20
Kopplung von 2 IP-Netzen, Zugriff via VPN
Hallo allerseits!
Ich habe folgendes Problem: Ein Kunde hat eine Heizungssteuerung, diese ist allerdings in einem anderen Subnetz als der gesamte Rest des Netzwerks. Nun soll per VPN der Zugriff auf diese Steuerung hergestellt werden können. Schaubild ist im Anhang.
Verwaltungsnetz: 192.168.123.x
Heizungssteuerung: 192.168.10.x
Es gibt einen Verwaltungscomputer mit 2 Netzwerkkarten. Dieser befindet sich sowohl im Verwaltungsnetz, als auch im Heizungsnetz.
Sonst kann kein Computer auf die Steuerung zugreifen.
Wir haben eine VPN soweit ans laufen bekommen, dass wir in das Verwaltungsnetz 192.168.123.1 reinkommen, und dort auch z.B. per RDP an den Verwaltungscomputer kommen.
Gewünscht ist jetzt allerdings, dass man aus dem Internet direkt an die Heizungssteuerung im 10er Subnetz kommt.
Meine Idee (grün) wäre jetzt ein TPLink WR1043nd, den ich zufällig noch hier habe, an beide Netze anzuschließen, und mit einer statischen Route zu versehen.
Allerdings habe ich ehrlich gesagt keinen blassen Schimmer vom Routing und wollte daher fragen, ob mir hier jemand fix einen Vorschlag für die entsprechend einzutragenden Routen machen kann, oder mir zu sagen, dass das völliger Blödsinn ist, was ich mir da überlegt habe :D
Ich habe folgendes Problem: Ein Kunde hat eine Heizungssteuerung, diese ist allerdings in einem anderen Subnetz als der gesamte Rest des Netzwerks. Nun soll per VPN der Zugriff auf diese Steuerung hergestellt werden können. Schaubild ist im Anhang.
Verwaltungsnetz: 192.168.123.x
Heizungssteuerung: 192.168.10.x
Es gibt einen Verwaltungscomputer mit 2 Netzwerkkarten. Dieser befindet sich sowohl im Verwaltungsnetz, als auch im Heizungsnetz.
Sonst kann kein Computer auf die Steuerung zugreifen.
Wir haben eine VPN soweit ans laufen bekommen, dass wir in das Verwaltungsnetz 192.168.123.1 reinkommen, und dort auch z.B. per RDP an den Verwaltungscomputer kommen.
Gewünscht ist jetzt allerdings, dass man aus dem Internet direkt an die Heizungssteuerung im 10er Subnetz kommt.
Meine Idee (grün) wäre jetzt ein TPLink WR1043nd, den ich zufällig noch hier habe, an beide Netze anzuschließen, und mit einer statischen Route zu versehen.
Allerdings habe ich ehrlich gesagt keinen blassen Schimmer vom Routing und wollte daher fragen, ob mir hier jemand fix einen Vorschlag für die entsprechend einzutragenden Routen machen kann, oder mir zu sagen, dass das völliger Blödsinn ist, was ich mir da überlegt habe :D
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 351278
Url: https://administrator.de/contentid/351278
Printed on: April 24, 2024 at 09:04 o'clock
20 Comments
Latest comment
Moin,
a) Es ist DEIN Kunde, DU verkaufst eine Dienstleistung... Ich frage mich wieso man Dinge verkauft die man nicht kennt... Gibst du dein Auto eigentlich auch zur Inspektion zum Bäcker?
b) Es ist die Frage ob dein Kunde überhaupt erlaubt das du die beiden Netze verbindest - wenn der da einen Rechner mit 2 Karten hat könnte das ja gute Gründe haben das er keine Verbindung will....
c) Wenn er das erlaubt kannst du natürlich nen Router dahin stellen der beide Netze ins VPN bringt - sofern der TPLink das kann. K.a. ob der das kann, mir wäre es zu peinlich mit so nem Kram (sieht mir eher wie Home-Use aus) zu nem Kunden zu fahren der dafür auch noch Geld bezahlt...
