Routen mit einem edgerouter x?

sakis2019

Cadet 4th Year
Registriert
Sep. 2019
Beiträge
86
Hallo,

ih bin noch relativ neu im "Netzwerk-Gebiet", daher entschuldigt meine "einfache" Frage.
Ich besitze seit kurzem ein edgerouter x, ich hatte bisher nur Fritzboxen gehabt.

Mit Ach und Krach habe ich es geschaft meine 2 Fritzboxen zu "routen", obwohl ich mir nicht sicher bin ob das so "richtig" ist, aber gut.

Mein Problem bzw Frage ist nun, auf einem Netz läuft Pi-Hole das klappt soweit gut, wie route ich das ganze nun das ich am anderen Netz auch Pi-Hole nutzen kann?

Ich hoffe ihr könnt verstehen was ich meine, ansonsten nachfragen :)

Vielen Dank.

LG
Sakis
 
Hast du denn überhaupt unterschiedliche Subnetze? Oder ist dein Edge Router doch nur zu einem Switch degradiert worden? :D
Du musst halt eine Route bauen, dass dein Traffic von deinem Netz ins Pi-Hole Netz geht und von dort dann erst raus ins Internet :)
 
  • Gefällt mir
Reaktionen: sakis2019
Tamron schrieb:
Hast du denn überhaupt unterschiedliche Subnetze? Oder ist dein Edge Router doch nur zu einem Switch degradiert worden? :D

Ja, ich habe zwei unterschiedliche Subnetze

192.168.10.1 BOX-A
192.168.20.1 BOX-B

Die habe ich dann beim Edgerouter eingetragen. Ich kann von einem ins andere Netzwerk zugreifen bzw anpingen das klappt, aber irgendwie scheint mir die Verbindung "Langsam" zu sein, aber ok, das ist nicht das Thema hier. :)

Tamron schrieb:
Du musst halt eine Route bauen, dass dein Traffic von deinem Netz ins Pi-Hole Netz geht und von dort dann erst raus ins Internet :)

Genau das ist mein Problem, wie stelle ich das beim Edgerouter X ?
 
Wenn du mit "Box" die Fritzboxen meinst so sind diese ja Router. Router haben mindestens zwei Interfaces, LAN und WAN im vereinfachten Fall. An diesen Interfaces liegen Subnetze an und nicht IP-Adressen. Ich unterstelle also mal, dass an der LAN-Seite von Box-A das Netz 192.168.10.0/24 anliegt und an LAN-Seite von Box-B 192.168.20.0/24, korrekt?
Wie sind die jeweiligen WAN-Interface der Fritzboxen konfiguriert?
Wie genau ist der Edgerouter konfiguriert an den jeweiligen Interfaces?
Welche Routingtabelleneinträge hast du auf den Fritzboxen und dem Edgerouter eingerichtet?
Wie sind die Systeme mit dem Internet verbunden?
In welchem Subnetz befindet sich der Pi-Hole?
 
Um sinnvoll helfen zu können, benötigen wir Informationen zur Netzwerkstruktur (was ist wie und wo an welchem Port angeschlossen), den Subnetzen (wenn es mehr als die beiden sind) und die IPs der relevanten Geräte (zB pihole, die FBs, etc). Und natürlich den Plan was denn nu von wo nach wo was tun soll
 
  • Gefällt mir
Reaktionen: sakis2019 und snaxilian
Ich hab mal eine grobe Skizze gemacht wie mein Netzwerk ungefähr aussieht.
Ich hoffe das hilft ein wenig weiter

Edit: Ich hab die Skizze bearbeitet und die IPs hinzugefügt.
 

Anhänge

  • skizze.JPG
    skizze.JPG
    107 KB · Aufrufe: 1.456
Zuletzt bearbeitet:
Wo laufen die DHCP-Server für die Subnetze? In den jeweiligen FBs oder im ER? Und welches Standardgateway gibt der jeweilige DHCP aus? Immer die .1, also die Fritzbox?

Für eth2 fehlt die IP, ich vermute aber 192.168.10.254, korrekt?

Sofern das Standardgateway der Subnetze jeweils die Fritzbox ist, muss entweder jeder Client an der Fritzbox B (10.x) eine Route ins Subnetz von Fritzbox A (20.x) über den ERX (mutmaßlich 10.254) haben oder du richtest in der Fritzbox B eine statische Route ins A-Netz über den ERX ein (sinnvoller, da zentral)
 
  • Gefällt mir
Reaktionen: sakis2019
Die Frage ist nicht böse gemeint, aber gibt es einen triftigen Grund, warum du in einem Heimnetz gleich drei Router mit zwei Netzten brauchst? Du würdest dir dein Leben deutlich einfacher machen, wenn du alle Geräte im gleichen Subnetz betreiben würdest.

