Fritzbox mit mehr IP Adressen

[eigsi124]

Komplettzitat entfernt durch Moderator.

Also staische IPs mit DHCP sollte man nur mit Reservierungen am DHCP Server ausführen und nicht am Client damit genau sowas nicht passiert.
Alles andere ist imho eine Fehlkonfiguration vom Admin.

 

[G1N0R0G]

Okay viel geschrieben aber keine brauchbare Lösung? 🙈
Ich kann bei der Fritz box nur 1Tag angeben
Den submask habe ich ja geändert.
So habe ich es geändert.
Aber so geht es leider nicht.
Immer nur vom 192.168.176.0- 192.168.177.0

Es war heute ein "Kinder" Wechsel gewesen. Also 160Kinder weg und 160Kinder neu.

 

[eigsi124]

Komplettzitat entfernt durch Moderator.

Natürlich, die Lösung siehst du in meinem ersten Post.
Hier nochmal die Zusammenfassung + ein paar Ergänzungen

-Subnetmaske anpassen, z.b. 255.255.0.0 das entspricht /16 und ermöglicht 65.534 IP-Adressen.
-Eventuell die Router IP anpassen (in deinem Fall 192.168.0.1). Der IP-Adress-Range geht dann von 192.168.0.2 - 192.168.255.254)
-Eventuell Leasedauer auf max. 1 Tag reduzieren. (nicht unbedingt notwendig bei ausreichend Adressen)
-IP-Netz im Privatenbereich verwenden.
-statische IP-Adressen am DHCP-Server (ind diesem Fall die Fritzbox) reservieren und nicht am Client vergeben, dann musst du auch nicht so einen großen Bereich dafür freihalten und es kommt zu keinen IP-Konflikten.

 

[Raijin]

Okay viel geschrieben aber keine brauchbare Lösung?

Doch, mehrfach, siehe Seite #1 in nahezu jedem Beitrag.

Es ist im übrigen üblich, dass das Standardgateway (=Router) stets die erste IP im Subnetz bekommt und nicht mittendrin wie es bei dir jetzt der Fall ist. Bei deinen Einstellungen sollte die Fritzbox daher die 192.168.176.1 bekommen und nicht bei der Werks-IP 192.168.178.1 bleiben. Theoretisch ist das zwar egal, aber praktisch können insbesondere Consumer-Router von AVM, TP-Link, Asus und Co in solchen Dingen sehr eigen sein, weil sie für ein 08/15 Szenario gebaut und programmiert wurden.

Aber so geht es leider nicht.

Aha, und magst du uns verraten was genau denn nicht funktioniert? Meldet die Fritzbox beim Bestätigen der Einstellungen einen Fehler? Bekommen die Endgeräte keine IP? Bekommen sie eine falsche IP? Haben sie keine Netzwerk-/Internetverbindung?




@CyrionX : Du verdrehst die Tatsachen. Wenn ein DHCP-Server tatsächlich aktiv doppelte IPs vergeben würde, wäre er defekt. In den von dir verlinkten Fällen waren aber teilweise mehrere DHCP-Server parallel in Betrieb oder aber der Router samt DHCP-Server wurde ausgetauscht und somit auch die Reservierungstabelle des DHCP. In solchen Fällen ist eine doppelte IP ein Nebeneffekt, der aber eine ganz andere Ursache hat.
Wenn ein DHCP-Server sauber eingerichtet ist und alle DHCP-Clients nach etwaigen Änderungen der DHCP-Einstellungen einmal aktiv eine neue IP-Adresse beziehen (zB durch Neustart), dann gibt es auch keine doppelten IP-Adressen. Und wenn doch, dann muss man präzise untersuchen woher das kommt, zB durch eine fehlerhafte statische IP-Konfiguration eines Endgeräts oder weil ein Nutzer eine MAC geclont hat (DHCP-Zuweisungen sind MAC-basiert).

