zwei Fritzboxen miteinander verbinden

[sakis2019]

Hallo zusammen,

ich hab nun den Edgerouter x gekauft und am Netz angeschlossen.
Ich kann darauf nur zugreifen, wenn ich den Rechner eine statische IP mit z.b. 192.168.1.25 zuweise. Erst dann komme ich auf das Dashboard vom Edgerouter x.

Wie geht es hier jetzt weiter?

 

[Raijin]

Klick!

 

[sakis2019]

Klick!

Kannst du das etwas detailierter beschreiben? Ich hab noch nie mit diesen edgerouter gearbeitet.

 

[Mr.Baba]

...
Ich kann darauf nur zugreifen, wenn ich den Rechner eine statische IP mit z.b. 192.168.1.25 zuweise. Erst dann komme ich auf das Dashboard vom Edgerouter x.
...

klar, du musst ja im gleichen Netz sein. Das ist normal.
Musst halt dafür im Bereich 192.168.1. sein

 

[Raijin]

Im dashboard rechts neben den Adaptern auf das Menü klicken, configure und dann die IP einstellen. Änderst du die IP des Ports über den du gerade konfigurierst, musst du dich mit der neuen IP neu verbinden. Der PC muss dafür natürlich ebenfalls eine dazu passende IP haben (deswegen brauchtest du ja auch ne 192.168.1.x IP).
Wenn nun beide Ports konfiguriert wurden (Port 1 zB 192.168.10.254/24 und Port2 zB 192.168.20.254/24), musst du nur noch jeweils ein Kabel einstecken und die Netzwerke sind verbunden.

Im nächsten Schritt müssen nun beide Fritzboxxen darüber informiert werden, dass da ein zweites Netzwerk ist. In der Fritzbox 192.168.10.1 fügst du dazu eine statische Route ein, die das Subnetz 192.168.20.0/24 an die 192.168.10.254 schickt. In der Fritzbox 192.168.20.1 tust du dasselbe nur von der anderen Seite.


Jetzt wird ein Ping von PC1 im EG an PC2 im OG erst an die Fritzbox geschickt (Standardgateway) und diese leitet den Ping gemäß der eben eingerichteten Route an den ERX weiter, der zu PC2 durchreicht. Die Antwort kommt spiegelverkehrt zurück, also über die dortige Fritzbox.

Es kann jedoch passieren, dass PC2 gar nicht antworten will, weil die interne Firewall des Betriebssystems blockiert. Windows lehnt beispielsweise ab Werk alle eingehenden Pakete ab, die nicht aus dem eigenen lokalen Subnetz stammen. Dann muss man dem Betriebssystem bescheid geben, dass die Quelle vertrauenswürdig ist. Dazu zB in der Windows-Firewall in die erweiterten Einstellungen gehen und bei den eingehenden Regeln zB die Regel für den Ping suchen (ICMPv4-Echo-Request) und in den Optionen der Regel bei Bereich die Quell-IP bzw das komplette Subnetz erlauben. Diesen Vorgang muss man für alle Dienste wiederholen, die man vom anderen Netzwerk aus auf diesem PC nutzen möchte.


Man kann den letzten Absatz mit der Firewall des Zielgeräts auch umgehen, wenn man mit NAT arbeitet. So wie die Fritzbox zum Internet hin das lokale Subnetz hinter der öffentlichen IP versteckt, kann man im EdgeRouter ebenfalls die Subnetze hinter der jeweiligen IP des ERX verstecken. So denkt jedes Zielgerät, dass es vom ERX, einer lokalen IP, direkt angesprochen wird und lässt die Verbindung sofort zu. NAT ist aber nur ei e Notlösung, weil man so nicht zwischen echten lokalen Verbindungen und geNATteten "lokalen" Verbindungen unterscheiden kann, auch wenn man gerne möchte. NAT ist also eher der letzte Ausweg, wenn man es nicht schafft, ein voll geroutet es Szenario wie beschrieben einzurichten.

