Zwei interne Netzwerke - Verbindung der Router

[hausl78]

Hallo,

wir haben derzeit ein internes Netzwerk (IP Range 192.168.1), das besteht aus einer T-Mobile HomeNet Box (LTE Router, Huawei E5170), die derzeit als Router eingesetzt wird.

Dann noch einen Asus RT-AC58U (im EG) und einem Netgear R6100 (im Keller) die beiden als reine AccessPoints konfiguriert sind. Funktioniert momentan soweit tadellos.

Auf Grund der besseren Einstellmöglichkeiten würde ich nun gerne den Asus als Router des internen Netzwerkes machen. Da derzeit der E5170 der Router und Modem gleichzeitig ist und scheinbar nicht als reines Modem eingesetzt werden kann ( T-Mobile Community Forum ), hab ich gelesen man kann es über zwei IP Ranges lösen.

Ich wollte euch daher fragen ob folgendes Möglich ist:

- E5170 wie gehabt als LTE Modem und Router aktiv. WLAN ist und bleibt deaktiviert. IP Range 192.168.0
- Asus wird die Routerfunktion wieder aktiviert, IP Range 192.168.1 ...
- Netgear bleibt wie gehabt unverändert als Accespoint ebenfalls in der Range 192.168.1

Frage dazu: Wie muss ich dann den Asus mit dem E5170 verbinden? Ich denke per LAN Kabel auf den "Internet" Port des Asus. Ist das korrekt?

Danke!

 

[chrigu]

du kannst 10 oder mehr router im selben Netzwerk einbinden. wichtig dabei ist...
der hauptrouter muss in deinem Beispiel 192.168.1.1 haben der dhcp-server aus. der asusrouter auf 192.168.1.2 stellen, lan-port am lan-port des Huawei anschliessen, dort den dhcp-server ein (ip range von 50-100) als standardgateway die ip des Huawei benutzen. so kommt jeder über den Asus angeschlossene, ins internet.
du verwechselst da was.. "ip range" (dhcp/automatische ip-adressen-umfang) und "ip Adresse"(Geräte IP).

nicht empfehlenswert ist das trennen des Netzwerkes, (WAN-Port/NAT), je nach hardware kann das ein massiver Verlust der d/l rate mit sich führen. zudem wäre das "untereinander" verbinden nicht möglich und würde anders konfiguriert. NetzwerkA 192.168.1.xx und NetzwerkB 192.168.20.xx

 

[hausl78]

du verwechselst da was.. "ip range" (dhcp/automatische ip-adressen) und "ip Adresse"(Geräte IP).
...
NetzwerkA 192.168.1.xx und NetzwerkB 192.168.20.xx

Sorry, ja das meinte ich so. Der Huawei LTE würde die IP 192.168.0.1 bekommen und als einziger im "Bereich" 192.168.0.xxx

Der Asus hätte dann 192.168.1.1 und alle anderen Geräte per DHCP dann 192.168.1.50 - 192.168.1.100. Dh also Quasi mit zwei Routern. Ziel wäre es das sich alle Geräte im WLAN beim Asus "anmelden" und da dann die Einstellungen greifen die ich dort alle setzen kann. (Was beim LTE Huawei nicht geht).

der hauptrouter muss in deinem Beispiel 192.168.1.1 haben der dhcp-server aus. der asusrouter auf 192.168.1.2 stellen, lan-port am lan-port des Huawei anschliessen, dort den dhcp-server ein (ip range von 50-100) als standardgateway die ip des Huawei benutzen. so kommt jeder über den Asus angeschlossene, ins internet.

Das klingt sehr interessant. Das ist eigentlich das was mir lieber wäre. Das werde ich versuchen. War der Meinung das geht so nicht. Werde ich versuchen, danke!

 

[spcqike]

ich würde die von dir zuerst gedachte Konfiguration bevorzugen. EInfach aus dem Grund, dass dein internes Netzwerk (192.168.1.xx) immer ohne Probleme bestehen bleibt, wenn sich dein "internet gebendes Netzwerk" (192.168.0.xx) mal ändert. (und du sparst eine IPv4 Adresse, bzw. hast diese frei)

ich selber nutze meine Fritzbox nur als Modem/Telefonstation. der einzige Client an der Fritzbox ist meine zusätzliche Firewall (USG von Ubiquiti) die dann alles weitere dahinter regelt.

