Fitzbox 7490 static route
Habe eine Fritzbox und eine Zyxel Firewall.
Die Firewall hängt am LanPort der Fritz. An der Firewall hängt ein Server der zukünftig über das Internet verfügbar sein soll.
Öffent. IP 176.128.80.88
IP Fritz 192.168.0.1
IP Zyxel 192.168.0.50
IP Server 192.168.1.10
An der Fritz hängen noch PCs die nicht auf den Server zugreifen müssen, aber Internet sollte dennoch gehen.
Wie müsste der StaticRoute auf der Fritz aussehen, dass alle Anfragen auf die statische Adresse auch an die Firewall gehen? Tut mir leid, aber ich kenne mich mit der Fritz und routing nicht aus.
Die Firewall hängt am LanPort der Fritz. An der Firewall hängt ein Server der zukünftig über das Internet verfügbar sein soll.
Öffent. IP 176.128.80.88
IP Fritz 192.168.0.1
IP Zyxel 192.168.0.50
IP Server 192.168.1.10
An der Fritz hängen noch PCs die nicht auf den Server zugreifen müssen, aber Internet sollte dennoch gehen.
Wie müsste der StaticRoute auf der Fritz aussehen, dass alle Anfragen auf die statische Adresse auch an die Firewall gehen? Tut mir leid, aber ich kenne mich mit der Fritz und routing nicht aus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 342893
Url: https://administrator.de/contentid/342893
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
22 Kommentare
Neuester Kommentar
Hallo,
Server stellen wollen und das übrige LAN bleibt dann von der geöffneten DMZ hin zum Internet verschont und ist sicher!
an der Zyxel öffnen dann ist aber alles im LAN und das ist via Internet erreichbar! Sollte eigentlich nicht sein, dazu setzt
man eine DMZ auf und lässt dann den Server dort herein.
Gruß
Dobby
Habe eine Fritzbox und eine Zyxel Firewall.
Warum nicht die AVM FB nur als Modem benutzen!?Die Firewall hängt am LanPort der Fritz. An der Firewall hängt ein Server der zukünftig über das Internet verfügbar sein soll.
Öffent. IP 176.128.80.88
Ist das Deine richtige IP für den Server? Denn laut WhoIs Auskunft gehört die zu einem franz. DSL Provider!Source: whois.ripe.net
IP Address: 176.128.80.88
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '176.128.0.0 - 176.135.255.255'
% Abuse contact for '176.128.0.0 - 176.135.255.255' is 'abuse@bouyguestelecom.fr'
inetnum: 176.128.0.0 - 176.135.255.255
netname: BOUYGTEL-ISP-WIRELINE
descr: Pool for Broadband DSL customers
country: FR
admin-c: NOCB1-RIPE
tech-c: NOCB1-RIPE
status: ASSIGNED PA
mnt-by: BYTEL-MNT
mnt-lower: BYTEL-MNT
mnt-routes: BYTEL-MNT
created: 2016-03-02T11:22:49Z
last-modified: 2016-03-02T11:22:49Z
source: RIPE
role: Network Operation Centre Bouygues Telecom FAI
remarks: Bouygues Telecom ISP
address: Bouygues Telecom
address: 13-15 avenue du Marechal Juin
address: 92366 Meudon-la-Foret cedex
address: France
abuse-mailbox: abuse_box@bouyguestelecom.fr
IP Fritz 192.168.0.1
IP Zyxel 192.168.0.50
IP Server 192.168.1.10
Ich würde mal die AVM FB ganz zum Modem machen und dann an der Zyxel eine DMZ einrichten und in diese dann denIP Zyxel 192.168.0.50
IP Server 192.168.1.10
Server stellen wollen und das übrige LAN bleibt dann von der geöffneten DMZ hin zum Internet verschont und ist sicher!
An der Fritz hängen noch PCs die nicht auf den Server zugreifen müssen, aber Internet sollte dennoch gehen.
Die können in das LAN und gut ist es.Wie müsste der StaticRoute auf der Fritz aussehen, dass alle Anfragen auf die statische Adresse auch an die Firewall
gehen? Tut mir leid, aber ich kenne mich mit der Fritz und routing nicht aus.
