147048
Feb 01, 2021, updated at 11:35:56 (UTC)
1411
22
0
2 Router, keine statische Route
Tag zusammen,
da meine Frage beim letzten mal leider etwas untergegangen ist, versuche ich es nochmal per neuem Thread.
Ich möchte an einen Router der keine statischen Routen unterstützt einen weiteren, fähigeren Router (z.B. Mikrotik) anschließen, der es mir ermöglicht VLANs für Gäste usw. aufzuspannen (+ inter-vlan-routing), gleichzeitig aber auch ermöglicht über eines der VLANs (gleiches Subnetz) weiterhin mit allen Geräten am Router 1 (WLAN & LAN) zu kommunizieren; und vice versa.
Ist das möglich?, handle ich mir Sicherheitsrisiken ein indem ich den Gästetraffic über das private LAN jage? (bzw. wie sieht es dann mit Firewall regeln aus?)
Viele Grüße.
PS: Ich möchte hiermit auch ein wenig mein Verständnis erweitern
da meine Frage beim letzten mal leider etwas untergegangen ist, versuche ich es nochmal per neuem Thread.
Ich möchte an einen Router der keine statischen Routen unterstützt einen weiteren, fähigeren Router (z.B. Mikrotik) anschließen, der es mir ermöglicht VLANs für Gäste usw. aufzuspannen (+ inter-vlan-routing), gleichzeitig aber auch ermöglicht über eines der VLANs (gleiches Subnetz) weiterhin mit allen Geräten am Router 1 (WLAN & LAN) zu kommunizieren; und vice versa.
Ist das möglich?, handle ich mir Sicherheitsrisiken ein indem ich den Gästetraffic über das private LAN jage? (bzw. wie sieht es dann mit Firewall regeln aus?)
Viele Grüße.
PS: Ich möchte hiermit auch ein wenig mein Verständnis erweitern
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 647031
Url: https://administrator.de/contentid/647031
Printed on: April 23, 2024 at 12:04 o'clock
22 Comments
Latest comment
Zitat von @147048:
Tag zusammen,
Hi,Tag zusammen,
Ist das möglich?
Nein, der erste Router kennt ohne statischen Routen die Subnetze des zweiten Routers nicht. Er weiß dementsprechend nicht, wohin er sämtliche Antworten zu Anfragen aus diesen Subnetzen schicken soll.VG
In dem Fall ist das kleinste Übel ein Doppel-NAT
Mach dir den Mikrotik zum Hauptrouter für alle Netze inkl DHCP, DNS, Firewall, VLAN usw. Den alten Router kannst du als Gäste WLAN verwenden (oder ganz abschalten) und als Modem für den Mikrotik. Für dein eigenes WLAN holst du dir noch einen VLAN fähigen Accesspoint, der hinter den Mikrotik kommt.
Mach dir den Mikrotik zum Hauptrouter für alle Netze inkl DHCP, DNS, Firewall, VLAN usw. Den alten Router kannst du als Gäste WLAN verwenden (oder ganz abschalten) und als Modem für den Mikrotik. Für dein eigenes WLAN holst du dir noch einen VLAN fähigen Accesspoint, der hinter den Mikrotik kommt.
Hallo,
Der neue Router muß mit dem "WAN" Interface" in das LAN Netzwerk des alten Routers.
Der neue Router muß NAT von seinen LAN interfaces zum WAN hin machen.
Firewall Regeln sind dann ungefähr so (pro VLAN/ LAN auf dem neuen Router:
1. allow any to LAN IP of old Router
2. deny any to LAN net of old Router
3. deny any to other VLANs
4. allow any to any.
Willst du von einem VLAN Zugriff auf das LAN Netz vom alten Router haben: Regel 2 entfällt.
Willst du Zugriff vom LAN des alten Routers auf einige Geräte und Dienste in einem VLAN haben, kann ggf. Portforwarding ausreichend sein.
Willst du Zugriff vom LAN des alten Routers auf ein VLAN komplett haben, mußt du mit bridging arbeiten, daß wird ggf. was komplizierter einzurichten.