d) von deinem Schema aus - ich würde einfach das Kabel für die Steuerung an die Fritte hängen und der das zweite Netz geben... SO der dann erlaubt das ein Zugriff von allen Netzen auf die Steuerung möglich ist (es gibt viele Gründe das man das ggf. nicht will)
a) Es ist DEIN Kunde, DU verkaufst eine Dienstleistung... Ich frage mich wieso man Dinge verkauft die man nicht kennt... Gibst du dein Auto eigentlich auch zur Inspektion zum Bäcker?
b) Es ist die Frage ob dein Kunde überhaupt erlaubt das du die beiden Netze verbindest - wenn der da einen Rechner mit 2 Karten hat könnte das ja gute Gründe haben das er keine Verbindung will....
c) Wenn er das erlaubt kannst du natürlich nen Router dahin stellen der beide Netze ins VPN bringt - sofern der TPLink das kann. K.a. ob der das kann, mir wäre es zu peinlich mit so nem Kram (sieht mir eher wie Home-Use aus) zu nem Kunden zu fahren der dafür auch noch Geld bezahlt...
d) von deinem Schema aus - ich würde einfach das Kabel für die Steuerung an die Fritte hängen und der das zweite Netz geben... SO der dann erlaubt das ein Zugriff von allen Netzen auf die Steuerung möglich ist (es gibt viele Gründe das man das ggf. nicht will)
Hi,
wenn es schön sein soll, würde ich die Fritzbox gegen einen Router/Firewall tauschen die mit verschiedenen Netzen umgehen kann.
Würde es wahrscheinlich auch in Zukunft leichter machen.
Ansonsten hat die Fritzbox noch das Gastnetzwerk, ich weiß aber nicht ob man dort per VPN hinkommt ....
Deine Lösung kann gehen, aber ich glaube das Routing bekommst du einer Fritzbox nicht beigebracht.
VG,
Deepsys
wenn es schön sein soll, würde ich die Fritzbox gegen einen Router/Firewall tauschen die mit verschiedenen Netzen umgehen kann.
Würde es wahrscheinlich auch in Zukunft leichter machen.
Ansonsten hat die Fritzbox noch das Gastnetzwerk, ich weiß aber nicht ob man dort per VPN hinkommt ....
Deine Lösung kann gehen, aber ich glaube das Routing bekommst du einer Fritzbox nicht beigebracht.
VG,
Deepsys
Hi,
"Kunde" ist vielleicht etwas übertrieben. Es ist eher ein Kumpel, ich nehme da kein Geld für, auch nicht für den TP-Link. Immer mit der Ruhe. Hier wird keiner verarscht, steck die Mistgabel wieder weg.
zu b) - Der "Kunde" kam ja zu mir und hat mich als halbwegs IT-affinen Menschen gefragt, ob man da was machen kann. Daher will er das, ja.
zu c) - Ja, klasse. Die Antwort hilft mir leider absolut nicht weiter. Es geht ja darum, dass ich keine Ahnung von Routing habe.
zu d) - Die IP der HZSteuerung kann leider nicht so einfach geändert werden, sonst wäre ich sicherlich nicht hier.
"Kunde" ist vielleicht etwas übertrieben. Es ist eher ein Kumpel, ich nehme da kein Geld für, auch nicht für den TP-Link. Immer mit der Ruhe. Hier wird keiner verarscht, steck die Mistgabel wieder weg.
zu b) - Der "Kunde" kam ja zu mir und hat mich als halbwegs IT-affinen Menschen gefragt, ob man da was machen kann. Daher will er das, ja.
zu c) - Ja, klasse. Die Antwort hilft mir leider absolut nicht weiter. Es geht ja darum, dass ich keine Ahnung von Routing habe.
zu d) - Die IP der HZSteuerung kann leider nicht so einfach geändert werden, sonst wäre ich sicherlich nicht hier.
Hast du einen Vorschlag für einen solchen Router/Firewall?
Ja, aber die würden garantiert das Budget sprengen 
Hier wird dafür ja immer wieder gerne ein Mikrotik empfohlen, persönlich habe ich da noch nie was gemacht.
