12.06.2015, aktualisiert am 14.06.2015

7980

FritzBox und TP-Link (DDWRT) Router in verschiedenen Netzen

Hallo zusammen,

ich habe mir mal einen TP-Link Router zum spielen zugelegt. Mein Ziel ist es, den TP-Link Router hinter die FritzBox zu klemmen. Die FritzBox soll quasi nur als DECT-Station, DNS und Internetlieferant dienen. Der TP-Link Router soll alles weitere machen, wie DHCP, SPI, etc. aber in einem komplett anderen Netz.

Hardware:

ISP-DSL-Annahmestelle, DECT: FritzBox 7362SL - im folgenden FB genannt -
Router, DHCP, etc.: TL-WR1043ND v1 mit DD-WRT Firmware (aktuellstes Build) - im folgenden TP genannt -

ISP: Vodafone mit einer 50.000VDSL Leitung
CAT5e Kabel und Stromversorgung

SOLL:

IP TPLINK: 172.16.0.1
NETZ: 172.16.0.0 /16

FB: 10.10.0.1 (DHCP IST OFF)
NETZ: 10.10.0.0 /8

(Mir ist bekannt, dass die Netze viel zu groß sind, aber so ist es erstmal gewollt)

Ich habe bereits folgendes versucht:

1.) FB mit TP verbunden (befanden sich im gleichem Netz TP: 10.10.0.0/8, FB: 10.0.0.0/8)
2.) Im TP DNS und GW vom FB eingetragen, funktioniert alles super. (Routing und NAT musste ja nicht erfolgen)

Nur wenn ich es so mache, kann ich mir die ganze Sülze auch sparen und mach einfach ein neues Netz (Guestnet) auf der FB auf und lege die auf einen Port4 o.ä. Das ist aber nicht das Ziel.

Szenario 2
1.) FB mit TP verbunden (befanden sich nicht im gleichem Netz TP: 172.16.0.0/16, FB: 10.0.0.0/8)
2.) Im TP DNS und GW vom FB eingetragen, funktioniert nichts! (Routing passiert eigentlich automatisch, dennoch eine statische eingetragen auf beiden Boxen, ohne Erfolg. Bzgl. NATing habe ich nichts im TP gefunden)

Szenario 3
1.) FB mit TP verbunden, diesmal WAN-Port vom TP zum FB LAN-Port1 genutzt (befanden sich nicht im gleichem Netz TP: 172.16.0.0/16, FB: 10.0.0.0/8)
2.) Das selbe wie oben, kein Erfolg!

Vielleicht stehe ich einfach nur vor einem doofen Denkfehler. Kann mir da jemand eventuell weiter helfen? Hat damit jemand Erfahrung?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 274427

Url: https://administrator.de/contentid/274427

Ausgedruckt am: 25.11.2024 um 20:11 Uhr

83 Kommentare

Neuester Kommentar

Moin,

In @aqui 's Anleitung über die Kopplung von Routern ist eigentlich alles beschrieben, die man hier über die Suchfunktion findet.

Was Du machen willst, ist ganz einfach:

WAN-Port des TP-Link an die fritzbox hängen (am besten an Port4/gastnetz)
Dem WAN-Port eine IP-Adresse aus dem LAN/Gastnetz der fritzbox geben. dabei kann ruhig DHCP aktiv sein.
Jje nachdem, ob der TP-Link NAT macht oder nicht, auf der Fritzbox die Route eintragen.

fertich.

lks

Hi,
dann lies Dir das mal durch....
Kopplung von 2 Routern am DSL Port
Kannst Du Dir alles herauslesen was Du brauchst.
Wird dann wohl Alternative 2 werden, denn die Fritte dürfte im Normalfall nicht als reines Modem laufen.
Mach Dir /24 Netze, alles andere ist in deinem Anwendungsfall unsinnig.
Gruß orcape

Moin,

offenbar fehlen dir grundlegende Netzwerkkenntnisse über das Routing...

- deaktiviere NAT auf dem TP-Link -> http://www.dd-wrt.com/phpBB2/viewtopic.php?t=78029
- verbinde den LAN Port der FB mit dem WAN Port des TP-Link (statische IP wegen Route)
- lege auf der FB eine statische Route für das Netz hinter dem TP-Link an
- FW wie benötigt anpassen

z.B.
FB - LAN - 192.168.1.1/24
TP - WAN - 192.168.1.2/24
TP - LAN - 10.0.0.1/24

VG
Val

Zitat von @Lochkartenstanzer:

* Dem WAN-Port eine IP-Adresse aus dem LAN/Gastnetz der fritzbox geben. dabei kann ruhig DHCP aktiv sein.

Jje nachdem, ob der TP-Link NAT macht oder nicht, auf der Fritzbox die Route eintragen.

fertich.

lks

Muss ich das Gastnetz auf dem Port 4 auch aktivieren in der FB? ... Deine Aussage klingt echt plausibel und logisch .. dass lässt mich ein wenig hoffen, dass ich es doch noch hinbekomme.

Durch den Beitrag von aqui bin ich noch nicht ganz durchgekommen, da ich meinen möglichen Anwendungsfall nicht genau identifizieren konnte. Deine Möglichkeit probiere ich nachher aus! Danke. Gibt es noch etwas zu beachten?

Zitat von @Linuxa:

> Zitat von @Lochkartenstanzer:

> * Dem WAN-Port eine IP-Adresse aus dem LAN/Gastnetz der fritzbox geben. dabei kann ruhig DHCP aktiv sein.
> * Jje nachdem, ob der TP-Link NAT macht oder nicht, auf der Fritzbox die Route eintragen.
>
> fertich.
>
> lks

Muss ich das Gastnetz auf dem Port 4 auch aktivieren in der FB? ... Deine Aussage klingt echt plausibel und logisch .. dass
lässt mich ein wenig hoffen, dass ich es doch noch hinbekomme.

Da alle Pakete des "hinteren" Netzes durch das "vordere" Netz durchgehen, ist die Frage, wieviel Wert man auf die trennung zwischen den beiden Netzen legt. Wenn man die wirklich trennen will, kann man das an das gastnetz (LAN4) hängen, ansonsten an das normale interne LAN.

Durch den Beitrag von aqui bin ich noch nicht ganz durchgekommen, da ich meinen möglichen Anwendungsfall nicht genau
identifizieren konnte. Deine Möglichkeit probiere ich nachher aus! Danke. Gibt es noch etwas zu beachten?

Für Dich trifft die Alternative 2 zu.

lks

Zusätzlich, da er ja OpenWRT nutzt und das überflüssige NAT deaktivieren kann, ist dieser Thread noch sehr lesenwert zum angestrebten Design:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Natürlich das Kapitel "Routen ohne Winblows mit Router"

...bin ich noch nicht ganz durchgekommen, da ich meinen möglichen Anwendungsfall nicht genau identifizieren konnte.

Wenn Du dem lesen auch noch ein verstehen folgen lässt, bleibt nur Alternative 2 und sollte auch problemlos funktionieren.
Ein Umstellen der Fritte auf Nur-Modem Betrieb, ist auch mit einigen Tricks machbar.
Ob Du den TP-Link mit seinem WAN-Port an LAN 4 hängst oder LAN 1, ist eigentlich uninteressant.
So weit mir bekannt ist, hat die FB 7362SL nur an Port 1+2 GB-LAN.
Wenn Du die Fritte weiterhin als Router nutzt, kannst Du schon den DHCP-Server eingeschaltet lassen.
Es empfielt sich aber, die IP für den WAN-Port des TP-Link fest zu vergeben, um das als spätere Fehlerquelle gleich von vornherein auszuschließen.
Gruß orcape

Danke erstmal für eure Hilfe! Ich habe nun folgende Konfiguration und ich bekomme trozdem keinen Traffic auf den TP-Link.

TP an FB angeschlossen an FB-LANPORT1 -> TPLINK-WAN-PORT

TP hat auch eine WAN-IP bekommen ... sieht man auf den Bildern ... haben ich in meiner Konfiguration noch einen Haken drin?

Nochmal von vorn:
Design:
(Internet)====DSL====(Fritzbox.LAN_Port).1----192.168.178.0 /24----.254(WAN_Port-TP-LAN_Port).1----172.16.0.0 /24 LAN----(PC)

Was du alles falsch gemacht hast:

WAN Port TP darf niemals eine dynamische IP Adresse bekommen ! Der sollte IMMER auf Static stehen und eine IP Adresse aus dem LAN Bereich die NICHT im DHCP Pool der FB steht bekommen oder du weisst dem TP über seine MAC immer eine feste IP aus der FB zu. Freie IP auf der FB ist z.B. 192.168.178.254 die du als Static dann auf dem WAN Port des TP einstellst !
Gateway IP und DNS IP auf dem WAN Port ist dann die FB IP Adresse 192.168.179.1 !
Dann auf der FB einen statische Route eintragen !! Ziel: 172.16.0.0, Maske: 255.255.255.0, Gateway: 192.168.178.254 (IP Adresse WAN Port am TP) Dem 172er Netz kannst du auch ne 24 Bit Maske geben ! Denk dran das auch auf dem DHCP Server anzupassen wenn du das auf /24 änderst !

Im Screenshot des DD-WRT Setups kannst du schon sehen was du falsch konfiguriert hast:

Dynamic auf dem WAN Port...ok hatten wir schon
LAN Port des DD-WRT hast du auf 172.16.0.250 gesetzt. OK generell nicht falsch wenn man mal davon absieht das man einem Router in der Regel immer die IP "ganz oben" oder "ganz unten" gibt also .1 oder .254.
Static DNS die FB zu nehmen ist Unsinn, denn der DDWRT ist für die lokalen LAN Clients immer selber Proxy DNS. Also kommt als erstes DNS 1 die DD-WRT Router IP Adresse 172.16.0.x ! FB besser weglassen !

Der Rest ist soweit richtig, die Routing Table ist auch korrekt. Ebenso der Mode Router der aben eben die statische Route auf der FB erzwingt.
Man kann hier nur vermuten das die **statische Route auf der Fritzbox aktuell falsch ist weil der TP durch die DHCP Vergabe einen andere IP Adresse bekommen hat als die .24 ?!
Hier siehst du klar die Gefahr die die Verwendung von dynamischen Adressen auf Routern bewirkt.
Kein Netzwerker macht das ! Setze also eine statische IP auf dem WAN Port, pass die Route an dann klappt das auch.
Alternativ setzt du in der FB im DHCP Server Setting eine feste IP auf Basis der WAN Port Mac Adresse TP.
Besser ist immer eine statische IP ! Steht ja auch klar so im Tutorial...wenn man denn mal liest ?!
Checks:

Ping vom PC im 172.16.0.0er Netz auf die .1 (DD-WRT Router)
Ping vom PC im 172.16.0.0er Netz auf die 192.168.178.254 (WAN Port DD-WRT Router)
Ping vom PC im 172.16.0.0er Netz auf die LAN IP FB 192.168.178.1
Traceroute (tracert) vom PC im 172.16.0.0er Netz auf die LAN IP FB 192.168.178.1
Traceroute (tracert) vom PC im 172.16.0.0er Netz auf eine öffentliche Internet IP wie 8.8.8.8
Traceroute (tracert) vom PC im 172.16.0.0er Netz auf einen öffentliche Internet Hostnamen wie www.heise.de

All das MUSS dann fehlerlos klappen !

Zitat von @aqui:

Freie IP auf der FB ist z.B. 192.168.178.254 die du als Static dann auf dem WAN Port des TP einstellst !

Genau diese IP nciht verwenden!!

AVM benutzt idese als Notfall-IP, um bei verkonfigurierten Fritzboxen immer noch "irgendwie" auf die FB zu kommen. Der fritzbox-default-DHCP-Bereich geht von 192.168.178.20 bis 192.168.178.200.

Ich empfehle immer, das IP-Netz eh auf einen anderen Bereich umzustellen, z.B. 172.16.178.0/24 und den DHCP-Bereich auf "gerade" Adressen zu legen, z.B. con 172.16,178,64...172.16.178.191. Dann hat man mehr Freiheiten, um statsiche Aderssen zu vergeben.

Wenn man beim Standard-netz 192.168.178.0/24 bleibt, soltle man für staische Adressen nciht die 1 und nicht die 254 nehmen.

lks

Habe zu vergessen zu erwähnen das die WAN IP Static ist im FB. Habe ich so gesetzt. "Immer die selbe IP diesem Gerät vergeben" ... Den Rest probiere ich nun aus. Danke!

Zitat von @aqui:

Nochmal von vorn:
Design:
(Internet)====DSL====(Fritzbox.LAN_Port).1----192.168.178.0 /24----.254(WAN_Port-TP-LAN_Port).1----172.16.0.0 /24 LAN----(PC)

Was du alles falsch gemacht hast:

WAN Port TP darf niemals eine dynamische IP Adresse bekommen ! Der sollte IMMER auf Static stehen und eine IP Adresse aus

dem LAN Bereich die NICHT im DHCP Pool der FB steht bekommen oder du weisst dem TP über seine MAC immer eine feste IP aus
der FB zu. Freie IP auf der FB ist z.B. 192.168.178.254 die du als Static dann auf dem WAN Port des TP einstellst !

Gateway IP und DNS IP auf dem WAN Port ist dann die FB IP Adresse 192.168.179.1 !
Dann auf der FB einen statische Route eintragen !! Ziel: 172.16.0.0, Maske: 255.255.255.0, Gateway: 192.168.178.254

(IP Adresse WAN Port am TP) Dem 172er Netz kannst du auch ne 24 Bit Maske geben ! Denk dran das auch auf dem DHCP Server
anzupassen wenn du das auf /24 änderst !

Okay, nunja. Kannst du mir denn sagen, wie ich ihm eine "andere" feste WAN-IP reindrücke, ohne den DHCP-Server in der FB zu ändern?

Tut mir leid, dass ich nicht auf dem Pro Niveau von Netzwerkern bin und auch die Anleitungen nicht so "gut" verstehe. Ich versuche es zumindest.

Zitat von @Linuxa:

Okay, nunja. Kannst du mir denn sagen, wie ich ihm eine "andere" feste WAN-IP reindrücke, ohne den DHCP-Server in
der FB zu ändern?

Ganz einafch Du stellst im TP-Link die gewünschte IP-Adresse statisch ein, z.B. 192.168.178.16 und änderst in der fritzbox dann den Namen, wenn der dann als PC-192-168-178-16 drinsteht.

lks

Ich habe im Endeffekt alles so gemacht, wie du es gesagt hast.

- WAN hat eine feste IP von der FB (WANPORT: 192.168.178.24)
- NAT ist im TP aus
- Route ist im FB eingetragen zum TP Netzwerk und auch richtig lt. deiner Aussage
- Habe nun noch den StaticDNS1-Eintrag geändert in TP

Es funktioniert leider immer noch nicht. Wäre auch froh, wenn man ein kleines Skype Gespräch führen könnte, soll natürlich entlohnt werden.

Vielen lieben Dank!

AVM benutzt idese als Notfall-IP,

Sorry, das hatte ich übersehen. Danke LKS.
OK, dann streiche .254 setze .253

Habe zu vergessen zu erwähnen das die WAN IP Static ist im FB

Sorry, aber das ist völliger Blödsinn. Die FB ist doch dein Internet Router, oder ? Am WAN Port der FB also am Provider Anschluss bekommst du bei Consumer DSL IMMER eine wechselnde IP.
Es sei denn du hast einen Vertrag mit dem Provider der dir eine statische IP garantiert....was du aber nicht gesagt hast hier !

Kannst du mir denn sagen, wie ich ihm eine "andere" feste WAN-IP reindrücke, ohne den DHCP-Server in der FB zu ändern?

Ja das ist kinderleicht und kommt man auch von selber drauf:

Auf der FB nachsehen WIE der DHCP IP Adresspool aussieht und KEINE IP aus diesem Pool verteilen ! Die 192.168.178.253 dürfte NICHT in diesem Pool liegen also nimmst du diese IP !! Ganz einfach..... An der FB must du so oder so per se schon mal gar nix verändern.

Tut mir leid, dass ich nicht auf dem Pro Niveau von Netzwerkern bin

Da versuchen wir ja dich hinzubringen...!

Was ergeben dediziert die Ping und Traceroute Versuche ????

Ping vom PC im 172.16.0.0er Netz auf die .1 (DD-WRT Router LAN IP) ?
Ping vom PC im 172.16.0.0er Netz auf die 192.168.178.254 (WAN Port DD-WRT Router) ?
Ping vom PC im 172.16.0.0er Netz auf die LAN IP der FB 192.168.178.1 ?
Traceroute (tracert) vom PC im 172.16.0.0er Netz auf die LAN IP FB 192.168.178.1 ?
Traceroute (tracert) vom PC im 172.16.0.0er Netz auf eine öffentliche Internet IP wie 8.8.8.8 ?
Traceroute (tracert) vom PC im 172.16.0.0er Netz auf einen öffentliche Internet Hostnamen wie www.heise.de ?

Lass dir doch bitte nicht alles einzeln aus der Nase ziehen...

Bei Skype wirst du von Microsoft beschnüffelt...besser also nicht !
http://www.heise.de/security/meldung/Vorsicht-beim-Skypen-Microsoft-lie ...
http://www.heise.de/tp/news/Skype-Microsoft-hoert-jetzt-mit-2030143.htm ...

Werden später nochmal ausführlich antworten, da ich gerade unterwegs bin. Mit der WAN IP meine ich die IP die dem TP zugewiesen worden ist (192.168.178.24), diese habe ich auf Static in der FB gesetzt. Das die IP vom ISP nicht Static ist weiss ich.

Ich danke euch auch vielmals für eure Hilfe!

Möchte es ja auch gerne hin bekommen und bin auch nach den Beschreibungen vorgegangen.

Dir Trace- und Pingreslutate werde ich nachher Posten.

diese habe ich auf Static in der FB gesetzt.

Nur nochmal doof nachgefragt: Das hast du im DHCP Server Setup der FB gemacht, richtig ?
Sprich also das die IP aufgrund der DD-WRT WAN Port Mac Adresse (Hardware Adresse) immer fest vom DHCP Server der FB zugewiesen wird ?!
Das wäre dann richtig.
Auch hier solltest du aber sicher gehen das die IP anpingbar ist. Also querchecken und einmal vom DD-WRT die FB anpingen und einmal von der FB den DD-WRT anpingen....nur um sicherzugehen !

Zitat von @aqui:

> diese habe ich auf Static in der FB gesetzt.
Nur nochmal doof nachgefragt: Das hast du im DHCP Server Setup der FB gemacht, richtig ?
Sprich also das die IP aufgrund der DD-WRT WAN Port Mac Adresse (Hardware Adresse) immer fest vom DHCP Server der FB zugewiesen
wird ?!
Das wäre dann richtig.
Auch hier solltest du aber sicher gehen das die IP anpingbar ist. Also querchecken und einmal vom DD-WRT die FB anpingen und
einmal von der FB den DD-WRT anpingen....nur um sicherzugehen !

Genau so habe ich es gemacht. DHCP ist noch an im FB, bin aber in der FB in die Netzwerk Übersicht gegangen auf den TP geklickt und habe den Haken rein gemacht bei "Diesem Gerät immer die selbe IP zuweisen".

Wenn ich denn mein LAN Kabel an der FB angeschlossen habe müsste ich den TP anpingen können ... ?! Logisch? - Das teste ich nachher, gehe aber davon aus das es geht.

So @aqui, hier einmal das Ping- und Tracerrouteresultat:

Es beruhigt mich schoneinmal zu sehen, das er (World)DNS auflösen kann (siehe Heise ->=IP), was mir sagt, dass er ja Internet hat. Nun frage ich einen Profi: Woran hapert es noch?

Ich danke dir sehr für deine Geduld mit mir. Allen anderen natürlich auch.

Leider fehlt der Ping auf die 8.8.8.8 aber vermutlich scheitert der ebenso !

Fakt ist ja das die FB gar nicht anpingbar ist.
Im nächsten Schritt wäre es nun sinnvoll wenn du direkt vom DD-WRT Router einmal die 192.168.178.1 anpingst ! Klappt das ?
Ebenso direkt von der FB die 192.168.178.24 anpingst wie oben gefordert.
Den DD-WRT kannst du bequem telnetten mit PuTTY oder TeraTerm um auf dessen CLI zu kommen und zu pingen. Es geht aber auch über das GUI.
Scheinbar gibt es ein Connectivity Problem zwischen dem DD-WRT und der FB !

Was auch sein kann ist das die FB die statische Route ignoriert.
Das kannst du aber nur herausfinden wenn du mal einen Wireshark Sniffer in das 192.168.178er Netz setzt und mal mitsnifferst WAS mit den Paketen passiert die der DD-WRT Router an die FB sendet.
Das wäre mal höchst interessant.

Zitat von @aqui:

Leider fehlt der Ping auf die 8.8.8.8 aber vermutlich scheitert der ebenso !

Fakt ist ja das die FB gar nicht anpingbar ist.
Im nächsten Schritt wäre es nun sinnvoll wenn du direkt vom DD-WRT Router einmal die 192.168.178.1 anpingst ! Klappt
das ?
Ebenso direkt von der FB die 192.168.178.24 anpingst wie oben gefordert.
Den DD-WRT kannst du bequem telnetten mit PuTTY oder TeraTerm um auf dessen CLI zu kommen und zu pingen. Es geht aber auch
über das GUI.
Scheinbar gibt es ein Connectivity Problem zwischen dem DD-WRT und der FB !

Was auch sein kann ist das die FB die statische Route ignoriert.
Das kannst du aber nur herausfinden wenn du mal einen Wireshark Sniffer in das 192.168.178er Netz setzt und mal mitsnifferst WAS
mit den Paketen passiert die der DD-WRT Router an die FB sendet.
Das wäre mal höchst interessant.

Mach den Ping, resultat kommt gleich!

Zitat von @aqui:

Leider fehlt der Ping auf die 8.8.8.8 aber vermutlich scheitert der ebenso !

Ja, ist auch Fehlgeschlagen.

Fakt ist ja das die FB gar nicht anpingbar ist.
Im nächsten Schritt wäre es nun sinnvoll wenn du direkt vom DD-WRT Router einmal die 192.168.178.1 anpingst ! Klappt das ?

Ja.

Ebenso direkt von der FB die 192.168.178.24 anpingst wie oben gefordert.

Greife ich da auch über Putty (Telnet) auf die FB zu oder wie/was meinst du?

Was auch sein kann ist das die FB die statische Route ignoriert.
Das kannst du aber nur herausfinden wenn du mal einen Wireshark Sniffer in das 192.168.178er Netz setzt und mal mitsnifferst WAS mit den Paketen passiert
die der DD-WRT Router an die FB sendet.

Also einfach mal Wireshark anschmeißen auf eth0 am Laptop Sniffen (eth0 ist angeschlossen an TP) und einen Ping von TP-Netz auf FB (192.168.178.1) absetzen?

Was auch sein kann ist das die FB die statische Route ignoriert.

Die Metrik ist in der statischen Route im FB auf automatisch.

Hier einmal das Whireshark Resultat für @aqui: http://212.114.48.36/TP_to_FB_over_Ping.rar

Passwort hast du per PN. Danke.

Um dem Drama nun hoffentlich mal ein Ende zu bereiten hier ein schneller Laboraufbau mit Test:

DD-WRT Router im Router Modus also ohne aktiviertes NAT
IP Adresse FritzBox LAN Port: 192.168.7.254
Statische Route FritzBox: 10.168.1.0 /24 mit Gateway 192.168.7.151
Statische IP Adresse DD-WRT Router WAN Port: 192.168.7.151
Statische Default Route DD-WRT und DNS: 192.168.7.254

IP Konfiguration DD-WRT Router:

Ping direkt vom DD-WRT Router auf die Fritzbox klappt fehlerfrei:

Ping direkt vom PC am DD-WRT Router LAN auf die Fritzbox und Google klappt fehlerfrei:

Übrigens: Es hat keine 10 Minuten gedauert diese simple Konfig lauffähig im DD-WRT und Fritzbox zusammenzuklicken !
Fragt sich jetzt WO nun dein wirkliches Problem ist ?!
Bleibt eigentlich nur der Schluss das die statische Route an DEINER Fritzbox nicht greift ! Alles andere klappt ja.

Nächste Schritte:

Kannst du vom CLI Prompt des DD-WRT die 8.8.8.8 anpingen ??
Aktivier testweise mal den Gateway Modus am DD-WRT das der mit NAT arbeitet und die statische Route obsolet macht. Macht das einen Unterschied bzw. klappt das dann ?!

Habe alles genau so eingetragen (IP's abgeändert) - Ohne Erfolg.

Bei Network Settings ist LocalDNS und Gateway auf 0.0.0.0 beides - So wie bei dir.

Testweise mal den DD-WRT rebootet ?

Hast du dir den Wireshark Trace mal angesehen ?? Kommen die 172.16er Pakete am WAN Port des DD-WRT an Richting FB und antwortet die FB ?

Heißt das nicht, dass irgendwas mit meinem Rechner nicht stimmt? Oo Wenn ich mit dem TP Verbunden bin und mich via Telnet auf die Box schalte, kann ich Heise etc. pingen aber mit der CMD auf meinen Rechner nicht!

Zitat von @aqui:

Testweise mal den DD-WRT rebootet ?

Hast du dir den Wireshark Trace mal angesehen ?? Kommen die 172.16er Pakete am WAN Port des DD-WRT an Richting FB und antwortet
die FB ?

Ich reboote mal die Box.

Zitat von @Linuxa:

> Zitat von @aqui:
>
> Testweise mal den DD-WRT rebootet ?
>
> Hast du dir den Wireshark Trace mal angesehen ?? Kommen die 172.16er Pakete am WAN Port des DD-WRT an Richting FB und
antwortet
> die FB ?

Ich reboote mal die Box.

Ohne Erfolg.

Hier mal ein Wireshark Sniffer Screenshot wie das am WAN Port auszusehen hat....
Ein Client im lokalen DD-WRT Netz mit der IP 10.168.1.105 pingt (ICMP Request) dabei die FritzBox mit der IP 192.168.7.254.

Du kannst hierbei dediziert sehen das der DD-WRT Router WAN Port mit der Mac Adresse 68:7f:74:01:fb:cd (Linksys WRT54 Hardware) das ICMP Echo Type 8 (Echo Request) Paket an den FritzBox Router LAN Port xyz:f3:9b:1e sendet im Layer 2.
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol#Die_ICMP ...
Die Layer 3 IP Adressen sind dann entsprechend immer die Endgeräte Adressen.
Es ist also definitiv ein IP Paket zwischen dem WAN Port DD-WRT und LAN Port FB:

Daraufhin antwortet die FritzBox wie sie soll sofort mit einem ICMP Typ 0 (Echo Reply) Paket an den DD-WRT Router:

Der Client erhält also einen erfolgreichen ICMP Ping Request an die FritzBox !
Genau DAS muss auch zwingend in deinem Wireshark Trace zu sehen sein ! Zeigt übrigens auch das die statische Route auf der FritzBox sauber funktioniert !
Würde sie das nicht würde die FB das 10.168.1.105 Absenderpaket ins Internet routen wo ihre Default Route hinzeigt. Ergebnis wäre das dann nix klappt...logisch.
Deshalb ist es so wichtig zu checken ob deinen FB antwortet !

Der Sniffer Messaufbau ist so:
(Internet)===(FB)-----(Sniffer)----(DD-WRT)----(Client PC)
Wenn du keinen Sniffer PC mit 2 Ports im Bridge Mode hast musst du einen Mirror Port am Switch konfigurieren oder einen Hub nehmen zum Messen. Ideal ist ein Laptop mit einem USB Ethernet Adapter z.B.
Als weiteres Beispiel nur mal einen Ping auf den Google DNS im Internet der dann natürlich auch fehlerlos klappt.
Es ist hier nur mal der Reply im Detail von Google auf den PC Client im lokalen DD-WRT LAN 10.168.1.0 /24. Den vorangegangenen Request siehst du oben im Flow aber auch.

Wenn du diese Antwortpakete von der vorgelagerten FritzBox oder dem Google DNS Server (8.8.8.8) NICHT siehst ist irgendwas faul in der FritzBox oder der statischen Route dort !
Natürlich musst du auch die eingehenden Pakete des DD-WRT Routers sehen.
Wenn die gar nicht erst kommen, dann hast du natürlich ein Problem mit der TP-Link Gurke !

Übrigens:
Wenn du den DD-WRT in den Gateway Modus bringst (NAT aktiviert), dann siehst du diese Pakete identisch allerdings ist die Source Adresse dann immer die WAN Port IP Adresse des DD-WRT Routers und nicht mehr die des LAN Clients.
Klar...denn der Router übersetzt durch das dann aktive NAT die Absender IP in seine Eigene.
Sehen musst du diese Pakete inklusive ihrer Antworten aber in jedem Falle ebenso !

Weitere Wireshark Tips findest du hier:
http://www.heise.de/netze/artikel/Fehler-erschnueffeln-221587.html
und
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
und
Wireshark mir zwei Netzwerkkarten

Also wenn ich ihn in den Gateway-Mode setze funktioniert alles so wie es soll. Den Sniff werde ich gleich mal Analysieren.

ABSCHLUSS - ES FUNTIONIERT

Design:

ISP===FritzBox(172.16.10.253)(172.16.10.0/16)===Lan.Port1(WAN.at.TP)172.16.10.254===TPBOX(10.10.0.1)(10.10.0.0/8)===Clients/8
Mir ist bekannt, dass die Bereiche viel zu groß sind und keinen Sinn ergebeb. Mir geht es darum, es einfach mal getestet zu haben.

Nach drei nervenaufreibenden Tagen und viel Geduld sowie Hilfe der Community haben wir es geschafft. Ich danke @lks und ganz besonders @aqui für die viele Geduld und Hilfestellungen.

Ich habe die Konfiguration nun auch komplett neu und nocmal ohne Forum-Hilfe gemacht. Diesmal ist sie auch Netzwerker-Konform. Kann einer von euch mir ein Buch empfehlen, welches zu dem Thema passt? Möchte das ungerne alles durch "Lbd" aneignen.

Das ist dann de facto der finale Beweis das deine statische Route in der FritzBox NICHT funktioniert oder falsch gesetzt wurde !!

Im Router Modus "sieht" die FB ja die originale Absender IP des Clients. Daraufhin sieht sie für das Antwortpaket an den Client in ihre Routing Tabelle und ohne oder fehlerhafter statischer Route schickt sie das Paket an ihr Default Gateway, was der Provider ist.
Dadurch verschwinden diese Pakete im Nirwana (Provider dropped die da RFC 1918 IP Adressen)

Der große Nachteil im Gateway Mode ist das dein 172.16er IP Netz NICHT vom FB LAN erreichbar ist durch die NAT Firewall.
Das Routing ist also nicht transparent (beidseitig) sprich eine Einbahnstrasse.
Nachteil wenn man über beide IP Netze transparent kommunizieren will.
Das Thema ist im hiesigen Routing Tututorial sehr detailiert behandelt:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Fazit: Checke also unbedingt nochmal die statische Route in der FritzBox ! Damit ist irgendwas oberfaul ! Wie schon am Anfang vermutet...

Nachtrag:
Ooops da waren wir wohl beide gleich schnell mit dem Thread !
Wenn es nun wirklich funktioniert interessiert ja nun mal ALLE hier was denn nun der Fehler im Router Modus gewesen ist ??? PEBKAC ??

Das es im Gateway Mode klappt ist ja eigentlich eher banal und unspektakulär. Die eigentliche Herausforderung liegt ja klar im Router Modus und dem transparenten routen zwischen beiden IP Netzen !

Zitat von @aqui:

Das es im Gateway Mode klappt ist ja eigentlich eher banal und unspektakulär. Die eigentliche Herausforderung liegt ja klar
im Router Modus und dem transparenten routen zwischen beiden IP Netzen !

Das wird denn meine nächste Aufgabe. Erst einmal funktioniert es so. Ich erreiche im TP-NETZ die FB, wenn ich im FB-NETZ bin erreiche ich den TP nicht. Das ist dass, was du schon sagtest das untransparente. - Die Route die im FB eingetragen war, sagtest du ja selber war aber korrekt. Sonst eine Idee was die FB stört?

Wenn nicht, sieh es erstmal als abgehakt. Werde mich die nächsten Tage mal durch deine Tutorials/Berichte fuchsen.

Zitat von @aqui:

(Provider dropped die da RFC 1918 IP Adressen)

Und wie imem rbestätigen hier shr oft Ausnahmen die Regel.

lks, der spasseshalber manchmal RFC1918-Netze ins Providernetz traced und sich wundert, was da manchmal zurückkommt.

Zitat von @Linuxa:

Erst einmal funktioniert es so. Ich erreiche im TP-NETZ die FB, wenn ich im FB-NETZ bin
erreiche ich den TP nicht. Das ist dass, was du schon sagtest das untransparente. - Die Route die im FB eingetragen war, sagtest
du ja selber war aber korrekt. Sonst eine Idee was die FB stört?

Schneide doch einfach mal die Pakete auf der fritzbox mit, wenn du ein ping/traceroute von dort initiierst.

Dann sieht man, was sache ist.

lks

Erst einmal funktioniert es so.

Schade...ist ja nur die halbe Miete !

wenn ich im FB-NETZ bin erreiche ich den TP nicht.

Klar und zu erwarten, denn das verhindert die NAT Firewall wenn NAT aktiv ist im Gateway Mode !

Wie Kollege LKS schon sagt: Die FB hat einen sehr guten Paket Sniffer an Bord ! Siehe oben ! Das sollte alles aufdecken...

Zitat von @aqui:

Wie Kollege LKS schon sagt: Die FB hat einen sehr guten Paket Sniffer an Bord ! Siehe oben ! Das sollte alles aufdecken...

Okay, das würde ich jetzt nochmal machen. Wie genau?

Ich stöpsel mich mit meinem Notebook an die FB und setze einen ICMP-REQUEST auf "google.de" ab und sniffe das mal mit. Mehr nicht? Den rest werten wir dann aus? - Oder wie soll der Aufbau aussehen?

Habt mich jetzt doch dazu gekriegt, dass ich es im Router-Mode hinbekommen will

Habe nun Folgendes gemacht: TP auf RouterMode gestellt -> mein Laptop wo der Sniff daruf lief ist am TP_NETZ angeschlossen -> ICMP_REQUEST auf die FB abgesetzt, aber keine Antwort bekommen

Ping auf 8.8.8.8 abgesetzt - Gleiche Konstellation, gleiche Antwort:

Hier noch einmal meine Route in der Fritzbox:

Zitat von @Linuxa:

Hier noch einmal meine Route in der Fritzbox:

Du mußt Dich schon entscheiden:

Entweder 10.10.0.0/16
oder 10.0.0.0/8

lks

Danke für den Hinweis, das habe ich nun getan. Habe mich auf /8 festgelegt:

Leider auch hier ohne Erfolg, nachdem ich wieder auf RouterMode versucht habe.

Kannst du im mitgesnifferten Trace auf der FB diese eingehenden ICMP Request Pakete aus dem DD-WRT LAN Netz an die 8.8.8.8 sehen ??
Wenn ja WAS macht die FB mit den Antwortpakteten die dann von der 8.8.8.8 zurückkommen ?

Du musst diese Pakete direkt auf der FB sniffern:
http://www.wehavemorefun.de/fritzbox/Paketmitschnitt

Zitat von @aqui:

Kannst du im mitgesnifferten Trace auf der FB diese eingehenden ICMP Request Pakete aus dem DD-WRT LAN Netz an die 8.8.8.8 sehen
??
Wenn ja WAS macht die FB mit den Antwortpakteten die dann von der 8.8.8.8 zurückkommen ?

Du musst diese Pakete direkt auf der FB sniffern:
http://www.wehavemorefun.de/fritzbox/Paketmitschnitt

Alles klar. Wie das Sniffen auf der FB gemacht wird weiß ich nun. Nur nochmal, damit wir nicht durch den Quark kommen:

- Ich soll den TP in den RouterMode versetzen -> dann von einem Computer der im TP-Netz ist einen tracert auf die 8.8.8.8 absetzen, welchen ich in der FB mitsniffe?

Wenn du mir hier nochmal kurz ja oder nein mitteilen würdest, mache ich es eben und werte dann den Sniff aus. Was dann drin steht, teile ich dann mit.

Zitat von @Linuxa:

- Ich soll den TP in den RouterMode versetzen -> dann von einem Computer der im TP-Netz ist einen tracert auf die 8.8.8.8
absetzen, welchen ich in der FB mitsniffe?

Ja.

Ich habe es mir mal erlaubt für dich hochzuladen. Magst du dir das mal anschauen. Ich kann leider nicht genau sagen, was du benötigst. Meine Ansicht nach kommt nämlich gar nichts zurück. Wenn @Lochkartenstanzer darüber schauen möchte, sende ich es ihm gerne auch.

Wäre jemand mal so nett und würde mir das kurz erläutern, wieso er so ausrastet? Habe einen Sniff auf "Route" gemacht auf der FB. Habe von diesen Einträgen dutzende .. aber tausende. Möchte nur mal kurz wissen was da los ist. Vielen lieben Dank!

Der Host 172.16.10.254 sendet an die 208.er IP Adresse HTTPS Daten (TCP 443, HTTP verschlüsselt)) was auch immer das ist.
Es zeigt aber das diese IP wenigstens ins Internet kommt.

Wenn du den Wireshark Trace ziehst, dann unterlasse bitte allen anderen Traffic soweit das möglich ist um den Overhead den wir nicht haben wollen zu minimieren.
Es reicht auch wenn du vom Client ein ping 8.8.8.8 -t ausführst und dann den Trace ziehst. Ggf. setzt du den Timeout beim Ping noch etwas runter (ping -help zeigt die Parameter)
Die FB gibt dir ja dann ein pcap File aus den du in den Wireshark liest. Hier kannst du dann auf die Client IP filtern !
Das blendet dann den Resttraffic der für uns nicht interessant ist aus.

Zitat von @aqui:

Der Host 172.16.10.254 sendet an die 208.er IP Adresse HTTPS Daten (TCP 443, HTTP verschlüsselt)) was auch immer das ist.
Es zeigt aber das diese IP wenigstens ins Internet kommt.

Den Sniff habe ich gemacht, als der TP schon wieder im GatewayMode war. - Was mich hier nur gewundert hat, dass es so unglaublich viele waren. Bis zu 1000 Stk. und mehr innerhalb von nur 5-8 Sek..

Wenn du den Wireshark Trace ziehst, dann unterlasse bitte allen anderen Traffic soweit das möglich ist um den Overhead den
wir nicht haben wollen zu minimieren.
Es reicht auch wenn du vom Client ein ping 8.8.8.8 -t ausführst und dann den Trace ziehst. Ggf. setzt du den Timeout beim
Ping noch etwas runter (ping -help zeigt die Parameter)
Die FB gibt dir ja dann ein pcap File aus den du in den Wireshark liest. Hier kannst du dann auf die Client IP filtern !
Das blendet dann den Resttraffic der für uns nicht interessant ist aus.

Hast du dir denn den Sniff angesehen, den ich dir geschickt habe und ggf. etwas entnehmen können? Hast du dbzgl. schon eine Vermutung, woran es liegen kann? Ich müsste mich mal mehr mit Wireshark und Networking befassen, damit ich sowas in Zukunft selber auswerten kann.

Du (und natürlich auch der Rest) hast mir schon sehr viel weiter geholfen und einige dunkle Stellen aufgedeckt. Dafür bin ich dir sehr dankbar.

Gut dann mache ich einen neuen Sniff, schalte alle (insofern möglich) zusätzliche Applikationen aus, Filter den Sniff anschließend auf meine ClientIP (von der ich den ping auf die 8.8.8.8 abgesetzt habe) aus. Den TP versetze ich vorher natürlich in den RouterMode.

Was dabei herrausgekommen ist, werde ich erneut posten.

Was mich hier nur gewundert hat, dass es so unglaublich viele waren. Bis zu 1000 Stk. und mehr innerhalb von nur 5-8 Sek..

Bedeutet immer das da dann eine erhebliche Menge an Daten transferiert wird.
Auf dem 172er Client rennt dann vermutlich irgend was automatisches was nach Hause telefoniert, sei es ein Update Service oder sonst noch was...
Checke doch mal bei utrace.de WER sich hinter der 208er IP Adresse verbirgt. Dann weisst du das meistens sofort !

Ich müsste mich mal mehr mit Wireshark und Networking befassen, damit ich sowas in Zukunft selber auswerten kann.

Sorry, aber das kann eigentlich jeder Dummie... Wenn man sich nur mal die IP Absender und Ziel Adressen ansieht und das Protokoll. Diese simplen beiden Dinge reichen erstmal schon aus um zu sagen wer da mit wem was redet !!

Noch ein Tip: Wenn du den TP in den Router Modus versetzt hast reboote den sicherheitshalber mal BEVOR du den Messzyklus startest !

Bzgl. des utrace.de-Szenario: Es war YouTube, da habe ich mir wohl ein Video angeschaut.

Bzgl. Wireshark u. anderes: Ja schon, nur sind es erst einmal sehr viele Informationen, mit denen man klar kommen muss. Wie dem auch sei; ich bemühe mich und stecke meine Nase weiterhin in die Bücher.

Mache den Trace heute abend nochmal, vorher versetze ich den TP in den RouterMode, reboote die Gurke und Filter dann den Sniff. Das Ergebnis werde ich anschließend zeigen.

nur sind es erst einmal sehr viele Informationen, mit denen man klar kommen muss.

Nein, musst du ja nicht. Ignorier diese Informationen, sieh erstmal nur auf Source und Destination IP Adresse und Destination Port...das reicht um 85% des TCP/IP Traffic Flows zu verstehen...!
Wir sind dann mal gespannt auf den neuen Trace... Und...! Bitte KEIN Youtube Dreck da wieder parallel ansehen !!!

Ja, nur wenn du vorher nicht weißt, dass du so genau auch Filtern kannst, sind es erstmal viele Informationen die einen leicht überfordern. Aber dank deinem Tipp bzgl. des Filtern werde ich mir warscheinlich einen schnellen und verständlichen Überblick überschaffen können.

Ich melde mich erneut heute abend von der Front und ich verspreche dir, ich werde nebenbei keine Videos von niedlichen Katzenbabys schauen.

OK, da hast du Recht ! Genau deshalb ist ja auch der Capture Filter dein bester Freund

Also, ich habe es dann mal so gemacht, wie es gesagt wurde. Ich habe zusätzlich auch einmal auf der Routing-Schnittstelle gesnifft. Das Resultat war sehr ernüchternd. Ich sehe nichtmal ansatzweise die 8.8.8.8er IP. Ein Arbeitskollege meinte heute das es wohl sein könnte, dass einer der beiden Boxen das NATting nicht vernünftig macht.

Mir fällt auch auf, dass herzlich wenig wieder zurück vom WAN in das 10.0.er Netz geht. Hier einmal die Screens:

SNIFF_ROUTING_PORT

SNIFF_ETH0_(WAN-TO-TP)_PORT

Da ließ sich nicht viel Filtern denke ich mal.

Hier nochmal meine Netzwerkkonfig, wie sie ja eigentlich laufen sollte, es aber nicht tut:

Hi,

Ein Arbeitskollege meinte heute das es wohl sein könnte, dass einer der beiden Boxen das NATting nicht vernünftig macht.

Das ist doch Schwachfug, das NAT stellst Du am DD-WRT Router doch im Router-Modus ab, also kann der kein NAT machen.
Du hast zwar den Router-Modus gewählt, aber weder das betreffende Interface (WAN) gewählt, noch eine Route eingetragen.
Gruß orcape

Zitat von @orcape:

Hi,
> Ein Arbeitskollege meinte heute das es wohl sein könnte, dass einer der beiden Boxen das NATting nicht vernünftig
macht.
Das ist doch Schwachfug, das NAT stellst Du am DD-WRT Router doch im Router-Modus ab, also kann der kein NAT machen.
Du hast zwar den Router-Modus gewählt, aber weder das betreffende Interface (WAN) gewählt, noch eine Route eingetragen.
Gruß orcape

Nanu, ich denke ich stell das dynamische Routing aus ...

Bei Dir ist aber unter Setup-Advanced Routing weder dynamisches noch statisches Routing aktiviert und mit dem abschalten des Betriebsmodus Gateway hast Du auch NAT abgeschaltet.

Achso, dies wusste ich nicht, dass ich mit dem umschalten auf den RouterMode dynRouting sowie dynNAT ausstelle. Ich dachte es ist nur dynRoutung. - Aber nun gut.

Die Konfig ist aber soweit richtig. Wenn im 172er Netz wirklich keine Subnetzmasken Mismatch besteht und da alles mit einer 16er Maske arbeitet, dann kann man nur vermuten das der TP-Link mit der DD-WRT Firmware schrottig ist !
Das die statische Route in der FB rumzickt möchte man (fast) ausschliessen.

Im Sniffer Trace sieht man ja keinerlei Pakete aus dem 10er Netz. Das allein macht schon sehr stutzig.
Wenn man aus dem 10er Netz die 8.8.8.8 anping MUSS das im Sniffer Trace an der FB zu sehen sein. Dies Paket kommt ja sowohl am LAN Port der FB an und geht am WAN Port raus.
Die Antwortpakete von 8.8.8.8 dann entsprechend, kommen am WAN Port rein und gehen am LAN wieder raus.
Aber da ist rein gar nichts zu sehen aus dem 10er Netz und das kann de facto NICHT sein !

Besagt eigentlich das der TP-Link Schrotthaufen im Router Modus NICHTS forwardet. Kann möglich sein wenn dessen HW kein Routing und ausschliesslich nur NAT supportet. Wäre sehr sehr ungewöhnlich und auch komisch wenn der Modus ja de facto konfigurierbar ist aber bei dem China Schrott weiss man nie.

