7
Verbindung von zwei Subnetzen über Fritzboxen - Routing nur in eine Richtung
Hallo zusammen,
meine Konfiguration sieht (vereinfacht ausgedrückt) wie folgt aus: wir haben zwei separate Netzwerke mit unterschiedlichen Subnetzen. Das Subnetz aus dem IP-Bereich 192.168.1.x hat überdies einen Zugang zum Internet über eine Fritzbox, die per DHCP auch IPs in diesem Netz vergibt. In dem anderen Netz (192.168.0.x) steht ebenfalls eine Fritzbox, die dort ebenfalls per DHCP IPs vergibt, dort ist jedoch kein Zugang zum Internet eingerichtet.
Diese beiden Netze habe ich nun per Kabel miteinander verbunden und möchte, dass das Netz 192.168.0.x den Internetzugang des anderen Netzes mitnutzen kann, wegen mir auch einen kompletten Zugriff auf das 1er Netz hat. Jedoch und das ist wichtig, soll das 1er-Netz nicht auf das 0er-Netz zugreifen können. Mit welchen Einstellungen in der Fritzbox (geht das überhaupt?) kann ich diese Konstellation realisieren?
Vielen Dank!
f4bi4n
meine Konfiguration sieht (vereinfacht ausgedrückt) wie folgt aus: wir haben zwei separate Netzwerke mit unterschiedlichen Subnetzen. Das Subnetz aus dem IP-Bereich 192.168.1.x hat überdies einen Zugang zum Internet über eine Fritzbox, die per DHCP auch IPs in diesem Netz vergibt. In dem anderen Netz (192.168.0.x) steht ebenfalls eine Fritzbox, die dort ebenfalls per DHCP IPs vergibt, dort ist jedoch kein Zugang zum Internet eingerichtet.
Diese beiden Netze habe ich nun per Kabel miteinander verbunden und möchte, dass das Netz 192.168.0.x den Internetzugang des anderen Netzes mitnutzen kann, wegen mir auch einen kompletten Zugriff auf das 1er Netz hat. Jedoch und das ist wichtig, soll das 1er-Netz nicht auf das 0er-Netz zugreifen können. Mit welchen Einstellungen in der Fritzbox (geht das überhaupt?) kann ich diese Konstellation realisieren?
Vielen Dank!
f4bi4n
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 229545
Url: https://administrator.de/contentid/229545
Printed on: April 24, 2024 at 15:04 o'clock
7 Comments
Latest comment
Hallo,
f4bi4n so ganz verstehe ich Dich nicht. Wenn Du der einen Box sagt Sie bekommt den Internetzugang über Lan1, dann ist das doch genauso wie Du möchtest? Sie nutzt den doch den Internetzugang von der ersten. Unter den Zugangsdaten kannst Du doch Einstellen wer/wie den Internetzugang zur Verfügung stellt. Ip, Gateway... Unter: Verbindungseinstellungen ändern
Klappt das nicht wenn man einfach gleich Lan sagt?
Sonst die Internetverbindung einstellen.
Probiert habe ich das jetzt noch nicht. Aber eigentlich müsste das gehen. Wie hast Du die Boxen denn jetzt verbunden? Oder kann Box 0 überhaupt noch nicht ins Internet?
Welche Boxen? Welche Firmeware, wäre auch hilfreich.
der Horst
f4bi4n so ganz verstehe ich Dich nicht. Wenn Du der einen Box sagt Sie bekommt den Internetzugang über Lan1, dann ist das doch genauso wie Du möchtest? Sie nutzt den doch den Internetzugang von der ersten. Unter den Zugangsdaten kannst Du doch Einstellen wer/wie den Internetzugang zur Verfügung stellt. Ip, Gateway... Unter: Verbindungseinstellungen ändern
Klappt das nicht wenn man einfach gleich Lan sagt?
Sonst die Internetverbindung einstellen.
Probiert habe ich das jetzt noch nicht. Aber eigentlich müsste das gehen. Wie hast Du die Boxen denn jetzt verbunden? Oder kann Box 0 überhaupt noch nicht ins Internet?
Welche Boxen? Welche Firmeware, wäre auch hilfreich.
der Horst
Diese beiden Netze habe ich nun per Kabel miteinander verbunden und möchte, dass das Netz 192.168.0.x den Internetzugang des anderen Netzes mitnutzen kann, wegen mir auch einen kompletten Zugriff auf das 1er Netz hat.
Ein NoGo und ein kompletter laienhafter IP Designfehler ! Man kann niemals 2 IP Netze einfach nur mit einem simplen Kabel verbinden, das ist Blödsinn. Damit fährst du mit 2 IP Netzen auf einem Draht. Geht nicht und zeugt eher von erheblichem Unwissen im IP Netzwerk Bereich !Das Einfachste ist du nimmst einen 35 Euro Mikrotik Router 750, der hat ein abschaltbares NAT oder ein Router mit freier DD-WRT Firmware z.B., bei dem das NAT deaktivierbar ist !
Beispiele dieser Einrichtung mit sauberem transparenten Routing findest du in diesem Forumstutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hier sind diverse Beispiele wie dein simples Szenario mit kleinem Geld lösbar ist. Um einen zusätzlichen Router kommst du nicht drumrum.
Der Knackpunkt der Lösung ala "DMZ des kleinen Mannes" ist aber das der Traffic von Netz 2 immer ungeschützt durch Netz 1 geht und umgedreht. Mit einem Wireshark Sniffer hat man dann alles in in beiden netzen inder Hand !
Ein NoGo wenn es um Sicherheit geht und kein normaler mensch macht sowas wie oben...nichtmal ein Laie, sorry !
Sinnvoller ist bei sowas auch immer eine kleine Firewall wie z.B. diese hier zur Kopplung:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Die hat 2 separate lokale LAN Segmente die Firewall technisch wasserdicht abzusichern sind OHNE das Traffic des einen über das Netz des anderen geht.
Da du aber nur minimalste Anforderungen an die Sicherheit hast fährst du mit dem Mikrotik 750 sicherer und billiger.
Suche im Forum hier einfach mal nach "Netz koppeln" oder "zwei Netzwerke". Hier gibt es zuhauf Threads die dieses Simpelszenario beschreiben.
Wie hier z.B.:
Routing zwischen verschiedenen Netzen
usw.
Hallo,
man kann bei einigen AVM Fritz!Boxen den LAN Port 4 als DMZ nutzen bzw.
die DMZ Funktion aktivieren, dann haben beide Netze unterschiedliche IP Adressen
können nicht auf einander zugreifen, sind also getrennt, aber nutzen die AVM
Fritz!Box als DHCP Server.
Das würde ich als erstes versuchen wollen bevor ich andere Sachen unternehme.
Alternativ kann man natürlich auch einen kleinen VLAN fähigen Switch kaufen
und die beiden Netzwerke dann mittels VLANs von einander trennen bzw. jedem
VLAN dann eine eigene IP Range vergeben.
- Layer2 Switch die VLANs können nicht aufeinander zugreifen z.B. Cisco SG200-xx Serie
- Layer3 Switch die VLANs können auf einander zugreifen und der Switch selbst übernimmt das
Routing der VLANs wie z.B. ein Switch der Cisco SG300-xx Serie.
Cisco SG200
Cisco SG300
Alternative kann man auch Switche anderer Hersteller benutzen wie z.B.
- Netgear GS105E ~25 €
- Netgear GS108E ~35 €
- Netgear GS108Tv2 ~88 €
- Netgear GS110T ~99 €
- Zyxel GS1910 ~150 €
Man kann auch einen kleinen MikroTik Router als Kaskade hinter die Fritz!Box
installieren und von dort aus dann VLANs anlegen bzw. die Netze mittels einfachem
Routing von einander trennen.
Das muss dann aber jeder für sich selber entscheiden was er und wie er das realisiert.
Gruß
Dobby
man kann bei einigen AVM Fritz!Boxen den LAN Port 4 als DMZ nutzen bzw.
die DMZ Funktion aktivieren, dann haben beide Netze unterschiedliche IP Adressen
können nicht auf einander zugreifen, sind also getrennt, aber nutzen die AVM
Fritz!Box als DHCP Server.
Das würde ich als erstes versuchen wollen bevor ich andere Sachen unternehme.
Alternativ kann man natürlich auch einen kleinen VLAN fähigen Switch kaufen
und die beiden Netzwerke dann mittels VLANs von einander trennen bzw. jedem
VLAN dann eine eigene IP Range vergeben.
- Layer2 Switch die VLANs können nicht aufeinander zugreifen z.B. Cisco SG200-xx Serie
- Layer3 Switch die VLANs können auf einander zugreifen und der Switch selbst übernimmt das
Routing der VLANs wie z.B. ein Switch der Cisco SG300-xx Serie.
Cisco SG200
Cisco SG300
Alternative kann man auch Switche anderer Hersteller benutzen wie z.B.
- Netgear GS105E ~25 €
- Netgear GS108E ~35 €
- Netgear GS108Tv2 ~88 €
- Netgear GS110T ~99 €
- Zyxel GS1910 ~150 €
Man kann auch einen kleinen MikroTik Router als Kaskade hinter die Fritz!Box
installieren und von dort aus dann VLANs anlegen bzw. die Netze mittels einfachem
Routing von einander trennen.
Das muss dann aber jeder für sich selber entscheiden was er und wie er das realisiert.
Gruß
Dobby
verstehe die langen Antworten nicht.
Das ist ohne große Konfiguration möglich.
Internet --- WAN FB1(1er-Netz) LAN1-4 ------(1er-Netz)-----LAN1 FB2(0er Netz) LAN2-4 ---------- (0er Netz)
erfüllt deine Anforderungen.
Die FB2 braucht keine Einträge für den Zugang und muss auf WAN-Seite(LAN1) auf Adr. automatisch beziehen stehen. Du kannst aber auch fese Einträge vergeben.
Beide DHCP-Server können an sein.
Die FB2s sollten einen etwas eingeschränkten DHCP-Bereich von z.B: 100-199 nutzen umd im Bedarfsfalle leicht feste IPs zu vergeben.
Auch dazu gibt es ein Tutorial von aqui. Kopplung von 2 Routern am DSL Port Variante 2. Erestze DMZ durch 1er Netz.
Gruß Netman
Das ist ohne große Konfiguration möglich.
Internet --- WAN FB1(1er-Netz) LAN1-4 ------(1er-Netz)-----LAN1 FB2(0er Netz) LAN2-4 ---------- (0er Netz)
erfüllt deine Anforderungen.
Die FB2 braucht keine Einträge für den Zugang und muss auf WAN-Seite(LAN1) auf Adr. automatisch beziehen stehen. Du kannst aber auch fese Einträge vergeben.
Beide DHCP-Server können an sein.
Die FB2s sollten einen etwas eingeschränkten DHCP-Bereich von z.B: 100-199 nutzen umd im Bedarfsfalle leicht feste IPs zu vergeben.
Auch dazu gibt es ein Tutorial von aqui. Kopplung von 2 Routern am DSL Port Variante 2. Erestze DMZ durch 1er Netz.
Gruß Netman
@MrNetman
Du hast natürlich Recht !
Das ist zweifelsohne richtig was du sagst, keine Frage. Das ist die klassische Kopplung wie sie im obigen Tutorial ja steht in der Alternative 2.
Dem TO sollte nur bewusst sein das er ausschliesslich von Netz 2 auf Netz 1 zugreifen kann aber in der Konstellation nicht von Netz 1 in Netz 2 eben durch das NAT der FB2 am LAN 1 Port.
Interpretiert man aber seine Aussage von oben ist das auch so kein Hinderniss ! Folglich ist das also die Lösung für den TO.
Ums dem TO etwas einfacher zu machen hier nochmal die Lösung wie man es umsetzen muss:
Die einzelnen Schritte:
So, nun ist der TO dran hier mitzuteilen ob es so klappt (was es ganz sicher macht) dann kann er den Case hier auch schliessen:
How can I mark a post as solved?
Sofern ihn das überhaupt noch interessiert ?! Sein Feedback dazu geht ja ziemlich gegen Null
Du hast natürlich Recht !
Das ist zweifelsohne richtig was du sagst, keine Frage. Das ist die klassische Kopplung wie sie im obigen Tutorial ja steht in der Alternative 2.
Dem TO sollte nur bewusst sein das er ausschliesslich von Netz 2 auf Netz 1 zugreifen kann aber in der Konstellation nicht von Netz 1 in Netz 2 eben durch das NAT der FB2 am LAN 1 Port.
Interpretiert man aber seine Aussage von oben ist das auch so kein Hinderniss ! Folglich ist das also die Lösung für den TO.
Ums dem TO etwas einfacher zu machen hier nochmal die Lösung wie man es umsetzen muss:
Die einzelnen Schritte:
- FB1 so lassen wie sie ist mit dem Setup
- Bei FB2 das interne DSL Modem im Setup deaktivieren.
- FB2 am WAN/Internet Port LAN 1 auf DHCP Modus einstellen (KEIN PPPoE !)
- LAN 1 Port der FB2 mit einem der LAN 2-4 Ports der FB1 verbinden
- Fertisch...
So, nun ist der TO dran hier mitzuteilen ob es so klappt (was es ganz sicher macht) dann kann er den Case hier auch schliessen:
How can I mark a post as solved?
Sofern ihn das überhaupt noch interessiert ?! Sein Feedback dazu geht ja ziemlich gegen Null
Hallo zusammen,
vielen Dank für das ausführliche Feedback! Die Sicherheitsbedenken möchte ich nicht einfach so vom Tisch wischen und bin durchaus dafür sensibilisiert, dass ich aus Sicherhetissicht eine Lösung wähle, die suboptimal ist - das ist jedoch für meinen Einsatzfall eher von untergeordneter Bedeutung, denn selbst wenn ein völlig freier Zugriff aus Netz 1 in Netz 2 möglich wäre, entspräche das nicht meiner Wunschvorstellung, aber wäre auch nicht so dramatisch.
Jetzt habe ich jedoch noch ein weiterführendes Problem zum Lösungsvorschlag von @aqui:
Aufgrund der Vernetzungsstruktur (DLAN) ist eine direkter Anschluss des zweiten Netzes an LAN 1 in der Fritzbox nicht möglich. Es ist so, dass die Verbindung zwischen den beiden Netzen an einer Stelle stattfindet, wo ein Stück über DLAN überbrückt worden ist. Das DLAN wird in Netz 2 jedoch auch für die normale Vernetzung genutzt.
Sorry, das hätte ich direkt zu Beginn mit erläutern müssen.
Vielen Dank!
F4bi4n
vielen Dank für das ausführliche Feedback! Die Sicherheitsbedenken möchte ich nicht einfach so vom Tisch wischen und bin durchaus dafür sensibilisiert, dass ich aus Sicherhetissicht eine Lösung wähle, die suboptimal ist - das ist jedoch für meinen Einsatzfall eher von untergeordneter Bedeutung, denn selbst wenn ein völlig freier Zugriff aus Netz 1 in Netz 2 möglich wäre, entspräche das nicht meiner Wunschvorstellung, aber wäre auch nicht so dramatisch.
Jetzt habe ich jedoch noch ein weiterführendes Problem zum Lösungsvorschlag von @aqui:
Aufgrund der Vernetzungsstruktur (DLAN) ist eine direkter Anschluss des zweiten Netzes an LAN 1 in der Fritzbox nicht möglich. Es ist so, dass die Verbindung zwischen den beiden Netzen an einer Stelle stattfindet, wo ein Stück über DLAN überbrückt worden ist. Das DLAN wird in Netz 2 jedoch auch für die normale Vernetzung genutzt.
Sorry, das hätte ich direkt zu Beginn mit erläutern müssen.
Vielen Dank!
F4bi4n
ein völlig freier Zugriff aus Netz 1 in Netz 2 möglich wäre,
Nein, das ist der o.a. beschriebenen Lösung nicht möglich ! Leuchtet auch ein, denn am WAN Port der FB2 ist die dortige NAT Firewall im Router aktiv die man bei der FB nicht deaktivieren kann.Ein Zugriff von Netz 1 ins Netz 2 ist somit technisch nicht möglich, da das am WAN Port der FB2 eben dadurch hängenbleibt.
Andersrum klappt es aber, muss es auch sonst kommt Netz 2 ja nicht ins Internet...logisch
Zum Thema DLAN:
Das ist generell kein Problem erfordert aber ein 2tes DLAN Pärchen zur Lösung bzw. Isolation !
Dieses setzt du über das Setup auf ein anderes Passwort ! Damit kann es keine Verbindung zu dem anderen DLAN Komponenten aufbauen und erzeugt so ein vollkommen isoliertes "Verbindungs LAN". Quasi also 2 getrennte D-LAN Segmente.
Das benutzt du dann um den LAN 1 Port der FB2 mit dem LAN Ports der FB1 zu verbinden.
Alternativ zu D-LAN, wenn die Strecke nicht zu lang ist, kannst du ein ganz flaches spezielles Ethernet Kabel verwenden was man problemlos hinter Fussleisten und unter Teppichen verlegen kann sofern das möglich ist:
http://www.amazon.de/Fibrionic-Netzwerk-Kabel-Cat5e-flach-weiß/dp ...
Auch das löst dein "Problem" dann im Handumdrehen.
2