Die Wahrscheinlichkeit, dass der DHCP-Server tatsächlich eine IP-Adresse mehrfach an verschiedene Geräte mit unterschiedlicher MAC vergibt - d.h. es wird eine DHCPOffer-Message mit derselben IP an zwei Geräte verschickt und anschließend die DHCPRequest-Message von beiden Clients auch aktiv vom DHCP-Server bestätigt mit einer DHCPACK-Message bestätigt wird - ist verschwindend gering. Sollte das tatsächlich passieren, kann man von einem handfesten Bug reden.

 

[Sykehouse]

@G1N0R0G Schau den Schreenshot mal genau an und finde den Fehler. Dein IP Range beginnt bei 192.168.178.1, dein DHCP Range aber bei 192.168.176.1. Vermutlich vergibt die Fritzbox dadurch nur IPs aus einem /24 Subnetz. Eigentlich ist es eher erstaunlich, dass da überhaupt IPs vergeben werden.

Was ich hier aber dringend mal überdenken würde, ist die Tatsache, dass die mit einer statischen IP ausgestatteten Infrastrukturgeräte im selben Subnetz hängen (wenn man denn einfach den Konfigurationsfehler behebt), wie die Geräte aller Gäste. Idealerweise sollten die Gäste von der Infrastruktur getrennt sein und untereinander ebenfalls mittels Client Isolation.

 

[Raijin]

Was mir gerade noch in den Sinn kommt: Das Subnetz 192.168.176.0/22 schließt den Bereich 192.168.179.0 - 192.168.179.255 mit ein. Wenn ich micht recht entsinne, ist dieser Bereich für das Subnetz am Gastzugang reserviert und nicht änderbar. Kann das ein fachkundiger Fritzboxnutzer bestätigen? Wenn dem nämlich so ist, dann kannst du das von dir gewünschte Subnetz so gar nicht benutzen, weil es intern mit dem Gastnetz kollidiert.

Versuche daher mal folgende Einstellungen:

IP 192.168.160.1
Subnetzmaske: 255.255.254.0
DHCP-Bereich: 192.168.160.20 - 192.168.161.254
Lease Time: max 24h


Ein größeres Subnetz brauchst du meiner Meinung nach nicht. Der DHCP hat Platz für fast 500 Adressen, die nach 1 Tag Inaktivität wieder freigegeben werden. Wenn dir das nicht reicht, dann eben doch die Subnetzmaske auf 255.255.252.0 aufbohren und den DHCP-Bereich entsprechend vergrößern.


Übrigens: Wenn sich in dem Netzwerk auch Geräte des Unternehmens befinden, dann solltest du das Konzept grundlegend überdenken. Insbesondere Kinder haben die Eigenschaft, neugierig zu sein. Es kann ein ungeheurer Spaß sein, den Drucker des Gastgebers leerzudrucken, weil er zu unvorsichtig war und keine adäquate Firewall zwischen Firmen- und Gastgeräten einzurichten. Fritzboxxen eignen sich nur sehr sehr bedingt zur Verwaltung eines Firmennetzwerks (und das gilt auch für Höfe/Hotels). Ich würde dir daher zu einer Hardware-Firewall raten, die zuverlässig zwischen Gästen und Hof-Geräten trennt.

 

[CyrionX]

@CyrionX : Du verdrehst die Tatsachen.

Ironischerweise andersherum. Was du beschreibst taucht im verlinkten Beispiel gar nicht auf

In den von dir verlinkten Fällen waren aber teilweise mehrere DHCP-Server parallel in Betrieb oder aber der Router samt DHCP-Server wurde ausgetauscht und somit auch die Reservierungstabelle des DHCP.

nicht wirklich, nein. Aus dem Beispiel:

In der Fritzbox 7390 (meinem einzigen DHCP-Server im Netz) habe ich X.X.X.100 bis X.X.X.150 für die DHCP-Vergabe freigegeben....Das ist jetzt schon das x-te mal, beseitigen lässt sich das nur durch einen Reboot der Box.
...Also alles von Hand neu eingerichtet. Das funktionierte auch ca. 9 Monate reibungslos, plötzlich seit ein paar Wochen mehrfach das Gewürge.

Der andere Router hat demnach keinen DHCP Server aktiv. Die Einstellungen wurden nach einem komplettreset manuell vorgenommen. Seitdem wurde nichts verändert. Der Fehler verschwindet nach einem Reboot und taucht dann wieder auf. D.h. das Problem reproduziert sich von neuem aus einem vorher funktionierenden Zustand.

Wenn ein DHCP-Server sauber eingerichtet ist und alle DHCP-Clients nach etwaigen Änderungen der DHCP-Einstellungen einmal aktiv eine neue IP-Adresse beziehen (zB durch Neustart), dann gibt es auch keine doppelten IP-Adressen.

Das ist mehrfach geschehen, siehe oben. Und es wurde auch nichts DHCP Einstellungsseitig verändert vor dem Problem.

...woher das kommt, zB durch eine fehlerhafte statische IP-Konfiguration eines Endgeräts oder weil ein Nutzer eine MAC geclont hat

->

Heute z.B. haben mein Medienplayer (VXS-922) und mein Handy (S6e) mal wieder die gleiche IP.
Und: ...die wenigen Geräte mit fester IP (meine beiden NAS) hatten noch nie ein Problem. Auch die Geräte, bei denen ich einstellen konnte, das "immer die gleiche IP-Adresse" zugeordnet wird, machen kein Problem

Mac Cloning und statische IP Einstellung auf beiden Geräten (S6e) und VXS-922) schliesse ich aus, da sein AV-Receiver das gar nicht kann. Es geht hier auch ausschliesslich um per DHCP verbundene Geräte.

Nichts von dem was du aus dem Link herausgelesen hast ist dort aufgetreten noch beschrieben worden. Ja sogar explizit entkräftet.
Du hast weder meinen Beitrag noch das verlinkte Beispiel wirklich gelesen und unterstellst Verdrehung von Tatsachen.

Diese Art von Problem, die ich dem TE schildern wollte, existiert demnach weiterhin, selbst wenn du dies einfach mal nicht als existent anerkennen möchtest. Ich wollte ihm nur eine mögliche Fehlerquelle präsentieren ( falls diese auftaucht), und nicht mit dir ewig über dessen Existenz duskutieren.
Dem steht auch noch soviel technische Argumentation eines idealen Systems nicht entgegen. Es gibt Designflaws oder Problemszenarien, aber kein perfektes System. Jedoch zu sagen dies/jenes gibt es nicht trotz genug handfesten Beobachtungen, widerspricht jedem empiristischen Vorgehen.

Da brauche ich auch gar keine weiteren Beispiele zu bringen, die ansich zu Hauf existieren.
Vielleicht solltest du mal "durchs Teleskop blicken hinter dem der Jupitermond sich dreht", anstatt ihn wegzudiskutieren.
Damit hat sich das für mich auch gegessen.

Ergänzung (5. Juli 2020)

Wenn ich micht recht entsinne, ist dieser Bereich für das Subnetz am Gastzugang reserviert und nicht änderbar. Kann das ein fachkundiger Fritzboxnutzer bestätigen?

Jain
die 7490 nutzt z.B.

Kommt aber wohl auf das Model an

 

[CyrionX]

@G1N0R0G Schau den Schreenshot mal genau an und finde den Fehler. Dein IP Range beginnt bei 192.168.178.1, dein DHCP Range aber bei 192.168.176.1.

Der Anfangsbereich passt ja, mit 255.255.252.0 werden IPs schon von 192.168.176.1 an (bis 192.168.179.254) vergeben. ( Netzwerkrechner). Sein Problem war, mit dem selben Subnetz, am Anfang auch nur, dass er von 177.1-177.255 nichts vergeben bekommen hat. Und darauf gab es bisher Lösungen mit anderen Ranges, aber nicht konkret zu diesem Adressbereich.

Vermutlich vergibt die Fritzbox dadurch nur IPs aus einem /24 Subnetz.

Dann hätte er nur die 192.168.178.1-255 Range und 176.0 bis 177.0 wäre gar nicht gelaufen, oder was meinst du genau?
Jedoch frage ich mich, wieso keine Probleme entstehen wenn nun der Broadcast bei 255.255.252.0 auf 192.168.179.255 und damit im Gastnetzwerk mit eigenem Subnetz liegt.

