21
Fritzbox hinter Fritzbox ( 2 Router hintereinander mit getrennten Subnetzen )
Hallo zusammen,
zu Beginn: Das Thema wurde ja bereits heiß und innig besprochen, aber trotzem habe ich die Lösung für mein Problem nicht gefunden.
Sollte ich etwas überlesen haben oder die SuFu falsch benutzt, dann bitte ich um Entschuldigung und Angabe von nützlichen Links.
Problem:
Fritzbox SL ist als Router mit DSL verbunden.
FB SL = 192.168.178.1/24 ( zur Sicherheit auch mit ../16 getestet )
Fritzbox 7170 (LAN1) soll an FB SL (LAN) dran.
FB7170 = 192.168.1.1/24 ( zur Sicherheit auch mit ../16 getestet ) - GW & DNS: 192.168.178.1 - - Internetzugang über LAN 1=aktiv - Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)=aktiv.
PC: 192.168.1.2/24 ( zur Sicherheit auch mit ../16 getestet ) GW & DNS: 192.168.1.1 ( zur Sicherheit auch mit 192.168.178.1 getestet ).
Leider kommt keine Internetverbindung zustande.
Sinn und Zweck ist es, dass 2 separate Netze entstehen, wo der PC hinter FB SL nicht ins Netz der FB 7170 kann.
Vielen Dank im Voraus.
Gruß - mali
zu Beginn: Das Thema wurde ja bereits heiß und innig besprochen, aber trotzem habe ich die Lösung für mein Problem nicht gefunden.
Sollte ich etwas überlesen haben oder die SuFu falsch benutzt, dann bitte ich um Entschuldigung und Angabe von nützlichen Links.
Problem:
Fritzbox SL ist als Router mit DSL verbunden.
FB SL = 192.168.178.1/24 ( zur Sicherheit auch mit ../16 getestet )
Fritzbox 7170 (LAN1) soll an FB SL (LAN) dran.
FB7170 = 192.168.1.1/24 ( zur Sicherheit auch mit ../16 getestet ) - GW & DNS: 192.168.178.1 - - Internetzugang über LAN 1=aktiv - Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)=aktiv.
PC: 192.168.1.2/24 ( zur Sicherheit auch mit ../16 getestet ) GW & DNS: 192.168.1.1 ( zur Sicherheit auch mit 192.168.178.1 getestet ).
Leider kommt keine Internetverbindung zustande.
Sinn und Zweck ist es, dass 2 separate Netze entstehen, wo der PC hinter FB SL nicht ins Netz der FB 7170 kann.
Vielen Dank im Voraus.
Gruß - mali
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82345
Url: https://administrator.de/contentid/82345
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
21 Kommentare
Neuester Kommentar
Hi,
wenn du willst, dass sich die Rechner nicht im gleichen Netz finden,
reicht es doch, die Rechner mit einer anderen Subnetzmaske auszustatten
und der Router (FB) muss beide Bereiche abdecken.
Subnetz 1
192.168.1.0
255.255.255.128
IP-Range 1-126
Subnetz 2
192.168.1.0
255.255.255.128
IP-Range 128 -254
Router bekommt als SNM: 255.255.255.0
Schon sehen sich die Rechner nicht mehr untereinander und kommen trotzdem ins Netz.
Grüße
Firepower
wenn du willst, dass sich die Rechner nicht im gleichen Netz finden,
reicht es doch, die Rechner mit einer anderen Subnetzmaske auszustatten
und der Router (FB) muss beide Bereiche abdecken.
Subnetz 1
192.168.1.0
255.255.255.128
IP-Range 1-126
Subnetz 2
192.168.1.0
255.255.255.128
IP-Range 128 -254
Router bekommt als SNM: 255.255.255.0
Schon sehen sich die Rechner nicht mehr untereinander und kommen trotzdem ins Netz.
