Gast-WLAN nur an 1. Fritzbox möglich? LAN-Client

[PeterPawn]

Also es geht, warum unterstützt es AVM dann nicht, bzw. macht es auf alle aktuellen Boxen möglich?

Für meine Begriffe wirfst Du da verschiedene Betriebsarten durcheinander. Ein Access-Point ist kein Repeater - der Repeater "tunnelt" die WLAN-Zugriffe zu seiner Basis (dort werden auch alle Einstellungen getroffen, von WLAN-Key bis SSID), der Access-Point spannt ein eigenes Netz auf und die WLAN-Einstellungen werden dort vorgenommen. Das meint verschiedene Betriebsarten, wenn ich "Repeater" schreibe, meine ich nicht das Gerät.

Ein FRITZ!Repeater als LAN-Bridge ist - mein Verständnis - ein WLAN-AP, ansonsten eben ein Repeater. Wenn ein FRITZ!Repeater als LAN-Bridge die Konfiguration einer FRITZ!Box übernehmen kann, ist das für mich nur I14Y zwischen AVM-Geräten, die mit einem anderen Fabrikat vermutlich nicht funktionieren würde. Ein WLAN-Repeater ist seinerseits Client für ein WLAN und benötigt selbst den WLAN-Key für das BSS, um überhaupt teilnehmen zu können.

Der dritte Fall ist dann das "Roaming" zwischen verschiedenen WLANs mit identischer SSID und identischem WLAN-Key. Das sind aber immer noch

Ich kenne jetzt Deine Installation nicht (und auch keine 7330) und bei den möglichen WLAN-Konfigurationen ist inzwischen einfach viel zu viel möglich, als daß ich auf Anhieb verstehen würde, was da bei Dir läuft (wirf mal einen Blick in die /var/tmp/wlan_dynamic.cfg).

Aber ganz so einfach, wie Du es da schilderst, ist es eben doch nicht. Neben den Fähigkeiten des verbauten WLAN-Chipsets spielen da noch einige andere Faktoren eine Rolle. Es wäre für mich sogar denkbar, daß Du nur dank einer übernommenen Konfiguration aus einer älteren Firmware überhaupt die Möglichkeit hast, parallel zum Betrieb als AP (so verstehe ich Dich) auch noch das Gast-WLAN der 3370 zu "tunneln" (dafür muß die 7330 parallel als Client im GWLAN der 3370 angemeldet sein und ihrerseits ein identisches Netzwerk aufspannen).

Wobei mich am Rande tatsächlich noch interessieren würde, wie Du

Beide sind sauber getrennt.

verifiziert hast. Nur die Verwendung anderer IP-Adressen vom DHCP-Server ist ja noch keine saubere Trennung, wenn es auf dem LAN-Kabel dann wieder gemeinsam läuft - außer das Gast-WLAN geht gar nicht über das Kabel. Dann liefe der "Repeater-Prozess" quasi als parallele Anwendung zum AP auf dem WLAN-Stack.

Auch dann macht es noch einen Unterschied, wie man so eine Trennung interpretiert/realisiert. Wenn eine FRITZ!Box die Fähigkeit haben soll, vom Anbieter (wie z.B. bei den Kabelboxen und - den Umgebungsvariablen aus rc.conf zufolge - auch andere Modelle) als Hotspot konfiguriert zu werden, dann reicht es eben nicht aus, wenn ein Client aus dem Gast-WLAN (bzw. dem Hotspot-WLAN) keine lokalen Geräte erreichen kann, dann darf eben auch kein lokaler Client irgendwelche Pakete (mit erkennbarem Inhalt) mitschneiden können, mit denen im Hotspot-Netz kommuniziert wird. Das erfordert also eine "höhere Stufe" der Isolation solcher Netze (und wäre für mich auch ein plausibler Grund, warum das Verhalten beim Repeaten irgendwelcher Gast-Netze auch nachträglich noch geändert wurde und nur für bestimmte Modelle). Wenn der Betreiber so einer Hotspot-Box die Daten mitlesen kann, ist das sicherlich nicht im Sinne des Erfinders, also muß da wohl irgendwo ein viel "längerer" verschlüsselter Tunnel irgendwo zum Provider gelegt werden.

Ich würde auch minimal die I14Y zwischen AVM-Geräten wieder als Voraussetzung annehmen, wo die zweite Box dann über irgendwelche Interna die Einstellungen der ersten Box abfragen und ihrerseits übernehmen kann, wenn so etwas bei Dir funktioniert.

Ich habe aber auch keine Idee (das gebe ich unumwunden zu und da suche ich belastbare Quellenangaben), nach welchem Standard (802.11c vs. 802.11s oder noch ein ganz anderer) das WLAN-Repeating oder gar der Hotspot-Modus eigentlich bei AVM funktioniert.

Ich habe keine 7360, ich habe 2x 7390.

Ok, der Mix 7360/7390 stammte von j-g-s und Du bist nicht der TE, das habe ich falsch gelesen.

Aber das ändert ja am Prinzip nichts. Wenn der WLAN-AP auf der ersten 7390 ohnehin nicht genutzt wird, weil der Empfang im Rest des Hauses dafür nicht funktioniert, warum macht dann nicht die zweite Box alles außer DSL-Router und die zweite ist dann eben ein kaskadierter Router (über LAN1 und eben kein IP-Client)? Damit hast Du wieder alle Funktionen an der zweiten 7390 zur Verfügung. Wenn die zweite bei der ersten als "exposed host" angemeldet wird, klappt sogar der Zugriff aus dem Internet.

 

[ErraZZor]

Aber das ändert ja am Prinzip nichts. Wenn der WLAN-AP auf der ersten 7390 ohnehin nicht genutzt wird, weil der Empfang im Rest des Hauses dafür nicht funktioniert, warum macht dann nicht die zweite Box alles außer DSL-Router und die zweite ist dann eben ein kaskadierter Router (über LAN1 und eben kein IP-Client)? Damit hast Du wieder alle Funktionen an der zweiten 7390 zur Verfügung. Wenn die zweite bei der ersten als "exposed host" angemeldet wird, klappt sogar der Zugriff aus dem Internet.

Hmm..als kaskadierter Router? Du meinst einfach mit ins LAN hängen oder?
Ich vermute mal, dann würde aber die ganze Telefonie nicht mehr funktionieren...die zweite Box ist ja als SIP-Client bei der ersten Box angemeldet. Unter anderem deshalb, weil an der ersten Box noch ne Türsprechanlage hängt.

 

[PeterPawn]

Das funktioniert alles weiterhin.

 

[ErraZZor]

Wozu gibt es dann überhaupt die Funktion IP-Client, wenn alles auch ohne funktioniert? Hab da echt grad Verständnisschwierigkeiten.

 

[HabNeFritzbox]

Im Routerbetrieb über LAN 1 musst du am zweiten Router anderes Subnet verwenden.

Zudem werden dann einige Sachen nicht klappen, die nur über selbe Subnet gehen was Multicast/Brodcast ect angeht.

Dann müsstest auch in 1. FB eine Router zum 2. eintragen wenn dann vom 1. Netz ins zweite möchtest, und müsstest an 2. auch Portweiterleitungen einrichten.

Daher besser IP Client, dann ist beides selbes Subnet und kannst dort trotzdem WLAN und co nutzen, bis auf DDNS Dienste und so, aber kann man ja in 1. machen.

 

[PeterPawn]

@HabNeFritzbox:
Er hat doch aber - lies mal ein Stück zurück - nur eine FRITZ!Box 7390 als erste Box irgendwo im Keller und erreicht ein dort eingerichtetes WLAN nicht. Von Clients an der ersten FRITZ!Box hat er überhaupt nichts geschrieben, damit macht die Frage der Broadcast-Domain keinen Unterschied.

Und wenn er an der zweiten 7390 ein Gast-WLAN zur Verfügung stellen will, dann geht das eben nicht im IP-Client-Mode.

Warum willst Du ihn denn jetzt unbedingt zur weiteren Nutzung des IP-Client-Modes "überreden"? Keiner der bekannten Nachteile (getrennte Netze, Portfreigaben, DynDNS, usw.) spielt nach seiner Beschreibung eine Rolle bei ihm, da ist ein kaskadierter Router nun mal die beste Lösung ... erst recht, wenn

Wozu gibt es dann überhaupt die Funktion IP-Client, wenn alles auch ohne funktioniert? Hab da echt grad Verständnisschwierigkeiten.

er schon Probleme beim Verständnis hat.

Deine Aussage

Daher besser IP Client, dann ist beides selbes Subnet und kannst dort trotzdem WLAN und co nutzen, bis auf DDNS Dienste und so, aber kann man ja in 1. machen.

bringt ihn ja genau seinem Wunsch aus #17 nicht einen winzigen Schritt näher. Da steht nichts von DynDNS oder externen Zugriffen und selbst wenn er das bräuchte, könnte er es immer noch alles auf der ersten 7390 realisieren und die zweite als "exposed host" freigeben. Damit bleibt genau die getrennte Broadcast-Domain übrig als "Nachteil" und solange an der ersten FRITZ!Box keine Clients angemeldet sind (per LAN-Kabel, denn das WLAN reicht ja ohnehin nicht vom Keller durch die Wohnung und kann damit an der ersten Box auch aus), spielt das bei ihm mal genau gar keine Rolle.

Oder siehst Du das anders? Wenn ja, was dann konkret?

Ich hatte in #23 ausnahmsweise mal versucht, mit einem einzigen Satz zu antworten (sonst ja so gar nicht meine Sache), weil ich keine Zeit übrig hatte ... das hat man dann davon.