Je nachdem, ob du nur DNS oder den gesamten Verkehr auf den Pi umleiten willst, musst du den Pi als DNS-Server, oder auch noch als Default Gateway in der Fritzbox-B in der WAN/Internet-Einstellung eintragen.
Sprich, der PC hat die Fritzbox als DNS-Server/Gateway, und die Fritzbox den Pi.

Groß zu routen gibt es da eigentlich nichts. Ich gehe mal davon aus, dass Fritzbox-B eine externe IP aus dem ".20.x" Subnetz hat. Damit sollte der PC den Pi direkt erreichen können.
 
Ja, es wäre schon hilfreich, die Intention, die dahintersteckt, zu kennen. Es könnte sich beispielsweise um zwei separate Wohneinheiten mit jeweils eigenem Internetzugang handeln oder der Versuch, in den eigenen 4 Wänden separate Netzwerke aufzubauen, beispielsweise Privat/Büro oder sowas.
 
  • Gefällt mir
Reaktionen: sakis2019
Wenn man Netze trennen will um sie getrennt zu haben ist es aber halt nicht ratsam den Pi-Hole in Netz 1 aus Netz 2 erreichbar zu machen.
Deswegen wenn schon dann Pi-Hole in Netz 3 packen oder saubere Trennung beibehalten und zweiten Pi-Hole für Netz 2 aufsetzen.

Oder es geht einfach nur um Machbarkeit.
 
Da bisher keine Rede von einer Firewall zwischen den Subnetzen ist, scheint eine Trennung der Netze auch nicht das Ziel zu sein. Es ist daher vollkommen unerheblich wo der pihole läuft. Wie dem auch sei, es gibt gefühlt ein Dutzend verschiedener Setups, die jeweils auf einem anderen Szenario aufbauen.
 
  • Gefällt mir
Reaktionen: sakis2019
Raijin schrieb:
Wo laufen die DHCP-Server für die Subnetze? In den jeweiligen FBs oder im ER? Und welches Standardgateway gibt der jeweilige DHCP aus? Immer die .1, also die Fritzbox?

Genau. DHCP läuft auf beide FB und Gateway ist immer die .1

Raijin schrieb:
Für eth2 fehlt die IP, ich vermute aber 192.168.10.254, korrekt?

Richtig, es ist die 192.168.10.254

Raijin schrieb:
Sofern das Standardgateway der Subnetze jeweils die Fritzbox ist, muss entweder jeder Client an der Fritzbox B (10.x) eine Route ins Subnetz von Fritzbox A (20.x) über den ERX (mutmaßlich 10.254) haben oder du richtest in der Fritzbox B eine statische Route ins A-Netz über den ERX ein (sinnvoller, da zentral)

Genau, ich habe letzteres gemacht.


Mr. Robot schrieb:
Die Frage ist nicht böse gemeint, aber gibt es einen triftigen Grund, warum du in einem Heimnetz gleich drei Router mit zwei Netzten brauchst? Du würdest dir dein Leben deutlich einfacher machen, wenn du alle Geräte im gleichen Subnetz betreiben würdest.

Ja es gibt einen Grund, und zwar ist die Fritzbox-A bei meinem Bruder im Obergeschoss und Fritzbox-B im Untergeschoss (ca. 20 Meter entfernung). Natürlich gäbe es da die möglichkeit eine Internetverbinung zu nutzen, aber das möchte ich nicht. Ich möchte das jede Fritzbox seine eigene Internetverbindung hat, so das ich bei mir (im UG) sorgenfrei "experimentieren" kann und mein Bruder in ruhe surfen kann.

Mr. Robot schrieb:
Je nachdem, ob du nur DNS oder den gesamten Verkehr auf den Pi umleiten willst, musst du den Pi als DNS-Server, oder auch noch als Default Gateway in der Fritzbox-B in der WAN/Internet-Einstellung eintragen.
Sprich, der PC hat die Fritzbox als DNS-Server/Gateway, und die Fritzbox den Pi.

Was wäre hier die bessere Wahl? ich möchte das der Pi-Hole beide netze "werbefrei" macht. Sollte er mal aus irgend einem Grund ausfallen, sollte man weiterhin surfen können, dann hat man natürlich wieder Werbung aber man kann weiter surfen. Bisher war es immer so das wenn Pi-Hole aus war, keiner mehr ins Internet konnte, und das möchte ich nicht. Gibt es da eine möglichkeit?

