12
Zwei Router (Netzwerke) miteinander verbinden
Hallo liebe IT-Wxperten,
ich habe mal ein kleines Problem, das ich mit Eurer hilfe bestimmt schnell lösen kann...
Ausgangslage:
Primärer Router: Fritz 7390, neuste Firmware 6.85
WAN: Internet (ohne VPN)
LAN: 192.168.198.1 / Subnet 255.255.255.0 / DNS: 192.168.198.1
DHCP: ja: 192.168.198.2 bis 50
VPN-Fernzugriff auf die Fritz: ja: Server spdns.de / IPSec Xauth PSK
Sekundärer Router: ASUS RT-AC68U, neuste Firmware 3.0.0.47.384.32799
WAN: Statisch: 192.168.198.51 (LAN-WAN Verbindung Router1 - Router2) Subnet: 255.255.255.0, Standardgateway 192.168.198.1 WAN-DNS1: 208.67.222.222, WAN-DNS2: 208.67.220.220
LAN: 192.168.200.1 / Subnet: 255.255.255.0, DHCP: 192.168.200.2 bis 192.168.200.254
VPN-Client: ja OpenVPN (vyprvpn über https://www.goldenfrog.com)
Gehe ich über die Fritz ins Internet, bekomme ich eine öffentliche Adresse z.B. 2.241.129.129
Gehe ich über den ASUS uíns Internet, bekomme ich eine öffentliche VyprVPN-Adresse z.B. 128.90.131.206
Der sekundäre ASUS-Router dient als Hauptrouter, an dem alle lokalen Geräte angemeldet sind. Wichtig ist hier vor allem die sichere VPN-Verbindung ins Internet, die in Verbindung mit der ASUS AiProtection den minderjährigen Kindern einen gesicherten und gefilterten Internetzugriff ermölicht. Auch möchte ich meine Homematic CCU lieber im „sicheren Netzwerk haben.
Nun gibt es aber zwei kleine Probleme:
Problem1:
An dem sekundären Router ist die Homematic CCU2 angeschlossen, auf die ich auch von unterwegs aus Zugriff haben möchte, und weil dieser Router eine private WAN-Adresse bekommt kann ich von außen keine VPN-Verbindung zu diesem Router aufbauen.
Probem 2:
Wenn sich Chromecast in diesem Netzwerk befindet, kann ich über Netflix keine Filme gucken, weil der Netflix-Server dann folgende Fehlermeldung liefert: „Sie scheinen einen Unblocker oder Proxy zu verwenden. Bitte schalten Sie derartige Dienste aus und versuchen Sie es erneut. Für weitere Unterstüzung besuchen Sie bitte netflix.com/proxy“ Natürlich liegt es daran, dass ich mit dem ASUS-Router über VPN im Internet bin. (Problem 2 ist nebensächlich! Ich kann auch zum Filme gucken in das Fritz-WLAN gehen und gut is...)
Wie kann ich die beiden Router koppeln um über den VPN-Tunnel zum Router1 die Homematic am Router 2 steuern zu können?
ich habe mal ein kleines Problem, das ich mit Eurer hilfe bestimmt schnell lösen kann...