 

[sakis2019]

Im dashboard rechts neben den Adaptern auf das Menü klicken, configure und dann die IP einstellen...

Das gibt es bei den edgerouter nicht. ich habe es jetzt wie folgt mit dem Wizard eingestellt.
Ist das soweit richtig?

 

[Raijin]

Das muss es geben. Meinen EdgeRouter-Lite habe ich zZt bei meinen Eltern im Einsatz und mein ERX ist aktuell nicht angeschlossen und deswegen kann ich nicht nachschauen. Auf der rechten Seite des dashboards in der interface Ansicht, ist aber ein Dropdown-Button über den man die Schnittstelle konfiguriert.

Der wizard eignet sich nur bedingt für dein Szenario, weil er eine WAN-Schnittstelle konfiguriert, inklusive NAT und Firewall. Du willst jedoch zwei gleichberechtigte Netzwerke.

Guckst du hier:

https://images.app.goo.gl/kQ732RuGirYAEbxc6

"Actions" steht auf dem Button

 

[sakis2019]

Ok, ich denke ich hab das so eingetragen wie du gesagt hast, aber ich kann vom DG nicht im EG pingen.

EDIT: Mein Fehler, ich habe bei der statische Route anstatt 192.168.20.0 die 1 am ende geschrieben, Nachdem ich das auf 0 geändert habe, funktioniert es

vielen Dank Raijin, und natürlich auch an alle anderen.

 

[sakis2019]

Ein paar fragen habe ich noch...

• Wenn ich eine große Datei vom DG auf dem NAS im EG verschiebe, macht er nur mit ca 2mb da sollte doch mehr drin sein, oder?
• Muss ich am edgerouter die Firewall aktivieren bzw. anpassen, oder übernehmen es die Fritzboxen?
• Ich möchte im DG auf einer Virtuellen Maschine pihole installieren, das soll aber für beide Netzwerke verfügbar sein, sprich er soll sowohl im DG aber auch im EG "filtern". Wie stelle ich das an?

LG
Sakis

 

[Gee858eeG]

Wenn ich eine große Datei vom DG auf dem NAS im EG verschiebe, macht er nur mit ca 2mb da sollte doch mehr drin sein, oder?

2 MBit/s oder 2 MByte/s? So oder so .. Bei Power-Line ist das durchaus nichts ungewöhnliches

 

[sakis2019]

2 MBit/s oder 2 MByte/s? So oder so .. Bei Power-Line ist das durchaus nichts ungewöhnliches

sorry, meinte 2 MBit/s.
Ich dachte das ich mit den Power-Lines schneller wie mit VPN bin, oder liege ich da falsch?

 

[Raijin]

PowerLAN ist halt so schnell/langsam wie es nun mal ist. Jedes Netzteil im Haus, sei es von einer Waschmaschine oder einer 10€ Lampe, kann ein PowerLAN vollständig zum Erliegen bringen. Das liegt in der Natur der Sache bei einem geteilten Medium wie dem Stromnetz. Das hättest du vielleicht schon vorher mal getestet...

Muss ich am edgerouter die Firewall aktivieren bzw. anpassen, oder übernehmen es die Fritzboxen?

Eine Firewall reglementiert den Übergang zwischen zwei Netzwerken. So wird beispielsweise das (W)LAN der Fritzbox durch eben diese bzw. ihre Firewall vor dem Internet geschützt. Das hat nichts mit dem Schutz zwischen EG und OG zu tun, weil der Übergang eben nicht in der Fritzbox stattfindet. Willst du also Regeln definieren, die zB nur den Zugriff auf das NAS erlauben, muss das in der Firewall des EdgeRouters passieren. Einen Türsteher stellt man ja an die Tür und nicht ans Fenster

Ich möchte im DG auf einer Virtuellen Maschine pihole installieren, das soll aber für beide Netzwerke verfügbar sein, sprich er soll sowohl im DG aber auch im EG "filtern". Wie stelle ich das an?

