Fritzbox 6490 / ASUS Router - Routing Probleme

[craylmaster]

Hallo, ich habe folgendes Problem:
Ich habe einen Router (Fritzbox 6490) mit einem Internet Anschluss von Unitymedia, da hinter hängt ein Asus Router (LAN -> WAN) welcher als OpenVPN funktioniert, alle dort angeschlossenen Geräte sind also durch eine VPN geschützt. An der Fritzbox hängt unter anderem ein NAS und mein HTPC, am ASUS Router hängt mein VU+ Solo SE2 Receiver und paar andere Geräte aus dem Haushalt (Notebooks, Smartphones etc).
Den HTPC in das Asus Netz zu hängen kommt nicht in Frage, da sonst die Internetgeschwindigkeit zu sehr reduziert wird und die Übertragungsrate des NAS nicht mehr ganz so flüssig ist.
Die Fritzbox benutzt das Subnetz: 192.168.178.x und der Asus Router 192.168.1.x, beide haben die DHCP Funktion eingeschaltet, der Bridge-Modus des Asus Router kommt auch nicht in Frage, da dann der VPN Modus nicht verfügbar ist.

Nun möchte ich von meinem HTPC per Kodi Inhalte der VU+ (aus dem anderen Subnetz) streamen, jedoch fangen hier die Probleme an. Im selben Netzwerk gar kein Problem, doch die 2 Subnetze machen Probleme. Man kann aus dem Subnetz des Asus Routers die Geräte aus dem FB Subnetz erfolgreich anpingen und auch drauf zugreifen (z.B auf die NAS), anders rum aber nicht. Das heißt ich finde mit meinem HTPC die VU+ Box nicht.

Folgendes habe ich bereits probiert:
-Beide Router in 1 Subnetz: Funktioniert nicht, da IP-Adress Konflikte entstehen und der Asus Router sofort in ein anderes ----Subnetz wechselt, auch bei ausgeschalteter DHCP Funktion.
-Routing: Mit Routing klappt es aus dem ASUS Subnetz in das FB Subnetz zuzugreifen, anders rum aber nicht obwohl die Routing Einstellungen die selben sind.

In einem anderen Thread habe ich von Portfreigabe gelesen, jedoch blieb ich damit auch erfolglos..

Bei Bedarf kann ich euch die einzelnen Screenshots der Routing Einstellungen etc hochladen.
Ich wäre euch sehr dankbar wenn ihr mir helfen könntet

 

[mr-watson]

hallo und willkommen

alles an der Fritze zu betreiben geht nicht?

 

[Raijin]

Keine Ahnung was du dir darunter vorstellst, dass "alle dort angeschlossenen Geräte [..] durch eine VPN geschützt" sind, aber ok. Ich vermute mal du unterliegst dem Irrtum, dass ein VPN dich anonym macht, etc. Das ist aber ein Trugschluß und permanente VPNs können diverse Nachteile mit sich bringen, nicht nur die eingeschränkte Bandbreite, die du ja selbst ansprichst. Ich kann daher nur davon abraten sowas permanent einzurichten und empfehle stattdessen, selektiv und bewusst ein VPN einzusetzen. VPNs sind keine Fire-and-Forget-Lösung. Frei nach dem Motto "ich hab jetzt ein permanentes VPN und jetzt ist alles gut".

Wie dem auch sei, ist deine Sache woran du glaubst. Dein eigentliches Problem liegt hier: "da hinter hängt ein Asus Router (LAN -> WAN)"
Die Aufgabe eines Internet-Routers wie dem Asus oder eine Fritzbox ist die Trennung von LAN und WAN. Vom LAN aus kommt man ins WAN, aber vom WAN nicht ins LAN. Ob das WAN nun direkt zum Internet-Provider geht oder ob da noch ein weiteres LAN dazwischen kommt, das Fritzbox-LAN, ist dem Asus dabei vollkommen egal, alles hinter dem WAN-Port gilt für ihn als "Internet" und wird somit durch die Firewall blockiert. So wie die Fritzbox also ihr LAN gegenüber ihrem WAN (---> Provider) schützt, schützt der Asus sein LAN gegenüber seinem WAN (---> Fritzbox).

Die Lösung ist sowohl bei der Fritzbox als auch beim Asus dieselbe: Portweiterleitung. Wenn du vom Internet aus durch die Fritzbox auf ein Gerät im Fritzbox-LAN zugreifen willst, musst du in der Fritzbox eine Portweiterleitung einrichten. Möchtest du vom Fritzbox-LAN auf ein Gerät hinter dem Asus zugreifen, musst du demnach analog dazu im Asus eine Portweiterleitung einrichten.

