Fernzugriff auf FB 2 als Kaskade hinter Hauptrouter

ledding

Mitglied
Mitglied seit
19 Feb 2005
Beiträge
362
Punkte für Reaktionen
1
Punkte
18
Hallo Community,

folgendes Szenario (und deswegen mal unter Allgemeines):

Hänge an einem Firmennetz (feste IP) und wegen IP-Mangel (Lease, ständig andere Netzwerkgeräte etc.) sollte ich mir meine FB7170 als 2. (NAT-)Router nachschalten.
Soweit, so gut. Das funktioniert auch bis auf den nicht erreichbaren Zeitserver mehrerer meiner Fritzboxen hinter der NAT-Sperre. Zeit per Telefon auf der 3. als WLAN-AP laufenden FB 7240 eingeflöst und geht auch erstmal.
Vorher hatte ich meine FB7170 als Telefonzentrale als LAN1 des Routers FB7050 als Mitbenutzer im Netzwerk und kam per Portweiterleitung nach Eingabe der festen IP direkt auf meine FB7170.
Jetzt scheint das so nicht mehr machbar. Jedenfalls hab ich es nicht hinbekommen.
Der Gedankengang ging in Richtung dyndns und ich hab mir 2 Accounts angelegt bei selfhost und spdns und einiges durchprobiert.
Bemühungen bisher aber erfolglos.

Also frage ich doch mal hier im Forum nach.

Thema Routing/IP-Pool:
Gibt es noch eine andere Lösung außer NAT mit der vorhandenen Technik?

Thema Fenzugriff:
Wäre dyndns bei fester IP überhaupt eine mögliche Lösung?
Gibt es noch eine andere Lösung für Fernzugriff auf die 2. Box (und evtl. auch auf andere Netzwerkgeräte sowohl im 2. IP-Bereich sowie auf den Hauptrouter im 1. IP-Bereich?
 
Warum nicht das Subentz am ersten Router vergrößern?
DYNDNS ist sinnlos, da intern, hier kann die IP-Adr einfach fest genagelt werden in der FB7050
 
Das ist übertrieben, wie wäre es mit 255.255.252.0? Da passen schon 1020 Hosts rein, für 4090 Hosts wäre es 255.255.240.0
 
OK.
Ich weiß zwar noch nicht, wie dann die IPs aussehen werden.
Bleiben dann alle im gleichen Kreis bzw. jede IP für jeden sichtbar?

Eine Abtrennung und Separierung wäre vom Netzinhaber jedoch gewünscht.

Ach so, wie könnte man dann noch mehrere NW-Geräte von außen ansprechen?

Dürfte ich dich per PN kontaktieren?
 
Zuletzt bearbeitet:
Wenn eine Trennung gewünscht ist, dann nicht, aber dann frage ich mich wie es dazu kommt: "IP-Mangel (Lease, ständig andere Netzwerkgeräte etc.)"
 
da sowohl meine als auch deren NW-Geräte oft keine IP bekamen, hieß es "mach am besten gleich dein eigenes Netz für dich mit 254 möglichen IPs"
 
Für den Fernzugriff auf die 2. Box brauchst du nur eine Portweiterleitung von der ersten auf die zweite (oder entsprechende für die anderen Netzwerkgeräte) einrichten.
 
@the.gangster

Wenn ich die (nicht funktionierende) Portweiterleitung TCP Port 80 deaktiviere, dann müsste bei Aufruf der festen IP wenigstens der 1. Router erreichbar sein.
Woran könnte es liegen, dass das schon nicht gegeben ist?
Mit der vorigen FB7050 klappte das, leider hatte diese nach vermutlich Gewitter den Geist aufgegeben.

Idee?
 
