Verbindung an ein Gerät weiterleiten dank DMZ Funktion

NinaH

Die DMZ Funktion (demilitarisierte Zone) der Internet-Box wird dazu verwendet, alle eintreffenden Verbindungen aus dem Internet von ausserhalb des Heimnetzes an ein bestimmtes Gerät weiterzuleiten. Dies wird vorwiegend dann benötigt, wenn du eine zusätzliche Firewall im Heimnetzwerk betreiben möchtest und alle Computer an diese Firewall angeschlossen sind. Diese Funktion wird nur für Netzwerk-Experten empfohlen. Wie du diesen Dienst aktivierst und was du dazu beachten musst, erfährst du hier.

Die Internet-Box bietet individuelle Experten-Einstellungen im Bereich Netzwerk- und IP-Adressen. Um diese Einstellungen vorzunehmen, gib in deinem Internet-Browser “[http://internetbox”](http://internetbox") oder “192.168.1.1” ein, logge dich mit deinem Internet-Box “admin” Passwort ein und aktiviere den Expertenmodus. Unter Netzwerk -> Einstellungen -> DMZ kannst du mit “Gerät auswählen” die Funktion im Heimnetzwerk einrichten. Die Benutzung der DMZ-Funktion erfordert Expertenwissen und eine korrekte Konfiguration auf den betroffenen Endgeräten.

Vorsicht: Leider werden damit auch missbräuchliche Zugriffsversuche auf dein ausgewähltes Gerät möglich. Bei Missbrauch durch Dritte lehnt Swisscom jegliche Haftung ab.

Weitere Experten-Einstellungen, die du bei der Internet-Box konfigurieren kannst, sind Portweiterleitungen, Statische IP-Adressen, DynDNS und IPv6.

> Zur Installationsanleitung

Frag die Community

Hast du eine Anmerkung zu diesem Artikel oder offene Fragen? Teile uns dein Anliegen in einem Kommentar mit oder starte eine eigene Diskussion und lass dir von anderen Kunden und Experten helfen.

Neuen Community-Beitrag verfassen

redcolt

DMZ Funktion kann auf InternetBox nicht aktiviert werden, ist augegraut.

Werner

Für die DMZ-Funktion brauchst Du eine öffentliche IPv4-Adresse Deines individuellen Anschlusses, welche bei vielen Swisscom-Anschlüssen aufgrund der weltweiten Knappheit nicht mehr standardmässig zugewiesen wird.

Du musst also den Support anrufen und verlangen, dass bei Dir auf Deinem Anschluss “CGNAT” deaktiviert wird.

Falls der First-Level-Support sich nicht zuständig fühlt oder zuwenig kompetent ist, musst Du Dich mit myService verbinden lassen und anschliessend bei myService noch darauf hinweisen, dass Du davon ausgehst, dass die Freigabe einer dynamischen öffentlichen IP-Adresse für Deinen Anschluss wirklich kostenfrei erfolgt.

lieni menzi

Der Begriff DMZ ist absolut falsche. Swisscom bietet keine demilitarisierte Zone sondern den Zugriff auf einen Rechner im eigenen Lan. Für eine wirkliche DMZ muss man sich selber kümmern, Ich finde es peinlich, dass ein ISP Provider sowas anbietet.

Werner

@Tux0ne (einer der Kunden mit den besten Netzwerkkenntnissen hier) hat vor längerer Zeit im Forum schon einmal geschrieben: “Die Funktion DMZ bei der Internet Box ist keine DMZ, sondern einfach die Weiterleitung aller nicht von der Internet Box selber benötigten Ports auf eine interne IP. An diese kann man dann einen Router / Firewall anschliessen um selber eine DMZ zu generieren.” Also Du und auch alle anderen, welche die Swisscom-Interpretation des Begriffs DMZ im Privatkundenbereich nicht nachvollziehen können, stehen da sicher nicht alleine. Ob man das nun peinlich findet oder nicht, ist vermutlich eine Frage des persönlichen KnowHows über DMZ im professionellen Bereich. Im Businessbereich der Swisscom (z.B. beim Router CB2) wird der Begriff übrigens so verwendet, wie sich das LAN-Administratoren auch gewohnt sind.

Andreas F

Nirgendswo scheint es eine eigentlich Anleitung zu DMZ zu geben. Obiger Beitrag ist lediglich eine oberflächliche Beschreibung des Anwendungszweckes, mit dem Hinweis, dass es dann Expertenwissen bräuchte, um die DMZ wirklich zu verwenden. Gut und Recht, jedoch wo kann der Experte die eigentliche technischen Details erfahren, um die DMZ dann wirklich zu betreiben. Soll man da mit Trial and Error versuchen rauszufinden wie es geht? Warum nicht ein kleines PDF anbieten, wie das für Centro Business Router gemacht wird? Dort gibt es leider eben auch keine Anleitung zur DMZ.

Werner

@Andreas F

Da gibt es eigentlich nichts zu beschreiben, denn DMZ auf einer Internetbox ist nichts anderes als die Bündelweise Weiterleitung von Ports auf ein nachgelagertes Gerät.

Wenn Du also weisst was eine Portweiterletung ist und wann man sie sinnvollerweise einsetzt, weisst Du eigentlich schon alles.

Andreas F

Danke. Stimmt natürlich und soviel habe ich schon verstanden. Was ich aber auch wissen möchte, ist was das für Konsequenzen hat.

(i) Mir ist beispielsweise nicht klar, was mit Port 80 passiert wenn ich die DMZ einschalte. Z.B. am WAN Swisscom MitarbeiterInnen immer noch via Port 80 Zugriff auf die IB haben oder nicht. Wichtig wenn man einen Webserver in die DMZ stellen möchte (mein Fall).

(ii) Was passiert mit Port Forwarding generell? Wird das abgeschaltet oder ist das immer noch benutzbar um z.B. gewisse Ports and andere Server als denjenigen der in der DMZ ist umzulenken (ich habe noch FileMaker Servers und ev. Music Servers im LAN).

(iii) Wie steht es mit DynDNS? Ist die im DMZ Modus abgeschaltet oder nicht? Denn DMZ Beschreibungen/Anleitungen bei Swisscom scheint es nur für statische IPs zu geben. Ich will aber DynDNS benutzen können.

(iv) Wie steht es mit einer öffentlichen IP#, denn ich glaube verstanden zu haben, dass die Swisscom seitig DHCP vergebenen IP Nummern nur in bestimmten Modi öffentliche sind. Spielt hier der DMZ Modus eine Rolle oder nicht?

(v) Schliesslich wie steht es mit der Sicherheit und Firewalls, wenn ich einen Server in die DMZ stelle.

Tut mir leid, aber diese Fragen müsste ich alle auch beantwortet haben um entscheiden zu können, ob ich einen Server (oder mehrere) in die DMZ stellen will oder nicht. Das ist was ich von einer Anleitung erwarte, da schliesslich der DMZ Modus ja für alle IBs angeboten wird, nicht nur für Business Centro Boxen.

Jegliche Hinweise auf Beantwortungsmöglichkeiten oder vielleicht sogar Antworten zu diesen Fragen würden mich freuen. Danke.

kaetho

@Andreas F

zu (i): Port 80 wird an das Gerät in der DMZ weitergeleitet, wenn sonst keine Weiterleitung des Ports 80 definiert ist. Da muss dann in der DMZ entschieden werden, was mit dieser Anfrage passiert.

zu (ii): nein, wird nicht abgeschaltet, sondern funktioniert weiter wie gehabt.

zu (iii): genau gleich wie sonst auch: mit DynDNS kommst du entweder auf die Internetbox (mit entsprechender Portangabe, die dann per Portweiterleitung auf ein entsprechend eingerichtetes Endgerät weitergeleitet wird. Dieses Endgerät hat vorzugsweise eine fixe IP, sonst greift die Portweiterleitung irgendwann ins Leere), oder eben in die DMZ, wenn keine Portweiterleitung auf der Internetbox eingerichtet ist. Was auf dem gerät in der DMZ passiert, musst du dann wieder dort einrichten.

zu (iv): natürlich, du kannst grundsätzlich von aussen nur auf deinen Router zugreifen, (mit DynDNS), wenn du nicht im “cgnat” bist. Auch der Zugriff von aussen auf ein Gerät im DMZ braucht eine öffentliche IP-Adresse. Anruf bei der Hotline sollte* da genügen, um an eine öffentliche IP zu kommen (* es gibt Erfahrungen, dass die das nicht können und dich an den kostenpflichtigen Support weiterleiten wollen. Da soll es dann schnell gehen, und das ohne Kosten 😉 )

zu (v): das ist dann Sache desjenigen, der ein Gerät in die DMZ stellt. Grundsätzlich ist da dann mal alles offen. Typischerweise zeigt die IP in der DMZ wieder auf einen Router mit Firewall, oder auf eine Firewall mit Routerfunktion (je nachdem, wie man’s definiert 😉), und erst dahinter kommen dann weitere Geräte.

