Fritz!Box 3170 an Spharion IAD

Das Spharion IAD ist ein Kombigerät mit Splitter, DSL Modem und VoIP Gateway auf analoge Telefone und ISDN. Es gibt verschliedene Modelle, die je nach Provider z.T. nicht eindeutig gekennzeichnet sind. Die Geräte werden genutzt, um über entbündelte Telekomanschlüsse unter Nutzung von DSL sowohl Internet als auch Telefonie anzubieten. Der Internetzugang wird dann über entsprechende PPPoE Software auf dem jeweiligen Endgerät (also z.B. ein Computer) hergestellt, Dazu sind die Ethernetports des IAD als Anschlüsse zum eingebauten DSL Modem ausgelegt. Will man eine Fritz!Box hinter dem IAD nutzen, ist eine besondere Konfiguration nötig. Die Fritz!Box besitzt ein eingebautes DSL Modem; dieses muss umgangen und die Box an das DSL Modem des IAD angeschlossen werden. Die Fritz!Box muss dann als normaler PPPoE Client arbeiten.

Einige Warnungen vorweg:

  • Diese Lösung ist unter Umständen nicht frei von Sicherheitsproblemen.
  • Die Beschreibungen sind in Bearbeitung und nicht zwangsläufig vollständig oder korrekt !

Hierzu verkürzt der technische Hintergrund: Alle DSL Modems laufen regional auf einer DSL Vermittlungsstelle (Digital Subscriber Line Access Multiplexer, DSLAM) zusammen. Ein DSL Modem stellt die Verbindung zum DSLAM her, die jeweils dahinter angeschlossenen Computer sind also an den DSLAM als gemeinsamen Switch angebunden. Eigentlich sollte dieser die einzelnen Ports voneinander trennen und keine Zugriffe untereinander erlauben. Es wurde in der Vergangenheit aber berichtet, dass manchmal diese Konfiguration nicht strikt vorgenommen ist und sich dadurch Kunden an einem DSLAM untereinander auf Ethernetebene „sehen“. Damit sind alle Kunden, die an einem DSLAM hängen, sozusagen an einem gemeinsamen Switch und haben auf Ethernetebene (OSI Layer 2) vollen Zugriff aufeinander.

Solange ein Router (OSI Layer 3) zwischen Modem und lokalem Computer liegt, ist dies kein Problem. Genau diese Aufgabe erfüllt die Fritz!Box normalerweise- hier ist das lokale Netz am eingebauten 4-Port Switch (je nach Modell auch weniger Ports), von dort geht es über das eingebaute DSL Modem und den separaten DSL Port zum DSLAM. Die Routingfunktion vermittelt dann IP-Pakete (OSI Layer 3) zwischen den Rechnern am 4-Port Switch und dem DSL Zugang.

Will man nun das Modem umgehen, so muss das Routing auf den 4-Port Switch umgelegt werden. Bei vielen Fritz!Boxen wie z.B. der 3270 wird für die nachfolgend beschriebene Konfiguration eine VLAN Einrichtung auf dem Ethernetswitch der lokalen Fritz!Box erzeugt. LAN Port 1 des Switches kommt in ein VLAN, alle anderen in ein zweites. Dadurch sind auf Ethernetebene wieder lokaler Datenverkehr und Internet getrennt, es gelangen keine Ethernetpakete aus dem LAN direkt zum DSLAM. Nur die Routinginstanz der Fritz!Box vermittelt zwischen den VLANs- und lässt nur IP-Pakete an Adressen ausserhalb des LAN nach draussen.

Soweit aus den einschlägigen Foren zu ermitteln ist, scheint aber die Fritz!Box 3170 keine VLAN Trennung herstellen zu können. Es wird zwar geroutet, aber auch die Ethernetpakete des LAN gelangen zum DSLAM und Pakete von dort in das eigene lokale Netz (siehe IP-Phone-Forum). Ein fremder Kunde am DSLAM könnte in einer solchen Konstellation also versuchen, eine IP-Adresse aus dem eigenen lokalen Netz hinter der Fritz!Box zu erraten (oder sich eine IP Adresse geben lassen, wenn DHCP der Box aktiv ist) und wäre dann im eigenen LAN ! Je nach lokaler Rechnerkonfiguration (betriebene Serverdienste, lokale Firewall usw.) ist dies durchaus bedrohlich.

Will man die Konfiguration dennoch vornehmen, so lässt sich eine Fritz!Box 3170 wie folgt konfigurieren:

  1. Den IAD mit seinem DSL Port an die TAE Buchse (die Dose an der Wand also) des Telefonanschlusses anschliessen (RJ45 auf TAE Kabel).
  2. Einen Rechner an das IAD (Ethernetport) anschliessen und das IAD mittels der jeweiligen Provider-Software konfigurieren, dann einmal eine DSL Verbindung herstellen. Wenn das funktioniert, können alle anderen Probleme nicht mehr am IAD und dem Provider liegen.
  3. Einen Ethernetport des IAD mit dem LAN Port 1 (genau mit diesem !) der Fritz!Box verkabeln
  4. Im Browser die Nutzung von CSS (cascaded style sheets) abstellen. Unter Firefox 3.0.8 geht das im Menü unter Ansicht / Webseiten-Stil / kein Stil. Ohne diese Einstellung werden die relevanten Einstellungen der Fritz!Box 3170 nicht angezeigt !.
  5. Auf die Konfigurationsseite der Fritz!Box gehen und die Expertenansicht aktivieren
  6. Auf „Internet“ gehen
  7. Unter „Zugangsdaten“ im Abschnitt „Anschluss“ die Option „Internetzugang über LAN“ aktivieren. Dieser Abschnitt fehlt bei aktiviertem CSS
  8. Im Abschnitt „Betriebsart“ die Option „Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)“ aktivieren
  9. Im Abschnitt „Zugangsdaten“ die Zugangsdaten (PPPoE) eintragen, wie sie vom Provider gekommen sind
  10. Nach Abspeichern und Bestätigen der Warnung sollte die Fritz!Box nun den Zugang herstellen können.

Weiterführende Links:


Allgemeine Anleitung von AVM zur Konfiguration


Tipps zur Konfiguration von Michael Schummel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.