Guten Abend zusammen!
Ich betreibe meinen Freifunkrouter hinter einer Fritz!Box und wollte die erreichbaren Zielports für den Freifunkrouter ein bisschen einschränken. Dazu habe ich schon etwas nachgeforscht und nach meinem Verständnis müssten ja 53 UDP (und TCP) sowie 80 TCP (für Updates), und 10001-10011 UDP ausreichen. Dementsprechend habe ich folgendes konfiguriert:
Wenn ich das entsprechend zuweise bekomme ich als Client keine IP vom Freifunk WLAN. Fehlern da noch Ports?
Danke und Gruß,
Ben
Hallo standardmäßig müssen in der FritzBox keine Ports geändert werden, da die Standardkonfiguration ausreicht.
Das hängt von den Ports ab, die die Community in ihrer Firmware für das VPN nutzt. Das variiert oft, auch später mal, wenn Dinge umgestellt werden.
Wir verlieren damit regelmäßig Router bei FW-Updates, wenn die Aufsteller die UDP-Ranges zugenagelt haben.
BTW: Port80 TCP kannst Du zumachen, das sollte auch für Updates nicht genutzt werden.
Hier meine unmaßgebliche Meinung zu dem von @benlooning angesprochenen Problem:
Wenn ich (bewusst!) irgendeine Anwendung über meinen Heimrouter laufen lassen möchte, dann muss ich dieser Anwendung von vornherein ein gewisses Vertrauen entgegenbringen. Oder, ich kann diese fremde Anwendung selbst analysieren und eigenes Vertrauen aufbauen.
Wenn wir die Funktion des Freifunks analysieren, dann können wir sehen, dass der eigentliche für FF genutzte Kanal als (mehr oder weniger gutes/sicheres) VPN vom FF-host bis zum Server des betreffenden FF-Vereins geführt wird. Oder anders gesagt, dieser Kanal wird zwar von der Fritz!Box des Betreibers ins Internet geroutet, berührt aber das Hausnetz nur so weit, wie es für den Transport dieses Kanals erforderlich ist. Grundsätzlich ist dieser VPN-Kanal also recht gut vom Hausnetz isoliert. Ich sehe keinerlei Grund, da noch irgendwelche zusätzlichen Portsperren oder sonstige Hemmnisse einzurichten. Ganz im Gegenteil: es kann und wird (bei Unkenntnis der Zusammenhänge) zu einem Fehlverhalten führen.
Meine mittlerweile auch schon 14 FF-hosts betreibe ich zwar alle über das Gastnetz der betreffenden Internetrouter, aber auch nur, weil es eben als solches vorhanden ist. Aber es wird völlig ohne Einschränkungen und Sperren betrieben.
BTW:
Als „IT-Sicherheits-Rentner“ habe ich wirklich vieles veranstaltet, um das hier beschriebene mit ruhigem Gewissen zu veröffentlichen. 
vy 73 de Peter
1 Like