 

[Raijin]

Ironischerweise andersherum. Was du beschreibst taucht im verlinkten Beispiel gar nicht auf

Du hast einen Link zu einer google-Suche gepostet und ich habe diverse der dortigen Ergebnisse angeschaut. Nur weil es Einzelfälle geben mag, die so aussehen als wenn der DHCP schuld ist, muss das noch lange nix heißen. DHCP gibt es nicht erst seit gestern und es ist in zig Millionen Netzwerken auf dieser Erde in Betrieb ohne jedwede Probleme. Designflaws? Weißt du denn wie DHCP funktioniert? Oder stützt du dich ausschließlich auf Berichte von Laien, die weder etwaige Auswirkungen noch deren Ursache beurteilen können? Gib bei google mal "die erde ist eine Scheibe" ein und da gibt's auch viiiiiiele Ergebnisse, aber dadurch wird es nicht richtiger.

Heute z.B. haben mein Medienplayer (VXS-922) und mein Handy (S6e) mal wieder die gleiche IP.

Wenn dem tatsächlich so ist, müsste man mit WireShark zumindest den DHCP-Discover und DHCP-Request als Broadcast sehen können. Die DHCP-Offer und das anschließende DHCP-ACK müsste man mit einem LAN Tap oder einem Mirror-Port am Switch mitsniffen.

Wenn dem dann wirklich so wäre, ist das ein fataler Bug in der Firmware des Routers wie ich ihn bisher noch nie gesehen habe und der vor allem auch durch die Medien gehen würde, nicht nur als einzelne, schlecht belegte Fehlerberichte von Laien.

Jain
die 7490 nutzt z.B.

[IMG]https://www.computerbase.de/forum/attachments/1593920612829-png.940316/[/IMG]


Kommt aber wohl auf das Model an

Interessant.. Das Subnetz ist mir neu. Muss ich mir merken.

 

[G1N0R0G]

So wie die Einstellung jetzt sind werden nicht mehr IP Adressen vergeben.
Die subnetmask hatte ich auch schon bei 255.255.252.0 mit der Start ip von 192.168.160.0
Da hatte ich mir gedacht das es zu groß ist.

Der ip Bereich des gastzugangs wird automatisch geändert von der Fritz box sobald Haupt ip geändert wird

Ich sehe leider noch nicht den grundlegenden Fehler 🙈

Subnetmask ist angepasst und ein Kind bekommt ja 192.168.177.0. Aber danach nicht weiter

 

[Raijin]

Ich hab leider keine Fritzbox und kann das Szenario nicht reproduzieren. Wenn dem aber tatsächlich so ist, dass die Fritzbox ab einer gewissen Anzahl an vergebenen IP-Adressen via DHCP einfach aufhört, weitere IPs zu verteilen, dann ist sie wie ich oben schon angedeutet habe für eine professionellen Einsatz dieser Art nicht geeignet. Wie gesagt, Fritzbox und Co sind auf 08/15 Heimnetzwerke ausgelegt und nicht für einen Hotelbetrieb.

Man könnte beispielsweise einen EdgeRouter-X für 50€ besorgen und diesen als DHCP-Server verwenden. Bei der Fritzbox käme der Haken bei DHCP dann raus und man muss nur die IP+Subnetzmaske entsprechend einstellen. Der ERX bekäme dann zB einfach die IP mit .2 am Ende und dafür mkt aktivem DHCP-Server beliebiger Größe.

Darüber hinaus könnte der ERX im nächsten Schritt gleichzeitig als Hardware-Firewall einsetzen und explizit Gäste vom Hof-Netzwerk abschotten - sozusagen ein aufgebohrtes Gast-Netzwerk.



Die Sicherheit sollte nicht auf die leichte Schulter genommen werden. Heutzutage muss man nur halbwegs googlen können, um erste Hackversuche zu starten. Im Falle eines frei verfügbaren Druckers oder zB einer Sonos-Anlage muss man nicht mal das. Ein befreundeter Hotelbesitzer in Bayern hat mich auch mal doof angeguckt als ich aus dem Hotel-WLAN plötzlich "Hamburg, meine Perle" von seiner Sonos ertönen ließ - er hatte ebenfalls wie von zu Hause gewohnt einfach nur das ganze Hotel mit FritzRepeatern zugepflastert und hat natürlich nicht die Gastfunktion genutzt..............

