Die Frage taucht häufiger auf als man zunächst meinen sollte: Kann man eine FRITZ!Box hinter einem anderen Router bzw. hinter einer Firewall betreiben? Antwort: Ja. Je nachdem für was Sie (weiterhin) genutzt werden soll oder welche Funktionen die FRITZ!Box in einem solchem Szenario übernimmt gibt es das Eine oder Andere zu beachten.
War die FRITZ!Box bislang der einzige Router im Netz und soll nun sozusagen vor ihr ein anderer Router oder eine Firewall platziert werden, so gibt es ein paar Schritte zu unternehmen. Zwei oder mehr NAT-Router hintereinander (kaskadieren) sollte man vermeiden, vor allem wenn VoIP zum Einsatz kommt! Von daher lautet die dringende Empfehlung, die FRITZ!Box vom Router- in den IP-Client-Modus zu versetzen.
Was erfahrungsgemäß funktioniert ist, das die FRITZ!Box als WLAN-Access Point und DECT-Basis bzw. Telefonanlage weiterhin läuft. Mehr Möglichkeiten, professioneller und besser sind entsprechende Lösungen wie z.B. 3CX für die Telefonie und Ubiquiti für WLAN. Andere Hersteller sollten ebenso funktionieren.
Kurzum: Der neue Firewall-Router übernimmt den Internetzugang, das Firewalling und Routing, ggf. DNS und DHCP (wenn kein Server zum Einsatz kommt) und VPN.
Bevor man die Konfiguration ändert zur Sicherheit eine Datensicherung anlegen! Anleitungen zum Ändern des Betriebsart findet man direkt bei AVM:
FRITZ!Box 7590 Service – FRITZ!Box für Betrieb mit anderem Router einrichten bzw.
FRITZ!Box 7590 Service – FRITZ!Box als IP-Client einrichten
Soll der neue Router bzw. die Firewall die IP-Adresse übernehmen, die bislang die FRITZ!Box inne hatte, muss man bei der Umstellung der FRITZ!Box entweder die Voreinstellung auf DHCP belassen oder eine feste IP-Adresse vergeben.
WLAN
Da WLAN schwer beschränkt werden kann wäre die nächst sichere Option, die FRITZ!Box (sofern sie denn als Access Point weiter betrieben wird) in ein eigenes Netz zu bringen und per Firewall zu regeln, was die WLAN-Clients dürfen (z.B. Zugriff auf das Internet, aber kein Zugriff ins LAN). Am Beispiel von pfSense oder Securepoint UTM ein OPT-Interface (pfSense) oder ein bislang ungenutztes Interface (Securepoint) verwenden und entsprechend konfigurieren.
Firewall
Zu Beginn kann man erstmal eine any-Regel erstellen um die FRITZ!Box ungehindert kommunizieren zu lassen. So lassen sich etwaige Netzwerk-Probleme leichter identifizieren und beheben. Da any-Regeln böse sind, sollte letztlich granularer geregelt werden, was die FRITZ!Box im Netz bzw. Richtung Internet darf und was nicht.
FRITZ!VPN
AVM nutzt IPsec für seine VPN-Implementierung, man könnte zwar versuchen dieses mittels “IPsec VPN Passthrough” vom neuen Router bzw. der Firewall aus weiterzuleiten, meist ist das allerdings nicht zu empfehlen. Besser ist es den neuen Router bzw. die Firewall die Aufgabe des VPN-Servers übernehmen zu lassen.
Geht es um die Sicherheit sollten zudem die VPN-Verbindungen ebenfalls reglementiert werden, soll heißen: Muss wirklich alles durch den Tunnel oder reicht schon beispielsweise nur RDP?! Zugegeben, das geht zwar auch mit den Geräten von AVM, dort allerdings nur über ein manuelles Editieren von Konfigurationsdateien und deren Import.
VoIP
Die Erfahrung hat gezeigt, das es am ehesten in Sachen Internet-Telefonie (VoIP) zu Schwierigkeiten kommen kann. Im Grunde ist bei einer FRITZ!Box hinter einem Firewall-Router das Gleiche zu beachten, wie bei dem Betrieb jeder anderen VoIP-Telefonanlage auch. D.h. zum Internet, besser nur zum Provider-Server hin müssen die Ports
- 5060/udp (SIP)
- 7078 – 7085/udp (RTP) bzw.
