Verbindung an ein Gerät weiterleiten dank DMZ Funktion

dmz.jpg

 

Die DMZ Funktion (demilitarisierte Zone) der Internet-Box wird dazu verwendet, alle eintreffenden Verbindungen aus dem Internet von ausserhalb des Heimnetzes an ein bestimmtes Gerät weiterzuleiten. Dies wird vorwiegend dann benötigt, wenn du eine zusätzliche Firewall im Heimnetzwerk betreiben möchtest und alle Computer an diese Firewall angeschlossen sind. Diese Funktion wird nur für Netzwerk-Experten empfohlen. Wie du diesen Dienst aktivierst und was du dazu beachten musst, erfährst du hier.

 

Die Internet-Box bietet individuelle Experten-Einstellungen im Bereich Netzwerk- und IP-Adressen. Um diese Einstellungen vorzunehmen, gib in deinem Internet-Browser «http://internetbox» oder «192.168.1.1» ein, logge dich mit deinem Internet-Box »admin« Passwort ein und aktiviere den Expertenmodus.  Unter Netzwerk -> Einstellungen -> DMZ kannst du mit «Gerät auswählen» die Funktion im Heimnetzwerk einrichten. Die Benutzung der DMZ-Funktion erfordert Expertenwissen und eine korrekte Konfiguration auf den betroffenen Endgeräten.

 

Vorsicht: Leider werden damit auch missbräuchliche Zugriffsversuche auf dein ausgewähltes Gerät möglich. Bei Missbrauch durch Dritte lehnt Swisscom jegliche Haftung ab.

 

Weitere Experten-Einstellungen, die du bei der Internet-Box konfigurieren kannst, sind PortweiterleitungenStatische IP-AdressenDynDNS und IPv6.

 

> Zur Installationsanleitung

 

Frag die Community

 

Hast du eine Anmerkung zu diesem Artikel oder offene Fragen? Teile uns dein Anliegen in einem Kommentar mit oder starte eine eigene Diskussion und lass dir von anderen Kunden und Experten helfen.

 

Neuen Community-Beitrag verfassen

War dieser Artikel hilfreich? Ja Nein
Kommentare
redcolt
Level 2

DMZ Funktion kann auf InternetBox nicht aktiviert werden, ist augegraut. 

Werner
Super User

Für die DMZ-Funktion brauchst Du eine öffentliche IPv4-Adresse Deines individuellen Anschlusses, welche bei vielen Swisscom-Anschlüssen aufgrund der weltweiten Knappheit nicht mehr standardmässig zugewiesen wird.

 

Du musst also den Support anrufen und verlangen, dass bei Dir auf Deinem Anschluss "CGNAT" deaktiviert wird.

Falls der First-Level-Support sich nicht zuständig fühlt oder zuwenig kompetent ist, musst Du Dich mit myService verbinden lassen und anschliessend bei myService noch darauf hinweisen, dass Du davon ausgehst, dass die Freigabe einer dynamischen öffentlichen IP-Adresse für Deinen Anschluss wirklich kostenfrei erfolgt.

lieni menzi
Level 1
Der Begriff DMZ ist absolut falsche. Swisscom bietet keine demilitarisierte Zone sondern den Zugriff auf einen Rechner im eigenen Lan. Für eine wirkliche DMZ muss man sich selber kümmern, Ich finde es peinlich, dass ein ISP Provider sowas anbietet.
Werner
Super User
@Tux0ne (einer der Kunden mit den besten Netzwerkkenntnissen hier) hat vor längerer Zeit im Forum schon einmal geschrieben: „Die Funktion DMZ bei der Internet Box ist keine DMZ, sondern einfach die Weiterleitung aller nicht von der Internet Box selber benötigten Ports auf eine interne IP. An diese kann man dann einen Router / Firewall anschliessen um selber eine DMZ zu generieren.“ Also Du und auch alle anderen, welche die Swisscom-Interpretation des Begriffs DMZ im Privatkundenbereich nicht nachvollziehen können, stehen da sicher nicht alleine. Ob man das nun peinlich findet oder nicht, ist vermutlich eine Frage des persönlichen KnowHows über DMZ im professionellen Bereich. Im Businessbereich der Swisscom (z.B. beim Router CB2) wird der Begriff übrigens so verwendet, wie sich das LAN-Administratoren auch gewohnt sind.
Andreas F.
Level 1

Nirgendswo scheint es eine eigentlich Anleitung zu DMZ zu geben. Obiger Beitrag ist lediglich eine oberflächliche Beschreibung des Anwendungszweckes, mit dem Hinweis, dass es dann Expertenwissen bräuchte, um die DMZ wirklich zu verwenden. Gut und Recht, jedoch wo kann der Experte die eigentliche technischen Details erfahren, um die DMZ dann wirklich zu betreiben. Soll man da mit Trial and Error versuchen rauszufinden wie es geht? Warum nicht ein kleines PDF anbieten, wie das  für Centro Business Router gemacht wird? Dort gibt es leider eben auch keine Anleitung zur DMZ.

