126911
126911
Jan 28, 2016, updated at Jan 31, 2016 (UTC)
view4903
view9
0
Goto Top

2 Netzwerke mit jeweils 2 eigenen Routern (Fritz!Boxen) an einem weiteren Router mit Internetzugang

GermanQuestionRouters, RoutingNetworks
Hallo,
ich möchte 2 getrennte Netzwerke, die jeweils einen eigenen Router besitzen, über einen (vom ISP gestellten) dritten Router verbinden und jeweils Zugriff von einem Netzwerk in das andere Netz haben.
Der Internetzugang beider Netze funktioniert aber die Verbindung von einem Netzwerk ins andere bekomme ich leider nicht eingerichtet. Ich habe etwas mit statischen Routen getestet, bin aber leider ohne Erfolg geblieben.

Der Router mit dem Internetzugang ist eine Ubiquiti Nanostation M5 mit einem openWRT (vom ISP modifiziert). Der Internetzugang erfolgt über WLAN. Das Gerät verfügt über zwei getrente LAN-Ports (192.178.10.200 und 192.168.10.100). An jeden Port ist dann jeweils ein Netzwerk angeschlossen:
- am 192.168.10.200 klemmt per dierkter Kabelverbindung eine Fritz!Box 7490
- am 192.178.10.100 ist die ganze Verbindung deutlich komplizierter!!! Es ist zwar am Ende auch eine Fritz!Box (7240) angeschlossen aber die Verbindung wird zu einem anderen Gebäude per WLAN aufgebaut. Es befinden sich zwei Ubiquiti Nanostation Loco M5 dazwischen.

Beide Fritz!Boxen arbeiten als Router und nutzen wieder andere Netzwerkbereiche. Die 7490 ein Netzwerk 10.100.200.x und die 7240 10.110.210.x...

Die Hardware muss bleiben! Die Fritz!Boxen arbeiten auch als Telefonanlage für VoIP...
Bitte keinen "netten" Hinweise auf die Suchfunktion! Ich habe sie benutzt und auch einige Dinge getestet! Hätte ich eine Lösung gefunden, ich hätte keine Fragen gestellt.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 294479

Url: https://administrator.de/contentid/294479

Printed on: April 24, 2024 at 22:04 o'clock

9 Comments
Latest comment
Goto Top
Member: BirdyB
BirdyB Jan 28, 2016 at 16:07:58 (UTC)
Goto Top
Zitat von @126911:

Hallo,
ich möchte 2 getrennte Netzwerke, die jeweils einen eigenen Router besitzen, über einen (vom ISP gestellten) dritten Router verbinden und jeweils Zugriff von einem Netzwerk in das andere Netz haben.
Der Internetzugang beider Netze funktioniert aber die Verbindung von einem Netzwerk ins andere bekomme ich leider nicht eingerichtet. Ich habe etwas mit statischen Routen getestet, bin aber leider ohne Erfolg geblieben.

Der Router mit dem Internetzugang ist eine Ubiquiti Nanostation M5 mit einem openWRT (vom ISP modifiziert). Der Internetzugang erfolgt über WLAN. Das Gerät verfügt über zwei getrente LAN-Ports (192.178.10.200 und 192.168.10.100). An jeden Port ist dann jeweils ein Netzwerk angeschlossen:
Warum hast du am Router vom ISP nochmal 2 getrennte Netze?
- am 192.168.10.200 klemmt per dierkter Kabelverbindung eine Fritz!Box 7490
- am 192.178.10.100 ist die ganze Verbindung deutlich komplizierter!!! Es ist zwar am Ende auch eine Fritz!Box (7240) angeschlossen aber die Verbindung wird zu einem anderen Gebäude per WLAN aufgebaut. Es befinden sich zwei Ubiquiti Nanostation Loco M5 dazwischen.
Wenn das ganze transparent arbeitet -> kein Problem.
Beide Fritz!Boxen arbeiten als Router und nutzen wieder andere Netzwerkbereiche. Die 7490 ein Netzwerk 10.100.200.x und die 7240 10.110.210.x...
Das ist ja soweit auch gut, aber warum gibt es am Internet-Router nochmal 2 getrennte Netze?
Vielleicht ist es übersichtlicher, wenn man das Gebilde grafisch darstellt. Leider habe ich kein passendes Toll zum Erstellen einer solchen Grafik gefunden...
Ein Blatt Papier und ein Scanner / Handykamera genügen dafür meistens. Ansonsten Visio, OmniGraffle,...
Mitglied: 126911
126911 Jan 28, 2016 at 16:14:01 (UTC)
Goto Top
Zur Anfrage "2 getrennte Netze am ISP":

Ich habe versucht an der Nanostation mit openWRT beide LAN-Ports einer einzigen IP zuzuordnen. Dann hatte ich aber von beiden Netzwerken keinen Internetzugriff mehr!
Dieser Router ist von meinem ISP "vorkonfiguriert".