Grüße
Firepower
Hi,
wenn du willst, dass sich die Rechner nicht
im gleichen Netz finden,
reicht es doch, die Rechner mit einer
anderen Subnetzmaske auszustatten
und der Router (FB) muss beide Bereiche
abdecken.
wenn du willst, dass sich die Rechner nicht
im gleichen Netz finden,
reicht es doch, die Rechner mit einer
anderen Subnetzmaske auszustatten
und der Router (FB) muss beide Bereiche
abdecken.
Hi,
danke für den Vorschlag, aber ich möchte folgendes damit erreichen:
Die beiden Router müssen versch. Netze haben, damit der PC an FBSL nur zum Internet Verbindung hat und auf keinen Fall zum LAN an der FB7170. Es soll ausgeschlossen werden, dass der PC an der FB SL die Subnetmask ändert und schon hängt er in beiden Netzen.
Gruß - mali
EDIT:::::::
FB SL: 192.168.178/16 als Router am DSL ( DHCP und PPPoE-Passtrough=aus; ist aber auch eigentlich nicht relevant )
FB 7170: 192.168.1.1/16 GW&DNS: 192.168.178.1
PC per WLAN an FB 7170: 192.168.1.2/24 GW&DNS: 192.168.178.1 ODER PC per USB an FB SL: 192.168.178.5/16 ( oder 192.168.178.5/24 ) ; GW&DNS 192.168.1.1
So funktioniert es schon mal, nur zur Info, ist aber nicht das, was ich mir gedacht habe.
Leider besteht so die Möglichkeit, das jeder der beiden Konfigurationen auf beiden FB WebGUI's zugreifen kann und somit auch ins andere Netz.
Danke, aber das Tutorial hab ich natürlich schon gelesen. Das ist so ziemlich das gleiche, wie mein Vernetzung oben, nur in grün.
Ich möchte 2 untschiedliche Subnetze nutzen.
Ich möchte 2 untschiedliche Subnetze nutzen.
Ok, das ist ja nun das einfachste von der Welt, da das nur ein banales IP Design ist.
Nehmen wir also das klassische Fritz IP Netzwerk von 192.168.178.0/24 und machen daraus 2 Subnetze wie du es gerne hättest:
Subnetz 1: 192.168.178.0, Maske: 255.255.255.128, Adressbereich: 192.168.178.1 bis 192.168.178.126, Broadcast: 192.168.178.127
Subnetz 2: 192.168.178.128, Maske: 255.255.255.128, Adressbereich: 192.168.178.129 bis 192.168.178.254, Broadcast:192.168.178.255
In der Praxis sieht das dann so aus:
Wo ist nun das Problem ?!
Nehmen wir also das klassische Fritz IP Netzwerk von 192.168.178.0/24 und machen daraus 2 Subnetze wie du es gerne hättest:
Subnetz 1: 192.168.178.0, Maske: 255.255.255.128, Adressbereich: 192.168.178.1 bis 192.168.178.126, Broadcast: 192.168.178.127
Subnetz 2: 192.168.178.128, Maske: 255.255.255.128, Adressbereich: 192.168.178.129 bis 192.168.178.254, Broadcast:192.168.178.255
In der Praxis sieht das dann so aus:
Wo ist nun das Problem ?!
Moin moin,
ich glaube, was erreicht werden soll, sind 2 eigenständige netze, ohne dass von einem auf das andere
zugegriffen werden kann ( bis dahin klappt das mit dem Subnetzen), aber -> einschliesslich der FB (Webinterface), und beide sollen sich einen Internetanschluss teilen.
Richtig ??
Firepower
ich glaube, was erreicht werden soll, sind 2 eigenständige netze, ohne dass von einem auf das andere
zugegriffen werden kann ( bis dahin klappt das mit dem Subnetzen), aber -> einschliesslich der FB (Webinterface), und beide sollen sich einen Internetanschluss teilen.
Richtig ??
Firepower
Moin moin,
ich glaube, was erreicht werden soll, sind 2
eigenständige netze, ohne dass von einem
auf das andere
zugegriffen werden kann ( bis dahin klappt
das mit dem Subnetzen), aber ->
einschliesslich der FB (Webinterface), und
beide sollen sich einen Internetanschluss
teilen.
Richtig ??
