willytel.start nachgelagerte Router kein Netz!

[nico_hh]

Hallo zusammen,

ein bekannter von mir wohnt in einer Genossenschaftswohnung in welcher es vom regionalen Kabelnetzbetreiber,
einen kostenlosen Internetanschluss gibt. Das ganze nennt sich dann "willytel.start" der Anbieter stell hierfür eine Firtbox 6360 zur verfügung, welche komplett eingeschränkt ist. Kein Zugriff auf die Benutzeroberfläche, WLAN abgeschaltet.
Somit fungiert die Box lediglich als Modem für die kleine aber ausreichende Leitung (4000/512kbit/s).

Da man in der heutigen Zeit doch das ein oder andere Gerät benutzt welches aufs Internet zugreifen soll,
sollte nun an die Fritzbox ein nachgelagerter Router angeschlossen werden, welcher dann z.B. das Smartphone ins Internet bringt und ein Heimnetzwerk entsteht in welchem Rechner und Drucker miteinander sinnvoll verdrahtet sind.

Die Idee einfach, das entsetzen groß bis zur absoluten Ratlosigkeit.

Am angeschlossenenem Router erhalten per Kabel angebundene Geräte sporadisch Internet und die über WLAN eingebundenen Geräte erhalten überhaupt kein Zugriff aufs Internet!? (Wird ein Rechner direkt an die 6360 Angebunden läuft der Anschluss einwandfrei.)
Die netzinterne Kommunikation läuft hingegen jedoch prima!

Das ganze wurde nun mit verschiedenen D-Link Routeren getestet und beobachtet sowie mit einem Edilink AcessPoint.

Hat jemand schon ähnliche Erfahrung gemacht bzw. gibt es eine technische Erklärung wie gezielt die WLAN Verbindung nachgelagerter Geräte unterbunden werden kann!? Und wenn ja, kann man dies irgendwie umgehen denn eine solche technische Vorichtung ist ja geradezu bevormundung.

 

[KunterBunter]

Diese "Bevormundung" ist bei einem kostenlos zur Verfügung gestellten Internetanschluss ganz sicher beabsichtigt. Die Leute, die das bereitstellen, sind bestimmt auch klüger als die, die da versuchen, den Anschluss für mehr als ein Gerät zu missbrauchen.
Insofern lässt sich Entsetzen groß bis zur absoluten Ratlosigkeit nicht vermeiden.
Der bereitgestellte Router vergibt bestimmt nur eine einzige private IP-Adresse und alle anderen werden nicht ins Internet gelassen.

 

[nico_hh]

Sehr freundlich vielen Dank für die Blumen ;-)

Ganz kostenlos ist der Anschluss natürlich nicht, er wird in der Kabelgebühr mit umgelegt und wird ebenfalls durch die Genossenschaft subventioniert.
Genossenschaftsprinzip ist an dieser Stelle sicher klar!?
Zum anderen kann auch nicht von Missbrauch die Rede sein, da die Nutzung mit mehreren Geäten ebenfalls zuläsig ist, gemäß Auskunft des Servicemitarbeiters vom Kabelnetzbetreiber.

Man möchte offenbar den Netz-Abschlusspunkt refinanziert bekommen, in dem man für WLAN 5 EUR monatlich verlangt.
Und sich die Einschänkung somit auf die Nutzung von Kabelgebundenen Geräte beschränkt.
Ebenfalls ist die Bandbreite ja nun auch nicht der Megareisser...

Durch einen angeschlossenen Router muss es doch möglich sein, das Anfrage von Router zu Modem (Gateway) quasi Anonym ablaufen.
Im zweifel müsste man also einen Raspi3 aufsetzen, da man dann das Routing beeinflussen kann oder besser gleich eine 7170 oder 7270 mit Freetz
oder OpenWRT!?

 

[koyaanisqatsi]

Moin Moin

Schon DoppelNAT probiert ?
Also IP-Klient mit eigener Firewall und eigenen Subnet ?
...dann muss der Vorgelagerte nur eine IP dafür vergeben.

 

[KunterBunter]

Im zweifel müsste man also einen Raspi3 aufsetzen, da man dann das Routing beeinflussen kann oder besser gleich eine 7170 oder 7270 mit Freetz
oder OpenWRT!?

Was ist denn da jetzt genau anders gegenüber dem DLink Router, der vorher versucht wurde?

 

[nico_hh]

Das war ja eigentlich die Grundidee...

Das "Modem / Router" des Anbieters hat z.B. das Subnetz 192.168.0.0 und ist unter 192.168.0.1 errreichbar.
Der daran angeschlossene Router das Subnetz 192.168.85.0, Gateway dann 192.168.0.1.