Ich werde ne Skizze zum Netzwerk anfertigen!
Member: aqui
aqui Jan 28, 2016 updated at 18:19:05 (UTC)
Goto Top
Einfach mal die Suchfunktion benutzen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
oder wenn die Verbindung mit WLAN passieren soll:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Wird gefühlt 10 mal pro Woche gefragt face-wink
Ein 35 Euro Mikrotik Router oder ein 15 Euro TP-Link 841N mit geflashtem DD-WRT oder OpenWRT ist hier wie immer dein Freund.
Bedenke immer das die FBs KEIN abschaltbares NAT am WAN Port haben ! Damit ist ein transparentes Routing unmöglich und das Routing ist durch die NAT Firewall immer eine Einbahnstrasse. Für transparentes Routing sind die Fritzgurken nicht geeignet. Besser ist da immer ein Mikrotik oder eine DD-WRT oder OpenWRT Lösung. Oder generell ein Router mit abschaltbarem NAT.
Eine Skizze wäre aber in der Tat sehr hilfreich.
Bitte dazu die hiesige Upload Funktion nutzen und bitte KEINE externen Bilderlinks !
Member: aqui
aqui Jan 29, 2016 updated at 15:51:37 (UTC)
Goto Top
OK, mit der Skizze wird vieles klarer...!!
aber die Verbindung von einem Netzwerk ins andere bekomme ich leider nicht eingerichtet.
Welche Verbindung meinst du jetzt genau, denn du hast ja mehrere Netzwerke ??
Vermutlich die von 10.110.210.0 /24 zu 10.10.200.0 /24 , richtig ?

Erstmal ist das logisch, das das nicht klappt, denn die beiden FBs haben am LAN 1 Port ja immer eine NAT Firewall aktiv die bei FBs nicht abschaltbar ist. Jedenfalls nicht mit der original Firmware mit Freetz hingegen schon.
So ist also vollkommen klar das Verbindungsversuche aus 10.110.210.0 /24 am WAN Port 192.168.10.101 und der hier laufenden NAT Firewall enden und vice versa Verbindungsversuche aus 10.100.200.0 /24 am WAN Port 192.168.10.202 und der hier laufenden NAT Firewall.
Letztlich machst du ja ein simples Bridging zw. den LAN 1 Ports der beiden FBs.
Das Design verhält sich also so als wenn man zwischen 2 FBs die jeweils lokalen LANs erreichen will. Das verhindern aber die NAT Firewalls der Router.
Was auch letztlich gut ist denn stell dir mal vor das wäre so möglich, dann könnten Millionen von Usern gegenseitig ungeschützt auf ihre lokalen LANs zugreifen. Logisch das sowas Blödsinn wäre.
Abgesehen davon ginges es von der IP Adressierung auch gar nicht, ein Hauptgrund warum man NAT (IP Adress Translation) eingeführt hat und das NAT am LAN1 Port verhindert ein transparentes Routing.
Details dazu hier:
https://de.wikipedia.org/wiki/Port_Address_Translation
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router -> Nachteile NAT Lösung...

