Heimnetz, verschiedene Ebenen, zwei Router
Zwei Netze, eines, in dem die Eltern unbeschränkten Internetzugriff haben, das Zweite für gesteuerten Zugriff der Kiddies
Hallo Gemeinde,
zu meinem funktionierenden 0815-Netzwerk ist eine für den Hausgebrauch nicht ganz alltägliche Erweiterung hinzugekommen.
Von meinem Büro aus, in dem meine PCs stehen geht es über eine 2-Drahtverbindung mittels Ethernetmodem in die erste Etage zu den Kiddies.
Vier Jungs und schon nach den ersten Tagen zeigte sich der Erfindungsreichtum gegen "schnell eingerichtete Kinderschutzmaßnahmen".
Also habe ich aufgerüstet. Die Gruppenrichtlinien sind strikt, der Internetzugriff gesteuert über ein Proxy-Konfigurationsscript, Sicherheitsberechtigungen angepasst, Änderungen z.B. der Proxyeinstellungen unterbunden u.s.w.
Das Netzwerk der Kiddies hängt hinter dem zweiten Router in einem eigenen Netz. Die Kiddies sind auf der WAN-Seite angeschlossen, also die "bösen Kinder" auf der "bösen Internetseite" des Routers
Bilder sagen mehr als tausend Worte, also meine Netzwerkkonfiguration mal hier dargestellt:
Mir schien die Möglichkeit, den Router2 "rückwärts" im Netz der Kiddies reinzusetzen von daher vorteilhaft, da ich durch die Kiddies weniger in meinem Netz zu befürchten hätte.
Um die über das Proxykonfigurationsscript erlaubten Seiten rückwärts durch den Router2 zu bekommen, habe ich Port 80 und 53 für http und DNS-lookup im Router2 geöffnet.
Statische Routen habe ich im Router1 und im Eltern-PC gleichermaßen auf das 192.168.0.0-Netz über die 192.168.1.2 .
Pings gehen von den Kiddies schon auf beide Seiten des Routers2, auf den Eltern-PC und auf die LAN-Seite von Router1.
Allerdings verringert sich die TTL von der 192.168.1.2 mit 255 auf 63 (!), wenn ich die 192.168.1.1 anpinge.
DNS wird aufgelöst, jedoch führt ein Ping auf z.B. www.l.google.com nur zur Auflösung des Namens in IP-Adresse, der Ping an sich führt zur Zeitüberschreitung.
Vorübergehend habe ich bei Router2 die Konfiguration über´s Web-Interface auch von der WAN-Seite aus gestattet (Kiddies-Seite), komme auch vom Kiddies-PC aus rauf, gebe ich die LAN-IP des Routers2 ein, funktioniert es von der WAN-Seite aus nicht - Trotz geöffnetem Port 80.
Vom Eltern-PC aus komme ich von beiden Seiten des Routers aus auf´s Web-Interface.
Um mal zu sehen. was denn nun passiert, woran es hängt, habe ich schnell einen Mini-Webserver auf dem Eltern-PC gestartet, auf beiden PCs Wireshark gestartet und mir den Datenverkehr angeguckt, wenn ich versuche, vom Kiddies-PC aus auf die Webseite des Eltern-PCs aus zuzugreifen.
Folgende "Unterhaltung" ist dabei aufgezeichnet worden:
Kiddies-PC: ARP Request nach der Router MAC
Router2: ARP Response mit IP 192.168.0.113
Kiddies PC: TCP Anfrage von 192.168.0.110 Port 2238 an 192.168.0.51 Port 80 (die IP des Eltern-PCs wurde im Browser direkt eingegeben)
Eltern PC: Empfang der TCP-Anfrage von 192.168.0.110 Port 2238 mit der MAC des Routers2 LAN-Seite an 192.168.1.51 Port 80, MAC des Eltern PC´s. Soweit alles klar.
Eltern PC: ARP Request nach 192.168.1.2, da das 192.168.0.0er-Netz über diese IP als statische Route dem Eltern-PC bekannt ist.
Eltern PC: Der selbe ARP-Request nochmal
Router2: Arp Response mit der LAN-MAC des Router2.
Eltern-PC: TCP-Paket von 192.168.1.51 Port 80 an 192.168.0.110 Port 2238. Soweit alles normal.
Kiddies-PC: Nix kommt an, obwohl der Port 2238 als Response genutzt wurde, wie es sich gehört. ES wird die selbe Anfrage, wie in der 3. Zeile nochmal losgeschickt, danach fange ich noch zufällig einen SMB-Mailslot ab und das war´s. Auf dem Eltern-PC auch nix weiter. Ein ARP-Request, bei dem sich die Router kennenlernen und dann habe ich auch dort die Aufzeichnung beendet.
Ich sehe zwei maßgebliche Probleme:
- Router2 lässt von der "WAN-Seite" zur "LAN-Seite" nichts zurück. Ich denke, an die Routing Tabelle des Routers2 komme ich nicht heran.
- Der Ping an eine aufgelöste Addresse im Internet vom Kiddies-PC aus bekommt keine Antwort. Da habe ich die drastisch herabgesetzte TTL, wenn es auf Router1 geht in Verdacht.
Router2 hat keine statischen Routen.
Hat jemand eine Idee?
Schönen Abend noch.
Björn
Hallo Gemeinde,
zu meinem funktionierenden 0815-Netzwerk ist eine für den Hausgebrauch nicht ganz alltägliche Erweiterung hinzugekommen.
Von meinem Büro aus, in dem meine PCs stehen geht es über eine 2-Drahtverbindung mittels Ethernetmodem in die erste Etage zu den Kiddies.
Vier Jungs und schon nach den ersten Tagen zeigte sich der Erfindungsreichtum gegen "schnell eingerichtete Kinderschutzmaßnahmen".
Also habe ich aufgerüstet. Die Gruppenrichtlinien sind strikt, der Internetzugriff gesteuert über ein Proxy-Konfigurationsscript, Sicherheitsberechtigungen angepasst, Änderungen z.B. der Proxyeinstellungen unterbunden u.s.w.
Das Netzwerk der Kiddies hängt hinter dem zweiten Router in einem eigenen Netz. Die Kiddies sind auf der WAN-Seite angeschlossen, also die "bösen Kinder" auf der "bösen Internetseite" des Routers
Bilder sagen mehr als tausend Worte, also meine Netzwerkkonfiguration mal hier dargestellt:
_______ _____________ __________ _______________
/\ | | | Router1 | | 4-Port |--CAT5--| n Eltern PCs |
<WAN>-----| DSL |--CAT5--|<-WAN IP | | Switch |-- ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
\/ |Modem| | LAN IP->|--CAT5--|(im Rou-|--
| 1 | |192.168.1.1| | ter) |-----|
¯¯¯¯¯¯¯ ¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯¯¯¯¯¯¯¯¯¯ |
_______________ _______ ___________ |
| Router2| | DSL | | Ethernet| |
| LAN IP->|--CAT5--|Modem|--2-Draht--| Modem |--CAT5--|
| 192.168.1.2| | 2 | | "DSLAM" |
| | ¯¯¯¯¯¯¯ ¯¯¯¯¯¯¯¯¯¯¯
| | __________ ________________
| "WAN" IP |--CAT5--| 4-Port |--CAT5--| n Kinder PCs |
|192.168.0.113| | Switch |-- ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ |(im Rou-|--
| ter) |--
¯¯¯¯¯¯¯¯¯¯
Mir schien die Möglichkeit, den Router2 "rückwärts" im Netz der Kiddies reinzusetzen von daher vorteilhaft, da ich durch die Kiddies weniger in meinem Netz zu befürchten hätte.
Um die über das Proxykonfigurationsscript erlaubten Seiten rückwärts durch den Router2 zu bekommen, habe ich Port 80 und 53 für http und DNS-lookup im Router2 geöffnet.
Statische Routen habe ich im Router1 und im Eltern-PC gleichermaßen auf das 192.168.0.0-Netz über die 192.168.1.2 .
Pings gehen von den Kiddies schon auf beide Seiten des Routers2, auf den Eltern-PC und auf die LAN-Seite von Router1.
Allerdings verringert sich die TTL von der 192.168.1.2 mit 255 auf 63 (!), wenn ich die 192.168.1.1 anpinge.
DNS wird aufgelöst, jedoch führt ein Ping auf z.B. www.l.google.com nur zur Auflösung des Namens in IP-Adresse, der Ping an sich führt zur Zeitüberschreitung.
Vorübergehend habe ich bei Router2 die Konfiguration über´s Web-Interface auch von der WAN-Seite aus gestattet (Kiddies-Seite), komme auch vom Kiddies-PC aus rauf, gebe ich die LAN-IP des Routers2 ein, funktioniert es von der WAN-Seite aus nicht - Trotz geöffnetem Port 80.
Vom Eltern-PC aus komme ich von beiden Seiten des Routers aus auf´s Web-Interface.
Um mal zu sehen. was denn nun passiert, woran es hängt, habe ich schnell einen Mini-Webserver auf dem Eltern-PC gestartet, auf beiden PCs Wireshark gestartet und mir den Datenverkehr angeguckt, wenn ich versuche, vom Kiddies-PC aus auf die Webseite des Eltern-PCs aus zuzugreifen.
Folgende "Unterhaltung" ist dabei aufgezeichnet worden:
Kiddies-PC: ARP Request nach der Router MAC
Router2: ARP Response mit IP 192.168.0.113
Kiddies PC: TCP Anfrage von 192.168.0.110 Port 2238 an 192.168.0.51 Port 80 (die IP des Eltern-PCs wurde im Browser direkt eingegeben)
Eltern PC: Empfang der TCP-Anfrage von 192.168.0.110 Port 2238 mit der MAC des Routers2 LAN-Seite an 192.168.1.51 Port 80, MAC des Eltern PC´s. Soweit alles klar.
Eltern PC: ARP Request nach 192.168.1.2, da das 192.168.0.0er-Netz über diese IP als statische Route dem Eltern-PC bekannt ist.
Eltern PC: Der selbe ARP-Request nochmal
Router2: Arp Response mit der LAN-MAC des Router2.
Eltern-PC: TCP-Paket von 192.168.1.51 Port 80 an 192.168.0.110 Port 2238. Soweit alles normal.
Kiddies-PC: Nix kommt an, obwohl der Port 2238 als Response genutzt wurde, wie es sich gehört. ES wird die selbe Anfrage, wie in der 3. Zeile nochmal losgeschickt, danach fange ich noch zufällig einen SMB-Mailslot ab und das war´s. Auf dem Eltern-PC auch nix weiter. Ein ARP-Request, bei dem sich die Router kennenlernen und dann habe ich auch dort die Aufzeichnung beendet.
Ich sehe zwei maßgebliche Probleme:
- Router2 lässt von der "WAN-Seite" zur "LAN-Seite" nichts zurück. Ich denke, an die Routing Tabelle des Routers2 komme ich nicht heran.
- Der Ping an eine aufgelöste Addresse im Internet vom Kiddies-PC aus bekommt keine Antwort. Da habe ich die drastisch herabgesetzte TTL, wenn es auf Router1 geht in Verdacht.
Router2 hat keine statischen Routen.
Hat jemand eine Idee?
Schönen Abend noch.
Björn
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169185
Url: https://administrator.de/contentid/169185
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
9 Kommentare
Neuester Kommentar
Also habe ich aufgerüstet. Die Gruppenrichtlinien sind strikt, der Internetzugriff gesteuert über ein Proxy-Konfigurationsscript, Sicherheitsberechtigungen angepasst, Änderungen z.B. der Proxyeinstellungen unterbunden u.s.w.
Hilft alles nix...
Die Kiddies sind auf der WAN-Seite angeschlossen
Dein Aufbau kann auch nicht klappen, wenn du einen Router mit "WAN"-/"LAN"-Methodik benutzt.
Was du willst ist viel eher:
Das geht auch anstatt mit 3 mit einem Gerät, wenn man einen guten Router nimmt und sich entsprechend damit befasst.
Erstmal Chapeau für die vorbildliche Beschreibung und Schilderung des Troubleshooting. Sowas hat man ja nicht alle Tage hier und lässt den möglichen Fehler eigentlich klar erkennen.
2 grundlegende Fehler wären noch anzumerken: Du schreibst der Router 2 hätte keinerlei statische Routen. Das ist aber fatal, denn damit kann er nicht ins Internet routen. Er müsste mindestens eine default Route auf den Router-1 haben (192.168.1.1) um Pakete ins Internet weiterleiten zu können. Da scheitert also schon dein Ping in die große weite Welt. Warum es 2mal scheitert später....
Der 2te Punkt ist die statische Route auf dem Eltern PC. Eigentlich sind Routen auf Endgeräten kontraproduktiv und gehören da nicht hin, denn...routen sollen immer die Router im Netz niemals Endgeräte und da (auf die Router) gehören die Routen dann auch hin !
Die statische Route ins Kindernetz sollte also besser auf den Router-1 und nicht auf den Eltern PC. Es ist aber möglich das dein Router-1 ein absoluter Billigrouter ist der keine statischen Routen supportet. Leider teilst du uns nix zu den Modellen mit (der einzige kleine Fauxpas.. )
Ein paar Worte zu den möglichen Ursachen des Scheiterns:
Erstmal das Thema Ping ins Internet von der "Kinderseite". Dazu müsstest du auch ICMP im Port Forwarding haben (ICMP Echo = Ping) um die NAT Firewall an der WAN Seite des Routers-2 mit Ping/ICMP überwinden zu können.
Vermutlich hast du das nicht eingetragen, also kann nur das DNS (Port 53) passieren was man ja auch an der erfolgreichen Namensauflösung sehen kann, das ICMP (Ping) scheitert dann aber an der Firewall weil das Port Forwarding fehlt !
Die 2te Frage die sich stellt ist warum der Router-2 das Paket vom Eltern PC nicht auf das Kindersegment forwardet. Normalerweise müsste er das machen und hier stolperst du vermutlich über einen Bug in dessen schlampiger Firmware.
Leider hast du aber hier vermutlich keine Möglichkeiten das weiter troublezushooten wenn dies ein geschlossenes System ist ohne eine offene Firmware die das zulässt. Vermutlich liegt der Grund in einer für den Router vermeintlich inkonsistenten NAT Session Table, was aber nur geraten ist.
Besser wäre hier in jedem Falle ein offenes System mit z.B. DD-WRT Firmware (Linksys WRT54, D-Link DIR-300) um das weiter analysieren zu können (vermutlich würde mit DD-WRT aber das Problem gar nicht erst auftauchen....)
Generelle Betrachtung:
Das Szenario krankt daran das das WAN Interface auf der aktiven Netzwerk Seite ist wie dog es auch schon ausgemacht hat. Du musst hier alles per Port Forwarding erlauben oder steuern, was generell ein erhebliches Hinderniss ist, gerade im Fehlerfalle. Wenn man sowas macht, sollte man immer sehen hier ein System mit einer offenen Firmware wie z.B. DD-WRT einzusetzen. Hier hat man erheblich bessere Möglichkeiten der Fehlersuche und der Systemkonfiguration. So kann man solche Fehler wie den obigen bei dir sicher vermeiden. Bei einem Billigrouter ohne diese Option entfallen alle diese Möglichkeiten dieses Finetunings weil generell der erweiterte Zugriff auf das System fehlt.
Weiterhin kranken solche #comment-toc2 Router_Kaskadierungs_Szenarien oder "DMZ des kleinen Mannes" wie sie auch genannt werden generell immer daran das Traffic durch ein sicheres Netz geleitet werden muss. Bei dir ist das auch der Fall. Der "Kindertraffic" landet immer im Büronetz. Keine besonders elegante Lösung wenn man schon so einen Aufwand treibt wie du um die Netze zu sichern.
Wie kann man es besser machen ?
Kollege dog hat ja schon eine mögliche Lösung skizziert oben. Mehr oder weniger eine kleine "Routerschlacht" aber damit wäre es machbar. Nachteil für dich das du jetzt 3 Geräte betreuen musst um Änderungen usw. vorzunehmen oder das Netz zu cutomizen.
Ggf. wäre eine zentralisierte Lösung mit einer kleinen und preiswerten Firewall wie sie hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
beschrieben ist, etwas eleganter.
Damit hat jedes Netzwerk ein eigenes Interface und der Traffic wird zentral gesteuert zwischen den Netzen und auch ins Internet und das mit relativ mächtigen Zugangsfiltern die einfach ber Web Interface und Mausklick zu steuern sind. (Natürlich nur aus dem Elternnetz !) So können die Kinder ggf. auch später einmal ihre Fotos auf Daddy's NAS ablegen wenn sie älter werden und du die Firewall dafür öffnest.
Dein Netzwerk damit könnte dann so aussehen:
Letztendlich durch die zentrale Administration eine bessere Lösung als verteilte Router. Alternativ kann man statt einer Monowall auch z.B. einen preiswerten Mikrotik_Router mit Firewall Funktion nehmen wie z.B. den 750 oder 750G wie ihn dog beschreibt.
Das wäre das gleiche in Grün nur geringfügig preiswerter in der Realisation. Er erfordert aber etwas bessere Netzwerk Kenntnisse, da er nicht ganz so einfach zu konfigurieren ist. Nach deiner o.a. Threadbearbeitung zu urteilen aber für dich sicher auch kein Thema...
Such dir also den schönsten dieser Vorschläge aus....
2 grundlegende Fehler wären noch anzumerken: Du schreibst der Router 2 hätte keinerlei statische Routen. Das ist aber fatal, denn damit kann er nicht ins Internet routen. Er müsste mindestens eine default Route auf den Router-1 haben (192.168.1.1) um Pakete ins Internet weiterleiten zu können. Da scheitert also schon dein Ping in die große weite Welt. Warum es 2mal scheitert später....
Der 2te Punkt ist die statische Route auf dem Eltern PC. Eigentlich sind Routen auf Endgeräten kontraproduktiv und gehören da nicht hin, denn...routen sollen immer die Router im Netz niemals Endgeräte und da (auf die Router) gehören die Routen dann auch hin !
Die statische Route ins Kindernetz sollte also besser auf den Router-1 und nicht auf den Eltern PC. Es ist aber möglich das dein Router-1 ein absoluter Billigrouter ist der keine statischen Routen supportet. Leider teilst du uns nix zu den Modellen mit (der einzige kleine Fauxpas.. )
Ein paar Worte zu den möglichen Ursachen des Scheiterns:
Erstmal das Thema Ping ins Internet von der "Kinderseite". Dazu müsstest du auch ICMP im Port Forwarding haben (ICMP Echo = Ping) um die NAT Firewall an der WAN Seite des Routers-2 mit Ping/ICMP überwinden zu können.
Vermutlich hast du das nicht eingetragen, also kann nur das DNS (Port 53) passieren was man ja auch an der erfolgreichen Namensauflösung sehen kann, das ICMP (Ping) scheitert dann aber an der Firewall weil das Port Forwarding fehlt !
Die 2te Frage die sich stellt ist warum der Router-2 das Paket vom Eltern PC nicht auf das Kindersegment forwardet. Normalerweise müsste er das machen und hier stolperst du vermutlich über einen Bug in dessen schlampiger Firmware.
Leider hast du aber hier vermutlich keine Möglichkeiten das weiter troublezushooten wenn dies ein geschlossenes System ist ohne eine offene Firmware die das zulässt. Vermutlich liegt der Grund in einer für den Router vermeintlich inkonsistenten NAT Session Table, was aber nur geraten ist.
Besser wäre hier in jedem Falle ein offenes System mit z.B. DD-WRT Firmware (Linksys WRT54, D-Link DIR-300) um das weiter analysieren zu können (vermutlich würde mit DD-WRT aber das Problem gar nicht erst auftauchen....)
Generelle Betrachtung:
Das Szenario krankt daran das das WAN Interface auf der aktiven Netzwerk Seite ist wie dog es auch schon ausgemacht hat. Du musst hier alles per Port Forwarding erlauben oder steuern, was generell ein erhebliches Hinderniss ist, gerade im Fehlerfalle. Wenn man sowas macht, sollte man immer sehen hier ein System mit einer offenen Firmware wie z.B. DD-WRT einzusetzen. Hier hat man erheblich bessere Möglichkeiten der Fehlersuche und der Systemkonfiguration. So kann man solche Fehler wie den obigen bei dir sicher vermeiden. Bei einem Billigrouter ohne diese Option entfallen alle diese Möglichkeiten dieses Finetunings weil generell der erweiterte Zugriff auf das System fehlt.
Weiterhin kranken solche #comment-toc2 Router_Kaskadierungs_Szenarien oder "DMZ des kleinen Mannes" wie sie auch genannt werden generell immer daran das Traffic durch ein sicheres Netz geleitet werden muss. Bei dir ist das auch der Fall. Der "Kindertraffic" landet immer im Büronetz. Keine besonders elegante Lösung wenn man schon so einen Aufwand treibt wie du um die Netze zu sichern.
Wie kann man es besser machen ?
Kollege dog hat ja schon eine mögliche Lösung skizziert oben. Mehr oder weniger eine kleine "Routerschlacht" aber damit wäre es machbar. Nachteil für dich das du jetzt 3 Geräte betreuen musst um Änderungen usw. vorzunehmen oder das Netz zu cutomizen.
Ggf. wäre eine zentralisierte Lösung mit einer kleinen und preiswerten Firewall wie sie hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
beschrieben ist, etwas eleganter.
Damit hat jedes Netzwerk ein eigenes Interface und der Traffic wird zentral gesteuert zwischen den Netzen und auch ins Internet und das mit relativ mächtigen Zugangsfiltern die einfach ber Web Interface und Mausklick zu steuern sind. (Natürlich nur aus dem Elternnetz !) So können die Kinder ggf. auch später einmal ihre Fotos auf Daddy's NAS ablegen wenn sie älter werden und du die Firewall dafür öffnest.
Dein Netzwerk damit könnte dann so aussehen:
Letztendlich durch die zentrale Administration eine bessere Lösung als verteilte Router. Alternativ kann man statt einer Monowall auch z.B. einen preiswerten Mikrotik_Router mit Firewall Funktion nehmen wie z.B. den 750 oder 750G wie ihn dog beschreibt.
Das wäre das gleiche in Grün nur geringfügig preiswerter in der Realisation. Er erfordert aber etwas bessere Netzwerk Kenntnisse, da er nicht ganz so einfach zu konfigurieren ist. Nach deiner o.a. Threadbearbeitung zu urteilen aber für dich sicher auch kein Thema...
Such dir also den schönsten dieser Vorschläge aus....
Hallo,
so eine Material Schlacht!
Einen Router der Switchseitig mit VLAN'S umgehen kann und sowohl die Zugangsregeln Richtung Internet und Richtung Elternnetz sind erschlagen.
als Router eine Cisco 881 oder ähnlich und Ruhe ist.
Dann kann man bei Bedarf immer noch einen weiteren Switch dranhängen und habe das Netz somit Skalierbar.
brammer
so eine Material Schlacht!
Einen Router der Switchseitig mit VLAN'S umgehen kann und sowohl die Zugangsregeln Richtung Internet und Richtung Elternnetz sind erschlagen.
als Router eine Cisco 881 oder ähnlich und Ruhe ist.
Dann kann man bei Bedarf immer noch einen weiteren Switch dranhängen und habe das Netz somit Skalierbar.
brammer
Geld sparen und selber stricken:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Schafft auch ein kompletter Laie mit linken Händen in 30 Minuten.....sofern er weiss was ein Schraubendreher ist !
Wenn nicht, fertig zusammengeschraubt kaufen...geht auch. Infos im Tutorial.
Ansonsten nimmst du den Mikrotik_750. Was besseres und preiswerteres als diesen 32 Euro Router/Firewall findest du mit Sicherheit nicht !
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Schafft auch ein kompletter Laie mit linken Händen in 30 Minuten.....sofern er weiss was ein Schraubendreher ist !
Wenn nicht, fertig zusammengeschraubt kaufen...geht auch. Infos im Tutorial.
Ansonsten nimmst du den Mikrotik_750. Was besseres und preiswerteres als diesen 32 Euro Router/Firewall findest du mit Sicherheit nicht !