 

[ErraZZor]

@PeterPawn:

Sorry, aber das hast Du offensichtlich falsch verstanden bzw. gelesen.
An der Keller-7390 ist kein WLAN aktiv, das habe ich aber auch nie geschrieben. Es würde ja absolut keinen Sinn machen das WLAN im Keller zu aktivieren, da dies bereits im EG nicht mehr erreichbar wäre (Stahlbeton + Fussbodenheizung).
Nur deswegen steht ja im Wohnzimmer überhaupt eine zweite 7390 - wegen des WLAN und DECT Empfangs.

Die Keller-7390 stellt die VDSL-Verbindung her, registriert die VOIP-Nummern, macht DynDNS, Portfreigabe für das auf der Box laufende OpenVPN und die Türsprechstelle hängt am Telefoneingang.
Die gesamte Telefonie geht per SIP-Reg an die Wohnzimmer-7390.

Die Wohnzimmer-7390 stellt WLAN (alle Clients hängen hier dran) + DECT zur Verfügung.

Wenn Du mir sagst, dass das alles auch weiterhin funktioniert wenn ich den IP-Client-Modus der Wohnzimmer-7390 rausnehme ist es eine Überlegung wert.

 

[PeterPawn]

Sorry, aber das hast Du offensichtlich falsch verstanden bzw. gelesen.

Das wäre bei den vielen - von der Problemstellung her identischen - Fragen denkbar, daß da schon mal etwas ducheinander gerät, aber das mit dem Keller hatte ich ja offenbar noch richtig im Kopf.

Bei dem von Dir geschilderten Szenario verstehe ich schon mal nicht (vorausgesetzt, Du hast die Zugangsdaten für die SIP-Accounts), warum die unbedingt in der ersten Box registriert sind und dann von dort per internem SIP weitergeleitet werden. Warum kann man die erste Box - wenn da eigentlich keine Telefone weiter dran hängen (die Türsprechstelle könnte jedoch - je nach Typ bzw. Funktionsweise - ein Problem sein) - denn nicht auf die SIP-Registrierung verzichten und das übernimmt komplett die zweite Box?

Die Keller-7390 stellt die VDSL-Verbindung her, registriert die VOIP-Nummern, macht DynDNS, Portfreigabe für das auf der Box laufende OpenVPN

Die erste im Keller macht weiterhin VDSL, DynDNS und gibt die zweite Box im EG (oder wo auch immer) als "exposed host" frei. Damit geht jede eingehende Verbindung, die nicht auf der ersten Box terminiert wird, automatisch an die zweite Box und die kann dann auch OpenVPN machen (wobei das - wenn es richtig konfiguriert ist - auch auf der ersten Box weiterlaufen könnte, wenn auf der zweiten kein Freetz drauf ist). Wenn OpenVPN tatsächlich der einzige interne Dienst ist (Wozu dient die Verbindung denn tatsächlich? Zum Umgehen von Geo-Blocking oder für eingehende Verbindungen zu irgendwelchen LAN-Clients?) und nicht darüber dann weitere Zugriffe von extern auf irgendwelche Clients hinter der zweiten Box stattfinden sollen (dann sollte OpenVPN tatsächlich auf die zweite Box), dann braucht es nicht einmal den "exposed host" für die zweite Box. Wenn Zugriffe auf Geräte an der zweiten Box möglich sein sollen, muß man den Punkt finden, wo der geringere Aufwand (Portfreigaben vs. zusätzliches Freetz vs. Tausch der Boxen) zu betreiben ist. Die Portfreigabe für OpenVPN (wenn die tatsächlich notwendig ist und nicht nur "pro forma" eingerichtet wurde) läßt ja andererseits eigentlich wieder eingehende VPN-Verbindungen vermuten. Dann wäre eine Portfreigabe für OpenVPN auf der ersten FRITZ!Box (an die zweite, Port 1194, Protokoll je nach OpenVPN-Konfiguration - wenn Standardvorgaben verwendet werden) eigentlich auch die einzige notwendige Einstellung, das würde (da es ja nicht auf die Box selbst geht) sogar mit "normalem" AVM-GUI funktionieren.

Die zweite FRITZ!Box verteilt dann eben nicht mehr die IP-Adressen von der ersten per DHCP im WLAN (wie jetzt als IP-Client), zwischen der ersten und zweiten FRITZ!Box wird ein lokales Netz (192.168.irgendwas.0/24 meinetwegen) aufgemacht und die zweite spannt auf der LAN-Seite dann ihr eigenes Netz auf (192.168.wasanderes.0/24) - damit trennt sie dann die beiden Netze "irgendwas" und "wasanderes" als Router (Internetzugang über LAN1, externes Modem oder Router).