Lösen kannst du das nur mit Port Forwarding was du aber nur für einen einzigen Host und Port machen kannst oder mit einem vernünftigen Router der ein abschaltbares NAT hat.
Da du letzteres aber kategorisch ausgeschlossen hast, bleibt dir also nur die erste leider sehr begrenzte Option.
Ausnahme natürlich du freetzt deine FBs...
Mitglied: 126911
126911 Jan 30, 2016 at 10:27:58 (UTC)
Goto Top
Hallo aqui,
Port-Forwarding durch die Fritz!Boxen würde mir schon ausreichen! Im Netz der 7490 (10.100.200.x) befindet sich z.B. ein NAS (QNAP), auf welches ich gern aus dem anderen Netzwerk zugreifen möchte. Mit WinSCP und einem umgeleiteten Port 22 in der Fritz!Box 7490 wäre ich schon überglücklich!
Ich kann aber z.B. aus dem 10.110.210.x nicht die Fritz!Box untzer 192.168.10.101 anpingen. Sicherlich laufen die Pings über die Nanostation M5 (192.178.10.200) ins "Internet" statt über LAN1 ins 192.168.10.x-Netz zu gelangen...
Ich muss doch also sicher in dieser Nanostation M5 ein Routing einrichten oder?
Member: aqui
aqui Jan 30, 2016 updated at 15:06:07 (UTC)
Goto Top
Port-Forwarding durch die Fritz!Boxen würde mir schon ausreichen!
OK, dann musst du das nur eintragen und gut iss....
Beispiel:
Eingehend Port TCP 20 und TCP 21 (FTP) -> Ausgehend IP <lokale NAS IP Addr.> Port TCP 20 und TCP 21 (FTP)
Fertisch...
Mit WinSCP und einem umgeleiteten Port 22 in der Fritz!Box 7490 wäre ich schon überglücklich!
Das sähe dann so aus:
Eingehend Port TCP 22 (SCP) -> Ausgehend IP <lokale NAS IP Addr.> Port TCP 22 (SCP)
Fertisch...
Ich kann aber z.B. aus dem 10.110.210.x nicht die Fritz!Box untzer 192.168.10.101 anpingen.
Ist ja auch logisch, denn ICMP (Ping) ist auf den WAN Ports sinnvollerweise bei den FBs deaktiviert. Würde man das aktivieren wären Skript Kiddies und Port Scannern bzw. Angreifern damit Tür und Tor geöffnet, denn wenn was auf Pings antowrtet ist da auch was was man hacken kann...
Das sagt einem doch schon der gesunde Menschenverstand ?!
Kann man ggf. aber im FB Setup erlauben...musst du checken.
Dein Routing müsste so aussehen (Prinzipschaltpild was sich jetzt mal die L2 WLAN Bridges wegdenkt, da die im IP Routing eh nix zur Sache tun):

59aed3f0ba4d8a99edb69131f25e8bea

Wichtig ist hier also die Route in der OpenWRT Nanostation zum Provider für die beiden 10er Netze. Ohne die nützt dir auch ein Port Forwarding nix.
Bedenklich ist übrigens das eins deiner Transfer Netze 192.178.10.0 /24 KEIN privates RFC 1918 Netzwerk ist, sondern ein weltweit öffentlich zugeteiltes Netz was der Fa. Google gehört !!
NetRange: 192.178.0.0 - 192.179.255.255
CIDR: 192.178.0.0/15
NetName: GOOGLE
NetType: Direct Allocation
OriginAS: AS15169
Organization: Google Inc. (GOGL)
Nicht gerade eine sehr intelligente Wahl deinerseits.. face-sad
Mitglied: 126911
126911 Jan 30, 2016 at 15:57:28 (UTC)
Goto Top
Die 192.178.x.x umzustellen ist kein Problem! Das hatte mein ISP eingerichtet - nicht ich selbst!
Ich hatte um Hilfe gebeten, weil die erste M5 loco am "Secondary Port" der M5 mit openWRT hängt und ich nur eine PoE-Injektor nutzen wollte. Das Problem war allerdings nicht die Konfiguration sondern der zu schwache PoE-Injektor. Ich habe mir daraufhin einen Injektor mit 1A besorgt und seit dem werden beide Geräte ausreichend versorgt...

Port-Forwarding in der Fritz!Box nutze ich schon jahrelang um auf mein NAS zugreifen zu können. Das funktioniert problemlos über LAN1 zur 7490 aber eben nicht zur 7240...

Ich bekomme das Routing in der M5 nicht hin! Wahrscheinlich beeinflussen die Einstellungen meines ISPs (kleiner, lokaler WLAN-Anbieter) das Routing...
Ich werde es noch einmal probieren...

