ybbln
Goto Top

Heimnetz, verschiedene Ebenen, zwei Router

Zwei Netze, eines, in dem die Eltern unbeschränkten Internetzugriff haben, das Zweite für gesteuerten Zugriff der Kiddies

Hallo Gemeinde,
zu meinem funktionierenden 0815-Netzwerk ist eine für den Hausgebrauch nicht ganz alltägliche Erweiterung hinzugekommen.
Von meinem Büro aus, in dem meine PCs stehen geht es über eine 2-Drahtverbindung mittels Ethernetmodem in die erste Etage zu den Kiddies.
Vier Jungs und schon nach den ersten Tagen zeigte sich der Erfindungsreichtum gegen "schnell eingerichtete Kinderschutzmaßnahmen".
Also habe ich aufgerüstet. Die Gruppenrichtlinien sind strikt, der Internetzugriff gesteuert über ein Proxy-Konfigurationsscript, Sicherheitsberechtigungen angepasst, Änderungen z.B. der Proxyeinstellungen unterbunden u.s.w.

Das Netzwerk der Kiddies hängt hinter dem zweiten Router in einem eigenen Netz. Die Kiddies sind auf der WAN-Seite angeschlossen, also die "bösen Kinder" auf der "bösen Internetseite" des Routers face-wink

Bilder sagen mehr als tausend Worte, also meine Netzwerkkonfiguration mal hier dargestellt:

          _______        _____________        __________        _______________
 /\       |     |        | Router1   |        | 4-Port |--CAT5--| n Eltern PCs |
<WAN>-----| DSL |--CAT5--|<-WAN IP   |        | Switch |--      ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
 \/       |Modem|        |   LAN IP->|--CAT5--|(im Rou-|--
          |  1  |        |192.168.1.1|        | ter)   |-----|
          ¯¯¯¯¯¯¯        ¯¯¯¯¯¯¯¯¯¯¯¯¯        ¯¯¯¯¯¯¯¯¯¯     |
 _______________        _______           ___________        |
 |      Router2|        | DSL |           | Ethernet|        |
 |     LAN IP->|--CAT5--|Modem|--2-Draht--|  Modem  |--CAT5--|
 |  192.168.1.2|        |  2  |           | "DSLAM" |  
 |             |        ¯¯¯¯¯¯¯           ¯¯¯¯¯¯¯¯¯¯¯
 |             |        __________        ________________
 |    "WAN" IP |--CAT5--| 4-Port |--CAT5--| n Kinder PCs |  
 |192.168.0.113|        | Switch |--      ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
 ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯        |(im Rou-|--
                        | ter)   |--
                        ¯¯¯¯¯¯¯¯¯¯

Mir schien die Möglichkeit, den Router2 "rückwärts" im Netz der Kiddies reinzusetzen von daher vorteilhaft, da ich durch die Kiddies weniger in meinem Netz zu befürchten hätte.
Um die über das Proxykonfigurationsscript erlaubten Seiten rückwärts durch den Router2 zu bekommen, habe ich Port 80 und 53 für http und DNS-lookup im Router2 geöffnet.
Statische Routen habe ich im Router1 und im Eltern-PC gleichermaßen auf das 192.168.0.0-Netz über die 192.168.1.2 .
Pings gehen von den Kiddies schon auf beide Seiten des Routers2, auf den Eltern-PC und auf die LAN-Seite von Router1.
Allerdings verringert sich die TTL von der 192.168.1.2 mit 255 auf 63 (!), wenn ich die 192.168.1.1 anpinge.
DNS wird aufgelöst, jedoch führt ein Ping auf z.B. www.l.google.com nur zur Auflösung des Namens in IP-Adresse, der Ping an sich führt zur Zeitüberschreitung.
Vorübergehend habe ich bei Router2 die Konfiguration über´s Web-Interface auch von der WAN-Seite aus gestattet (Kiddies-Seite), komme auch vom Kiddies-PC aus rauf, gebe ich die LAN-IP des Routers2 ein, funktioniert es von der WAN-Seite aus nicht - Trotz geöffnetem Port 80.
Vom Eltern-PC aus komme ich von beiden Seiten des Routers aus auf´s Web-Interface.

