fli4l vor oder hinter einer Fritz!Box?
In diesem Artikel versuche ich, zwei Netzwerkarchitekturen zu vergleichen und zur Diskussion zu stellen.
Vorüberlegungen
Dieser Vergleich trifft verschiedene Annahmen, die nicht in jeder Netzwerktopologie so implementiert werden müssen.
Es werden nicht in jeder Installation Dienste im Internet angeboten, so dass eine DMZ nicht immer notwendig erscheint. Auf der anderen Seite gibt es immer mehr Geräte, die einen Netzwerkanschluss haben und über das Internet Daten austauschen wollen. Das können eine Heizungssteuerung, die Türklingel mit Kamera oder der Fernseher sein. Ich persönlich würde all diese Gerät ungern in meinem LAN haben wollen sondern diese Geräte in einem Subnetz betreiben, das keinen Zugriff auf mein LAN hat. Damit würde ich verhindern, dass ein Gerät mit unsicherer (häufig nicht aktualisierbarer) Firmware an die Daten im LAN kommt.
Zusätzlich lassen einem nicht alle Provider die Wahl, eine Topologie auszuwählen: Sei weil der Anschluss nur mit einem gestellten Gerät funktioniert, sei es weil der Support für nicht vom Provider bezogene Hardware verweigert wird oder weil es der Anschluss nicht hergibt (DSL & LTE hybrid).
fli4l vor der Fritz!Box
Wenn der fli4l vor der Fritz!Box betrieben wird, sieht die Topologie in etwa so aus:
Diese Topologie hat folgende Vorteile:
- Eine zentrale Konfiguration des fli4l für fast alle Belange des Netzes
- Bereitstellung einer DMZ, falls gewünscht
- Der fli4l hat eine zentrale Rolle, so dass dort viele Dienste bereitgestellt werden können:
- QoS für das gesamte Netzwerk
- DNS und NTP Server
- Neustart der Frtitz!Box veranlassen, wenn die Internetverbindung neu aufgebaut wird.
- In der Fritz!Box werden "nur" die Zugangsdaten der Telefonie konfiguriert.
- Die flexible Zugriffskontrolle des fli4l über die Firewall-Regeln ermöglicht es, sehr genau festzulegen, welche Subnetze/Geräte jeweils den Zugriff auf andere Subnetze/Geräte bekommen.
fli4l hinter der Fritz!Box
Wenn der fli4l hinter der Fritz!Box betrieben wird, sieht die Topologie in etwa so aus:
Bemerkung: der fli4l wird sinnvollerweise als "Exposed Host" auf der Fritz!Box eingerichtet. Falls
Diese Topologie hat folgende Vorteile:
- Die Funktion der Telefonie ist im Allgemeinen gegeben (sogar bei O2, siehe Tread: O2 voip (Fritz!Box) hinter fli4l: welche Port forwarden?)
- Es müssen keine Portweiterleitungen für die Telefonie konfiguriert werden.
- Nach meinem Verständnis können Zugriffsversuche auf den fli4l von Geräten, die mit der Fritz!Box verbunden sind, nicht von Zugriffsversuchen aus dem Internet unterschieden werden. Da Zugriffe aus dem Internet aus das LAN im Allgemeinen unterbunden werden, habe Geräte, die mit der Fritz!Box verbunden sind, praktisch keinen Zugriff auf das LAN.
- Der fli4l wird als Ethernet-Router eingerichtet, trennt die DMZ vom LAN und leitet ausgewählte Ports in die DMZ. Dabei ist es wichtig, das der fli4l kein NAT macht, das wird schon in der Fritz!Box implementiert.
Abschlussbemerkung
Natürlich kann auf dem Router auch eine andere Software als fli4l eingesetzt werden, die Ähnliches leistet wie fli4l. Das ändert aber nichts an der Vorteilen der jeweiligen Topologie.
Fazit
Ich hoffe, möglichst alle Vorteile jeweils erwähnt zu haben. Je nach dem wie ein Leser die jeweiligen Vorteile bewertet, kann die Auswahl der Topologie erfolgen.