Fritzbox Konfiguration

Ausgehend von der Beschreibung für welche Dienste die einzelnen Ports benötig werden und ein paar Beispiele welche Scripte auf z.B. Bank-Seiten aufgerufen werden, folgt hier nun eine mögliche Konfiguration der FritzBox - FB.

Firmware-Update

Siehe: System > Update > Auto-Update
Sicherheits-Updates sollten stehts so früh wie möglich, also automatisch, installiert werden.


import

Fritzbox Port-Konfiguration

Grob kann man sagen alle externen Anfragen an die Fritzbox - FB
nicht an die angeschlossenen Geräte weiter gereicht werden.
Sollte jedoch ein Gerät von innen heraus eine Anfrage ins Internet stellen,
wird dafür der entsprechende Port in beide Richtungen geöffnet.
In der Standard Einstellung der FB kann man alle Ports von innen öffnen.
Um zu vermeiden, dass vielleicht der Drucker, DVD-Player, TV, Receiver, etc. zum "(ro-)bot" wird,
kann man z.B. das nach Hause telefonieren unterbinden oder auf gewisse Ports einschränken.

Um alle Einstellungen vornehmen zu können, ist die erweiterte Ansicht nötig.

import

Zunächst die Übersicht Menü: Internet > Filter > Blatt Kindersicherung
Der Drucker HL-3040CN darf nicht ins Internet... (hat das Zugangsprofil Gesperrt)
Grundsätzlich sollten alle Geräte, welche nicht unbedingt ins Internet müssen gesperrt werden.
z.B. TV, DVD-Player, Verstärker, etc. Der Rechner gj2 hat unbeschränkten Zugriff ins Internet (Zugangsprofil Unbeschränkt)
Alles was neu aufgenommen wird, wird, wird dem Profil 'Standard' zugeordnet.
Es sei denn, dass wird händisch geändert.

import


Die Zugangsprofile lassen sich editieren. Siehe unter Internet > Filter > Zugangsprofile
Hier sind noch die Standard-Einstellungen zu sehen mit den 4 Profilen:

Gast, Gesperrt, Standard und Unbeschränkt.

import


Klickt man beim Profil 'Standard' rechts den Edit-Profil Knopf an, bekommt man folgendes Menü.
Hier habe ich mich entschieden Seiten via Blacklist zu filtern und
habe die Anwendung 'Sufen und Mailen' ausgewählt.

Die Blacklist selber möglichst später an anderer Stelle editieren.

import

So sieht es aus wenn das Profil Standard bereits verändert ist, sodass nur noch die Anwendungen
Surfen & Mailen möglich sind.

import

Menü Internet > Filter Blatt Listen
Hier kann man die jeweilige Anwendung anpassen oder ergänzen.
Und hier kann man auch eine Blacklist eintragen.


Beispiel einer möglichen Blacklist

google-analytics.com
gstatic.com
googletagmanager.com
ajax.googleapis.com
google.com
youtube-nocookie.com
optimizely.com
facebook.net
adobedtm.com
msecnd.net
etracker.com
addsearch.com
twitter.com

maximal 500 Einträge...


Bzw. so sieht das Blacklist Beispiel nach Eingabe aus:

import

Und so sieht dann eine Fehlermeldung aus, wenn man eine Seite aufruft, welche sich in der Blacklist befindet.

import

Nun gucken wir welche Netzanwendungen es gibt.
Wenn man auf die jeweiligen Stiftsymbole klickt bekommt man die Details welche unten in der Tabelle abgebildet sind.

import

voreingestellte Anwendungen & die entsprechend gesperrten Ports

Anwendung Protokoll Quellport Zielport was noch erlaubt ist
HTTP-Server TCP 80 beliebig
FTP-Server TCP 20-21 beliebig
eMule TCP beliebig 4662
eMule UDP beliebig 4672
BitTorrent TCP beliebig 6881-6999
MS Remote Desktop TCP 3389 beliebig
SSH TCP beliebig 22
Telnet TCP beliebig 23
nicht (Surfen und Mailen) TCP beliebig 1-24
26-79
81-109
111-142
144-442
444-464
466-586
588-992
994-994
996-8079
8081-65535
25 SMTP
80 HTTP
110 POP3
143 IMAP
443 HTTPs
465 SMTPS
587 SMTP
993 IMAPs
995 POP3s
8080 HTTP
nicht (Surfen und Mailen) UDP beliebig beliebig alles offen


neue erstellte Anwendung & deren gesperrte Ports

Beispielsweise möchte ich einen Filter bauen, welcher nur die tatsächlich in Thunderbird (für e-mail) verwendeten Port öffnet,
Surfen ermöglicht (http & https) und verschlüsselten FTP-Zugriff auf einen Web-Server erlaubt.

