ComputerBase Menü
Aktuelles

Fehlerhafte Konfiguration?

K

kidjack

Newbie
Registriert
Sep. 2023
Beiträge
6
Moin,

ich würde gerne meine aktuelle Heimnetzwerk-Konfiguration mit euch teilen, denn aktuell funktioniert sie nicht so, wie ich es mir vorgestellt habe. Allerdings sehe ich den Fehler nicht :/

Ich habe eine FritzBox 7530, das ist mein Hauptrouter, das sich auch ins Internet einwählt. An diesen Router hängt am LAN 4 Port ein Switch. Und an diesen Switch habe ich nun eine weitere FritzBox 7270 (über LAN1) angeschlossen. Die 7270 ist so konfiguriert, dass sie Internet über den LAN1-Port bekommt.

Die IP Konfigurationen sehen wie folgt aus:
FritzBox 7530:
IP: 192.168.178.1
Subnetzmaske: 255.255.255.0
DHCP:aktiviert - vergibt IPs in der Range von 20-200.

FritzBox 7270:
IP: 192.168.180.1
Subnetzmaske: 255.255.255.0
DHCP:aktiviert - vergibt IPs in der Range von 20-200.

Die FritzBox 7270 taucht im Heimnetz der 7530 unter der IP: 192.168.178.151 auf.
Auf der 7270 wiederum sehe ich die "online"-IP, der FritzBox 7270 ebenfalls als 192.168.178.151 mit dem DNS-Server 192.168.178.1.
Zu guter Letzt habe ich in der 7530 eine statische Route für das Netzwerk: 192.168.180.0 mit der Subnetzmaske: 255.255.255.0 und dem Gateway 192.168.178.151 eingerichtet.

An der 7530 bin ich nun mit meinem Laptop über WLAN drin (hat die IP 192.168.178.157), mein Desktop hängt an der 7270 mit der IP 192.168.180.20.
Wenn ich nun von meinem Desktop meinen Laptop anpingen will, klappt das.
Andersherum aber nicht.

Für ping 192.168.180.20 erhalte ich die Ausgabe:
PING 192.168.180.20 (192.168.180.20): 56 data bytes
92 bytes from fritz.box (192.168.178.1): Redirect Host(New addr: 192.168.178.151)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 2938 0 0000 3f 01 6a6e 192.168.178.157 192.168.180.20
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1 usw.

Ich möchte eigentlich nur eins. Dass beide Netze sich im Heimnetzwerk sehen können.
Habe ich etwas falsch konfiguriert?

Vielen Dank schon mal im Voraus!
 
Ich habe nicht alles im Detail verfolgt, aber es dürfte schon an den zwei DHCP Servern liegen. Die darf es nicht gleichzeitig geben und laut Beschreibungen koexistieren sie im gleichen Netz.
 
kidjack schrieb:
IP: 192.168.178.1
Subnetzmaske: 255.255.255.0
DHCP:aktiviert - vergibt IPs in der Range von 20-200.
Zum Vergrößern anklicken....
kidjack schrieb:
IP: 192.168.180.1
Subnetzmaske: 255.255.255.0
DHCP:aktiviert - vergibt IPs in der Range von 20-200.
Zum Vergrößern anklicken....
Erstmal sind das beides 24er Netze, ergo ist die Range für Clients von 1 bis 254.

Weiters, warum 2x DHCP?
 
  • Gefällt mir
Reaktionen: Unnu
kidjack schrieb:
Für ping 192.168.180.20 erhalte ich die Ausgabe:
PING 192.168.180.20 (192.168.180.20): 56 data bytes
92 bytes from fritz.box (192.168.178.1): Redirect Host(New addr: 192.168.178.151)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 2938 0 0000 3f 01 6a6e 192.168.178.157 192.168.180.20
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1 usw.
Zum Vergrößern anklicken....
Willkommen im Forum

1. Kennt die FritzBox 192.168.178.1 ja das 192.168.180.x Netz nicht, es sei denn du hast eine statische Route gesetzt.
2. Wird die Firewall der Fritzbox 192.168.180.1, das nicht ohne weiteres zulassen.

