Seite 3 von 3 ErsteErste 123
Ergebnis 21 bis 28 von 28
  1. #21
    Anwender
    Registriert seit
    28.01.2015
    Beiträge
    1

    Standard

    Zitat Zitat von rabu Beitrag anzeigen
    ok, das verstehe ich. Wenn eins von beidem kaputt dann großes problem.
    gibt es sonstige vor- oder Nachteile? evtl. fallback-lösungen?
    Nehmen wir an, Du möchtest einen tftpd-Server für eine PXE-Lösung einrichten (auf deutsch: Dein PC soll wegen Festplattendefekt oder aus anderem Anlass aus dem Netzwerk booten), dann muss der DHCP-Server auf einen Bootloader verweisen. Ob und ggf. welche Fritzboxen das können, weiß ich nicht, aber meine kanns nicht. Mit der Synology hingegen ist das möglich und die Images für den Netzwerk-Bootvorgang lassen sich auch direkt in einem gemeinsamen Ordner auf dem NAS einrichten.

  2. #22

    Standard

    Guten Morgen zusammen,

    ich hatte das selbe Problem. Bei mir war es aber die Lösung, das ich für 2 Schnittstellen eines PCs die selbe IP Adresse vergeben habe, und dadurch der DHCP nicht startete. Ist mir leider nur in der Systemprotokolldatei/var/log/messages aufgefallen.

  3. #23
    Anwender
    Registriert seit
    11.11.2015
    Beiträge
    156

    Standard

    Zitat Zitat von Sadam1971 Beitrag anzeigen
    Nehmen wir an, Du möchtest einen tftpd-Server für eine PXE-Lösung einrichten (auf deutsch: Dein PC soll wegen Festplattendefekt oder aus anderem Anlass aus dem Netzwerk booten), dann muss der DHCP-Server auf einen Bootloader verweisen. Ob und ggf. welche Fritzboxen das können, weiß ich nicht, aber meine kanns nicht. Mit der Synology hingegen ist das möglich und die Images für den Netzwerk-Bootvorgang lassen sich auch direkt in einem gemeinsamen Ordner auf dem NAS einrichten.
    Die Fritzboxen können das nicht aber SynDNSmasq als Paket auf der DS installieren und konfigurieren und fertig. Da muss an der Fritzbox nix geändert werden und DHCP auf der Fritzbox ist auch kein Problem und ne Fritzbox fällt eher seltener aus.
    Gruß Outi .... DS215j .... (DSM aktuell / automatisches Update)

  4. #24
    Anwender
    Registriert seit
    20.03.2013
    Beiträge
    46

    Standard

    Zitat Zitat von catweazle71 Beitrag anzeigen
    Ja, hinterher war mir das dann auch klar
    Hat aber ne Weile gedauert ...
    Ohjaa.. so ging es mir eben auch.

    Aber eine Frage zur FW Regel. Dieses "Quell-IP: ALLE", wie gefährlich ist das bzw negiert es nicht die komplette Firewall?
    Ich hab bisher nur die nötigsten Ports im jeweiligen Subnetz freigegeben. Z.B 192.168.0.0/255.255.255.0

    Was heisst denn genau "ALLE"? Alle lokalen IPs oder auch jede von außen? Ich finde die Synology FW etwas verwirrend.
    DS216+II (DSM6) - private data // DS1515 (DSM6) - media - web - dhcp - radius - dns - vpn - surveillance // DS112j (DSM6) - backup

  5. #25
    Anwender Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    17.480

    Standard

    "Alle" heißt wie sonst auch immer "alle"...
    DS713+ | 2x 1TB Crucial M500 SSD # 4GB RAM # be quiet! Shadow Wings | DSM 6.1.7-15284-U3
    DS212+ | Backup-DS: 2x 4TB HGST Deskstar NAS | DSM 6.1.7-15284-U3
    Extras: fail2ban 0.11.0 - Java 1.8.0.212 - Nextcloud 16.0.4 - Roundcube 1.3.8 - HumHub 1.3.15 - tt-rss 19.02
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

  6. #26
    Anwender
    Registriert seit
    04.03.2010
    Beiträge
    473

    Standard

    Hi Boxxy,

    Frogman hat natürlich recht, aber vielleicht zum leichteren Verständnis ...