Ich weiß nicht, ob ich Dich jetzt wirklich richtig verstehe.
Mach doch am besten mal eine Skizze mit Deinem aktuellen Netz-Aufbau, damit wir hier von den gleichen Sachen reden, wenn von einem Gerät oder Netz die Rede ist.
Wie ich es aktuell verstehe müsste mit und ohne Portweiterleitung (auf Router 1 zum Router 2) wenn der Fernzugriff auf R1 aktiviert ist, dieser über https mit der "festen IP" erreichbar sein.
Wenn das schon nicht geht, sieht es auch schlecht aus für die Weiterleitung, die ich aber auch auf einen anderen Port legen würde. Also z. B. Weiterleitung für https 4432 auf R1 auf 443 an R2).
Dann musst du zwar im Browser immer noch einen Port mit angeben, aber so lassen sich für alle Router die Standardports besser "trennen", ohne sich ins Gehege zu kommen.
Dann kannst du z.B. über
Https://feste-ip:4432 auf den Fernzugriff des R2 kommen, obwohl auch der R1 f. Fernzugriff auf Port 443 lauscht.
Es kann dann aber durchaus sein, dass im Firmennetzwerk Ports gefiltert werden und somit nicht an Deiner Box ankommen. Dann musst du schauen, welche funktionieren. Das sind dann meist Standardports für andere genutze Dienste.
Aber eins nach dem anderen...
 
Was willst du an weiteren Infos noch haben?
netzwerk.jpg
 
Deine 7170 stellt auf ihrem externen(!) Port mit einer Adresse aus 192.168.0.0/24 sicherlich keinen Dienst auf Port 80 bereit. Wenn Du dort die Fernwartung aktivierst (dabei läßt sich auch bei Version 04.88 m.W. der Port einstellen), dann kriegst Du auf diesem eingestellten Port per HTTPS(!) eine Verbindung zum GUI. Eine Portweiterleitung für Port 80 vom externen Interface auf ein Gerät im LAN Deiner FRITZ!Box (192.168.178.0/24) sollte aber funktionieren.
 
Der 1. Router hätte 192.168.0.1 und der 2. Router würde per 192.168.0.2 am WAN gespeist und stellt als DHCP den Kreis 192.168.178.XXX bereit.

Ob der Port jetzt 80 sein soll, wurde weiter oben ja nicht empfohlen, ich habe es auch mit anderen probiert.

Um aber erstmal wieder ohne Weiterleitung auf Router 1 zugreifen zu können, muss ich da überhaupt etwas eintragen?
Ich weiß nicht mehr, wie das beim abgeschmierten vorher war, kann mich aber nicht an eine Einstellung diesbezüglich erinnern.
 
Vielleicht noch mal im Klartext?

Du willst von außen auf die 7050 selbst zugreifen? Dazu muß natürlich dort erst einmal ein Dienst laufen, auf den man auch zugreifen kann. Ob die uralte Firmware-Version 04.33 überhaupt einen solchen Dienst auf dem externen Interface zur Verfügung stellen kann (das wäre dann irgendetwas mit "Fernwartung"), mußt Du eben klären. Auf das LAN-seitige GUI der 7050 auf Port 80 kannst Du jedenfalls nicht einfach aus dem WAN zugreifen ... wobei meine Erinnerungen an die Zeit nach dem Krieg, als die 04.33 rauskam, eher verschwommen sind.

Was die Box m.W. aber "schon" konnte, war die Freigabe von Diensten (aka Portforwardings vom externen Interface ins interne Netz). Wenn Du in der 7050 eine Freigabe für den Fernwartungsport der 7170 einstellst, dann sollte unter der externen Adresse und auf dem freigegebenen Port auch das GUI der 7170 sich per HTTPS erreichen lassen. Wenn das nicht der Fall ist, beschreibe einfach mal, was Du da wo eigentlich einstellst, so ist das doch nur Buchstabensuppe hier.

Die Fakten sind dank Schema und #13, daß da eine Kaskade besteht (#13 ergänzt dann noch konkrete IP-Adressen für R1 und R2, ansonsten ist das praktisch dasselbe wie in #11) mit einem /24-Netz an dem einen Router und einem weiteren /24-Netz an einem anderen, der mit seinem externen Interface im LAN des ersten hängt. Das ist aber etwas schmal. Von wo soll denn da nun worauf zugegriffen werden? Und was davon funktioniert nicht? Du müßtest aus dem Stand auf das GUI von R1 zugreifen können, von jedem Client im LAN von R2 - das kann es also irgendwie nicht sein, wo das Problem überhaupt auftritt.

Aber je mehr Du dazu schreibst und versuchst zu erklären, umso weniger wird für mich ersichtlich, ob Du nun eigentlich aus dem Internet auf R1 zugreifen willst oder aus dem LAN hinter R2. Schreib einfach klar und deutlich auf, von wo nach wo da ein Zugriff erfolgen soll und das bitte nicht in dieser Weise:
ledding schrieb:
Vorher hatte ich meine FB7170 als Telefonzentrale als LAN1 des Routers FB7050 als Mitbenutzer im Netzwerk und kam per Portweiterleitung nach Eingabe der festen IP direkt auf meine FB7170.
Aus diesem Satz soll tatsächlich jemand schlau werden? Notfalls laß einfach jemand anderen (der nicht weiß, was Du eigentlich für ein Problem hast) darüber schauen ... wenn der dann versteht, was Du damit sagen wolltest, paßt es. Wenn es bei Dir so jemanden schon geben sollte, kann er ja mal den vorstehenden Satz erklären.
 
Das Problem der Kommunikation.... wenn Laien auf Profis treffen.

Es bleibt trotzdem Buchstabensalat:

Also ich hatte vor dem durch irgendein Spannungsproblem ausgestiegenen Router1 FB7050 und damals an LAN1 betriebene FB7170 (meine Tel-Zentrale, mittlerweile auch defekt und ersetzt durch andere 7170) von außen (beispielweise über UMTS oder DSL ganz woanders) Zugriff per Portweiterleitung (damals funktionierte es mit Port 80 einwandfrei) auf die 7170 via http://XX.XXX.XX.XX (das ist die feste IP) und konnte z.B. nachsehen, wer zu Hause angerufen hat.

Jetzt wurde aus dem LAN1-Betrieb der FB7170 ein NAT-Router (wie oben erwähnt, um 2 getrennte Netzwerke mit doppelt so vielen möglichen internen IPs nutzen zu können.
Dass ein NAT-Router nicht optimal ist, habe ich hier im Forum dann gesagt bekommen.
Nun wäre es prima, wenn ich die Zugriffsmöglichkeit von außen über Router1 auf Router2 wieder hinbekommen könnte, vielleicht auch auf beide Router, wenn das geht.
 
Das ist genau das, was ich in #12 beschrieben habe. Richte an der 7170 einen Fernwartungszugang ein (die 04.88 als aktuelle Version für eine 7170 sollte das beherrschen) und anschließend richtest Du in der 7050 eine Portweiterleitung von einem Port Deiner Wahl (die 80 ist wirklich keine gute Idee in diesem Falle, da dieser Port im Allgemeinen für HTTP ohne Verschlüsselung benutzt wird) auf den bei der Fernwartung der 7170 eingestellten Port ein. Wenn Du dann von außen beim Zugriff auf die externe Adresse der 7050 auch noch das HTTPS-Protokoll verwendest (das ist eben mit Verschlüsselung), dann sollte die 7170 auch sofort erreichbar sein. Ich hoffe, Du hast eine Idee, wie man einen vom Standardwert abweichenden Port in einer URL angibt. Von der Verwendung des Standard-Ports (das wäre 443 bei HTTPS) kann man jedenfalls nur dringend abraten, da dann Deine 7170 schon durch Portscans aus dem Internet erheblich unter Last geraten dürfte, deshalb nimmt man 443 nur dann, wenn der dort laufende Service auch wirklich für die Öffentlichkeit gedacht ist.
 