Du musst die Ports an der AVM FB öffnen über die der Server erreichbar sein soll und dann auch noch dieselben Portsgehen? Tut mir leid, aber ich kenne mich mit der Fritz und routing nicht aus.
an der Zyxel öffnen dann ist aber alles im LAN und das ist via Internet erreichbar! Sollte eigentlich nicht sein, dazu setzt
man eine DMZ auf und lässt dann den Server dort herein.
Gruß
Dobby
Zitat von @JoeWied:
Die Firewall hängt am LanPort der Fritz. An der Firewall hängt ein Server der zukünftig über das Internet verfügbar sein soll.
Die Firewall hängt am LanPort der Fritz. An der Firewall hängt ein Server der zukünftig über das Internet verfügbar sein soll.
Moin
Welche Dienste soll der Server zur Verfügung stellen? Wenn die Dienste nur intern genutzt werden sollen, dann wäre wie von @maretz vorgesclagen ein VPN-Zugriff die erste Wahl, egal ob mit oder ohne die Firewall.
An der Fritz hängen noch PCs die nicht auf den Server zugreifen müssen, aber Internet sollte dennoch gehen.
Ich gehe mal davon aus das diese Cliens im Netz192.168.0.0/24 liegen.
Das kann man machen ist aber eher ungünstig weil du dieses Netz ja auch als Transportnetz für die Firewall benutzt und somit der Verkehr zum Server mitgelesen werden kann, bzw. der öffentliche Server auf dieses Netz zugreifen könnte.
Besser an der Firewall zwei Netze einrichten LAN 192.168.2.0/24 und DMZ 192.168.1.0/24, dann kannst du über die Firewall auch den Zugriff in die DMZ regeln.
Wie müsste der StaticRoute auf der Fritz aussehen, dass alle Anfragen auf die statische Adresse auch an die Firewall gehen? Tut mir leid, aber ich kenne mich mit der Fritz und routing nicht aus.
Für das erweitere Setup mit LAN und DMZ
192.168.1.0/24 : 192.168.0.50/24
192.168.2.0/24 : 192.168.0.50/24
Insbesondere für die FB (Transportnetz) und für die DMZ kannst du Dir überlegen die Subnetzmaske so zu wählen das diese so klein wie nötig ist. An der Firewall kannst du in dieser Konfiguration das NAT ausstellen, was die die Konfiguration der Firewall erleichtert.
Die Dienste der Fritzbox (Webkonfig/NAS etc.) bleiben in der Konfig weiter erreichbar, das sollte man im Auge behalten.
VG
Ashnod
Zitat von @JoeWied:
Aber dafür bräuchte ich zum Switch der in einen anderen Büro liegt, 2 Kabel.
Da aber die Kabelrohre dorthin zu dünn sind kann ich von der Fritzbox zun Switch nur 1 Kabel führen. Die Server befinden sich bein Switch.
Aber dafür bräuchte ich zum Switch der in einen anderen Büro liegt, 2 Kabel.
Da aber die Kabelrohre dorthin zu dünn sind kann ich von der Fritzbox zun Switch nur 1 Kabel führen. Die Server befinden sich bein Switch.
Auch dafür gibt es eine einfache Formel:
Mehrere Netze - ein Kabel gleich VLAN
Ist dann aber eine Hardwarefrage
Aber ich hoffte mit Routing wäre das auch zu lösen. Sicherheitsprobleme sind auszuschliessen, da der Zugriff auf der Ebene Software (Domäne) genügen würde.
Wenn alle Dienste über das Internet laufen sollen ... kommt aber nur VPN in Frage!
VG
Ashnod
Zitat von @JoeWied:
VLAN sehe ich eher als ein VPN, denn VPN ist Punkt zu Punkt. Und öffentlich haben die Benutzer dieses VPN nicht.
VLAN sehe ich eher als ein VPN, denn VPN ist Punkt zu Punkt. Und öffentlich haben die Benutzer dieses VPN nicht.
An dieser Stelle würde ich empfehlen mit deiner Netzplanung nochmal tief in Dich zu gehen und das insgesamt zu überdenken.
Vor allem aber auch zu den einzelnen Themen zu recherchieren.
Das passt alles noch nicht so wirklich.
Hauptfragestellung ist ... welche Dienste willst du öffentlich auf dem Server verfügbar machen.
