2 Router, einer mit VPN, Drucker nicht von überall erreichbar

[johnny007]

Hallo, folgende Frage:

Habe Internet über Kabel, als Kabelrouter verwende ich eine Vodafone Station. An einem LAN-Port des Kabelrouters hängt ein Asus Router (RT-N66U). Dieser ist als VPN-Client konfiguriert. Geräte, die mit dem Asus verbunden sind, nutzen also das VPN. Geräte, die an der Vodafone Station hängen, gehen direkt ins Internet. Als Subnetz habe ich im Kabelrouter 192.168.0.x eingestellt, auf dem Asus 192.168.178.x. Beide Router vergeben IPs per DHCP. Am Asus hängen auch ein paar Geräte mit fester IP (z.B. Drucker, NAS)

Soweit funktioniert alles.

Wenn ich jetzt von einem Gerät, das direkt mit der Vodafone Station verbunden ist, drucken will, geht das natürlich nicht, denn der Drucker hängt ja am Asus, d.h. in einem anderen Subnetz.

Nun meine Frage: Kann ich das irgendwie in ein gemeinsames Subnetz zusammenfassen? Wenn ich es probiere, gibt es Probleme, denn der Asus ist ja als Router konfiguriert und nicht als Access Point (wenn ich das umstelle, kann ich das VPN nicht mehr konfigurieren).

Ist das prinzipiell möglich, oder kann ich mir die Mühe sparen?

 

[CHaos.Gentle]

Statische Route am Kabelrouter nach 192.168.178.255 als Gateway den ASUS eingeben, fäddich

 

[johnny007]

Danke! Leider klappt es noch nicht, oder ich stehe auf den Schlauch. Ich finde in den Einstellungen des Kabelrouters den Punkt "Statisches DHCP-Heimnetzwerk", ist das das gleiche wie statische Route? (sorry, ist sicher eine blöde Frage für die Experten).
Wenn ich bei "Statisches DHCP-Heimnetzwerk" auf "Neu" gehe, den ASUS auswähle (MAC-Adresse wird übernommen) und dann 192.168.178.255 eingebe meckert es "Ungültige LAN-Einstellungen". Es geht nur, wenn ich eine IP mit 192.168.0.x angebe.

 

[till69]

Statische Route am Kabelrouter nach 192.168.178.255 als Gateway den ASUS eingeben

Korrekt wäre 192.168.178.0/24 (oder Netmask 255.255.255.0)

Wenn ich bei "Statisches DHCP-Heimnetzwerk" auf "Neu" gehe

Damit vergibt man quasi feste IPs per DHCP ... das ist nicht das, was Du suchst.

 

[Raijin]

Es ist davon auszugehen, dass der Asus mit seinem WAN-Port am Netzwerk der Vodafone Station hängt. In dem Falle würde eine Route nichts helfen, weil der Asus am WAN nun mal Firewall und NAT macht.


Wenn du vom Hauptnetz aus drucken willst, musst du am Asus eine Portweiterleitung für TCP 9100 an die IP des Druckers einrichten. Auf den Endgeräten im Hauptnetz wird der Drucker dann über die WAN-IP des Asus verbunden.
Alternativ den Drucker einfach an die Vodafone Station anschließen und dann ohne weitere Konfiguration an den Endgeräten hinter dem Asus mit der Drucker-IP aus dem Hauptnetz verbinden. In diese Richtung greift dann nämlich das NAT und es läuft out-of-the-box.

 

[meph!sto]

Ich habe mal beide Handbücher der Vodafone Station durchsucht und es scheint als könnte man nicht eine statische Route setzen.
Kannst du den Drucker nicht an die Vodafone Station klemmen ?

 

[johnny007]

Erst mal vielen Dank für Eure Infos, echt super!

@meph!sto, danke fürs nachschauen! Ich denke, dann hat sich das mit der statischen Route sowieso erledigt.

Zumal @Raijin sagt, es geht so nicht. Der Asus hängt mit seinem WAN-Port am Netzwerk der Vodafone Station.

@Raijin, danke, das hilft mir weiter!
Variante 1 ist wohl schwierig, weil die WAN-IP des VPN sich ja ändert, wenn ich mal einen anderen VPN Server auswähle, sehe ich das richtig?

Variante 2 würde zwar bedeuten, noch ein LAN-Kabel durch das ganze Haus zu führen, wäre aber notfalls machbar. Das heißt, der Drucker hat dann eine IP mit 192.168.0.x, und ist auch hinter dem ASUS mit dieser IP-Adresse erreichbar (obwohl ich dort eigentlich im 192.168.178.x Subnetz bin), korrekt?
Habe es gerade probiert, zumindest das Vodafone Station Web-Interface ist von hinter dem ASUS erreichbar, sehr cool. Jetzt weiß ich auch, was NAT bedeutet ;-)

Ich probiere das dann mal so. Erst mal vielen Dank!

 

[Raijin]

Variante 1 ist wohl schwierig, weil die WAN-IP des VPN sich ja ändert, wenn ich mal einen anderen VPN Server auswähle, sehe ich das richtig?

Nein. Die WAN-IP ist die IP des WAN-Ports. Das ist also die IP, die der Asus im Netzwerk der Vodafone Station hat.


www
|
(WAN mit öffentlicher IP bzw. bei Kabelinternet mit CGN-IP)
Vodafone Station
(WLAN+LAN mit IP 192.168.0.1)
|
|
(WAN mit IP zB 192.168.0.2)
Asus
(WLAN+LAN mit 192.168.178.1)
|
Drucker (mit zB 192.168.178.123)


Wenn der Drucker am Asus verbleibt:

Asus: Portweiterleitung TCP 9100 ---> 192.168.178.123
PC @ Vodafone Station: Drucker hinzufügen --> 192.168.0.2 (IP am WAN des Asus)


Wenn der Drucker an die Vodafone-Station kommt:
Drucker-IP = 192.168.0.123
PC @ Asus: Drucker hinzufügen --> 192.168.0.123

Das heißt, der Drucker hat dann eine IP mit 192.168.0.x, und ist auch hinter dem ASUS mit dieser IP-Adresse erreichbar (obwohl ich dort eigentlich im 192.168.178.x Subnetz bin), korrekt?

Ja. Wenn man davon spricht, dass ein Router am WAN "NAT" macht, dann maskiert er die lokale IP des Endgeräts mit seiner eigenen WAN-IP. Er tauscht sozusagen den Absender aus. Das heißt in deinem Test dachte die Vodafone Station, dass sie vom Asus-Router angesprochen wurde, weil als Absender 192.168.0.2 in der Verbindung steht. Davon, dass die Anfrage eigentlich von einem PC hinter dem Asus mit einer 192.168.178er IP kommt, weiß die VS gar nichts.

 

[johnny007]

Tausend Dank für die Erkärungen und die genaue Anleitung ! Du hast mir wirklich sehr geholfen.

 

[Raijin]

Generell ist so ein Setup natürlich mit Nachteilen verbunden. Die Zuordnung ob VPN oder nicht ist zwangsläufig physisch bedingt, weil das jeweilige Endgerät per Kabel oder WLAN entweder an der Vodafone Station oder am Asus angeschlossen sein muss. Du hattest ja selbst schon angedeutet, ein weiteres Kabel durch die Bude ziehen zu müssen. Das ließe sich aber vermeiden.

Zum einen reicht es, direkt vor dem Asus einen Switch zu installieren. Ein simpler, billiger 5-Port-Switch für 10-15€ reicht aus. Dort kommt das Kabel von der VS rein. Vom Switch aus geht dann ein kurzes Kabel in den WAN-Port des Asus, um den status quo wiederherzustellen. Dann ziehst du das Kabel vom Drucker aus dem Asus raus und steckst es ebenfalls in den Switch. Nun ist der Drucker im VS-Netz.
Das hat nur einen Haken: Wenn der Drucker via WLAN am Asus hängt und womöglich gar keinen LAN-Port hat, dann geht das so natürlich nicht.



Die deutlich flexiblere Variante wäre allerdings, statt dem Asus ein zweites Gateway im Netzwerk zu verwenden. Der Asus entfiele dann und alle Geräte wären in ein und demselben Netzwerk, nämlich dem der VS. Die Entscheidung ob dieses oder jenes Gerät nun über VPN gehen soll oder nicht, würde man durch Änderung des Standardgateways in den Netzwerkeinstellungen des Geräts treffen. GW auf 192.168.0.1 --> Internet via VS ohne VPN. GW auf 192.168.0.2 ---> Internet via VPN-Gateway. Das ginge dann auch komplett unabhängig vom Standort.

Leider funktioniert das mit dem Asus so aber nicht, weil die Firmware soweit ich weiß den VPN-Client nur aktiviert, wenn der Router auch im Router-Modus arbeitet. Für das beschriebene Szenario müsste er allerdings als Access Point konfiguriert werden. Daher müsste man als VPN-Gateway zum Beispiel einen Raspberry PI verwenden.

 

[johnny007]

Genial - dann wird es wahrscheinlich genau die Switch-Lösung, wie du sie beschreibst. Danke. RasPi vielleicht dann irgendwann später.