Fritz als Router zwischen zwei Subnetzen

psuecho

Neuer User
Mitglied seit
28 Jul 2005
Beiträge
39
Punkte für Reaktionen
0
Punkte
0
Hallo,

habe mal eine Frage zu einem Thema wo mir scheinbar die NAT-Firewall im Weg steht bzw die Möglichkeit Router-Funktionen vom WAN ins LAN zu aktivieren.

Folgendermaßen sieht es bei mir aus:

FB 7170 am DSL, Netzwerk 192.168.179.0

FB 7390, Netzwerk 192.168.178.0

die 7390 bekommt fix über WAN (LAN 1) die 192.168.179.2 und funktioniert dann selbst wieder als DHCP-Server an LAN 2-4 bzw über WLAN und ist dort dann unter 192.168.178.1 so wie es sein soll erreichbar.
In der 7170 ist sie als in Router ins Netz 192.168.178.0 eingetragen und da liegt auch schon das Problem: sie routet nicht von 192.168.179.0 nach 192.168.178.0, während sie es in die andere Richtung sehr wohl tut.

Also nochmal verständlicher ausgedrückt: an der 7390 angeschlossene Systeme kommen in beide Subnetze und ins Internet, während die an der 7170 angeschlossenen nur ins Internet und das Subnetz der 7170 kommen, nicht aber in das der 7390.

Leider kann ich aufgrund der näheren Umstände nicht beide Boxen im selben Subnetz betreiben und auch die Subnetze nicht ändern, sodass dann auch die Möglichkeit eines VPN ohne zusätzliche Hardware wegfällt (AVM lässt dies nicht zu, wenn sich die FB im 178.168.178.0 befindet . . . . )

Bin froh um jede hilfreiche Anwort!

Gruß

Psuecho
 
In der 7170 ist sie als in Router ins Netz 192.168.178.0 eingetragen ...
Poste mal einen screenshot vom Eintrag in der 7170.

..., während die an der 7170 angeschlossenen nur ins Internet und das Subnetz der 7170 kommen, nicht aber in das der 7390.
Versuch mal einen ping mit Angabe der Source-IP, aus dem Netz 192.168.179.0 auf die 192.168.178.1.

192.168.179.0 ist das guest-Netz. Evtl. ein anderes Netz konfigurieren/benutzen.
 
Danke erstmal!

Screenshot ist im Anhang

Beim Versuch aus dem Netz der 7170 in das der 7270 zu pingen kommt das:


$ ping 192.168.178.1
PING 192.168.178.1 (192.168.178.1) 56(84) bytes of data.
From 192.168.179.1: icmp_seq=1 Redirect Host(New nexthop: 192.168.179.2)
^C
--- 192.168.178.1 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 6001ms

Die 7390 macht da komplett dicht - so wie es auch sollte, wenn auf WAN eine von außen erreichbare "Internet-IP" anliegen würde. Sonst könnte ja z.b. jeder, der die IP-Adresse kennt auf Benutzeroberfläche der Fritzboxen zugreifen. Das ganze geht sogar soweit, dass wenn man eine Fritzbox im IP-Client-Modus an eine andere hängt, in der ersten eine Weiterleitung auf Port 80 einrichtet und dann versucht von außen auf diese zuzugreifen. Die Box erkennt dann, dass diese Anfrage zwar über die normale LAN-Schnittstelle kommt, aber eben "von außen" angefordert wird und verweigert die Zusammenarbeit. Deshalb kann ich mir schwer vorstellen, dass die Einstellungen in der 7170 (allein) dafür verantwortlich sind.

Gruß

psuecho
 

Anhänge

  • 7170_RT.jpeg
    7170_RT.jpeg
    58.5 KB · Aufrufe: 16
Ich verstehe nicht so ganz, was Du mit Source-IP meinst. Der Rechner, von dem aus ich gepingt habe, hatte die Adresse 192.178.179.21
Habe mir die Man-Pages zu ping grad nochmal reingezogen und auch nichts mit "Source-IP" gefunden.
 
Hallo doc456,

Deine Antwort hat sich meinem letzten Post überschnitten.
GENAU DA liegt ja mein Problem. Die 7390 definiert nur automatisch routen. Also die ins Internet und zur 7170 gehen, allerdings werden die Pakete, die die Routen aus der 7170 über die 7390 beschreiten wollen geblockt. Ich finde leider keine Möglichkeit Routen für das WAN zu erstellen bzw zu editieren
 
Die Subnetzmask sollte 255.255.254.0 sein, also ein /23 .
 
Habe mir die Man-Pages zu ping grad nochmal reingezogen und auch nichts mit "Source-IP" gefunden.
Code:
-I interface address
              Set [b]source address[/b] to specified interface address. Argument may be numeric [b]IP address[/b] or name  of  device.  When  pinging  IPv6  link-local
              address this option is required.
Der Rechner, von dem aus ich gepingt habe, hatte die Adresse 192.178.179.21
Konfigurier mal (... mit route) auf diesem Rechner (192.178.179.21), eine Route in das 192.168.178.0/24-er Netz, mit der 192.168.179.1 als gateway:
Code:
192.168.178.0   192.168.179.1   255.255.255.0   UG    0      0        0 <NIC>
 
@hitman warum eine /23? ich hab doch zwei verschiedene netze mit /24?

@sf3978 danke für die Aufklärung, aber die source-IP war ja dann nicht so ganz wichtig, wenn ich das subnetz schon mit angegeben habe? ;)

ne statische route habe ich auch schon probiert. aber wie gesagt: die 7390 blockt =/
 
Bei einem /23 kannst du von 10.168.178.1 bis 10.168.179.254 pingen, ohne ein Routing durchführen zu müssen.
 
Na indem ich geschrieben habe "aus dem Netz der 7170" - was Du übrigens mitzitiert hast ;)

Aber nix für ungut. WIr können uns aber glaube ich auf die 7390 konzentrieren. Ich bin mir ziemlich Sicher, dass die Probleme dort in der NAT liegen. Lieder kenne ich mich zu wenig mit der Materie aus um zu wissen was ich da verändern müsste oder wie ich überhaupt hinkomme (wahrsch telnet oder ssh), vllt gehts sogar über ein pseudo-update.
Aber wie gesagt, eigentlich tut die Box ja indem sie aus dem Netz der 7170 nicht in ihr eigenes routet was sie unter vorgesehenen Bedingungen auch sollte: Nämlich dicht machen für Zugriffe von außen.
 
@hitman dann müsste das aber nicht in die routingtabelle, sondern in ndie netzwerkkonfiguration der fritzbox und würde automatisch dann auch zu ner subnet-mask auf meinem rechner führen (über DHCP)
und außerdem würde ich immer noch nicht durch die WAN-Schnittstelle auf die 7390 kommen und außerdem riskieren, dass IP-Adressen doppelt ausgegeben würden
 
WIr können uns aber glaube ich auf die 7390 konzentrieren.
Mach mal in der 7170 eine Portweiterleitung, d. h. den Port 9999 der 7170 auf den Port 5060 der 192.168.179.2 weiterleiten. Dann vom PC an der 7170 einen scan auf Port 9999 der 192.168.179.1:
Code:
sudo nmap -sS 192.168.179.1 -p9999
Wenn Du einen Dienst aus dem Subnetz 192.168.178.0/24 erreichen willst, musst Du 2x Portweiterleitung machen (in der 7170 und in der 7390).
 
wozu ein weiterleitung in der 7170? ich kann ja auf die 7390 direkt zugreifen über ihre "externe" IP - also die 192.168.179.2.
Allerdings blockt sie - wie bereits mehrfach erwähnt - alles was über LAN 1 reingeht. wenn ich die Fernwartung aktiviere, habe ich Zugriff über https - aber damit ist mein Problem ja noch lange nicht gelöst
 
Aber ich habe es jetzt trotzdem mal gemacht. einmal durch forwarding über die 7170 und port 9999 und einmal direkt an port 5060

$ sudo nmap -sS 192.168.179.1 -p9999

Starting Nmap 6.01 ( http://nmap.org ) at 2012-09-26 19:04 CEST
Nmap scan report for dns.fritz.box (192.168.179.1)
Host is up (0.00065s latency).
PORT STATE SERVICE
9999/tcp closed abyss
MAC Address: XX:XX:XX:XX:XX:XX (AVM GmbH)

Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds


und dann nochmal direkt:


$ sudo nmap -sS 192.168.179.2 -p5060

Starting Nmap 6.01 ( http://nmap.org ) at 2012-09-26 19:05 CEST
Nmap scan report for FB-7390.fritz.box (192.168.179.2)
Host is up (0.0014s latency).
PORT STATE SERVICE
5060/tcp closed sip
MAC Address: XX:XX:XX:XX:XX:XX (AVM GmbH)

Nmap done: 1 IP address (1 host up) scanned in 0.40 seconds
 
Und nochmal ne Zwischenfrage: Reicht die FBox die Ports wirklich durch, wenn man sie auf der internen IP anspricht? weil wenn ich über die externe gehe, dann komme ich in der tat über port 9999 auf den sip-port der 7390 - aber wundern tut mich das überhaupt nicht
 
Reicht die FBox die Ports wirklich durch, wenn man sie auf der internen IP anspricht?
Aus welchem IP-Netz willst Du die 7390 auf ihrer internen IP ansprechen? Dann mach mal einen ping (u. a. auch mit Angabe der source-IP, (-I) siehe manpage von ping) aus dem 192.168.179.0/24-er Netz, auf die 192.168.178.1 oder ein scan auf einen lauschenden Port der 7390.
 
wozu?

Ich habe doch im ersten Post glasklar formuliert was ich möchte:

dass die 7390 zwischen den beiden Netzen routet.
Bei Internetzugang/Zugangsdaten habe ich Zugang über LAN ausgewählt, ferner "Keine Anmeldung erforderlich" und bekomme über DHCP von der 7170 eine fixe "externe" Adresse (192.168.179.2).
Ferner habe ich selbstverständlich eine statische Routing-Tabelle in die 7170 eingepflegt, in der die 7390 unter ihrer externen Adresse als Gateway benannt ist und natürlich auch ihr eigener Adressbereich inkl Subnetmask verraten wird.
was die 7390 jetzt macht ist, dass sie Zugriff auf alle 3 Nezue hat (7170, 7390 und Internet) - was sie aber nicht macht ist für das Netz der 7170 als Router oder sonstwie zu arbeiten. Sicherlich, über Portfrowarding kann ich natürlich alles mögliche mehr oder weniger erreichbar machen, aber die Systeme im Netz der 7390 müssen über die IPs ihres eigenen Subnetztes angesprochen werden und nicht über die Adresse der 7390. Sonst wäre das ganze ja witzlos mit dem hin und her routen
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.