Mr. Robot schrieb:
Groß zu routen gibt es da eigentlich nichts. Ich gehe mal davon aus, dass Fritzbox-B eine externe IP aus dem ".20.x" Subnetz hat. Damit sollte der PC den Pi direkt erreichen können.

Ich habe die Frage nicht verstanden, Fritzbox.B hat folgende IP 192.168.20.1

Raijin schrieb:
Da bisher keine Rede von einer Firewall zwischen den Subnetzen ist, scheint eine Trennung der Netze auch nicht das Ziel zu sein. Es ist daher vollkommen unerheblich wo der pihole läuft. Wie dem auch sei, es gibt gefühlt ein Dutzend verschiedener Setups, die jeweils auf einem anderen Szenario aufbauen.

Kannst du das mit der Firewall nochmal erklären? Die Netze sind ja getrennt, muss da eine Firewall dazwischen? Und welchen Sinn hätte diese dann?

LG
Saki
 
Ab Werk ist die Firewall im ERX leer. Das heißt, dass er ungefragt alles routet was an seinen LAN-Ports ankommt. In der Firewall kann man Regeln anlegen, die beispielsweise definieren, dass ausschließlich Port 53 (DNS) zwischen den beiden Netzwerken verkehren darf, also nur DNS-Anfragen. Normalerweise ist eine Firewall zwischen zwei Netzwerken so eingerichtet, dass sie alles blockt bis auf ein paar definierte Ausnahmen. In den Fritzboxxen ist auch eine Firewall, die eben genau so funktioniert, alles was vom WAN reinkommt wird geblockt, mit Ausnahme von Portweiterleitungen oder Antworten auf ausgehende Verbindungen (zB die Antwort einer Browser-Anfrage).

Wenn zwischen den Netzen lediglich der pihole geroutet werden soll, kannst du im ERX auch einfach den pihole als DNS einstellen, dann nutzt der ERX selbst den pihole. Anschließend im ERX unter Services den DNS auf den beiden LAN-Ports aktivieren und nun kannst du in Netz A und Netz B einfach die 192.168.x.254 als DNS verwenden, beispielsweise im DHCP-Server der jeweiligen Fritzbox hinterlegen. Dort, im Fritzbox-DHCP direkt den pihole zu hinterlegen, würde ich nicht tun, weil das den DNS-Weg noch weiter verlängert. Daher solltest du in jedem Fall prüfen wie schnell die DNS-Requests beantwortet werden, weil es einen kleinen Umweg gibt (PC --> ERX --> pihole --> Upstream-DNS oder gar PC --> Fritzbox --> ERX --> pihole --> Upstream-DNS).

Im übrigen wird es bei gemeinsamer Nutzung eines pihole so sein, dass ALLE DNS-Requests stets nur über EINE Internetverbindung ausgehen. pihole ist ja nur ein DNS-Forwarder und fragt trotzdem bei allen Requests, die nicht in seiner Blacklist stehen, den eingestellten Upstream-DNS - zB 8.8.8.8 - und diese Anfrage geht dann natürlich immer über Fritzbox-B raus.
 
  • Gefällt mir
Reaktionen: sakis2019
Danke für deine Ausführliche Antwort.

Raijin schrieb:
... Wenn zwischen den Netzen lediglich der pihole geroutet werden soll, kannst du im ERX auch einfach den pihole als DNS einstellen, dann nutzt der ERX selbst den pihole...

Wo stelle ich das ein?

Raijin schrieb:
... Im übrigen wird es bei gemeinsamer Nutzung eines pihole so sein, dass ALLE DNS-Requests stets nur über EINE Internetverbindung ausgehen...

Pihole läuft als Container auf meinem Proxmox-Server daheim. Ich könnte einen zweiten Pihole installieren, ist es dann möglich das jedes pihole sein eigenes subnetz "werbefrei" macht? Wenn ja wie stelle ich das im edgerouter ein?

Danke für deine Hilfe.

LG
Sakis
 
System --> DNS oder evtl Nameserver (hab gerade keine GUI zur Hand)


Wenn in Wohnung B zwei piholes laufen sollen, die jeweils in Netz A bzw B sein sollen, brauchst du ein VLAN, das die zweite pihole-Instanz dann virtuell in Netz A packt obwohl physisch mit Netz B verbunden. Lass das aber erwtmal sein, weil du dann noch eine Baustelle aufmachst. Schließlich hast du ja schon Schwierigkeiten mit dem Verständnis von Routing im Speziellen und den Grundeinstellungen des ERX im Allgemeinen....
 