Firepower
ich glaube, was erreicht werden soll, sind 2
eigenständige netze, ohne dass von einem
auf das andere
zugegriffen werden kann ( bis dahin klappt
das mit dem Subnetzen), aber ->
einschliesslich der FB (Webinterface), und
beide sollen sich einen Internetanschluss
teilen.
Richtig ??
Firepower
Richitg, ich möchte 2 ganz unabhängige Netze.
Beispiel siehe Anfagsthread.
Habe mal etwas weitergegoogelt und gedacht. Kann es daran liegen, dass auf den FB'en eine gegenseitige und statische Route einzufüen ist???
FB1: IP=192.168.178.1 am DSL mit der Route: 192.168.1.0/24 GW:192.168.1.1
FB2: IP=192.168.1.1 an FB1 mit der Route: 192.168.178.0/24 GW:192.168.178.1
Weiss leider nicht, wann ich dazu komme es auszuprobieren. Also, sollte jmd wissen, ob dass es so klappt bzw. grober Unfug ist, dann bitte melden.
Gruß - mali
Nein statische Routen sind Unsinn, denn die führen ja dann wieder in eine Verbindung der Netze !
Wo ist denn dein Problem ? Wenn du alles genau so einrichtest wie hier:
http://www.heise.de/netze/Abruestung-gegen-Einbrecher--/artikel/78397
beschrieben hast du doch genau das was du willst ??! Der Text sagt das doch eindeutig aus das das genau so funktioniert ??!!
Ein Punkt ist, das Verbindungen aus dem sekundären Netz ins primäre teilweise möglich ist, niemals aber andersrum !
Dies kannst du nur verhindern mit einer Accessliste auf dem sekundär Router wenn dieser das supportet anders ist das in so einem Design technisch nicht möglich !
Du müsstest dann auf ein anderes Netzkonzept wechseln !
Wo ist denn dein Problem ? Wenn du alles genau so einrichtest wie hier:
http://www.heise.de/netze/Abruestung-gegen-Einbrecher--/artikel/78397
beschrieben hast du doch genau das was du willst ??! Der Text sagt das doch eindeutig aus das das genau so funktioniert ??!!
Ein Punkt ist, das Verbindungen aus dem sekundären Netz ins primäre teilweise möglich ist, niemals aber andersrum !
Dies kannst du nur verhindern mit einer Accessliste auf dem sekundär Router wenn dieser das supportet anders ist das in so einem Design technisch nicht möglich !
Du müsstest dann auf ein anderes Netzkonzept wechseln !
Ja, genau das will ich (zwar mit der Möglichkeit auf jedes Netz bei Bedarf den Zugriff zu ermöglichen, aber vorerst reicht es so).
Habe den Link auf heise.de leider im Beitrag überlesen.
Merci - mali
Habe den Link auf heise.de leider im Beitrag überlesen.
Merci - mali
Stand auch so im Tutorial !! Wer lesen kann... 
Bitte keine virtuellen Seitenhiebe shame on me
shame on me
The endless Story goes on:
"...Auf der LAN-Seite aktiviert der Verwalter den DHCP-Server und lässt ihn IP-Adressen aus einem anderen Bereich als dem der DMZ verteilen..." auf der heise.de Seite zum DMZ Design.
Leider kann meine FB keinen DHCP, wenn die Einstellung "... vorhandenes Netz mitbenutzen..." aktiviert ist.
Habe einen Route auf der internen FB gemacht, dann kann ich den die FB anpingen, aber kein Internet.
Vorschlag?
Gruß - mali
"...Auf der LAN-Seite aktiviert der Verwalter den DHCP-Server und lässt ihn IP-Adressen aus einem anderen Bereich als dem der DMZ verteilen..." auf der heise.de Seite zum DMZ Design.
Leider kann meine FB keinen DHCP, wenn die Einstellung "... vorhandenes Netz mitbenutzen..." aktiviert ist.
Habe einen Route auf der internen FB gemacht, dann kann ich den die FB anpingen, aber kein Internet.
Vorschlag?
Gruß - mali
Wieso ...vorhandenes Netz mitbenutzen ??? Was soll das denn ???