Allerdings verstehe ich nicht ganz: warum in den statischen Routen die IPs 10.110.210.0 bzw. 10.100.200.0 vorkommen!!?? Die befinden sich doch hinter den NATs der Fritz!Boxen ... Muss ich nicht:
192.168.10.202 Maske 255.255.255.0 GW 192.168.10.100 und
192.178.10.101 Maske 255.255.255.0 GW 192.178.10.200 einrichten?
Member: aqui
aqui Jan 30, 2016, updated at Jan 31, 2016 at 11:03:14 (UTC)
Goto Top
Das hatte mein ISP eingerichtet - nicht ich selbst!
Umso trauriger und wirft wahrlich kein gutes Licht auf diesen ISP. Solcheart Dummheiten traut man ISPs eigentlich nicht zu bzw. sollte man da nie machen...aber egal.
Das funktioniert problemlos über LAN1 zur 7490 aber eben nicht zur 7240...
Vermutlich weil richtigen die statischen Routen in der M5 fehlen ?!
Ich bekomme das Routing in der M5 nicht hin!
Warum nicht ?? Einfach das Setup aufmachen, die beiden statischen Routen hinzufügen fertig ist der Lack.... PEBKAC Problem ?!
Wahrscheinlich beeinflussen die Einstellungen meines ISPs (kleiner, lokaler WLAN-Anbieter) das Routing...
Das ist gut möglich wenn der in seinem internen Netzwerk auch 10er IPs verwendet. Dann könnte sich das überschneiden. Da du diese Information nicht lieferst kann man nur frei raten...
Was sagt denn die Routing Tabelle des M5 ?? Die hast du uns ja wie gesagt bis dato vorenthalten und die könnte das in Sekunden klären. (netstat -nr)
Die befinden sich doch hinter den NATs der Fritz!Boxen ... Muss ich nicht: (und dann geht der Blödsinn los...)
Das ist in der Tat richtig aber eben nur halb richtig gedacht.
Bei PAT wird nur die Absender IP im NAT Prozess auf die FritzBox WAN IP gesetzt, die Ziel IP muss ja logischerweise bestehen bleiben, wie weiss sonst das Packet bzw. die lesenden Router WO dieses IP Paket hinsoll ?!
Sendest du also was von einem Client im 10.110.210.0er Netz sagen wir mal mit der Host IP .100 an das NAS im 10.100.200.0er Netz mit der Host IP .11 sieht das Paket im lokalen Netzwerk noch so aus:
Destination IP: 10.100.200.11, Source IP: 10.110.210.100
Nach der FB und NAT bzw. PAT dann so:
Destination IP: 10.100.200.11, Source IP: 192.178.10.101
Damit landet das Paket jetzt an der M5, denn die ist ja das Default Gateway für beide FritzBoxen.
Die M5 "sieht" jetzt das Paket an erkennt die Ziel IP 10.100.200.11 und muss eine Forwarding Entscheidung fällen....
Bei meiner Routing Tabelle forwardet sie das Paket jetzt an die 192.168.10.202 sprich der anderen FritzBox, die erkennt das 10.100.200.0er Netz und forwardet das Paket lokal ans NAS...fertisch.
Bei deiner Routing Tabelle erkennt sie das Zielnetz nicht bzw. da es nicht separat in der Routing Tabelle steht nimmt die M5 das kleinste gemeinsame Vielfache und das ist die Default Route zum ISP und forwardet das dahin.
Dort versandet es dann im Daten Nirwana....
Hättest du dir nur mal 5 Minuten mit dem Wireshark Sniffer das angesehen wäre dir das sofort klar geworden... face-wink

Deine statischen Routen sind in sofern Schwachsinn (sorry !), da beide Netze 192.168.10.0 und 192.178.10.0 direkt an der M5 angeschlossen sind physisch. Die M5 "kennt" dadurch also diese IP Netze.
Es wäre ja totaler Blödsinn diese dann nochmals statisch zusätzlich zu definieren und vollkommen unsinnig ist es dann ihr obendrein noch zu sagen das sie eigene Netze über Gateways die eben in diesen gleichen Netzen liegen erreichen kann.
Irrwitziger kann man es nicht mehr machen und muss man hier wohl auch nicht mehr weiter kommentieren face-sad Fazit: Lösche diesen Unsinn.
Lass doch einfach mal den gesunden Menschenverstand walten und stell dir nur mal schlicht und einfach die Wegefindung der IP Pakete in deinem Netz vor wie oben beschrieben, dann springt einem das doch förmlich ins Auge.
Dafür muss man nichtmal Admin oder Ekschberde sein, denn das ist das gleiche Prinzip als wenn Klein Fritzchen mit seinem Tretroller durch die Stadt rollert und auf Verkehrsschilder achtet an jeder Kreuzung. face-wink
Member: aqui
aqui Jan 31, 2016 at 11:04:56 (UTC)
Goto Top
Warum man sich dann gleich beleidigt aus dem Forum abmelden muss ist etwas naiv....schade !
Nichtmal für
How can I mark a post as solved?
war scheinbar Zeit da....nundenn. Kann man nur hoffen das jetzt alles funktioniert...sollte es wenigstens.
GermanQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments