2 Router hintereinander

Das kommt doch darauf an was genau du willst! WLAN-n, WLAN-ac, 20€, 100€, VPN, OpenWRT/DD-WRT, etc...

Um möglichst viel Kontrolle über Firewall und Co zu haben - wie du es ja möchtest - bietet sich natürlich ein Gerät mit OpenWRT/DD-WRT Unterstützung an. Alternativ je nach KnowHow auch ein "echter" Router wie der EdgeRouter Lite von Ubiquiti. Allerdings hat der kein WLAN und eignet sich nicht unbedingt für Laien, da er im Auslieferungszustand nur eine IP hat und sonst gar nix, kein Routing, keine Firewall, kein NAT, kein DHCP, kein gar nix. Die Comminity bietet aber vorgefertigte Konfigurationen, die man einfach runterladen kann.


Denkbar wäre zB die Archer-Reihe von TP-Link. Günstig, OpenWRT-fähig und in mehreren Leistungsstufen verfügbar (C2/5/7/9).

*edit: Stimmt, Mikrotik wäre auch eine Option. Sind aber auch eher in die Riege der fortgeschrittenen Router einzuordnen (sprich: KnowHow kann nicht schaden....).
 
Zuletzt bearbeitet:
Kann nicht Schaden, muss aber nicht sein. @Raijin: was hast du für einen bei dir zu Hause?
 
Naja Know How ist schon etwas vorhanden als ET Ing. Allerdings solls jetzt auch nicht zum Hobby werden, sprich ich habe nicht unentlich viel Ressourcen in Form von Zeit über um sie darein zu stecken.

Nen konfigurierbarer DHCP ist Pflicht. Ebenso wie ein VPN Server, gibts da auch was mit IPsec? OpenVPN wäre nur meine zweite Wahl weil man da auf jedem Gerät ja erst noch was installieren muss.
Radius Server für WLAN (oder gibts da schon was neueres?). Möchte jedenfalls einzelnen Benutzern "Accounts" geben können. Ich denke so Geräte wie Netzwerkdrucker macht man über ne seperate SSID samt WPA2 Personal. Teilweise ist hier ja eh kein WPA2 Enterprise möglich. Will also für Notebooks, Tablets etc den WLAN Zugang an und ausknippsen können und auch die möglichkeit haben für einen Gast das WLAN temporär freizuschalten (zB mal 2 Wochen).

Der Router soll aber in den Keller. WLAN wäre schon ganz nett, aber es sind eh noch 1-2 andere WLAN Router als Access Points vorhanden die das Haus mit WLAN versorgen. Warscheinlich würde im Keller n WLAN dann reichen, es muss wirklich nur den Keller versorgen dann, welcher auch nicht riesig ist. WLAN Signal vom EG kommt halt nur sehr schwach dort an.

IPsec scheitert warscheinlich am fehlenden IPsec passthrough des Speedport. Hab net nachgeguckt aber warscheinlich kann das dieses tolle Gerät wiedermal nicht. Die Liste der Sachen was nicht geht ist bei dem Teil deutlich länger als das was es kann;)
 
Zuletzt bearbeitet:
Naja, ich hab daheim einen Speedport W921V, auch nicht das Gelbe vom Ei, aber es reicht. Dahinter steht ein Ubuntu-Server, der VPN und Co abfrühstückt. Ich plane demnächst, den Server weitestgehend durch den EdgeRouter Lite zu ersetzen, weil der Server 99,9% rumidlet und nur sporadisch einen VPN-Tunnel bedienen muss. Bei VDSL25 mit 25/5 ist der Server auch deutlich oversized, bietet er LANintern doch schlanke 770 Mbit/s via OpenVPN ^^

Der EdgeRouter liegt schon rum, aber ich hab momentan keine Zeit, mich darum zu kümmern :(


@Bogeyman: EdgeRouter und MikroTik sind .. ich sag mal fortgeschrittene Router. Aber auch bei einem 08/15 Router mit OpenWRT/DD-WRT sollte man etwas KnowHow von Netzwerken haben, weil auch bei den alternativen Firmwares die Funktionsfülle enorm ist. EdgeRouter, MikroTik und OpenWRT/DD-WRT können praktisch ALLES was ein Router können kann ^^ Mit VPN und dergleichen sogar deutlich mehr. Will heißen: Klickibunti-Wizards, die mit 3 Klicks alles einrichten, gibt es nicht, weil die bestenfalls nur die Standardoptionen behandeln (sowas wie DHCP, etc). Für VPN muss man sich da schon etwas einlesen.

In allen Fällen gibt es aber eine recht große Community, die praktisch alle Szenarien schon durchgespielt hat. Tutorials gibt es zu Hauf, teilweise sogar komplette Konfigurationen zum Download. Wie gesagt, beim EdgeRouter gibt's die Standardkonfig mit eth0=WAN; eth1=LAN; eth2=DMZ inkl. Firewallregeln, etc. fertig zum Download. Hochladen, neustarten, fertig. VPN muss man dann allerdings nach einem der zahlreichen Tutorials einrichten. Oft ist der Funktionsumfang dieser Geräte aber so groß, dass man nicht alles in der GUI unterbringen konnte. Die GUI vom EdgeRouter umfasst gefühlt nur ~20%, den Rest muss man per Kommandozeile machen. Google ist dabei dein Freund, weil ein "Handbuch" im klassischen Sinne sucht man zum Teil vergeblich ;)
 
Zuletzt bearbeitet:
Mh was schließt man denn an den DMZ LanPort des zweiten Routers dann sinnvollerweise an?

Ob nun DMZ Lanport am zweiten Router oder direkt am Switch des ersten Routers ist doch dann fast selbe oder nicht?

Und wo würde man ein NAS/Server anschließen. Hinter den ersten oder hinter den zweiten Router?

Will ich von außen drauf zugreifen würde es ja durchaus Sinn machen ihn direkt hinter den ersten Router anzuschließen, allerdings habe ich dann wohl kein SMB und DLNA mehr ohne weiteres.

Okay sieht aber schon sehr komplex aus das MikroTik, scheint so die Geräte können deutlich mehr als ich brauche. Ist dann so die Frage wieviel Zeit man da reinstecken muss.
 
Zuletzt bearbeitet:
Man macht am zweiten Router keine DMZ, man leitet gezielt Ports weiter. Wo ist sonst deine Firewall? Für dein Vorhaben hoffe ich, dass der Hybrid DynDNS kann. Denn das muss vom ersten Router aktualisiert werden, wenn der nicht via PPPoE als Modem angesprochen werden kann.
Radius kenne ich in keinem Consumerprodukt, aber die FritzBoxen können recht gut VPN als Server. Ein paar Stolpersteine holst du dir mit der Kombination halt schon ins Haus. (dyndns, ip telefonie ports, die je nach config des ersten Routers nicht mehr geforwarded werden können, eventuell weitere Ports.)
 
Merle schrieb:
Denn das muss vom ersten Router aktualisiert werden, wenn der nicht via PPPoE als Modem angesprochen werden kann.
?? Keine Ahnung wie du darauf kommst, aber das ist schlichtweg falsch. DynDNS wird in der Regel durch den simplen Aufruf einer URL aktualisiert. Dabei wird die Quell-IP vom Dienst selbst automatisch dem Eintrag zugewiesen. Das kann man von jedem beliebigen Gerät innerhalb des Netzwerks tun. Nur dann, wenn der "DDNS-Updater" - wer auch immer es nu ist - aktiv eine IP-Adresse mit übergibt, kann es problematisch werden. Der 2. Router könnte dann nämlich fälschlicherweise seine WAN-IP nehmen, die aber nur eine LAN-IP zwischen 1. und 2. Router ist.
 
Ja der speedport kann ddns aber da kommt noch nen fix Weils Probleme zusammen mit dsl macht.

Was macht man denn mit den ganzen Lan Ports an dem zweiten Router? Und welche Geräte schließt man dann besser am ersten Router an und welche am zweiten ?
 
Woher sollen wir das wissen? Du musst doch selbst nen Plan haben was du hast und wofür du überhaupt diesen Thread gestartet hast... Je komplexer du das aufbaust, umso mehr musst du dich auch mit Routing und dergleichen beschäftigen.

Die eingebauten DDNS-Anbieter in den 08/15-Routern sind leider oft kostenpflichtig. no-ip ist zwar oft dabei, aber da muss man sich soweit ich weiß alle 4 Wochen einmal auf der Homepage einloggen, weil sonst der Account deaktiviert wird. Das finde ich zB ziemlich besch..eiden. Wenn man eh schon eine OpenWRT/DD-WRT bzw. MikroTik bzw. EdgeRouter-Kiste im Netzwerk hat, kann man die auch das DDNS übernehmen lassen - mit freier DDNS-Anbieterwahl. Anydns.info braucht zB keinen regelmässigen Login, goip.de ebenso.
 
Zuletzt bearbeitet:
Ich Brauch sie halt nicht daher die Frage was andere damit anfangen...
 
Zum Teil gar nichts. Man muss nicht zwangsläufig alle Ports belegen. Im Netzwerkbereich hat man oft Ports übrig, weil man stets etwas Luft nach oben haben sollte, um gegen künftige Erweiterungen gewappnet zu sein.

Denkbar wären zum Beispiel 3 Netze, WAN (zum Speedport), LAN (PCs), DMZ (Server). Ist aber wenig sinnvoll, wenn man keine Server hat bzw. wenig von der Materie versteht. Eine andere Möglichkeit wäre WAN, LAN+WLAN und Gast+WLAN. Für WLAN muss dann natürlich ein WLAN-AP angeklemmt werden. Immer dann, wenn man einer bestimmten Gruppe von Netzwerkgeräten nur eingeschränkten Zugriff gewähren bzw. sie nur eingeschränkt erreichbar machen will. Das Gast-(W)LAN hätte dabei zB nur Zugriff auf das Internet, nicht aber auf das NAS im LAN.

Die Möglichkeiten sind vielfältig und hängen davon ab was man hat und was man explizit aufteilen will. Braucht man das nicht, lässt man die Ports einfach leer und belässt es bei WAN - LAN - FREI.
 
Habe ja ein Server allerdings ist dieser nur aus den Lan zu erreichen. So gesehen würde ich ihn auch hinter den zweiten Router Hängen. Wäre es aber Klever wenn man auch von außen drauf zugreifen will ihn an den erster Router schon anzuschliesen ? Oder dann doch eher mit portfreigaben zu arbeiten sodass er weiterhin hinter dem zweiten Router bleiben kann.

Ich gehe mal davon aus dass man die übrigen lan Ports auch einfach als zusätzliche lan Anschlüsse benutzen kann für das interne netz. Also sie in Grunde wie ein Switch funktionieren oder spricht da was dagegen ?
 
Den Server würde ich in jedem Falle nur über VPN erreichbar machen. Der Speedport leitet nur den VPN-Port weiter der VPN-Server (Router oder Server) stellt dann die Verbindung her.

Wie gesagt, je komplexer du das aufbaust, umso schwieriger wird es auch zu administrieren. Halte es einfach: Speedport -- Router -- Rest.
 
Wenn ich aber DDNS über den zweiten Router mache, wie bekommt der dann mit wann die Zwangstrennung ist oder ganz allgemein wann man ne neue IP vom ISP bekommen hat. Der erste Router "weiß" das ja, aber der zweite?
Oder bleibt da nur übrig in regelmäßigen Abständen zu prüfen?
 
Jup, das macht man dann zB als cronjob alle 5 oder 10 Minuten. Wie gesagt, es reicht in der Regel, dass einfach nur eine URL aufgerufen wir. So oder so ähnlich sieht das aus : http://mydns.ddnsdienst.de/update.php?u=mydns&p=mypass. Die WAN-IP, von der das aufgerufen wurde, wird dann für die gebuchte subdomain gesetzt.
 
die Frage ist dann was für einen Anschluss hast du ? IP Basiert dann erfolgt das nach den Security Einstellungen des Speedport.

... den Speedport kannst du doch in Security Level einstellen und somit steht da wann er eine neue IP sich holt ...
 
Raijin schrieb:
Jup, das macht man dann zB als cronjob alle 5 oder 10 Minuten. Wie gesagt, es reicht in der Regel, dass einfach nur eine URL aufgerufen wir. So oder so ähnlich sieht das aus : http://mydns.ddnsdienst.de/update.php?u=mydns&p=mypass. Die WAN-IP, von der das aufgerufen wurde, wird dann für die gebuchte subdomain gesetzt.

Dadurch erzeugst du aber jedesmal Traffic und das sehen die ddns Anbieter gar nicht gerne. Bei DynDNS wird da auch nen Account mal temporär deaktiviert wenn man das zu oft macht habe ich gelesen. Verständlich ist es allemale. Man könnte ja besser erstmal die IP überprüfen und nur den Link aufrufen wenn diese sich geändert hat.

den Speedport kannst du doch in Security Level einstellen und somit steht da wann er eine neue IP sich holt ..
Ja stimmt da gabs was, hab ich mal gesehen aber noch net so genau mit dem Teil beschäfitgt, dass ist einfach noch zu verbuggt, Probleme mit der "DHCP Liste" habe ich auch immer noch. Manche Geräte haben ne falsche IP oder "0.0.0.0" als IP.

Denke wenns denn läuft werde ich das aber weiterhin über den ersten Router also den Speedport laufen lassen, oder ich benutze 2 verschiedene DDNS Anbieter, so hat man immer noch nen Backup, falls einer mal die IP net aktualisiert hat.

Die eingebauten DDNS-Anbieter in den 08/15-Routern sind leider oft kostenpflichtig. no-ip ist zwar oft dabei, aber da muss man sich soweit ich weiß alle 4 Wochen einmal auf der Homepage einloggen, weil sonst der Account deaktiviert wird.
bei dyndns war das so. Bei No-IP soweit ich weiß nicht. Zumindest logge ich mich da nie ein und es geht immer noch. Aber hab auch nen "alten" Account. dyndns hatte zuerst ja auch nur bei neuen Accounts eingeführt und irgendwann dann ausgeweitete auf die Stammkundschaft.
 
Zuletzt bearbeitet:
Zurück
Oben