Das sind meine eben gemachten Erfahrungen zu diesen Fragen. Ergänzugen und Korrekturen sind natürlich gerne willkommen!

Andreas F

@kaetho: Ganz herzlichen Dank für diese genauen und sehr, sehr hilfreichen Antworten auf meine Fragen. Super! Jetzt wäre für andere wie mich nur noch zu hoffen, dass diese Informationen auch in die Unterlagen der Swisscom kommen würden.

Mïsterfreeze

Bonjour,

Petite question, est ce que la fonction DMZ Swisscom permet d’éviter un double NAT. Je souhaitais passer ma swisscom box 3 en mode Bridge mais cela n’est pas possible.

Est ce que l’utilisation de la fonction DMZ peut être un équivalemment?

Merci d’avance et bonne soirée

Black Mamba

@Mïsterfreeze

Pour la fonction DMZ, il faut une adresse IPv4 publique de ton raccordement individuel, qui n’est plus attribuée par défaut sur de nombreux raccordements Swisscom en raison de la pénurie mondiale.

Appeler le support et demander que “CGNAT” soit désactivé sur le raccordement utilisé:

Clients privés: contact par hotline, chat, message | Swisscom

Tél. gratuit 0800 800 800

Si le support de premier niveau ne se sent pas compétent ou n’est pas assez compétent, faire mettre en relation avec My Service et ensuite indiquer à My Service que partir du principe que la libération d’une adresse IP publique dynamique pour le raccordement utilisé est vraiment gratuite:

Swisscom My Service–assistance ordinateur & smartphone | Swisscom

Informations complémentaires:

Il n’y a en fait rien à décrire, car la DMZ sur une box Internet n’est rien d’autre que la redirection par paquets de ports vers un appareil en aval. Si l’on sait ce qu’est une redirection de port et quand il est judicieux de l’utiliser, on sait déjà tout.

La fonction DMZ de l’Internet Box n’est pas une DMZ, mais simplement la redirection de tous les ports non utilisés par l’Internet Box elle-même vers une IP interne. On peut ensuite y connecter un routeur / pare-feu pour générer soi-même une DMZ. Donc, il est difficile de comprendre l’interprétation de Swisscom du terme DMZ dans le domaine de la clientèle privée, et certainement pas les seuls. Que l’on trouve cela gênant ou non, c’est probablement une question de savoir-faire personnel en matière de DMZ dans le domaine professionnel. Dans le domaine professionnel de Swisscom (par ex. pour le routeur CB2), le terme est d’ailleurs utilisé de la même manière que les administrateurs de réseaux locaux en ont l’habitude.

Le port 80 est redirigé vers l’appareil dans la DMZ si aucune autre redirection du port 80 n’est définie. Il faut alors décider dans la DMZ ce qu’il advient de cette demande.

Avec DynDNS, on accède soit à l’Internet Box (avec l’indication de port correspondante, qui est ensuite transmise par redirection de port à un terminal configuré en conséquence. Ce terminal a de préférence une IP fixe, sinon la redirection de port ne fonctionne pas à un moment donné), ou bien dans la DMZ, si aucune redirection de port n’est configurée sur l’Internet Box. Ce qui se passe sur l’appareil dans la DMZ doit ensuite être configuré à cet endroit.

On peut en principe accéder de l’extérieur à ton routeur (avec DynDNS) que si l’on n’est pas dans le “CGNAT”. Même l’accès de l’extérieur à un appareil dans la DMZ nécessite une adresse IP publique. Un appel à la Hotline de Swisscom devrait suffire pour obtenir une IP publique ( il y a des expériences où ils ne peuvent pas le faire et veulent rediriger la demande vers le support payant. Là, cela doit être rapide et sans frais.

Placer un appareil dans la DMZ: en principe, tout est ouvert. Typiquement, l’IP dans la DMZ pointe à nouveau vers un routeur avec pare-feu ou vers un pare-feu avec fonction de routeur (selon la manière dont on le définit), et ce n’est qu’ensuite que viennent d’autres appareils.