Frage zu Routing-Problemstellung 2 Router

Mitglied: blubb88

blubb88 (Level 1) - Jetzt verbinden

24.11.2015, aktualisiert 13:59 Uhr, 1373 Aufrufe, 6 Kommentare, 1 Danke

Hallo zusammen,

nachdem mir die Anleitungen aus dem Wissens-Bereich nicht wirklich weiter geholfen haben (oder ich die nicht verstanden habe), bitte ich hier die geneigte Fachkompetenz um Hilfe.

Ich betreue ein kleines Unternehmen, das sich über 2 Stockwerke verzeilt.
Zur Zeit werden 2 Internet-Zugänge redundant genutzt. Ein Zugangspunkt befindet sich im unteren Stockwerk, der andere oben.
Beide Internet-Zugänge werden über je eine FritzBox (6390&7490) hergestellt.
Der zentrale Router ist ein Vigor 2925n. Dieser steht im unteren Stock, wie auch der "Kabel-Fritz".

Vigor-WAN1 --> 6390-LAN1: kein Problem

Vigor-WAN2 --> 7490-LAN1:
Die Verbindung in den oberen Stock erfolgt über 1 (in Worten: eine) LAN-Kabel-Verbindung. Weitere Kabel-Verbindungen sind nicht vorhanden.
Die 7490 stellt momentan lediglich den 2. Internet-Zugang zur Verfügung.

Es gibt 3 interne LANs (<Netz1>,<Netz2> und <Netz3>), die über den Vigor verwaltet werden, der auch den redundanten Zugang zum Internet regelt.
Der Vigor bietet auch WLAN für <Netz1> und <N2> an (nur so nebenbei)
Soweit - so gut.

NEU ist jetzt, dass auch im oberen Stockwerk LAN-Arbeitsplätze eingerichtet sind. Diese will ich verkabelt an die 7490 hängen.

12d5020b50c8092be6be01d839015a2e - Klicke auf das Bild, um es zu vergrößern

Der redundante Internet-Zugang ist für diese Plätze erst mal nicht relevant.
Allerdings müssen sie mit im LAN1 hängen bzw. die Geräte im LAN1 im unteren Stock erreichen können.
Die andere Richtung (von <Netz1> zur 7490 über WAN2) klappt soweit - auch dort angeschlossene Geräte.
Nur von der 7490 zurück nach <Netz1> über WAN2 macht Probleme.
In der 7490 habe ich eine Statische Route eingerichtet: 192.168.164.0/24 über 192.168.178.10 (feste IP WAN-Port2 vom Vigor)
Ping von 192.168.164.1 (der Vigor) nach 192.168.178.x geht.
Ping aus dem x.178.x-Netz Richtung 192.168.164.0 geht nicht.
Trace geht nur bis zur 192.168.178.10 .

Hier scheitere ich offenbar an der korrekten Konfig des 2925 (habe aber dazu auch nix wirklich hilfreiches gefunden)
Mir scheint, der Vigor blockt WAN2 -> <Netz1> bzw. weiß nicht, was er damit machen soll.
Und ich weiß nicht, wie ich's ihm am Besten sage ;-) face-wink

--> Hat hier jemand eine Idee wie ich den Vigor richtig konfiguriere.

Meine Alternative:
Der 2. Ansatz von mir wäre, die Redundanz der Internet-Zugänge aufzugeben und <Netz1> komplett von der 7490 verwalten zu lassen.
Die Kabelverbindung geht dann Vigor-LAN1 <--> 7490-LAN1 -- Also NICHT über den WAN-Port.
DHCP im Vigor aus bzw. er holt sich die IP von der 7490.
Internet im <Netz1> geht dann nur noch über die 7490.
<Netz2> und <Netz3> laufen über Vigor-WAN1 zur 6390.

Das würde ich jedoch nur ungern so machen, da im <Netz-1> im unteren Stock doch recht viel Betrieb ist (viele kleine und große Datenmengen, die da durch's Netz gehen).
Ich habe da Bedenken, dass die Verbindung nach oben zum 'neuen' zentralen Router ein Engpass wird.

So - ich hoffe, mein Problem ist kein zu großer 'Stuss' und jemand hat eine hilfreiche Lösung.