Ausgangslage:
Primärer Router: Fritz 7390, neuste Firmware 6.85
WAN: Internet (ohne VPN)
LAN: 192.168.198.1 / Subnet 255.255.255.0 / DNS: 192.168.198.1
DHCP: ja: 192.168.198.2 bis 50
VPN-Fernzugriff auf die Fritz: ja: Server spdns.de / IPSec Xauth PSK
Sekundärer Router: ASUS RT-AC68U, neuste Firmware 3.0.0.47.384.32799
WAN: Statisch: 192.168.198.51 (LAN-WAN Verbindung Router1 - Router2) Subnet: 255.255.255.0, Standardgateway 192.168.198.1 WAN-DNS1: 208.67.222.222, WAN-DNS2: 208.67.220.220
LAN: 192.168.200.1 / Subnet: 255.255.255.0, DHCP: 192.168.200.2 bis 192.168.200.254
VPN-Client: ja OpenVPN (vyprvpn über https://www.goldenfrog.com)
Gehe ich über die Fritz ins Internet, bekomme ich eine öffentliche Adresse z.B. 2.241.129.129
Gehe ich über den ASUS uíns Internet, bekomme ich eine öffentliche VyprVPN-Adresse z.B. 128.90.131.206
Der sekundäre ASUS-Router dient als Hauptrouter, an dem alle lokalen Geräte angemeldet sind. Wichtig ist hier vor allem die sichere VPN-Verbindung ins Internet, die in Verbindung mit der ASUS AiProtection den minderjährigen Kindern einen gesicherten und gefilterten Internetzugriff ermölicht. Auch möchte ich meine Homematic CCU lieber im „sicheren Netzwerk haben.
Nun gibt es aber zwei kleine Probleme:
Problem1:
An dem sekundären Router ist die Homematic CCU2 angeschlossen, auf die ich auch von unterwegs aus Zugriff haben möchte, und weil dieser Router eine private WAN-Adresse bekommt kann ich von außen keine VPN-Verbindung zu diesem Router aufbauen.
Probem 2:
Wenn sich Chromecast in diesem Netzwerk befindet, kann ich über Netflix keine Filme gucken, weil der Netflix-Server dann folgende Fehlermeldung liefert: „Sie scheinen einen Unblocker oder Proxy zu verwenden. Bitte schalten Sie derartige Dienste aus und versuchen Sie es erneut. Für weitere Unterstüzung besuchen Sie bitte netflix.com/proxy“ Natürlich liegt es daran, dass ich mit dem ASUS-Router über VPN im Internet bin. (Problem 2 ist nebensächlich! Ich kann auch zum Filme gucken in das Fritz-WLAN gehen und gut is...)
Wie kann ich die beiden Router koppeln um über den VPN-Tunnel zum Router1 die Homematic am Router 2 steuern zu können?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391507
Url: https://administrator.de/contentid/391507
Printed on: April 24, 2024 at 22:04 o'clock
12 Comments
Latest comment
Moin,
Von Sicherheit kann hier ja kaum die Rede sein, wenn der VPN von einem Provider bereitgestellt wird. Dieser hat ja die Schlüssel und kann jederzeit die Kommunikation innerhalb des Tunnels mitschneiden und selber auf dein lokales Netz zugreifen. Wenn du also wirklich auf Sicherheit Wert legst, dann wirst du um einen eigenen VPN nicht herumkommen. Wenn du dich nicht auskennst, dann bietet die Fritzbox einen einfachen Assistenten für den Fernzugriff bereit.
Erstmals nochmal zum Aufbau. Wenn ich das richtig Verstanden habe, dann hast du eine Router Kaskade. Die Einwahl zum Provider macht die Fritzbox. Im internen Netz der Fritzbox befindet sich der ASUS RT-AC68U Router. Betreibt dieser auch NAT oder tut dieser nur Routen?
Ansonsten relativ einfach:
VPN bei dem ASUS Router einrichten und Port Forwarding auf der FB einrichten. Bei IPSec beachten, dass die FB selber keinen VPN bereitstellt.
Alternativ bei der Frizbox den Fernzugang einrichten. Und falls NAT bei dem ASUS Router aktiv ist, dort Port Forwarding einrichten. Zugriff mittels ACL bestimmen.
Warum überhaupt diese Router Kaskade? Der ASUS RT-AC68U beherrscht doch VLAN's?
Bezüglich Problem 2:
Da kannst du wenig machen, wenn das Netz des VPN Providers auf die schwarze Liste gekommen ist.
Netflix geht ja bekanntlich gegen solche VPN Provider vor, um das Umgehen von Zugriffsbeschränkungen zu verhindern.
Viele Grüße,
Exception
Der sekundäre ASUS-Router dient als Hauptrouter, an dem alle lokalen Geräte angemeldet sind. Wichtig ist hier vor allem die sichere VPN-Verbindung ins Internet, die in Verbindung mit der ASUS AiProtection den minderjährigen Kindern einen gesicherten und gefilterten Internetzugriff ermölicht. Auch möchte ich meine Homematic CCU lieber im „sicheren Netzwerk haben.
Von Sicherheit kann hier ja kaum die Rede sein, wenn der VPN von einem Provider bereitgestellt wird. Dieser hat ja die Schlüssel und kann jederzeit die Kommunikation innerhalb des Tunnels mitschneiden und selber auf dein lokales Netz zugreifen. Wenn du also wirklich auf Sicherheit Wert legst, dann wirst du um einen eigenen VPN nicht herumkommen. Wenn du dich nicht auskennst, dann bietet die Fritzbox einen einfachen Assistenten für den Fernzugriff bereit.
An dem sekundären Router ist die Homematic CCU2 angeschlossen, auf die ich auch von unterwegs aus Zugriff haben möchte, und weil dieser Router eine private WAN-Adresse bekommt kann ich von außen keine VPN-Verbindung zu diesem Router aufbauen.
Erstmals nochmal zum Aufbau. Wenn ich das richtig Verstanden habe, dann hast du eine Router Kaskade. Die Einwahl zum Provider macht die Fritzbox. Im internen Netz der Fritzbox befindet sich der ASUS RT-AC68U Router. Betreibt dieser auch NAT oder tut dieser nur Routen?
Ansonsten relativ einfach:
VPN bei dem ASUS Router einrichten und Port Forwarding auf der FB einrichten. Bei IPSec beachten, dass die FB selber keinen VPN bereitstellt.
Alternativ bei der Frizbox den Fernzugang einrichten. Und falls NAT bei dem ASUS Router aktiv ist, dort Port Forwarding einrichten. Zugriff mittels ACL bestimmen.
Warum überhaupt diese Router Kaskade? Der ASUS RT-AC68U beherrscht doch VLAN's?
Bezüglich Problem 2:
Da kannst du wenig machen, wenn das Netz des VPN Providers auf die schwarze Liste gekommen ist.
Netflix geht ja bekanntlich gegen solche VPN Provider vor, um das Umgehen von Zugriffsbeschränkungen zu verhindern.
Viele Grüße,
Exception
Einfach mal die Suchfunktion benutzen... 
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Die VLAN Variante hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Sinnvollerweise macht man es NICHT und routet transparent (Siehe Tutorial zum Thema NAT/ICS !)
Was in NAT Router Kaskaden zu beachten ist bei VPNs steht hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Die o.a. Probleme oder Fehlermeldung lassen leider befürchten das du überflüssigerweise NAT am WAN Port des Sekundärrouters machst.
Auch sollte man diesem besser niemals eine IP Adresse zwischendrin geben. Das erhöht die Gefahr der IP Adressdopplung !
Router haben designtechnisch deshalb immer Adressen im Netzsegment ganz oben oder ganz unten sprich bei einem /24er Prefix also .1 und .254. Damit liegt man dann sicher außerhalb der DHCP Range des Primärrouters.
Alternativ macht man über die Mac Adresse des WAN Ports eine feste Reservierung auf die .254. Die FritzBüx supportet sowas im Setup.
Damit kann man den Sekundärrouter dann auch im DHCP Client Mode belassen am WAN Port.
Was noich falsch ist bei dir ist die DNS Server Einstellung !
Dort gibt man immer die IP der fritzBox an, denn diese ist immer Proxy DNS zum Provider. Durch deren Caching beschleunigt man dann die DNS Auflösung erheblich und muss es nicht doppelt und dreifach machen wie bei dir.
Beachtet man das alles funktioniert es auch ohne die 2 Problem oben !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Die VLAN Variante hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
kann ich von außen keine VPN-Verbindung zu diesem Router aufbauen.
Das kommt darauf ob du NAT (IP Adress Translation) am Sekundär Router machst oder nicht !Sinnvollerweise macht man es NICHT und routet transparent (Siehe Tutorial zum Thema NAT/ICS !)
Was in NAT Router Kaskaden zu beachten ist bei VPNs steht hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Die o.a. Probleme oder Fehlermeldung lassen leider befürchten das du überflüssigerweise NAT am WAN Port des Sekundärrouters machst.
Auch sollte man diesem besser niemals eine IP Adresse zwischendrin geben. Das erhöht die Gefahr der IP Adressdopplung !
Router haben designtechnisch deshalb immer Adressen im Netzsegment ganz oben oder ganz unten sprich bei einem /24er Prefix also .1 und .254. Damit liegt man dann sicher außerhalb der DHCP Range des Primärrouters.
Alternativ macht man über die Mac Adresse des WAN Ports eine feste Reservierung auf die .254. Die FritzBüx supportet sowas im Setup.
Damit kann man den Sekundärrouter dann auch im DHCP Client Mode belassen am WAN Port.
Was noich falsch ist bei dir ist die DNS Server Einstellung !
Dort gibt man immer die IP der fritzBox an, denn diese ist immer Proxy DNS zum Provider. Durch deren Caching beschleunigt man dann die DNS Auflösung erheblich und muss es nicht doppelt und dreifach machen wie bei dir.
Beachtet man das alles funktioniert es auch ohne die 2 Problem oben !
Zitat von @129580:
Von Sicherheit kann hier ja kaum die Rede sein, wenn der VPN von einem Provider bereitgestellt wird. Dieser hat ja die Schlüssel und kann jederzeit die Kommunikation innerhalb des Tunnels mitschneiden und selber auf dein lokales Netz zugreifen. Wenn du also wirklich auf Sicherheit Wert legst, dann wirst du um einen eigenen VPN nicht herumkommen. Wenn du dich nicht auskennst, dann bietet die Fritzbox einen einfachen Assistenten für den Fernzugriff bereit.
Ich hoffe, dass ich da wenigstens etwas mehr Sicherheit habe, als bei einem nicht-VPN-Zugang, dudem ich den Dienst auch noch bezahle und der Anbieter in der Schweiz registriert ist...
Auf die Fritz kann ich bereits zugreifen. Den Zugang habe ich auch -wie von Dir sugeriert- über den Assistenten angelegt.
Zitat von @129580:
Erstmals nochmal zum Aufbau. Wenn ich das richtig Verstanden habe, dann hast du eine Router Kaskade. Die Einwahl zum Provider macht die Fritzbox. Im internen Netz der Fritzbox befindet sich der ASUS RT-AC68U Router. Betreibt dieser auch NAT oder tut dieser nur Routen?
Ja, nur die Fritz hat auch ein Modem und stellt die Verbindung zum Internet her. Auf dem ASUS ist WAN NAT Passtrought aktiviert damit die VPN-Verbindung an die Netzwerk-Clients weitergeleitet werden kann. (PPTP, L2TP, IPSec, RTSP, H.323, SIP aktiviert) und PPPoE-Relais deaktiviert. Ich finde in dem ASUS-Menü keine Einstellungsmöglichkeiten zum VLAN...
Geht vermutlich nur mit alternativer Firmware wie DD-WRT.
Für das Asus Modell RT-68U ist die sogar supportet !
https://dd-wrt.com/support/router-database/
Da Asus wegen schlampiger Sicherheitsprobleme mit seiner Firmware eh ziemlich in Verruf geraten ist kann man dir nur raten die DD-WRT Firmware auf die Kiste zu flashen.
Dann klappt es auch mit den VLANs
Für das Asus Modell RT-68U ist die sogar supportet !
https://dd-wrt.com/support/router-database/
Da Asus wegen schlampiger Sicherheitsprobleme mit seiner Firmware eh ziemlich in Verruf geraten ist kann man dir nur raten die DD-WRT Firmware auf die Kiste zu flashen.
Dann klappt es auch mit den VLANs
Die o.a. Probleme oder Fehlermeldung lassen leider befürchten das du überflüssigerweise NAT am WAN Port des Sekundärrouters machst. //... Was noich falsch ist bei dir ist die DNS Server Einstellung !
Habe auf dem ASUS WAN NAT Passtrought deaktiviert und bei WAN-DNS die DNS Adresse des Primärrouters eingetragen. Das sind die ersten richtigen Schritte und es funktioniert immer noch alles wir gehabt
Nun habe ich aber immer noch zwei Netzwerke 192.168.198.x und 192.168.200.x und komme wie gehabt nicht von A nach B...
Ich glaube, dass ich an Ende mein Chromecast und die Homematic in das Netz der Fritz verlege und kann dan über die bereits funktionierende VPN-Verbindung zu Fritz auf die HOmematic-CCU zugreifen und Netflix meckert auch nicht. Nun würde mich aber doch interessieren, ob es auch eleganter geht, d.h. die beiden Netzwerke gekoppelt...
Habe auf dem ASUS WAN NAT Passtrought deaktiviert
OK, wenn das bedeutet das NAT am WAN Port abgeschaltet ist ist das OK. Ist ein verschwurbelter Begriff der im NAT Umfeld eigentlich nichts zu suchen hat aber egal...wenn Asus es so nennt...So sähe dein Netzwerk aus wenn du alles richtig gemacht hast und der Asus Router wie gesagt KEIN NAT am WAN Port macht !
Tests::
- Client im .198.0er Netz muss den Asus WAN Port pingen können.
- Client im .200.0er Netz muss den Asus LAN Port pingen können.
- Client im .200.0er Netz muss den Asus WAN Port pingen können.
- Client im .200.0er Netz muss den FritzBox LAN Port .198.1 pingen können.
- Client im .200.0er Netz muss einen nackte IP Im Internet z.B. 8.8.8.8 pingen können.
Zitat von @aqui:
Geht vermutlich nur mit alternativer Firmware wie DD-WRT.
Dann klappt es auch mit den VLANs
Geht vermutlich nur mit alternativer Firmware wie DD-WRT.
Dann klappt es auch mit den VLANs
Habe auch schon was darüber gelesen, aber der Router ist noch ziemlich "frisch" und ich wollte mich erst mit den Ab-Werk-Funktionen vertraut machen. Nun habe ich glücklicherweise gerade Urlaub und probiere das jetzt mit DD-WRT und mit den VLANS
...wenn ihr lange nichts von mir hört, dann nur, weil ich nach dem FW-Upgrade nicht mehr ins Internet komme...
Du kannst immer wieder die Original Firmware zurückflashen....
Zitat von @aqui:...Ist ein verschwurbelter Begriff der im NAT Umfeld eigentlich nichts zu suchen hat aber egal...wenn Asus es so nennt...
Habe jetzt auch den Button "NAT aktivieren JA/NEIN" gefunden unf auf NEIN gestellt
Ping vom 198.0er auf Asus WAN: nicht erfolgreich
Ping vom 200er-Client auf Asus LAN-Port: OK
Ping vom 200er-Client auf Fritz LAN Port 192.168.198.1: nicht erfolgreich
Ping vom 200er Client ins Internet: OK
Bedeutet das da entweder noch eine Firewall auf dem ASUS rennt die Traffic blockt oder das das Teil immer noch NAT macht. Entweder ist die Frimware Müll oder du hast ihn falsch konfiguriert !
Im Handbuch: https://www.asus.com/de/Networking/RTAC68U/HelpDesk_Manual/ Seite 64 (Deutsch) steht eigentlich alles:
Hast du den Router mit der aktuellsten Hersteller Firmware geflasht ?!
Fazit wenns weiterhin nicht geht:
Pack da DD-WRT drauf.
Im Handbuch: https://www.asus.com/de/Networking/RTAC68U/HelpDesk_Manual/ Seite 64 (Deutsch) steht eigentlich alles:
- WAN Connection Type Static (Oder Automatic IP und dann eine DHCP Reservierung im FritzBox DHCP Server machen !)
- Enable WAN = YES
- Enable NAT = NO
- Enable UPnP = NO (Wichtig !)
- Connect to DNS Auto = NO DNS Server 192.168.198.1 statisch eintragen. Ggf. auch im LAN DHCP Server.
- PPPoE Relay = DISABLE
Hast du den Router mit der aktuellsten Hersteller Firmware geflasht ?!
Fazit wenns weiterhin nicht geht:
Pack da DD-WRT drauf.
Zitat von @aqui:
Bedeutet das da entweder noch eine Firewall auf dem ASUS rennt die Traffic blockt oder das das Teil immer noch NAT macht
Entweder ist die Frimware Müll oder du hast ihn falsch konfiguriert !
Bedeutet das da entweder noch eine Firewall auf dem ASUS rennt die Traffic blockt oder das das Teil immer noch NAT macht
Entweder ist die Frimware Müll oder du hast ihn falsch konfiguriert !
Firewall war aktiviert, habe ich testweise abgeschaltet. Ich habe garantiert irgendwas falsch eingestellt!
* WAN Connection Type Static (Oder Automatic IP und dann eine DHCP Reservierung im FritzBox DHCP Server machen !)
- Enable WAN = YES
- Enable NAT = NO
- Enable UPnP = NO (Wichtig !)
- Connect to DNS Auto = NO DNS Server 192.168.198.1 statisch eintragen. Ggf. auch im LAN DHCP Server.
- PPPoE Relay = DISABLE
Alles eingestellt, wie Du es hier geschrieben hast, aber wenn ich auf dem ASUS DNS abschalte bekommen die Clients keine IP-Adresse zugewiesen
Fazit wenns weiterhin nicht geht:
Pack da DD-WRT drauf.
Pack da DD-WRT drauf.
Nachdem ich in derAsus Firewalleinstellungen "Auf Ping-Anfragen über WAN reagieren" auf JA gestellt habe ergibt sich folgendes Bild:
Ping vom 198er-Client auf Asus WAN: OK
Ping vom 200er-Client auf Asus LAN-Port: OK
Ping vom 200er-Client auf Fritz LAN Port 192.168.198.1: nicht erfolgreich, ist aber OK, wenn auf dem Asus NAT aktiviert ist...
Ping vom 200er Client ins Internet: OK
Ping vom 198-er Client ins 200er Netz: nicht erfolgreich
Wir machen hier eine kleine Pause, da ich vorerst DD-WRT flashen möchte und brauche dann garantiert Hilfe bei den VLAN's
aber wenn ich auf dem ASUS DNS abschalte bekommen die Clients keine IP-Adresse zugewiesen
Wie bitte !!Was ist das denn für ein Müll ?? Was hat eine DNS Adresse mit der automatischen Adressvergabe per DHCP zu tun ?? Das isnd 2 vollkommen verschiedene Baustellen. Wenn der Router an sowas Banalem schon kollabiert na dann Prost Mahlzeit !!
Fragt sich auch warum du so ein Gruselgerät gekauft hast. Ein Mikrotik für 35 Euro wäre da die weitaus bessere Wahl gewesen, aber nundenn.
Vielleicht solltest du die Gurke besser nochmal Werksresetten, NAT ausschalten als Erstes und nochmal Step für Step von vorne anfangen !
Oder eben DD-WRT installieren
Das löst dann eh alle Probleme.