CH
Ist das möglich?
Ja.Der neue Router muß mit dem "WAN" Interface" in das LAN Netzwerk des alten Routers.
Der neue Router muß NAT von seinen LAN interfaces zum WAN hin machen.
Firewall Regeln sind dann ungefähr so (pro VLAN/ LAN auf dem neuen Router:
1. allow any to LAN IP of old Router
2. deny any to LAN net of old Router
3. deny any to other VLANs
4. allow any to any.
Willst du von einem VLAN Zugriff auf das LAN Netz vom alten Router haben: Regel 2 entfällt.
Willst du Zugriff vom LAN des alten Routers auf einige Geräte und Dienste in einem VLAN haben, kann ggf. Portforwarding ausreichend sein.
Willst du Zugriff vom LAN des alten Routers auf ein VLAN komplett haben, mußt du mit bridging arbeiten, daß wird ggf. was komplizierter einzurichten.
CH
1
Zitat von @147048:
Ich möchte an einen Router der keine statischen Routen unterstützt einen weiteren, fähigeren Router (z.B. Mikrotik) anschließen, der es mir ermöglicht VLANs für Gäste usw. aufzuspannen (+ inter-vlan-routing), gleichzeitig aber auch ermöglicht über eines der VLANs (gleiches Subnetz) weiterhin mit allen Geräten am Router 1 (WLAN & LAN) zu kommunizieren;
Ich möchte an einen Router der keine statischen Routen unterstützt einen weiteren, fähigeren Router (z.B. Mikrotik) anschließen, der es mir ermöglicht VLANs für Gäste usw. aufzuspannen (+ inter-vlan-routing), gleichzeitig aber auch ermöglicht über eines der VLANs (gleiches Subnetz) weiterhin mit allen Geräten am Router 1 (WLAN & LAN) zu kommunizieren;
Ja. (NAT aktivieren am Mikrotik).
und vice versa.
Du kannst natürlich als default Gateway bei allen Clients im (W)LAN des ersten Routers den 2. Router (Mikrotik) eintragen. Dann geht es auch ohne NAT. Der Mikrotik muß natürlich den ersten Router als gateway haben.
lks
1
Ist das möglich?
Ja, das ist natürlich problemlos möglich ! Einfach mal die Suchfunktion benutzen...! 😉Du musst auf dem Mikrotik einfach nur auf dem Uplink Port zum davor kaskadierten Router, der kein stat. Routing kann, dann zwingend NAT/Masquerading laufen lassen !
Damit setzt der Mikrotik dann alle seinen lokalen IP Netze/VLANs auf die Uplink IP Adresse um und der "doofe" Router davor in der Kaskade merkt nicht das die komplett andere Absender IPs haben. Der "doofe" Router "denkt" durch das NAT alles kommt aus seinem lokalen Netz und deshalb braucht er auch keinerlei statische Routen !
Hier findest du die Grundlagen dazu:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
bzw., hier findest du die fertige Konfig für den Mikrotik:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Mach dir das Leben da leicht und nehme einfach die Default Konfig und passe die auf deine Belange an.
In der default Konfig ist eine aktive Firewall mit NAT am Uplink Port aktiv. Der Uplink Port ist im Default dann immer ether 1.
Im Gegensatz zum Tutorial dann also NICHT die default Konfig löschen sondern beibehalten und anpassen ! 😉
1
Ich möchte dich jetzt nicht schelten !
Wenn der zweite Router ( z.B. ein Mikrotik ) über Ether1 als WAN konfiguriert ist, dann ist es nicht mehr möglich, ein VLAN, welches vom ersten Router ( unbekannter Typ ) schon mit VLAN arbeitet. Ansonsten , wenn es so wäre, müsste die VLAN ID ohne einer Forward Regel zu unterliegen, dem Adress- und Schnittstellenwandel folgen können ! Und das kann man mit einem reinem NAT nicht machen ! Ausser man will das jeder Mitlesen kann !
