8
Mikrotik hinter Fritzbox Gastnetz
Hallo,
ich habe ein RB3011 hinter eine Fritzbox 7490.... bisher im normalen Lan der FB.
Mein Netz habe ich in verscheidene VLAN aufgeteilt und nun möchte ich meinen Internetzugang des RB3011 auf den Gastnetzport der Fritzbox umhängen damit ich in der RB-Firewall zwichen Internet (Über Port 4 Gastnetz) und WLAN der FB trennen kann... (leider geht Portforwarding auf der FB nur im privaten Netz, somit bleibt dann ein Host von außen erreichbar über dieses private Netz..)
Ich habe das RB mittels DHCP client an der FB verbunden (in beiden Netzen auf gleiceh Art)
Ich lasse von DHCP client Routen generieren... sobald ich die Route in das Gastnetz aktivere bekomme ich mit den Rechnern in meinem Netz keine Internetverbindung mehr - selbst ping auf 8.8.8.8 geht nicht.. in der Firewall kommt nichts an... ggf liegt das an der FB?
In der FB habe ich für den Gastzugang alle Einschränkungen entfernt...
Nach dem ändern der Routen reboote ich den RB, mein Arbeitsplatzrechenr hängt direkt am RB und wird damit auch LAN Seitig resettet..
Hart jemand einen Vorschlag was ich testen kann?
Danke
Ich habe den Verdacht, das die FB im Gastnetz anfragen von unbekannten IP´s blockiert ??? Bekomme ich das mit einem weiteren NAT hin? oder Ist die Ursache an anderer Stelle zu suchen?
Boardy
ich habe ein RB3011 hinter eine Fritzbox 7490.... bisher im normalen Lan der FB.
Mein Netz habe ich in verscheidene VLAN aufgeteilt und nun möchte ich meinen Internetzugang des RB3011 auf den Gastnetzport der Fritzbox umhängen damit ich in der RB-Firewall zwichen Internet (Über Port 4 Gastnetz) und WLAN der FB trennen kann... (leider geht Portforwarding auf der FB nur im privaten Netz, somit bleibt dann ein Host von außen erreichbar über dieses private Netz..)
Ich habe das RB mittels DHCP client an der FB verbunden (in beiden Netzen auf gleiceh Art)
Ich lasse von DHCP client Routen generieren... sobald ich die Route in das Gastnetz aktivere bekomme ich mit den Rechnern in meinem Netz keine Internetverbindung mehr - selbst ping auf 8.8.8.8 geht nicht.. in der Firewall kommt nichts an... ggf liegt das an der FB?
In der FB habe ich für den Gastzugang alle Einschränkungen entfernt...
Nach dem ändern der Routen reboote ich den RB, mein Arbeitsplatzrechenr hängt direkt am RB und wird damit auch LAN Seitig resettet..
Hart jemand einen Vorschlag was ich testen kann?
Danke
Ich habe den Verdacht, das die FB im Gastnetz anfragen von unbekannten IP´s blockiert ??? Bekomme ich das mit einem weiteren NAT hin? oder Ist die Ursache an anderer Stelle zu suchen?
Boardy
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 347443
Url: https://administrator.de/contentid/347443
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Korrekt.
Du solltest so planen: WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
(1. und 2. Bild, Captive Portal einfach übersehen)
DSL-Router am Internet wäre bei dir die Fritzbox, dahinter der Mikrotik (anstelle Monowall). Mit dem Mikrotik realisiert du Gast-LAN und bei Bedarf Gast-WLAN mit zusätzlichem Accesspoint. Das Gast-WLAN der FB kannst du natürlich auch benutzen: So, wie von AVM vorgesehenen.
Für den Gast-LAN-Port der FB sehe ich in deinem Szenario keine sinnvolle Verwendung. Du verwendest auf der FB exposed Host, Doppel-NAT oder konfigurierst die FB als Modem (PPPoE Passthrough). Doppel-NAT würde ich nicht verwenden, funktioniert aber auch, eventuelles Portforwarding ("DMZ") wird etwas umständlich. Der RB sollte eine fixe WAN-Adresse bekommen, also kein DHCP-Client sein. Wenn, dann per IP-MAC-Reservation.