Bei den üblichen Verdächtigen http/https/ftp von mir aus auch Maildienste kannst du den Server in einer DMZ natürlich verfügbar machen. Bei allem was darüber hinausgeht kommt nur VPN in Frage. Z.B. einen kompletten DC sollte niemand öffentlich ins Internet stellen
Ein guter Start können die Wissensbeiträge von Nutzer @aqui hier im Forum sein ... oder du wartest noch etwas bis er wach ist, dann wird er dir die Ohren sicher langziehen
VG
Ashnod
Ich würde ebenfalls überlegen ob du das wirklich willst.... Du hast scheinbar nicht die Hardware zuhause um das wirklich sauber zu trennen. Bitte nicht falsch verstehen - das ist kein Vorwurf weil es privat auch eher selten vorkommt... Wenn du jetzt ohne VPN einen Zugang schaffst und jemand kann die Kisten übernehmen -> dann ist der/diejenige direkt in deinem Netz drin... Wenn das nicht komplett getrennt ist - dann hast du ggf. danach viel Spass (bzw. selbst Verschlüsselungstrojaner usw. bringen freude).
Natürlich kannst du das ganze nur auf IP-Level trennen -> an der Fritte beide Netze bekannt machen aber kein Routing erlauben. Nur: Du hast trotzdem nur ein Kabel. Was hindert mich also daran ggf. einfach dem Adapter zwei IPs zu geben? Schon bin ich wieder in deinem Netz... Und ab jetzt hängt es dann nur noch von Glück und Fähigkeit ab ob ich ggf. Passwörter sniffen kann und entsprechend in kurzer Zeit Zugriff auf alles habe....
Die alternative wäre halt das dein Sohn sich einfach irgendwo nen Root-Server mietet - kostenpunkt 20-30 Euro/Monat, also auch für nen Studenten noch ne überschaubare Summe (und du hast nicht die Stromkosten). Ist halt die Frage was genau er da vorhat...
Natürlich kannst du das ganze nur auf IP-Level trennen -> an der Fritte beide Netze bekannt machen aber kein Routing erlauben. Nur: Du hast trotzdem nur ein Kabel. Was hindert mich also daran ggf. einfach dem Adapter zwei IPs zu geben? Schon bin ich wieder in deinem Netz... Und ab jetzt hängt es dann nur noch von Glück und Fähigkeit ab ob ich ggf. Passwörter sniffen kann und entsprechend in kurzer Zeit Zugriff auf alles habe....
Die alternative wäre halt das dein Sohn sich einfach irgendwo nen Root-Server mietet - kostenpunkt 20-30 Euro/Monat, also auch für nen Studenten noch ne überschaubare Summe (und du hast nicht die Stromkosten). Ist halt die Frage was genau er da vorhat...
Wie müsste der StaticRoute auf der Fritz aussehen, dass alle Anfragen auf die statische Adresse auch an die Firewall gehen?
Die Frage kann man nicht beantworten, da du nicht beschrieben hast ob deine Firewall NAT macht oder nicht (NAT = IP Adress Translation)
Macht sie NAT brauchst du gar keine statische Route
Macht sie kein NAT dann brauchst du eine.
Dieses Forums Tutorial beantwortet dir alle deine Fragen zu beiden Szenarien:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Insbesondere solltest du das Kapitel "Der Weg eines LAN Paketes..." genau lesen !!
Tut mir leid, aber ich kenne mich mit der Fritz und routing nicht aus.
Das hat rein gar nichts mit der FritzBüx an sich zu tun. Das sind simpelste Routing Anforderungen (Layer 3)Nur da hast du Defizite...aber Lesen hilft ! Wie immer...
Ob das obige Design jetzt Blödsinn ist oder irgendeinen Sinn macht lassen wir jetzt besser erstmal aus dem Spiel !
Das Problem ist, dass ich von der Fritz zum Switch nur ein Kabel habe.
Das ist kein Problem, denn mit VLAN Tagging weiss ja nun auch mittlerweile jeder Laie das man das auch mit einem simplen Kabel sauber getrennt übertragen kann:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Deshalb kam der Gedanke man könnte einen fixen Route von einer externen IP in das Subnetz meines Sohnes machen.
Das klappt natürlich solange diese IP Netze per Routing erreichbar sind... Um das zielführend beantworten zu können fehlen aber Information zum IP Adressdesign.