Cu
redjack
 
Zuletzt bearbeitet:
Drewkev schrieb:
Erstmal sind das beides 24er Netze, ergo ist die Range für Clients von 1 bis 254.

Weiters, warum 2x DHCP?
Zum Vergrößern anklicken....
DHCP ist von 20-200 aber eingerichtet. Dass die Range eigentlich größer ist, weiß ich.

Warum 2x DHCP? Naja, ich wollte eigentlich nur, dass alles was sich in die 7270er einwählt eine 180er-IP bekommt. Und ich will eben nicht die Konfiguration für die Geräte immer selbst vornehmen.

Ist das ein Problem? Sind doch verschiedene Netz-IDs, oder?
Ergänzung ()

redjack1000 schrieb:
Willkommen im Forum

1. Kennt die FritzBox 192.168.178.1 ja das 192.168.180.x Netz nicht, es sei denn du hast eine statische Route gesetzt.
2. Wird die Firewall der Fritzbox 192.168.180.1, da nicht ohne weiteres zulassen.

Cu
redjack
Zum Vergrößern anklicken....
1. Hab ich, wie beschrieben.
2. Inwiefern? Kann man das ausstellen?
 
Wofür denn eigentlich 2 unterschiedliche Netze, wenn du per Routing doch alles wieder untereinander sichtbar machen willst?
Oder sollen aus dem 178er Netz nur bestimmte Dienste/Geräte erreichbar sein? Dann müsstest du das entsprechend auf der Firewall der 7270 freigeben.
 
kidjack schrieb:
Sind doch verschiedene Netz-IDs
Zum Vergrößern anklicken....
Zu dem Zeitpunkt noch nicht. Die Netzwerkkarte schickt ein DHCP Discover in das ganze Netzwerk und ein DHCP Server antwortet darauf. Erst dann wird ja eine IP und ein Netz zugewiesen.

Da du zwei hast, könnte die IP Zuweisung rein zufällig erfolgen und die Geräte mal da und mal da landen.
 
  • Gefällt mir
Reaktionen: Unnu
Hi und willkommen im Forum!
  1. Was für'n Switch ist da zwischen die FBen geschaltet - zufällig 'n Managed/Smart-Switch?
  2. Ist's Absicht, dass bei der 7530 der LAN4-Port (prädestiniert für's "Gastnetz") genutzt wird?
  3. Ist's Absicht zweimal DHCP zu betreiben?
  4. Warum nicht der 7270 statisch eine Eigen-IP im Subnetz außerhalb der DHCP-Range der 7530 zuweisen und diese einfach als sog. IP-Client mit deaktiviertem DHCP ins Subnetz der 7530 einbinden?
    Dann bräucht's auch keine (leider falsch konfigurierte) statische Route in der 7530 für die Verbindung der beiden Subnetze.​
Btw.:
cvzone schrieb:
Die darf es nicht gleichzeitig geben [...]
Zum Vergrößern anklicken....
Das stimmt nicht - die dürfen durchaus schon gleichzeitig existieren, allerdings sollten sie dann verschiedene IP-Ranges haben.
Drewkev schrieb:
[...] ergo ist die Range für Clients von 1 bis 254.
Zum Vergrößern anklicken....
Der TE hatte ja von der DHCP-Range geschrieben - und die ist bei FBen nunmal werksseitig auf den vom TE angegebenen Bereich definiert.​

- EDIT -
Ah... meine Fragen 3 und 4 sind tlw. schon beantwortet worden, während ich hier noch mit dem Zwei-Finger-Adler-Suchsystem meine Tastatur gequält hab'.​
 
User007 schrieb:
Der TE hatte ja von der DHCP-Range geschrieben - und die ist bei FBen nunmal werksseitig auf den vom TE angegebenen Bereich definiert.
Zum Vergrößern anklicken....
Wie gut, dass das hier keine Rolle spielt. Bei der Subnetzmaske ist nunmal die vierte Oktette frei, und das sind 254 Hosts.
Da ist es völlig egal welcher Router.
 