Rainer
Mitglied: Reini82
24.11.2015 um 14:18 Uhr
Hi,

klar blockiert der 2925 da dieser ja "denkt" an WAN2 ist ein öffentliches Netz. D.h. Standardmäßig lässt er vom seinem Netz aus Richtung 192.168.164.0/24 Netz alle Anfragen zu 192.168.178.x durch blockiert aber alle externen Anfragen (muss er ja). In der Konfiguration der Firewall (und evtl. NAT wenn eine Addressübersetzung erfolgen soll) müssen erst dementsprechende Firewall-Regeln erstellt werden (in dem Fall erlaube 192.168.164.0/24 Anfragen TCP/UDP zu 192.168.178.0/24).

Gruß
Bitte warten ..
Mitglied: blubb88
24.11.2015 um 15:37 Uhr
Naja - dass das eine Firewall-Sache ist, ist mir schon klar.
Das Haupt-Problem ist, dass ich es nicht hinbekomme, dem 2925 beizubringen, dass er TCP/UDP von WAN2 nach <Netz1> komplett durchlassen soll.

Ich habe in der Konfig der Firewall zwar eine entsprechende Regel eingerichtet (so, wie ich das Draytek-Manual verstanden habe), nur es kommt immernoch nix durch. Also scheine ich wohl irgendwo was übersehen zu haben.

Weiß zufällig jemand, wo ich beim 2925 überall Einstellungen vornehmen muss, um dieses Ziel zu erreichen?

Ich war bislang der Meinung, die Firewall würde ausreichen. Das scheint aber nicht der Fall zu sein.

Viele Grüße
Bitte warten ..
Mitglied: Reini82
24.11.2015 um 21:05 Uhr
Evtl. mal noch schauen ob ein Routing Eintrag der beiden Netze fehlt
Bitte warten ..
Mitglied: blubb88
25.11.2015 um 10:04 Uhr
Genau da beginnt mein Problem.

In der 7490 die Statische Route ist m.E. klar und korrekt eingetragen. Oder?
b9782d0e11919629ef8dddedeedf3f92 - Klicke auf das Bild, um es zu vergrößern

Auf der Vigor-Seite habe ich eine FW-Regel erstellt....
109fa2f5df9de209a57340046cfe0517 - Klicke auf das Bild, um es zu vergrößern
... die aus meiner Sicht logisch erscheint.
Aber die scheint nicht zu greifen bzw. meine Logik und die Logik des Vigor "befinden sich in unterscheidlichen Netzen" -> ich hab da was falsch gemacht.

Es scheint mir, dass es von der 7490 schon bis zum WAN-Port des 2925 geht. Aber an dieser Stelle passiert dann nix mehr.
Es geht ja auch kein Ping auf die WAN-IP des Vigor (192.168.178.10). Die Route bis dahin (trace auf eine IP aus 192.168.164.0/24) geht bis zur 192.168.178.10.

An einer Lösung bin ich immer noch sehr interessiert.

Gruß
Bitte warten ..
Mitglied: Reini82
25.11.2015 um 21:43 Uhr
Habe mich jetzt nur kurz mal mit dem Draytek beschäftigt zum Glück gibt es da ein Live-Demo auf deren Website.
Im Draytek hast du aber lediglich die Firewall-Regel eingetragen aber noch kein Routing Eintrag gemacht oder?
Im Draytek auf
Load Balancing / Route Policy -> Index auswählen und die Source /Destination IP-Ranges eintragen.

Sollte meines Verständnisses her dann funktionieren. Am besten noch bei Diagnostic -> Routing Table kontrollieren
Bitte warten ..
Mitglied: blubb88
26.11.2015 um 08:55 Uhr
Der Bereich "Load Balancing / Route Policy" bezieht sich leidiglich auf rausgehende Pakete. Da war ich auch schon mal dran.

Wenn ich als Souce die IP vom WAN2 nehme (also aus 192.168.178.0/24) und als Destination den range aus 192.168.164.0/24 (entsprechend der hier notwendigen Schreibweisen), bringt das nichts. Der Vigor "dropt die Diagnose-Pakets" und meint, dass die Source nicht aus einem der interen IP-Subnetze kommt und das das daher nicht möglich ist.

Ich vermute eher, dass mein obiges Problem am NAT liegt, das in der Richtung WAN -> LAN Probleme macht.
Soweit ich im Internet recherchiert habe, läßt sich das NAT beim Vigor wohl nicht abschalten (korrigiert micht, wenn ich falsch liege).

Auf der anderen Seite ist es ja kein Problem einen einzelnen Rechner (oder eine einzelne interne IP-Adresse aus <Netz1>) von der WAN2-Seite her erreichbar zu machen (über NAT). Nur wie mache ich das mit einem ganzen internen Sub-Netz?

Es ist doch so, dass bei einer DMZ oder einem eingetragenen Port-Forwarding Pakete an die WAN-IP entsprechend durchgereicht, also per NAT an die interne IP gesendet werden. Das heißt dann doch, dass die Pakete von extern an die WAN-IP gesendet werden müssen. Also hier an die 192.168.178.10.
Im Vigor ist dann unter DMZ oder PortForwarding eingetragen, wass mit Anfragen ->AN diese IP<- passieren soll.

Der 7490 sendet nun jedoch Pakete an die Vigor-internen IP-Adressen aus 192.168.164.0/24 (also z.B. 192.168.164.15) an den WAN-Port des Vigor. Das ist in der 7490 eingetragen mit 192.168.178.10 lediglich als Gateway.

In der Firewall des Vigor habe ich zwar eingetragen, dass Pakete mit IP's von/aus 192.168.178.0/24 an 192.168.164.0/24 durchgelassen werden sollen.
Nur scheint der Vigor diese Pakete mit Ziel-IP's 192.168.164.0/24 von extern (WAN-Seite) gar nicht zu akzeptieren.
Also bin ich immernoch auf der Suche, an welcher Stelle ich dem Vigor beibringen kann/muss/soll, was er mit IP-Paketen am WAN2 machen soll, mit denen er dort erst mal nix anfangen kann. Also quasi am WAN2-Port von extern nach intern sowas wie ein Gateway eintragen (hier dann die Gateway-Adresse vom internen <Netz1> des Vigor: 192.168.164.1), damit der Vigor dann 'intern' nachsehen kann, wohin er das Paket routen soll.
Lediglich die Firewall-Einstellung scheint nicht auszureichen.

Vielleicht ist es aber auch so, dass es entweder mit dem Vigor schlicht gesagt "so nicht geht" oder gar nicht geht.

Vielleicht hat ja jemand hier DIE LÖSUNG.

Meine grundsätzliche Frage daher:
Ist es überhaupt möglich den Vigor2925 als 'betriebsinternen' Router einzusetzen, der innerhalb der Hauseigenen Netzwerkinfrastruktur zwischen verschiedenen Subnetzen LAN<->WAN-Seitig(!) in beide Richtungen routen kann?
Dass der Vigor LAN-Seitig mehrere Subnetze verwalten und routen kann, ist mir klar. Dafür ist das Ding ja auch da.
Die Frage ist aber - in diesem speziellen Fall - ob er das auch LAN<->WAN-seitig hinbekommt.

Noch habe ich die Hoffnung mit dem Vigor nicht aufgegeben.

Gruß
Rainer
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic19 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 1 TagFrageWindows 1045 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 1 TagTippHumor (lol)14 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 1 TagFrageVideo & Streaming12 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Windows Server
Windows Admin Center DC
maximidVor 1 TagFrageWindows Server3 Kommentare

Hallo, ich hätte mal eine Frage zu Windows Admin Center und zwar schaue ich es mir aktuell etwas an da mir die zentrale Verwaltung ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

SAN, NAS, DAS
Synology DS213j - Volume nach HDD Austausch vergrößern
gelöst JasperBeardleyVor 1 TagFrageSAN, NAS, DAS4 Kommentare

Moin, ich hab meinem NAS zwei neue 8TB spendiert, da die 3TB Platten jetzt 6 Jahre alt sind. Da die beiden Platten im JBOD ...

Cloud-Dienste
Cloud PBX bzw. IP Telefon für Ausland
decehakanVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, Ich suche Cloud Telefon ( Cloud PBX, IP-Telefon), sodass ich von Ausland aus über eine deutsche Rufnummer auf mein Handy erreichbar bin. ...