Wenn der zweite Router ( z.B. ein Mikrotik ) über Ether1 als WAN konfiguriert ist, dann ist es nicht mehr möglich, ein VLAN, welches vom ersten Router ( unbekannter Typ ) schon mit VLAN arbeitet. Ansonsten , wenn es so wäre, müsste die VLAN ID ohne einer Forward Regel zu unterliegen, dem Adress- und Schnittstellenwandel folgen können ! Und das kann man mit einem reinem NAT nicht machen ! Ausser man will das jeder Mitlesen kann !
dann ist es nicht mehr möglich, ein VLAN, welches vom ersten Router ( unbekannter Typ )
Da hast du nur sehr bedingt Recht ! Was hindert dich daran den Uplink bzw. das Koppelnetz zw. den beiden kaskadierten Routern mit einem Tagged Link zu betreiben ?? Dann kann man problemlos darüber jedes x-beliebige VLAN übertragen.Allerdings kann man wohl auch zu 99,9% davon ausgehen das so ein Schrottrouter, der noch nicht einmal statische Routen supportet, wohl nie und nimmer nicht VLANs supportet.
In sofern geht die Wahrscheinlichkeit das es auf dem davor kaskadierten Router überhaupt VLANs gibt wohl eher gegen Null.
Also lese wir mal richtig, und möchte dir eine Schelte geben, wenn es so ist wie ich es gelesen und verstanden habe.
Ich möchte dich jetzt nicht von deinem Level 5 Thron stoßen.
Wenn im ersten "Schrottrouter" so beschrieben ein VALN über das WLAN was damit betrieben wird, aufgebaut wird, dann muss oder sollte das intern hinter dem zweiten Router mit und nach dem NAT ( z.b. Mikrotik ) ankommen!
Erklären bitte ! Wie kann ein VLAN aus einem WLAn Router der selber kein VLAN eigenständig kann, zwar auf dem selben IP Adreressbereich wie das WLAN ( Router1) liegend zum weiten Router durchkommt ?
Nach einem Interface NAT innerhalb von Mikrotik. mit der Interface Struktur- Kennzeichnung geht kein VLAN was über das NAT muss durch ! Außer man benutzt Paketmakierung und leitetet das wieder über eine Forward, aber Trans Regel um !
Ich möchte dich jetzt nicht von deinem Level 5 Thron stoßen.
Wenn im ersten "Schrottrouter" so beschrieben ein VALN über das WLAN was damit betrieben wird, aufgebaut wird, dann muss oder sollte das intern hinter dem zweiten Router mit und nach dem NAT ( z.b. Mikrotik ) ankommen!
Erklären bitte ! Wie kann ein VLAN aus einem WLAn Router der selber kein VLAN eigenständig kann, zwar auf dem selben IP Adreressbereich wie das WLAN ( Router1) liegend zum weiten Router durchkommt ?
Nach einem Interface NAT innerhalb von Mikrotik. mit der Interface Struktur- Kennzeichnung geht kein VLAN was über das NAT muss durch ! Außer man benutzt Paketmakierung und leitetet das wieder über eine Forward, aber Trans Regel um !
Du hast die Antwort schon selber im Text gegeben: "Wie kann ein VLAN aus einem WLAn Router der selber kein VLAN eigenständig kann..."
Mit einem Router der nicht VLAN fähig ist, ist sowas technisch unmöglich, keine Frage.
Das geht nur wenn BEIDE Router eine VLAN Funktion supporten, dann kann man sowas machen. Ansonsten ist es technisch unmöglich. Logisch, denn wie sollte ein Router ohne jeglichen VLAN Support auch mit VLANs umgehen können ?! Geht natürlich nicht.
Stand aber so mit dieser Einschränkung auch schon in der Antwort oben.
Mit einem Router der nicht VLAN fähig ist, ist sowas technisch unmöglich, keine Frage.
Das geht nur wenn BEIDE Router eine VLAN Funktion supporten, dann kann man sowas machen. Ansonsten ist es technisch unmöglich. Logisch, denn wie sollte ein Router ohne jeglichen VLAN Support auch mit VLANs umgehen können ?! Geht natürlich nicht.
Stand aber so mit dieser Einschränkung auch schon in der Antwort oben.
Hui,
mit so vielen Antworten hatte ich nicht gerechnet. :D
Tatsächlich bin ich wenigstens mal ein bisschen "schlauer" geworden.
Also danke für die zahlreichen Tipps und Links!
Viele Grüße.
mit so vielen Antworten hatte ich nicht gerechnet. :D
Tatsächlich bin ich wenigstens mal ein bisschen "schlauer" geworden.
Also danke für die zahlreichen Tipps und Links!
Viele Grüße.
Immer gerne ! 
1
Hallo zusammen,
da ich in der Zwischenzeit nicht untätig gewesen bin, würde ich mich gerne nocheinmal über den vorangegangenen Post von @Lochkartenstanzer erkundigen:
Dieser bezieht sich auf:
Zitat von @147048:
Müsste das (also Kommunikation von Geräten am doofem Router zu Geräten im "Privat-vlan" des Mikrotik) nicht möglich sein, wenn man 1:1-NAT nutzt; oder habe ich da was missverstanden?
da ich in der Zwischenzeit nicht untätig gewesen bin, würde ich mich gerne nocheinmal über den vorangegangenen Post von @Lochkartenstanzer erkundigen:
Zitat von @Lochkartenstanzer:
Nein.
Du kannst natürlich als default Gateway bei allen Clients im (W)LAN des ersten Routers den 2. Router (Mikrotik) eintragen. Dann geht es auch ohne NAT. Der Mikrotik muß natürlich den ersten Router als gateway haben.
Zitat von @147048:
und vice versa.
und vice versa.
Du kannst natürlich als default Gateway bei allen Clients im (W)LAN des ersten Routers den 2. Router (Mikrotik) eintragen. Dann geht es auch ohne NAT. Der Mikrotik muß natürlich den ersten Router als gateway haben.
Dieser bezieht sich auf:
Zitat von @147048:
fähigeren Router (z.B. Mikrotik) anschließen, der es mir ermöglicht VLANs für Gäste usw. aufzuspannen (+ inter-vlan-routing), gleichzeitig aber auch ermöglicht über eines der VLANs weiterhin mit allen Geräten am Router 1 (WLAN & LAN) zu kommunizieren; und vice versa.
Müsste das (also Kommunikation von Geräten am doofem Router zu Geräten im "Privat-vlan" des Mikrotik) nicht möglich sein, wenn man 1:1-NAT nutzt; oder habe ich da was missverstanden?
Es ist eine ewige Geschichte.
Der doofe Router gibt eine Adresse aus über DHCP ! Der schlauere Router ( wohl Mikrotik ) nimmt alles an was von der doofen Kiste kommt, und übersetzt das neu !
An dem Mikrotik Router ( oder was auch immer ) kannst du eine VLAN's so konfigurieren wie du willst. Du kannst auch intern Software Bridgen.
Jetzt weis ich nicht was der schlauere Router alles kann oder auch nicht, aber wenn der WLAN kann, kannst du auch eine VirtuallAP einrichten, der getrennt, auch mit einem eigenen Adressbereich, auch mit NAT und eigener Firewall läuft. Nur musst du dann die VLAN IDs beachten. Das geht eigentlich entspannt.
Der doofe Router gibt eine Adresse aus über DHCP ! Der schlauere Router ( wohl Mikrotik ) nimmt alles an was von der doofen Kiste kommt, und übersetzt das neu !
An dem Mikrotik Router ( oder was auch immer ) kannst du eine VLAN's so konfigurieren wie du willst. Du kannst auch intern Software Bridgen.
Jetzt weis ich nicht was der schlauere Router alles kann oder auch nicht, aber wenn der WLAN kann, kannst du auch eine VirtuallAP einrichten, der getrennt, auch mit einem eigenen Adressbereich, auch mit NAT und eigener Firewall läuft. Nur musst du dann die VLAN IDs beachten. Das geht eigentlich entspannt.