Also in deinem Fall das LTE Ding als 192.168.0.1, dein Asus per Kabel angeschlossen (musst du in der Anleitung des Asus gucken, ob er dann am WAN oder LAN1 angeschlossen werden muss) und so konfigurieren, dass er selber als Router arbeitet (aber nicht als Modem) und das Netzwerk in seinem DHCP-Bereich weiterverteilt.
Nachteil ist das angesprochene NAT/NAT (du hängst ja dann hinter 2 Firewall), was Port-Forwarding erschweren kann, die Sicherheit von Außen nach Innen aber erhöhen kann.

+ Dein Internetanbieter hat keinen Zugriff auf dein internes Netzwerk (was durchaus im Bereich des Möglichen liegt, wenn der Internetanbieter den eigenen Router "für den Kunden" konfigurieren kann... hat man ja letztens erst gesehen wie toll das geht, wenn mal eben alle Einstellungen die der Kunde gemacht hat, gelöscht werden ...)

 

[chrigu]

der Internetanbieter kann so oder so nicht durch das Huawei auf das Netzwerk zugreifen, da dieses ding mit einer firewall abgesichert ist, wie 99% aller router mit modemfunktion. er kann höchstens, bei gelieferten providerrouter ein update anstupsen und bei einer Supportanfrage und deiner Erlaubnis, den router konfigurieren. aber auf gar keinen fall in dein eigenes Netzwerk eindringen....
und sowieso, so ein provider wäre innert 4 tage gesperrt, da das Datenschutzgesetz massiv verletzt würde, würde er hinter den router schauen wollen.

deswegen sehe ich den sinn im privaten Bereich nicht ein, zwei getrennte Netzwerke zu betreiben.
höchstens wenn eine Firma über den selben Anschluss geschäftet.

 

[Merle]

Transfernetz vom Huawei zum INTERNET/WAN Port des Asus.
Huawei 192.168.0.1 zB, in den Optionen des Asus dann statische Adresse als WAN Einwahlmethode hinterlegen. IP: 192.168.0.2, gateway 192.168.0.1.
Beim Huawei alle Ports weiterleiten auf 192.168.0.2 (zumindest alle die gehen).
Danach alle Clients an die LAN Seite des Asus verkabeln.
DHCP soll der Asus spielen. Ob der Huawei das in DIESEM Szenario ebenfalls macht ist irrelevant. Den AP ins Netz des Asus konfigurieren würde ich noch machen. Geht zwar auch so, aber dann ist er per Web nicht mehr erreichbar.
So geht eine normale, verschachtelte Netzwerkkonfig, wenn der erste Router (mit Modem) keinen Bridgemodus/Modemmodus beherrscht.
Wenn man ins Netz 192.168.0.0/24 auch zugreifen will (bzw auf Clients dort), muss man im Huawei, sofern möglich, die Route 192.168.1.0/24 mit next Hop 192.168.0.2 eintragen. Wenn es im „Transfernetz“ keine Clients gibt ist das irrelevant. NAT muss dazu am inneren Router (ASUS) aktiv sein.

*edit: nach kurzem googlen scheint die NAT-Performance/der Throughput bei ca 900MBit/s zu liegen. Ich glaube nicht, dass die limitiert.

*edit2: der Hintergrund der Portweiterleitung ist, dass das sonst immer Config auf 2 Routern bedingt. Natürlich setzt man damit das Transfernetz potentiellen Gefahren aus, je nach Firmware, Firewall und Bugs des vorgelagerten Huawei-Routers. Etwas mehr Sicherheit wäre, nur die Ports nach innen zu leiten, die man auch braucht. Aber an UPnP Nutzung oder „Freigaben auf nur einem Router einrichten wollen“ ist dann nicht zu denken; UPnP steuern nur den direkt vorgelagerten Router.

 

[hausl78]

ok danke, ich schau mir das dann am abend alles an, klingt aber gut das es generell funktionieren kann/sollte.

Den AP ins Netz des Asus konfigurieren würde ich noch machen. Geht zwar auch so, aber dann ist er per Web nicht mehr erreichbar.