Damit kann die zweite Box aber wieder selbst ein Gastnetz aufbauen, sowohl per WLAN als auch an ihrem eigenen LAN4-Anschluß, wenn man noch einen Kabelzugang zum Gastnetz braucht.

und die Türsprechstelle hängt am Telefoneingang.[/QOUTE]
Wenn die Auslösung der TFE (so überhaupt ein Öffner damit verbunden ist) über DTMF-Töne erfolgt, sollte das über eine interne SIP-Verbindung von der zweiten zur ersten Box funktionieren, denn dann müßte die erste Box eigentlich per SIP-Nachricht eingehende DMTF-Informationen als MultiTone an den analogen Anschluß ausgeben. Das kann und will auch aber nicht beschwören, der Test ist ja aber simpel bzw. wenn die Telefone jetzt schon an der zweiten hängen, ist das ja dasselbe Prinzip, nur die Rollen zwischen SIP-Registrar (7390 im Keller) und SIP-Client (7390 oben) würden getauscht. Ich weiß allerdings nicht, wie die Zuordnung bei der FB zwischen einer TFE und einer internen Nummer erfolgt, ich habe das noch nie genutzt - aber das muß ja jetzt auch irgendwie laufen. Allerdings wäre die obere 7390 für die im Keller eine "Eigene Rufnummer" und da bin ich tatsächlich nicht sicher, ob eine Zuweisung einer TFE zu einer externen Nummer möglich ist. Andererseits könnte die obere sich an der unteren ja - zusätzlich zu den externen SIP-Accounts - auch noch wie bisher als Client registrieren, diese Funktionalität ist ja nicht von "Eigenen Rufnummern" in der ersten 7390 abhängig.

Wenn Du mir sagst, dass das alles auch weiterhin funktioniert wenn ich den IP-Client-Modus der Wohnzimmer-7390 rausnehme ist es eine Überlegung wert.

Ich kann Dir naturgemäß nur sagen, daß es weiterhin funktionieren müßte, ich sehe (s.o.) nur weniges bis gar nichts, was dagegen sprechen könnte. Aber eine Garantie kann ich Dir eben nicht geben ... nur Gegenargumente (wenn denn welche kommen sollten) versuchen zu entkräften mit entsprechenden Erläuterungen. Wenn ich irgendwo eine Möglichkeit nur mutmaßen kann (mit Begründung, nicht nur "ins Blaue"), dann schreibe ich das auch so - siehe oben bei der TFE. Das Risiko, das Du eingehst, wenn Du vorher ordentlich die Konfiguration der beiden Boxen sicherst, ist ja durchaus überschaubar. Ob Dir das der potentielle Gastzugang wert ist (das habe ich aber als Ziel schon richtig verstanden, oder?), mußt Du ja ohnehin selbst entscheiden. Wenn jemand Gegenargumente oder zusätzliche Punkte hat, die ich übersehen haben sollte, wird er sich sicherlich auch melden.

 

[Hamilton]

Versuch mal folgendes.

1.) DHCP Server auf der Fritzbox im Keller laufen lassen.
2.) Im Wohnzimmer feste IP vergeben und dann auf selbst einwählen stellen und hier auch eine IP vergeben (kann auch komischerweise die selbe sein),
3.) Gastmodus aktivieren
4.) Fritzbox mit 2 LAN Kabel anschließen an den Keller bzw switch. LAN1 und LAN2.
5.) jz gehen die normalen Verbindungen und Home Netz über LAN2 raus da DHCP aktiviert. Im Gastnetz geht die Verbindung über LAN1 raus und kann nciht auf die anderen zugreifen. Ausserdem können auch über LAN2 DHCP Geräte auf den Keller zugreifen.

 

[PeterPawn]

Versuch mal folgendes.

Kannst Du die Idee noch einmal etwas klarer formulieren? Ich verstehe es schlicht nicht.

Im Wohnzimmer feste IP vergeben und dann auf selbst einwählen stellen und hier auch eine IP vergeben (kann auch komischerweise die selbe sein),

Wenn Du mit dem ersten Teil ("feste IP vergeben") die LAN-Konfiguration im IP-Client-Mode meinst und mit "auf selbst einwählen stellen" das Aktivieren des Router-Modus gemeint sein sollte (nur dann "wählt" sich die Box ja selbst ein, egal ob per DHCP-Request, PPPoE-Anmeldung oder über eine feste IP auf der WAN-Seite), dann ist die Möglichkeit der doppelten Vergabe derselben Adresse doch eigentlich nicht überraschend, denn es kann eben nur ein Modus gleichzeitig benutzt werden.

3.) Gastmodus aktivieren

Was heißt das? Es gibt ja mindestens zwei Möglichkeiten, ein Gastnetz zu aktivieren - einmal über LAN4 und einmal als WLAN-Gastnetz ... wenn Du das überhaupt mit "Gastmodus" meinen solltest.