Der schlauere Router ( wohl Mikrotik ) nimmt alles an was von der doofen Kiste kommt, und übersetzt das neu !
Dazu braucht es weder schlau noch doof. Wenn es nur um diese Standardfunktion geht kann das jeder beliebige Baumarkt Router am WAN Port !
Wenn es nur darum ginge...
Eine Antwort habe ich leider noch nicht so wirklich bekommen.
Vielleicht kann man mein eventuelles Missverständnis von 1:1-NAT ja ausräumen.
s.u.
Viele Grüße und schönen Samstag euch allen.
Eine Antwort habe ich leider noch nicht so wirklich bekommen.
Vielleicht kann man mein eventuelles Missverständnis von 1:1-NAT ja ausräumen.
s.u.
Viele Grüße und schönen Samstag euch allen.
Zitat von @147048:
Hallo zusammen,
da ich in der Zwischenzeit nicht untätig gewesen bin, würde ich mich gerne nocheinmal über den vorangegangenen Post von @Lochkartenstanzer erkundigen:
Dieser bezieht sich auf:
Zitat von @147048:
Müsste das (also Kommunikation von Geräten am doofem Router zu Geräten im "Privat-vlan" des Mikrotik) nicht möglich sein, wenn man 1:1-NAT nutzt; oder habe ich da was missverstanden?
Hallo zusammen,
da ich in der Zwischenzeit nicht untätig gewesen bin, würde ich mich gerne nocheinmal über den vorangegangenen Post von @Lochkartenstanzer erkundigen:
Zitat von @Lochkartenstanzer:
Nein.
Du kannst natürlich als default Gateway bei allen Clients im (W)LAN des ersten Routers den 2. Router (Mikrotik) eintragen. Dann geht es auch ohne NAT. Der Mikrotik muß natürlich den ersten Router als gateway haben.
Zitat von @147048:
und vice versa.
und vice versa.
Du kannst natürlich als default Gateway bei allen Clients im (W)LAN des ersten Routers den 2. Router (Mikrotik) eintragen. Dann geht es auch ohne NAT. Der Mikrotik muß natürlich den ersten Router als gateway haben.
Dieser bezieht sich auf:
Zitat von @147048:
fähigeren Router (z.B. Mikrotik) anschließen, der es mir ermöglicht VLANs für Gäste usw. aufzuspannen (+ inter-vlan-routing), gleichzeitig aber auch ermöglicht über eines der VLANs weiterhin mit allen Geräten am Router 1 (WLAN & LAN) zu kommunizieren; und vice versa.
Müsste das (also Kommunikation von Geräten am doofem Router zu Geräten im "Privat-vlan" des Mikrotik) nicht möglich sein, wenn man 1:1-NAT nutzt; oder habe ich da was missverstanden?
Hier ist das recht gut erklärt was PAT und 1:1 NAT ist:
https://www.cisco.com/c/de_de/support/docs/ip/network-address-translatio ...
https://www.elektronik-kompendium.de/sites/net/0812111.htm
https://www.youtube.com/watch?v=A8dl1wqUhSE
https://www.cisco.com/c/de_de/support/docs/ip/network-address-translatio ...
https://www.elektronik-kompendium.de/sites/net/0812111.htm
https://www.youtube.com/watch?v=A8dl1wqUhSE
Zitat von @147048:
Hallo zusammen,
da ich in der Zwischenzeit nicht untätig gewesen bin, würde ich mich gerne nocheinmal über den vorangegangenen Post von @Lochkartenstanzer erkundigen:
Dieser bezieht sich auf:
Zitat von @147048:
Müsste das (also Kommunikation von Geräten am doofem Router zu Geräten im "Privat-vlan" des Mikrotik) nicht möglich sein, wenn man 1:1-NAT nutzt; oder habe ich da was missverstanden?
Hallo zusammen,
da ich in der Zwischenzeit nicht untätig gewesen bin, würde ich mich gerne nocheinmal über den vorangegangenen Post von @Lochkartenstanzer erkundigen:
Zitat von @Lochkartenstanzer:
Nein.