kartoffelpü schrieb:
Wofür denn eigentlich 2 unterschiedliche Netze, wenn du per Routing doch alles wieder untereinander sichtbar machen willst?
Oder sollen aus dem 178er Netz nur bestimmte Dienste/Geräte erreichbar sein? Dann müsstest du das entsprechend auf der Firewall der 7270 freigeben.
Zum Vergrößern anklicken....
Ja ich möchte es "sauber" getrennt haben.
User007 schrieb:
Hi und willkommen im Forum!
  1. Was für'n Switch ist da zwischen die FBen geschaltet - zufällig 'n Managed/Smart-Switch?
  2. Ist's Absicht, dass bei der 7530 der LAN4-Port (prädestiniert für's "Gastnetz") genutzt wird?
  3. Ist's Absicht zweimal DHCP zu betreiben?
  4. Warum nicht der 7270 statisch eine Eigen-IP im Subnetz außerhalb der DHCP-Range der 7530 zuweisen und diese einfach als sog. IP-Client mit deaktiviertem DHCP ins Subnetz der 7530 einbinden?
    Dann bräucht's auch keine (leider falsch konfigurierte) statische Route in der 7530 für die Verbindung der beiden Subnetze.​
Zum Vergrößern anklicken....
1. Nein - kein managed Switch
2. Nein - Aber der Gast-Zugang ist nicht aktiviert auf der 7530
3. Eigentlich ja. Ich wollte halt nicht bei jedem Gerät, das sich über die 7270 verbindet die Netzwerk-Konfiguration vornehmen müssen.
4. Zum Verständnis:
Ich würde dann der 7270 die IP 192.168.178.3 z.B. geben? Aber ohne DHCP müsste ich dann immer die IPs an den Geräten manuell konfigurieren, oder?

Mein Ziel ist es eigentlich nur zwei Netze zu haben, die sich aber gegenseitig sehen können.
 
kidjack schrieb:
Zu guter Letzt habe ich in der 7530 eine statische Route für das Netzwerk: 192.168.180.0 mit der Subnetzmaske: 255.255.255.0 und dem Gateway 192.168.178.151 eingerichtet.
Zum Vergrößern anklicken....
Die Route kannst du dir sparen und ich sage dir auch gleich warum..


kidjack schrieb:
An der 7530 bin ich nun mit meinem Laptop über WLAN drin (hat die IP 192.168.178.157), mein Desktop hängt an der 7270 mit der IP 192.168.180.20.
Wenn ich nun von meinem Desktop meinen Laptop anpingen will, klappt das.
Andersherum aber nicht.
Zum Vergrößern anklicken....
Das ist vollkommen normal. Die Firewall eines Routers sitzt zwischen WAN und LAN/WLAN. Dabei blockt die Firewall alles, was ungefragt am WAN eingeht und erlaubt im Gegenzug aber alles, was am WAN-Port rausgeht. Deswegen kannst du im Internet surfen (ausgehend) und gleichzeitig ist dein Heimnetzwerk vor Angriffen aus dem Internet geschützt (eingehend).

Für deine zweite Fritzbox ist nun LAN1 = WAN und dort hängt nicht nur das Internet, sondern eben auch das Netzwerk der ersten Fritzbox. Ergo gilt auch das Netzwerk der ersten Fritzbox als böse und potentiell gefährlich. Foglich blockt die Firewall sämtliche Zugriffe vom Netzwerk der erten Fritzbox auf das Netzwerk der zweiten Fritzbox, denn das ist die Aufgabe der Firewall. Andersherum kannst du aber vom Netz der zweiten Fritte auf das Netz der ersten Fritte zugreifen, denn auch das ist Aufgabe der Firewall, nämlich den Zugriff auf "das Internet" erlauben.

www ------>||FW|| (WAN) Fritzbox#1 (LAN) ---Netz1---->||FW|| (WAN) Fritzbox#2 (LAN) ---Netz2--- PC
------------>BLOCK----------------------------------------->BLOCK---------------------------->
<----------ALLOW<------------------------------------------ALLOW<---------------------------


Eine Route ändert daran überhaupt nichts, weil du in der ersten Fritzbox routen kannst bis der Arzt kommt, denn die zweite Fritzbox blockt einfach alles ab.

