regeln zu erweitern und die vorhandene pauschale UDP-Regel zu löschen.

Vorsicht: Wer die Regel dabei auf „alles außer Surfen, Mailen und Freifunk“ oder so ähnlich umbenennt, der muss sie dem Zugangsprofil „Gast“ danach wieder zuordnen!