2 Subnetze mit Vodafone Station und Fritzbox 4040 - Routing

[Max8260]

Hallo miteinander,

für mein Heimnetz habe ich von Vodafone die Vodafone Station als Kabelrouter erhalten. Diese arbeitet mit dem Netz 192.168.0.0/24.
Nun möchte ich mein Heimnetz um ein zweites Subnetz ergänzen. Dafür habe ich mir die Fritzbox 4040 zugelegt. Diese hat an ihrem WAN-Port einen Uplink über einen Switch zum Vodafone Router bekommen. Hier erhält sie auch eine korrekte IP-Adresse, sprich sie hat ihr WAN-Interface im Netz der Vodafone Station mit der IP-Adresse 192.168.0.254. An ihren LAN-Interfaces gibt sie das Netzwerk 192.168.178.0/24 aus.

Soweit so gut, Clients an der Fritzbox kommen auch problemlos ins Internet, Geräte im 192.168.0.0/24er-Netz sind auch erreichbar. Nur können Geräte aus dem 192.168.0.0/24er Netz nicht auf Geräte im 192.168.178.0/24er-Netz zugreifen. Ich vermute, dass die Vodafone-Kiste das Routing nicht korrekt hinbekommt. Sie müsste ja eigentlich das Netzwerk 192.168.178.0/24 über ihr Interface 192.168.0.254 routen (das, was zum WAN-Port der Fritzbox geht). Kriegt sie aber nicht hin, traceroute bleibt direkt nach dem ersten Hop 192.168.0.1 (Std-GW im VF-Box-Netz) hängen.

Kann man das der Vodafone Möhre irgendwie beibringen, quasi eine manuelle Route eintragen? Ich habe nichts in der Oberfläche gefunden, aber vielleicht hat ja jemand so etwas schon mal bewerkstelligt. Die Clients sollten nämlich eigentlich im 192.168.0.0/24er Netz bleiben, und auf ein NAS und andere Services im 192.168.178.0/24er Netz zugreifen. Über Port-Freigaben auf der Fritzbox soll hier der Verkehr etwas reglementiert werden, daher auch primär die beiden getrennten Subnetze.

Darüber hinaus wollte ich dann auch die Weboberfläche der Fritzbox freigeben, so dass ich die Fritzbox aus dem 192.168.0.0/24 administrieren kann. Sie antwortet aber über ihr "WAN"-Interface nicht. Ich darf es auch nicht einstellen. Ist ja grundsätzlich auch besser so, dass sie ihre Management-Oberfläche nicht ins WAN forwarden lässt, aber in diesem Falle wäre es ja nur ein anderes LAN, kann man diese Sperre umgehen?

Vielleicht habe ich auch gerade einfach nur ein Brett vorm Kopf, aber ich weiß gerade nicht weiter.

Danke für Eure Tipps und Denkanstöße!

 

[bender_]

Nun möchte ich mein Heimnetz um ein zweites Subnetz ergänzen. Dafür habe ich mir die Fritzbox 4040 zugelegt.

Wieso möchtest Du das tun?
Was spricht dagegen beide Geräte in einem Subnetz zu betreiben und keine Probleme bei gegenseitigen Zugriffen zu haben?

 

[Tepesch]

Moin,

den ersten Punkt mußt du am Client einstellen, der benötigt eine statische Route neben dem Standardgateway in das zweite Netz. Wenn es der Router vom VF könnte, wäre es dann Dreiecksrouting und das ist nicht unbedingt erwünscht, ist Sicherheitstechnisch leider sehr nachteilig.
Aber wieso überhaupt diese ganze Geschichte? Zugriff auf das NAS kann man ohne weiteres doch per Freigabeberechtigungen lösen.

Deine zweite Frage bzgl. Interface der FB über WAN muß ich aber leider passen, ich kenne mich mit den Kisten so gut wie gar nicht aus, ich nutze Lancom-Router.

 

[bender_]

Über Port-Freigaben auf der Fritzbox soll hier der Verkehr etwas reglementiert werden, daher auch primär die beiden getrennten Subnetze.

Bitte konkretisieren. Was willst Du damit konkret regeln? Bitte ohne vermeintliche Lösung beschreiben.

 

[freshprince2002]

Selbst mit den statischen Routen kommst du nicht in das LAN Netz der Fritzbox, weil da noch NAT und Firewall dazwischen sind.
Die Frage ist doch: was willst du eigentlich erreichen bzw. wozu das ganze?

 

[Max8260]

den ersten Punkt mußt du am Client einstellen, der benötigt eine statische Route neben dem Standardgateway in das zweite Netz. Wenn es der Router vom VF könnte, wäre es dann Dreiecksrouting und das ist nicht unbedingt erwünscht, ist Sicherheitstechnisch leider sehr nachteilig.

Danke für deine Antwort.


Warum das Ganze?
Einfach um noch eine Firewall zwischen Clients und NAS & Co zu haben und um das ganze logisch zu trennen. Nein, technisch ist das nicht notwendig. Aber warum nicht? Schadet doch nicht, sowas mal umgesetzt zu haben, um Erfahrungen zu sammeln.

 

[deollz]

Flash Dir OpenWrt auf die 4040, da kannst Du andere IP Subnetze anständig über V-lans konfigurieren und über eine Firewall den Zugriff regeln.