DNS in den Fritzboxxen auf die IP des pihole einstellen und im pihole als Upstream-DNS nicht die Fritzbox, sondern zB 1.1.1.1 oder 8.8.8.8.
Oder im DHCP der Fritzboxxen jeweils die IP vom pihole als DNS einstellen. Da die Verbindung eh über's Standardgateway geroutet wird, kommt der DNS-Traffic aber so oder bei der Fritzbox vorbei und es sollte keinen Unterschied geben.

 

[Gee858eeG]

DNS in den Fritzboxxen auf die IP des pihole einstellen und im pihole als Upstream-DNS nicht die Fritzbox, sondern zB 1.1.1.1 oder 8.8.8.8.
Oder im DHCP der Fritzboxxen jeweils die IP vom pihole als DNS einstellen

Falls an einem Anschluss ein Festnetztelefon besteht, könnte die erste Methode Probleme machen, falls der Telekommunikationsanbieter VOIP nutzt. Dafür muss in der Fritzbox dann die Standard DNS eingestellt bleiben und du musst die von raijin zweite beschriebene alternative gehen.

 

[sakis2019]

PowerLAN ist halt so schnell/langsam wie es nun mal ist...Das hättest du vielleicht schon vorher mal getestet...

Ich war der meinung das ich damit mit bis zu 1.200 MBit/s down und uploaden kann (im heimnetzwerk) das ist natürlich ärgerlich jetzt. Welche alternativen habe ich hier noch?

...Willst du also Regeln definieren, die zB nur den Zugriff auf das NAS erlauben, muss das in der Firewall des EdgeRouters passieren...

Da ich sowas nicht vorhabe, brauche ich es auch nicht. Aber danke.

DNS in den Fritzboxxen auf die IP des pihole einstellen...

Das habe ich gemacht, im Webinterface vom Pi-Hole unter "Network" erscheint dann die IP "192.168.20.254" ist das korrekt so?

LG
Sakis

 

[Nixdorf]

2 MBit/s

In dem Punkt hatte ich ja gedacht, dass wenigstens diese Tests bereits vorab gemacht wurden, nachdem die in Beitrag #18 beschriebene Prozedur erfolgreich verlaufen ist. Da guckt man doch erstmal, ob es auch flott genug ist. Auch jetzt würde ich empfehlen, das nochmals entsprechend rückzubauen, und oben nur ein Gerät anzustecken, damit du weißt, dass wirklich die Bridge lahm ist, und nicht irgendwas anderes.

Generell gibt es bei Powerline über eine so große Strecke oft Probleme, weil das über mehrere Verteiler gehen kann. Die Endstellen sollten auf jeden Fall direkt in der Wandsteckdose stecken. Bitte nicht in einer Mehrfachsteckdose oder an einem Verlängerungskabel betreiben. Im Zweifelsfall ist immer ein Netzwerkkabel die beste Lösung, um das Signal innerhalb eines Zimmers zu verlängern. Es sollte auch geprüft werden, ob sich die Verbindung verbessert, wenn man eines oder beide Enden um 180 Grad gedreht einsteckt. Bei gar keiner Verbindung wäre sofort der Hinweis "Phasenkoppler" gekommen. Dahingehend kann das mal ein Elektriker durchmessen. Als Laie gilt aber: Finger weg von der Hausverkabelung, denn das ist lebensgefährlich!

Ich war der meinung das ich damit mit bis zu 1.200 MBit/s down und uploaden kann

Ich hab das Wichtige mal unterstrichen, denn ja, "2" erfüllt die Aussage "bis zu 1200". Selbst in einem guten Fall kann man da mit maximal einem Viertel bis der Hälfte rechnen, über mehrere Stockwerke sind schon erreichte 80 MBit/s ein guter Wert. Die 2 Mbit/s sind natürlich extrem schlecht und nahe an "nicht verbunden". Eine Regel gilt auch 2019 noch: Ein wie frickelig auch immer verlegtes Ethernetkabel toppt jedes Powerline oder WLAN.

 

[hanse987]

Ich war der meinung das ich damit mit bis zu 1.200 MBit/s down und uploaden kann (im heimnetzwerk) das ist natürlich ärgerlich jetzt. Welche alternativen habe ich hier noch?

Die Alternative die ich immer empfehle -> LAN Kabel legen!
PowerLine kann manchmal gut funktionieren, tut es oft aber nicht. Ist halt nur eine Notlösung!

 

[Raijin]

Ich war der meinung das ich damit mit bis zu 1.200 MBit/s down und uploaden kann

Da bist du in die brutto/netto Falle getappt. Die Angaben aus der Werbung bzw auf der Packung sind reines Marketing. Allein die Tatsache, dass da ja maximal ein LAN-Port mit 1 Gbit/s verbaut ist, zeigt deutlich, dass der Hersteller genau weiß, dass da eben nicht 1200 Mbit/s bzw 1,2 Gbit/s durchgehen. Krasseres Beispiel: Die kleineren Modelle mit ~500 Mbit/s haben oftmals nur LAN-Ports mit 100 Mbit/s ....

PowerLAN nutzt ebenso wie WLAN ein geteiltes Medium und ist daher beliebigen Störquellen ausgesetzt. Darüber hinaus werden die Stromleitung zweckentfremdet, weil sie niemals für die Datenübertragung gedacht waren. Unter idealen Bedingungen - sprich: im Labor - kann man ca 50-60% netto vom brutto erwarten. In der Praxis ist ein Bruchteil dessen keine Seltenheit.

im Webinterface vom Pi-Hole unter "Network" erscheint dann die IP "192.168.20.254" ist das korrekt so?

Das kommt darauf an wo das erscheint und was du da gerade getan hast

 

[sakis2019]

Die Alternative die ich immer empfehle -> LAN Kabel legen!
PowerLine kann manchmal gut funktionieren, tut es oft aber nicht. Ist halt nur eine Notlösung!

Welches Kabel ist da das richtige? Cat 5, 7 oder 8? Patch oder cross-over?

Ich würde das Kabel von außen verlegen, sprich von Fenster im DG in das Fenster im EG. Das sind ca. 20 - 30 m. Also muss es wetterfest sein.
Könnt ihr was empfehlen?

 

[Nixdorf]

Ein neu gekauftes Cat.5e-Kabel oder besser ist für 1 GBit/s hinreichend. Ich empfehle dennoch die Verlegung von Cat.6A oder Cat.7, da kannst du ggf. später auch 10Gbps drüber schicken. Kauf lieber 10m zu viel als 0,5m zu wenig und lass an beiden Enden großzügig überstehen. Bei der Außenverlegung kannst du ggf. noch ein wetterfestes Plastikrohr mit Schellen an die Wand packen, in dem das Kabel dann liegt. Auch innen machen sich Kabelkanäle ggf. besser als ein lose herumbaumelndes Kabel. Ach ja, und Patchkabel nehmen, Crossover ist nur für die Direktverbindung zwischen zwei Rechnern gedacht.

Beim WLAN-Shop-24 ist mir eine separate Kategorie mit Outdoor-Kabeln aufgefallen. Da scheint der Unterschied zu sein, dass die eine Ummantelung haben, die UV-fest ist, also bei Sonneneinstrahlung wohl nicht aushärtet und dann bröselt. Inwiefern das eine große Rolle spielt, weiß ich nicht. Ansonsten bieten Reichelt und Pollin günstige Preise bei Netzwerkausrüstung.

 

[sakis2019]

Leider ist das mit dem LAN-Kabel nicht möglich, der Vermieter erlaubt es mir nicht :-( Welche alternativen habe ich noch? Wichtig für mich ist schneller Datenverkehr zwischen DG und EG...

Bis jetzt war die Verbindung mit VPN (zwischen den beiden Fritzboxen) sehr langsam, das gleiche mit dem Powerline Adaptern. Wie sieht es mit OpenVPN aus z.b. raspberry pi im EG und ein LXC Container unter proxmox im DG ? wird die verbindung da schneller, besser oder wird das garnicht funktionieren?