Das WLAN des Huawei hab ich deaktiviert und das bleibt auch so. Der Asus steht direkt ~30 cm) neben dem Huawei und ist der ausreichende (und bessere AP).

 

[Merle]

Mit AP meinte ich den R6100. Aber der scheint ja schon in der Range zu sein. Und siehe edit oben, als Hinweis zur Sicherheit und Performance.

 

[hausl78]

Ja, funktioniert derzeit auch alles gut. Ich möchte nur gewisse Dinge wie WLAN Zeiten, Seitensperren etc. machen wegen der Kinder weil sie nun in ein Alter kommen und der Huawei kann das nicht bzw. nicht in dem Ausmaß wie der Asus. Daher möchte ich gerne das der Asus routet und nicht der Huawei.

Sieht derzeit so aus - nur zur Info:

Im EG:
- Huawei LTE Modem + Router, IP 192.168.1.1, DHCP aktiv, WLAN deaktiviert

- Asus steht daneben, hängt per LAN Kabel/Port am LAN Port des Huawei, IP 192.168.1.3, DHCP inaktiv, WLAN aktiv.

- Direkt neben den beiden steht noch das NAS (192.168.1.4), das hängt auch per LAN Kabel/Port am Asus.

Im Keller:
- Netgear, hängt per LAN Kabel/Port Kabel am LAN Port des Asus oben, 192.168.1.4, DHCP inaktiv, WLAN aktiv. Den brauch ich das im im Keller auch vernünftes WLAN habe.

(- Dort unten steht auch noch ein WLAN Drucker.)

(Der WAN-Port ist derzeit überall unbelegt.)

 

[Merle]

Im Huawei die INTERNE Adresse/LAN auf 192.168.0.1/24 ändern. Wenn Kinder das WLAN aktivieren *könnten* per Tastendruck, das WLAN Passwort ändern auf was, was nicht aufgedruckt ist, und dann aus lassen. Portweiterleitung wie oben beschrieben. Beim Asus würde ich als INTERN/LAN 192.168.1.1/24 gehen.
Beim ASUS die Verbindung vom LAN Huawei auf WAN/Internet ASUS stecken.
Dann in der Config des ASUS das WAN Interface auf 192.168.0.2/24 mit Gateway 192.168.0.1 konfigurieren, DHCP aktivieren für das LAN. Dann sollte alles wieder gehen und alles muss über den ASUS, außer jemand steckt sich am Huawei direkt an. Man könnte das interne Netz des Huawei (je nach Einstellmöglichkeit) noch klein fassen, z.B. 192.168.0.0/30 (255.255.255.252, typisches Transfernetz mit nur 2 nutzbaren Adressen eben) und den DHCP deaktivieren. Nur muss die gleiche Subnetzmaske halt am WAN des Asus eingetragen werden.
Das fällt nun aber schon in den Bereich Zugriffshärtung und ob das nötig ist bestimmt der Skill deiner Kinder.

 

[hausl78]

Dann in der Config des ASUS das WAN Interface auf 192.168.0.2/24 mit Gateway 192.168.0.1 konfigurieren,

192.168.0.2 Warum? Wenn das Huawei 192.168.0.1 fix als IP bekommt, muss ich das doch dann auch so im Asus als Gateway angeben, richtig?

EDIT1
Und: Den DHCP am Huawei lasse ich aktiv, sonst komme ich ja ohne fixer IP am PC nicht mehr hin, das wäre nicht praktisch. Auch werde ich mir überlegen am Huawei das WLAN aktiv zu lassen, mit einer eigenen SSID, die ich anders nenne, damit ich zur Wartung auch noch kabellos auf die Weboberfläche komme, sonst muss ich ja immer Kabel stekcken wenn der ein anderes Subnetz hat (zB IP 192.168.0.1) .

EDIT2:

deswegen sehe ich den sinn im privaten Bereich nicht ein, zwei getrennte Netzwerke zu betreiben.
höchstens wenn eine Firma über den selben Anschluss geschäftet.

@Merle, Was spricht gegen die Variante mit einem Netz und dem Standardgateway?

 

[Merle]

Was chrigu schreibt ist schlicht falsch. Du hast dann nur einen DHCP auf dem Asus, aber keine Zugriffskontrollen können über den Asus realisiert werden.
Du kannst dann Einstellungen setzen im Asus, sie werden aber nie greifen.
Der einzige Kontakt von Clients wäre beim DHCP request, dann bekommen sie als Antwort „frag 192.168.1.1, wenn du ins Netz willst“. Und dann machen die Clients das. Und alles läuft wieder über den Huawei.
Zu deinen Äußerungen:
Der ASUS braucht am WAN Interface eine eigene IP, im selben Netz wie der Huawei, aber nicht die IP des Huawei. Es gibt keine 2 gleichen IPs innerhalb eines Netzes (ohne NAT). Einfach, weil Netzwerk so funktioniert. Darum sagt man dem ASUS:
Deine eigene IP am WAN ist 192.168.0.2/24.
Das Gateway, falls du ein anderes Netz als die dir bekannten 192.168.1.0/24 oder 192.168.0.0/24 erreichen willst, ist der Huawei mit der IP 192.168.0.1. den DHCP am Huawei kann man ausschalten, man bekommt durch den WAN Anschluss am ASUS keine automatische IP vom Huawei durchgereicht. Die muss vom ASUS kommen. Sonst würde ja jeder DHCP Server weltweit auf deine Anfragen antworten. Tun sie aber nicht, der DHCP Request wird ohne IP Helper/Redirects immer im selben Subnetz beantwortet. (Die Äußerung ist technisch nicht ganz präzise, aber für den Fall hier passt es.)
Du erreichst den Huawei im Regelbetrieb AUS dem Netz hinter dem ASUS (192.168.1.0/24), wenn du im Browser 192.168.0.1 eingibst. Der ASUS kennt beide Netze, eins ist sein eigenes im LAN, das andere ist das ihm bekannte Transfernetz am WAN. Es ist ein Router, sein Job ist es verbundene Netze und eine Defaultroute zu kennen.
Du musst es nicht machen, aber ich habs zigfach so gemacht und mein aktuelles Konstrukt (Speedport als vorgeschalteter Router, gut konfigurierbarer Archer C7@Lede/OpenWRT dahinter) ist genau, was du willst.

 

[chrigu]

Merle..... er will ja ein Netz und nicht zwei. Und der huawei ist ein router. Bitte lies doch

 

[Merle]

Ich habe es gelesen.

Dh also Quasi mit zwei Routern. Ziel wäre es das sich alle Geräte im WLAN beim Asus "anmelden" und da dann die Einstellungen greifen die ich dort alle setzen kann.

Ich habe es sehr genau gelesen.
Das geht nur so wie von mir beschrieben.
Sonst greifen nicht alle Einstellungen, sondern ich habe nur den DHCP Dienst ausgelagert.

 

[Raijin]

Da muss ich Merle beipflichten. Wenn man einen Router quasi nur als AP laufen lässt und lediglich den DHCP-Server aktiviert, sind erweiterte Funktionen wie URL-Filter bzw. Internetsperren, o.ä. unter Umständen überhaupt nicht in Funktion. Ein Consumer-Router geht in der Regel davon aus, dass er seine Internetverbindung über den WAN-Port bezieht. Das heißt auch, dass bestimmte Funktionen explizit an den WAN-Port gekoppelt sein können, beispielsweise die Firewall. Inwiefern DNS- bzw. URL-Filter greifen ist daher fraglich. Es kann funktionieren, kann aber auch nicht funktionieren. Insbesondere etwaige Sperren in der Firewall werden aber höchstwahrscheinlich nicht funktionieren, wenn das vom Hersteller nicht explizit als mögliches Szenario vorgesehen ist. Ich will nicht zu sehr ins Detail gehen, aber eine Firewall kann zB beim Eingang am LAN-Port blockieren oder am Ausgang des WAN-Ports. Ist letzteres der Fall, wird die Firewall vollkommen wirkungslos im AP-Betrieb, da der WAN-Port nicht benutzt wird. Hat der Router einen expliziten AP-Modus, wird die Firewall und sonstige fortgeschrittene Funktionen oft sogar komplett deaktiviert, egal an welchem Port.