    ANgenommen Du betreibst einen Webserver. Beim Betrieb einer DS ja gar nicht so ungewöhnlich. Wie willst Du das dann ausschließen? Du möchtest ja, dass ein beliebiger Client im Internet Deine Webseite erreichen kann. Das geht nur, wenn SourceIP auf Alle steht. Ein anderes Beispiel. DU willst mit einem mobilen Endgerät auf Deine DS zugreifen. Woher willst Du wissen, welche IP Dein mobiles Gerät hat. DArüber hinaus wird es vom Anbieter vermutlich ständig eine neue IP bekommen. Da Du die IP also nicht zu jedem Zeitpunkt kennst und sich diese auch noch regelmäßig ändert, kannst Du die FW nur auf ALLE einstellen. Das geht leider nicht anders.

    Du filterst jedoch auf anderem Wege.
    1. Die Zieladresse ist immer Deine DS. Ein Zugriff auf andere Geräte im Netz sind also ausgeschlossen (naja, von Hacking mal abgesehen ;-))
    2. Du gibst in der Regel ja nur einen oder bestimmte wenige Ports frei. Also z.b. 80, 443 für http/s. Es kann also nur über eine bestimmte ANwendungslogik kommuniziert werden.
    3. In der Regel betriebt man ja neben der DS auch einen Internet-Router (DSL, Kabel). Im Falle von DHCP verhindert der, dass DHCP Anfragen aus dem Internet überhaupt an der DS ankommen. Denn an dem Router wirst Du wohl kaum eine Freischaltung für DHCP konfigurieren ;-)

    Um Kommunikation nur in Deinem LAN zu ermöglichen, kannst Du in der FW in der DS Subnetze eintragen. Das geht super. ABER aus den oben beschriebenen Gründen eben gerade nicht bei DHCP ;-)

    Hoffe das hilft Dir ein wenig zum Verständnis :-)
    "Keiner plant Fehler zu machen, aber die meisten Fehler entstehen in der Planung"

  7. #27
    Anwender
    Registriert seit
    20.03.2013
    Beiträge
    46

    Standard

    Das "alle" alle heißt ist mir schon klar. Hab mich vielleicht ein wenig unklar ausgedrückt


    Danke Catweazle für die Erklärung

    Zitat Zitat von catweazle71 Beitrag anzeigen
    3. In der Regel betriebt man ja neben der DS auch einen Internet-Router (DSL, Kabel). Im Falle von DHCP verhindert der, dass DHCP Anfragen aus dem Internet überhaupt an der DS ankommen. Denn an dem Router wirst Du wohl kaum eine Freischaltung für DHCP konfigurieren ;-)
    Genau das meinte ich.
    Meine DS hängt an einer managed Switch, welche widerum am Router hängt. Internetzugang an der DS ist konfiguriert und aktiv.
    Die Verwirrung war ob Synology mit "alle" eben alle IPs aus dem lokalen Netz meint oder eben alle im Sinne von weltweit/Internet. Schließlich habe ich ja einen Router davor, der eigentlich exterenen traffic filtern soll.

    Das heißt aber in dem Fall, falls jemand durch meinen Router durchbricht, er vollen zugang zur DS hat?! Da kann man sich die FireWall also gleich schenken, wenn man wegen dem DHCP alle IPs freigeben muss, oder?
    Die Reihenfolge der Regeln spielt anscheinend ebenfalls eine Rolle.

    Bei mir habe ich die DHCP Ports (und alle anderen, die ich benötige) auf LAN4 eingetragen.
    Jedoch getrennt.
    Erste Regel: meine Ports. (192.168.0.0/255.255.255.0)
    Zweite Regel: DHCP Server und DHCPv6 Server. (Alle)

    Funktionieren tut es, aber ich weiß nicht ob das richtig ist oder überhaupt eingreift.
    Theoretisch müsste so die FireWall korrekt eingestellt sein. Alles ist gesperrt, bis auf die einzelnen Ports und dann auch nur im lokalen Netwerk. Und der DHCP ist zwar frei für alle, was aber hoffentlich keine allzugroße Sicherheitslücke darstellt, da er zum einen, dadurch, dass die DS hinter dem Router sitzt sowieso aus dem Internet geschützt sein sollte, also trotzt "alle" bloß im lokalen Netzwerk offen ist. Und sowieso nur Port 67,68 und 546,547 betroffen sind.


