17.10.2020

5255

Netzwerk mit 2 Subnetzen über 2 Router verbinden

Hallo liebe Netzwerktechniker,

ich bin zur Zeit dabei mein Netzwerk für zu Hause auszubauen.

Dazu habe ich eine FritzBox 7490 im Keller stehen, welche mit Glasfaser an das WAN verbunden ist.
Die IP-Adressierung sieht, wie es überlicherweise typisch für eine FritzBox ist, folgendermaßen aus,

Netz: 192.168.178.0
Standardgateway: 192.168.178.1
Subnetzmaske: 255.255.255.0
DHCP ist aktiviert.

Nun möchte ich ein zweites Netz aufbauen, was für meine Gartenhütte genutzt wird. Dazu habe ich einen zweiten Router (Linksys WRT1900 AC) zur Verfügung.
Diesen habe ich am WAN-Port mit einem LAN-Port (3) der FritzBox verbunden.

Bis dato funktioniert auch alles super. Internet funktioniert und ein eigenständiges Netz.

Die Konfiguration des Linksys sieht so aus:
Art der Internetverbindung
Verbindungstyp: Statische IP-Adresse
Internet-IPv4-Adresse: 192.168.178.24
Subnetzmaske: 255.255.255.0
Standard-Gateway: 192.168.178.1

Lokales Netzwerk
IP-Adresse: 192.168.1.1
Subnetzmaske: 255.255.255.0
DHCP ist aktiviert

Jetzt komme ich jedoch über das 1er Netz in das 178, aber nicht vom 178er in das 1er.
Es soll aber genau umgekehrt funktionieren.

Ich habe schon an der FritzBox die statische Routing-Tabelle ergänzt:
Netzwerk: 192.168.1.0
Subnetz: 255.255.255.0
Gateway: 192.168.178.24

Es funktioniert trotzdem nicht. Was mache ich falsch? Oder bin ich grundlegend flasch vorgegangen?
Kann mir da jemand helfen?

Ich habe noch einen VLAN-fähigen Switch im Keller (Cisco SGE-2010p)... ich weiß nicht, ob er bei dem Problem helfen kann. Aktuell ist er an die FritzBox (LAN 2) angeschlossen und hat eine statische IP im 178er Netz.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 613864

Url: https://administrator.de/contentid/613864

Ausgedruckt am: 12.11.2024 um 19:11 Uhr

21 Kommentare

Neuester Kommentar

Hallo bastixko,

in der Regel haben die Router eine Firewall, die incoming am WAN Port blockt.
Schau mal ob du in dem Linksys die Firewall abschalten oder von der WAN Seite incoming erlauben kannst.

Grüße
Epi

Diesen habe ich am WAN-Port mit einem LAN-Port (3) der FritzBox verbunden.

Das ist falsch wenn beide Netze identisch sein sollen und du nicht zwingend 2 getrennte Netze benötigst. So greift, wie oben schon vom Kollegen @Epigenese richtig gesagt, die interne NAT Firewall dort und blockt den Traffic in eine Richtung.

Du solltest ihn besser als einfachen, dummen WLAN Accesspoint konfigurieren. Wobei dann ein einfacher, preiswerter WLAN_Accesspoint auch vollends gereicht hätte !

Dieses Tutorial beschreibt dir im Detail wie man es richtig macht:
Kopplung von 2 Routern am DSL Port

Fazit: Einfach mal die Suchfunktion benutzen !

Sollen es doch 2 getrennte Netze sein, benötigst du zwingend einen Router der ein abschaltbares NAT (IP Adress Translation) am WAN Port supportet. Mit Original Firmware supportet die Linksys Gurke das nicht.
Sie kann aber auch mit alternativer Firmware betrieben werden wie DD-WRT:
https://dd-wrt.com/support/router-database/
oder OpenWRT
https://openwrt.org/toh/linksys/linksys_wrt1900ac
Damit ist das dann problemlos möglich. Zudem erschliesst man sich weitere technische Features mit der Firmware. Sie ist in jedem Falle besser und leistungsfähiger als die Original Firmware.
Wenn du also wirklich 2 getrennte IP Netze möchtest dann flashe den Linksys mit der DD-WRT oder Open WRT Firmware !

Die Lösung von @aqui wäre natürlich die einfachste.
Unabhängig davon :

- Dem Linksys in der Fritze immer dieselbe ipv4 zuweisen + "Eigenständige Portfreigaben erlauben" aktiv ?
(evtl damit zu tun`?)

grüsse

Hallo bastixko,

was aqui sagt, stimmt natürlich wenn du kein eigenes Netz willst.