7078 – 7109/udp (RTP) bzw.
7078 – 7110/udp (RTP)
zugelassen sein. Siehe dazu den Beitrag: Securepoint UTM und AskoziaPBX
Unklar ist, wie groß der RTP-Bereich ist, finden sich in verschiedenen Dokumentationen doch unterschiedliche Angaben:
sipgate Team – AVM FRITZ!Box: Betrieb hinter einem Router
FRITZ!Box 7560 Service – Gesprächspartner hören sich nicht
Hilfe FRITZ!Box 7490 – Sicherheitsdiagnose Internet: RTP
Bei BSD-basierten Firewalls wie pfSense und OPNsense sollte zudem das NAT umgestellt werden.
FRITZ!Box spezifisch gibt’s dann noch diese Einstellung:
Telefonie - Eigene Rufnummern - Anschlusseinstellungen: Portweiterleitung des Internet-Routers für Telefonie aktiv halten: 30 Sek.
Sofern vermeidbar und nicht zwingend notwendig sollte man auf das Weiterleiten von Port 5060/udp (SIP) zur FRITZ!Box verzichten. Hintergrund ist, das über diesen Port die Registrierungen von Telefonverbindungen stattfinden. Ein solch zum Internet hin offener Port kann im Falle geknackter Zugangsdaten für den Missbrauch genutzt werden.
Wenn es doch nicht anders geht, sollte man den Zugriff auf diesen Port soweit möglich einschränken. Beispielsweise das nur der Telefonieserver des Anbieters sich verbinden darf. Siehe dazu: Securepoint UTM: Telekom-VoIP-Gespräche brechen nach 15 Minuten ab
Entfernte Telefone wie beispielsweise Smartphones die als Nebenstelle dienen oder welche im HomeOffice sollte man besser via VPN anbinden!
Telekom-Telefonie
Wird ein solches Szenario, sprich FRITZ!Box als Telefonanlage hinter einem anderen Router, eingesetzt und der Anschluss stammt von der Telekom, so wird normalerweise “Anonymous” für die Registrierung der Rufnummern verwendet. Im Idealfall kann man dies in der FRITZ!Box so lassen. Es kann allerdings auch vorkommen, das nach dem Wechsel der Betriebsart dies so nicht mehr funktioniert. In einem solchen Fall muss man die entsprechenden Telekom-Zugangsdaten für die einzelnen Rufnummern in der FRITZ!Box eintragen.
Mesh
Eine FRITZ!Box kann als Mesh-Master oder Mesh-Repeater betrieben werden. Es kann vorkommen, das mit dem Wechsel der Betriebsart sich auch der Mesh-Modus ändert, in einem solchen Fall muss man den Modus wieder manuell ändern und ggf. das Mesh neu aufbauen.
Smart Home
Die Smart Home-Funktionen können in der Regel weiter verwendet werden. Bereits verbundene Geräte bleiben samt ihrer Einstellungen nach dem Wechsel der Betriebsart erhalten.
Troubleshooting
Wenn’s dennoch klemmt, bleibt mitunter nur das nähere Hinschauen. Beim letzten Einsatz dieser Art lies sich die FRITZ!Box, eine 7490, zwar in die IP-Client-Betriebsart wechseln, allerdings übernahm Sie zunächst nicht die manuell vergebene IP-Adresse, so dass dieser Schritt nochmal wiederholt werden musste. Ferner gerieten die Einstellungen des Anrufbeantworters durcheinander, wobei an der Telefonie überhaupt nichts verändert wurde.
Beim Wechsel der Mesh-Betriebsart von Repeater zu Master kann es zudem passieren, das die FRITZ!Box ihre manuell zugewiesen IP-Einstellungen verändert. Bei einem Kunden wurde zwar die IP-Adresse sowie Subnetzmaske beibehalten, allerdings wurde bei Gateway und DNS aus dem AVM-typischen Netz “192.168.180.x” eingetragen.