Um mal zu sehen. was denn nun passiert, woran es hängt, habe ich schnell einen Mini-Webserver auf dem Eltern-PC gestartet, auf beiden PCs Wireshark gestartet und mir den Datenverkehr angeguckt, wenn ich versuche, vom Kiddies-PC aus auf die Webseite des Eltern-PCs aus zuzugreifen.

Folgende "Unterhaltung" ist dabei aufgezeichnet worden:

Kiddies-PC: ARP Request nach der Router MAC
Router2: ARP Response mit IP 192.168.0.113
Kiddies PC: TCP Anfrage von 192.168.0.110 Port 2238 an 192.168.0.51 Port 80 (die IP des Eltern-PCs wurde im Browser direkt eingegeben)
Eltern PC: Empfang der TCP-Anfrage von 192.168.0.110 Port 2238 mit der MAC des Routers2 LAN-Seite an 192.168.1.51 Port 80, MAC des Eltern PC´s. Soweit alles klar.
Eltern PC: ARP Request nach 192.168.1.2, da das 192.168.0.0er-Netz über diese IP als statische Route dem Eltern-PC bekannt ist.
Eltern PC: Der selbe ARP-Request nochmal
Router2: Arp Response mit der LAN-MAC des Router2.
Eltern-PC: TCP-Paket von 192.168.1.51 Port 80 an 192.168.0.110 Port 2238. Soweit alles normal.
Kiddies-PC: Nix kommt an, obwohl der Port 2238 als Response genutzt wurde, wie es sich gehört. ES wird die selbe Anfrage, wie in der 3. Zeile nochmal losgeschickt, danach fange ich noch zufällig einen SMB-Mailslot ab und das war´s. Auf dem Eltern-PC auch nix weiter. Ein ARP-Request, bei dem sich die Router kennenlernen und dann habe ich auch dort die Aufzeichnung beendet.

Ich sehe zwei maßgebliche Probleme:
- Router2 lässt von der "WAN-Seite" zur "LAN-Seite" nichts zurück. Ich denke, an die Routing Tabelle des Routers2 komme ich nicht heran.
- Der Ping an eine aufgelöste Addresse im Internet vom Kiddies-PC aus bekommt keine Antwort. Da habe ich die drastisch herabgesetzte TTL, wenn es auf Router1 geht in Verdacht.

Router2 hat keine statischen Routen.

Hat jemand eine Idee?

Schönen Abend noch.
Björn

Content-ID: 169185

Url: https://administrator.de/contentid/169185

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

dog
dog 05.07.2011 um 22:47:24 Uhr
Goto Top
Also habe ich aufgerüstet. Die Gruppenrichtlinien sind strikt, der Internetzugriff gesteuert über ein Proxy-Konfigurationsscript, Sicherheitsberechtigungen angepasst, Änderungen z.B. der Proxyeinstellungen unterbunden u.s.w.

Hilft alles nix...

Die Kiddies sind auf der WAN-Seite angeschlossen

Dein Aufbau kann auch nicht klappen, wenn du einen Router mit "WAN"-/"LAN"-Methodik benutzt.
Was du willst ist viel eher:
448e77be81928e8267904605b367b211

Das geht auch anstatt mit 3 mit einem Gerät, wenn man einen guten Router nimmt und sich entsprechend damit befasst.
ybBln
ybBln 05.07.2011 um 22:58:19 Uhr
Goto Top
Ich hatte diese Variante gewählt, um sehr einfach vom Eltern-Netz auf das der Kinder zugreifen zu können. Netzlaufwerke, VNC usw. läuft in diese Richtung bereits unproblematisch. Der Zugriff vom Netz der Kinder auf das Internet ist doch letztlich in der Router2-Konfiguration über die Ports nichts anderes, als ein Webserver im LAN, den ich ich´s Internet stelle. Aber der Zugriff auf den Webserver im Elternnetz hängt bereits und wenigstens das sollte möglich sein.
Und warum die TTL unterwegs so drastisch runter geht, kann dann immernoch geklärt werden.
Zitat von @dog:
Hilft alles nix...

...aber es gibt mir ein Weile Luft face-wink
aqui
aqui 06.07.2011, aktualisiert am 18.10.2012 um 18:47:28 Uhr
Goto Top
Erstmal Chapeau für die vorbildliche Beschreibung und Schilderung des Troubleshooting. Sowas hat man ja nicht alle Tage hier und lässt den möglichen Fehler eigentlich klar erkennen.
2 grundlegende Fehler wären noch anzumerken: Du schreibst der Router 2 hätte keinerlei statische Routen. Das ist aber fatal, denn damit kann er nicht ins Internet routen. Er müsste mindestens eine default Route auf den Router-1 haben (192.168.1.1) um Pakete ins Internet weiterleiten zu können. Da scheitert also schon dein Ping in die große weite Welt. Warum es 2mal scheitert später....
Der 2te Punkt ist die statische Route auf dem Eltern PC. Eigentlich sind Routen auf Endgeräten kontraproduktiv und gehören da nicht hin, denn...routen sollen immer die Router im Netz niemals Endgeräte und da (auf die Router) gehören die Routen dann auch hin !
Die statische Route ins Kindernetz sollte also besser auf den Router-1 und nicht auf den Eltern PC. Es ist aber möglich das dein Router-1 ein absoluter Billigrouter ist der keine statischen Routen supportet. Leider teilst du uns nix zu den Modellen mit (der einzige kleine Fauxpas.. face-wink )
Ein paar Worte zu den möglichen Ursachen des Scheiterns:
Erstmal das Thema Ping ins Internet von der "Kinderseite". Dazu müsstest du auch ICMP im Port Forwarding haben (ICMP Echo = Ping) um die NAT Firewall an der WAN Seite des Routers-2 mit Ping/ICMP überwinden zu können.
Vermutlich hast du das nicht eingetragen, also kann nur das DNS (Port 53) passieren was man ja auch an der erfolgreichen Namensauflösung sehen kann, das ICMP (Ping) scheitert dann aber an der Firewall weil das Port Forwarding fehlt !
Die 2te Frage die sich stellt ist warum der Router-2 das Paket vom Eltern PC nicht auf das Kindersegment forwardet. Normalerweise müsste er das machen und hier stolperst du vermutlich über einen Bug in dessen schlampiger Firmware.
Leider hast du aber hier vermutlich keine Möglichkeiten das weiter troublezushooten wenn dies ein geschlossenes System ist ohne eine offene Firmware die das zulässt. Vermutlich liegt der Grund in einer für den Router vermeintlich inkonsistenten NAT Session Table, was aber nur geraten ist.
Besser wäre hier in jedem Falle ein offenes System mit z.B. DD-WRT Firmware (Linksys WRT54, D-Link DIR-300) um das weiter analysieren zu können (vermutlich würde mit DD-WRT aber das Problem gar nicht erst auftauchen....)
Generelle Betrachtung:
Das Szenario krankt daran das das WAN Interface auf der aktiven Netzwerk Seite ist wie dog es auch schon ausgemacht hat. Du musst hier alles per Port Forwarding erlauben oder steuern, was generell ein erhebliches Hinderniss ist, gerade im Fehlerfalle. Wenn man sowas macht, sollte man immer sehen hier ein System mit einer offenen Firmware wie z.B. DD-WRT einzusetzen. Hier hat man erheblich bessere Möglichkeiten der Fehlersuche und der Systemkonfiguration. So kann man solche Fehler wie den obigen bei dir sicher vermeiden. Bei einem Billigrouter ohne diese Option entfallen alle diese Möglichkeiten dieses Finetunings weil generell der erweiterte Zugriff auf das System fehlt.
Weiterhin kranken solche #comment-toc2 Router_Kaskadierungs_Szenarien oder "DMZ des kleinen Mannes" wie sie auch genannt werden generell immer daran das Traffic durch ein sicheres Netz geleitet werden muss. Bei dir ist das auch der Fall. Der "Kindertraffic" landet immer im Büronetz. Keine besonders elegante Lösung wenn man schon so einen Aufwand treibt wie du um die Netze zu sichern.
Wie kann man es besser machen ?
Kollege dog hat ja schon eine mögliche Lösung skizziert oben. Mehr oder weniger eine kleine "Routerschlacht" aber damit wäre es machbar. Nachteil für dich das du jetzt 3 Geräte betreuen musst um Änderungen usw. vorzunehmen oder das Netz zu cutomizen.
Ggf. wäre eine zentralisierte Lösung mit einer kleinen und preiswerten Firewall wie sie hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
beschrieben ist, etwas eleganter.
Damit hat jedes Netzwerk ein eigenes Interface und der Traffic wird zentral gesteuert zwischen den Netzen und auch ins Internet und das mit relativ mächtigen Zugangsfiltern die einfach ber Web Interface und Mausklick zu steuern sind. (Natürlich nur aus dem Elternnetz !) So können die Kinder ggf. auch später einmal ihre Fotos auf Daddy's NAS ablegen wenn sie älter werden und du die Firewall dafür öffnest.
Dein Netzwerk damit könnte dann so aussehen:

54b13ed8fc3b600dfe4a81ddcc473dca

Letztendlich durch die zentrale Administration eine bessere Lösung als verteilte Router. Alternativ kann man statt einer Monowall auch z.B. einen preiswerten Mikrotik_Router mit Firewall Funktion nehmen wie z.B. den 750 oder 750G wie ihn dog beschreibt.
Das wäre das gleiche in Grün nur geringfügig preiswerter in der Realisation. Er erfordert aber etwas bessere Netzwerk Kenntnisse, da er nicht ganz so einfach zu konfigurieren ist. Nach deiner o.a. Threadbearbeitung zu urteilen aber für dich sicher auch kein Thema... face-wink
Such dir also den schönsten dieser Vorschläge aus....
brammer
brammer 06.07.2011 um 08:28:47 Uhr
Goto Top
Hallo,

so eine Material Schlacht!

Einen Router der Switchseitig mit VLAN'S umgehen kann und sowohl die Zugangsregeln Richtung Internet und Richtung Elternnetz sind erschlagen.
als Router eine Cisco 881 oder ähnlich und Ruhe ist.
Dann kann man bei Bedarf immer noch einen weiteren Switch dranhängen und habe das Netz somit Skalierbar.

brammer
aqui
aqui 06.07.2011 um 13:25:25 Uhr
Goto Top
Geht ja mit der Monowall oder Mikrotik auch face-wink Es gibt halt viele Wege nach Rom...
ybBln
ybBln 08.07.2011 um 14:21:17 Uhr
Goto Top
Erstmal vielen Dank für die Hilfe, insbesondere Aqui,
ich sehe, es ist, wenn es vernünftig gemacht ist, nicht "mal eben" fertig zu bekommen. Da es aber zeitlich grade gut drin ist, lohnt es sich, mein Netz so zu konfigurieren, dass es zukünftig so belassen werden kann.
Ich werde berichten, wie ich es gelöst habe, wenn das Netz steht.
Gruß - Björn
aqui
aqui 11.07.2011 um 22:21:25 Uhr
Goto Top
Wir sind dann mal alle gespannt auf die Lösung die da kommen soll.... face-wink
ybBln
ybBln 12.07.2011 um 01:17:21 Uhr
Goto Top
Ist am entstehen.
Erstmal jage ich einer günstigen Firewall, die was taugt, in der Bucht nach.
Gruß - Björn
aqui
aqui 12.07.2011, aktualisiert am 18.10.2012 um 18:47:31 Uhr
Goto Top
Geld sparen und selber stricken:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Schafft auch ein kompletter Laie mit linken Händen in 30 Minuten.....sofern er weiss was ein Schraubendreher ist !
Wenn nicht, fertig zusammengeschraubt kaufen...geht auch. Infos im Tutorial.
Ansonsten nimmst du den Mikrotik_750. Was besseres und preiswerteres als diesen 32 Euro Router/Firewall findest du mit Sicherheit nicht !