17
VPN und Hauptrouter DSL u. LAN, Zweitrouter nur W-LAN
Ein herzliches Hallo in die Runde 
Google spuckt zig Tausend Treffer aus, und jeder ist anders. Also bin ich hier gelandet und hoffe, Ihr könnt mir weiterhelfen. Bin ich IT-Profi? Nein. Bin ich IT-begeistert und -Interessent? Aber ja.
Ich plane, mir ein VPN einzurichten. Den Leitfaden bei Euch habe ich gefunden und abgespeichert - so weit, so gut.
Es geht mir aber weniger um die Einrichtung selbst, sondern um mein ... sagen wir mal ... abenteuerliches Set-up.
1. Mein Hauptrouter ist ein Draytek Vigor 2865vac (mit DECT-Telefonie); der hat ein Modem und hängt am DSL-Anschluss. Die Fritz!Box wurde vor längerer Zeit ins Nirwana geschickt, ich wollte den Draytek. Auch wegen dessen vielen Config-Einstellungen und einer zugegeben sehr guten Firewall. Er kann zwar auch W-LAN, soll er aber nicht -->
2. Der "Neben"-Router ist ein Asus ROG Capture GT-AXE16000; dessen W-LAN Performance ist aus meiner Sicht top; auch er hat zahlreiche Einstellmöglichkeiten. Er hängt mit Kabel über WAN am Hauptrouter - logisch, er muss ja auch ins Internet.
3. Ich bin eher ein LAN-Typ und versuche, W-LAN zu vermeiden. Bei iPhone, iPad & Co. (HomePods, Alexa und smarte Steckdosen) geht das aber nur wireless. Daher versorgt der Asus alle Geräte im W-LAN, der Draytek stemmt die kabelgebundenen Geräte, auch mit 2 managed Switches.
4. Der Draytek hat die IP 192.168.1.1, der Asus funkt mit 192.168.50.1
Warum? Weil beide als DHCP fungieren. Der Asus hat noch zwei Nebenrouter, die als AI Mesh-Knoten arbeiten - über 2 Etagen. Das gibt bisher keine Probleme. Ich las mal, dass es genau wegen dieser AI Mesh-Knoten ratsam sei, den Asus auch als DHCP einzurichten.
Ich arbeite ausschließlich mit MacOS (iMacPro 18 core oder MBA)
Frage Nr. 1:
Stimmt das bei Frage 4 so? Oder ist es besser, wenn nur der Draytek DHCP übernimmt?
Frage Nr. 2:
Behielte ich das bisherige Set-up bei: muss ich dann bei beiden Routern VPN einrichten oder reicht das beim Hauptrouter, da der ja Internet liefert?
Frage Nr. 3:
Wenn nur der Draytek DHCP stemmt, erübrigt sich ggf. Nr. 2, dann übernimmt der. Draytek liefert sogar im AppStore einen Smart-VPN Client mit, der aber nur mit Draytek-Routern funktioniert.
Frage Nr. 4:
Habt Ihr Erfahrung mit einem solchen Setup bzw. habt Ratschläge für mich? Was wäre Eure Vorgehensweise, wenn ich Nr. 2 beibehielte?
Ganz lieben Dank im Voraus. Ich hoffe, Ihr seid mir wegen der Fragen nicht böse, aber ich fühle mich hier gut aufgehoben.
Liebe Grüße
Verena
Google spuckt zig Tausend Treffer aus, und jeder ist anders. Also bin ich hier gelandet und hoffe, Ihr könnt mir weiterhelfen. Bin ich IT-Profi? Nein. Bin ich IT-begeistert und -Interessent? Aber ja.
Ich plane, mir ein VPN einzurichten. Den Leitfaden bei Euch habe ich gefunden und abgespeichert - so weit, so gut.
Es geht mir aber weniger um die Einrichtung selbst, sondern um mein ... sagen wir mal ... abenteuerliches Set-up.
1. Mein Hauptrouter ist ein Draytek Vigor 2865vac (mit DECT-Telefonie); der hat ein Modem und hängt am DSL-Anschluss. Die Fritz!Box wurde vor längerer Zeit ins Nirwana geschickt, ich wollte den Draytek. Auch wegen dessen vielen Config-Einstellungen und einer zugegeben sehr guten Firewall. Er kann zwar auch W-LAN, soll er aber nicht -->
2. Der "Neben"-Router ist ein Asus ROG Capture GT-AXE16000; dessen W-LAN Performance ist aus meiner Sicht top; auch er hat zahlreiche Einstellmöglichkeiten. Er hängt mit Kabel über WAN am Hauptrouter - logisch, er muss ja auch ins Internet.