Somit sollte doch die Kommunikation zwischen Router und Modem unter einer IP ablaufen...!?

... Was ich mir jetzt vorstellen könnte wäre das der D-Link keine Portweiterleitung mittels UPnP vorgenommen hat und man diese hätte selbst anlegen müssen!?

 

[KunterBunter]

Der daran angeschlossene Router das Subnetz 192.168.85.0, Gateway dann 192.168.0.1.

Das Gateway muss sich im gleichen Netz befinden, sonst ist es nicht erreichbar.
Welche IP-Adresse und Gateway hat denn der direkt angeschlossene Rechner erhalten?

 

[nico_hh]

Machen wir es mal etwas übersichtlich....
Modem NAP - Netz: 192.168.0.0 / IP: 192.168.0.1
Router - Netz: 192.168.85.0 / IP: 192.168.85.254 extern 192.168.0.2 Gateway 192.168.0.1
Client - Netz: 192.168.85.0 / IP: 192.168.85.100 Gateway 192.168.85.254

 

[PeterPawn]

Was genau hat denn eine Portweiterleitung jetzt damit zu tun, daß die Geräte über den D-Link keine ausgehenden Verbindungen aufbauen können?

Vielleicht systematisierst Du ja doch das Fehlerbild und dessen Beschreibung noch etwas ... wenn die verwendeten Router tatsächlich auf ihrer WAN-Verbindung DHCP-tauglich sind (ohne irgendwelche Encapsulations, die würde ein PC ja auch nicht vornehmen) und auch richtig darauf konfiguriert wurden, dann gibt es nämlich tatsächlich keine technische Erklärung, warum das intern alles klappen soll, aber der WAN-Zugriff nur "sporadisch" (was heißt das am Ende genau?) funktioniert über Ethernet-Kabel und über WLAN gar nicht.

Das klingt eher nach einem Konfigurationsproblem des verwendeten Routers als nach einem Problem der 6360. Wobei da dann der Anbieter auch das LAN der 6360 schon umkonfiguriert hätte ... im Normalfall würde die - wie jede andere FRITZ!Box auch - im LAN erst einmal die 192.168.178.1 verwenden und ich kann mir im Moment auch wiederum keine technische Notwendigkeit für eine Einstellung auf 192.168.0.0/24 erklären. Außer einer zusätzlichen Einstellnotwendigkeit bringt das keinen Unterschied ... es sei denn, man will die Benutzung einer weiteren FRITZ!Box als eigener Router hinter dieser 6360 einfacher machen.

EDIT: Ach so ... ich bin jetzt ganz selbstverständlich davon ausgegangen, daß die vorhandene "Firtbox 6360" in Wahrheit eine FRITZ!Box 6360 (und damit ein DOCSIS-Modell) ist.

 

[KunterBunter]

Der direkt angeschlossene Rechner erhält also immer die IP-Adresse 192.168.0.2 und das Gateway 192.168.0.1?
Ich kann gar nicht glauben, dass die für jeden Anschluss ein eigenes Netz bereitstellen.

 

[PeterPawn]

@KunterBunter:
Wenn da eine 6360 dran hängt, warum sollte die nicht in Wahrheit als eRouter arbeiten? Die Möglichkeiten zum Ausschalten des WLAN (über SNMP und "featovl.cfg") gibt es dort ja tatsächlich und wenn das WLAN als kostenpflichtige Option angeboten wird, dann braucht es auch ein "ganz normales" LAN hinter dem Router. Ich staune ja nur, daß die das tatsächlich auf die 192.168.0.0/24 konfiguriert haben und wieso man bei einer 6360 den Benutzer komplett aussperren sollte. Das macht eigentlich kaum Sinn - da wäre man mit irgendeinem "dumb modem" ja genauso gut bedient gewesen (oder einem anderen Router, wenn man WLAN optional verkaufen will).

Ich würde eher darauf tippen, daß da einfach die Zugangsdaten verlorengegangen sind oder jemand nicht weiß, wie man bei einer FRITZ!Box auf das GUI der Box kommt ... ich wüßte nicht einmal, wie man - ohne speziell angepaßte Firmware - solche Zugriffe (effektiv) verhindern sollte.

 

[KunterBunter]

da wäre man mit irgendeinem "dumb modem" ja genauso gut bedient gewesen

Das war meine Vermutung, dass die Fritzbox 6360 nur als LAN-Bridge eingerichtet ist. Preiswerter als irgendein anderes Kabelmodem ist sie ja jetzt sicherlich allemal.
Auf das GUI der Box kommt man dann nicht, wenn man die passende IP-Adresse nicht kennt.

