Aufbau der richtigen Router Netzwerk Topologie

[vocaris]

Hallo Gemeinde,
ich möchte gerne etwas mehr über da zielführende kombinieren von Router /AP etc. erfahren, um meinem Ziel näher zu kommen.
Vorab mein Setup.
Ich verwende aktuell eine FB 7490 als Router mit DHCP. Dieser befindet sich im Keller und ist dort per LAN mit einem Switch im EG verbunden. Das Haus ist mit LAN Kabel und Switches pro Ebene ausgestattet. Im EG befindet sich eine weitere FB 7490, der als LAN Client eingebunden ist und sich im Mesh befindet. Für mich ist er von der Funktion sowas wie eine WLAN Repeater, der seinen Input per LAN bekommt und an den sich weiter LAN/WLAN Geräte anmelden können. Zudem gibt es im OG noch einen AVM Repeater, der ebenfalls per LAN eingebunden ist und die Verteilung (hier dann nur WLAN) im OG durchführt. Die Geräte, die mit den beiden (ich nennen sie jetzt mal Repeater) verbunden sind bekommen ihre IP vom DHCP des Router im Keller. So haben ich wohl ein NAT und alle können miteinander kommunizieren. der Router ist ebenfalls als VPN konfiguriert und man kann ich von außen auf das inetrne Netzwerk aufschalten. OK das zum IST.

Nun wollte ich gerne, dass der Router in der Lage ist eine VPN Client Verbindung nach außen aufzubauen. z.B. mit NordVPN.
Das können die AVM Router aber bisher nicht. Also habe ich mir einen ASUS Router (RT-AX86U) geholt. Dieser kann das.
Den Router muss ich (meines Wissens...und do habe ich es auch gemacht) als Wireless Router in das DHCP Netzwerk einbinden.
In dem Fall erzeuge ich (meines Wissen nach) ein weiteres NAT. Alls was an dem ASUS angemeldet ist hat eine IP Adresse seitens das ASUS und das Asus Router selbst hat eine IP Adresse aus dem 1. NAT. Also ist wohla das 1. NAT das WAN für den ASUS Router.
Das wiederum hat zur Folge, dass zwar alles Geräte aus dem ASUS NAT auf die Geräte des WAN zugreifen können, aber anders herum nicht. Das ist schon das erst was ich "blöd" finde.
Kann man den Asus nicht so konfigurieren, dass er wie die zweite FB 7490 aggiert? Also die IP vom DHCP des FB Routers bekommt UND, dass dann aber auch für Geräte, die mit dem ASUS verbunden sind die dort hinterlegte VPN Lösung funktioniert?
Denn wenn ich den ASUS im AP Modus betreibe (wo ich dann wohl das habe, was ich möchte),habe ich im ASUS nciht mehr die VPN Funktion....

OK denke ich mir, wenn man hier keine Lösung findet, dann muss ggf der ASUS Router mein Hauptrouter werden. Er verbindet sich mit dem ISP und aggiert als DHCP. Meine AVM Produkte stelle ich dann auf LAN Client und binde sie ein. Dann müssten die AVM Geräte doch die IPs vom ASUS bekommen, oder? Im Asus sind dann alle Geräte mit deren IP bekannt und ich kann dort die VPN Client Funktion aktivieren und könnte Aufgrund der IP Zuordnung entscheiden, welches Gerät via VPN geht und welches "normal".

OK das war jetzt etwas Text. Aber ich hoffe ich habe ausreichend Info gegeben und freue mich auf Input etc.
Auch gerne Links zut gute zu verstehenden Inhalten oder Videos, die einem WAN, NAT, 2 NAT hintereinander etc, erklären.

Danke vorab

 

[riversource]

Kann man den Asus nicht so konfigurieren, dass er wie die zweite FB 7490 aggiert?

Nein. Er hätte dann LAN und WAN im gleichen Subnetz, das kann nicht klappen.

Meine AVM Produkte stelle ich dann auf LAN Client und binde sie ein. Dann müssten die AVM Geräte doch die IPs vom ASUS bekommen, oder?

Ja, aber bedenke, dass damit kein Mesh Netzwerk mehr möglich ist. Aus den AVM Geräten werden jeweils unabhängige WLAN APs, mit allen daraus resultierenden Konsequenzen für Handover, Kanal-Management, etc.

 

[vocaris]

Ja, aber bedenke, dass damit kein Mesh Netzwerk mehr möglich ist. Aus den AVM Geräten werden jeweils unabhängige WLAN APs, mit allen daraus resultierenden Konsequenzen für Handover, Kanal-Management, etc.

JA OK. Aber ist das ein Problem? MESH ist ja eine AVM Lösung. ASus hat ja das gleiche. Natürlich nur,w enn ich auch anderer ASUS Geräte benutze.
Aber ich verfolge ja ein Ziel. Also VPN Client Nutzung für ausgewählte Clients. Dafür muss der Asus entweder als Router und ich verliere die Mesh Funktion, oder er wird als Wireless Router nach der FB eingebunden, dann verliere ich die Möglichkeit, dass Geräte aus NAT1 auf Geräte aus NAT2 zugreifen können. Und ich habe ein zweites WLAN (das von NAT2). Bei jeder Lösung verliere ich was.
Die Frage ist, welche Lösung ist die sinnvollere. Bin seit JAhren AVM Nutzer. Aber z.B. die Bearbeitung der IP Adressen/Gerätenamen ist seht nervig und zeitintensiv. Scheint beim ASUS besser zu gehen. Der Router hat auch WiFi 6 und aus meiner Sicht sonst noch so einige schöne Features.

Und noch zur Aussage:

Nein. Er hätte dann LAN und WAN im gleichen Subnetz, das kann nicht klappen.

Wieso kann das dann eine 2te FritzBox, die als LAN Client mit der Router FB verbunden ist.
Also ich würde sagen gehen tut das schon. Aber In diesem Modus sind die Firewall, IP-Freigabe und NAT-Funktionen standardmäßig deaktiviert. Und ich verliere die VPN Client Funktion, was ich ja am Ende nicht will.

 

[riversource]

Die Frage ist, welche Lösung ist die sinnvollere.

Die sinnvolle Lösung ist, auf das VPN zu verzichten. Ich kann mir absolut nichts vorstellen, was das VPN bieten kann, was diese Klimmzüge rechtfertigt oder nicht auch auf andere Weise erreichbar wäre. Dabei ist völlig egal, welche Geräte du am Ende einsetzt.

Wieso kann das dann eine 2te FritzBox, die als LAN Client mit der Router FB verbunden ist.

Die zweite Fritzbox ist kein Router, sondern ein Switch mit AP. Auch sie hat kein NAT oder einen VPN Client/Server in dem Modus.

Aber In diesem Modus sind die Firewall, IP-Freigabe und NAT-Funktionen standardmäßig deaktiviert.

Genau. Aber um das VPN den Clients zur Verfügung zu stellen, brauchst du NAT, und dafür brauchst du ein getrenntes WAN- und LAN-Netz. Grundlagen IP Routing.

 

[vocaris]

OK. Also ich habe genug Gründe, warum ich den VPN Client benötige. Das muss ich hier jetzt nicht darstellen, sonst wird der Thread wieder Off Topic, weil dann zig wieder über den Sinn und Zweck von VPN diskutieren.

Ja die zweite FB ist keine Router. Ich hatte das Wort verwendet, da es physisch ja einer ist. Er ist ein Swistch mit AP, was der Asus aber auch sein könnte. Aber wie gesagt ohne VPN.

Sobald der Asus gegenüber der 7490 weitere Vorteile in seinen Grundfunktionen hat, würde ich den Asus als Router verwenden.
Kann man z.B. im Asus sie Lister alle IP Geräte exportieren. Dann in einer Text Datei bearbeiten (also IP Zuordungen vornehmen) und dann per Upload in den Router laden?

 

[riversource]

Das muss ich hier jetzt nicht darstellen, sonst wird der Thread wieder Off Topic, weil dann zig wieder über den Sinn und Zweck von VPN diskutieren.

Dafür braucht es auch keine Darstellung. Es ist auch so klar, dass das VPN unsinnig ist, da es - wie gesagt - keinen sinnvollen Anwendungsfall gibt, den man nicht auf andere Weise leichter, besser und performanter hinbekommen würde. Und wahrscheinlich sogar preiswerter. Oft will man ja einfach nur eine IP aus einem anderen Land, und dafür ist so ein VPN nun wirklich Unsinn. Über den "Sicherheitsgewinn" wurde ja wahrhaftig schon genug gesagt.