 

[ameisenbaer]

die 7490 nutzt z.B.

[IMG]https://www.computerbase.de/forum/attachments/1593920612829-png.940316/[/IMG]


Kommt aber wohl auf das Model an

Bei meiner 7590 ist es 192.168.179.*



Aber warum sich groß rumärgern und nicht gleich das 10...* - Netz nehmen?



Aus Sicherheitsgründen würde ich aber für die vielen Kinder ein extra WLAN-Access Point/Router (mit eigenen DHCP-Server und NAT) nehmen und an den Gastzugang LAN4-Port der Fritz-Box hängen.

Noch besser wäre das Ganze mit einem Freifunk-VPN zu verheiraten, um sich um die unklare Störerhaftungsgeschichte nicht groß kümmern zu müssen:
https://wiki.freifunk.net/FAQ_Technik
https://wiki.freifunk.net/Sicherheit

 

[G1N0R0G]

deshalb schreibe ich das ja im Forum
ich finde es halt seltsam das trotz richtiger subnetmask nicht mehr ips vergeben werden
im 10er Netz werde ich denke ich das selbe problem haben.
dann sollte ich mir so ein teil bestellen.
den muss ich dann nur ins Netzwerk packen und einstellen oder? Sprich lan1 von der Fritz auf den wan port vom edge router?

 

[Raijin]

den muss ich dann nur ins Netzwerk packen und einstellen oder? Sprich lan1 von der Fritz auf den wan port vom edge router?

Jein, ein EdgeRouter ist ein waschechter Router im Sinne von WAN=LAN wie man will. D.h. er kann so eingestellt werden wie man es von Consumer-Routern kennt (1× WAN + 1 × LAN), aber auch als reiner LAN-Router, der mehrere private Netzwerke miteinander verbindet, mit oder ohne VLANs oder gar als Multi-WAN-Router. Oder man nutzt ihn im einfachsten Fall eben nur als DHCP-Server.

Ich würde an deiner Stelle in jedem Fall ein Sicherheitskonzept erstellen. D.h. der ERX fungiert als Schnittstelle zwischen Gästen und Fritzbox-Netzwerk (oder gar nur Gast-Netz der Fritzbox). Das setzt aber voraus, dass zB auch das WLAN hinter dem ERX angeschlossen wird und eben nicht direkt über die Fritzbox.

Im ersten Step könntest du aber zumindest dein DHCP-Problem lösen, indem du den ERX mit Port1 an die Fritzbox hängst, diesem Port die 192.168.160.2 mit 255.255.252.0 gibst und anschließend den DHCP-Server entsprechend konfigurierst. Der DHCP der Fritzbox wird dann ausgeschaltet.

 

[ameisenbaer]

Sprich lan1 von der Fritz

Der Gastzugang ist nur auf LAN4 möglich (wenn Option ausgewählt).

 

[G1N0R0G]

Nur wenn ich beim gastzugang angebe stoße ich auch schnell auf den DHCP limit

Außer ich kann bei den ERX 2 mal rein? Also 2 mal als WAN Port und 1 mal raus?

 

[ameisenbaer]

Wenn der WLAN Accesspoint/Router einen eigen DHCP-Server hat, ist es doch egal wie das Limit beim Gastzugang aussieht. Die Fritzbox verteilt eine einzige IP an den Accesspoint/Router und der Router baut dann hinter seiner NAT seinen eigenen Netzbereich mit seinem DHCP-Server auf...