Man darf nicht vergessen, dass Heimrouter für 08/15 Szenarien konzipiert sind. Fortgeschrittene Setups mit mehreren Routern in einem Netzwerk oder dergleichen sind schlicht und ergreifend nicht vorgesehen. Das fängt zB schon dabei an, dass man im Router den DHCP-Server in der Regel nur "an" oder "aus" schalten kann und bestenfalls eine IP-Range nebst Lease-Time einstellen kann. Alternative Gateways oder DNS lassen sich oftmals überhaupt nicht einschalten, weil implizit hinter den Kulissen fest die eigene IP des Routers selbst vergeben wird.

Egal wie man es macht, der entscheidende Router mit Firewall, Sperren, etc. sollte stets zentral an der Internetleitung bzw. dem Modem stehen. Man kann zwar Glück haben und ein beliebiger AP-Router im Haus macht DNS-Filter und Sperren auch im AP-Modus, aber dann wenn zB der Modemrouter im Keller steht und der besagte AP-Router im 2. OG, dann wird im 1. OG immer sämtlicher Traffic erst ins 2. OG geschickt, um dann gleich wieder am 1. OG vorbei in den Keller zu gehen. Ein Umweg, der ziemlich unnötig ist. Kommt noch ein zentraler Switch im Keller ins Spiel, geht's vom 1. OG in den Keller, vom Keller ins 2. OG, vom 2. OG wieder in den Keller und dann ins Internet...

Ich würde daher auch dazu raten, es wie Merle zu machen und einen passenden Router direkt hinter den Internet-Router zu hängen und letzteren quasi als eine Art reines Modem zu nutzen. Das Netzwerk läuft dann intern ausschließlich über den nachgelagerten Router und nur der Internetverkehr geht dann vom 2. Router zum Internet-Router und von dort aus ins www. Aus genannten Gründen würde ich aber diesen 2. Router wie gesagt direkt an den Internet-Router hängen und nicht irgendwo im Haus als zusätzlichen AP verwenden (Stichwort: Umwege).

 

[chrigu]

Hallo,

wir haben derzeit ein internes Netzwerk (IP Range 192.168.1), das besteht aus einer T-Mobile HomeNet Box (LTE Router, Huawei E5170), die derzeit als Router eingesetzt wird.

Auf Grund der besseren Einstellmöglichkeiten würde ich nun gerne den Asus als Router des internen Netzwerkes machen. Da derzeit der E5170 der Router und Modem gleichzeitig ist und scheinbar nicht als reines Modem eingesetzt werden kann ( T-Mobile Community Forum ), hab ich gelesen man kann es über zwei IP Ranges lösen.

Ich wollte euch daher fragen ob folgendes Möglich ist:

- E5170 wie gehabt als LTE Modem und Router aktiv. WLAN ist und bleibt deaktiviert.
- Asus wird die Routerfunktion wieder aktiviert
- Netgear bleibt wie gehabt unverändert als Accespoint ebenfalls in der Range 192.168.1

Ach Leute, bitte. Das wäre ziemlich fatal, wenn der t-mobile Kasten kein nat/Firewall hätte. Da wären zwei Firmen arg in Erklärungsnot

 

[Raijin]

Natürlich hat ein Internet-Router NAT und Firewall, aber nicht zwingend auch dann, wenn er nicht als Internet-Router betrieben wird! Darum geht's ja. Die LTE-Box von der Telekom hat natürlich eine Firewall, aber offenbar nicht die gewünschten Kontrollmechanismen wie Zeitschaltung, URL-Filter bzw. ganz allgemein eine Kindersicherung. Der TE will dies nun über einen Asus-Router lösen und du empfiehlst, den Asus einfach als AP mit DHCP zu betreiben und gut ist. Wie ich aber bereits schrieb, ist es überhaupt nicht sicher, dass die Kindersicherung des Asus überhaupt funktioniert, wenn er nicht der Internet-Router ist! Damit meine ich, dass er keine WAN-Verbindung hat, sondern lediglich als Access Point via LAN verbunden ist.

Eine Firewall - und die Kindersicherung gehört dazu - ist in der Regel nur zwischen WAN und LAN aktiv. Alles was zB an LAN-Port 1 rein und LAN 3 wieder rausgeht, wird ausschließlich geswitcht, keine Firewall und mit ziemlicher Sicherheit dann auch keine Kindersicherung, Zeitschaltung, etc.. In den Switch kann die Firewall aber nicht eingreifen, weil der Datenverkehr gar nicht soweit kommt, sondern direkt in Hardware von einem Port auf den anderen geswitcht wird.

