[Problem] FB7530: Erkennung von IP Adressen hinter 3rd party Router im Heimnetz

[eisbaerin]

Was wäre Deiner Meinung nach ein "echter" Router und was würde sich hier ändern,

Na, z.B CISCO 1600/2500/4000/4500 um mal bei den alten kleinen anzufangen.
Da nimmt man im einfachsten Fall keine VLANs, sondern Programmiert die IPs direkt auf die Ports.

Wenn bei dir Port 14 zur FB geht, wieso sind dann auch VLAN 10,20 und 30 da drauf?
Nimm die mal dort weg, dann könnte es schon besser laufen.

 

[FantasticPauly]

Na, z.B CISCO 1600/2500/4000/4500 um mal bei den alten kleinen anzufangen.

Die sind aber seeeeehr alt. Ich hab hier noch nen ISR1100 zum Testen, der ist ziemlich aktuell. Wie gesagt, am Wochenende ersetze ich mal den Catalyst durch den ISR und dann sehe ich ja, ob es tatsächlich einen Unterschied macht.
Aber bitte beantworte mir die Frage, was ein Router hier gegenüber einem Multilayer-Switch für Vorteile haben soll oder welche Einstellung dort den Unterschied macht. Ich sehe aktuell keinen Vorteil darin, den Catalyst durch einen ISR zu ersetzen, der dasselbe macht.

Da nimmt man im einfachsten Fall keine VLANs, sondern Programmiert die IPs direkt auf die Ports.Wenn bei dir Port 14 zur FB geht, wieso sind dann auch VLAN 10,20 und 30 da drauf?
Nimm die mal dort weg, dann könnte es schon besser laufen.

Nun ja, VLANs sind ja auch auf Routern kein Teufelswerk (Subinterfaces). In meinem Fall sind die VLANs leider unverzichtbar, da ich darüber den 802.1Q Trunk zu den Access-Points baue. Da ich keine strukturierte Verkabelung im Hause habe, nutze ich die PowerLAN Adapter und VLANs zur Trennung der Netze. Durch die Entfernung der VLANs vom Interface würde ich die Kommunikation zwischen dem Switch und den anderen APs unterbinden. Über die PowerLAN an den APs würde die Fritzbox auch weiterhin getaggte Pakete von den APs sehen.

 

[eisbaerin]

Die sind aber seeeeehr alt.

Aber nicht älter als ich Wie alt bin ich dann? Steinzeitmensch?
Damals das neuste was es gab.

ersetze ich mal den Catalyst durch den ISR

Das brauchst du IMO nicht, da es keinen Unterschied machen wird.

In meinem Fall sind die VLANs leider unverzichtbar

Das hättest du dann aber unbedingt in #1 schreiben sollen.
Wenn dagegen im Titel "hinter" steht, dann denke ich an klassisches Routing mit getrennten physikalischen Netzen.
Denn dann würde es auch nicht diese Fehler bei der FB geben.

Wenn du dagegen alles durch ein Netz jagst wundert es mich nicht, daß die FB damit nicht klar kommt.

IMO hast du meine Frage dann auch nicht richtig beantwortet:

Bist du dir da zu 100% sicher, daß die nie im Hauptnetz waren?

Spätestens hier hättest du schreiben sollen, daß sich alles in einem physikalischen Netz abspielt.
Denn so sind sie ja doch im Hauptnetz.

IMO ist die einzige Lösung:
Du mußt der FB unbedingt einen eigenen Port spendieren.
Warum geht das nicht? Zu weit auseinander und kein Kabel?

 

[FantasticPauly]

Ich hab zur Verdeutlichung ein Bildchen gemalt, so klärt sich vielleicht doch das ein oder andere beim genauen Betrachten:

Das ist (grob) der aktuelle Aufbau bei mir. Tatsächlich sind Switch und Fritzbox zu weit auseinander um sie per Kabel direkt miteinander zu verbinden (FB im Anschlussraum im EG; Switch im Büro im OG). Die APs sind im Haus verteilt und stellen 3 WLAN (SSIDs) in unterschiedlichen Subnetzen (VLANs) zur Verfügung, die unterschiedliche Dienste abbilden: Gastnetz, Büronetz und Netz für sicherheitsrelevante Geräte). Der Switch/Router ist Gateway für diese Netze und regelt die Zugriffsrechte dazwischen über Access Control Listen. Alle Geräte haben eine IP im Netz der Fritzbox 192.168.178.0 (natives, d.h. ungetaggtes VLAN 1). Dieses Netz dient somit im Wesentlichen nur zur Durchleitung zum Internet.

Der Switch/Router hat die Fritzbox-Adresse 192.168.178.1 als Default-Gateway und die Fritzbox kennt die fremden Netze über einen statischen IPv4 Routing-Eintrag für 10.10.0.0/16, der auf die Switch/Router-Adresse 192.168.178.5 zeigt.