Allerdings wirst du bei Streaming, o.ä. auf ein weiteres Problem stoßen. UPnP bzw. DLNA arbeiten u.a. mit Broadcasts, um überhaupt einen Medienserver zu finden. D.h. der TV sucht per Broadcast bzw. der Medienserver macht sich per Broadcast im ganzen Netzwerk bekannt. Broadcasts werden aber nicht durch die Firewall des Asus hindurch gehen, Portweiterleitung hin oder her. Du kannst höchstens im Asus eine Portweiterleitung auf den Medienserver einrichten und dann am Medienplayer versuchen, den Server explizit via IPort anzuwählen. Die IP wäre dann natürlich die IP des Asus (WAN-IP).


Das grundlegende Problem ist, dass du hier versuchst, mit Consumer-Hardware ein komplexes Netzwerk zu betreiben, für das solche Geräte schlicht und ergreifend nicht geeignet sind. Asus, Fritzbox und Co sind für 08/15 Szenarien gebaut, direkt am Internet-Zugang als Hauptrouter. Sie können keine gleichberechtigten Netzwerke untereinander routen, weil WAN bzw. LAN und die Firewall fest in die Konfiguration eingebrannt sind. Mit zwei Consumer-Routern wirst du so ein Netzwerk also höchstens mit Klimmzügen und einer Menge Frickelei betreiben können. Ob das am Ende überhaupt funktioniert und wenn ja, wie gut es dann klappt, sei mal dahingestellt.
Eigentlich brauchst du an dieser Stelle nämlich einen echten Router, der eben auch ganz simpel zwei LANs untereinander routen kann, kein NAT, keine Firewall, reines Routing. Ein MikroTik, EdgeRouter oder dergleichen.

 

[Paradox.13te]

Eigentlich ist das nur eine Frage der Software und wie Leistungsfähig die Hardware ist wenn man mal von semi Pro oder Pro Lösungen absieht. Ich habe z.B. Sabai OS auf meinen Asus Router drauf. Dort kann ich jegliches Gerät individuell einstellen wie es sich verbinden soll und darf.

 

[0815burner]

Also beide Geräte im selben Netzwerk sollte problemlos gehen. Dann den Asus per LAN mit der FB verbinden (LAN->LAN). Ist dieses Asus Modell zufällig dd-wrt fähig?
Ich habe jahrelang einen WRT54GL hinter einem Router mit separaten Netz und an WAN angeschlossen betrieben. Unter dd-WRT kann man einstellen, das die WAN dem Netzwerk zugeordnet wird.

 

[Raijin]

Generell würde ich ein VPN-Gateway, mit dem man zB Netflix, o.ä. über ein US-VPN laufen lassen möchte, stets als alternatives Gateway im selben Subnetz betreiben. Es ist wenig sinnvoll und kann vor allem auch einige Probleme nach sich ziehen, wenn man Geräte in einem eigenen Subnetz hinter einem separaten NAT-Router permanent über's VPN schickt. Netflix und Co, aber auch zB Banken blocken immer häufiger bekannte VPN-IPs, um Missbrauch zu vermeiden. Echt doof, wenn man dann wie ein blöder das Netzwerk umverkabeln muss, weil die Geräte quasi physisch hinter dem VPN hocken und man nicht mal eben umstellen kann. Eine weitere Konsequenz eines zweiten NAT-Routers im Netzwerk ist besagte Firewall. Ein 08/15 Router wie Asus, Fritzbox und Co kann keine LANs routen. Sie sind ausschließlich für den Betrieb mit 1x WAN und 1x LAN gebaut, d.h. die Firewall und das NAT lässt sich schlicht und ergreifend nicht abschalten. Bei einem (semi)professionellen Router, MikroTik, EdgeRouter, etc. wäre das kein Thema.

Ich würde folgendes Setup empfehlen:


Hauptrouter (IP: x.y.z.1) mit DHCP --> vergibt IP-Adressen mit dem Hauptrouter als Gateway --> ungefilteter Internetzugang.
Zweit-Router ohne DHCP, als AP konfiguriert (WAN = leer). IP-Adresse = x.y.z.2. VPN-Tunnel einrichten.
Alle Geräte, die kein VPN benötigen, bekommen als Gateway x.y.z.1, ob manuell oder via DHCP.
Alle Geräte, die VPN nutzen sollen, mit manueller IP konfigurieren und als Gateway x.y.z.2 verwenden

Bei diesem Setup kann man im Prinzip sogar umschalten. Am PC könnte beispielsweise eine Batch-Datei auf dem Desktop mit einem Doppelklick zwischen normalem bzw. VPN-Internet umschalten.