    Gedanke meinerseits:
    Und ist es nicht so, dass eine default IP im Bereich 169.254.xxx.xxx zugewiesen wird? Kann man in der Firewall, statt "alle", nicht nur 0.0.0.0 und 169.254.0.0 öffnen, damit der DHCP funktioniert?


    Da ich momentan mein komplettes Netzwerk erweitere und umstrukturiere, möchte ich es so stark absichern wie es geht.
    DS216+II (DSM6) - private data // DS1515 (DSM6) - media - web - dhcp - radius - dns - vpn - surveillance // DS112j (DSM6) - backup

  8. #28
    Anwender
    Registriert seit
    04.03.2010
    Beiträge
    473

    Standard

    Hi Boxxy,

    Deinen "Gedanken" habe ich persönlich noch nicht ausprobiert. Aber ehrlich gesagt, wenn jemand durch Deinen Router kommt (hackt), dann steht er eh in Deinem LAN und kann IP-technisch alles erreichen und fröhlich weiter hacken. Ob nun Deine DS oder Dein Router oder sonst was DHCP Server spielt, ist dann auch egal, erbekommt so oder so eine IP in Deinem LAN zugewiesen. Es sein denn Du würdest nur feste IP's vergeben und diese an die MAC Adresse binden. Jemand, der durch Deinen Router kommt, wird dann aber mal eben seine MAC faken und ggf. doch eine IP bekommen. Und Nein, die FW kannst Du Dir natürlich nicht schenken, denn sie filter ja auch über Ports. Es ist also nur DHCP für alle freigegeben. Hast Du kein FTP z.b., dann kann auch keiner über FTP Ports zugreifen und Schwachstellen im FTP Protokoll ausnutzen.

    Kurz gesagt ist das "works as designed" ;-) Du kannst Dir natürlich noch ein IDPS dazu basteln und versuchen, solche Angriffe zu erkennen. Oder Du baust Dir eine DMZ auf und versuchst dadurch, die Kommunikation von der DMZ ins LAN weiter abzusichern. Aber 100% Schutz gibt es eben nicht.

    Wenn Du nach außen erreichbar sein willst, dann bist Du auch von außen angreifbar. Ansonsten musst Du halt Dein Netzwerkkabel ziehen und Du bist sicher ;-) War'n Scherz :-)

    Ich habe z.b. aktuell 10 Portfreigaben in der FritzBox aktiviert, die alle auf die DS gehen. No Risk, no Fun ;-)

    Lass einfach nur das durch, was Du wirklich ganz sicher benötigst, und Du bist besser abgesichert als jedes mittlere und große Unternehmen. Gute Passwörter wählen etc.

    ps: Alle heißt natürlich intern und extern, den gesamten IPv4 / IPv6 Adressraum
    "Keiner plant Fehler zu machen, aber die meisten Fehler entstehen in der Planung"

Seite 3 von 3 ErsteErste 123

Ähnliche Themen

  1. EZ Internet mit Fritz!Box 7390 (Multi.box)
    Von matze_de im Forum Netzwerkkonfiguration
    Antworten: 2
    Letzter Beitrag: 30.12.2013, 16:53
  2. Fritz!Box Frontend, keine Berechtigung
    Von bishop2k im Forum Andere 3rd Party Anwendungen
    Antworten: 0
    Letzter Beitrag: 16.09.2013, 18:27
  3. Antworten: 4
    Letzter Beitrag: 31.05.2012, 11:12
  4. FRITZ Box 3370 DHCP
    Von Herbert_Testmann im Forum Off-Topic
    Antworten: 16
    Letzter Beitrag: 19.07.2011, 17:44
  5. Installation der DS110j mit FRITZ!Box WLAN 3270
    Von Giotto im Forum Installation und Konfiguration allgemein
    Antworten: 6
    Letzter Beitrag: 10.02.2011, 14:09

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •