Gastnetz mit zwei FritzBoxen im ClientIP Mode
Hallo zusammen,
da ich Softwareentwickler und nur Freizeit-Admin bin, wende ich mich hier mal an euch.
Ich habe eine FritzBOX 7362 SL als VDSL Modem im Serverraum stehen. Die stellt die Internetverbindung her und verteilt die IP Adressen via DHCP. Da sie in einem Rak steht, habe ich WLAN abgeschaltet, da das ja durch das Metall stark gedämpft wird. Ich habe ihr daher die minimale Sendeleistung zugeordnet.
FritzBox 2 (WLANAP) ist eine 7390. Sie arbeitet im Client IP Modus und hat WLAN aktiv. An ihr hängen neben dem TV auch mein Smartphone, daher darf sie auch nicht komplett im Gastnetz sein.
Nun das Problem: Um das Gastnetz zu aktivieren muss ich immer auf der 7362 WLAN aktivieren (und Gastnetz) und dann sollte die 7390 diese Einstellung übernehmen.
Mir ist jetzt aber aufgefallen, dass das Gastnetz weiterhin verfügbar ist, auch wenn ich es auf der 7362 abgeschaltet habe. Ist das normal?
da ich Softwareentwickler und nur Freizeit-Admin bin, wende ich mich hier mal an euch.
Ich habe eine FritzBOX 7362 SL als VDSL Modem im Serverraum stehen. Die stellt die Internetverbindung her und verteilt die IP Adressen via DHCP. Da sie in einem Rak steht, habe ich WLAN abgeschaltet, da das ja durch das Metall stark gedämpft wird. Ich habe ihr daher die minimale Sendeleistung zugeordnet.
FritzBox 2 (WLANAP) ist eine 7390. Sie arbeitet im Client IP Modus und hat WLAN aktiv. An ihr hängen neben dem TV auch mein Smartphone, daher darf sie auch nicht komplett im Gastnetz sein.
Nun das Problem: Um das Gastnetz zu aktivieren muss ich immer auf der 7362 WLAN aktivieren (und Gastnetz) und dann sollte die 7390 diese Einstellung übernehmen.
Mir ist jetzt aber aufgefallen, dass das Gastnetz weiterhin verfügbar ist, auch wenn ich es auf der 7362 abgeschaltet habe. Ist das normal?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393811
Url: https://administrator.de/forum/gastnetz-mit-zwei-fritzboxen-im-clientip-mode-393811.html
Ausgedruckt am: 23.12.2024 um 19:12 Uhr
30 Kommentare
Neuester Kommentar
eine FritzBOX 7362 SL als VDSL Modem im Serverraum stehen.
Wie immer bei solch (ungenauer) Angabe:Wirklich als reines NUR Modem ???
Oder doch als Router in einer klassischen Router_Kaskade ??
Da sie in einem Rak
Du meinst sicher ein Rack, richtig ?habe ich WLAN abgeschaltet, da das ja durch das Metall stark gedämpft wird. Ich habe ihr daher die minimale Sendeleistung zugeordnet.
Tja was denn nun ?? Abgeschaltet ?? Oder doch angelassen und auf minimale TX Leistung gedreht. Da müssen wir jetzt raten daher darf sie auch nicht komplett im Gastnetz sein.
Auch diese Aussage ist irgendwie verwirrend und unsinnig...?!Als WLAN Client MUSS sie ja in irgendeinem WLAN assoziiert sein und das ist sie dann vollständig. Sowas wie nicht komplett" ist irreführend da technisch nicht möglich.
auch wenn ich es auf der 7362 abgeschaltet habe. Ist das normal?
Nein das ist nicht normal !Entweder ein Bug oder du hast es falsch konfiguriert !
In dieser konstellation wäre eine Lösung mit einem kleinen 30 Euro Mikrotik Firewall Router und einer Kabelverbindung weitaus sinnvoller als die Gastnetz Frickelei via WLAN.
Zumal man FritzBox Gastnetze eh in Sekunden überwinden kann...jedenfalls für diejenigen die wissen wie es geht
Moin,
Aus eigener Erfahrung kann ich sagen, daß das AVM-Gastnetz eiv vielfältiger Quell für Bugs ist.
Wenn Du wirklich ein Ggastnetz unabhängig von Deinem Zugangsrouter haben willst, nimmt eine TP-Link mit DDWRT oder eine Mikrotik.
lks
PS: z.B. habe ich schon seit der 7270-er Generation das Problem, daß WLAN gar nicht mehr funktioniert, sobald ich das Gastnetz aktiviere. Der Fehler trat bei 7270, 7390, 7490 und 7590 auf, auch ohne Übernahme der alten Konfiguration.
Aus eigener Erfahrung kann ich sagen, daß das AVM-Gastnetz eiv vielfältiger Quell für Bugs ist.
Wenn Du wirklich ein Ggastnetz unabhängig von Deinem Zugangsrouter haben willst, nimmt eine TP-Link mit DDWRT oder eine Mikrotik.
lks
PS: z.B. habe ich schon seit der 7270-er Generation das Problem, daß WLAN gar nicht mehr funktioniert, sobald ich das Gastnetz aktiviere. Der Fehler trat bei 7270, 7390, 7490 und 7590 auf, auch ohne Übernahme der alten Konfiguration.
Zitat von @MOS6581:
Das mit dem WLAN-Bug, wenn das Gastnetz aktiviert ist, kann ich bestätigen. Hatte das derletzt bei Kundschaft mit dem Ergebnis, dass ich denen die Fritzbox erfolgreich ausreden konnte ;)
Das mit dem WLAN-Bug, wenn das Gastnetz aktiviert ist, kann ich bestätigen. Hatte das derletzt bei Kundschaft mit dem Ergebnis, dass ich denen die Fritzbox erfolgreich ausreden konnte ;)
Naja, in Privathaushalten ohne besondere Anforderungen kann man die Fritzboxen schon einsetzen, insbesodnere in Verbindung mit Telefonie. Aber sobald man (echte) Gastnetze braucht, ist sie fehl am Platz.
lks
Jo, für privat find ich die Dinger gar nicht schlecht. Hab mir gestern eine 7530 gekauft, da ich 100 MBit/s VDSL geschalten bekommen hab und dazu neue Hardware von Nöten war. Funktioniert echt nicht schlecht. Aber sobald's in den professionellen Bereich geht, haben die Dinger dort höchstens was als DSL-Modem oder Anrufbeantworter(-in) zu suchen
Verstehe sowieso nicht, warum so viele Kollegen selbst größeren Firmen noch Fritzboxen hinstellen. Der Frust ist dann groß, wenn etwas nicht so funktioniert wie es soll.
Verstehe sowieso nicht, warum so viele Kollegen selbst größeren Firmen noch Fritzboxen hinstellen. Der Frust ist dann groß, wenn etwas nicht so funktioniert wie es soll.
Zitat von @MOS6581:
Verstehe sowieso nicht, warum so viele Kollegen selbst größeren Firmen noch Fritzboxen hinstellen. Der Frust ist dann groß, wenn etwas nicht so funktioniert wie es soll.
Verstehe sowieso nicht, warum so viele Kollegen selbst größeren Firmen noch Fritzboxen hinstellen. Der Frust ist dann groß, wenn etwas nicht so funktioniert wie es soll.
Die Dinger sind relativ einfach zu bedienen und für den Standardfall "einfacher Router an (V)DSL ohne Schnickschack" auch durchaus geeignet. Die Probleme kommen dann meist mit den "Extras".
lks
Zitat von @MOS6581:
Das mit dem WLAN-Bug, wenn das Gastnetz aktiviert ist, kann ich bestätigen. Hatte das derletzt bei Kundschaft mit dem Ergebnis, dass ich denen die Fritzbox erfolgreich ausreden konnte ;)
Das mit dem WLAN-Bug, wenn das Gastnetz aktiviert ist, kann ich bestätigen. Hatte das derletzt bei Kundschaft mit dem Ergebnis, dass ich denen die Fritzbox erfolgreich ausreden konnte ;)
Nachtrag:
wurde hier auch schon vom mir thematisiert:
Fritzbox: WLAN-Modul konnte nicht korrekt initialisiert werden. Bitte FRITZ!Box neu starten! (0200)
lks
Zitat von @Bierkistenschlepper:
Okay, dann ist das ja ein bekanntes Problem. Da ich hier gerade einen Raspi rumliegen habe, würde ich gerne den für das Gastnetz benutzen. Der kommt dann direkt in das Gästezimmer und kriegt eine vollwertige Firewall, die jeden Zugriff auf das norm,ale Heimnetz unterbindet.
Okay, dann ist das ja ein bekanntes Problem. Da ich hier gerade einen Raspi rumliegen habe, würde ich gerne den für das Gastnetz benutzen. Der kommt dann direkt in das Gästezimmer und kriegt eine vollwertige Firewall, die jeden Zugriff auf das norm,ale Heimnetz unterbindet.
Das ist eindeutig die bessere Lösung.
Extra Geld ausgeben will ich jetzt eigentlich nicht.
Naja, ein kleiner Mikrotik oder TP-Link kostet halb so viel wie ein Raspi mit Gehäuse, Netzteil und SD-Karte.
Ich bin mit den FritzBoxen eigentlich sehr zufrieden. Sie bieten viele Funktionen, z.B. VPN und eine gute Software.
Viele Funktionen stimmt schon. Aber mit Guter Software wäre ich vorsichtig. Die Dinger sind wirklich nur für "Standardsituationen" geeignet. Alles was darüber hinausgeht ist Murks.
Für den Einbau ins RAck sind sie halt nicht gebaut.
Das ist keiner der Plasterouter.
Ich hatte mal einen Netgear und war erstaunt, dass der mit dieser pixeligen Oberfläche mit viel weniger Funktionen noch konkurrenztfähig ist.
Die verkaufen über den Preis.
Dieser WLAN-Gastnetz-Bug sollte sich eigentlich sehr einfach behaben lassen. Es mu8ss dazu ja nur wenn man WLAN ausschaltet auch das Gastnetz mit ausgeschaltet werden.
Naja, wenn man das WLAN der FB nicht benutzt, stört einen der Bug auch nicht.
lks
Hallo,
> Durch feste Zuweisung von IPs? Ich benutze allerdings nicht den Standard-Adressbereich 192.168.178.0/24. Sondern du nimmst Buchstaben wie z.B. _das.ist_._ein.WLAN_
PS. Ich bin kein gegner von Fritten, aber manchmal sind es die falschen Router.
PSI. Das Gastnetzt einer Fritte kann nicht mit dem LAN dergleichen Fritte reden oder Daten austauschen, wenn dann nür über die WAN Schnittstellen (Internet). Da ist auch nicht was man dazu Einrichten könnte. Es sind komplett getrennte Netze.
Gruß,
Peter
Zitat von @Bierkistenschlepper:
wenn ich es wegen dem Gastnetz anschalte, dann mit minimaler Sedeleistung.
Aber das berßtrifft nur Clients die sich an dieser FritzBox im Gästenetzt tatsächlich anmelden.wenn ich es wegen dem Gastnetz anschalte, dann mit minimaler Sedeleistung.
Und ja es ist eine Router-Kaskade.
Aber dein LAN der ersten FritzBox wird von eben deiner zweiten genutzt oder hast du LAN 4 dazu genutzt - dann n wird eben nur dein GastNetz zur zweiten Fritte (7390) durchgereicht, wogegen wenn du LAN 1-3 der 7362 nutzt kannst du dein Gastnetz der 7362 knicken.Wenn ihr so etwas kennt, itte her damit. Die FritzBox passt in das Rack sowieso nicht richtig rein.
https://www.windowspro.de/news/fritzbox-19-zoll-serverschrank-packen/033 ...Die zweite FritzBox 7390 ist kein WLAN Client sondern hängt im LAN. Nur eben nicht im Gastnetz, sondern im normalen Netz.
Dann hat diese mit dein 7362 Gastnetzt nichts zu tun. Dessen Gastnetz ist dann nur in deiner 7390 und in dein Netz zwischen beiden Fritte. Wireshark zeigt es dir.Habe jetzt gerade nochmal geschaut, das Gastnetz wird von der 7390 immernoch angeboten, obwohl sie ihre Einstellungen von der 7362 übernehmen soll (Haken Einstellungen für den Gastzugang aus der als Internet-Router genutzten FRITZ!Box übernehmen ist gesetzt).
UInd wie soll das gehen? Deine Fritte kann das GastNetz im WLAN und auf einen LAN Port, meistens der LAN 4. Deine zusammenstöpseln lässt nichts anderes zu. Du kannst das GastNetz an deiner 7362 getrost ausschalten bzw. nicht Konfigurien, ändert bei dir nichts.Und bei der 7360 habe ich WLAN komplett deaktiviert, also auch das Gastnetz - würde man denken.
Bitte mal mit inSSIDer (Version 3.1.2.1 ist noch Kostenlos) prüfen wer bei dir welche SSID auf welchen Kanal rausblässt.Die 7390 bekommt davon nichts mit... Scheint mir ein Bug zu sein.
Nein kein Bug, sondern die kann davon nichts mitbekommen. Die sieht deine 7362 nur als anderen AP mit evtl. mehreren SSID je nach was du Konfiguriert hast.Um das Gastnetz zu deaktivieren muss ich WLAN bei der 7360 anschalten,
Beide Fritten bei dir haben WLAN und ein GastNetz. Du solltest also genauer schauen wer was macht. Xirrus WiFi-Inspector ist auch Gratis (Version1.2.1.4) und zeigt dir auch alles wie eben inSSIDer an.> Durch feste Zuweisung von IPs? Ich benutze allerdings nicht den Standard-Adressbereich 192.168.178.0/24. Sondern du nimmst Buchstaben wie z.B. _das.ist_._ein.WLAN_
Ich habe auch einen Switch, der VLAN kann, wäre das sicherer?
VLAN selbst hat jetzt nichts mit Sicherheit zu tun, das ist nur eine anderes Netz.Muss aber schauen, wie ich das entsprechend einrichte, denn die FritzBox kann wohl keine VLAN Tags im WLAN-Gasnetz setzen, oder?
Ein Fritte kann bis heute weder im LAN noch in dessen WLAN irgend etwas mit VLANs anfangen. Ein Grund mit warum es je nach Umgebung einfach keinen Sinn macht FritzBoxen einzusetzen.PS. Ich bin kein gegner von Fritten, aber manchmal sind es die falschen Router.
PSI. Das Gastnetzt einer Fritte kann nicht mit dem LAN dergleichen Fritte reden oder Daten austauschen, wenn dann nür über die WAN Schnittstellen (Internet). Da ist auch nicht was man dazu Einrichten könnte. Es sind komplett getrennte Netze.
Gruß,
Peter
Natürlich geht das, was du wolltest: (Soweit ich dich verstehe)
- Gib der 2. Fritte eine feste IP aus dem Bereich der 1. Fritte. (192.168.178.254 beim Standardnetz)
- Schalte auf der 2. Fritte DHCP aus.
- Passe den DHCP Range auf der Fritte1 an.
- Konfiguriere KEINEN Internetzugang auf der 2. Fritte. (Auch keinen Client-Modus, gib ihr evtl. fehlerhafte Daten für DSL, was weiss ich, wichtig ist nur, dass sie KEIN Internet hat. Vergiss die WAN Buchse) Sie hat kein WAn, sie kennt kein WAN, sie braucht kein WAN. Alles Murks. Hier wird kein Routing gebraucht, denn Fritte 1 gibt ihre eigene IP als Standardgateway allen Clients mit.
- Verbinde Fritte 1 per Kabel an irgendeine LAN-Buchse der Fritte 2.
- Fritte2 arbeitet dann komplikationslos (quasi als Switch) im LAN und kann sowohl ein gebridgtes WLAN, als auch ein eigenständiges Gast-WLAN herstellen.
- Deaktiviere Gastnetz ("Netzwerkeinstellungen") und WLAN auf Fritte 1.
Damit hast du das WLAN und das Gast-WLAN komplett auf Fritte2 und Ruhe ist, oder?
Mir fällt kein Grund ein, warum das nicht gehen sollte.
LG
Buc
- Gib der 2. Fritte eine feste IP aus dem Bereich der 1. Fritte. (192.168.178.254 beim Standardnetz)
- Schalte auf der 2. Fritte DHCP aus.
- Passe den DHCP Range auf der Fritte1 an.
- Konfiguriere KEINEN Internetzugang auf der 2. Fritte. (Auch keinen Client-Modus, gib ihr evtl. fehlerhafte Daten für DSL, was weiss ich, wichtig ist nur, dass sie KEIN Internet hat. Vergiss die WAN Buchse) Sie hat kein WAn, sie kennt kein WAN, sie braucht kein WAN. Alles Murks. Hier wird kein Routing gebraucht, denn Fritte 1 gibt ihre eigene IP als Standardgateway allen Clients mit.
- Verbinde Fritte 1 per Kabel an irgendeine LAN-Buchse der Fritte 2.
- Fritte2 arbeitet dann komplikationslos (quasi als Switch) im LAN und kann sowohl ein gebridgtes WLAN, als auch ein eigenständiges Gast-WLAN herstellen.
- Deaktiviere Gastnetz ("Netzwerkeinstellungen") und WLAN auf Fritte 1.
Damit hast du das WLAN und das Gast-WLAN komplett auf Fritte2 und Ruhe ist, oder?
Mir fällt kein Grund ein, warum das nicht gehen sollte.
LG
Buc
Der kommt dann direkt in das Gästezimmer und kriegt eine vollwertige Firewall, die jeden Zugriff auf das normale Heimnetz unterbindet.
Das klappt natürlich wie HIER beschrieben. Ein RasPi Zero reicht dafür völlig.Allerdings kann auch ein kleiner Router für popelige 20 Euro es noch einfacher machen mit einem GUI und erheblich mehr WLAN Features als eine einfache FB.
https://varia-store.com/de/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
https://varia-store.com/de/produkt/31901-mikrotik-routerboard-rb941-2nd- ...
Einfach mal eine Bierkiste weniger kaufen...
Hallo,
Eine Fritte hat sehr wohl einen eigenen DHCP Server, aber dieser kann tatsächlich nur für das LAN und nicht für ein GastNetz Konfiguriert werden. Man kann dort auch nichts Einstellen (alles ausgegraut)
Beispiel:
Gruß,
Peter
Eine Fritte hat sehr wohl einen eigenen DHCP Server, aber dieser kann tatsächlich nur für das LAN und nicht für ein GastNetz Konfiguriert werden. Man kann dort auch nichts Einstellen (alles ausgegraut)
Beispiel:
Gruß,
Peter
Hallo,
Na, jetzt werd aber nicht übermütig Was genau meinst du mit GBit WLAN? Wie viele Antennen hat dein Smartphone oder dein Fernseher oder dein Notenbuch. 2, 3, oder mehr Antennen und MiMo oder was?
Router ungleich Modem ungleich AP. Auch wenn alles in ein Gehäuse eingepackt ist.
Gruß,
Peter
Na, jetzt werd aber nicht übermütig Was genau meinst du mit GBit WLAN? Wie viele Antennen hat dein Smartphone oder dein Fernseher oder dein Notenbuch. 2, 3, oder mehr Antennen und MiMo oder was?
Modem-Funktion brauche ich ja nicht.
Ne, das hat ja schon dein FrittenRouter. Und du solltest mal den Unterschied zwischen ein Router, ein Modem und ein AP beachten. Da sind diese 3 Gerätschaften in ein Plastikgehhäuse untergebracht, wie z.B. in deine Fritte. Es gibt auch Fritten ohne eingebautes Modem, die 4040 als Beispiel. Andere Hersteller davon gibt es auch reichlich.Router ungleich Modem ungleich AP. Auch wenn alles in ein Gehäuse eingepackt ist.
Dazu jetzt die Frage, sind die Gastnetze bei diesen Routern per se unsicher?
Ein Router routet zware ein Gastnetz, hat aber mit seinen Aufbau nichts zu tun. Ein AP macht meist per 2ter BSSID und vLAN ein GastNetz auf. Ein Gastnetz ist ein getrenntes Netz und mit vLAN Spart man halt Hardware und Infrastruktur ein. vLAN ist nicht zwingend nötig für ein Gastnetz, aber wer will schon alles Doppelt haben., weshalb vLAN gern genommen wird.Kann man das bei anderen Herstellern besser konfigurieren?
Manche finden D-Link klasse, andere sthen auf Fritten und andere mögen nur Netgear. Alle haben diese Plastikkisten mit Modem, Router und AP und jeweils ein GUI. Bei Unify gibt es reine AP, auch MSSID fähig, mit vLAN und GBIT LAN Buchsen, POE 802.3af/at, und Gastnetz per Software - Linux, Windows, auch als VM, oder USB Stick - und falls gewünscht alles in der grossen Wolke. Und die gibt es auch für dein Budget von 150 EUR.Insofern wäre die 7260 im Serverraum nur noch ein Modem oder was schlagt ihr vor?
Wenn die das kann. AVM hat vor einigen Jahren diese Funktion in ihren Firwares gestrichen.Gruß,
Peter
Hallo,
Und somit ist dann kene Routing zwischen den Netzen möglch, ausser dein HP Switch kann das, dazu mal in den Technischen Daten schauen, weil auch bei HP gibt es eine Vielfalt an Unterschiedlichen Switchen und Funktion, von bis eben alles.
Gruß,
Peter
Und somit ist dann kene Routing zwischen den Netzen möglch, ausser dein HP Switch kann das, dazu mal in den Technischen Daten schauen, weil auch bei HP gibt es eine Vielfalt an Unterschiedlichen Switchen und Funktion, von bis eben alles.
Sind Gastnetze auf IP Basis (Subnetze) generell unsicher?
Je nach dem was die tun oder können oder ermöglichen sind die von Uúnsicher bis sicher. Es kommt halt drauf an. Bei einer Fritte können Gastnetze halt nur Web und Mail und können nicht auf dein LAN zugreifen. Und trotzdem gibt es Umgebungen wo dies ein Sicherheitsrisiko darstellt und ein Gastnetzt eben nicht bereitgestellt wird. Es kommt halt drauf an was...Ich würde gerne wissen, wie man die bei FritzBoxen umgehen kann, damit ich das Risiko einschätzen kann.
Es kommt drauf an wie und was und wo dein Gastnetz tut, bereitgestellt wird, genutzt werden kann, Zugriff usw. Schalte es auf deiner Fritte an und teste es doch einfach aus - Wireshark ist da dein Freund und auch eine Freitte kann Packet Capture. Es gibt aber FritzBoxen dennen der Ausgebende dies abgewöhnt hat - meistens KabelBoxen vom ISP.Selbst wenn ich den HP Switch für VLANs nutze, bleibt das Problem, dass meine Infrastruktur so ist, dass an einer Dose sowohl mein PC als auch der Gäste WLAN-Router hängen würden.
Und deshalb gibt es ja auch vLAN. Nutzung einer Infrastruktur für verschiedene getrennte NetzeASPs sind also so definiert, dass sie kein DHCP und kein Routing machen können? Sie erweitern nur das bestehende LAN, ggfs. mit mehreren SSIDs?
Ob ein AP DHCP kann ist sache des Funktionsumfang und die meisten können das, denn nicht jeder hat eine Infrastruktur wo schon ein oder mehrere DHCP werkeln oder genutzt werden können. Und warum soll/muss ein AP auch Routen können - das ist nur ein Medienwandler (Bridge) von LAN Kabel auf WLAN und der Funktionsumfang ist auch hier Herstellersache. Wie schon gesagt - es kommt drauf an was du tun willst.Gruß,
Peter
Hallo,
Was ist eine rDose?
Gruß,
Peter
Was ist eine rDose?
Soll das Gastnetz aufbauen,
Welches in deiner Fritte 1 gemacht wird?Das einzige, was erreichbar sein darf, sind Dienste, die aus dem Inet erreichbar sid, aber die sind eh immer erreichbar.
!?!An LAN 1 hängt hier ein Switch und dann Fritte 1. Auf LAN 1 hat sie also eine IP von Fritte 1
192.168.170.28 (LAN 1)
192.168.175.1 (ihre eigene IP)
Sie arbeitet also auch als DHCP Server
Also als Router und Internet per LAN1?192.168.170.28 (LAN 1)
192.168.175.1 (ihre eigene IP)
Sie arbeitet also auch als DHCP Server
Server 192.168.170.11
Hier laufen die ganzen schützenswerten Dienste, der Server hat eine eigene Firewall (UFW)
Was ist eine UFW bzw. welches Produkt und an welcher Fitte ist die angeklemmt bzw. an welchem Switch? Male uns das doch mal auf...Hier laufen die ganzen schützenswerten Dienste, der Server hat eine eigene Firewall (UFW)
Leider geht es noch nicht.
Geht was nicht?Irgendwas erlaubt den Hosts mit IP aus dem 175er Netz auf die Hosts im 170er Netz zuzugreifen. Vermutlich das NAT?
Ne, was soll NAT damit zu tun haben. Du hast eine normale Routerkaskade und alles aus dem 192.168.175.0/24 kann somit auf deine Gerätschaften im davorgeschalteten Netz 192.168.170.0/24 Netz. Ist so bei einer Kaskade. NAT ist daran nicht schuld.Dabei habe ich extra eine Firewall auf meinem Server, die das eben verhindern sollte
Dann ist die falsch eingerichtet (Bedenke deine Kaskade).Was mache ich hier falsch?
Dein Netzaufbau und / oder deine UFW (was immer das sein soll) sind falsch bzw. falsch konfiguriert.Gruß,
Peter
Hallo,
Sperre einfach in deiner UFW Zugriffe vom Quellnetz 192.168.175.0/24 auf jedem Gerät in dein 192.168.170.0/24 Netz oder setzte dort einen Router davor ein der das 192.168.175.0/24 nicht routen tut.
Gruß,
Peter
Zitat von @Bierkistenschlepper:
mancmal frage ich mich schon, warum du derartig pingelig bei Tippfehlern bist. Es ist eine normale Wanddose gemeint.
OK, manchmal ist es eben kein Schreibfehler oder so.mancmal frage ich mich schon, warum du derartig pingelig bei Tippfehlern bist. Es ist eine normale Wanddose gemeint.
UFW sollte dir als Netzwerker bekannt sein.
Das ubn diese verwendete abkürzung war mir noch nicht begegnet.Es handelt sich um eine Standard-Linux-Firewall
Nein, es ist eher ein zusatzprodukt. UFW - Uncomplicated Firewall.The Linux kernel in Ubuntu provides a packet filtering system called netfilter, and the traditional interface for manipulating netfilter are the iptables suite of commands. iptables provide a complete firewall solution that is both highly configurable and highly flexible.
Becoming proficient in iptables takes time, and getting started with netfilter firewalling using only iptables can be a daunting task. As a result, many frontends for iptables have been created over the years, each trying to achieve a different result and targeting a different audience.
The Uncomplicated Firewall (ufw) is a frontend for iptables and is particularly well-suited for host-based firewalls. ufw provides a framework for managing netfilter, as well as a command-line interface for manipulating the firewall. ufw aims to provide an easy to use interface for people unfamiliar with firewall concepts, while at the same time simplifies complicated iptables commands to help an adminstrator who knows what he or she is doing. ufw is an upstream for other distributions and graphical frontends.
Und die erlaubt eigentlich nur IPs auf dem 170er Netz auf die Dienste zuzugreifen.
Dann ist die falsch konfiguriert. Wenn dort keinerlei Zugriffe aus dein 192.168.170.0/24 erwünscht sind, warum lässt du die dann zu?Wenn du sagst, dass es kein NAT gibt, dann haben Pakete aus dem 175er Netz also auch im 170er Netz noch eine Quell-IP mit 175?
Nein, natürlich nicht. Aber sperre doch einfach die any any regel oder das Qellnetz 192.168.175.0/24. Nutze mal ein Wireshark um dir anzuschauen was an deiner UFW alles ankommt und was du nicht möchtest. Auch ein UFW ändert nichts an der Funktionsweise von IPTables, was in dein Linux eben enthalten und Standard ist.Dann stimmt wirklich mit der Firewall etwas nicht
Oder dessen Konfiguration Ich dachte, dass diese Adressen dann mit NAT umgesetzt werden.
Werden deine 192.168.175.0/24 ja auch, sonst würde es ja auch nicht gehen. Aber diese werden eben umgeschrieben in die 192.168.170.28/24 und diese IP ist ebene in dein Netz was die beiden Fritten verbindet. Das ist halt eine Router Kaskade oder für dich in Reihe geschaltete Router. Works as Designed.Dann hatte ich eine falsche Vorstellung von den Subnetzen. Ich dachte mit einer IP aus einem anderen Subnetz kann der Dienst garnicht gefunden werden.
Das stimmt auch, aber du willst ja eine Router Kaskade verwenden und da hilft auch kein NAT am ende um zu verhindern das keine Zugriffen vom hinteren LAN auf das vordere LAN (aus sicht (Richtung) vom Internet betrachtet). Wie sollte sonst eine AldiWebSeite auf deine Gerätschaften kommen wenn NAT nicht nur eine Network Address Translation macht und keine Zugriffe möglich wären.Sperre einfach in deiner UFW Zugriffe vom Quellnetz 192.168.175.0/24 auf jedem Gerät in dein 192.168.170.0/24 Netz oder setzte dort einen Router davor ein der das 192.168.175.0/24 nicht routen tut.
Gruß,
Peter
Den ganzen Nettzaufbau.
hinter der 7360 sollte das "offenen netz für gäste und nciht vertrauenswürdige Systeme sein.
Da hängst Du dann die 7390 dran, die Dein internes LAN vor diese DMZ abschirmt. Und wenn es sein muß, machst sie halt noch ein GAST-WLAN.
Die 4040 hängt dann halt noch im Clientmodus hinter der 7390.
So können die Gäste dann nciht aus dem gastnetz in dein Internes LAn, weil da die NAT-Fritte davor ist.
Das wäre das, wie ich es machen würde mit den gegeben Geräten.
Aber wenn ich es richtig machen woltle, würde ich hinter die 7360 einen Mikrotik oder eine pfsense hängen und gast und privatnetz damit machen.
ggf noch einen vlan-fähigen switch, um die Kabel bsser nutzen zu können.
lks
lks
Zitat von @Bierkistenschlepper:
Wenn man im Gastnetz einer normalen FritzBox ist, dann sieht man doch auch nicht Geräte im anderen Netzwerk? Also wird hier offenbar das Routing verhindert.
Wenn man im Gastnetz einer normalen FritzBox ist, dann sieht man doch auch nicht Geräte im anderen Netzwerk? Also wird hier offenbar das Routing verhindert.
Aber nur ins eigene Netz. Das "Heimnetz" ist für Deine 7390 "das Internet".
lks
Hallo,
Und wenn du dein Heimnetz (192.168.170.0/24) deiner 7360 durch eine weitere Fritte trennst, bleiben dir immr noch 4 Rouer in dein Design wobei du dann evtl. Probleme mit dein DNS und DHCP bekommen kannst...
PS:
Ja
Gruß,
Peter
Zitat von @Bierkistenschlepper:
Aha, das ist also mein Denkfehler. Das Gastnetz als Erweiterung des bestehenden Heimnetzes. Um richtig zu funktionieren müsste das Heimnetz eine Erweiterung des Gastnetzes sein.
Und das kann kein Gerät. Eine Fritte macht das schon richtig - das trennen eines LAN und eines Gastnetzes.Aha, das ist also mein Denkfehler. Das Gastnetz als Erweiterung des bestehenden Heimnetzes. Um richtig zu funktionieren müsste das Heimnetz eine Erweiterung des Gastnetzes sein.
Ich dachte eben, man kann der Fritte abgewöhnen, die IP-Pakete ins Heimnetz zu routen
Eine Fritte kann jein Gastnetz ins Heimnetz oder umgekehrt Touten oder sonstwie Verbinden. Beide können nur das Internet gemeinsam nutzen und so gesehen tut es auch dein 2ntes Netz 192.168.175.0/24 welches das gemeinsame Internet - eben dein 192.168.170.0/24 an dessen Internt Port (LAN 1) deiner Fritte 3 nutzt. Weil nur darüber eben du Internet für dein 192.168.175.0/24 bekommen kannst.Aber das geht vermutlich nur mit einer "richtigen" Firewall, ergo ein eigenes Gerät.
Deine Fritte kann soetwas nicht da diese für ein Heimszenario gedacht ist und dein Wunsch ist eben mehr als jedes Heimszenario darstellt. Ausserdem braucht dieses Gerät dann noch eine weitere LAN Schnittstelle mit eigenen IP Kreis. Dein Aufbau kann niemals das tun was du erwartest. Dein Design ist fehlerhaft oder du brauchst noch weitere Gerätschaften wie einen reine Ethernet RouterWenn man im Gastnetz einer normalen FritzBox ist, dann sieht man doch auch nicht Geräte im anderen Netzwerk?
Weil das in der Software bzw. deren Konfiguration nicht vogesehen ist. Alles eine Frage was die CPU leisten soll, wieviel RAM, welchen Stromverbrauch und schließlich was das alles Kosten soll. Die Fritte ist für den Massenmarkt im Heimbereich gedacht - und das kann die ja.Also wird hier offenbar das Routing verhindert.
Kann man so bei einer Fritte sagen, und seitdem es immer schwieriger wird dort Einstellungen vorzunehmen welche nicht über der GUI gemacht werden können bzw sollen - ist es so. Entweder baut jeder das Auto was ihm vorschwebt oder er kauft ein fertiges von einen Auto Hersteller. Oder er schaut sich mal bei Freetz um oder DD-WRT oder FLI4L bzw. EisFair oder OpenWRT oder oder um und baut selbst was. https://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions. Auch ein Windows kann genutzt werden soie ein Linux oder Raspberry - muss halt nur entsprechende Schnittstellen haben.Und wenn du dein Heimnetz (192.168.170.0/24) deiner 7360 durch eine weitere Fritte trennst, bleiben dir immr noch 4 Rouer in dein Design wobei du dann evtl. Probleme mit dein DNS und DHCP bekommen kannst...
PS:
Aha, das ist also mein DenkDesignfehler
Gruß,
Peter