Ergänzung (16. November 2021)

Ich persönlich benutze dafür Edgerouter X oder RB750Gr3, unterstützen beide Hardware Offloading durch MT7621 und sind dadurch 1GB/s tauglich.

​

Ergänzung (16. November 2021)

Ich persönlich benutze dafür Edgerouter X oder RB750Gr3 unterstützen beide Hardware Offloading durch MT7621 und dadurch 1GB tauglich.

​

 

[Raijin]

Warum das Ganze?
Einfach um noch eine Firewall zwischen Clients und NAS & Co zu haben und um das ganze logisch zu trennen. Nein, technisch ist das nicht notwendig. Aber warum nicht? Schadet doch nicht, sowas mal umgesetzt zu haben, um Erfahrungen zu sammeln.

Naja, das Vorhaben in allen Ehren, aber wenn dir das KnowHow fehlt, ist es schon fraglich was das bringen soll. Du hast dir beispielsweise eine Fritzbox 4040 "zugelegt", also mutmaßlich für Geld gekauft. Allerdings ist das Gerät für diesen Zweck vollkommen ungeeignet - zumindest in dem Setup wie du es dir vorstellst - weil das ein Consumer-Router ist. Solche Router sind für einen einzigen Zweck konzipiert, ein WAN von einem LAN+WLAN zu trennen, höchsten noch ein Gast-(W)LAN dazu. Was Consumer-Router wie Fritzboxxen nicht können, ist ein komplett geroutetes beidseitig durchlässiges bzw. reglementiertes Netzwerk aufbauen.

@freshprince2002 hat es schon angedeutet: NAT und Firewall am WAN. Das Konzept des WAN-Ports sieht vor, dass alles was am WAN-Port rausgeht zugelassen wird, während alles was am WAN-Port reingeht abgeblockt wird. Banal ausgedrückt: Für die Fritzbox ist das Netzwerk des Vodafone-Routers und das Internet dahinter ein und dasselbe, nämlich ein potentiell unsicheres Netz, vor dem es das eigene (W)LAN zu schützen gilt. Sogesehen ist also das NAS im VF-Netzwerk für die Fritzbox nichts anderes als ein x-beliebiger Server im www. Verbindung ZU dem Server ist erlaubt, aber Verbindung VON diesem Server ist verboten.

Es gibt Konzepte wie die DIY-DMZ, die aus einer Routerkaskade besteht. Dabei macht man sich die Standardfirewall mehrerer Consumer-Router zu nutze und kommt somit auch ohne großes KnowHow aus. Dabei muss man aber immer im Hinterkopf behalten, dass der WAN-Port bei solchen Routern wie beschrieben per Definition nur einseitig durchlässig ist. In der DMZ dürfen daher nur Geräte sein, die ausschließlich erreichbar sein sollen, aber keine eigenen Verbindungen ins Hauptnetzwerk herstellen können. Das wäre zB das NAS oder auch ein Netzwerkdrucker.


Eine DIY-DMZ sieht so aus:

www
|
(WAN)
Vodafone Station
(LAN)
|
| (DMZ - NAS, Netzwerkdrucker, etc)
|
(WAN)
Fritzbox
(LAN+WLAN)
|
Clients

Ein Client, der sich im Netzwerk der Vodafone Station befindet, also in der DMZ, hat keine Möglichkeit auf Geräte hinter der Fritzbox zuzugreifen. Das ist der Sinn und Zweck einer DMZ.

 

[Raijin]

Ergänzend wollte ich noch sagen, dass ein vollgeroutetes Setup mit einem EdgeRouter oder MikroTik RouterBoard - wie von @deollz vorgeschlagen - durchaus möglich wäre. Dazu muss man allerdings sagen, dass das semiprofessionelle Geräte sind, die einen deutlich größeren Funktionsumfang haben als Fritzbox und Co.

EdgeRouter, MikroTik und Co sind vollwertige Netzwerkrouter mit allen Möglichkeiten. Dementsprechend ist die Konfiguration auch nicht so einfach, weil die Dinger ab Werk beispielsweise nackt daherkommen, maximal mit einer voreingestellten IP-Adresse, aber keinerlei vorbereitete Konfiguration. Fritzboxxen und Co sind ab Werk zu 99% vorkonfiguriert (DHCP, Firewall, NAT, dies, das, jenes) und das was man in der GUI sieht, sind lediglich Wizards, die mit 2-3 Eingabefeldern im Hintergrund allerhand Einstellungen vornehmen, die man bei einem semiprofessionellen Gerät unter Umständen zu Fuß konfigurieren muss, weil es nicht zwingend für alles Wizards gibt.

 

[Max8260]

@Raijin Danke für deine ausführliche Antwort. War mit der Fritzbox wohl etwas falsch davor. Das die nattet und co ist mir auch klar gewesen, aber irgendwie stand ich wohl auf dem Schlauch. Naja, war ein Versuch. Da ich das Ding eh demnächst für etwas anderes brauche, ist sie ja auch nicht weg.

 

[Raijin]

Du kannst ja wie gesagt eine DIY-DMZ aufbauen. Der Unterschied zu deiner ursprünglichen Idee ist eben nur, dass sich alle deine Clients hinter der Fritzbox befinden müssen und an der Vodafone Station ausschließlich das NAS und die Fritzbox (via WAN) angeschlossen sind - das schließt auch das WLAN der Station mit ein.