Davon bin ich aber ausgegangen, weil du folgendes schreibst:

Nun möchte ich ein zweites Netz aufbauen, was für meine Gartenhütte genutzt wird. Dazu habe ich einen zweiten Router (Linksys WRT1900 AC) zur Verfügung.

und weil es nicht um irgendeine WLAN Reichweite ging, von der Fritzbox, da du auch schreibst:

Diesen habe ich am WAN-Port mit einem LAN-Port (3) der FritzBox verbunden.

Das heißt, dass das Kabel liegt.

Solltest du aber nur ein Netz wollen, dann ist dir mit deiner Fritzbox folgendes zu empfehlen:
https://at.avm.de/service/supportanfrage/produktauswahl/knowlegdebasesup ...

Damit hast du eine stabile LAN Brücke und dann das gleiche Fritzboxnetz.

Du schreibst aber auch:

Jetzt komme ich jedoch über das 1er Netz in das 178, aber nicht vom 178er in das 1er.
Es soll aber genau umgekehrt funktionieren.

Somit könnte es durchaus sein, dass du ein zweites Netz möchtest, das aber zwar hinter der Fritzbox ist aber du nicht möchtest, dass die Nutzer dort in dein Fritzboxnetz kommen. Du willst jedoch von deinem Fritzboxnetz ins "Gästenetz".

Schreib mal was dazu.

Grüße
Epi

Hallo zusammen,

es liegt eine CAT7-Verkabelung zwischen FritzBox und Linksys. Ich habe also eine physikalische Verbindung zwischen beiden Geräten.

Ich möchte tatsächlich zwei verschiedene Netze haben. Also einmal das 178er Netz für die Geräte im Haus und einmal unabhängig davon das 1er Netz für die Geräte und Gäste in der Gartenhütte.
Ansonsten hätte ich ich ja auch den Stecker am Linksys in LAN-Port 1 stecken können... oder weitere einfache Access Points wie eine alte FritzBox oder andere ACPS, die ich hier noch liegen habe, anschließen können...
Mein Problem ist nur, dass ich aus dem 1er Netz Zugriff habe auf das 178er aus dem Haus und nicht anders herum, wie ich es eigentlich haben möchte. Ich möchte also praktisch aus dem Haus Zugriff auf die Gartenhütte haben und aus der Gartenhütte kein Zugriff in das Netz im Haus

Die Firewall des Linksys habe ich deaktiviert.

Wenn ich nun aus dem 178er Netz eine IP aus dem 1er Netz anpinge, bekomme ich einen Fehler wegen Zeitüberschreitung.
Vielleicht versuche ich morgen den Router mal zu flashen mit der anderen Firmware.

Habe ich das verständlich erklärt? Ansonsten gerne nochmal nachfragen.

dass ich aus dem 1er Netz Zugriff habe auf das 178er aus dem Haus und nicht anders herum,

Ist dir oben ja schon mehrfach gesagt worden. Das liegt an der nicht abschaltbaren NAT Funktion auf dem Linksys und der damit aktiven NAT Firewall.

Ich möchte tatsächlich zwei verschiedene Netze haben.

OK, aber dann hast du mit dem Linksys die falsche Hardwware. Das geht damit nicht weil NAT dort in der Original Firmware nicht deaktivierbar ist.
2 Lösungen:

Ganz einfach alternative Firmware auf den Linksys flashen mit DD-WRT oder OpenWRT
Andere Router Hardware beschaffen wie z.B. einen Mikrotik hAP lite: https://www.varia-store.com/de/produkt/97209-mikrotik-routerboard-rb941- ...

Beide Lösungswege führen zum Erfolg !

Vielleicht versuche ich morgen den Router mal zu flashen mit der anderen Firmware.

Das wäre das Intelligenteste !

Habe ich das verständlich erklärt?

Ja, hast du. Das ist ein immer wiederkehrender Klassiker hier im Forum der gefühlt 3mal pro Woche gefragt wird und jedem Administrator hinlänglich bekannt ist. Genau deshalb gibt es hier auch die zahlreichen Tutorials und Erklärungen zum nicht deaktivierbaren NAT bei Billigroutern.

Moin!

ich habe den Router jetzt geflash mit OpenWRT.

Was genau muss ich da jetzt einrichten?

Perfekt !
Du machst exakt die gleich Konfig wie vorher aber schaltest den Gateway Mode aus ! Dann ist das NAT (Adress Translation) deaktiviert und der Router routet transparent.

Oh, da könnte ich ein kurze Einweisung gebrauchen

Wo finde ich die Einstellung?

https://openwrt.org/docs/guide-user/network/switch_router_gateway_and_na ...

Den Haken "Masquerading" am WAN Port entfernen:

Noch einfacher ist es den WAN Port gar nicht zu benutzten sondern einfach einen anderen Port fürs Routing zu verwenden. Auf diesen ist das NAT im Default immer deaktiviert bei OpenWRT.

Hey!

Den Haken habe ich auch schon entdeckt!
Ich habe allerdings nur die Einträge "lan" und "wan".
Wenn ich Masquerading bei "WAN" rausnehme, komme ich nicht mehr ins Internet.
Ich würde das Kabel gerne in WAN stecken lassen, weil ich alle vier LAN-Ports brauche

Ich kann auch gerne heute Abend ein Screenshot davon reinsetzen.

komme ich nicht mehr ins Internet.

Das ist auch klar und logisch, denn du benötigst dafür dann...

Erstens eine Default Route auf dem OpenWRT Router auf deinen Internet Router
Zweitens eine statische Route auf deinem Internet Router in dein 2tes IP netz am OpenWRT Router.

Also immer einmal SELBER vorher nachdenken WIE sich IP Pakete im Netzwerk bewegen !! Das erspart viel zeitraubende Fragerei !

Alle wichtigen Informationen und ToDos dazu erklärt dir dieses Tutorial im Detail:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Hey!

Sorry, dass ich da nochmal nachfragen muss. Ich schaffe es trotz der super Anleitung einfach nicht.
Das mit dem NAT ist ja einleuchtend...
Die statische Route auf dem Internet Router (FritzBox) hatte ich schon angelegt. Die Konfiguration sieht folgendermaßen aus:

Ich verstehe einfach nicht, wie man die Default Route am OpenWRT Router konfiguriert. Oder bekomme es irgendwie nicht zum Laufen.

Wenn ich das Masquerading am WAN-Port deaktiviere, müsste ich doch Zugriff von meiner FritzBox auf den OpenWRT bekommen oder nicht? Nur, dass ich dann am WRT nicht ins öffentliche Netz komme, oder verstehe ich das falsch?

Wenn ich jetzt jedoch aus dem 178er Netz einen Client aus dem 1er Netz des OpenWRT versuche anzupingen, bekomme ich eine Zeitüberschreitung.

sieht folgendermaßen aus:

Wenn man das "+" an der richtigen Stelle klickt, dann sieht man das Bild auch im richtigen Kontext des Threads und nicht wirr und zusammenhangslos am Ende !

wie man die Default Route am OpenWRT Router konfiguriert. Oder bekomme es irgendwie nicht zum Laufen.

Hilfreich fürs Troubleshooting wäre hier der Output deiner /etc/config/network Datei wenn du einmal mit PuTTY und SSH oder Telnet auf den Router zugreifst:
https://openwrt.org/docs/guide-user/network/routing
Oder eben ein Screeshot der Routing Einstellungen im Setup des GUI Interfaces. Ohne diese Information stochern wir hier ja auch nur im Trüben !

Wenn ich das Masquerading am WAN-Port deaktiviere, müsste ich doch Zugriff von meiner FritzBox auf den OpenWRT bekommen oder nicht?

Ja, das solltest du bei richtiger IP Adressierung. Damit ist dann die NAT Firewall außer Kraft und du solltest Zugang bekommen.

bekomme ich eine Zeitüberschreitung.

Der OpenWRT WAN Port hat wirklich die .178.24 und du kannst diese IP Adresse von einem Client im 178er Netz auch anpingen ?
Es ist möglich das die normale stateful Firewall von OpenWRT an dem Port noch aktiv ist. Die musst du natürlich dann auch deaktivieren bzw. die Zone Forwarding anpassen das Zugriff aus dem WAN zum LAN erlaubt ist !!

Auch hier fehlt dazu leider der Screenshot.

Wenn man das "+" an der richtigen Stelle klickt, dann sieht man das Bild auch im richtigen Kontext des Threads und nicht wirr und zusammenhangslos am Ende !

Entschuldige, ich bin hier noch nicht ganz mit vertraut.

Anbei die Screenshots:

Der OpenWRT WAN Port hat wirklich die .178.24 und du kannst diese IP Adresse von einem Client im 178er Netz auch anpingen ?

Ja, hat er. Ich kann ihn von einem Client aus dem 178er Netz anpingen und er antwortet.

Es ist möglich das die normale stateful Firewall von OpenWRT an dem Port noch aktiv ist. Die musst du natürlich dann auch deaktivieren bzw. die Zone Forwarding anpassen das Zugriff aus dem WAN zum LAN erlaubt ist !!

Auch hier fehlt dazu leider der Screenshot.

So sieht es aktuell aus:

Meintest du das?

config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'lan'
option type 'bridge'
option ifname 'eth0.1'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'

config interface 'wan'
option ifname 'eth1.2'
option proto 'static'
option ipaddr '192.168.178.24'
option netmask '255.255.255.0'
option gateway '192.168.178.1'
option broadcast '192.168.178.255'

config interface 'wan6'
option ifname 'eth1.2'
option proto 'dhcpv6'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 5t'

config switch_vlan
option device 'switch0'
option vlan '2'
option ports '4 6t'

Das sieht alles absolut richtig und gut aus !
Nur erstmal vorab nochmal doof nachgefragt: Eine statische Route auf der FritzBox: Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway: 192.168.178.24 hast du konfiguriert ?
Wenn ja....
Kannst du von einem Client im .1.0er /24 Netz (per Kupfer angeschlossen und WLAN aus !):

die Router LAN IP .1.1 pingen ?
die Router WAN IP .178.24 pingen ?
die FritzBox LAN IP .178.1 pingen ?
eine nackte IP Adresse im Internet 8.8.8.8 pingen ?
einen Hostnamen wie www.heise.de pingen ?

Das sieht alles absolut richtig und gut aus !

Ja, dann bin ich ja schonmal etwas beruhigt.

Nur erstmal vorab nochmal doof nachgefragt: Eine statische Route auf der FritzBox: Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway: 192.168.178.24 hast du konfiguriert ?

Ja genau, diese habe ich konfiguriert, wie ich es im Screenshot im vorletzen Beitrag geteilt habe.

Wenn ja....

SZENARIO 1
-> WLAN deaktiviert
-> Client per LAN angeschlossen

Kannst du von einem Client im .1.0er /24 Netz (per Kupfer angeschlossen und WLAN aus !):

die Router LAN IP .1.1 pingen ?

Ja, die ist erreichbar.

* die Router WAN IP .178.24 pingen ?

Ja, die ist auch erreichbar.

* die FritzBox LAN IP .178.1 pingen ?

Nein, die ist nicht erreichbar.
fritz.box im Browser -> DNS_PROBE_FINISHED_NO_INTERNET

Zusätzlich habe ich eine weitere IP angepingt:
192.167.178.100 (NAS) -> Nein

* eine nackte IP Adresse im Internet 8.8.8.8 pingen ?

Nein, die ist nicht erreichbar.

* einen Hostnamen wie www.heise.de pingen ?

Nein, die ist nicht erreichbar.

SZENARIO 2
-> wie Szenario 1 nur, dass bei der Route WAN -> LAN Masquerading aktiviert habe

1.1 -> Ja
178.24 -> Ja
fritz.box -> DNS-Fehler
178.100 -> JA
178.1 -> Ja
8.8.8.8 -> Ja
heise.de -> konnte Host nicht finden
Im Web "IP Adresse des Servers konnte nicht gefunden werden.

Scheint ein DNS Problem zu sein, oder?

Nein, die ist nicht erreichbar.

Klarer Fall, dann fehlt die statische Route auf der FritzBox oder sie ist nicht aktiv. Das ist ja dann eindeutig das die Rückroute für Pakete aus dem 192.168.1.0 /24 Netz nicht greift an der FritzBox. Ggf. die Box mal rebooten.

LAN Masquerading aktiviert habe

Na ja das weiss auch Fritzchen Müller das es dann klappt. Bei aktivem Masquerading wird das 192.168.1.0er Netz komplett auf die lokale .178.24er IP (WAN Port OpenWRT) per NAT umgesetzt. Der gesamte Traffic aus dem netz hast dann die .178.24 als Absender IP so das die FritzBox "denkt" das ist ein Host aus dem lokalen LAN. Dann benötigt sie ja auch keine statische Route dafür.
Fakt ist das die statische Route bei dir auf der FritzBox nicht greift bzw. nicht funktioniert wenn du ohne NAT (Masquerading) arbeitest.
Die Grundlagen zu diesem einfachen Routing Szenario auch mit NAT kannst du, wie immer, hier im Detail nachlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

heise.de -> konnte Host nicht finden

Ja, da fehlt dem Client oder dem Router eine DNS Server Adresse. Sollte immer die der FritzBox sein .178.1.

Moin!

ich habe die FritzBox einmal auf Werksteinstellungen gesetzt und neu konfiguriert. Tatsächlich greift jetzt auch die Statische Route!
Komisch das jetzt geht... die Einstellungen sind dieselben wie oben auf den Bildern zu sehen... und ich habe mir echt einen Wolf gesucht...

Naja es läuft jetzt jedenfalls...

Danke für deine Unterstützung!!!