[Schimmelreiter]

(11.01.2015, 01:14)TVHD schrieb:  Ich verstehe Dich so, dass der Bridge-Modus (oder ein Media-Konverter) potentiell gefährlicher wäre als die Router-Kaskade, gäbe es die von Dir offengelegte Sicherheitslücke nicht.

Nein, kommt auf's selbe raus.

(11.01.2015, 01:14)TVHD schrieb:  "Bei meiner 7390 mit FRITZ!OS 06.21-29680 kann ich in der Betriebsart "Externes Modem oder Router" Funktionen wie "Automatische Einrichtung durch den Dienstanbieter zulassen" und "Automatische Updates zulassen" nicht mehr beeinflussen."

Zitat AVM:
"Die Seite "Anbieter-Dienste" ist in der Benutzeroberfläche der FRITZ!Box nur dann vorhanden, wenn Ihr Internetanbieter die automatische Einrichtung der FRITZ!Box nach TR-069 unterstützt. TR-069 ist eine technische Spezifikation. Sie beschreibt die automatische Einrichtung von Internetzugangsgeräten (zum Beispiel FRITZ!Box) durch den Internet- und Internettelefonie-Anbieter (Dienstanbieter).
Auf der Seite "Anbieter-Dienste" können Sie die automatische Einrichtung der FRITZ!Box und automatische Firmware-Updates zulassen oder blockieren."

Zur Not läßt sich TR-069 in der Fritz!Box auch per Konsole deaktivieren.

(11.01.2015, 01:14)TVHD schrieb:  Muss ich davon ausgehen, dass "unser" Provider dennoch "beliebig umkonfigurieren" kann? Ist TR-069 für uns als Gefahrenquelle von Belang?

Wenn es aktiv ist, dann schützt auch die Router-Kaskade nicht davor, wenn wir davon ausgehen, daß der Provider ja Zugriff auf den ersten Router hat.

(11.01.2015, 01:14)TVHD schrieb:  Könntest Du freundlicherweise einen "geeigneten Router" empfehlen?

Ich habe bisher Archer C5 (70 EUR) und Archer C7 (100 EUR) eingesetzt.
Beim C7 ist wichtig, die aktuelle Hardware-Revision v2 zu erhalten.

Ob der von cyp genannte Router für diesen konkreten Einsatzzweck taugt kann ich nicht beurteilen.

Hardwaremäßig ist er auf jeden Fall besser (Aber dafür kann man ihn nicht als WLAN-AP recyclen, falls man bei einem späteren Bridge-Modus doch lieber wieder was Einfaches wie die Fritz!Box nutzen will), die Frage ist, ob er für die IPv6-WAN-Anbindung auch zur reinen Firewall degradiert werden kann.

Letzteres ist das, was wir eigentlich wollen:
Da der Genexis kein Präfix delegiert (Was den Einsatz eines echten Routers unmöglich macht), bleibt nichts anderes übrig als IPv6-mäßig das selbe Netz zu benutzen wie im Genexis, wenn wir die Erreichbarkeit über IPv6 behalten wollen.
Dieser Aspekt wird von Access Points (Fritz!Box als IP-Client oder jeder andere Router mit IPv6-Support als Access Point) immer und ggf. von IPv6-tauglichen Firewalls erfüllt.

Gleichzeitig wollen wir aber auch eine Firewall zwischen dem Genexis und dem eigenen Heimnetz haben und dieser Punkt wird von herkömmlichen Plastikroutern mit Werksfirmware im AP-Modus nicht mehr erfüllt.

Damit bleiben nur noch Firewalls ...