Der URL-Filter könnte hingegen funktionieren. Wenn der Asus als DHCP-Server fungiert, verteilt er auch seine eigene IP-Adresse als DNS-Adresse. Anfragen an den DNS, also den Asus, die eine gefilterte Domain betreffen (zB irgendwelche Pornoseiten), wird er vermutlich sogar rausfiltern. Sobald man am PC aber zB 8.8.8.8 als DNS eingibt, guckt der Asus dumm aus der Wäsche, weil er ja gar nicht gefragt wurde und nichts filtern kann.


Eine adäquate Internetsperre, sei es durch Zeitschaltung, URL-Filter oder was auch immer, kann nur an der Schnittstelle vom LAN zum Internet stattfinden. Wenn die LTE-Box das nicht kann, muss man eben einen Router zwischen LTE-Box und dem Rest des Netzwerks schalten, nicht nur eine Umleitung quer durch selbiges.

LTE-Box (x.x.x.1) <--> (x.x.x.2) Router mit Kindersicherung (a.b.c.1) <---> Heimnetzwerk

und nicht so:

LTE-Box (x.x.x.1) <--> (x.x.x.2) Router als AP mit Kindersicherung, etc
              \_  <--> Heimnetzwerk

Im zweiten Fall, mit AP-Router, könnte man das zudem binnen Sekunden umgehen, wenn man am PC einfach statt des Asus die LTE-Box als DNS und Gateway einträgt..

 

[hausl78]

LTE-Box (x.x.x.1) <--> (x.x.x.2) Router mit Kindersicherung (a.b.c.1) <---> Heimnetzwerk

Genau, und das wäre die Lösung (mit 2 Subnetzen nenn ich es mal) dann in dem Fall, wenn ich das bisher richtig verstanden habe.

Sobald man am PC aber zB 8.8.8.8 als DNS eingibt, guckt der Asus dumm aus der Wäsche, weil er ja gar nicht gefragt wurde und nichts filtern kann.

Danke das ist mir bewusst. Das ist aber nicht verhinderbar wenn man direkt am Client den DNS ändert. Ausser man entzieht dem Client-Gerät (PC, Tablet) wo gesurft wird die Rechte, den DNS zu ändern. Aber das ist aktuell noch kein Thema.

 

[Raijin]

Wenn der Asus zwischen LTE-Box und dem Heimnetzwerk hängt, also das Kabel von der LTE-Box in den WAN-Port des Asus geht, kann man zwar durchaus den DNS am PC ändern, aber der Asus kann trotzdem den Traffic vom LAN ins WAN reglementieren, weil man den Asus an sich nicht umgehen kann. Ist der Asus hingegen nur als AP konfiguriert, bekommt er vom Traffic überhaupt nichts mit, weil die Daten direkt zur LTE-Box gehen...

Je nachdem was der Asus an entsprechenden Funktionen bietet, kann man aber auch alternative DNS-Einstellungen unterbinden. DNS-Requests laufen über Port 53. Ein Router, der entsprechende Möglichkeiten bietet, kann sämtliche DNS-Anfragen an einen ganz bestimmten DNS-Server umleiten, quasi erzwingen. Egal ob der PC nu google oder sonstwas was als DNS eingetragen hat, der Router erkennt die Anfrage anhand des Ports und leitet dann zB an einen gefilterten OpenDNS weiter. Der PC bekommt davon überhaupt nichts mit. Ich bezweifle allerdings, dass der Asus das kann, weil das im Prinzip NAT in die andere Richtung ist, was in einem 08/15 Heimrouter-Szenario einfach nicht vorgesehen ist.

Für solche fortgeschrittenen Funktionen bedarf es dann schon eines fortgeschrittenen Routers. MikroTik, EdgeRouter, etc.. Aber auch ein 08/15 Router mit OpenWRT, DD-WRT oder sonstiger Alternativ-Firmware kann das - vermutlich auch ein Asus mit Merlin-Firmware. Diese Firmware basiert nämlich in der Regel auf Linux und eine DNS-Umleitung lässt sich binnen 2 Minuten einrichten, inkl. Kaffe holen und nochmal kurz aufs Klo.