Annahmen:

- 7390 Keller: 192.168.178.1/24 - DHCP-Server-Range 192.168.178.20-200
- 7390 WZ: 192.168.178.2/24 (egal ob IP-Client oder Router)
- automatische Gastnetz-Adresse ist bei 7390 wahrscheinlich 192.168.179.0/24, wir nehmen mal 172.31.179.0/24 an (7490/6490), damit der Unterschied deutlicher wird

Wenn dann Zugriffe vom Gastnetz der 7390 WZ erfolgen - vom Client 172.31.179.22 sagen wir mal -, dann werden die zwar mit einiger Wahrscheinlichkeit von der Box tatsächlich per NAT auf die 192.168.178.2 übersetzt und auch über "dev dsl" (wir haben ja jetzt den Router-Modus und "dev dsl" ist LAN1) weitergeleitet. Bei der 7390 im Keller kommen die aber wiederum als lokaler Traffic an (192.168.178.0/24 ist das LAN und die Pakete tragen den Absender 192.168.178.2) und sind absolut nicht mehr isoliert (auch wenn bei ErraZZor da gerade keine weiteren Clients angeschlossen sind im Keller).

Weitere Clients am "normalen" WLAN/LAN der 7390 WZ sind über die "dev lan"-Bridge auf den LAN2-Port gebridged und von dort über den Switch mit der "dev lan"-Bridge der 7390 Keller verbunden, erhalten damit vom DHCP-Server der 7390 Keller ihre IP-Adressen und kommunizieren dann eben mit der Box im Keller über die Bridge in der 7390 WZ (alles auf Layer2, die 7390 WZ braucht da theoretisch nicht einmal eine IP-Adresse), weil die ja das per DHCP gesetzte Standard-Gateway ist.

Und genau da liegt dann auch der Knackpunkt. Ein Client im Gastnetz sollte problemlos die 192.168.178.20 (den ersten DHCP-Client der 7390 Keller) erreichen können. Der Zugriff sieht zwar für den LAN-Client so aus, als käme er von der 7390 WZ (weil da die 192.168.178.2 als Absender drinsteht nach dem NAT aus dem Gastnetz), aber über den ARP-Request der 7390 WZ auf der WAN-Seite müßte sogar schon am Switch die direkte Verbindung zum LAN-Client funktionieren ... sollte da kein ARP-Request erfolgen (warum eigentlich nicht, es gibt ja keinen Grund, warum da eine Layer2-Adressierung in Richtung 7390 Keller stattfinden sollte?), dann würde spätestens bei der Routing-Decision in der 7390 Keller wieder ins LAN gesendet.

Warum sollte so ein Zugriff nicht funktionieren? Und wenn das Gastnetz nicht isoliert ist, braucht man es gar nicht. Es geht ja gerade darum, solche Zugriffe zu unterbinden. Das einzige, was man aber im Endeffekt damit unterdrückt, ist der direkte Broadcast-Austausch zwischen dem Gastnetz und den LAN (durch das Routing/NAT in der 7390 WZ), aber jeder Unicast-Zugriff aus dem Gastnetz müßte funktionieren. Wenn nicht, woran sollte das dann scheitern?

Ich sehe also weder die behauptete Isolation noch den wirklichen Sinn (außer dem zusätzlichen Switch, wenn da nicht zwei Kabel in den Keller gehen). Selbst wenn das am Switch noch mit VLANs getrennt würde (damit dann 7390 WZ - LAN1 raus, LAN2 rein und über WLAN weiter nicht mehr direkt funktionieren würde), müßte man das ja auch in der 7390 Keller noch irgendwie regeln, daß die nicht auf die Idee kommt, die Pakete wieder über die Strecke "Switch->LAN2->WLAN" zurückzusenden, weil der Adressat (192.168.178.20/24) über "dev lan" erreichbar ist.

Das einzige, was da eventuell funktionieren könnte (und bei identischer Firmware wohl trotzdem an der festen Gastnetz-Adresse scheitert), ist die Verbindung der 7390 WZ an LAN1 (wenn das der WAN-Anschluß ist) mit dem LAN4-Anschluß der 7390 Keller und auch dort die Aktivierung des Gastnetzes für LAN4. Wenn man dann noch zusätzlich einen der anderen Ports (LAN1-LAN3) der 7390 Keller in das Wohnzimmer bringen will, braucht man entweder wieder zwei Kabel (ein Port aus LAN1-3 7390 Keller an LAN2-3 7390 WZ zusätzlich zu dem vorstehend beschriebenen) oder auf der Kabelseite der 7390 Keller auch noch einen VLAN-fähigen Switch.

Aber das ist eben ein gewaltiger Aufwand und was erreicht man damit eigentlich? Was ist der Vorteil ggü. einer Router-Kaskade?