Bei allem weiteren muss man ggf. tiefer gehen. Speziell bei pfSense und Securepoint bietet sich der Einsatz von
- tcpdump
- conntrack (sofern nicht entladen) und
- netstat -a
an. Siehe dazu:
Securepoint – Wiki – UTM – Fehleranalyse mit tcpdump
The conntrack-tools user manual
Quellen:
OPNsense – Forum – Telekom-VoIP mit Fritzbox 7490 hinter opnSense
Devilsystems.org – Fritz.Box hinter Sophos Firewall und VOIP weiter nutzen
Telekom – Community – FritzBox 7490 als Telefonanlage hinter Router
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Hallo,
Ich betreibe als Kabelmodem die Fritzbox 6660 Cable. Daran per LAN- Kabel angeschlossen ist die Fritzbox 7530 die als reiner WLAN-Router dient. Das WLAN der 6660 Cable ist deaktiviert.
Nun habe ich auf beiden Geräten die Firewall aktiv.
Macht das Sinn? Reicht es nicht, sie nur auf der 6660 zu aktivieren denn hier kommt ja der Netwerkverkehr hinein und wird dann an die 7530 per LAN Kabel weitergegeben?
Vielen Dank
Zunächst Danke für den interessanten Beitrag, der selbst für mich als Fritz!Fan und ehemaligers AVM competenz Center Verkäufer sehr in die Tiefe geht und ich auch trotz vieler AVM Webinare nicht alles verstehe. Habe aktuell auch das Problem seit dem Wechsel zu einer preiswerten Vodafone Kabeltochter „easy“ (13,90 € / mtl.) dass diese mir vertraglich kein Dualstack freischalten will! Somit kann ich meine jahrelang an schnelleren aber wesentlich teureren genutzten FB 7490 nicht im „Bridge“ Modus nutzen. Ich bekomme somit keine öffentliche IP und trotz jahrelang eingerichtet MyFRITZ! Account, der auch „Grün“ noch als erreichbar signalisiert wird funktioniert das Fritz VPN nicht mehr und ich kann auch aus dem entfernten Internet die Fritz!Smarthome App nicht mehr erreichen!
Ich möchte aber endlich wieder meine Heizkörper etc. von unterwegs von meinem Handy steuern?!
Nach viel Probieren/ Experimentieren mit den Fritz IPv6 Einstellungen sehe ich als letzten Versuch auch die Umstellung auf den beschriebenen IP Betrieb! Kann ich dann wohl auch wieder die Smarthome App über den MyFRITZ „DynDNS“ erreichen?
Vorschlag von AVM war mir eine eigene Fritz Kabel Box zu kaufen… wegen Routerzwang verboten… aber wenn die mir schon DS-Lite nicht im Easy Tarif freischalten wollen bezweifle ich das die mir statt der Vodafone Box eine eigene Fritz!Kabel Box freigeben (Fachbegriff „Provisionieren“ was nix mit Provision zu tun hat;-)
Wenn man DS-Lite seitens des Anbieters hat, nutzt ein anderer Router nix. Sofern die IPv6 öffentlich erreichbar ist könnte das schon reichen um wieder VPN und Co. nutzen zu können.
Das funktioniert dann aber nur, wenn man mobil usw. ebenfalls mit IPv6 unterwegs ist. Das ist allerdings der Erfahrung nach nach wie vor nicht überall der Fall. Viele Gast-WLANs und so mancher Mobilfunk-Anbieter sind nach wie vor IPv4-only.
Dennoch gibt es Möglichkeiten sich mit einer öffentlich erreichbaren IPv4-Adresse zu versehen. Da wären z.B. Port-Mapper wie socat oder 6tunnel die man selbst auf einem vServer einrichten kann oder Dienste wie z.B.
https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen/
Weitere Optionen wären die Nutzung eines vServer zusammen mit VPN. Schaut man hier im Blog nach DS-Lite gibt es da mehrere Anleitungen:
https://www.andysblog.de/?s=ds-lite
Es gibt allerdings nur einen Beitrag speziell mit der Fritte (und einem Synology NAS für OpenVPN):
Zugriff auf Server oder eingehendes VPN mit DS-Lite-Anschlüssen
Der Beitrag ist schon ein “paar Tage” alt.
Mittlerweile nutzt die FRITZ!Box WireGuard für VPN, d.h. zusammen mit socat auf einem vServer könnte man da vermutlich was bauen.