Normalerweise mach man folgendes (gemäß Zeichnung auf Heise):
Wo ist das Problem ??? Beide Router vergeben nun unabhängig auf ihren LAN Segmenten entsprechend IPs in dem lokalen Adressbereich mit ihren DHCP Servern den du dadrauf konfiguriert hast.
Von ...vorhandenes Netz mitbenutzen ??? ist da nirgendwo die Rede !!!
Normalerweise mach man folgendes (gemäß Zeichnung auf Heise):
- externen Router konfigurieren und am Internet austesten und prüfen ob alles funktioniert. Wenn ja...
- sekundären Router mit seinem WAN/DSL Port an den LAN Anschluss (meist 4 interner fach Switch) des primären Routers verbinden mit einem Ethernet Kabel (ggf. hier Crossover Kabel verwenden wenn die Router kein MIDI-X können, auf Link LED achten !)
- Sekundärem Router nun auf dem WAN/DSL Port eine statische IP Adresse aus dem LAN IP Bereich des externen Routers vergeben. (Ebenfalls das PPPoE Protokoll ABSCHALTEN im Setup !) ACHTUNG: Diese feste Adresse darf natürlich nicht im LAN DHCP Bereich des externen Routers liegen !!!
- Nun auf dem sekundären Router entsprechend im LAN Bereich IP und DHCP Range anpassen.
Wo ist das Problem ??? Beide Router vergeben nun unabhängig auf ihren LAN Segmenten entsprechend IPs in dem lokalen Adressbereich mit ihren DHCP Servern den du dadrauf konfiguriert hast.
Von ...vorhandenes Netz mitbenutzen ??? ist da nirgendwo die Rede !!!
ext. Router am DSL = JA
sek. Router mit WAN/DSL = nein / ist am LAN1 mit ext. Router verbunden
sek.Router:
[ ]Internetzugang über DSL -Wählen Sie diese Zugangsart, wenn FRITZ!Box direkt mit Ihrem DSL-Anschluss verbunden ist.
[x] Internetzugang über LAN 1 - Wählen Sie diesen Zugang, wenn Sie FRITZ!Box an ein bereits vorhandenes Netzwerk (LAN) oder einen DSL-Router anschließen möchten.
[ ] Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)
[x] Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)
[ ] Zugangsdaten werden benötigt (PPPoE/PPPoA-Zugang)
[x] Zugangsdaten werden nicht benötigt (gemäß RFC1483/RFC2684)
[x]IP-Adresse manuell festlegen
IP-Adresse 192.168.178.2
Subnetzmaske 255.255.255.0
Standard-Gateway 192.168.178.1
Primärer DNS-Server 192.168.178.1
DHCP kann hier nicht angeschaltet werden, geschweige eine andere IP-Range aus nem anderen Subnetz.
PC-Client:
192.168.1.1/24 GW&DNS: 192.168.178.2
Router können sich anpingen. PC zu ext. Router = nein / PC zu sek. Router = nein
Ist auf dem sek. Router ne statische Route ( 192.168.1.0/24 GW:192.168.178.2 ) kann auch PC zu sek. Router pingen.
Aber Internet ist trotzdem nit.
Kann es sein, dass die Hardware das nicht zu löst, aber habe ich immer noch nen Fehler drin?
Probiere es mit der Option und melde mich dann:
[x] Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP) aber mit der oberen Beschreibung müsst es doch auch gehen, oder???
sek. Router mit WAN/DSL = nein / ist am LAN1 mit ext. Router verbunden
sek.Router:
[ ]Internetzugang über DSL -Wählen Sie diese Zugangsart, wenn FRITZ!Box direkt mit Ihrem DSL-Anschluss verbunden ist.
[x] Internetzugang über LAN 1 - Wählen Sie diesen Zugang, wenn Sie FRITZ!Box an ein bereits vorhandenes Netzwerk (LAN) oder einen DSL-Router anschließen möchten.
[ ] Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)
[x] Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)
[ ] Zugangsdaten werden benötigt (PPPoE/PPPoA-Zugang)
[x] Zugangsdaten werden nicht benötigt (gemäß RFC1483/RFC2684)
[x]IP-Adresse manuell festlegen
IP-Adresse 192.168.178.2
Subnetzmaske 255.255.255.0
Standard-Gateway 192.168.178.1
Primärer DNS-Server 192.168.178.1
DHCP kann hier nicht angeschaltet werden, geschweige eine andere IP-Range aus nem anderen Subnetz.
PC-Client:
192.168.1.1/24 GW&DNS: 192.168.178.2
Router können sich anpingen. PC zu ext. Router = nein / PC zu sek. Router = nein
Ist auf dem sek. Router ne statische Route ( 192.168.1.0/24 GW:192.168.178.2 ) kann auch PC zu sek. Router pingen.
Aber Internet ist trotzdem nit.
Kann es sein, dass die Hardware das nicht zu löst, aber habe ich immer noch nen Fehler drin?
Probiere es mit der Option und melde mich dann:
[x] Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP) aber mit der oberen Beschreibung müsst es doch auch gehen, oder???
OK, vermutlich ist die Konfig Nomenklatur der FBs dort etwas kryptisch. Deine Routerkonfig ist so richtig aber vermutlich hast du beide Clients einiges falsch gemacht !
Hier dein Netz wie es richtig addressiert sein müsste:
Bedenke immer das Verbindungen vom PC im .178er Netz zum PC im .1er Netz immer nurbedingt möglich sind, da du die NAT Firewall im 2ten Router nicht überwinden kannst !!
Das geht immer nur mit entsprechenden Port Forwarding einträgen !! Ist aber ja auch Natur der Sache und gewollt in so einem DMZ Szenario !!
Hier dein Netz wie es richtig addressiert sein müsste:
Bedenke immer das Verbindungen vom PC im .178er Netz zum PC im .1er Netz immer nurbedingt möglich sind, da du die NAT Firewall im 2ten Router nicht überwinden kannst !!
Das geht immer nur mit entsprechenden Port Forwarding einträgen !! Ist aber ja auch Natur der Sache und gewollt in so einem DMZ Szenario !!
Okay, auf geht's zum letzen Mal !!! dann gebe ich auf.
Alles verstanden, alles ( fast ) so eingerichtet.
Das Problem liegt am sek. Router. Ich kann dem nicht ne IP (192.168.178.2) zu weisen UND gleichzeitig den DHCP laufen lassen bzw. anderweitig ne LAN-IP ( 192.168.1.1 ) zu teilen.
Somit ist das GW vom PC 192.168.1.10 das Problem!!!
Ist es möglich, dass der sek. Router ne statische Route ( 192.168.1.0/24 GW: 192.168.1.10 ) bekommt, damit ihm das Netz bekannt wird - oder evtl. dem PC ( 192.168.178.0/24 GW: 192.168.178.2 ) ???
Gute Nacht - mali
Alles verstanden, alles ( fast ) so eingerichtet.
Das Problem liegt am sek. Router. Ich kann dem nicht ne IP (192.168.178.2) zu weisen UND gleichzeitig den DHCP laufen lassen bzw. anderweitig ne LAN-IP ( 192.168.1.1 ) zu teilen.
Somit ist das GW vom PC 192.168.1.10 das Problem!!!
Ist es möglich, dass der sek. Router ne statische Route ( 192.168.1.0/24 GW: 192.168.1.10 ) bekommt, damit ihm das Netz bekannt wird - oder evtl. dem PC ( 192.168.178.0/24 GW: 192.168.178.2 ) ???
Gute Nacht - mali
Dann hast du keine Chance und die falschen Produkte für dein Szenario. Eigentlich ist das ja vollkommen unverständlich, denn dann arbeitet dein sekundärer Router scheinbar nicht mehr als Router sondern nur noch als dumme Bridge.
Damit ist dein Vorhaben so oder so zum Scheitern verurteilt.
Ist schon komisch das diese Produkte diese Funktion nicht zur Verfügung stellen. Jeder Billigrouter vom Blödmarkt vom Grabbeltisch kann sowas heutzutage...