 

[G1N0R0G]

Die Access Points haben leider keine DHCP Funktion. Die habe ich bereits schon aus dem DHCP Bereich geholt. Ich denke ich muss ein extra DHCP Server nehmen. Wie es aussieht kann ich auch jeden LAN Port mit einer eigenen DHCP versehen

 

[Raijin]

Mögliche Szenarien mit einem ERX:


1) Reiner DHCP-Server - der ERX ist ein ganz normales Endgerät im Netzwerk

• ERX mit Basis-Setup-Wizard einrichten (kein WAN, keine Firewall, kein NAT)
• Kabel von der Fritzbox in eth0
• IP von Fritzbox auf 192.168.160.1 mit 255.255.252.0 setzen
• IP-Adresse vom ERX eth0 auf 192.168.160.2 mit 255.255.252.0 setzen
  Alternativ: Switch des ERX aktivieren und alle Ports hinzufügen, IP statt auf eth0 dann auf switch0 zuweisen
• DHCP-Server im ERX aktivieren, Range nach Bedarf konfigurieren, Lease Time max 24h
• DHCP-Server in der Fritzbox deaktivieren

www
|
Fritzbox (WLAN+LAN) Endgeräte (beliebig)
(LAN)
|
(eth0)
ERX

Dies kann im Prinzip auch mit einem Raspberry PI oder einem Router mit OpenWRT, o.ä. realisiert werden. Die grundsätzliche Vorgehensweise ist dabei dieselbe.



2) Hardware Firewall - der ERX fungiert als Trennung zwischen Hof- und Kinder-Netzwerk

• ERX mit Basis-Setup-Wizard einrichten
• Kabel von der Fritzbox in eth0 (WAN) -> hier kann auch LAN4-als-Gast an der Fritzbox genutzt werden
• IP von Fritzbox auf 192.168.178.1 mit 255.255.255.0
• IP von ERX an eth0 auf 192.168.178.2 mit 255.255.255.0
• IP von ERX an eth1 (oder switch0 mit eth1-4) auf 192.168.160.1 mit 255.255.252.0
• Statische Route in Fritzbox einrichten (Ziel: 192.168.160.0 @ 255.255.252.0 Gateway: 192.168.178.2)
• Kabel von eth1 (oder eth1/2/3/4) an die Switches und APs, die im "Kindernetz" sein sollen
• DHCP-Server im ERX aktivieren, Range nach Bedarf konfigurieren, Lease Time max 24h
• DHCP-Server in der Fritzbox auf aktiv und Standard-Einstellung belassen
• Firewall im ERX gemäß der erlaubten/verbotenen Zugriffe auf Internet und Hof-Netzwerk einstellen

www
|
Fritzbox (WLAN+LAN) ~~~ Endgeräte für internes Hofnetzwerk (zB Büro-PCs, Drucker, NAS)
(LAN)
|
(eth0)
ERX
(eth1-4)
|
Switches, APs, Endgeräte für Kindernetzwerk



Variante 1 ist einfacher einzurichten und ersetzt prinzipiell nur den DHCP der Fritzbox. Ich würde dennoch zu Variante 2 raten, da nur so die Sicherheit gewährleistet ist, dass ein Gast nicht plötzlich auf ein Hof-Gerät zugreift. Diese Lösung ist aber komplexer und man muss sich etwas KnowHow aneignen, um die Firewall im ERX zu konfigurieren. Allerdings ist das in meinen Augen sowieso Pflicht, wenn man ein geschäftsmäßiges Netzwerk betreibt wo sich zahlreiche Fremdgeräte tummeln.

Eigentlich sollten solche Netzwerke ausschließlich von erfahrenen Nutzern eingerichtet werden. Der Kumpel von der Schwester vom Nachbarn ist nicht zwingend dafür geeignet, nur weil er einen PC aufschrauben und eine Grafikkarte einbauen kann. Das heißt, dass dafür ggfs auch professionelle Hilfe in Anspruch genommen werden sollte (zB Systemhaus, IT-Freelancer, o.ä.). Ein Forum kann keine professionelle Netzwerkinstallation und -konfiguration ersetzen. Wenn der ambitionierte Laie nämlich Mist baut, kommt irgendwann mal ein sehr nerdiges Kind daher und treibt allerhand Schabernack im Netzwerk, inkl. etwaige Zugriffe auf NAS mit Steuerunterlagen oder was weiß ich...

 

[G1N0R0G]

Ja klingt plausibel.
Allerdings war die hauptsächliche Frage ja wieso die Fritz box nur 254 ip Adressen vergibt. Diese Logik dahinter wollte ich verstehen.