Er ist ein Swistch mit AP, was der Asus aber auch sein könnte. Aber wie gesagt ohne VPN.

Genau so ist es. Der Asus kann es sein, aber ohne VPN. Genau wie die Fritzbox, die kann es auch sein, aber ebenfalls ohne VPN. Diesbezüglich unterscheidet die Geräte nichts.

Sobald der Asus gegenüber der 7490 weitere Vorteile in seinen Grundfunktionen hat, würde ich den Asus als Router verwenden.

Die Erfahrung lehrt, dass Asus Router zig Dinge können, die praktisch niemand braucht, aber essenzielle Konfigurationen für eine sinnvolle Internetnutzung fehlen. Bei vielen Anbietern hat man mit Asus Routern verloren, da sie nicht mal den Internetzugang unterstützen. Spätestens bei DS-Lite oder VoIP Telefonie ist man komplett raus. VLANs und Multicast sind die Hölle und vollkommen unflexibel. Alles nicht wirklich brauchbar. Dafür hat man Gaming Optimierungen, die die Latenz und maximal 1 ms reduzieren. Na super.

Kann man z.B. im Asus sie Lister alle IP Geräte exportieren. Dann in einer Text Datei bearbeiten (also IP Zuordungen vornehmen) und dann per Upload in den Router laden?

Das wird vermutlich so oder so nicht klappen. Weil das Endgerät fragt beim nächsten Mal wieder nach der alten IP, und dann ist die Zuordnung im Router wieder zum Teufel. Wenn du Pech hast, erzeugst du damit nur einen Haufen IP-Konflikte.

 

[vocaris]

Nun gut. Es scheint hinreichend, dass du ein AVM Fan bist und ggf. nichts Anderes als AVM zielführend zu nutzen ist. Nun ja. Ich bin wie gesagt auch seit Jahren AVM Nutzer. Aber einiges ist halt schlecht unterstützt. Auch kann man mit Android Smartphones keine VPN Verbindung mehr zur FB aufbauen (nicht via myFritz App o.ä. sondern mit den Systemmöglichkeiten).
Warum hier viele VPN für Schwachsinn halten ist mir auch nicht ganz verständlich. Die IP z.B. zu maskieren kann ich natürlich via AddOns in den verschiedenen Browsern erreichen oder mittels Proxy Server.
Aber das funktioniert halt immer nur auf den Clients selber. Ich möchte aber , dass es für die Geräte X und Y und Z direkt seitens des Routers funktioniert. Gerade bei Fire TV Sticks müsste ich ja dann auch (sofern es geht) eine 3rd Party App auf den Stick installieren und dort das Proxy Aufbau herstellen. Zudem wäre meines Wissens die Datenstrom auf dem Weg auch nicht verschlüsselt und könnte abgefangen werden.
Oder wenn jemand Kodi nutzen möchte mit entsprechenden AddOns, dann will derjenige sicher nicht, dass man seinen Standort verfolgen kann.
Ob das alles eine NSA dennoch knacken kann.... mag sein.
Nun ja ich muss mich dann halt entscheiden. ggf. baue ich einfach beide Topologien mal auf und teste mal wie beide so laufen.

 

[riversource]

Es scheint hinreichend, dass du ein AVM Fan bist und ggf. nichts Anderes als AVM zielführend zu nutzen ist.

Nee, das stimmt ja nicht. Ich bin ein Fan davon, die Komponenten zu nutzen, die meine Anforderungen möglichst einfach und effizient erfüllen. Ich hab hier im Netz auch Komponenten anderer Hersteller im Einsatz, weil sie etwas besser oder günstiger können. Klar können Unify oder OPNSense meine Anforderungen auch erfüllen, aber zu einem deutlich höheren Preis, für zusätzliche Dinge, die ich nicht brauche.
Asus kann meine Anforderungen bislang nicht erfüllen, deshalb sind die nicht dabei. AVM ist für mich im Moment das Optimum aus Preis und Leistung.

Die IP z.B. zu maskieren kann ich natürlich via AddOns in den verschiedenen Browsern erreichen oder mittels Proxy Server.
Aber das funktioniert halt immer nur auf den Clients selber.

Das geht auch anders, und im Zweifel auch systemweit.

Ich möchte aber , dass es für die Geräte X und Y und Z direkt seitens des Routers funktioniert.

Das würde ich allein schon aus Performance Gründen nicht wollen. Dazu kommt die fehlende Privacy, weil man den zusätzlichen Kanal übers VPN direkt in sein Netz lässt. Von daher macht das Szenario, den Asus als Router hinter die Fritzbox zu hängen, mehr Sinn, wenn du gleichzeitig den Zugriff auf dein Heim-Netz einschränkst.

Zudem wäre meines Wissens die Datenstrom auf dem Weg auch nicht verschlüsselt und könnte abgefangen werden.

Das kann er bei VPN auch, denn ab dem VPN Gateway bis hin zum Anbieter ist er genau so unverschlüsselt, als wenn er direkt von dir zu Hause kommt. Das ist eines dieser Unsinns-Argumente: Der Datenstrom ist verschlüsselt. Ist er eben nicht. Es wird zum üblichen unverschlüsselten Weg nur ein verschlüsseltes Stück zusätzlich hinzugefügt, was die Performance beeinträchtigt, da es die Bandbreite reduziert und die Latenz erhöht.

Oder wenn jemand Kodi nutzen möchte mit entsprechenden AddOns, dann will derjenige sicher nicht, dass man seinen Standort verfolgen kann.

Das kann man mit VPN sogar besser, als ohne, da es bei VPN nur eine potentielle Route gibt. Das nächste Schwachsinns-Argument.

Hast du mal Tor in Betracht gezogen? Damit könnte man deine Anforderungen wenigstens erfüllen.

 

[norKoeri]

der ASUS Router [muss] mein Hauptrouter werden

Sehe für Dein Szenario keine andere Lösung.
Eine der FRITZ!Boxen wird zum „Mesh-Master“. Das geht auch dann, wenn alle AVM-Produkte im Modus IP-Client sind. So verlierst dann Dein AVM-Mesh nicht. Wenn Du es überhaupt nutzt bzw. brauchst.

Hast Du DSL? Dann bräuchtest Du noch ein DSL-Modem, z.B. eine gebrauchte Digitalisierungsbox Basic. Die kann man als reines Modem konfigurieren.

eine VPN Client Verbindung nach außen aufzubauen

Du meinst Protokolle wie OpenVPN oder WireGuard?
Das weiterzuführen könnte tatsächlich Offtopic führen. Allerdings ist Deine konkrete Frage schon geklärt. Und allerdings wäre auch ich an den genauen Beweggründen interessiert, weil ich hier ebenfalls irgendein Missverständnis vermute. NordVPN ist der völlig falsche Weg.

 

[User007]

Hi...

Gemach, Gemach...

Also, sicherlich gibt's durchaus praktische Gründe VPN zu nutzen - die hierbei entscheidende Frage ist, von welchem (Dienst-)Anbieter zu welchem Zweck.
Und beim groben Überfliegen der Threadbeiträge entsteht bei mir der Eindruck es geht eher um private Anwendung, bspw. wg. Geo-Blocking o. Ä.
Ist dem so, @vocaris?

Falls ja, wäre m. Mg. n. dann hierzu aber wohl die Umsetzung falsch "gedacht" - anstelle den kostenpflichtigen VPN-Dienst für nur einige Endgeräte global für den Netzverbund im Router zu konfigurieren, sollte die entsprechende VPN-Anwendung/App nur auf den jeweiligen Endgeräten installiert werden.

Btw.:
Mit der FB7490 ist natürlich auch ein Modell vorhanden, das vermutl. eher nicht mehr in den Genuß der neuen Firmware-Funktionalitäten, wie bspw. VPN-Einbindung via WireGuard, kommen wird - und Falls doch, dann zumind. noch nicht so schnell.​

 

[vocaris]

OK. Es wäre interessant mehr darüber zu erfahren. das würde diese Thread natürich sprengen. Aber wo kann man denn was darüber nachlesen, wie man besten bestimmte Verschlüsselungen einrichtet.
Deiner Aussage "Schwachsinnige" bewerte ich jetzt mal nicht persönlich, sondern eher mit dem BEzug zu den Stellen die einem "erzählen" das es so ist/wäre.

Bzgl. Geoblocking umgehen und Proxy kann man auch zentral (Also für mich im Router) hinterlegen wäre ich zum Test auch mal interessiert. Wie macht man das in der FritzBox?

Und nach dem Proxy ist auch "offen Holland"
Und ja. Beim VPN ist es nach dem VPN zum Anbieter ggf. auch offen. Also bzgl. PW und sensible Daten keine Schutz. Aber zumindest kann die abgefangene IP erst mal nicht zu mir verfolgt werden sondern zum VPN Anbieter.

 

[norKoeri]

Uns geht es nicht darum, welche Technik Du einsetzt, sondern was Du erreichen möchtest. Das meint User007 mit dem Zweck. Und Deine Beiträge klingen so, als ginge es Dir um Anonymität gegen über … wem genau? Das hat riversource versucht mit Tor anzusprechen.

Ich rate mal: Wenn Du spielerisch lernen willst, einfach mal ausprobieren willst … halte ich das für den völlig falschen Weg. Man kann IT-Security nicht spielerisch erlernen. Hacking ja. Aber nicht Schützen. Daher bräuchten wir Dein Ziel/Zweck, damit wir Dir eine Technologie an die Hand geben können … oder Anfangsstichworte für die Eigenrecherche. Letzteres ist nämlich in dem Bereich wirklich gefährlich, weil es dermaßen viele Fake-Seiten bzw. -Angebote zu dem „Thema“ gibt. Die ersten zwei Seiten in Google zu dem Thema sind schlicht der falsche Weg, weil alles Fake.

 

[vocaris]

Nunja belassen wir es dabei. Die Hälfte hier ist bestimmt beim BND.. 🤣🤣
Scherz bei Seite. Es gibt. Mir bei dem Thema viel zu viel verschiedene Meinungen. Ich teste mich mal durch und entscheide mich für eine Lösung.
Danke bis dahin

 

[norKoeri]

Du darfst schon verschlüsseln, wir helfen Dir gerne. Nur musst Du Dir überlegen, gegen was Du Dich absichern willst, also ein Tracking des eigenen Internet-Anbieters, ein Tracking von hoheitlichen Stellen aus oder ein Tracking der entfernten Internet-Dienste. Nur drei Beispiele. Je nachdem steigert sich der Aufwand. Anonymität im Netz ist leider kompliziert … und NordVPN nicht im Ansatz die Lösung (dafür).

 

[User007]

Anonymität im Netz ist leider kompliziert …

... und absolute Utopie - ebenso, wie die übergeordnete "Sicherheit"! ☝️

Btw.:

Wie macht man das in der FritzBox?

Mit der originalen Firmware gar nicht, da die dafür nicht "konstruiert" ist.

Und betreffs aller Fragen an Dich:
Die werden ja nicht (ohne Grund) gestellt, um Dich auszuhorchen oder zu ärgern, sondern, um besser analysieren zu können, welche Hinweise Dir zielorientiert am Ehesten hilfreich sein könnten.
​

Aber zumindest kann die abgefangene IP erst mal nicht zu mir verfolgt werden sondern zum VPN Anbieter.

Wie kommst Du auf den Gedanken - nur weil Dir das ein VPN-Dienstanbieter, der ja Geld von Dir haben will, "zusichert"? 🤔​

 

[Bob.Dig]

Wie kommst Du auf den Gedanken

Das ist kein Gedanke sondern ein Fakt.

dann muss ggf der ASUS Router mein Hauptrouter werden. Er verbindet sich mit dem ISP und aggiert als DHCP. Meine AVM Produkte stelle ich dann auf LAN Client und binde sie ein. Dann müssten die AVM Geräte doch die IPs vom ASUS bekommen, oder? Im Asus sind dann alle Geräte mit deren IP bekannt und ich kann dort die VPN Client Funktion aktivieren und könnte Aufgrund der IP Zuordnung entscheiden, welches Gerät via VPN geht und welches "normal".

So wird ein Schuh daraus. Ob es das alles Wert ist, sei dahin gestellt, aber mir der Fritte als Hauptrouter kommst Du halt nicht weit.

 

[User007]

Das ist kein Gedanke sondern ein Fakt.

Technisch gesehen mag das zwar richtig sein, hindert aber indes nicht grundsätzlich, dass der VPN-Anbieter eine Zuordnung der jeweiligen IP-Adressen von der Dienstnutzung zu einem Kunden vornimmt bzw. dazu befähigt ist und diese mglw. an interessenbehaftete Ermittlungsbehörden ausliefern muß.​