Ich würde es mal mit dem Gastnetzwerk versuchen, wenn es unter Freunden ist.
Hier wird dafür ja immer wieder gerne ein Mikrotik empfohlen, persönlich habe ich da noch nie was gemacht.
Ich würde es mal mit dem Gastnetzwerk versuchen, wenn es unter Freunden ist.
Hallo!
Ist nicht böse und persönlich gemeint, aber dann soll dein kumpelhafter Kunde ein paar Schritte weiter gehen bis er jemanden findet.
Wie willst du die Vorschläge (und die wurden schon gemacht) umsetzen, wenn dir Grundlagen, Erfahrung, Wissen etc. fehlen?
Gut gemeinte Grüße
eisbein
dass ich keine Ahnung von Routing habe
Ist nicht böse und persönlich gemeint, aber dann soll dein kumpelhafter Kunde ein paar Schritte weiter gehen bis er jemanden findet.
Wie willst du die Vorschläge (und die wurden schon gemacht) umsetzen, wenn dir Grundlagen, Erfahrung, Wissen etc. fehlen?
Gut gemeinte Grüße
eisbein
Nehme ich auch nicht böse, keine Sorge.
Ich hatte es mir wohl einfacher vorgestellt, als es ist. Mein Verständnis wäre so gewesen, dass man die VPN zur Fritzbox herstellt, und sich wie ein Client mit IP im 123er Netz an dieser "verhält". So weit sind wir ja sogar schon.
Jetzt müsste an der Fritzbox ja eigentlich nur Routen festgelegt werden, dass eine Anfrage an das 10er Netz nicht mit auf Eis läuft, sondern an die HZSteuerung geroutet wird. So könnte man sich dann auch den TP-Link ganz sparen, meine ich.
Ist das falsch?
und...
Welche Vorschläge denn? Deepsys hat einen neuen Router vorgeschlagen, das lasse ich gerne gelten - maretz hat mich angepflaumt und gesagt ich solls doch so machen, obwohl meine Frage lautete, ob das so überhaupt funktioniert bzw. was ich beim Routing eintragen soll.
Ich verstehe, dass Fragen zumindest die Kompetenz vorraussetzen sollten, die Antwort zu verstehen. Aber hier wirds ja nicht wirklich probiert. Schade.
Ich werde mich jetzt einfach mal bisschen mehr mit Routing befassen, Zeitdruck haben wir nicht unbedingt. Aber danke erstmal an Deepsys für den Vorschlag.
Ich hatte es mir wohl einfacher vorgestellt, als es ist. Mein Verständnis wäre so gewesen, dass man die VPN zur Fritzbox herstellt, und sich wie ein Client mit IP im 123er Netz an dieser "verhält". So weit sind wir ja sogar schon.
Jetzt müsste an der Fritzbox ja eigentlich nur Routen festgelegt werden, dass eine Anfrage an das 10er Netz nicht mit auf Eis läuft, sondern an die HZSteuerung geroutet wird. So könnte man sich dann auch den TP-Link ganz sparen, meine ich.
Ist das falsch?
und...
Welche Vorschläge denn? Deepsys hat einen neuen Router vorgeschlagen, das lasse ich gerne gelten - maretz hat mich angepflaumt und gesagt ich solls doch so machen, obwohl meine Frage lautete, ob das so überhaupt funktioniert bzw. was ich beim Routing eintragen soll.
Ich verstehe, dass Fragen zumindest die Kompetenz vorraussetzen sollten, die Antwort zu verstehen. Aber hier wirds ja nicht wirklich probiert. Schade.
Ich werde mich jetzt einfach mal bisschen mehr mit Routing befassen, Zeitdruck haben wir nicht unbedingt. Aber danke erstmal an Deepsys für den Vorschlag.
Moin,
ich würde z.B. die Fritte einfach durch nen halbwegs guten Router ersetzen (Cisco SB-Serie z.B., gibt aber auch div. andere!), da 2 Netze öffnen und das VPN damit erledigen... Nur:
a) muss dein Kumpel/Kunde/whatever damit einverstanden sein das dann die Heizungssteuerung im (internen) Netz ist
b) muss der sich darüber klar sein das die eben auch via VPN erreicht werden kann
c) ist das Aufsetzen eines VPN bei Cisco nicht so einfach wie bei der Fritte (ok, bei der SB-Serie mit Web-Frontend auch nicht mehr wirklich komplex)
Wenn du jedoch sagst das du KEINE Ahnung vom Routing hast - dann würde ich davon ausgehen das dir dein Konstrukt mit 2 Routern um die Ohren fliegen wird. Denn dann musst du dich ja nicht nur um ein Gerät kümmern sondern dem 2ten Router auch noch sagen was er wie tun soll - und dabei ggf. 2x NAT machen. Ich glaube nicht das du das wirklich willst...
ich würde z.B. die Fritte einfach durch nen halbwegs guten Router ersetzen (Cisco SB-Serie z.B., gibt aber auch div. andere!), da 2 Netze öffnen und das VPN damit erledigen... Nur:
a) muss dein Kumpel/Kunde/whatever damit einverstanden sein das dann die Heizungssteuerung im (internen) Netz ist
b) muss der sich darüber klar sein das die eben auch via VPN erreicht werden kann
c) ist das Aufsetzen eines VPN bei Cisco nicht so einfach wie bei der Fritte (ok, bei der SB-Serie mit Web-Frontend auch nicht mehr wirklich komplex)
Wenn du jedoch sagst das du KEINE Ahnung vom Routing hast - dann würde ich davon ausgehen das dir dein Konstrukt mit 2 Routern um die Ohren fliegen wird. Denn dann musst du dich ja nicht nur um ein Gerät kümmern sondern dem 2ten Router auch noch sagen was er wie tun soll - und dabei ggf. 2x NAT machen. Ich glaube nicht das du das wirklich willst...
1
Die Fritte kann statische Routen und recht viel mehr brauchts dazu eigentlich auch nicht.
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Ist auf der Fritz Seite alles schön beschrieben.
Für so ein Mini Netzwerk braucht man auch nicht wirklich Ahnung von Routing. Ein paar Grundlagen findest du hier:
https://www.elektronik-kompendium.de/sites/net/0903151.htm
Kurz gesagt, die Lösung funktioniert so, du musst lediglich dem TP-Link und der Fritte sagen, wo sie welche Datenpakete finden können.
Das ist im allgemeinen die Aufgabe eines Routers->Routing.
Die Heizung braucht als Default Gateway den TP-Link, der wiederum braucht eine IP aus dem Netz der Fritzbox mit der Fritte als Default GW.
Zusätzlich braucht die Fritte wie oben beschrieben eine statische Route ins Heizungsnetz mit dem TP-Link als Gateway. NAT am TPLink ausschalten, denn sonst sieht die Fritzbox das Heizungsnetz nicht.
Einfacher wäre es aber wenn du alles in ein Netz hängst, denn zusätzliche Sicherheit hast du durch die Trennung von Heizung und Verwaltung sowieso nicht in dem Szenario. Es macht nur alles unnötig kompliziert.
Mach deinem Freund aber klar das er für seine VPN keine Standard Passwörter nutzen soll, denn sonst könnte es sein das ihm ein Hacker Kiddie die Bude abfackelt.
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Ist auf der Fritz Seite alles schön beschrieben.
Für so ein Mini Netzwerk braucht man auch nicht wirklich Ahnung von Routing. Ein paar Grundlagen findest du hier:
https://www.elektronik-kompendium.de/sites/net/0903151.htm
Kurz gesagt, die Lösung funktioniert so, du musst lediglich dem TP-Link und der Fritte sagen, wo sie welche Datenpakete finden können.
Das ist im allgemeinen die Aufgabe eines Routers->Routing.
Die Heizung braucht als Default Gateway den TP-Link, der wiederum braucht eine IP aus dem Netz der Fritzbox mit der Fritte als Default GW.
Zusätzlich braucht die Fritte wie oben beschrieben eine statische Route ins Heizungsnetz mit dem TP-Link als Gateway. NAT am TPLink ausschalten, denn sonst sieht die Fritzbox das Heizungsnetz nicht.
Einfacher wäre es aber wenn du alles in ein Netz hängst, denn zusätzliche Sicherheit hast du durch die Trennung von Heizung und Verwaltung sowieso nicht in dem Szenario. Es macht nur alles unnötig kompliziert.
Mach deinem Freund aber klar das er für seine VPN keine Standard Passwörter nutzen soll, denn sonst könnte es sein das ihm ein Hacker Kiddie die Bude abfackelt.
1
Meine Idee (grün) wäre jetzt ein TPLink WR1043nd, den ich zufällig noch hier habe, an beide Netze anzuschließen, und mit einer statischen Route zu versehen.
Wäre machbar allerdings darfst du nicht vergessen das die Breitbandrouter allesamt NAT (IP Adresstranslation) am WAN Port machen.Damit ist dann kein transparentes Routing möglich deiner beiden Netze mehr möglich ! Siehe auch hier:
Kopplung von 2 Routern am DSL Port
Also keine gute Idee, es sei denn du flashst dort ein OpenWRT oder DD-WRT drauf. OpenWRT erlaubt auch das deaktivieren von NAT auf dem WAN Port.
Besser ist es einen kleinen preiswerten Mikrotik Router (z.B. hexLite) zu verwenden. Der macht das für kleines Geld ohne das störende NAT und... ist gleichzeitig auch noch ein VPN Router der dir das VPN für die remote Steuerung zur Verfügung stellt
Ein simpler Klassiker der im Handumdrehen erledigt ist. Alles was du dazu wissen musst steht in diesem Foren Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
(Kapitel: LAN Routing mit Router)
Das versteht man auch wenn man keinen blassen vom Routing hat
Dazu unbedingt das Kapitel: "Der Weg eines LAN Paketes durch dieses Netz vom Router zum Client" lesen !!
Dann verstehst auch du das Geheimnis Routing sofort !!
OK Leute, danke erstmal für die super Vorschläge! Ich habe das hier gerade mit meinem Kollegen gelesen und wir werden uns wohl für einen kleinen Mikrotik Router entscheiden, der hexLite ist ja echt supergünstig. Vielen Dank
...und ist eine gute Wahl !
Hallo nochmal,
der hexlite ist da! ich fahre gleich zu meinem Kumpel und gebe mein bestes.
NAT darf am hexlite nicht aktiv sein, ist aber an der Fritzbox dank statischer Route nicht schlimm, korrekt?
/edit: blöde Idee rausgelöscht
der hexlite ist da! ich fahre gleich zu meinem Kumpel und gebe mein bestes.
NAT darf am hexlite nicht aktiv sein, ist aber an der Fritzbox dank statischer Route nicht schlimm, korrekt?
/edit: blöde Idee rausgelöscht
Schlimm ists nicht, solltest du aber immer vermeiden wenn es irgend geht um Performanceverluste zu vermeiden.
Die FB kann routen deshalb ist NAT am MT Koppelport zur FB vollkommen überflüssig, also AUSschalten !
Die FB kann routen deshalb ist NAT am MT Koppelport zur FB vollkommen überflüssig, also AUSschalten !
Hi, ich gehe euch/dir jetzt wirklich ungern noch weiter auf den Keks, aber ich habe noch ein Problem und ich habe das Gefühl, dass es echt nur noch eine kleinigkeit ist:
VPN läuft soweit
Route für 192.168.10.0/24 Anfragen an die Fritzbox werden Ordnungsgemäß an den Mikrotik weitergegeben (an eth1)
Der Mikrotik routet die Anfragen allerdings nicht weiter ("Antwort von <AdresseMikrotik> - Zeitüberschreitung")
Einstellungen Quickset Ethernet -
Einstellungen Adressen - 
(an eth1 ist die Fritzbox, an eth2 ist die Heizung)
Einstellungen Routen -
Ich habe nur die statische Route [S] angelegt, 123.1 ist die Fritz, 123.221 und 10.200 ist der Mikrotik. Muss ich auch eine Route für den "Rückweg" einrichten, also 123.0/24-Anfragen -> Fritzbox?
Ich bin da jetzt langsam echt bisschen überfragt, da die Routen ja eigentlich relativ simpel sind.
Der Mikrotik wurde einmal mit /system reset-conf skip-backup=yes no-defaults=yes "geplättet" vor allem.
Ein Tracert zeigt auch, dass es zwar an den Mikrotik(eth1) geht, aber der dann eben nicht weiterleitet
Ich vermute, dass die Quickset Einstellungen irgendwie Mist sind, da es ja irgendwo doppelt gemoppelt ist, denn die IP für die Ports gebe ich ja bei den Einstellungen Adressen bereits ein.
VPN läuft soweit
Route für 192.168.10.0/24 Anfragen an die Fritzbox werden Ordnungsgemäß an den Mikrotik weitergegeben (an eth1)
Der Mikrotik routet die Anfragen allerdings nicht weiter ("Antwort von <AdresseMikrotik> - Zeitüberschreitung")
Einstellungen Quickset Ethernet -
Einstellungen Routen -
Ich bin da jetzt langsam echt bisschen überfragt, da die Routen ja eigentlich relativ simpel sind.
Der Mikrotik wurde einmal mit /system reset-conf skip-backup=yes no-defaults=yes "geplättet" vor allem.
Ein Tracert zeigt auch, dass es zwar an den Mikrotik(eth1) geht, aber der dann eben nicht weiterleitet
Ich vermute, dass die Quickset Einstellungen irgendwie Mist sind, da es ja irgendwo doppelt gemoppelt ist, denn die IP für die Ports gebe ich ja bei den Einstellungen Adressen bereits ein.
Erstmal generell vorweg: Was soll der Blödsinn mit diesen externen Bilderlinks ? 
Wenn du hier links am Eingabefeld auf das Kamerasymbol klickst kannst du deine Bilder und Screenshots hier direkt in den Port integrieren. Das macht das lesen und Verstehen erheblich einfacher als die dümmliche Klickerei auf externe Links wo man wohlmöglich noch Viren und Trojaner im Schlepptau hat !
Lasse das also bitte und bette die Images ein.
Das kann man übrigens wunderbar auch noch nachträglich mit dem "Bearbeiten" Butten machen...
Lies dir bitte das hier erstmal durch:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Dann solltest auch DU es verstehen.
Übrigens sind hier traceroute und pathping wie immer deine besten Freunde die dir die Router Hops auch noch explizit anzeigen !
Im Grunde ist es ganz simpel: (man beachte die eingebettete Grafik ohne externe Seiten !)
Wenn du hier links am Eingabefeld auf das Kamerasymbol klickst kannst du deine Bilder und Screenshots hier direkt in den Port integrieren. Das macht das lesen und Verstehen erheblich einfacher als die dümmliche Klickerei auf externe Links wo man wohlmöglich noch Viren und Trojaner im Schlepptau hat !
Lasse das also bitte und bette die Images ein.
Das kann man übrigens wunderbar auch noch nachträglich mit dem "Bearbeiten" Butten machen...
...ungern noch weiter auf den Keks
Warum ? Dafür ist ein Forum doch da ?! Allerdings mit dem Malus von oben...mmmhhhVPN läuft soweit
Glückwunsch !Muss ich auch eine Route für den "Rückweg" einrichten
Na logisch !! Wie sollen Antwortpakete denn sonst den Weg finden...dzzzzLies dir bitte das hier erstmal durch:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Dann solltest auch DU es verstehen.
Übrigens sind hier traceroute und pathping wie immer deine besten Freunde die dir die Router Hops auch noch explizit anzeigen !
da die Routen ja eigentlich relativ simpel sind.
In der Tat, das sind sie.Im Grunde ist es ganz simpel: (man beachte die eingebettete Grafik ohne externe Seiten !)
- Mikrotik bekommt eine Default Route auf die IP der FritzBox (Beisp. hier: 192.168.7.254):
- FritzBox bekommt statische Route: <Zielnetz>, <Maske>, <MT IP Adresse>
- Fertisch !
Hi! Bilder wurden angepasst, danke für den Tipp!
Das hat meiner ja bereits (192.168.123.1 ist die Fritz) (ich hatte den Beitrag einmal editiert, evtl hast du noch die erste Version gesehen)
hat Sie auch, auf 192.168.123.221 (statische IP von eth1, mit dem der Mikrotik an der Fritzbox hängt)
Wenn ich jetzt als Client im Fritzbox-Netz (192.168.123.110) einen Ping an z.B. 192.168.10.16 mache, sehe ich im Tracert auch, dass die Fritzbox die Anfrage weitergibt an den Mikrotik (192.168.123.221), allerdings gibt er die Anfrage nicht weiter in das 192.168.10.0-Netz, sodass dort dann Ende im Gelände ist...
Es ist quasi, als ob die Anfrage zum Mikrotik in eth1 kommt, und der nicht merkt, dass er genau das richtige Netz im eth2 stecken hat
•Mikrotik bekommt eine Default Route auf die IP der FritzBox (Beisp. hier: 192.168.7.254):
Das hat meiner ja bereits (192.168.123.1 ist die Fritz) (ich hatte den Beitrag einmal editiert, evtl hast du noch die erste Version gesehen)
•FritzBox bekommt statische Route: <Zielnetz>, <Maske>, <MT IP Adresse>
hat Sie auch, auf 192.168.123.221 (statische IP von eth1, mit dem der Mikrotik an der Fritzbox hängt)
Wenn ich jetzt als Client im Fritzbox-Netz (192.168.123.110) einen Ping an z.B. 192.168.10.16 mache, sehe ich im Tracert auch, dass die Fritzbox die Anfrage weitergibt an den Mikrotik (192.168.123.221), allerdings gibt er die Anfrage nicht weiter in das 192.168.10.0-Netz, sodass dort dann Ende im Gelände ist...
Es ist quasi, als ob die Anfrage zum Mikrotik in eth1 kommt, und der nicht merkt, dass er genau das richtige Netz im eth2 stecken hat
Dein Fehler liegt in der IP Adressierung des MT
Die Routing Tabelle zeigt das dort eine sinnfreie statische Route noch definiert ist die das .10.0er Netz über die FritzBox routet !
Das ist ja Schwachsinn (sorry) wenn man eine Default Route hat die so oder so alles dahinroutet !!
Fazit: Raus mit dem Unsinn, dann klappt es auch !
Logisch und auch vom Handling wäre es besser wenn du statt der Ports 1 und 2 die Ports 1 und 5 nimmst.
Default Route, und einzig NUR die default Route auf die FB nicht vergessen
Die Routing Tabelle zeigt das dort eine sinnfreie statische Route noch definiert ist die das .10.0er Netz über die FritzBox routet !
Das ist ja Schwachsinn (sorry) wenn man eine Default Route hat die so oder so alles dahinroutet !!
Fazit: Raus mit dem Unsinn, dann klappt es auch !
Logisch und auch vom Handling wäre es besser wenn du statt der Ports 1 und 2 die Ports 1 und 5 nimmst.
- 5 der WAN Port der auf die FB geht.
- 1 als Master Port für die Ports 2-4
Default Route, und einzig NUR die default Route auf die FB nicht vergessen
Hallo nochmal,
keine Sorge, langsam fühle ich mich selbst wie der größte Esel :D
Habe die schwachsinnige Route rausgenommen, übrig bleiben damit dann ja eigentlich nur die "automatisch eingefügten" Routen des Mikrotik. Die Heizung geht jetzt in eth1 mit 10.200, 2-4 sind Slaves. Auf eth5 (123.221) liegt die Fritzbox.
Die Quickset Einstellungen haben sich jetzt natürlich geändert bzw. getauscht.
Was mich gerade wundert ist, dass der WAN-Port als Gateway die Fritzbox hat, obwohl die Heizung drinsteckt. Dann kann doch niemals eine Anfrage in das 10er Netz kommen, weil er versucht, diese über die Fritzbox im falschen Netz zu stellen?
leider funktioniert es aber noch nicht...
Ein Tracert knallt immer bis vor den Mikrotik eth5 (123.221) und dann ist Ende.
keine Sorge, langsam fühle ich mich selbst wie der größte Esel :D
Habe die schwachsinnige Route rausgenommen, übrig bleiben damit dann ja eigentlich nur die "automatisch eingefügten" Routen des Mikrotik. Die Heizung geht jetzt in eth1 mit 10.200, 2-4 sind Slaves. Auf eth5 (123.221) liegt die Fritzbox.
Die Quickset Einstellungen haben sich jetzt natürlich geändert bzw. getauscht.
leider funktioniert es aber noch nicht...
Ein Tracert knallt immer bis vor den Mikrotik eth5 (123.221) und dann ist Ende.
Was mich gerade wundert ist, dass der WAN-Port als Gateway die Fritzbox hat
Das kann niemals sein, denn die default Route ist immer global und nicht interface bezogen.Das lässt den schlimmen Verdacht aufkommen das du die Default Konfig des MT NICHT gelöscht hast !!
Dann arbeitet Port 5 als WAN Port mit IP Adress Translation und im DHCP Client Mode. Genau was du NICHT willst !
Dann zieht er sich automatisch eine IP von der FB und auch die Default Gateway IP was nicht sein soll. IP ziehen ginge noch aber das aktive NAT wäre dann für transparentes Routing tödlich !
Checke also ganz genau das du VOR der Konfiguration des MT dessen Default Konfig sicher gelöscht hast.
Dazu gehst du in WinBox oder dem GUI und klickst auf dem MT SYSTEM und dann Reset Configuration. Hier machst du einen Haken bei:
- No Default Config
- No Backup
Dann machst du mit WinBox die folgende Konfig:
- Lokales LAN auf Port eth 5. Port 5 ist der Masterport der Ports 2 bis 4 ! Das entsprechend setzen in den Interfaces Settings von 2 bis 4.
- IP Adresse Port eth 1 = 192.168.123.254 /24 (FritzBox ist die 192.168.123.1 und MT IP darf NICHT im DHCP Bereich der FB liegen !! Deshalb hier die .254)
- IP Adresse Port eth 5 = 192.168.10.1 / 24
- Routerport = eth 1 (kommt an einen der FritzBox LAN Ports)
- Default Route im MT einrichten unter IP Routing - Add: 0.0.0.0 /0 Gateway = 192.168.123.1 (FritzBox IP)
- IP Pool einrichten: pool1 = 192.168.10.100-192.168.10.129 (30 IP Adressen fürs lokale LAN)
- DHCP Server einrichten unter IP - DHCP Server. Interface = eth 5, Pool = pool1
- DHCP Network auf + und lokales LAN hinzufügen: 192.168.10.0/24, Gateway: 192.168.10.1, DNS: 192.168.123.1, Domain: heizung.thatguy.intern
- Auf der FritzBox statische Route ins 192.168.10.0 /24 Netzwerk einrichten mit Gateway IP: 192.168.123.254
Hier siehst du die entsprechenden Schritte mit etwas anderer IP Adressierung:
10.99.1.0 /24 = Das FritzBox LAN Netz wobei die FritzBox die .254 hat und der Mikrotik die .1
10.168.10.0 /24 = Lokales LAN am Mikrotik mit DHCP
Das schematische Netzwerk Design dazu sieht so aus:
Mikrotik Setup und Adressierung:
Statische Route FritzBox:
Testping ins Internet vom Mikrotik lokalen LAN:
Das jetzt fehlerfrei und funktionsfähig umzusetzen auf deine lokale IP Adressierung wirst du ja wohl hoffentlich nun endlich hinbekommen, oder ?
1