Es ist mit 08/15 Heimroutern nicht vorgesehen, die Firewall beidseitig zu öffnen. Das geht maximal mit Portweiterleitungen, die aber nur punktuelle Öffnungen und nur auf eindeutige Ziele darstellen, aber keinen Gesamtzugriff auf das Netzwerk erlauben.
 
wow... Dann funktioniert mein Vorhaben so also gar nicht?? :D
Gibt es denn eine Möglichkeit um mein Vorhaben zu realisieren??
Von mir aus kann dann auch alles im 178er-Netz laufen, falls es die Sache vereinfacht/ändert
 
Du hast eine sogenannte Routerkaskade gebaut, die leider nicht so funktioniert wie du es dir wünschst. Natürlich gibt es Möglichkeiten, zwei gleichberechtigte Netzwerke mit gegenseitigem Zugriff - ggfs auch durch eine Firewall reglementiert - zu bauen, aber mit 08/15 Routern kommt man da nicht weit. Dazu muss man nämlich die Möglichkeit haben, auf dem zweiten Router NAT abzuschalten und die Firewall zu öffnen bzw. generell vollen Zugriff auf dessen Firewall haben.

Bei Consumerroutern wie Fritzboxxen hat man eigentlich gar keinen Zugriff auf die Firewall, weil man nur in automatischen Wizards ein paar Standardfälle konfigurieren kann - zB Portweiterleitungen bzw. -freischaltungen. Voller Zugriff auf die Firewall würde aber bedeuten, dass man das von Hand tun könnte, also so richtig im darunterliegenden Betriebssystem. Das ist bei Consumerroutern aber aus verständlichen Gründen nicht gewollt, da solch ein Zugriff den Router regelrecht unbrauchbar machen kann, wenn man nicht weiß was man da tut - und Otto Normal weiß gerade mal so wie er eine Telefonnummer in sein DECT-Telefon einspeichert, aber Firewalls? No way...


Wenn man zwei oder mehr Netzwerke mit gegenseitigem Zugriff im Heimnetzwerk bauen möchte, kommt man um fortgeschrittene Router nicht herum. Das müssen nicht zwingend Profigeräte für teuer Geld sein, sondern zB Router mit OpenWRT oder auch EdgeRouter, MikroTiks und dergleichen. Man kann also durchaus mit <100€ loslegen.


Aber: Komplexe Netzwerke mit mehreren Subnetzen sind keine Kosmetik, sondern dienen technischen und sicherheitsrelevanten Zwecken. Man "sortiert" damit also nicht seine Geräte, weil es "hübsch aussieht" oder so. Es geht dabei vielmehr darum, dass man zB zugriffsbeschränkte Netzwerke wie zB das Gastnetzwerk baut, das zwar ins Internet, aber nicht auf das Hauptnetzwerk zugreifen darf. Wenn man ALLOW any<>any macht, kann man sich weitere Netzwerke weitestgehend sparen, wenn man nicht anderweitig gute Gründe dafür hat.


Die Frage, die sich aufdrängt, lautet daher: Warum willst du zwei Netzwerke aufbauen?
Also wieso soll der Desktop-PC in Netzwerk#1 sein und der Laptop in Netzwerk#2? Was soll das bringen? Was erhoffst du dir davon? Sicherheit? "Sortierung"? Oder geht es hier um Dinge wie VPN gegen Geoblocking, o.ä.?
 