Die FritzBox kann mit der original Firmware gar keine VLANs !!
Das supportet sie generell nicht.
Nur mit der alternativen Firmware Freetz klappt das, wenn überhaupt !
Und Trunking ist eine Link Aggregation mit mehreren Links gleicher Geschwindigkeit.
Auch sowas supportet die FritzBox als billiges Consumergerät nicht !
Du könntest die FB als einfaches NUR Modem laufen lassen oder als Kaskade mit einem Router der all das kann wie einem 40 Euro Mikrotik hexLite z.B. !
Sofern man VLAN Tagging und LAGs denn nutzen möchte oder muss.
Das supportet sie generell nicht.
Nur mit der alternativen Firmware Freetz klappt das, wenn überhaupt !
Und Trunking ist eine Link Aggregation mit mehreren Links gleicher Geschwindigkeit.
Auch sowas supportet die FritzBox als billiges Consumergerät nicht !
Du könntest die FB als einfaches NUR Modem laufen lassen oder als Kaskade mit einem Router der all das kann wie einem 40 Euro Mikrotik hexLite z.B. !
Sofern man VLAN Tagging und LAGs denn nutzen möchte oder muss.
indem man zwei Ports verwendet.
Na ja...das ist Frickeln aber nicht wirklich VLANs nach 802.1q. Klar das es mit dieser Steinzeitmethode dann auch geht.Nur...was machst du bei 10 VLANs ???
Kuck ?? Kuckuck ??
http://www.duden.de/rechtschreibung/gucken2x Kabel zu Switch von FB
Ja ja...klar das der Frickelkram geht. Nur soviel IP Interfaces supportet die FB ja auch gar nicht...Normales Netz und Gastnetz (was keins ist, da knackbar) und aus ists...gerade 2 popelige (V)LANs und keinerlei 802.1q Support. Aber wenn dir das reicht ist ja alles Bella...?!
Da kann man dann nun wahrlich nicht von VLANs reden wenn du es mal mit dieser HW hier vergleichst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
aber ist für Privatanwender zu aufwändige Lösung.
Völliger Quatsch ! Zeigt das du wenig von der Materie verstehst, sorry ! Das sind 2 popelige Mausklicks im GUI eines VLAN Switches oder Routers. Aber egal...Zitat von @JoeWied:
natürlich kann die Fritz VLAN mit der Standartsoftware, indem man zwei Ports verwendet. Kuck auf drm Layout auf der Fritzsuppotseite. 2x Kabel zu Switch von FB dann Porttrunking mit einem Kabel vonSwitch zu Switch von 2te Seite. Porttrunking deshalb dass beide VLans über ein Kabel gehen und nicht aus Performancegründen. Das funktioniert sogar, aber ist für Privatanwender zu aufwändige Lösung.
natürlich kann die Fritz VLAN mit der Standartsoftware, indem man zwei Ports verwendet. Kuck auf drm Layout auf der Fritzsuppotseite. 2x Kabel zu Switch von FB dann Porttrunking mit einem Kabel vonSwitch zu Switch von 2te Seite. Porttrunking deshalb dass beide VLans über ein Kabel gehen und nicht aus Performancegründen. Das funktioniert sogar, aber ist für Privatanwender zu aufwändige Lösung.
Moin ...
das hat mit VLAN in diesem Sinne rein gar nichts zu tun, du kannst zwar auf Port 4 der FB das Gastnetz legen und auf einem Switch das Gastnetz in ein eigenes VLAN legen. Das steuert aber dann der Switch als die FB oder aber du baust ab dem Port 4 ein völlig eigenständiges Netz auf, das hat mit VLAN aber nichts mehr am Hut. Die FB benutzt für die Netze kein VLAN-Tag!
VG
Ashnod
2x managebare Switch und VLAN das braucht ein kleines Privatnetz einfach nicht
Was natürlich mal wieder laienhafter Quatsch ist.In einer popeligen 60qm Wohnung sicher nicht aber in einem kleinen Haus mit 2 oder 3 verteilten APs oder einem Bauernhof mit 4 oder 5 APs wo man das Gastnetz und das Heimnetz über eine größere Infrastruktur verteilen will oder muss ist das dann sehr wohl zwingend. um die Netze zu trennen.