Da ich allerdings im Geschäftskundenumfeld unterwegs bin, hab’ ich eher wenig mit der Fritte zu tun.
Moin Andy,
ich nutze eine Fritte 7590 hinter einer Opnsense mit IP Telefonie was soweit alles gut funktioniert. Allerdings findet die Fritzbox automatisch keine Updates mehr (auch die Fritzphones finden keine Updates). In der Opnsense sollte alles korrekt eingestellt sein,.
Gibt es da aus Deiner Erfahrung eine Einstellung in der Fritzbox die etwas bewirken könnte, damit die Fritzbox wieder den Netzzugriff erhält?
Danke.
MFG
Christian
Hallo Christian,
da lautet die Frage nun, ob die Fritte ihre Update-Server nun nicht wegen einer möglicherweise fehlerhaften DNS-Auflösung oder wegen der Firewall nicht erreicht.
In welchem Modus läuft die Fritte? Ist die IP-Konfig. (IP, Subnet, Gateway, DNS) korrekt? Was steht im Log der Fritte, gibt es Firewall-Treffer im vorgelagerten Router? Ggf. mit tcpdump schauen, was passiert.
Moin Andy,
Danke für den Denkanstoß. Ich hatte vergessen in der Fritte das Standardgateway auf die Opnsense zu ändern. Manchmal sieht man den Wald echt nicht vor lauter Bäumen.
Vielen Dank und eine guten Rutsch 🙂
VG
Christian
Hallo Christian,
vielen Dank für die Rückmeldung. Oft sind es zum Glück nur Kleinigkeiten. Manchmal übersieht man einen Haken oder hat einen Zahlendreher drin usw.
Ich für meinen Teil bin immer dankbar wenn es nur sowas ist und nicht gleich eine komplexe Fehlersituation.
Dir auch einen Guten Rutsch.
Habe eine 7530AX im Routermodus hinter einer OPNsense und Probleme bei VoIP. Mein Gesprächspartner kann mich nicht hören, ich kann aber ihn hören. Anrufe in beide Richtungen gehen soweit, nur das Problem dass der Gesprächspartner mich nicht hört. Keine Idee mehr, was hier helfen kann.
Hallo, ich habe eine Fritz.Box 7590 auf Router und Firewall in Betrieb. Da wir hinter der FB noch zwei weitere Netze betreiben für zwei Büros (Netz 1 Sophos) Netz 2 Lancom Router)
Im Netz 2 sind auch die WLAN Accesspoints konfiguriert. Jetzt müsste aus dem Netz 2 aus dem WLAN Bereich von Handys und Tablets mittels der Fritz.Fon App telefoniert werden. Es sind m.E. alle Ports freiteschaltet. Die Verbindung scheint auch zu funktionieren, jedoch gibt es Probleme mit der Sprache. Es kann somit nicht über die App telefoniert werden. Gibt es hierzu eine Beschreibung wie dies konfiguriert werden muss? Ich habe bisher nichts gefunden was das Problem gelöst hätte. Viele Grüße Jürgen
Welche Ports wurden denn wo und in welche Richtung freigeben?
Was bedeutet “Probleme mit der Sprache”? Aussetzer? One-Way-Audio?
Ob es evtl. doch Firewall-Treffer gibt muss man im Log, in diesem Fall des LANCOM, prüfen. Ob bei diesem ggf. noch mehr gemacht werden muss als nur Ports freigeben weiß ich leider nicht.
Andere Frage: Warum verwendet ihr “gute” Router hinter einer Fritte?
Hallo.
Ich besitze eine FB (Fritzbox 7430 für DSL) und einen TP (LTE Router TPlink MR6500v mit RJ12 Buchse).
Bin jetzt von DSL auf LTE gewechselt. Über TP gehts mit dem PC jetzt also ins Internet.
Über die FB habe ich in DSL Zeiten ein Softphone (Microsip) sowie die FritzfonApp verwendet.
Diese Funktion will ich auch weiterhin (zusätzlich) nutzen können.
