5530 Push-Nachricht über Anmeldung

[hg6806]

Hallo zusammen,

in einer Ferienwohnung habe ich eine 5530. Dort ist ein Gäste-WLAN eingerichtet und auch ein 1200AX Repeater im Mesh.
Da die 5530 über VPN auch mit meiner 7590 zuhause verbunden ist, und man an die Stecker der 5530 hinten rankommt, könnten Gäste auch ins "Hauptnetz" kommen.
Ist es möglich eine Push-Nachricht einzurichten, sobald dies jemand tut?

Danke für Infos!

 

[blurrrr]

Hallo,

denke nicht, dass das möglich ist. Wäre vermutlich einfacher, dass man den Router so platziert, dass niemand "einfach so" an die Ports kommt. Somit wäre die eigentliche Problematik auch gelöst, es nutzt ja nicht wirklich etwas, wenn Du darüber "nur" informiert wirst

 

[Barungar]

Eine Methode wäre, dass Du ein eigenes VPN-Subnetz verwendest. Zumindest im IPsec-Modus kann die FritzBox sowas, ob sie das bei WireGuard auch kann weiß ich nicht.

Dieses eigene VPN-Subnetz hat dann einen eigenen IP-Bereich und es gibt keine Routing-Verbindung zwischen Deinem "Heimnetz" und dem Netz der 5530. Du müsstest Dir dann in Deinem Heimnetz entweder eine Firewall bzw. einen Router basteln, oder aber, wenn Du eh nur gelegentlichen Zugriff brauchst kurz Deinen PC bzw. Dein Notebook auf den, dem VPN zugeordneten LAN-Port der FritzBox stecken.

Das sieht dann so aus:



Der VPN-Tunnel terminiert dann ausschließlich an LAN 2 und hat dort auch ein eigenes Subnetz.
Zwischen dem eigentlichen Heimnetz, dem Gastnetz und dem VPN-Netz gibt es dann keine Verbinung!

Deine FritzBox hätte ab dem Moment drei getrennte Netze. Wenn Du dann ein Gerät in Dein LAN 2 steckst, dann hätte dieses eine Verbindung (über das VPN) zu Deiner 5530. Und falls ein Gast sich an den Ports der 5530 zu schaffen macht, käme er nur an das Gerät, welches bei Dir daheim in LAN 2 steckt.

Wobei da ja meine Theorie war, dass da gar keines steckt und Du jeweils nur kurz bei Bedarf ein Laptop oder so dranhängst, wenn Du mal an das Netz der 5530 willst.

Das ganze ist im Prinzip für Heimarbeit gedacht, so das "Firmennetz" kein logischer Teil des Privatnetzes werden soll.

 

[Spielebernd]

Ich überlege gerade ob eine Kindersicherung hier eine Möglichkeit wäre und das Standard Profil ganz zu sperren. So könntest du deine Geräte in ein Profil schieben was alles darf und neue bzw. unbekannte Geräte dürfen im Standard gar nichts.

Da ich gerade nicht zuhause bin muss ich mir das aber nochmal durch den Kopf gehen lassen

 

[Barungar]

Mir wäre nicht bekannt, dass man mit den Profilen Einfluss darauf nehmen kann, was ein Gerät im LAN darf. Und darum geht es doch hier.

 

[Spielebernd]

Wenn ein Gerät der FB unbekannt ist kommt es in das Profil Standard egal ob LAN oder WLAN. Daher mein Gedanke das Standard Profil komplett dicht zu machen somit sollte auch über LAN kein Internetzugang und somit kein VPN möglich sein. Für seine Geräte ein separates Profil Anlagen welches dann wieder ganz normal Zugriff hat.

Wie gesagt muss ich mir nochmal genau anschauen alles bin mir auch nicht ganz sicher ob ich auf die Schnelle gerade an alles denke. Diskussion ist aber auch gern gewünscht

 

[Boxenluder]

Da eigentlich m.W. auch die neue Uimg-Struktur auf adam2 und den Bootloader gehorcht via LAN, sind die Überlegungen für Profis eher eine "Lachnummer", falls physischer Zugang zu der Box besteht. Ein Rebooting kann div. Ursachen haben, die aus der Ferne nicht nachvollziehbar sind. Ein Pihole per WLAN und unter Verschluss wäre zum Loggen eine Idee.