Die Switch/Router IP 192.168.178.5 ist nun fest auf dem VLAN 1 Interface gebunden und ich habe die Default Route statisch konfiguriert. Die Netze sind nun alle im RFC 1918 Bereich.

Es stimmt, dass die Geräte sich alle im selben physichen Netz (PowerLAN Netzwerk) befinden. Die Trennung erfolgt rein logisch über VLAN Tags und über den Router als Gateway.

Ich bin bisher davon ausgegangen, dass sich die Fritzbox nicht für die VLAN getaggten Pakete interessiert, kann das aber leider bisher nicht überprüfen. Evtl. muss ich mir wirklich mal ein 30m LAN Kabel besorgen, um per fliegender Verkabelung die Fritzbox direkt mit dem Router zu verbinden und um damit konkret auszuschließen, dass sie die getaggten Pakete aus dem PowerLAN Netz seiht.

 

[eisbaerin]

Sehr schön. Jetzt begreife sogar ich dein Netz.
Warum kann der Switch nicht bei der FB sein? Weil du die Ports im Büro brauchst?

Dann stell doch deinen Router (ISR) neben die FB und laß alles erst mal über ihn laufen.
Dann brauchst du auch kein fliegendes 30m Kabel.

 

[FantasticPauly]

Gute Idee. Ist zwar im Anschlussraum etwas eng, aber für einen Test sollte das passen. Werde ich aber nicht vor dem WE testen können.

Update 1: Hab noch eine kleinen TP Link Switch gefunden. Der ist managbar und kann auch 802.1Q. Damit müsste es ja auch gehen, die getaggten Pakete rauszufiltern.
Nach Umstellung auf feste IP und Änderung der Subnetz in RFC 1918 konforme Adressen, hat sich leider nichts an der Anzeige in der Fritzbox geändert. Externe Gerräte/MAC Adressen werden mal mit Ihrer korrekten, dann mit einer 192.168.178.x Adresse angezeigt. Die 192.168.178.x Adressen tauchen aber nur in der Fritzbox auf. Ein RPI Client im 192.168.178.0 Netz sieht weder die MAC- noch die IP-Adressen in seinem ARP Cache.

Es bleibt spannend ...

Update 2: Tatsächlich scheint die Fritzbox alles zu "schlucken", was an Ihrem LAN Port ankommt. Nachdem ich mittels des zusätzlichen Switches die getaggten Pakete rausfiltern konnte und die Fritzbox nur noch mit den Daten "ihres" VLANs gefüttert habe, war dann auch Ruhe in der Anzeige der Heimnetzgeräte. Alle Fremdnetzgeräte sind jetzt "offline" bzw. nicht mehr sichtbar.

Auch wenn PeterPawn sowas ja schon angedeutet hatte, bin ich doch überrascht. Obwohl die Fritzbox selbst keine Option für VLAN bietet, hätte ich doch angenommen, dass sie 802.1Q zumindest soweit beherrscht, dass die getaggten Pakete erkannt und ignoriert werden. Gab es nicht früher auch mal ein Tool (cpmaccfg), womit man auf den Fritzboxen VLANs konfigurieren konnte? Das spricht doch dafür, dass das Netzwerk der Fritzbox zumindest rudimentär 802.1Q können sollte ... wenn AVM das nicht in den neueren Modellen und SW Versionen entfernt hat.

Ich hab das jetzt für mich so gelöst, das ich ein PowerLAN Paar mit einem anderen Passwort versehen habe und darüber eine dedizierte Verbindung zwischen Switch und Fritzbox aufbaue und worüber nur die ungetaggetn VLAN1 Daten laufen (VLAN 10, 20, 30 am Switchport entfernt und kein 802.1Q Trunking mehr). Die Fritzbox 7270 habe ich zusätzlich eingebracht, weil im Büro noch ein Fax Gerät steht, das über den analogen Telefonport der 7270 (als SIP- und IP-Client an der 7530) die Verbindung ins Telefonnetz aufbaut.

Über den Cisco Switch wird das ungetaggte VLAN 1, sowie die getaggten VLANs 10, 20, 30 im gesamten Hausnetz verteilt;
über das isolierte PowerLAN Paar werden nur die ungetaggten Daten zur Fritzbox geschickt.

Vielleicht immer noch nicht das ideal Setup, aber ich glaube, mehr kann man - auf einfachem Weg ohne strukturiete Verkablung - aktuell nicht erreichen. Theoretisch müsste man jetzt wohl auch für die wired Clients in den verschiedenen VLANs dediertze PowerLAN-Netze (eigene Passwortgruppe) einrichten, aber dafür fehlen mir dann auch die Steckdosen

 

[Axel37]

Und dabei auch nicht die Konfiguration der 7390 übernommen?. Alles neu per Hand eingegeben?

mache ich grundsätzlich um mich von garbage zu trennen und hält ausserdem fit in sachen FB

Heisst dann aber, bei Dir funktioniert die Anzeige? Würde mich interessieren.

meine FB hat noch nie irgend welche Fremd-/Subnetze angezeigt