Routing zw. FB6591 und ER-X bei Nutzung statischer IP und Exposed Host

Mitglied: blenzman

blenzman (Level 1) - Jetzt verbinden

09.01.2021 um 17:45 Uhr, 362 Aufrufe, 6 Kommentare

Hallo zusammen,

hab hier im Forum schon oft Hilfe gefunden - vielen Dank dafür!
Nun habe ich allerdings ein kleines Projekt, bei dem ich alleine nicht mehr weiter komme.

Folgender Sachverhalt:

- Business-Anschluss Vodafone Kabel in BW mit statischer IP-Adresse (/30er Subnetz) mit FritzBox Cable 6591
- ER-X als ExposedHost an der FritzBox angeschlossen
- Zum ER-X wird eine Site2Site VPN-Verbindung aufgebaut


netzplan1 - Klicke auf das Bild, um es zu vergrößern


Bisher habe ich die FB einfach als überfrachtetes Modem betrachtet. Nun möchte ich das separate Netz aber ganz gerne als Gäste-Wlan und die FB als DECT-Basisstation nutzen. Funktioniert auch soweit - nur, dass ich akutell keine Möglichkeit habe, diese aus meinem "normalen" Netz (192.168.3.0) zu steuern.

Außerdem spiele ich noch mit dem Gedanken einen Raspi als Webserver im LAN der FB zu installieren.

Ich hab mir schon einiges bzgl. Statische Routen angeschaut, blicke leider noch nicht ganz durch. Was ich verstanden habe, über ExposedHost-Verbindung kann ich keine Verbindung zum LAN der FB aufbauen. Daher der Gedanke hier die beiden Router nochmals zu verbinden.

Bisher hab ich folgendes versucht:

- Statische Route in FB: Zielnetz 192.168.3.0 / 255.255.255.0 / Gateway 192.168.178.21
- FB: Internet/Zugangsart/Portkonfiguration - hier hab ich nur LAN2 angeklickt zur Nutzung der öffentlichen IP
- ER-X: Statiche Route (Gateway) Ziel 192.168.178.0/24 Next Hop 192.168.178.1

Leider ohne den gewünschten Erfolg.

Nun zu meinen Fragen:

1. Ist die zweite Kabelverbindung so i.O.?
2. Wenn ja, welche Routen müsste ich in FB und ER-X eintragen, dass die beiden Netze kommunizieren können?
3. Mit entsprechenden Firwallregeln kommt das einer DMZ doch schon recht nahe, oder?

Kann mir einer weiterhelfen?

Danke!

Gruß Blenz
Mitglied: aqui
09.01.2021, aktualisiert 10.01.2021
Bisher habe ich die FB einfach als überfrachtetes Modem betrachtet.
Ein weitverbreiteter Irrglaube denn die FB ist kein Modem sondern ein vollwertiger Router.
Du betreibst sie in seiner simplen Router Kaskade mit doppeltem NAT und (vermutlich) doppeltem Firewalling.
Alles was in so einen Kaskaden Design beachtet werden muss beschreibt dieses Tutorial:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Knackpunkt sind also die Firewall Regeln des ER-X an seinem Koppelport (WAN-Port) zur FritzBox. Dort werden mit an Sicherheit grenzender Wahrscheinlichkeit alle RFC-1918_Netze geblockt und damit dann auch Traffic aus dem 192.168.178er IP Netz. Damit ist also dann die FB aus dem lokalen LAN Netz am ER-X logischerweise unerreichbar weil ihr Traffic den WAN Port nicht passieren kann.
In einem solchen Kaskaden Design ist es also immer sinnvoll den RFC1918 Traffic freizugeben weil die Koppelnetze in der Regel immer Private IP Netze sind. Bei einer pFSense_Firewall zum Beispiel geht das mit einem einzigen Haken im WAN Port Setup:
wan - Klicke auf das Bild, um es zu vergrößern
Simpelste Firewall Logik ! ;-) face-wink
Fazit:
Die schlichte und einfache Lösung ist: Erlaube in der ER-X Firewall die FB IP 192.168.178.1 (oder das Netz .178.0) das diese passieren darf und dann klappt der Zugriff auf die FB auch aus dem .3.0er Netz probllemlos !

Deine Kabelverbindung ist tödlich und komplett falsch und Sicherheits technisch fatal, denn damit verbindest du das .3.0er Netz wieder direkt mit dem .178.0er Netz. Du schliesst also den ER-X quasi kurz und führst dein Netz designtechnisch damit völlig ad absurdum. Dann kannst du den ER-X auch gleich völlig weglassen denn mit der Verkabelung ist er dann sinnfrei.
Du hast in deiner laienhaften Auffassung von den FB Ports völlig übersehen das diese nur als simple Layer 2 Ports arbeiten also als simpler Layer 2 Switch darstellen und NICHT als dedizierte Routerports zu sehen sind wie bei deinem ER-X.
Alle 4 Ports sind also gemeinsam im .178.0er IP Netz !!!
Bitte warten ..
Mitglied: blenzman
10.01.2021, aktualisiert um 14:17 Uhr
Hey,

Ein weitverbreiteter Irrglaube denn die FB ist kein Modem sondern ein vollwertiger Router.
Das war mir schon bewust...

Bzgl. der Firewallregeln hattest du recht - private Netze werden geblockt. Danke für den Hinweis, schaue ich mir an.

Du hast in deiner laienhaften Auffassung von den FB Ports völlig übersehen das diese nur als simple Layer 2 Ports arbeiten also als simpler Layer 2 > Switch darstellen und NICHT als dedizierte Routerports zu sehen sind wie bei deinem ER-X.
Alle 4 Ports sind also gemeinsam im .178.0er IP Netz !!!

Dann müsste doch mein ER-X auch eine Adresse im .178.0er Netz bekommen. Sieht lt. Anzeige in der FB aber nicht so aus. Hier wird die öffentliche IP angezeigt. Hatte für mich bisher Sinn gemacht, da der als ExposedHost angeschlossen ist. Die statische IP hab ich bei der Einrichtung des ER-X eingetragen (/30 Subnetz). Diese IP-Adresse (.226) kann ich aber ja nicht als Gateway in die statische Route der FB eintragen.

unbenannt2_ - Klicke auf das Bild, um es zu vergrößern

Daher kam ich auch auf die Idee mit dem zweiten Kabel. Hab ich aber wieder entfernt.

Wie müsste ich das Routing dann gestalten?
Die Freigabe der privaten Netze würde dann doch hier auch nicht reichen, oder?

Gruß Blenz
Bitte warten ..
Mitglied: aqui
10.01.2021 um 15:12 Uhr
Das war mir schon bewust...
Hast du dann aber hier dennoch falsch aufgeschrieben... ;-) face-wink
Dann müsste doch mein ER-X auch eine Adresse im .178.0er Netz bekommen.
Wenn du den Port als DHCP Client konfigurierst dann ja. Hast du vermutlich aber nicht, denn bei einer FW stehen die Port Modes in der Regel auf Static.
Eine Exposed Host ist sowas wie ein Scheunentor um die NAT Firewall der FB zu überwinden. Das bedeutet lediglich das die FB dann ALLES was an Traffic auf ihre öffentliche Internet IP reinkommt an den dort definierten Host im lokalen LAN sendet.
Das lokale LAN sind wie gesagt ALLE 4 Ports denn die arbeiten in einer simplen Layer 2 Switchkonfig und sind NICHT untereinander getrennt wie man das von einem "richtigen" Router oder Firewall kennt.
kann ich aber ja nicht als Gateway in die statische Route der FB eintragen.
Macht auch sehr wenig Sinn wenn die ER-X an ihrem WAN Port NAT und Firewalling macht ! Da sist ja einen Einbahnstrasse dann und kein transparentes Routing. Siehe dazu auch HIER.
Daher kam ich auch auf die Idee mit dem zweiten Kabel.
Wie gesagt: Gefährlicher laienhafter Unsinn. Leuchtet dir auch selber ein wenn du dir das Netzdesugn mal in Ruhe aus Layer 2 und Layer 3 Sicht ansiehst.
Wie müsste ich das Routing dann gestalten?
Wenn die ER-X NAT am WAN (Koppelport) macht dann gibts kein Routing. Dann braucht die ER-X lediglich eine Default Route auf die FritzBox...fertisch.Ist ja ne simple Router Kaskade mit doppeltem NAT und doppeltem Firewalling. Siehe Tutorial oben da ist alles erklärt zu dem Thema Kaskaden.
Die Freigabe der privaten Netze würde dann doch hier auch nicht reichen, oder?
Wenn NAT und Firewalling gemacht wird nicht, da hast du Recht. Dann brauchst du Port Forwarding und Anpassung des Regelwerkes. Ohne NAT ist es nur Routing und dann Regelwerk.
Kommt also drauf an was du konfiguriert hast oder willst. Siehe Routing Tutorial oben !
Lesen und verstehen. ;-) face-wink
Bitte warten ..
Mitglied: blenzman
13.01.2021 um 22:29 Uhr
Wenn die ER-X NAT am WAN (Koppelport) macht dann gibts kein Routing. Dann braucht die ER-X lediglich eine Default Route auf die
FritzBox...fertisch.Ist ja ne simple Router Kaskade mit doppeltem NAT und doppeltem Firewalling. Siehe Tutorial oben da ist alles erklärt zu dem
Thema Kaskaden.

Ja, der ER-X macht NAT am WAN.

Das verbinden zweier privater Netze wie im Tutorial beschrieben, versteh ich.
Bin mir nur nicht sicher ob das meine Situation hier wiederspiegelt. (oder ich blicke es doch noch nicht ;-) face-wink )

Ich hab hier folgende Subnetze:
- 192.168.178.0/24 LAN auf der Fritzbox
- 192.168.3.0/24 LAN auf dem ER-X
- 9x.xxx.xxx.224/30 bereitgestellt von Vodafone

Die Default Route im ER-X bezieht sich auf das Gateway des 9x.xxx.xxx.224/30 Netz. Damit wird die statische IP bereitgestellt (die muss ich auch eintragen, sonst kann ich sie nicht nutzen, da VF keinen Bridgemode mehr in der FB anbietet). Vorausgesetzt es gibt nur eine Default Route (wovon ich aktuell ausgehe) kann ich die ja nicht auf das LAN der FB ändern.

Kann in dem Fall überhaupt eine Kommunikation ins LAN der FB stattfinden?
Bitte warten ..
Mitglied: aqui
14.01.2021, aktualisiert um 10:59 Uhr
9x.xxx.xxx.224/30 bereitgestellt von Vodafone
Das ost das Point to Point netz von Voadfone. Ein /30er Prefix bedeutet ja so oder so nur 2 mögliche IP Adressen. Einmal die des Voadfone Routers und einmal deiner...das wars. Du hast vermutliche eine feste statische IP gebucht, dann bekommt man sowas. Wenn du das nicht gebucht hast wird sich die 9x.xxx.xxx.224 im PPPoE Tunnel üblciherweise alle 2-3 Tage ändern. (Dynmaische Provider IP)
Kann in dem Fall überhaupt eine Kommunikation ins LAN der FB stattfinden?
WO endet denn die 9x.xxx.xxx.224/30 IP ?? Auf deiner FritzBox oder im ER-X
PPPoE Passthrough supporten die FritzBoxen nicht mehr und auch nicht den Betrieb als reines Modem. Es sei denn du hast eine 7412er für_den_Modembetrieb ?!
Ohne eine genaue Beschreibung wer hier was routet oder routen soll und ggf. eine geneue Layer 3 Skizze kommen wir hier nicht weiter... :-( face-sad
Bitte warten ..
Mitglied: blenzman
14.01.2021 um 11:46 Uhr
Du hast vermutliche eine feste statische IP gebucht,
Ja.

WO endet denn die 9x.xxx.xxx.224/30 IP ??
Die endet im ER-X.

Ich dachte das würde aus der Zeichnung im Eingangspost klar werden. Hab mal eine neue angefertigt - hoffe die ist verständlicher.

Die Frage ist, ob es möglich ist von einem Rechner 192.168.3.10 auf den Raspi 192.168.178.50 zuzugreifen und wenn ja, wie das Routing aussehen müsste.

netz_topo_web_ - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Heimnetzwerk für mobiles Arbeiten
Matthias182Vor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, Die Corona Pandemie treibt viele Veränderungen, so auch bei uns. Seit Wochen arbeiten meine Frau und ich wieder von zu Hause. Und ...

Firewall
Pfsense plus für Geschäftskunden
Looser27Vor 21 StundenInformationFirewall13 Kommentare

Netgate wird in Zukunft die Open Source Firewall pfSense hauptsächlich als kommerzielle Version unter dem Namen pfSense Plus vermarkten. Die "Community Version" wird weiter ...

TK-Netze & Geräte
Hybrid-Telefon für Betrieb an ISDN- sowie VoIP-Anschluss
Datax87Vor 1 TagFrageTK-Netze & Geräte30 Kommentare

Hallo, ich habe eine Frage zu einer geplanten TK-Anlagen-Umstellung. An der betreffenden ISDN-TK-Anlage sind zurzeit 6 ISDN-Telefone angeschlossen. Der dazugehörige Telefon-/Internetanschluss ist zurzeit ein ...

Router & Routing
Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?
OldermanVor 1 TagFrageRouter & Routing24 Kommentare

Hallo und guten Tag allerseits! Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit ...

Windows Systemdateien
Windows 10 Kernisolierung: Inkompatible Treiber entfernen
FrankVor 1 TagAnleitungWindows Systemdateien1 Kommentar

Hallo, Eigentlich wollte ich nur den Empfehlungen der Windows Sicherheit nachgehen und unter Einstellungen -> Windows Sicherheit -> Kernisolierung, die Speicher-Integrität einschalten. Die Kernisolierung ...

Vmware
ESXI 6.5 Fehlgeschlagen - Zugriff auf eine Datei nicht möglich, weil sie gesperrt ist
gelöst zeroblue2005Vor 1 TagFrageVmware5 Kommentare

Hallo Zusammen, da meint man es gut und dann geht es in die Hose Aber erst mal zum IST-Zustand: - ESXI 6.5 U1 (Standalone) ...

Batch & Shell
Benutzeranmeldung mit Einschränkung
gelöst FreeBSDVor 1 TagFrageBatch & Shell8 Kommentare

Hallo zusammen, ich habe da ein kleines Problemchen und zwar versuche ich mich im PowerShell einzulernen, habe da eine kleine Aufgabe bekommen, dennoch krieg ...

Webbrowser
Frage zu "Remote-Debugging"
neuundbesserVor 1 TagFrageWebbrowser4 Kommentare

Moin, ich bin seit ein Paar Monaten in einem Projekt indem ich einfache Themen in JS-Code erledigen muss. Habe mich mittlerweile etwas in das ...