  • Gefällt mir
Reaktionen: User007
kidjack schrieb:
Von mir aus kann dann auch alles im 178er-Netz laufen, falls es die Sache vereinfacht/ändert
Zum Vergrößern anklicken....
Was heißt vereinfachen/ändern? Klar, wenn du die zweite Fritzbox nicht im Router-Modus betreibst, sondern als "Switch mit WLAN", hast du ein großes Netzwerk, in dem alle ihre IP-Adressen von der ersten Fritzbox beziehen und im 192.168.178.0/24 Subnetz liegen. Jeder kann mit jedem sprechen und alles ist gut. Da die zweite Fritzbox nicht routet und auch nicht NATtet, ist sie vollkommen transparent für alle Geräte vor und hinter ihr.

Die Frage bleibt daher: Warum wolltest du zwei Netzwerke? Also ganz ernsthaft, was ist dein eigentliches Ziel? Worum geht es dir? Wie du das erreichen kannst, kommt erst im nächsten Schritt, erstmal geht es um deine Intention, die dich überhaupt erst zur zweiten Fritzbox und ihrer Konfiguration brachte.

Sonst stehen wir hier im Zweifelsfalle vor einem XY-Problem und basteln an einer Lösung herum, die eigentlich nichts mit deinen ursprünglichen Beweggründen zu tun hat ;)
 
Auch, wenn @Raijin hier alles Wesentliche beschreibt und erklärt, vllt. mag's ja einer Aufklärung beitragen.
kidjack schrieb:
Ich wollte halt nicht bei jedem Gerät, [...]
Zum Vergrößern anklicken....
Brauchst Du doch gar nicht - dafür beziehen Endgeräte-Clients doch standardmäßig mittels DHCP ihre jeweilige IP vom zuweisenden Router.​
kidjack schrieb:
Aber ohne DHCP müsste ich dann immer die IPs an den Geräten manuell konfigurieren, oder?
Zum Vergrößern anklicken....
Nein - siehe Vorstehendes.
kidjack schrieb:
Mein Ziel ist es eigentlich nur zwei Netze zu haben, die sich aber gegenseitig sehen können.
Zum Vergrößern anklicken....
Warum - welchem Zweck soll das genau dienen?

Btw.:
@Sandro_Suchti:
Sandro_Suchti schrieb:
Wie gut, dass das hier keine Rolle spielt.
Zum Vergrößern anklicken....
Hmm...das hab' ich anders gelernt (oder mein Gedächtnis lässt mich grad arg im Stich).
Sandro_Suchti schrieb:
Bei der Subnetzmaske ist nunmal die vierte Oktette frei, und das sind 254 Hosts.
Zum Vergrößern anklicken....
Das wurde ja nicht bestritten - aber wofür dann eigtl. eine DHCP-Range definieren, wenn die angeblich keine Beachtung fände? 🤔​
Sandro_Suchti schrieb:
Da ist es völlig egal welcher Router.
Zum Vergrößern anklicken....
Na ja, da würd' ich auch nochmal auf das Fritz!OS verweisen.

@cvzone:
cvzone schrieb:
Kann ja nicht gewollt sein.
Zum Vergrößern anklicken....
Vllt. ja in komplexeren Netzverbünden doch - who knows. Beim Standard-08/15-Gebrauch des Konsumernutzers natürlich eher nicht.​
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Fritzbox 7530 AX - Keine Internetverbindung für Geräte über TP-Link Switch & AP
Antworten
13
Aufrufe
716
redjack1000
R
T
Kann den Openwrt Router nicht aus dem Netzwerk der Fritzbox aufrufen.
2
Antworten
23
Aufrufe
3.360
bsod90
B
CaptainPighead
Wechsel Fritz!Box 7530 AX DSL auf 5590 Glasfaser -> wie am besten Einstellungen migrieren?
Antworten
11
Aufrufe
1.072
das_ICH
das_ICH
J
OpenWRT AP Konfiguration hinter VF Station (DNS/IPv6)
Antworten
18
Aufrufe
597
norKoeri
N
koma
Wireguard Verbindung möglich? Fritzbox A (IPv4) Fritzbox B (IPv6)
2
Antworten
23
Aufrufe
1.710
koma
koma
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz