ISP Wechsel, Netzwerk überarbeiten, Hilfestellung
Hallo Zusammen,
als aller erstes, wünsche ich allen ein frohes neues Jahr!
Nun zu meinem vorhaben.
Ich stehe in der nächsten Zeit vor einem ISP Wechsel und deswegen habe ich mir Gedanken auch wegen meinem Netzwerk gemacht.
Momentan funktioniert zwar alles, allerdings bin ich leider nicht ganz zufrieden.
Anbei ein Foto, wie es bei mir aussieht.
Ich wechsle zu Vodafone Kabel Deutschland (Bitte keine Diskussion über diese Entscheidung..., Wir sind Einzugesgebiet von Gbit über Kabel. Ich will zwar nur 50.000 Mbits aber ich denke, wenn wir Pilotregion sind, dann sollte es funktionieren). Somit habe ich ein Modem das von KD zur Verfügung gestellt wird und ich dieses in den Bridge Modus versetzen kann.
Da ich den Mikrotik hAP Lite besitze, war die Überlegung, den Mikrotik direkt nach dem Modem einzusetzen. Das sollte prinzipiell auch gehen, allerdings bin ich mir nicht sicher, ob es der richtige Weg ist.
Momentan ist die Fritzbox der "letzte" Punkt im Netzwerk. Von dort aus geht alles in Richtung Internet. Die Fritzbox benötige ich da ich bzw. meine Frau ein Fritzfon C5 haben und sie das auch weiterhin nutzen will. Ein anderes Telefon kommt daher nicht in Frage.
2 größere Probleme habe ich allerdings. Auf dem Bild ist das Notebook zu sehen, welches Motioneye, Pi Hole und OpenVPN bei mir erledigt.
Zustande kam diese Situation wegen Motioneye in Verbindung mit OpenVPN. Pi Hole war dann nur ein Zusatz, da ich nicht für alles einen Raspberry Pi laufen lassen will. Auf den Stromverbrauch muss ich halt auch ein bisschen achten ;)
OpenVPN habe ich leider hinter Fritzbox und zugleich noch hinter dem Mikrotik nicht zum laufen gebracht. Somit bin ich an die Fritzbox gegangen, an der es sofort lief. Problem stellte hier die Fritzbox dar, da ich keine Freigabe in ein "fremdes" Netz machen kann. Es ist nur das eigene Netz zum auswählen in der sich die FB selbst befindet. Obwohl eine Route eingetragen ist zum Mikrotik ist es nicht möglich.
Nächstes, was ich nicht soooo sauber finde, ist dass der gesamte Kamera Trafic durch Mikrotik und Fritzbox muss, um zum Notebook zu kommen.
Das wäre sicher eleganter, wenn es nur über den Switch laufen würde. Da ich aber das Notebook für Motioneye benötige, da es mehr Leistung hat, komm ich hier nicht drum rum.
Ich könnte natürlich alles trennen, was ich allerdings nicht will. Es läuft mittlerweile genug Zuhause.
Jetzt ist allerdings die Frage, ob ich mir eine eigene Fritzbox kaufen soll, da ich momentan einem gestellte vom Anbieter habe, oder ob ich es irgendwie anders lösen kann.
Nächste Frage ist, wenn ich mir eine Fritzbox kaufe, dann will ich auch nicht wirklich viel dafür ausgeben, da es eigentlich "nur" die Verbindung erstellt, und für das Telefon verwendet wird. Hat also nicht wirklich die meiste Arbeit. Auch Sicherheitstechnisch, wenn ich mir ein älteres Model laufen würde, habe ich bedenken, da keine Updates mehr für ältere Modelle kommen.
Was auch noch eine Überlegung wäre, dass ich den Mikrotik als Hauptrouter verwende, und die Fritzbox nur zusätzlich ins Netzwerk hänge, damit das Telefon weiterhin funktioniert. Hier kenne ich mich allerdings viel zu wenig aus in Bezug auf Sicherheit, NAT, Firewall usw. was noch alles auf mich zukommt.
Vielen Dank schon mal im voraus für die Rückmeldungen.
als aller erstes, wünsche ich allen ein frohes neues Jahr!
Nun zu meinem vorhaben.
Ich stehe in der nächsten Zeit vor einem ISP Wechsel und deswegen habe ich mir Gedanken auch wegen meinem Netzwerk gemacht.
Momentan funktioniert zwar alles, allerdings bin ich leider nicht ganz zufrieden.
Anbei ein Foto, wie es bei mir aussieht.
Ich wechsle zu Vodafone Kabel Deutschland (Bitte keine Diskussion über diese Entscheidung..., Wir sind Einzugesgebiet von Gbit über Kabel. Ich will zwar nur 50.000 Mbits aber ich denke, wenn wir Pilotregion sind, dann sollte es funktionieren). Somit habe ich ein Modem das von KD zur Verfügung gestellt wird und ich dieses in den Bridge Modus versetzen kann.
Da ich den Mikrotik hAP Lite besitze, war die Überlegung, den Mikrotik direkt nach dem Modem einzusetzen. Das sollte prinzipiell auch gehen, allerdings bin ich mir nicht sicher, ob es der richtige Weg ist.
Momentan ist die Fritzbox der "letzte" Punkt im Netzwerk. Von dort aus geht alles in Richtung Internet. Die Fritzbox benötige ich da ich bzw. meine Frau ein Fritzfon C5 haben und sie das auch weiterhin nutzen will. Ein anderes Telefon kommt daher nicht in Frage.
2 größere Probleme habe ich allerdings. Auf dem Bild ist das Notebook zu sehen, welches Motioneye, Pi Hole und OpenVPN bei mir erledigt.
Zustande kam diese Situation wegen Motioneye in Verbindung mit OpenVPN. Pi Hole war dann nur ein Zusatz, da ich nicht für alles einen Raspberry Pi laufen lassen will. Auf den Stromverbrauch muss ich halt auch ein bisschen achten ;)
OpenVPN habe ich leider hinter Fritzbox und zugleich noch hinter dem Mikrotik nicht zum laufen gebracht. Somit bin ich an die Fritzbox gegangen, an der es sofort lief. Problem stellte hier die Fritzbox dar, da ich keine Freigabe in ein "fremdes" Netz machen kann. Es ist nur das eigene Netz zum auswählen in der sich die FB selbst befindet. Obwohl eine Route eingetragen ist zum Mikrotik ist es nicht möglich.
Nächstes, was ich nicht soooo sauber finde, ist dass der gesamte Kamera Trafic durch Mikrotik und Fritzbox muss, um zum Notebook zu kommen.
Das wäre sicher eleganter, wenn es nur über den Switch laufen würde. Da ich aber das Notebook für Motioneye benötige, da es mehr Leistung hat, komm ich hier nicht drum rum.
Ich könnte natürlich alles trennen, was ich allerdings nicht will. Es läuft mittlerweile genug Zuhause.
Jetzt ist allerdings die Frage, ob ich mir eine eigene Fritzbox kaufen soll, da ich momentan einem gestellte vom Anbieter habe, oder ob ich es irgendwie anders lösen kann.
Nächste Frage ist, wenn ich mir eine Fritzbox kaufe, dann will ich auch nicht wirklich viel dafür ausgeben, da es eigentlich "nur" die Verbindung erstellt, und für das Telefon verwendet wird. Hat also nicht wirklich die meiste Arbeit. Auch Sicherheitstechnisch, wenn ich mir ein älteres Model laufen würde, habe ich bedenken, da keine Updates mehr für ältere Modelle kommen.
Was auch noch eine Überlegung wäre, dass ich den Mikrotik als Hauptrouter verwende, und die Fritzbox nur zusätzlich ins Netzwerk hänge, damit das Telefon weiterhin funktioniert. Hier kenne ich mich allerdings viel zu wenig aus in Bezug auf Sicherheit, NAT, Firewall usw. was noch alles auf mich zukommt.
Vielen Dank schon mal im voraus für die Rückmeldungen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397029
Url: https://administrator.de/forum/isp-wechsel-netzwerk-ueberarbeiten-hilfestellung-397029.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
21 Kommentare
Neuester Kommentar
Hallo,
denk' daran, dass Kabel Deutschland unter Umständen kein IPv4, sondern nur „DualStack Lite“ schaltet.
Gerade bei Themen wie VPN ist das durchaus wichtig.
Gruß,
Jörg
denk' daran, dass Kabel Deutschland unter Umständen kein IPv4, sondern nur „DualStack Lite“ schaltet.
Gerade bei Themen wie VPN ist das durchaus wichtig.
Gruß,
Jörg
Du hast ja dir ja selber ganz eigene Rahmenbedingen gesetzt insofern bleiben dir ja wenig bis keine großem Möglichkeiten.
Sprich Router Kaskade mit dem Mikrotik
Die FritzBox hat aber auch den bekannten Bug das sie zu gerouteten Netzen kein Port Forwarding hinbekommt.
Damit kannst du den OVPN Traffic NICHT in eins der gerouteten Netze hinter dem MT forwarden. Was aber ohnehin nicht gut ist denn damit müsstest du Internet Traffic ungeschützt in deine internen Netze forwarden.
Leuchtet auch dir sicher ein das sowas niemals eine gute Idee ist bzw. kein gutes Design
Unter diesen festen Voraussetzungen hast du also keine Wahl und musst dich weiterhin in deinem o.a. Design bewegen.
Eins ist allerdings vollkommen unverständlich und das ist dein VPN Design !
Warum löst du das so umständlich mit einem externen OpenVPN Server ?
Du hast ja 2 erheblich bessere Alternativen:
Der MT supportet außer OpenVPN auch noch andere VPN Protokolle so das du hier die freie Wahl hast.
Aber auch das IPsec VPN auf der FB wird von allen Endgeräten supportet und wie man das für weitere geroutete Netze hinter FB einrichtet erklärt dir sogar AVM selber:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
All das würde dich von der FB Port Forwarding Fessel befreien und du könntest dann das Notebook einzig nur für Pi Hole und Motioneye benutzen und zwar im internen Netz.
Warum du das nicht nur auf dem RasPi machst ist auch völlig unverständlich. Zu Recht führst du oben ja den Stromverbrauch an aber ein RasPi der 15 Euro im Jahr ! verbraucht ist weitaus sparsamer als ein Laptop. Hier verar... du dich vermutlich selber.
Aber im Hinblick auf deine Eingangsfrage ist das ein kosmetisches Randproblem.
- FritzBox ist gesetzt wegen der Telefonie und Frau
Sprich Router Kaskade mit dem Mikrotik
Die FritzBox hat aber auch den bekannten Bug das sie zu gerouteten Netzen kein Port Forwarding hinbekommt.
Damit kannst du den OVPN Traffic NICHT in eins der gerouteten Netze hinter dem MT forwarden. Was aber ohnehin nicht gut ist denn damit müsstest du Internet Traffic ungeschützt in deine internen Netze forwarden.
Leuchtet auch dir sicher ein das sowas niemals eine gute Idee ist bzw. kein gutes Design
Unter diesen festen Voraussetzungen hast du also keine Wahl und musst dich weiterhin in deinem o.a. Design bewegen.
Eins ist allerdings vollkommen unverständlich und das ist dein VPN Design !
Warum löst du das so umständlich mit einem externen OpenVPN Server ?
Du hast ja 2 erheblich bessere Alternativen:
- 1.) VPN auf der FritzBox direkt terminieren
- 2.) VPN auf dem Mikrotik terminieren
Der MT supportet außer OpenVPN auch noch andere VPN Protokolle so das du hier die freie Wahl hast.
Aber auch das IPsec VPN auf der FB wird von allen Endgeräten supportet und wie man das für weitere geroutete Netze hinter FB einrichtet erklärt dir sogar AVM selber:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
All das würde dich von der FB Port Forwarding Fessel befreien und du könntest dann das Notebook einzig nur für Pi Hole und Motioneye benutzen und zwar im internen Netz.
Warum du das nicht nur auf dem RasPi machst ist auch völlig unverständlich. Zu Recht führst du oben ja den Stromverbrauch an aber ein RasPi der 15 Euro im Jahr ! verbraucht ist weitaus sparsamer als ein Laptop. Hier verar... du dich vermutlich selber.
Aber im Hinblick auf deine Eingangsfrage ist das ein kosmetisches Randproblem.
Das wäre die Frage, ob ich nicht den Mikrotik direkt nach dem Modem verwenden kann.
Technisch gesehen ist das zweifelsohne immer das Beste da ein reines NUR Modem dich von der Problematik doppeltes NAT verschont. Nur....Du hast ja bis dato gar kein NUR Modem !!
Also von welchem "Modem" redest du hier ? AVM hat die Option PPPoE Passthrough ja in den aktuellen Firmware Releases wieder deaktiviert. Damit kann eine FB nur als Router arbeiten was dann wieder doppeltes NAT bedeutet !
Ich hab einen DS Lite Anschluss
OK, DS-Lite ist immer der Todesstoß fürs VPN und andere remote Anwendungen. Da bist du natürlich chancenlos bei solch einem Provider.Wenn man es kann und solche Anforderungen hat wie du, sind solche Provider immer ein NoGo !
Das weiss man aber BEVOR man so einen Vertrag unterschreibt und sich bindet !
Ohne IPv4 Tunnelprovider wirst du also dann nix in solchem Fall (DS-Lite).
Hier denke ich stecke ich wieder mit DS Lite fest?
Ja, damit ist das aussichtslos, da hast du Recht ! Somit sollte die Problematik mit doppeltem NAT überschaubar sein.
Richtig !Bleibt nur das Problem DS-Lite
Wäre schön, wenn es weiterhin funktioniert
Das wird es !jetzt auch schon DS Lite habe, macht es mir nichts aus.
OK, umso besser dass ich beim selben Design bleiben muss, oder kann ich es irgendwie umbauen
Nein, heisst es natürlich nicht, dann kannst du umbauen.- KD Router in Bridge Mode
- MT als DHCP Client am WAN Port definieren
- MT MUSS als NAT Router mit Firewalling agieren ! (*)
- Check ob der MT dann eine gültige Provider IP am WAN Port bekommt !
Ob das alles dann aber noch mit meinen Aufbau funktioniert kann ich leider nicht sagen.
Funktioniert so !Achtung: !
Da dein MT dann das Bollwerk zum Internet darstellt MUSS der natürlich eine gültige NAT und Firewall Konfig haben !!
Solltest du hier unsicher sein ist es sinnvoll das du den mit einem Werks Reset nackig machst und dann beim Konfigurieren danach die Default Konfig lädst !!
Damit ist dein MT dann ein klasssicher und wasserdichter Internet Router !
- Port 1 als Internet Port mit NAT und Firewalling
- Ports 2-5 als Bridge zusammengefasst mit DHCP Server fürs lokale LAN
Die solltest du natürlich in eine deiner Wahl ändern (WinBox) wenn du das musst.
Bei möglicher VPN Nutzung dann vorausschauend nicht gerade die dümmlichen IP Allerweltsnetze. Siehe dazu auch HIER.
Ansonsten ist das ein simpler Selbstgänger...
Funktioniert das mit OVPN und DS Lite mit Feste-ip.net hinter der MT?
Warum sollte es deiner Meinung nicht funktionieren ?Bzw. was würde ein NAT Router von MT anders machen als ein NAT Router von AVM ?
Diese Frage kannst du dir sicher auch selber beantworten ?!
Hier muss ich vermutlich nur die Firewall mit dem entsprechenden Port öffnen?
Wenn du das bei der FB auch so gemacht hast, dann ja...dann kann ich mich langsam damit befassen.
Guckst du auch hier:https://www.youtube.com/watch?v=3NBtrZxctbA
sonst müsste ich alle Geräte im Netzwerk neu konfigurieren
Du arbeitest nicht mit DHCP ???Habe bisher auch per VLAN alles auf Port 2 zusammengefasst.
Ja, dann "pimpst" du die Default Konfig eben ein bischen auf deine (Port) Belange... Ich denk, dass ich den "Übersetzter" dennoch brauchen werde.
Ja, denn an der Tatsache das du keinerlei öffentliche IPv4 Adressen hast bei DS-Lite mit der du dein Netz erreichen kannst ändert sich ja nichts. Das DS-Lite bleibt ja.Du bist weiterhin nur einzig per IPv6 öffentlich erreichbar und darin wird ja deine öffentliche IPv4 getunnelt.
In welchem Subnetz du den RasPi dann betreibst spielt keinerlei Rolle.
Wo ist denn da die Frage ??
Der v4 Tunnel endet ja immer dort wo du den RasPi mit dem Feste-ip.net Client hinsteckst.
Welches v6 Subnetz das ist spielt keine Rolle, denn die sind ja alle öffentlich.
Das einzige worauf du achten musst ist das die v6 Firewall Traffic von außen für diesen Client durchlässt. Generell blockt eine v6 Firewall ja allen Traffic der von draußen nach drinnen will. Sollte sie wenigstens
Der v4 Tunnel endet ja immer dort wo du den RasPi mit dem Feste-ip.net Client hinsteckst.
Welches v6 Subnetz das ist spielt keine Rolle, denn die sind ja alle öffentlich.
Das einzige worauf du achten musst ist das die v6 Firewall Traffic von außen für diesen Client durchlässt. Generell blockt eine v6 Firewall ja allen Traffic der von draußen nach drinnen will. Sollte sie wenigstens
Die FipBox ist KEIN Übersetzer !
Die macht ein 4in6 Tunneling !
https://www.elektronik-kompendium.de/sites/net/1904031.htm
Sprich also sowas wie ein VPN indem sie IPv4 in einem IPv6 Tunnel überträgt.
An diesem Punkt hat vermutlich dein Verständnis ausgesetzt, kann das sein ?
Am RasPi hast du also dann eine öffentliche IPv4 Adresse auf einem virtuellen Interface was dort dein OVPN Server nutzt damit man ihn per IPv4 von außen über diese öffentliche v4 Adresse erreichen kann.
Da du vermutlich nur eine einzige v4 Adresse vom Tunnelbroker bekommst kannst du OVPN und Tunnelclient nicht trennen. Dafür bräuchtest du dann ein v4 Subnetz logischerweise was du nicht hast.
Also mal in Ruhe nachdenken und verstehen wie das alles zusammenspielt, dann ist das kinderleicht
Die macht ein 4in6 Tunneling !
https://www.elektronik-kompendium.de/sites/net/1904031.htm
Sprich also sowas wie ein VPN indem sie IPv4 in einem IPv6 Tunnel überträgt.
An diesem Punkt hat vermutlich dein Verständnis ausgesetzt, kann das sein ?
Am RasPi hast du also dann eine öffentliche IPv4 Adresse auf einem virtuellen Interface was dort dein OVPN Server nutzt damit man ihn per IPv4 von außen über diese öffentliche v4 Adresse erreichen kann.
Da du vermutlich nur eine einzige v4 Adresse vom Tunnelbroker bekommst kannst du OVPN und Tunnelclient nicht trennen. Dafür bräuchtest du dann ein v4 Subnetz logischerweise was du nicht hast.
Also mal in Ruhe nachdenken und verstehen wie das alles zusammenspielt, dann ist das kinderleicht