Werner
Super User

@Andreas F. 

 

Da gibt es eigentlich nichts zu beschreiben, denn DMZ auf einer Internetbox ist nichts anderes als die Bündelweise Weiterleitung von Ports auf ein nachgelagertes Gerät.

 

Wenn Du also weisst was eine Portweiterletung ist und wann man sie sinnvollerweise einsetzt, weisst Du eigentlich schon alles.

Andreas F.
Level 1

Danke. Stimmt natürlich und soviel habe ich schon verstanden. Was ich aber auch wissen möchte, ist was das für Konsequenzen hat.  

 

(i) Mir ist beispielsweise nicht klar, was mit Port 80 passiert wenn ich die DMZ einschalte. Z.B. am WAN Swisscom MitarbeiterInnen immer noch via Port 80 Zugriff auf die IB haben oder nicht. Wichtig wenn man einen Webserver in die DMZ stellen möchte (mein Fall).

 

(ii) Was passiert mit Port Forwarding generell? Wird das abgeschaltet oder ist das immer noch benutzbar um z.B. gewisse Ports and andere Server als denjenigen der in der DMZ ist umzulenken (ich habe noch FileMaker Servers und ev. Music Servers im LAN).

 

(iii) Wie steht es mit DynDNS? Ist die im DMZ Modus abgeschaltet oder nicht? Denn DMZ Beschreibungen/Anleitungen bei Swisscom scheint es nur für statische IPs zu geben. Ich will aber DynDNS benutzen können.

 

(iv) Wie steht es mit einer öffentlichen IP#, denn ich glaube verstanden zu haben, dass die Swisscom seitig DHCP vergebenen IP Nummern nur in bestimmten Modi öffentliche sind. Spielt hier der DMZ Modus eine Rolle oder nicht?

 

(v) Schliesslich wie steht es mit der Sicherheit und Firewalls, wenn ich einen Server in die DMZ stelle.

 

Tut mir leid, aber diese Fragen müsste ich alle auch beantwortet haben um entscheiden zu können, ob ich einen Server (oder mehrere) in die DMZ stellen will oder nicht. Das ist was ich von einer Anleitung erwarte, da schliesslich der DMZ Modus ja für alle IBs angeboten wird, nicht nur für Business Centro Boxen.

 

Jegliche Hinweise auf Beantwortungsmöglichkeiten oder vielleicht sogar Antworten zu diesen Fragen würden mich freuen. Danke.

kaetho
Super User

@Andreas F. 

zu (i): Port 80 wird an das Gerät in der DMZ weitergeleitet, wenn sonst keine Weiterleitung des Ports 80 definiert ist. Da muss dann in der DMZ entschieden werden, was mit dieser Anfrage passiert.

 

zu (ii): nein, wird nicht abgeschaltet, sondern funktioniert weiter wie gehabt.


zu (iii): genau gleich wie sonst auch: mit DynDNS kommst du entweder auf die Internetbox (mit entsprechender Portangabe, die dann per Portweiterleitung auf ein entsprechend eingerichtetes Endgerät weitergeleitet wird. Dieses Endgerät hat vorzugsweise eine fixe IP, sonst greift die Portweiterleitung irgendwann ins Leere), oder eben in die DMZ, wenn keine Portweiterleitung auf der Internetbox eingerichtet ist. Was auf dem gerät in der DMZ passiert, musst du dann wieder dort einrichten.

 

zu (iv): natürlich, du kannst grundsätzlich von aussen nur auf deinen Router zugreifen, (mit DynDNS) , wenn du nicht im "cgnat" bist. Auch der Zugriff von aussen auf ein Gerät im DMZ braucht eine öffentliche IP-Adresse. Anruf bei der Hotline sollte* da genügen, um an eine öffentliche IP zu kommen (* es gibt Erfahrungen, dass die das nicht können und dich an den kostenpflichtigen Support weiterleiten wollen. Da soll es dann schnell gehen, und das ohne Kosten 😉 )

 

zu (v): das ist dann Sache desjenigen, der ein Gerät in die DMZ stellt. Grundsätzlich ist da dann mal alles offen. Typischerweise zeigt die IP in der DMZ wieder auf einen Router mit Firewall, oder auf eine Firewall mit Routerfunktion (je nachdem, wie man's definiert 😉), und erst dahinter kommen dann weitere Geräte.

 

Das sind meine eben gemachten Erfahrungen zu diesen Fragen. Ergänzugen und Korrekturen sind natürlich gerne willkommen!

Andreas F.
Level 1

@kaetho: Ganz herzlichen Dank für diese genauen und sehr, sehr hilfreichen Antworten auf meine Fragen. Super! Jetzt wäre für andere wie mich nur noch zu hoffen, dass diese Informationen auch in die Unterlagen der Swisscom kommen würden.