Wegen Einschränkungen bezüglich Gast-Netzwerk der FB lies mal das Manual oder schaue FAQs oder Support-Dokumente bei AVM. Beispielhaft: https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Edit: Ein Netzwerk zwischen beiden Routern könnte man als "DMZ für Arme" benutzen (die freien LAN-Ports der FB). Aber du hast nun einen schicken Mikrotik RB3011, also kannst du es auch richtig!
Mein Netz habe ich in verscheidene VLAN aufgeteilt und nun möchte ich meinen Internetzugang des RB3011 auf den Gastnetzport der Fritzbox umhängen damit ich in der RB-Firewall zwichen Internet (Über Port 4 Gastnetz) und WLAN der FB trennen kann...
Konzeptioneller Fehler. Der RB3011 und ALLES, was dahinter hängt, unterliegt damit allen Einschränkungen, die AVM für das Gastnetz vorgesehen hat. Du könntest mit dem RB also nur weiter einschränken.Du solltest so planen: WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
(1. und 2. Bild, Captive Portal einfach übersehen)
DSL-Router am Internet wäre bei dir die Fritzbox, dahinter der Mikrotik (anstelle Monowall). Mit dem Mikrotik realisiert du Gast-LAN und bei Bedarf Gast-WLAN mit zusätzlichem Accesspoint. Das Gast-WLAN der FB kannst du natürlich auch benutzen: So, wie von AVM vorgesehenen.
Für den Gast-LAN-Port der FB sehe ich in deinem Szenario keine sinnvolle Verwendung. Du verwendest auf der FB exposed Host, Doppel-NAT oder konfigurierst die FB als Modem (PPPoE Passthrough). Doppel-NAT würde ich nicht verwenden, funktioniert aber auch, eventuelles Portforwarding ("DMZ") wird etwas umständlich. Der RB sollte eine fixe WAN-Adresse bekommen, also kein DHCP-Client sein. Wenn, dann per IP-MAC-Reservation.
Wegen Einschränkungen bezüglich Gast-Netzwerk der FB lies mal das Manual oder schaue FAQs oder Support-Dokumente bei AVM. Beispielhaft: https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Edit: Ein Netzwerk zwischen beiden Routern könnte man als "DMZ für Arme" benutzen (die freien LAN-Ports der FB). Aber du hast nun einen schicken Mikrotik RB3011, also kannst du es auch richtig!
Hallo,
Die FB kann per GastLAN (LAN Port4) nur das Internet erreichen. Punkt. Aus. Es ist nicht möglich (ausser über doe Öffentliche WAN IP) von dort auf das LAN der gleichen Fritte zu kommen. Punkt. Aus. Das GastWLAN kann aber evtl auf die Rechner des GastLANs zugreifen wenn du es ihnen erlauben tätest und dei es könnte. Du kannst nur sagen das GastWLAN Clients untereinander ...
Das hast du gelesen?
Gruß,
Peter
Die FB kann per GastLAN (LAN Port4) nur das Internet erreichen. Punkt. Aus. Es ist nicht möglich (ausser über doe Öffentliche WAN IP) von dort auf das LAN der gleichen Fritte zu kommen. Punkt. Aus. Das GastWLAN kann aber evtl auf die Rechner des GastLANs zugreifen wenn du es ihnen erlauben tätest und dei es könnte. Du kannst nur sagen das GastWLAN Clients untereinander ...
Das hast du gelesen?
Gastzugang
Hier ermöglichen Sie Ihren Gästen schnell und sicher einen Zugang zum Internet. Aktivieren Sie die Option "Gastzugang für LAN 4 aktiv" und schließen Sie das Gastgerät an die Buchse "LAN 4" an Ihrer FRITZ!Box an. Die mit dem "LAN 4"-Anschluss verbundenen Geräte nutzen lediglich den Internetzugang, haben aber keinen Zugriff auf Ihr Heimnetz.Ich habe den Verdacht, das die FB im Gastnetz anfragen von unbekannten IP´s blockiert ???
Nö, nur wenn die IP nicht zum Netz der Fritte passt werden dessen Anfragen eifach in den Elektromülleimer entleert.Gruß,
Peter
Hi,
Danke, ja oben das hatte ich gelesen.... und schon beachtet...
"Nö, nur wenn die IP nicht zum Netz der Fritte passt werden dessen Anfragen eifach in den Elektromülleimer entleert."
war der entscheidende Hinweis... dann muss ich woh damit leben... solange ich die FB als WLAN Accesspoint habe kann ich nicht sauber trennen...
IP-Mac Reservation ist natürlich an...
Dur Klarstellung - ich wollte das GastLAN nur als Inet Zugang nutzen, nichts weiter.... aber halt für alles was am RB hängt... (-:
Da das somit nicht geht muss ich mich nach nem neuen WLAN AP umsehen...
die von Mikrotik sind alle weniger "hübsch" fürs Wohnzimmer, mit den Mikrotik Tools (CAPSMan?) geht sicher nur Mikrotik?
Was würded ihr mir als reinen AP empfehlen? Mikrotik oder Ubiquity - habe ich große Vorteile wenn ich bei Mikrotik bleibe?
boardy
Danke, ja oben das hatte ich gelesen.... und schon beachtet...
"Nö, nur wenn die IP nicht zum Netz der Fritte passt werden dessen Anfragen eifach in den Elektromülleimer entleert."
war der entscheidende Hinweis... dann muss ich woh damit leben... solange ich die FB als WLAN Accesspoint habe kann ich nicht sauber trennen...
IP-Mac Reservation ist natürlich an...
Dur Klarstellung - ich wollte das GastLAN nur als Inet Zugang nutzen, nichts weiter.... aber halt für alles was am RB hängt... (-:
Da das somit nicht geht muss ich mich nach nem neuen WLAN AP umsehen...
die von Mikrotik sind alle weniger "hübsch" fürs Wohnzimmer, mit den Mikrotik Tools (CAPSMan?) geht sicher nur Mikrotik?
Was würded ihr mir als reinen AP empfehlen? Mikrotik oder Ubiquity - habe ich große Vorteile wenn ich bei Mikrotik bleibe?
boardy
die von Mikrotik sind alle weniger "hübsch" fürs Wohnzimmer, mit den Mikrotik Tools (CAPSMan?) geht sicher nur Mikrotik?
Und der auf einem Schrank? https://mikrotik.com/product/RB952Ui-5ac2nDhttps://mikrotik.com/product/RB962UiGS-5HacT2HnT
Ein Managementsystem für 1 oder 2 APs in einem Heimnetzwerk finde ich übertrieben. Webbrowser (https) oder ssh-Zugang, da ist man auch herstellerunabhängig, kann mehrere einsetzen.
Was würded ihr mir als reinen AP empfehlen?
Ich wollte es auch "hübsch", demzufolge je 1 AP für Obergeschosss und Untergeschoss, beide verbunden durch dlan/PLC:https://www.amazon.de/Devolo-Powerline-Verst%C3%A4rker-Steckdose-verbess ...
Habe allerdings die Pro-Serie genommen (Gast-VLAN/SSID für "smarte" Android-Spionagewanzen).
https://geizhals.de/devolo-dlan-pro-1200-wifi-ac-09546-a1298747.html
1 Adapter ist in Routernähe (kurzes Patchkabel), der andere im Wohnzimmer. Oder an der Außensteckdose für Internet auf Terrasse, im Garten.
Beide Typen sind konfigurierbar per Browser - ohne spezielle Management-Software.
Vorteil: Die Adapter können DFS, also alle zugelassenen 5-GHz-Kanäle. Und nicht nur 36 - 48 wie viele APs: Bei 2 APs kann man nur 40MHz Kanalbreite (HT40) nutzen, sonst Überlagerung der Sender. Und Pech, wenn Nachbarn die mit HT40 nutzbaren 2 Kanäle auch verwenden.
Nachteile: derzeit kein QoS pro VLAN, Auto-Kanalwahl ist Sch .... (selber wählen, fest einstellen)
Beachte bei dlan/PLC: Beide Adapter möglichst an gleicher Phase (evtl. umklemmen im Verteilerkasten) oder Phasenkoppler einbauen. Ich habe Wohnzimmer-Steckdose umgeklemmt, 2 entsprechende Sicherungsabgänge vertauscht (1 h Arbeit), im Garten brauche ich nur Internetzugang. Da muss PLC nicht so fix sein.
Wenn du CatX-Kabel ins Wohnzimmer verlegt hast, nimm kein dlan/PLC!
Ich habe im Moment nur Mikrotik.
Ausser einen netgear poeswitch.
Als Gateway dient ein Hex RB750g3.
Als Switch hatte ich ein gs260poe.
Als AP wap-ac läuft gut und ein rp915g.
Also Vorteile hast du mit Capsman nur wenn du 2 oder mehr AP hast. Dann kannst du alles auf dein RB3011 machen managen und so.
Alternativ ubiquity sind auch nett habe den ac-ap-lite (24volt) mal im netzwerk gehabt.
Sind auch ganz nett ein Tick besseres WLAN Signal als der wAP-ac.
Es gibt den ac-ap-lr (longrange) und den ac-ap-pro (48volt).
Ausser einen netgear poeswitch.
Als Gateway dient ein Hex RB750g3.
Als Switch hatte ich ein gs260poe.
Als AP wap-ac läuft gut und ein rp915g.
Also Vorteile hast du mit Capsman nur wenn du 2 oder mehr AP hast. Dann kannst du alles auf dein RB3011 machen managen und so.
Alternativ ubiquity sind auch nett habe den ac-ap-lite (24volt) mal im netzwerk gehabt.
Sind auch ganz nett ein Tick besseres WLAN Signal als der wAP-ac.
Es gibt den ac-ap-lr (longrange) und den ac-ap-pro (48volt).
na Dlan fang ich nicht an, dafür hab ich CAT gelegt... (-:
So, zurück zum eigentlichen Thema, da die FB ja nur ihr eigenes Netz Routet hab ich nun ein Doppel NAT gemacht und gut ist... es läuft alles wie gedacht... somit brauche ich auch keinen weiteren AP...
Das ist wohl auch die einzige Lösung die mit dem Gastnetz läuft... (-:
Danke
So, zurück zum eigentlichen Thema, da die FB ja nur ihr eigenes Netz Routet hab ich nun ein Doppel NAT gemacht und gut ist... es läuft alles wie gedacht... somit brauche ich auch keinen weiteren AP...
Das ist wohl auch die einzige Lösung die mit dem Gastnetz läuft... (-:
Danke
Zitat von @Boardy:
So, zurück zum eigentlichen Thema, da die FB ja nur ihr eigenes Netz Routet hab ich nun ein Doppel NAT gemacht und gut ist... es läuft alles wie gedacht... somit brauche ich auch keinen weiteren AP...
Damit ist das jedwedes WLAN (Gast + "normal") der FB ein Gastnetz - weil zwischen Dopple-NAT in der Quasi-DMZ. Zum Surfen reicht es, zum Zugang auf das Netz hinter dem Mikrotik nicht. So, zurück zum eigentlichen Thema, da die FB ja nur ihr eigenes Netz Routet hab ich nun ein Doppel NAT gemacht und gut ist... es läuft alles wie gedacht... somit brauche ich auch keinen weiteren AP...
Das ist wohl auch die einzige Lösung die mit dem Gastnetz läuft... (-:
Nö. Zusätzlicher Accespoint mit Mapping-VLAN-SSID oder Consumer-AP mit "Gast-WLAN" - und man hat beides: internes WLAN + Gast. Das WLAN der FB (egal welches) ist für Gäste zusätzlich nutzbar. Internet only.
Wurde Karla76 nun gekickt weil sie dummes Zeug schreibt?
Na egal, für die Nachwelt: Gastnetz als Inet Zugang am Router, Normales FB Netz als eigenes VLAN, ich habe alles was ich brauche und alle Wlan Clients haben Zugriff auf alles im Netz (außer Gastnetz) und natürlich auch auf Inet mittel FB, das geht dann leider nicht über die Firwall des Mikrotik, aber das kann ich verschmerzen...
Na egal, für die Nachwelt: Gastnetz als Inet Zugang am Router, Normales FB Netz als eigenes VLAN, ich habe alles was ich brauche und alle Wlan Clients haben Zugriff auf alles im Netz (außer Gastnetz) und natürlich auch auf Inet mittel FB, das geht dann leider nicht über die Firwall des Mikrotik, aber das kann ich verschmerzen...