Sowas lässt sich ja heute auch mit billigen 20 Euro VLAN Switches wie einem NetGear GS105E oder TP-Link 105E realisieren. Das weiss ja nun mittlerweile jedes Schulkind.
habe ich nicht gesagt, dass ich der Guru-Spezi bin,
Das musst du auch nicht, denn das merkt man (sorry) schon an der Art und Weise deiner Fragestellung buw. Formulierungen hier.Das ist aber noch nicht frickeln, sondern der Vorschlag von AVM.
Das es von AVM kommt ändert ja nichts daran das es ein Hinfrickeln ist da AVM dieses Grundfeature eben NICHT supportet. Was sollen die also machen als solche Frickellösung die im Grunde nicht das Geringste mit VLAN zu tun hat wie oben schon gesagt wurde, verbreiten.Sie haben ja auch keine Chance, da sie keinerlei Produkte haben die das können. Deren Metier ist eben die billige Consumer Schiene.
Man kann sich aber auch fragen warum ? Jeder einfache 40 Euro Mikrotik Router hat sowas an Bord 100 Euro teure AVM Systeme aber nicht. Da darf man sicher mal fragen warum...? Aber die Antwort kennt sicher nur AVM. Außerdemm gibt es ja immer nich die alternative Firmware Freetz die das dann kann.
Das beantwortet meine ursprüngliche Frage nicht
Die kann man auch nicht beantworten, denn DU hast es bis jetzt ja noch nicht geschafft uns die an dich gestellte Frage zu beantworten ob du in deiner Router / Firewall Kaskade NAT ( = IP Adress Translation) aktiviert hast ? Ja oder Nein...Bei JA = Dann brauchst du keinerlei statisches Routing !
Bei NEIN = Ja, dann brauchst du statisches Routing !
Diese beiden Tutorial erklären dir sogar anhand einen Paket Walks das genaue Verhalten und warum man mit NAT keine und ohne NAT sehr wohl statische Routen braucht.:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Kopplung von 2 Routern am DSL Port
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html
Lesen und verstehen....! Und das wäre dann die von dir geforderte Antwort !
Zitat von @JoeWied:
Ich glaube nicht, dass hier die neisten ein EFH mit 3 Stockwerken oder ein Bauernhaus haben und wenn so, dann nicht mit Fritz.
Ich glaube nicht, dass hier die neisten ein EFH mit 3 Stockwerken oder ein Bauernhaus haben und wenn so, dann nicht mit Fritz.
Da kann ich mithalten.
In der Frage und im Diskussionsverlauf waren alle Infos vorhanden, die zur Beantworrung der Frage nötig waren.
Falsch. es fehlt die wesentliche Information, ob Dein"hinterer" Router NAT macht oder nicht.
Ehrluch gesagt, es war auch eher ein Versuch rauszukitzeln, was hier an Qualität möglich ist. Sehr mager. Unnötig persönliche Anmache und poppelige Antworten, die auf menschliche Unreife deuten.
You get what you pay for.
Die meisten hier machen das freiwillig und in Ihrer Freizeit ohne Entgelt. Die können sich da nicht studenlang mit Dir beschäftigen, um Dir die optimale Lösung zu bieten. leg Geld auf den Tisch und Du wirst hier genügend Leute finden, die Dir das innerhalb kürzester Zeit optimal lösen.
Außerdem hast Du doch die Lösung von Aqui schon genannt bekommen. Wenn Du NAT machst, braucht Du nur eine Portweiterleitung oder einen exposed host auf den hinteren Router. Wenn Du kein NAT machst, machst Du als exposed host oder weiterleitungsziel den Serve rund machst eine statische Route auf der fritzbox auf das netz hinter dem zweiten Router.
das ist aber insgesammt alles nur pfriemelei. und Du solltest Dein eigenes Netz nciht als transfernetz für das des Juniors nutzen, sondern die beiden netze ordentlich trennen.
lks
Falsch. es fehlt die wesentliche Information, ob Dein"hinterer" Router NAT macht oder nicht.
Richtig und es wurde mehrfach darauf hingewiesen. Aber gegen Beratungsresistenz gibts eben kein Mittel Oder man müsste Kollege @keine-ahnung mal fragen der kennt sich da besser aus !
Fazit: Die Frage NAT oder kein NAT entscheidet über eine zielführende Antwort... Weiss der TO auch nun hoffentlich selber.