Was willst du an weiteren Infos noch haben?
Anhang anzeigen 82654
Ein guter Anfang, aber ein paar mehr Infos hätten wirklich nicht geschadet.
Die neuen Ausführungen dazu muss ich mir dazu noch mal durchlesen. Aber wie die URL mit Portangabe aussähe hatte ich ja schon beschrieben (das hatte ja Peter gerade bei dir nachgefragt).
Ansonsten frag ich mich, wie wird R1 betrieben? Hatte es ursprünglich so verstanden, er hinge an der Firma. Jetzt sieht es aber so aus, als hinge er am DSL und versorge die Firma mit Internet.
Dann ist es natürlich Quatsch, dass Du ihn von "aussen" über die "feste IP" erreichst. Diese hatte er ja nur innerhalb deiner Netze.
So, und jetzt les ich nochmal deine Beschreibungen...
Wenn PeterPawn es schon durchschaut hat und es für Dich gelöst ist, dann sag aber bitte bescheid.
Edit:
Zumindest hat PeterPawn es offenbar genauso verstanden wie ich. Somit widersprechen wir uns schon mal nicht.
Sein #16 erklärt das selbe Vorgehen wie mein #10.
Also Versuch das doch erst einmal.
Sollte klappen.
 
Zuletzt bearbeitet:
ich suche grad mein Posting von gestern abend..... ist unmittelbar vor dem Gewitter dann doch nicht rausgegangen, sorry.

Also, Teilerfolg, kenne aber die Ports nicht so aus dem Hut.

Habe mal 476 genommen. Damit wird gemeckert, dass https nicht geht und wird in der Adressleiste rot durchgestrichen.
Gehe ich auf "erweitert" und unsichere Seite zulassen, komme ich bis zum Fernwartungs-Login und dann bis zur GUI.
Liegt das am falschen Port oder an was anderem?
Denn wenn ich es jetzt wieder provoziere, komme ich sofort zur GUI und die Warnseite erscheint gar nicht nochmal.

@the.gangster
R1 bezieht DSL und der Strang LAN1 geht zur Firma und LAN2 zum WAN meiner 7170, wie in der Skizze dargestellt.
Das ganze ist deswegen so geregelt, weil alle Router bei mir hängen, da hier 16000er Leitung geht und in der Firma (noch) nicht.
Mit feste IP war gemeint, dass die Firma sich eine feste IP statt der sonst dynamischen, die täglich oder bei Neuverbinden erneuert würde, von T hat geben lassen in der Form 00.000.00.00.

Aso, bedanken möchte ich mich bei euch für das Sortieren des "Buchstabensalats" und trotzdem am-Ball-bleibens!
 
Zuletzt bearbeitet:
Das Meckern ist abhängig vom verwendeten Browser.
Opera bei mir schimpft nur, dass das Zertifikat der Box (logischerweise) nicht zu meiner aufgerufenen DynDns-Adresse passt.

War das denn jetzt schon des Web-Interface von R2 oder bist du jetzt auf der Fernwartung von R1 angekommen?
 
komme infolge FWD gleich auf R2 raus.

DynDNS ist es ja nicht.

Fernwartungsoption auf der FB7050 hab ich so jetzt nicht im Menü gefunden.
Käme man trotzdem auf die GUI?
Wenn ich mich recht erinnere, kam man vor paar Jahren, als ich das eingerichtet habe, ohne FWD einfach auf "den Router" drauf mit der festen IP ohne extra Portangabe.

Gesponnen: könnte man noch weitere Netzwerkgeräte mit GUI von außen erreichen?
Ich habe es grad mal mit einer weiteren FB7170 und paar Ports weiter weg versucht, ging nicht, allerdings wäre die FWD dann von einem Segment in ein anderes, kann es daran scheitern?
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.