LAN-LAN-Routing mit 2xFritzbox 7270 und verschiedenen Subnetzen

[LittlePete]

Hallo, ich suche nun schon tagelang in diversen Foren ohne allerdings einer Lösung näher zu kommen. Hier ist meine Hardware Konfiguration:

FritzboxA 7270v2 steht im Keller und hängt direkt per Lan1 am Kabelmodem von KD.
Die Netzwerkadresse ist 192.168.1.1 , Maske:255.255.255.0 Der DHCP-Server vergibt Adressen von 192.168.1.30-192.168.1.200

Die zweite Fritzbox B 7270v2 hat die WAN-Adresse 192.168.1.2 mit Internet über LAN1 -> Lan 2 an FritzboxA und arbeitet als NAT-Router. Ihre IP-Adresse ist 192.168.2.1, Maske 255.255.255.0 und DHCP-von 192.168.2.30-bis 192.168.2.200

Der Internetzugriff funktioniert sowohl bei Anmeldung über Fritzbox A als auch über Fritzbox B. Was nicht funktioniert ist das Routing zwischen den Subnetzen.
Ich ereiche von der Fritzbox B per Ping 192.168.1.x das Netzwerk der Fritzbox A. Der umgekehrte Weg funktioniert jedoch nicht. Vom Netzwerk der Fritzbox funktioniert kein ping auf 192.168.2.x.

Nach meinem Verständnis kann das nur an der Firewall der Fritzbox B liegen, die alle Zugriffe von außen blockt.
Alle meine Versuche das Problem über statische Routen, welche eigentlich überflüssig sind, zu lösen noch das Eintragen als Exposed Host der Fritzbox B im Web-Interface der Fritzbox A führten zum Erfolg.

Die Möglichkeit, die Fritzbox B als IP-Client zu nutzen, wäre keine wirkliche Lösung, da die Netze wegen verschiedener Nutzergruppen prinzipiell getrennt sein müssen.
Weiß jemand einen Lösung?
Viele Grüße
LittlePete

 

[Marsupilami]

Der Internetzugriff funktioniert sowohl bei Anmeldung über Fritzbox A als auch über Fritzbox B. Was nicht funktioniert ist das Routing zwischen den Subnetzen.
Ich ereiche von der Fritzbox B per Ping 192.168.1.x das Netzwerk der Fritzbox A. Der umgekehrte Weg funktioniert jedoch nicht. Vom Netzwerk der Fritzbox funktioniert kein ping auf 192.168.2.x.

Genau das ist der Sinn des NAT-Routings. Aus dem Subnetz vor der zweiten Box ist die zweite Box und alles dahinter nur mit der einen Adresse 192.168.1.2 zu sehen - und eben nicht die PCs dahinter. Dass es da noch ein Subnetz 192.168.2.x gibt, weiss die erste Box nicht und auch die PCs im Subnetz der ersten Box nicht.

Was willst du denn eigentlich erreichen? Dürfen sich die PCs gegenseitig sehen, oder gibt es PCs, die mehr dürfen sollen, als andere? Gibt es PCs, die andere definitiv nicht sehen dürfen? Oder geht es dir mehr um die Aufgeräumtheit, weswegen du verschiedene Subnetze willst?

 

[LittlePete]

Hallo Marsupilami,
die beiden Boxen sind räumlich getrennt. An der Fritzbox A die auch die Internetverbindung herstellt, melden sich meine Kinder per WLAN an. An der Fritzbox B hängen die Arbeitsrechner meines Büros,Drucker usw. Meine Kinder sollen nicht auf mein Arbeitsnetz zugreifen dürfen, höchstens evtl. später auf den dortigen Drucker.
Ab und an melde ich mich vom Wohnzimmer mit meinem Notebook an der Box A an um Mails zu checken usw. Wenn ich dann mal jemanden schnell eine Zeichnung schicken will, die auf dem Server im Netz B liegt, ist der Hund begraben.
Sollte aus irgendeinem Grund mal die dLan-Verbindung zur Fritzbox A ausfallen,was schon vorgekommen ist, muss ich mit dem Netz B weiterarbeiten können (ohne Internet). Wenn ich die zweite Box als IP Client einrichte ist der DHCP-Server ja auf der Box A. Dann läuft das Netz B nicht standalone, weil die Rechner ja keine Adressen bekommen .
ICH will also die NAT nur für das Netz der Box außer Kraft setzen.
Viele Grüße
LittlePete

 

[Marsupilami]

Wenn es dir um ein einziges Notebook geht, das ggf. aus dem Netz A auf Netz B Zugriff haben soll, könntest du VPN in der Box B aktivieren und aus Netz A per VPN dich im Netz der Box B anmelden.

 

[Junialter]

VPN wäre eine Möglichkeit, aber vermutlich oversized.
Mach einfach ein Port-Forward an Box B auf die jeweiligen Dienste, die Du freigeben möchtest.
Normalerweise würde ich dort, wo Box B hängt, einen Firewall laufen lassen ohne NAT, aber mit Paketfilter und statischem Routing. Statisches Routing können die Fritzboxen sograde noch, aber Paketfilter kriegste wohl nur mit ner gefreetzten FB hin... Das wäre natürlich auch eine gute Möglichkeit. Aber das mit dem Port Foward (z.B. zum Drucker) wäre wesentlich einfacher.

 

[HyBird]

Nach meinem Verständnis kann das nur an der Firewall der Fritzbox B liegen, die alle Zugriffe von außen blockt.
Alle meine Versuche das Problem über statische Routen, welche eigentlich überflüssig sind, zu lösen noch das Eintragen als Exposed Host der Fritzbox B im Web-Interface der Fritzbox A führten zum Erfolg.

Dies ist in der Tat der richtige Lösungsansatz. Jedoch rührt er nicht zum Erfolg.
Die Fritzboxen sind von Hause aus nicht für diese Form der Benutzung ausgelegt.

Ich habe mal mit einem solchen Szenario herum experimentiert. Jedoch war Router B eine LaFonera 2201 mit DD-WRT.
Hier mußte in der Fritzbox A eine statische Route ins Zielnetz gesetzt werden.
In der La Fonera hingegen mußte das der NAT Modus aufgehoben und durch den Router Modus ersetzt werden, ferner wurden alle Firewalls abgeschaltet um ein Routing zwischen den Beiden Subnetzen zu ermöglichen.

Mit Boardmitteln wirst Du der Fritzbox B auf keinen Fall diesen Routermodus beibringen können. Da im Webinteface diese Einstellungen nicht vorhanden sind.

Es mag möglich sein der Fritzbox das beizubringen. Jedoch erfordert das sehr Tiefe eingriffe in die Firmware.

 

[LittlePete]

LAN-LAN Routing

Danke für eure Beiträge. So langsam sehe ich ein, dass solche Problemstellungen für die Fritzbox (noch?) zu hoch sind. Werde die Fritzbox B vorerst als IP-Client betreiben und versuche die Zugriffsrechte auf andere Art und Weise zu lösen. Die Idee mit der VPN-Lösung könnte funktionieren. Werde ich bei Gelegenheit mal ausprobieren.
Vielen Dank
LittlePete

 

[Junialter]

... Die Idee mit der VPN-Lösung könnte funktionieren. Werde ich bei Gelegenheit mal ausprobieren.
Vielen Dank
LittlePete

Wieso machst Du keinen Port Forward?