Anwendung Protokoll Quellport Zielport Kommentar
Mail, Web, FTP, Rest blockiert TCP beliebig 1 - 79
81 - 442
444 - 464
466 - 988
991 - 992
994 - 65535
80 HTTP
443 HTTPS
465 SMTPs
989, 990 FTP over TLS
993 IMAPs
UDP beliebig beliebig alles offen

Gemäß obiger Tabelle habe ich eine neue Netzanwendung Mail_Web_FTP kreiert.


import

Internet > Filter > Zugangsprofil
Habe das Ergebnis nach Einstellung der Anwendung Mail_Web_FTP als Standard Profil eingetragen.

import

Fritzbox WLAN-Konfiguration



Siehe im Menü: WLAN > Funknetz
Der Name des Funknetzes (SSID) sollte nicht auf den Benutzer oder
das Gerät (mit spezifischen Schwächen) rückschließen lassen.
Evtl. wenn alle Geräte sich angemeldet haben, kann man die Sichtbarkeit ausschalten.

Alle Passworte (Router-Passwort, WLAN-Passwort, ftp-Passwort, etc.) sollten neu vergeben werden und nicht den berechenbaren abgedruckten entsprechen.

import

Einstellung: WLAN > Sicherheit > Verschlüsselung
WPA2 sollte nur zugelassen sein. WPA ist rel. schnell knackbar und sollte de-aktiviert bleiben.
Der WLAN-Schlüssel sollte keinen aussprechbaren Namen enthalten und möglichst exotische Zeichen enthalten.
Wenn WLAN-Geräte ausschließlich ins LAN oder WLAN gehen, kann das untereinander kommunizieren der WLAN-Geräte unterbunden werden.

import

Einstellung: WLAN > Sicherheit > Verschlüsselung
Die Option nur bekannte WLAN-Geräte zuzulassen ist nur bedingt hilfreich, da prinzipiell jede MAC-Adresse einstellbar ist.

import

Siehe: WLAN > Sicherheit > WPS-Schnellverbindung
Auf WPS sollte man auf jeden Fall verzichten! Es ist zwar bequem und in fast jeden Router pre Default aktiv, aber dann ist auch kein WPA mehr nötig... Siehe z.B. grundlagen-computer.de WPS-Lücke

import

Siehe: WLAN > Gastzugang
Ist sinnvoll, wenn ein Zugriff aufs Intranet (Drucker, NAS, etc.) unterbunden werden soll.

Siehe: WLAN > Funknetz > Edit Button
Und: Heimnetz > Netzwerk > Netzerkverbindungen > Edit Button
Alle Geräte im LAN oder WLAN sollten eine feste IP-Adresse bekommen.
Ist sinnvoll wenn man am Debugging ist oder den jetzigen Stand mit einen alten vergleicht.

import

Details des WLAN-Gerätes:
Die per DHCP von der FB festgelegten Adresse für alle Zukunft festlegen.

import

Firewall, UPnP, NTP & externer DNS

Siehe: Heimnetz > Netzwerk > Netzwerkeinstellungen
Ob die FB der Router wird, welcher z.B. über DSL mit den Internet verbunden ist,
per DHCP IP-Adressen vergibt, DNS-Dienste zur Verfügung stellt, etc. (Router)
oder eher ein interner Switch oder Accesspoint ohne Firewall darstellt, entscheidet sich hier (Client).

import

Siehe: Heimnetz > Netzwerk > Netzwerkeinstellungen > weiter runter gescrollt
Umkonfiguration der FB sollte tunlichst nicht über externe Anwendungen passieren.
Oder zumindest nur kurz für die Einrichtung um es dann danach wieder dauerhaft zu de-aktivieren.
siehe z.B. pc-magazin.de Fernwartungs-Leck

Die IP-Adresse wo sich die FB im lokalen Netz finden lässt, wird hier eingestellt. Standard für die FB ist 192.168.178.1.

Die FB sollte sich die Zeit von einen sog. ntp-Server z.B. 0.pool.ntp.org holen,
sodaß alle and die FB angeschlossenen Geräte sich die Uhrzeit von der FB holen können
(und nicht nach draußen Telefonieren müssen).
Also Zeile editieren zu z.B.: ptbtime1.ptb.de;0.pool.ntp.org;ntp1.t-online.de

import

Da es leider gängige Praxis der ISP - Internet Service Provider ist, via DNS mit zu schneiden, was die Kunden interessiert, bzw. es kommt dann ab und zu unfreiwillig die Telekom-Seite zum Vorschein, obwohl man sie gar nicht eingegeben hat, macht es Sinn die vorgegebenen Standard DNS-Server aus zu tauschen, gegen freie.

Siehe: Internet > Zugangsdaten > DNS-Server
80.241.218.68 ist der Nameserver von dismail.de
Bzw. 46.182.19.48 gehört zu digitalcourage.de

Interessante Artikel zu diesem Thema sind beispielsweise folgende:
ungefiltert-surfen.de Liste an freien DNS
privacy-handbuch.de div. Tips rund um Sicherheit


import

Fritzbox Troubleshooting

Manchmal ist es nötig einen Paketmitschnitt zu machen um zu wissen was genau für Ports erforderlich sind oder noch geschlossen werden müssen. Dies geschieht über folgende URL...

https://fritz.box/html/capture.html

Unter Internet > Routing-Schnittstelle kann man den Mitschnitt starten.

import

Erst wenn die ersten Bytes angetroffen sind, wird man im Browser gebeten eine Datei zu sichern.

import

Wichtig ist zum Ende des Mitschnittes auf Stop zu drücken und zu warten bis der Mitschnitt abgeschlossen ist.
Andernfalls verliert man unter Umständen den ganzen Mitschnitt.
Das Ergenis kann man sich dann mit den Netzwerk-Analyse-Tool Wireshark angucken.

Weitere Diagnose-Möglichkeiten der Fritzbox findet man unter folgender URL: https://fritz.box/support.lua

import

Die Seite ist noch länger ...

Sollte es nötig sein die FB neu zu initialisieren, kann man das im Falle das es eine Box mit Telefonanschluss ist,
über das Telefon machen FB-Reset #991*15901590*

Wenn man mehrere FB im gleichen Netz hat,
so macht es Sinn vor der Slave-Einstellung (als IP-Client) jeder Box eine andere Adresse zu geben.
Siehe Heimnetz > Netzwerk > Netzwerkeinstellungen > IP-Adressen
Die Standard Einstellung ist 192.168.178.1
Hier könnte man beispielsweise 192.168.178.2 für die 2. FB einstellen.
Spätestens wenn man diese 2. FB auf IP-Client stellt,
wird von der 1. FB, via DHCP, eine andere Adresse, als 192.168.178.2 zugewiesen.

Sollte nun die 1. FB nicht mehr erreichbar sein, wird man auch nicht mehr die 2. FB erreichen können,
da der DHCP Dienst der 1. FB fehlt.
Hier hilft dann nur noch statisch im PC (ohne DHCP) die Notfall IP 169.254.1.x x<>1 ein zu stellen,
den Browser mit 169.254.1.1 zum Start vorbereiten und die 2. FB neu zu booten.

2 Fritzboxen jeweils mit DECT

Möchte man im Haus mehrer DECT-Telefone benutzen, so sind leicht Reichweiten-Probleme festzustellen.
Für den ursprünglichen Telekom-Router Speedport Smart
habe ich keinen passenden DECT-Repeater gefunden, wo ich sicher sein konnte dass er auch funktioniert.

Ein Lösungsansatz wäre ein DECT-Repeater z.B. AVM FRITZDECT 100 für ca. 80,-
und ein WLAN-Repeater z.B. FRITZ WLAN 1750E für 75,- zu kaufen.

Viel einfacher ist es sich zwei identische FB's zu kaufen z.B. 2x 7530 je 109,-
Die 1. FB kann man dann mit der Erdgeschoss-Telefonnummer belegen
und die 2. FB z.B. mit den Telefonnummern für die Kinder.
Optimal verbindet man noch die beiden FB's per LAN.
Es geht aber auch mit einer WLAN-Verbindung...

P.S. ich arbeite nicht bei AVM und beziehe kein Geld von denen und
die wissen noch nicht einmal von Ihren Glück, daß ich sie bewerbe ;-)

© 2019, letzte Änderung am 16.02.20