Wenn sich das tatsächlich so konfigurieren ließe, daß "dev lan" und "dev dsl" in der 7390 WZ dieselbe statische IP-Adresse haben - das sehe ich auch noch nicht so richtig, weniger beim Eintragen als beim Aktivieren einer solchen Konfiguration würde ich Schwierigkeiten erwarten, z.B. bei der Einrichtung von IP-Routen -, dann dürfte ein Effekt aber tatsächlich sein, daß Zugriffe auf die 7390 WZ selbst nicht mehr richtig funktionieren und das sollte dann auch für SIP-Clients an dieser Box Auswirkungen haben (selbst wenn sonst keine weiteren Zugriffe auf die 7390 WZ notwendig sein sollten).

Wenn die 7390 WZ auf beiden Interfaces dieselbe IP-Adresse haben sollte, meldet sie sich auch auf einen entsprechenden ARP-Request auf beiden Interfaces und dank der Zusammenführung von WAN und LAN unmittelbar am Switch (immer unter der Annahme, daß da kein VLAN existiert) kommen ARP-Requests auch zuverlässig auf beiden Interfaces an. Damit dürfte die Kommunikation mit LAN-Clients (sogar mit der 7390 Keller als WAN-seitiges Gateway) aber etwas schwierig werden, wenn die mal über das eine (direkte) und mal über das andere (mit Firewall geschützte) Interface erfolgen soll. Ich kann mir jedenfalls beim besten Willen nicht vorstellen, wie das funktionieren sollte.

Wenn ich irgendeine Annahme bei den Punkten 1-3 falsch interpretiert habe, kannst Du das ja - wie oben erbeten - noch einmal klarstellen.

 

[ErraZZor]

Bei dem von Dir geschilderten Szenario verstehe ich schon mal nicht (vorausgesetzt, Du hast die Zugangsdaten für die SIP-Accounts), warum die unbedingt in der ersten Box registriert sind und dann von dort per internem SIP weitergeleitet werden. Warum kann man die erste Box - wenn da eigentlich keine Telefone weiter dran hängen (die Türsprechstelle könnte jedoch - je nach Typ bzw. Funktionsweise - ein Problem sein) - denn nicht auf die SIP-Registrierung verzichten und das übernimmt komplett die zweite Box?

Genau wegen der Türsprechstelle, deshalb hatte ich das ursprünglich alles so eingerichtet.
Wenn es an der Tür klingelt, klingeln dann auch alle Telefone und man kann per Telefon dann mit der "Tür sprechen" und auch den elektrischen Türöffner ansteuern (DTMF).

Das Problem ist halt, dass auch die Kabel der Türklingel und des Türöffners im Keller reinkommen. Die Türklingel muss ja an den analogen Eingang der Fritzbox gesteckt werden.

Wenn OpenVPN tatsächlich der einzige interne Dienst ist (Wozu dient die Verbindung denn tatsächlich? Zum Umgehen von Geo-Blocking oder für eingehende Verbindungen zu irgendwelchen LAN-Clients?) und nicht darüber dann weitere Zugriffe von extern auf irgendwelche Clients hinter der zweiten Box stattfinden sollen (dann sollte OpenVPN tatsächlich auf die zweite Box), dann braucht es nicht einmal den "exposed host" für die zweite Box.

Ich wähle mich per OpenVPN von unterwegs in mein Heimnetz ein, weil ich dann meinen Rechner zu Hause per RDP benutze.

Also erstmal danke für deine Antworten - ich hab mir jetzt ein paar Gedanken gemacht und im Endeffekt ist die von Dir gestellte Frage "wenn das den Aufwand wert ist" die ausschlaggebende - im Moment scheue ich mich davor, dass alles wieder auseinander zu reissen.

Ich habe ziemlich lange gebraucht bis diese ganze SIP-Geschichte inkl. Türsprechstelle funktioniert hat und ich wüsste nicht, ob ich das nochmal so hinbekomme ;-)

Momentan denke ich darüber nach ob es nicht doch sinnvoller wäre eines der beiden CAT6-Kabel, welches vom Keller ins EG führt zu opfern, um darüber DSL und Türsprechstelle nach oben durchzuschleifen.
Ist halt aber auch ein größerer Act, dafür bräuchte ich entsprechende Kabelsplitter weil ich die Dosen nicht aufmachen will.

Mal sehen

 

[Hamilton]

Habe hier noch eine Fritzbox 3272 rumstehen über die ich gerne WLAN drüber laufen lassen, um eine 7270 entlasten.
Die Anforderungen sind im Home WLAN Netz beiderseitiger LAN Zugriff, sowie ein WLAN Gast Netz für Kunden, das auch passwort geschützt ist.
Ersteres geht im IP Modus, letzteres nur im "Einwahlmodus".
Habe dann etwas rumprobiert und mal die Variante gewähl die Fritzbox 3272 im Einwahlmodus laufen zu lassen und über LAN1 und LAN2 in mein Netzwerk einzubinden, bei deaktiviertem DHCP Server auf der 3272.
Im Home WLAN bekomme ich die IP über die 7270 und kann surfen und im LAN auf alle Geräte zugreifen, sowie die LAN Geräte auch auf Geräte im 3272 Netz.
Melde ich mich nun im WLAN Gastnetz an, so bekomme ich eine IP und surfe über LAN1. Ich kann keine Geräte im LAN erreichen, auch bei manueller IP Eingabe im LAN Netz kann ich nicht darauf zugreifen.