 

[PeterPawn]

Na ja, da ist dann aber ein EPC3212 oder EPC3208 wohl noch preiswerter, wenn die Geräte "gebraucht" sind - allerdings ohne WLAN-Option. Aber gerade das erwähnte Angebot an dieser Stelle läßt mich eher glauben, daß die Geräte dort neu eingebaut wurden (vor langer, langer Zeit) ... da war dann auch eine 6360 (mit Wahlmöglichkeit, ob man 2,4 oder 5 GHz nutzen wollte) noch eine halbwegs zeitgemäße Lösung bzw. richtige "Dual-Band-Router" noch weitaus teurer.

Eine 6360 in der Konfiguration als LAN-Bridge ist halt etwas sehr Seltsames und dann würde der PC an dieser Bridge ja tatsächlich auch die öffentliche Adresse aus dem Kabel beziehen und da ist dann eine .2 für den PC als Client (wenn das wirklich DHCP ist, was da konfiguriert wurde - davon bin ich noch nicht wirklich überzeugt, ich denke eher an eine falsche statische WAN-Konfiguration des eigenen PCs und jedes getesteten Routers) schon sehr komisch - entweder es ist zufällig tatsächlich gerade eine freie Adresse oder im Segment gibt es keine anderen Geräte. Da erscheint es mir deutlich plausibler, daß die 6360 als eRouter arbeitet und ihr eigenes LAN aufspannt, in dem der PC dann die .2 kriegt. Aber auch das wäre eben für eine FRITZ!Box erneut extrem ungewöhnlich und neben der geänderten Segmentadresse schon die zweite Änderung (wenn auch zu "demselben Thema") ggü. der Standardkonfiguration.

Wie gesagt ... wenn die Box nicht tatsächlich als LAN-Bridge arbeitet (wie sollte dann die WLAN-Option möglich sein?), fehlt mir etwas die Phantasie, wie man den Zugriff auf das GUI verhindern will. Wenn aber die WAN-Konfiguration der getesteten Router eine statische war und die 6360 hat gar nicht wirklich die 192.168.0.1, wie der TE geschrieben hat (L2-Pakete landen ja praktisch zwangsweise bei der Box, wenn das Kabel direkt eingesteckt ist - egal was ARP o.ä. dazu meinen), dann wäre parallel auch klar, warum die Router nie funktioniert haben ... die wollen dann nämlich tatsächlich die MAC-Adresse des nächsten Hop auf der Route per ARP auflösen und wenn die IP nicht stimmt, kommt keine ARP-Antwort. Wenn dann mal ein Paket ohne ARP-Abfrage versehentlich auf der WAN-Seite auf dem Kabel landet (das ist dann wahrscheinlich auch eher ein vom Router selbst erzeugtes, was nicht erst auf der LAN-Seite durch die Routing-Table muß), routet das die 6360 ihrerseits auch treudoof ... der ist es ja egal, ob die Absender-IP da drin zu ihrem LAN paßt oder nicht, denn NAT muß sie ohnehin machen. Beim Rückweg ist es dann vermutlich wieder dem PA geschuldet, wenn das überhaupt ankommt ... der schreibt dann einfach wieder die MAC-Adresse des Absenders aus dem ausgehenden Paket als Ziel-MAC in das eingehende und damit landet mal ein Paket auf der WAN-Schnittstelle des Routers.

Das ist zwar auch alles nur Theorie ... aber es paßt in meinen Augen zumindest zu den geschilderten Symptomen (und zwar besser als eine Konfiguration als LAN-Bridge) und wenn ich recht haben sollte, ist mit einer vernünftigen DHCP-basierten IP-Konfiguration auch der Zugriff auf die FRITZ!Box möglich. Wenn da dann die Login-Seite erscheinen sollte, kenne ich auch keine "Sperre" (in der originalen Firmware), die ein Zurücksetzen auf Werkseinstellungen (zumindest in den ersten 10 Minuten nach Power-On) verhindern würde (es gibt da keine Einstellung, die abgefragt würde - zumindest nicht in der 06.04 oder 06.05, so wie ich sie kenne) ... die Basiskonfiguration zieht sich die DOCSIS-Box dann ohnehin wieder vom Provider. Ich kann mir auch nicht vorstellen, daß AVM da für irgendeinen kleinen Anbieter (wenn der heute noch mit 6360 und ggf. alten Zertifikaten arbeiten sollte, wäre das ohnehin witzig) eine "Spezialversion" der Firmware bereitgestellt hat und schon gar nicht kann ich glauben, daß da ein Provider selbst in der Firmware herumgefummelt hat - abseits dessen, was AVM als Konfigurationsmöglichkeiten angeboten hat bei der 6360.