Da aber 40 Euronen nicht zu viel sind solltest du dir einen Linksys-WRT54 ordern, der kann das problemlos auf dem sekundären Router umsetzen.
Damit ist dein Vorhaben so oder so zum Scheitern verurteilt.
Ist schon komisch das diese Produkte diese Funktion nicht zur Verfügung stellen. Jeder Billigrouter vom Blödmarkt vom Grabbeltisch kann sowas heutzutage...
Da aber 40 Euronen nicht zu viel sind solltest du dir einen Linksys-WRT54 ordern, der kann das problemlos auf dem sekundären Router umsetzen.
OK, trotzdem dickes Merci für die Hilfe.
Wenigstens weiß ich, dass ich gut gedacht habe.
mali
Wenigstens weiß ich, dass ich gut gedacht habe.
mali
Nach langem Hin und Her, hier die Lösung:
FBSL am DSL: 192.168.178.1/24
FB7170:192.168.1.1/24 als statische IP
und unter Zugangsdaten:
[ ] Internetzugang über DSL -Wählen Sie diese Zugangsart, wenn FRITZ!Box direkt mit Ihrem DSL-Anschluss verbunden ist.
[x] Internetzugang über LAN 1 - Wählen Sie diesen Zugang, wenn Sie FRITZ!Box an ein bereits vorhandenes Netzwerk (LAN) oder einen DSL-Router anschließen möchten.
[x] Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)
[ ] Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)
[ ] Zugangsdaten werden benötigt (PPPoE)
[x] Zugangsdaten werden nicht benötigt (IP)
P-Adresse manuell festlegen
IP-Adresse: 192.168.178.2
Subnetzmaske 255.255.255.0
Standard-Gateway 192.168.178.1
Primärer DNS-Server 192.168.178.1
Sekundärer DNS-Server 0.0.0.0
PC: 192.168.1.2/24
GW&DNS: 192.168.1.1
oder
PC: 192.168.10.2/24 / GW&DNS:192.168.1.1
hier muss allerdings ein statische Route auf der FB7170 ( 192.168.10.0/24 GW: 192.168.1.1 ) eingefügt werden.
Danke Dir aqui, hast mir den entscheidenden Tipp gegeben ( somit ist die FB doch nicht so ein Müll ).
Gruß - mali
FBSL am DSL: 192.168.178.1/24
FB7170:192.168.1.1/24 als statische IP
und unter Zugangsdaten:
[ ] Internetzugang über DSL -Wählen Sie diese Zugangsart, wenn FRITZ!Box direkt mit Ihrem DSL-Anschluss verbunden ist.
[x] Internetzugang über LAN 1 - Wählen Sie diesen Zugang, wenn Sie FRITZ!Box an ein bereits vorhandenes Netzwerk (LAN) oder einen DSL-Router anschließen möchten.
[x] Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)
[ ] Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)
[ ] Zugangsdaten werden benötigt (PPPoE)
[x] Zugangsdaten werden nicht benötigt (IP)
P-Adresse manuell festlegen
IP-Adresse: 192.168.178.2
Subnetzmaske 255.255.255.0
Standard-Gateway 192.168.178.1
Primärer DNS-Server 192.168.178.1
Sekundärer DNS-Server 0.0.0.0
PC: 192.168.1.2/24
GW&DNS: 192.168.1.1
oder
PC: 192.168.10.2/24 / GW&DNS:192.168.1.1
hier muss allerdings ein statische Route auf der FB7170 ( 192.168.10.0/24 GW: 192.168.1.1 ) eingefügt werden.
Danke Dir aqui, hast mir den entscheidenden Tipp gegeben ( somit ist die FB doch nicht so ein Müll ).
Gruß - mali
Hi,
ich bezweifle, dass es mit den Mitteln so zu bewerkstelligen ist, aber warte auf Antwort von aqui ab und lass dich ggfls. besser belehren.
ich bezweifle, dass es mit den Mitteln so zu bewerkstelligen ist, aber warte auf Antwort von aqui ab und lass dich ggfls. besser belehren.