Du kannst natürlich als default Gateway bei allen Clients im (W)LAN des ersten Routers den 2. Router (Mikrotik) eintragen. Dann geht es auch ohne NAT. Der Mikrotik muß natürlich den ersten Router als gateway haben.
Zitat von @147048:
und vice versa.
und vice versa.
Du kannst natürlich als default Gateway bei allen Clients im (W)LAN des ersten Routers den 2. Router (Mikrotik) eintragen. Dann geht es auch ohne NAT. Der Mikrotik muß natürlich den ersten Router als gateway haben.
Dieser bezieht sich auf:
Zitat von @147048:
fähigeren Router (z.B. Mikrotik) anschließen, der es mir ermöglicht VLANs für Gäste usw. aufzuspannen (+ inter-vlan-routing), gleichzeitig aber auch ermöglicht über eines der VLANs weiterhin mit allen Geräten am Router 1 (WLAN & LAN) zu kommunizieren; und vice versa.
Müsste das (also Kommunikation von Geräten am doofem Router zu Geräten im "Privat-vlan" des Mikrotik) nicht möglich sein, wenn man 1:1-NAT nutzt; oder habe ich da was missverstanden?
Es gibt mehrere Möglichkeiten, Dein Problem zu lösen:
1. Variante:
- Du besorgst Dir einen Bello und einen alternatIven Router (DDWRT/Mikrotik/Cisco/LANCOM)
- Klopfe mit dem Bello auf den bisherigen Router solange, bis er ganz flach ist. Stelle den neuen Router drauf und freu Dich.
2. Variante:
- Schalte DHCP beim 1. Router ab.
- Hänge den 2. Router dran und mach dort DHCP/Routing/VLAN.
- Dem 2. Router sagst Du, daß der 1. Router das Default Gateway ist.
Ab hier gibt es zwei Variationen mit NAT, damit alle Stationen miteinander kommunizieren können und aus den "hinteren" Netzen auf das Internet zugegriffen werden kann.
Entweder macht man 1:1 NAT für alle Stationen "hinter" dem 2. Router. Das führt aber manchmal zu Problemen, wenn die Systemen hinter dem 2. Router nichts von Ihrer "alternativen" IP-Adresse wissen.
Oder man macht NAT/Masquerading nur mit den Datenpakete, die "raus ins Internet" sollen, also "nicht-RFC1918-Adressen" als Ziel oder Quelle haben.
Aber ehrlich gesagt: Du solltest den Speedport entsorgen und Dir was ordentliches holen.
lks
1
Das waren ja mal klare Worte! Top!
Zum Speedport: Ist wohl eine überlegung Wert
Ich danke allen für die vielen Antworten, Links und - last but not least - die tolle Unterstützung.
Viele Grüße.
Zum Speedport: Ist wohl eine überlegung Wert
Ich danke allen für die vielen Antworten, Links und - last but not least - die tolle Unterstützung.
Viele Grüße.
Wer oder was ist nur Bello ???
Das ist z.B. ein Bello. Gibt es natürlich in verschiedenen Ausführungen und auch von anderen Anbietern
lks
PS: https://www.hornbach.de/shop/suche/sortiment/vorschlaghammer
Diese Aussage würde ich nicht als Wette laufen lassen, denn der Dumme Router auch mit einem WAN Port, aber ohne jedes Verständnis für VLAN oder VAP kann diesen Datenstrom nicht ab ..
Wenn ich schon höre ein Router hat ein vordefiniertes WAN Interface, dann platzt mir regelmäßig der Kragen !
Wenn dann würde ich doch darum bitten, dass man von Home-User-Endegeräten spricht, oder ob man wirklich den Begriff Router verwendet !
Wenn ich schon höre ein Router hat ein vordefiniertes WAN Interface, dann platzt mir regelmäßig der Kragen !
Wenn dann würde ich doch darum bitten, dass man von Home-User-Endegeräten spricht, oder ob man wirklich den Begriff Router verwendet !
dass man von Home-User-Endegeräten spricht, oder ob man wirklich den Begriff Router verwendet !
Full ACK 👍