Wie gesagt ein Linksys WRT54 hier mit DD-WRT Formware funktioniert sauber wie es soll und routet auch so wie es soll. Siehe Screenshots oben. Sicheres Indiz das es bei dir vermutlich an der HW direkt liegt ?!
Fazit: Investier mal 35 Euro und kauf dir mit einem Mikrotik RB750 mal einen richtigen Router statt der TP-Link Gurke !!

Lies Dir mal den Thread durch, betrifft genau Dein Problem....
http://www.dd-wrt.com/phpBB2/viewtopic.php?p=703614
...und die Antwort von Sash ist knapp gehalten aber eindeutig.
Gruß orcape

Zitat von @orcape:

Lies Dir mal den Thread durch, betrifft genau Dein Problem....
http://www.dd-wrt.com/phpBB2/viewtopic.php?p=703614
...und die Antwort von Sash ist knapp gehalten aber eindeutig.
Gruß orcape

Danke dir! Werde ich einmal ausprobieren. Wenn das auch nichts bringt, werde ich mal schauen, dass ich den TP auf den Firmwarestand von @aqui bringe. Die Box von @aqui werde ich mir aber auch noch zulegen. Hast du da nochmehr zu empfehlen?

Melde mich dann erneut heute abend von der Front.

Die Box von @aqui werde ich mir aber auch noch zulegen.

Ich weiß zwar nicht was Du damit wirklich meinst, wenn 's aber WRT54 ist, der ist nun wirklich etwas in die Jahre gekommen..

Als Linksys kann ich die E-Serie empfehlen, die sind dann Hardware mäßig etwas aktueller und laufen fast alle mit DD-WRT.
Wenn Du ALIX/APU mit pfSense meinst, ist das natürlich sehr wohl zu empfehlen und nicht mehr mit DD-WRT zu vergleichen.
Gruß orcape

Es war ein Mikrotik RB750 gemeint

Mikrotik RB750 - Quick Review

Es war ein Mikrotik RB750 gemeint

...na ja, keinWunder das man hier nicht mehr durchblickt.
System ist ja nicht mehr wirklich erkennbar, bei diesem Enlos-Drama.....

MEINE GÜTE

Es lag an der SPI-FW ... ohne Worte ... nun auf RouterMode funktioniert es. Danke für all die Hilfe! und danke orcape für den Tipp.

Röchel.... Mit anderen Worten jetzt klappt alles auch im Router Mode ?

Ja - Pass auf, jetzt kommt das ding, das ich mich auf einmal überall neu anmelden muss inkl. Administrator.de - Wenn ich dann auf Login gehe macht er nichts.

Kann das mit der TP Firewall zusammenhängen? Starte mal meine gesamte Landschaft hier neu.

Nein, eigentlich nicht. Das was du da beschreibst sind alles Applikationen ! Wie du selber weisst arbeitet ein Router einzig nur auf Layer 3, sprich der IP Wegefindung.
Von allem was dadrüber ist in den Layern 4-7 was anwendungsbezogen ist hat er keinerlei Ahnung. Das anzunehmen wäre also etwas utopisch und gehört eher ins Reich der Märchen.
Es ist aber möglich das die SPI Firewall irgendwelche Dienste filtert. Schalte sie doch komplett aus im Zweifel um das querzuchecken.

Ja dachte ich mir auch. Habe sie komplett aus. Die Landschaft startet momentan noch neu. Danach schaue ich mal.

Es bleibt also spannend...

Zitat von @aqui:

Es bleibt also spannend...

Ich nehme dir nun die Spannung. Nach neustarten der Landschaft läuft alles wie es soll.

VIELEN VIELEN DANK AN ALLE

Ich mag ja schon fast gar nichts mehr sagen, aber ist es normal oder nur eine Konfigurationssache, dass ich die PC's hinter den Boxen nicht gegenseitig anpingen kann, die Box selber gegenseitig von einem im gegenüberliegenden Netz schon?

Ping von TP-NETZ-PC -> FB == GEHT
Ping von TP-NETZ-PC -> FB-NETZ-PC == GEHT NICHT

Ping von FB-NETZ-PC -> TP == GEHT
Ping von FB-NETZ-PC -> TP-NETZ-PC == GEHT NICHT

Habe ja keine Firewall an, die irgendetwas blocken könnte. Hier mal die zwei Screens:

Auf dem TP-Link falscher Gateway gesetzt...

Zitat von @orcape:

Auf dem TP-Link falscher Gateway gesetzt...

@aqui meinte der ist OK. Erschließt sich für mich auch als logisch, dass ich die FB als Gateway im TP bestimme (172.16.10.253)

Welche Gateway-Settings meinst du? Netzwerk-Einstellungen oder WAN-Einstellungen. (Netzwerk-Einstellungen brauche ja kein GW und DNS eingetragen werden, da er eh den local vom TP nutzt. Dieser widerrum gibt ja weiter)

dass ich die PC's hinter den Boxen nicht gegenseitig anpingen kann,

Ja, denn du bist in verschiedenen Netzen und die Windows Firewall blockiert jegliche Pakete aus fremden nicht lokalen IP Netzen.
Zusätzlich ist ICMP in der Firewall deaktiviert bei allen aktuellen Winblows Versionen:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Stell das entsprechend ein dann klappt das !

Das Gateway ist korrekt gesetzt ! Was sollte da auch anderes rein ?
FB hat => WAN Port IP vom TP
TP WAN Port => hat LAN IP der FB

Zitat von @aqui:

> dass ich die PC's hinter den Boxen nicht gegenseitig anpingen kann,
Ja, denn du bist in verschiedenen Netzen und die Windows Firewall blockiert jegliche Pakete aus fremden nicht lokalen IP Netzen.
Zusätzlich ist ICMP in der Firewall deaktiviert bei allen aktuellen Winblows Versionen:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Stell das entsprechend ein dann klappt das !

Das Gateway ist korrekt gesetzt ! Was sollte da auch anderes rein ?
FB hat => WAN Port IP vom TP
TP WAN Port => hat LAN IP der FB

Supi. Du bist mein Held des Monats! Danke dir. P.S.: Kannst du ein gutes "Netzwerker"-Buch empfehlen?

Nimm die Bücher aus der Cisco Press Reihe. Teuer aber gut....
Ansonsten einfach mal "Netzwerkgrundlagen" bei Amazon eintippen und nach Geldbeutel und Rezension entscheiden.

Habe ich, nach der Anleitung die du mir geschickt hast. Maschinen neu gestartet - ohne Funktion. Andere Idee?

Ist aber wirklich Windows. Habe eben die Linux-Maschinen angepingelt, funktioniert.

Winblows Firewall....wie immer ! Oder du hast da noch son zusätzlichen Mist mit Kaspersky oder Norton drauf die das blockieren.
Ist ja eindeutig wenns bei Linux fehlerlos klappt !