Welche Konfiguration ist dafür am besten geeignet:
A) Internet—TP-FB
oder
B) Internet—FB-TP
C) egal
Gruss
Steffen
A
Hallo Andy,
habe jetzt die Konfiguration Internet>TP>FB angeschlossen.
und bin am verzweifeln.. 😉
Ich bringe die FB-Telefonie einfach nicht zum laufen.
Also: Der TP ist ein LTE Router, in dem eine Simkarte steckt.
In der FB wird in der Telefonie-Einstellung nach “Benutzername” etc. gefragt, was ja gar nicht vorhanden ist…
Wo liegt mein Fehler?
Gruss
Steffen
Sollen die Telefone über die SIM-Karte telefonieren?
Ja. Eine ander Tel-verbindung gibts nicht.
Ich reime mir das jetzt mal so zusammen: Die Fritte sollte idealerweise im IP-Client Modus laufen, für die Telefonie muss im Tplink ein Konto für die Fritte angelegt werden. Diese Kontendaten müssen dann in der Fritte eingetragen werden.
Ob das alles so geht kann ich nur vermuten, da ich den Tplink nicht kenne und mit FritzBoxen nicht viel zu tun habe.
FB ist im IP Clinetmodus.
TP zeigt eine IP und eine Mac Adresse für die FB an.
Derartige Eintragungen in der FB kann ich nicht sehen..
Trotzdem Danke fürs zusammenreimen 😉
So wie es aussieht kann der tplink keine VoIP-Geräte im LAN (laut Handbuch soweit ich auf die Schnelle sehen konnte), d.h. wie angedacht geht das dann nicht. Dann vielleicht besser eine lte-Fritte nehmen.
Teilerfolg:
Über microsip kann ich die FB erreichen.
Beim Anrufversuch (raus) kommt die Meldung “besetzt”.
Hilft das weiter?
So lange in der FB kein Telefonie-Provider hinterlegt ist, dann die nicht raus telefonieren.
Als besitzer eines französichen Ferienhauses unterliege ich dem in Frankreich geltendem Routerzwang. Der Serviceprovider liefert für Privatkunden eine in ihren Konfigurationsmöglichkeiten weitgehend eingeschränkte Livebox 4.
Ich würde gerne eine vorhandene 7490 in die DMZ hinter die Livebox schalten, um a) bei einem Providerwechsel nicht wieder alle Geräte im neuen W/LAN konfigurieren zu müssen, b) vielleicht Myfritz und Wireguard nutzen zu können, um über VPN auf die IP Kameras und einige Schalter zugreifen zu können.
Da krankt natürlich daran, dass die FB in der 2. Reihe die externe IP nicht kennt und entsprechend an Myfritz melden kann.
Deswegen die Frage, gibt es einen Trick mit dem man der FB die externe IP vermitteln kann?
Die Optionen für Festnetztelefonie und TV in der Livebox sind für mich uninteressant und werden nicht genutzt.
Fürjegliche Tips wäre ich sehr dankbar.
Gruß
Frank
Da wäre zum einen die Frage, ob der Provider eine öffentliche IPv4- oder IPv6-Adresse anbietet, das Stichwort hierzu lautet Carrier-Grade-NAT, siehe:
Erreichbarkeit der FRITZ!Box im Internet prüfen
Carrier-grade NAT
AVM selbst schreibt:
“Der Zugriff auf die FRITZ!Box ist nur möglich, wenn die FRITZ!Box über eine im Internet erreichbare IPv6- oder IPv4-Adresse verfügt und das zugreifende Gerät diese IP-Adresse erreichen kann.”
Quelle: https://avm.de/service/myfritz/faqs/ueber-myfritz-kein-zugriff-auf-fritzbox-moeglich/
Unklar ist an dieser Stelle, wie MyFritz die öffentliche IP ermittelt.
Als erstes sollte man prüfen ob eine öffentliche IPv4- oder IPv6-Adresse vorliegt. Ist eines oder beides der Fall kann man fortfahren.
Kann in der Livebox 4 eine Portweiterleitung eingerichtet werden? Falls ja kann man schauen das mit idealerweise WireGuard auf der Fritte einrichtet und weiterleitet.
Hat man keine öffentliche IP muss man einen anderen Weg gehen. Dann müsste die Fritte eine ausgehende VPN-Verbindung z.B. zu einem vServer aufbauen und über diesen dann die Kommunikation routen.