Es läuft alles über den selben IP Bereich. Die Fritzbox 3272 hat 2 IP Adressen mit 2 MAC Adressen, einmal über LAN1 und LAN2.

 

[PeterPawn]

@Hamilton:
Wenn das die Antworten auf meine Fragen sind, werde ich daraus nicht schlau.

Wenn die 3272 NAT für das Gastnetz macht, macht sie NAT und dann hat sie auf der WAN-Seite eine Adresse aus dem LAN (schreibst Du ja selbst, auch wenn es jetzt zwei Adressen sind - vermutlich dann doch je eine für LAN und eine für WAN, womit die 3272 adressierbar bleibt) und dann sind auch die anderen LAN-Clients erreichbar, wenn Du den LAN1- und den LAN2-Anschluß an einem (nicht VLAN-fähigen) Switch zusammenführst. Ich weiß ja nicht, was "Ich kann keine Geräte im LAN erreichen, auch bei manueller IP Eingabe im LAN Netz kann ich nicht darauf zugreifen." am Ende in Protokollen und Services ausgedrückt heißt, aber aus der Tatsache, daß da u.U. ein bestimmtes Szenario nicht funktioniert, kann man ja nicht auf eine Isolation schließen.

Da Du nichts zu Konfiguration der 3272 geschrieben hast, kann man da auch nur raten ... unter welchen Rahmenbedingungen ich die Überlegungen in #30 angestellt habe, steht dort deutlich. Wenn sich das von Deinem Aufbau unterscheidet, müßtest Du ja sagen können, wo (solange es nicht nur konkrete Netzwerkadressen sind, das ist dann ja kein wirklicher Unterschied) diese Unterschiede liegen.

Wenn keine vorhanden sind, wäre ja zumindest die Begründung dafür interessant, warum es dann nicht funktionieren sollte. Nur weil es Dir in einem konkreten Szenario nicht gelingt, einen LAN-Client zu erreichen, ist eben noch kein isoliertes Gastnetz und wenn es nicht isoliert ist (den Unterschied bei Broadcasts habe ich schon erwähnt), dann braucht man es nicht. Wenn bei Dir z.B. schon die "Unsichtbarkeit" innerhalb des Netzwerk-Explorers eines Windows-Systems auf "nicht zugreifen" hinausläuft, dann wäre das aus dem Gastnetz tatsächlich so in der aufgeführten Konfiguration - dann reden wir aber total aneinander vorbei.

 

[Hamilton]

Ich denke, dass das ganze funktioniert, weil das WLAN-Gast Netz direkt LAN1=WAN zugeordnet ist.

Ich habe vom Gastnetz WLAN versucht anzupingen und über http auf Webinterfaces im LAN Netz zuzugreifen. Einmal über die zugewiesene IP im Gast Range und dann auch manuell mit einer 192.168.x IP Adresse.

Die Fritzbox 3272 ist ohne DHCP Server und "übernimmt Einwahl" konfiguriert und liegt im selben IP Netz 192.168.0.x

Genau die eine IP der Fritzbox ist LAN1=WAN und die andere IP LAN2.

 

[PeterPawn]

Ich denke, dass das ganze funktioniert, weil das WLAN-Gast Netz direkt LAN1=WAN zugeordnet ist.

Das ist richtig, das Gastnetz hat ein eigenes Netzwerk-Segment (ich rate mal, es ist 192.168.179.0/24) und das wird von der 3272 tatsächlich direkt (nach NAT) auf dem WAN-Interface (also an LAN1) ausgegeben.

Da hängt aber auch wieder der LAN2-Anschluß an demselben Switch und wenn da bei einem "ping" an die 182.168.0.irgendwas (das müßten ja dann Deine LAN-Adressen sein) keine Pakete bei dem adressierten Client ankommen sollten (die Antworten wären wieder etwas anderes, aber selbst die sollten funktionieren), dann liegt das maximal noch daran, daß in der 3272 weitere Einschränkungen für Gäste festgelegt sind (z.B. nur HTTP/E-Mail, dann geht auch kein ICMP) und hat dann auch eher etwas mit einer Filterung von Protokollen/Services zu tun als mit einer Isolation des Gastnetzes.

Wenn da ein HTTP-Server im LAN existiert und die Gastnetz-Clients dürfen HTTP benutzen (ohne White-/Blacklist, was dann schon wieder etwas anderes wäre), dann sollte auch dieser HTTP-Server aus dem Gastnetz erreichbar sein.

Du kannst ja einerseits mal an der 3272 auf der WAN-Seite einen Packetdump machen und zusätzlich am eingehenden Interface dieses HTTP-Servers. Jedes aus der 3272 mit einer LAN-Adresse des HTTP-Servers abgehende Paket muß 1:1 am Server ankommen, wie es beim Rückweg aussieht, sollte sich so auch ermitteln lassen.

Wenn das tatsächlich nicht so wäre, dann müßte die 3272 noch einen "Tunnel" zur 7270 verwenden und warum sollte sie das tun?

Die 7270 dürfte dann den getunnelt ankommenden Traffic auch nicht ausleiten (im Routing ginge der ja sonst wieder an den Switch zurück, denn die Zieladresse liegt ja im LAN) und müßte ihn direkt weiter an ihr eigenes WAN-Interface senden. Spätestens da ist es dann vorbei, jedenfalls dann, wenn die 3272 nicht mit LAN1 an LAN4 der 7270 hängt und die ein Gäste-LAN aufmacht. Aber dann wäre da ja auch für die "normalen" LAN-Clients der 3272 Schluß und das würdest Du merken.

Vielleicht reden wird ja auch bei "übernimmt Einwahl" aneinander vorbei? Das soll nicht am Ende irgendwas in der Richtung "übernimmt Daten von der 7270" heißen, oder? Ich lese das als "stellt selbst eine Verbindung her" (das ist dann der Router-Modus) und nur dafür gelten meine Überlegungen.

Egal, ich kann es mir nicht vorstellen und ohne eine passende Erklärung glaube ich Dir zwar, daß Du diese Beobachtungen gemacht hast, aber die gezogenen Schlußfolgerungen halte ich für falsch. Es macht - wenn nicht noch eine überraschende Wende kommt, wie z.B. die erwähnte Filterung - einfach technisch keinen Sinn ... ich lasse mich aber auch gerne mit einer plausiblen Theorie, warum das gehen sollte, überraschen.

 

[Shark88]

Ich schließe mich hier mal an, da ich ein ähnliches Szenario habe, allerdings habe ich nur ein verfügbares Kabel von einer 7490 im Keller zu einer 3490 im ersten Stock. Die 3490 ist alleine für das WLAN Netzwerk zuständig. Um nun dort auch einen Gastzugang nutzen zu können, muss ich sie ja ein eigenes Subnetz aufbauen lassen (also nicht als IP-Client). Nach meinem Verständnis habe ich dann ein doppeltes NAT im Netzwerk, da die 3490 einmal NAT macht und das dann an die 7490 weitergibt, die wiederum das Paket umbaut (NAT) und dann ins Netz schickt. Das ist zwar nicht optimal, aber für meinen Anwendungszweck wohl nicht zu ändern.

Außer das die Geräte aus dem Netz der 7490 die Geräte aus dem Netz der 3490 nicht erreichen können, außer es bestand eine Verbindung aus dem 3490er Netz, sollte es keine Nachteile geben?

 

[HabNeFritzbox]

Die Leute können immer noch vom Gastnetz dann ins Netz der 7490 zugreifen.

Für die 7490 macht es keinen Unterschied wer wie auf 3490 zugreift.

 

[Shark88]

Ah guter Hinweis! Da hast du natürlich recht. Also ohne ein zweites LAN Kabel habe ich da keine Chance eine sinnvolle Trennung für das Gastnetzwerk zu schaffen, außer ich überlege mir das komplette WLAN als Gastnetzwerk laufen zu lassen, indem ich die 3490 an Port 4 der 7490 hänge.

Der WLAN Repeater im Modus LAN-Brücke kann wohl sowohl normales Netzwerk als auch Gastnetzwerk über nur ein LAN Kabel?
http://avm.de/nc/service/fritzwlan/...er-Hotspot-in-FRITZ-WLAN-Repeater-einrichten/

 

[HabNeFritzbox]

Das wäre halt auch eine Option ganze 3490 als Gastgerät laufen zu lassen, dort könntest dann auch in dem Fall IP-Client nutzen.

Ich weiß leider nicht unter welcher Voraussetzung das Gastnetz auf nach gelagerten FB´s verwendet werden kann im selben Subnet. Muss die FB dann ja z.B. mit nem VLAN trennen. Mit Fritz Repeatern kann man es wohl verwenden http://avm.de/nc/service/fritzwlan/...er-Hotspot-in-FRITZ-WLAN-Repeater-einrichten/.

 

[Shark88]

Ja ich habe auch mit "erschrecken" festgestellt, das die Repeater als LAN-Brücke auch das Gastnetzwerk + normales WLAN beherrschen. Da frage ich mich natürlich warum so etwas bei einer 3490 nicht auch möglich ist... Ob da überhaupt Hoffnung besteht das es möglich ist, am Ende wäre ich mit einem einfachen Repeater als LAN-Brücke hier besser gefahren!

Habe gerade mal eine Anfrage an das Team für Produktanregungen geschickt. Mal sehen!