  • Gefällt mir
Reaktionen: sakis2019
Raijin schrieb:
System --> DNS oder evtl Nameserver (hab gerade keine GUI zur Hand)


Wenn in Wohnung B zwei piholes laufen sollen, die jeweils in Netz A bzw B sein sollen, brauchst du ein VLAN, das die zweite pihole-Instanz dann virtuell in Netz A packt obwohl physisch mit Netz B verbunden. Lass das aber erwtmal sein, weil du dann noch eine Baustelle aufmachst. Schließlich hast du ja schon Schwierigkeiten mit dem Verständnis von Routing im Speziellen und den Grundeinstellungen des ERX im Allgemeinen....


Super Vielen Dank, das hat funktioniert.

Ja, da hast du recht, ich bin noch ein Neuling was das angeht, aber jeder hat klein angefangen :-) Und wer nicht fragt lernt nichts.

Was mich jetzt stört ist das alle Anfragen von Netz A rausgehen, daher muss ich glaube ich auch das mit den VLANs machen.

Die nötige Hardware dafür habe ich bereits. der im Bild angezeigte Switch ist ein Netgear GS108E der unterstützt soweit ich weiß auch VLANs oder spielt das keine Rolle?
 
  • Gefällt mir
Reaktionen: DFFVB
Jeder Switch auf dem Weg zwischen ERX und dem Host, auf dem pihole läuft, muss VLANs unterstützen. Das ist aber noch ne Ecke komplizierter, wenn du noch nie mit VLANs gearbeitet hast.

Dazu müsste der ERX als VLAN-Switch konfiguriert werden, der zB an eth0 (Richtung FritzB) zwei tagged VLANs hat und an eth1 (Richtung FritzA) nur eines davon, untagged. Der Switch, der nach eth0 im FritzB-Netz kommt, müsste dann ebenfalls beide VLAN-Tags handhaben und sie einerseits tagged an den pihole-Host leiten, der dann wiederum seine VMs jeweils auf eines der VLANs setzt, und andererseits auf den übrigen Ports das eine VLAN untagged weitergeben.

Grübelst du noch oder verstehst du schon? :D
 
  • Gefällt mir
Reaktionen: sakis2019
Ich würde lügen wenn ich sagen würde das ich es verstanden habe :-)
Aber mein ziel war es ein Homelab zu bauen indem ich genau sowas lernen, testen und verstehen kann. Aber ich sehe das muss ich in meiner "ToDo-Liste" weiter unten verschieben. :-)

Apropo ToDo-Liste, darauf steht noch was wo ich umbedingt testen bzw verstehen möchte und zwar möchte ich meine Domain intern verwenden. Ich weiß nicht wie das heisst aber ich versuch es zu erklären.

Meine Domain z.b. lab.example.de (example.de besitze ich natürlich) möchte ich für meine heimnetz geräte verwenden. z.b. wenn ich proxmox.lab.sakis.de im Browser aufrufe soll er mein Proxmox webgui aufrufen anstatt immer 192.168.20.30:8006, aber die URL soll nur im lokalen Netz verfügbar sein, also wenn ich von unterwegs auf proxmox.lab.sakis.de soll er nicht erreichbar sein.

Ich hoffe Ihr könnt verstehen was ich meine :)

LG
Sakis
 
sakis2019 schrieb:
wenn ich proxmox.lab.sakis.de im Browser aufrufe soll er mein Proxmox webgui aufrufen anstatt immer 192.168.20.30:8006
Ich kann dir nicht so recht folgen. Eine Domain wird immer zunächst via Namensauflösung (hosts-Datei > DNS > netbios) in eine IP-Adresse umgewandelt und die eigentliche Kommunikation findet danach ausschließlich IP-basiert statt.

Wenn du möchtest, dass bei der Namensauflösung eine Domain nicht den kompletten DNS-Baum nach oben wandert, um dann eine öffentliche IP zurückzugeben, musst du entweder in der hosts-Datei des jeweiligen Client-Geräts einen Eintrag für diese Domain erstellen, der auf die lokale IP verweist, oder du musst dies in deinem jeweiligen lokalen DNS einstellen, beispielsweise im pihole.

Bedenke aber, dass Ports nichts mit Domains zu tun haben. Das heißt, dass eine Domain stets nur auf eine IP-Adresse verweist. proxmox.lab.sakis.de kann also gar nicht auf 192.168.20.30:8006 zeigen. Den Port musst du daher sowohl an die IP als auch an die Domain anhängen. Ein Internetbrowser hängt implizit :80 für http bzw. :443 für https hinten dran, das wird nur nicht dargestellt. Du kannst daher nur den Port 8006 auf 80 ändern oder musst einen Proxy dazwischenschalten, der von Port 80 auf 8006 übersetzt.
 
  • Gefällt mir
Reaktionen: sakis2019
Zurück
Oben