3. Ich bin eher ein LAN-Typ und versuche, W-LAN zu vermeiden. Bei iPhone, iPad & Co. (HomePods, Alexa und smarte Steckdosen) geht das aber nur wireless. Daher versorgt der Asus alle Geräte im W-LAN, der Draytek stemmt die kabelgebundenen Geräte, auch mit 2 managed Switches.
4. Der Draytek hat die IP 192.168.1.1, der Asus funkt mit 192.168.50.1
Warum? Weil beide als DHCP fungieren. Der Asus hat noch zwei Nebenrouter, die als AI Mesh-Knoten arbeiten - über 2 Etagen. Das gibt bisher keine Probleme. Ich las mal, dass es genau wegen dieser AI Mesh-Knoten ratsam sei, den Asus auch als DHCP einzurichten.
Ich arbeite ausschließlich mit MacOS (iMacPro 18 core oder MBA)
Frage Nr. 1:
Stimmt das bei Frage 4 so? Oder ist es besser, wenn nur der Draytek DHCP übernimmt?
Frage Nr. 2:
Behielte ich das bisherige Set-up bei: muss ich dann bei beiden Routern VPN einrichten oder reicht das beim Hauptrouter, da der ja Internet liefert?
Frage Nr. 3:
Wenn nur der Draytek DHCP stemmt, erübrigt sich ggf. Nr. 2, dann übernimmt der. Draytek liefert sogar im AppStore einen Smart-VPN Client mit, der aber nur mit Draytek-Routern funktioniert.
Frage Nr. 4:
Habt Ihr Erfahrung mit einem solchen Setup bzw. habt Ratschläge für mich? Was wäre Eure Vorgehensweise, wenn ich Nr. 2 beibehielte?
Ganz lieben Dank im Voraus. Ich hoffe, Ihr seid mir wegen der Fragen nicht böse, aber ich fühle mich hier gut aufgehoben.
Liebe Grüße
Verena
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2434307203
Url: https://administrator.de/contentid/2434307203
Ausgedruckt am: 21.11.2024 um 09:11 Uhr
17 Kommentare
Neuester Kommentar
Du betreibst eine klassische Router Kaskade mit doppeltem NAT und doppelter Firewall. Also mehr oder minder ein Standard Setup. Technisch nicht perfekt, da in der Regel überflüssig, denn welchen tieferen Sinn hat so eine Kaskade bei dir? Letztlich aber natürlich machbar.
Wenn der 2te Router rein nur als WLAN Accesspoint dienen soll ist das Setup technisch kontraproduktiv, denn dann koppelt man niemals über den WAN Port sondern immer über den LAN Port. Damit betreibt man den 2ten Router als einfachen WLAN Accesspoint was bekanntlich deutlich ressourcenschonender ist. Siehe dazu auch HIER
Frage 1.)
Ja, in deinem speziellen Setup geht das so, denn der Kopplellink, sprich das LAN zw. Draytek und Asus ist ein geschlossenes Netz und das LAN am Asus auch. Beide haben nur eine geroutete Verbindung.
Die 2 DHCP Server "sehen" sich also nicht weil es keine Layer 2 Verbindung gibt und kommen sich deshalb auch nicht in die Quere.
Bei einer L2 Kopplung würden sich beide stören und es käme zum Adress Chaos denn dann würde beide wahllos auf die Clients antorten und falsche IPs verteilen.
Bindest du den Asus im Falle einer reinen WLAN Accesspoint Nutzung also korrekterweise nur über den LAN Port an, dürfte auf dem Asus keinesfalls ein 2ter DHCP Server laufen. In dem Falle einer L2 Kopplung gilt dann das Highlander Prinzip: "Es kann nur einen geben!" und NUR der Draytek wäre für das LAN der DHCP Server.
Frage 2.)
Nein!
Siehe obiges Kaskaden Tutorial und die entsprechenden VPN Tutorials hier die du ja angeblich gelesen hast. Das VPN aktivierst du logischerweise nur am kaskadierten Router und machst am Eingangsrouter ein Port Forwarding auf die von deinem gewählten VPN Protokoll genutzten TCP oder UDP Protokollports. Der Grund ist das du die NAT Firewall am 2ten Router (Asus) nicht überwinden kannst. Es macht also in so einem Setup sehr wenig bis gar keinen Sinn das VPN auf dem Eingangsrouter zu terminieren!
Anders wieder bei einer reinen WLAN Accesspoint Nutzung des Asus. Der arbeitet dann gar nicht mehr als performancefressender Router "Durchlauferhitzer" sondern lediglich nur als reine L2 WLAN Bridge und dann terminiert man das VPN natürlich immer auf dem Eingangsrouter.
Frage 3.)
Die DHCP Funktion eines Routers hat mit der VPN IP Adressvergabe der VPN Clients nichts zu tun. Das regelt in der Regel das verwendete VPN Protokoll selber. In sofern ist das nicht relevant.
Frage 4.)
Etwas sinnfreie Frage in einem Adminitratoren Forum....aber nundenn.
Lies dir die hiesigen VPN Tutorials und besonders deren weiterführende Links genau durch. Die Links enthalten sehr viele Praxissetups aller gängigen VPN Protokolle und auch Empfehlungen.
Merkzettel: VPN Installation mit Wireguard
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Merkzettel: VPN Installation mit OpenVPN
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wichtige Tips zum VPN IP Adressdesign
Wenn der 2te Router rein nur als WLAN Accesspoint dienen soll ist das Setup technisch kontraproduktiv, denn dann koppelt man niemals über den WAN Port sondern immer über den LAN Port. Damit betreibt man den 2ten Router als einfachen WLAN Accesspoint was bekanntlich deutlich ressourcenschonender ist. Siehe dazu auch HIER
Frage 1.)
Ja, in deinem speziellen Setup geht das so, denn der Kopplellink, sprich das LAN zw. Draytek und Asus ist ein geschlossenes Netz und das LAN am Asus auch. Beide haben nur eine geroutete Verbindung.
Die 2 DHCP Server "sehen" sich also nicht weil es keine Layer 2 Verbindung gibt und kommen sich deshalb auch nicht in die Quere.
Bei einer L2 Kopplung würden sich beide stören und es käme zum Adress Chaos denn dann würde beide wahllos auf die Clients antorten und falsche IPs verteilen.
Bindest du den Asus im Falle einer reinen WLAN Accesspoint Nutzung also korrekterweise nur über den LAN Port an, dürfte auf dem Asus keinesfalls ein 2ter DHCP Server laufen. In dem Falle einer L2 Kopplung gilt dann das Highlander Prinzip: "Es kann nur einen geben!" und NUR der Draytek wäre für das LAN der DHCP Server.
Frage 2.)
Nein!
Siehe obiges Kaskaden Tutorial und die entsprechenden VPN Tutorials hier die du ja angeblich gelesen hast. Das VPN aktivierst du logischerweise nur am kaskadierten Router und machst am Eingangsrouter ein Port Forwarding auf die von deinem gewählten VPN Protokoll genutzten TCP oder UDP Protokollports. Der Grund ist das du die NAT Firewall am 2ten Router (Asus) nicht überwinden kannst. Es macht also in so einem Setup sehr wenig bis gar keinen Sinn das VPN auf dem Eingangsrouter zu terminieren!
Anders wieder bei einer reinen WLAN Accesspoint Nutzung des Asus. Der arbeitet dann gar nicht mehr als performancefressender Router "Durchlauferhitzer" sondern lediglich nur als reine L2 WLAN Bridge und dann terminiert man das VPN natürlich immer auf dem Eingangsrouter.
Frage 3.)
Die DHCP Funktion eines Routers hat mit der VPN IP Adressvergabe der VPN Clients nichts zu tun. Das regelt in der Regel das verwendete VPN Protokoll selber. In sofern ist das nicht relevant.
Frage 4.)
Etwas sinnfreie Frage in einem Adminitratoren Forum....aber nundenn.
Lies dir die hiesigen VPN Tutorials und besonders deren weiterführende Links genau durch. Die Links enthalten sehr viele Praxissetups aller gängigen VPN Protokolle und auch Empfehlungen.
Merkzettel: VPN Installation mit Wireguard
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Merkzettel: VPN Installation mit OpenVPN
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wichtige Tips zum VPN IP Adressdesign
Ein ganz dickes Danke schön
Der Asus-Router arbeitet NICHT als AP, zumindest nicht in seinen Einstellungen - er wird als Router betrieben.
Und Online geht er von WAN zu LAN am Draytek, steht auch so bei Asus. *grübel*
Der Asus-Router arbeitet NICHT als AP, zumindest nicht in seinen Einstellungen - er wird als Router betrieben.
Und Online geht er von WAN zu LAN am Draytek, steht auch so bei Asus. *grübel*
Hi,
Edit: Ich bin dumm und hab nicht richtig gelesen..., vergiss folgende Frage:
der Asus und Draytek sind im selben Netz? Oder unterschiedliche Netze und es wird geroutet?
zu 1 (2x DHCP): schön ist das nicht und auch nicht nötig. Wenn du DHCP auf dem Asus haben möchtest, dann nimm den DHCP des Draytek einfach raus, bring die Asus ins selbe Netz und lass alles den Asus machen. Wer DHCP ist spielt keine Rolle.
zu 2: VPN auf den Draytek, alles andere macht keinen Sinn und es reicht immer. 2x VPN kann nicht klappen.
zu 3: Verstehe ich nicht wirklich. Wer DHCP macht ist für VPN egal. Wenn dein VPN ein eigenes Netz wird (wovon auszugehen ist), dann spielt es doppelt keine Rolle, denn dann macht der Draytek nur für dein VPN Netz den DHCP Server.
--> Draytek übernimmt die Interneteinwahl, das Routing und den VPN Server. Er ist dein DNS Server und dein Gateway. Sagen wir mal 192.168.1.1
--> Die Asus Geräte spannen dein WLAN auf und einer davon ist DHCP-Server. Sagen wir, der Asus hat die 192.168.1.250. Der verteilt nun IP-Adressen von 192.168.1.50-150, als DNS Server die 192.168.1.1 und als Gateway auch die 192.168.1.1 (DNS und Gateway auf dem Asus selbst sind jeweils auch die .1).
Ist eigentlich gar nicht so abenteuerlich.
Gruß
Drohnald
Edit: Ich bin dumm und hab nicht richtig gelesen..., vergiss folgende Frage:
der Asus und Draytek sind im selben Netz? Oder unterschiedliche Netze und es wird geroutet?
zu 1 (2x DHCP): schön ist das nicht und auch nicht nötig. Wenn du DHCP auf dem Asus haben möchtest, dann nimm den DHCP des Draytek einfach raus, bring die Asus ins selbe Netz und lass alles den Asus machen. Wer DHCP ist spielt keine Rolle.
zu 2: VPN auf den Draytek, alles andere macht keinen Sinn und es reicht immer. 2x VPN kann nicht klappen.
zu 3: Verstehe ich nicht wirklich. Wer DHCP macht ist für VPN egal. Wenn dein VPN ein eigenes Netz wird (wovon auszugehen ist), dann spielt es doppelt keine Rolle, denn dann macht der Draytek nur für dein VPN Netz den DHCP Server.
Habt Ihr Erfahrung mit einem solchen Setup bzw. habt Ratschläge für mich? Was wäre Eure Vorgehensweise, wenn ich Nr. 2 beibehielte?
Ich würde keine Kaskade machen sondern die Asus einfach ins selbe Netz packen.--> Draytek übernimmt die Interneteinwahl, das Routing und den VPN Server. Er ist dein DNS Server und dein Gateway. Sagen wir mal 192.168.1.1
--> Die Asus Geräte spannen dein WLAN auf und einer davon ist DHCP-Server. Sagen wir, der Asus hat die 192.168.1.250. Der verteilt nun IP-Adressen von 192.168.1.50-150, als DNS Server die 192.168.1.1 und als Gateway auch die 192.168.1.1 (DNS und Gateway auf dem Asus selbst sind jeweils auch die .1).
Ist eigentlich gar nicht so abenteuerlich.
Ganz lieben Dank im Voraus. Ich hoffe, Ihr seid mir wegen der Fragen nicht böse, aber ich fühle mich hier gut aufgehoben.
Gerne und wir sind sicher nicht böse. Fragen ist gut, dafür ist das Forum da.Gruß
Drohnald
1
Ihr seid großartig, und zum ersten Mal habe ich eine Antwort auf meine Frage, die mir ehrlich weiterhilft.
Danke sehr.
Danke sehr.
der Asus und Draytek sind im selben Netz?
Nein. Versteht man die TE richtig ist es ein klassisches Kaskaden Setup das dann immer 2 unterschiedliche IP Netze bedingt. Siehe auch HIER.Der Asus-Router arbeitet NICHT als AP, zumindest nicht in seinen Einstellungen - er wird als Router betrieben.
Wurde ja schon erkannt oben das es ein Kaskaden Setup mit doppeltem NAT und doppeltem Firewalling ist. 
Die Kardinalsfrage ist WIE DU ihn nutzt oder nutzen willst und ob ein Kaskaden Setup überhaupt erforderlich ist??
Soll er wirklich nur als einfacher WLAN Accesspoint dienen ist das Setup dann eher kontraproduktiv weil du dir überflüssigerweise ein doppeltes NAT und doppeltes Firewalling ins Netz holst was sinnfrei wäre und zudem noch Performance kostet. Eigentlich muss man dafür dann auch keinen Router verbraten" und es reicht ein einfacher AP von Mikrotik oder ein refurbished Premium AP von Cisco usw.
Leider hast du ja nichts zu dieser Thematik gesagt.
Tja, aqui - ich wusste das alles nicht. Und ich bin der Empfehlung mit 2 DHCP's wegen der 2 AI Mesh-Knoten von Asus gefolgt; auch deshalb ist der ROG Rap eben kein AP.
Nu habbisch aber sehr gute Tipps und Erklärungen von Euch bekommen; der ROG wird morgen Slave beim Draytek spielen (müssen), mal schauen, wie das läuft. Hab Urlaub und somit Zeit.
In jedem Fall werde ich berichten.
Nu habbisch aber sehr gute Tipps und Erklärungen von Euch bekommen; der ROG wird morgen Slave beim Draytek spielen (müssen), mal schauen, wie das läuft. Hab Urlaub und somit Zeit.
In jedem Fall werde ich berichten.
Auch für ein Mesh benötigt man keine Kaskade! Es reicht wenn der Master AP als reiner Master AP im LAN arbeitet (Layer 2 Bridging). Die Kopplung über den WAN Port ist da immer kontraproduktiv und der falsche Weg weil dann unnötigerweise NAT ins Spiel kommt. Das Kopplungs und Kaskaden Tutorial erklärt die Details.
Wiewaswowarumweshalb? 
EDIT: Das heißt aber auch, dass der ROG ab sofort als AP eingerichtet werden soll, korrekt?
Ich setze das morgen in Ruhe um. Und wenn das alles so klappt, gibt's ne Runde Cappu für alle. *lach*
EDIT 2: das schreibt Asus, und so hab ich es ursprünglich auch eingerichtet:
https://www.asus.com/de/support/faq/1011715/
EDIT: Das heißt aber auch, dass der ROG ab sofort als AP eingerichtet werden soll, korrekt?
Ich setze das morgen in Ruhe um. Und wenn das alles so klappt, gibt's ne Runde Cappu für alle. *lach*
EDIT 2: das schreibt Asus, und so hab ich es ursprünglich auch eingerichtet:
https://www.asus.com/de/support/faq/1011715/
das schreibt Asus, und so hab ich es ursprünglich auch eingerichtet:
Das war dann natürlich falsch sofern du den Asus nur als einfachen WLAN AP degradieren willst, denn es geht dabei ja klar um einen Internet Zugang den bei dir ja unbestreitbar der Draytek realisiert.Das ASUS HowTo ist also für dein Szenario völlig unbrauchbar sofern du wirklich nur den 2ten Router als einfachen WLAN AP betreibst und das dessen Bestimmung ist.
Leider hast du dazu ja immer noch nichts gesagt.
Ein Kaskaden Setup kann ja auch einen anderen Grund haben, wenn du z.B. Oma Gretes Netzwerk von deinem trennen willst oder den Nachbar mit anbindest. Da kann dann das NAT und das Firewalling dein Netzwerk vor Fremdzugriff schützen. Vielleicht hat dich ja sowas getrieben so eine Kaskade aufzusetzen?!
Wenn der Asus aber nur als reiner WLAN AP laufen soll ist das Setup de facto falsch und die Asus Anleitung natürlich dann auch unsinnig weil es eine ganz andere Verwendung beschreibt.
Das ist oft der typische Anfängerfehler den Laien begehen wenn sie mehrere Systeme nur fürs WLAN kaskadieren. Keiner hat das oft nicht abschaltbare NAT der Router auf dem Radar und wundert sich dann über einseitigen Netzwerkverkehr und das nix klappt. Genau deshalb gibt es das o.a. Tutorial was da Licht ins Dunkel bringt.
Damit einher geht das Routing Tutorial was dann die NAT Routing Einbahnstrasse beleuchtet die man sich mit so einem falschen Setup schafft wenn man eigentlich nur einen AP anbinden will.
Einfach mal lesen und verstehen! 😉
Wenn man eine reine AP Funktion benötigt kauft man auch immer einen AP aber niemals einen kompletten Router den man dann zum, AP degardiert. Das ist so als wenn man einen Tretroller will aber ein Moped kauft und damit durch die Gegend rollert... Wer macht sowas?!
Ob man sich mit einem Asus generell was Gutes tut steht auf einem ganz anderen Blatt. Deren Ruf ist bekanntlich seit vielen Jahren nicht gerade der Beste...und man lässt besser die Finger davon.
https://www.heise.de/news/Sicherheitsupdates-Angreifer-koennen-Asus-Rout ...
https://www.heise.de/news/Sicherheitsupdates-Angreifer-koennen-Kontrolle ...
https://www.heise.de/news/Asustor-Schwachstellen-im-NAS-Betriebssystem-e ...
https://www.heise.de/news/Asus-Kaputter-Daemon-schickte-Router-weltweit- ...
Endlose Pannen...
1
Moin,
Kurzfassung (Langversion hat @aqui ja schon geschrieben):
Damit sollte das alles laufen…
Kurzfassung (Langversion hat @aqui ja schon geschrieben):
- schalte an allen ASUS-Geräten DHCP aus.
- gib dem ASUS auf der LAN-Seite eine IP aus dem Draytek-Netz
- stecke das Kabel, welches in WAN steckt in einen der LAN-Ports
- wenn man den ASUS nicht als IP-Client einrichten kann, setze eine statische Route '0.0.0.0' an '192.168.1.1'
- prüfe, ob man dem ASUS einen DNS-Server mitgeben kann. Wenn ja: IP des Draytek..
Damit sollte das alles laufen…
3Zitat von @aqui:
Das war dann natürlich falsch sofern du den Asus nur als einfachen WLAN AP degradieren willst, denn es geht dabei ja klar um einen Internet Zugang den bei dir ja unbestreitbar der Draytek realisiert.
Das ASUS HowTo ist also für dein Szenario völlig unbrauchbar sofern du wirklich nur den 2ten Router als einfachen WLAN AP betreibst und das dessen Bestimmung ist.
Das war dann natürlich falsch sofern du den Asus nur als einfachen WLAN AP degradieren willst, denn es geht dabei ja klar um einen Internet Zugang den bei dir ja unbestreitbar der Draytek realisiert.
Das ASUS HowTo ist also für dein Szenario völlig unbrauchbar sofern du wirklich nur den 2ten Router als einfachen WLAN AP betreibst und das dessen Bestimmung ist.
Und hier schließt sich der Kreis: ich will den Asus eigentlich gar nicht als AP "degradieren", aber double cascading macht offenbar keinen Sinn. Ergo: wird er genau das machen müssen.
Das Szenario mit der Trennung hatte ich schon einmal im Visier, aber ganz anders: mit Segmentierung, also V-LAN. Erst mal wieder verworfen.
Bei uns sind 3 Personen dauerhaft im LAN bzw. W-LAN. Besuch etc. kommt ausschließlich via guest net rein; Online okay, internes Netz nur für 3.
Die eigentliche Intention war denkbar simpel: Draytek mit DSL, DECT usw. online mit LAN (auch der iMP hängt direkt da dran), Asus macht W-LAN, weil er dort schlicht überragend ist. Es sind also gar nicht mehrere Systeme im W-LAN, sondern eben nur der ROG.
Mit dem NAT muss ich mir noch mal in Ruhe reinziehen, denn eine Bremse brauche ich nicht.
Zitat von @em-pie:
Moin,
Kurzfassung (Langversion hat @aqui ja schon geschrieben):
Damit sollte das alles laufen…
Moin,
Kurzfassung (Langversion hat @aqui ja schon geschrieben):
- schalte an allen ASUS-Geräten DHCP aus.
- gib dem ASUS auf der LAN-Seite eine IP aus dem Draytek-Netz
- stecke das Kabel, welches in WAN steckt in einen der LAN-Ports
- wenn man den ASUS nicht als IP-Client einrichten kann, setze eine statische Route '0.0.0.0' an '192.168.1.1'
- prüfe, ob man dem ASUS einen DNS-Server mitgeben kann. Wenn ja: IP des Draytek..
Damit sollte das alles laufen…
Jau, und genau das habe ich morgen vor. Ich melde mich, versprochen - das ist das Mindeste, was ich nach all der tollen, vor allem aber schnellen Hilfe tun kann.
1Zitat von @aqui:
Der Asus-Router arbeitet NICHT als AP, zumindest nicht in seinen Einstellungen - er wird als Router betrieben.
Wurde ja schon erkannt oben das es ein Kaskaden Setup mit doppeltem NAT und doppeltem Firewalling ist.
Der Asus-Router arbeitet NICHT als AP, zumindest nicht in seinen Einstellungen - er wird als Router betrieben.
Ist es das wirklich? In meinem Asus kann man so ziemlich alles einstellen, und NAT kann deaktiviert werden, ebenso Port-Forwarding aktiviert. Das wäre doch bei einem Cascading genau richtig, oder? Siehe Bild 2 und 3
Drohnald hat das richtig gut beschrieben, und so dachte ich das auch.
Aber: ich schrieb eingangs von meinem abenteuerlichen Setup, und das geht weiter -->
Der Asus ROG hat zwei 10 Gig Ports (Bild 1); diese wieder bedienen den iMac Pro und den managed Switch von Netgear, der ebenfalls 2 hat. Dessen zweiten schnappt sich das NAS. Der interne Netzwerkspeed ist schon etwas anderes als mit 1 Gig.
Um dem Asus eine andere IP (im Netz des Draytek, z.B. 192.168.1.2) zu geben, muss ich den iMP also kurz in den Draytek stöpseln, wenn ich nur LAN2LAN mache. WAN2LAN geht nicht, da baut sich keine Verbindung auf - was logisch ist.
Ich finde die Router Kaskade mit den zwei verschiedenen IP-Masks gar nicht mehr so schlimm (Ihr könnt mich kloppen
)Da das NAT und Portforwarding im Asus de- bzw. aktivierbar ist, gibt es doch gar keine Bremse, oder?
Ich werde mich mal an die Sache mit dem IP-Client herantasten, wie em-pie schrieb. Ich hab allerdings ca. 120 Geräte im LAN & W-LAN - wenn ich da bei Null anfangen muss, springe ich im Dreieck.
Zur Ursprungsfrage mit dem VPN -->
[...]
Du hast die Wahl zwischen:
1.) VPN-Tunnel bis zur Box1 mit angepasster accesslist (Wissendatenbank-Artikel). Dann über Route/Portforwarding weiter in LAN2 oder
2.) VPN-Tunnel bis zur Box2 mittels Portforwarding auf Box1 wie von Shirocco88 beschrieben
[...]
Quelle: Router Cascading mit VPN
Auch wenn ich Euch nerve: wäre das bei beizubehaltender Kaskade so einfach?
Edit: Cisco schreibt:
[..]
Es gibt zwei Möglichkeiten, Router zu kaskadieren:
1. Schließen Sie das Ethernetkabel vom VPN-Router an den regulären Ethernet-Port des Wireless-Routers (LAN-LAN) an. Beide Router befinden sich im gleichen Subnetz.
2. Verbinden Sie das Ethernetkabel vom VPN-Router mit dem Internetanschluss des Wireless-Routers (LAN-WAN). Die Router befinden sich in unterschiedlichen Subnetzen.
[...]
Quelle: Cisco + Cascading
Was aquis Einwände gegen Asus angeht: jein.
Letztlich ließe sich für jeden Router eine solche Liste mit Artikeln anlegen. Fritte und BackDoor, Netgear und FBI (da war doch was?) usw.
In punkto W-LAN-, Gaming- (mein Jüngster) und Streaming-Performance ist mein ROG top, auch die Einstellungsoptionen sind super. Ist mein erster Aus-Router. Die Netgears davor kamen mit der Masse der Geräte nicht mehr klar.
Das wäre doch bei einem Cascading genau richtig
Jein! Wenn du aber NAT deaktivieren kannst wäre das schon sehr gut. Nicht alle Billo Heimrouter bieten dieses Feature.Allerdings bleibt dann immer noch ein Routing da das WLAN ja immer als Layer 2 Bridge an das LAN Interface des Router gebunden ist.
Da du ja, wie du selber sagst, die Asus Gurke über den WAN Port angeschlossen hast routest du ja dann 2 IP Netze. (Siehe Routing Tutorial oben!) Per se nicht falsch bringt aber in einem so einfachen Setup auch keine Vor- oder Nachteile, da hast du Recht. Vorteil wäre noch das man über IP Access Listen den WLAN Zugang kontrollieren könnte wenn man wollte.
Sehr wichtig (und richtig) ist aber das man das NAT deaktivieren kann, was dann zumindestens ein transparentes Routing erlaubt und die Hürden beim VPN wegnimmt. Damit ist es dann mehr oder minder egal ob man das VPN auf dem Draytek oder den Asus terminiert. Technisch besser wäre der Asus sofern er ein aktiver VPN Router ist und gängige moderne VPN Protokolle supportet. Kann er selber gar kein VPN stellt sich die Frage ja erst gar nicht, dann bleibt natürlich nur der Draytek.
Letztlich ließe sich für jeden Router eine solche Liste mit Artikeln anlegen
Nein. Die Liste renomierter Hersteller und auch einiger Heim- und Low Budget Hersteller ist deutlich kürzer. Asus ist aufgrund dieser langjährigen und oft nie gefixten Security Probleme immer die bekanntlich allerschlechteste HW Wahl für Router, egal wie man es dreht und wendet.
aqui & all:
Danke Euch. Ich stehe kurz vor einem Wutanfall - seit heute morgen versuche ich, so ziemlich jede erdenkliche Spielart durchzugehen ... und renne jetzt hier rum wie Grete Weiser uff der Flucht. Maaaaaan!
Es geht bereits damit los, dass der ROG zwar sehr gute Einstellungen hat und sauschnell ist, sich aber NICHT mit LAN2LAN betreiben lässt. Also, lokal ja, aber Internet könnt Ihr knicken. Selbst dann nicht, wenn er in der IP-Range des Draytek war. Er kräht unmissverständlich nach dem WAN-Port, dann gibt es auch eine Online-Verbindung.
Damit hat er 2 IP's, eine für LAN und eine für WAN. Nur über letztere kann ich ins Interface, LAN geht nicht.
So ganz gefällt mir das alles nicht, aber vielleicht hab ich was übersehen. Wüsste nur nicht was, hab ja alles akribisch so befolgt.
Deaktiviere ich das NAT (über WAN) baut sich keine Internetverbindung auf. Aktivere ich es wieder, läuft alles. Booooaaaah, ey - das nervt.
Tun wir doch mal so, als würde ich die beiden unterschiedlichen Routernetze behalten ... mit dem iMP komme ich in beide Interfaces.
Was genau muss ich dem VPN beibringen, damit er Router 1 (Draytek) bedient (eh klar und auch verstanden) UND Router 2 (Asus ROG) damit versorgt?
Ich glaube, das wäre ggf. schon ausreichend für mich.
aqui schreibt:
Vorteil wäre noch das man über IP Access Listen den WLAN Zugang kontrollieren könnte wenn man wollte.
Guter Punkt, das schaue ich mir an.
Ach ja ... mein Asus is keene Gurke. So, jetzt habbisch Dir's aber gegeben.
Spaß beiseite, ich schätze fachlichen Rat.
Danke Euch. Ich stehe kurz vor einem Wutanfall - seit heute morgen versuche ich, so ziemlich jede erdenkliche Spielart durchzugehen ... und renne jetzt hier rum wie Grete Weiser uff der Flucht. Maaaaaan!
Es geht bereits damit los, dass der ROG zwar sehr gute Einstellungen hat und sauschnell ist, sich aber NICHT mit LAN2LAN betreiben lässt. Also, lokal ja, aber Internet könnt Ihr knicken. Selbst dann nicht, wenn er in der IP-Range des Draytek war. Er kräht unmissverständlich nach dem WAN-Port, dann gibt es auch eine Online-Verbindung.
Damit hat er 2 IP's, eine für LAN und eine für WAN. Nur über letztere kann ich ins Interface, LAN geht nicht.
So ganz gefällt mir das alles nicht, aber vielleicht hab ich was übersehen. Wüsste nur nicht was, hab ja alles akribisch so befolgt.
Deaktiviere ich das NAT (über WAN) baut sich keine Internetverbindung auf. Aktivere ich es wieder, läuft alles. Booooaaaah, ey - das nervt.
Tun wir doch mal so, als würde ich die beiden unterschiedlichen Routernetze behalten ... mit dem iMP komme ich in beide Interfaces.
Was genau muss ich dem VPN beibringen, damit er Router 1 (Draytek) bedient (eh klar und auch verstanden) UND Router 2 (Asus ROG) damit versorgt?
Ich glaube, das wäre ggf. schon ausreichend für mich.
aqui schreibt:
Vorteil wäre noch das man über IP Access Listen den WLAN Zugang kontrollieren könnte wenn man wollte.
Guter Punkt, das schaue ich mir an.
Ach ja ... mein Asus is keene Gurke. So, jetzt habbisch Dir's aber gegeben.
Spaß beiseite, ich schätze fachlichen Rat.
Also, lokal ja, aber Internet könnt Ihr knicken.
Dann hast du vermutlich vergessen die Default Route und den DNS Server zu setzen?! Jeder popelige Chinesenrouter aus dem Baumarkt kann das, das sollte deine Asus Gurke also auch allemal können. (Es sei denn sie ist wirklich eine gruselige Gurke?!)Denk dran: In einer reinen L2 Bridging Anbindung ist der WAN Port Tabu und wird deaktiviert. Genutzt werden ausschliesslich nur die LAN Ports. Du missbrauchst den Router ja nur als einfachen Switch und Layer 3 Bridge ins WLAN. Dafür braucht es keinen WAN Port und auch keine Internetverbindung. Und....wenn du auf dem LAN Port eine statische IP setzt muss dort der DHCP Server ausgeschaltet werden!
Was genau muss ich dem VPN beibringen...
Dazu müsstest du der Community erstmal mitteilen welches der zahllosen VPN Protokolle du denn gedenkst zu verwenden für dein VPN!! Jedes dieser VPNs nutzt andere Algorithmen dafür. Leider bis dato ja Fehlanzeige. Oben wurden dir zu den gängigsten VPN Protokollen ja schon alle Tutorials gepostet zum Lesen und Verstehen die alle dazu relevanten Fragen umfassend beantworten. 😉
mein Asus is keene Gurke.
Kommt immer auf den Horizont oder Perspektive an die jemand hat!
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
