ComputerBase Menü
Aktuelles

Asus Router hinter Fritzbox

M

maxmaximus

Newbie
Registriert
Sep. 2017
Beiträge
5
Hallo zusammen, wer kann mir bei folgenden Szenario helfen?
Ich habe ein DSL Router (Fritzbox 7490) und dahinter einen ASUS Router (RT-AC53), die Fritzbox stellt die Internetverbindung her. Der Asusrouter ist an die Fritzbox (LAN -> WAN) angeschlossen. Über den ASUS wird eine VPN Verbindung zu einem VPN Server hergestellt und alle an den ASUS angeschlossene Geräte nutzen diese VPN Verbindung. Auch an der Fritzbox sind weitere Geräte angeschlossen. Die Fritzbox stellt Adressen im Bereich 192.168.178.xx zu Verfügung, die Asus im Bereich 192.168.1.xx. Von einem an die Asus angeschlossenem PC kann ich auch auf Geräte an der Fritzbox zugreifen, auch auf die Fritzbox selber. Andersrum, also von einem PC an der Fritzbox kann ich aber nicht auf ein Gerät an der Asus zugreifen...
Wie bekomme ich das hin? Ohne die oben beschriebenen Funktionen jedoch einzuschränken? Ich hoffe ich habe alles einiger Massen verständlich beschrieben. Ein dickes Danke im Voraus für jegliche Hilfe!!!

Mehr zum Thema Asus hinter Fritz - Problem... im Router Forum ASUS auf www.router-forum.de
 
Das kommt drauf an. Je nach VPN kann es nämlich auch sein, dass beim Verbinden des VPN neue "Routen" gesetzt werden, das Verhalten ohne VPN-Verbindung also ein anderes ist. Aber vielleicht reicht es schon aus, eine statische Route vom Netz der FB ins Netz des ASUS zu definieren.

Das beschriebene Verhalten ist eigentlich einfach erklärbar: Die FB ist im ASUS als Gateway und DNS-Server hinterlegt, auf diesem Wege ist neben dem vom ASUS aufgespannten, eigenen 24er Netz auch das Netz der FB bekannt. Anders herum ist es nicht so, da du hier eine Double-NAT Umgebung geschaffen hast.
 
Danke für deine Antwort.
Ich kann dem ganzen etwas folgen, bin leider nicht vom Fach, aber auch nicht der dümmste :lol:
Wie würde denn eine Lösung des ganzen aussehen?
 
Indem du in der Fritzbox im Menü Heimnetz -> Heimnetzübersicht -> Netzwerkeinstellungen -> Statische Routingtabelle -> IPv4-Routen eine neue Route für das ASUS-Netzsegment definierst. Das sollte die NAT-Hürde überwinden.
 
Da ich gebeten wurde, hier etwas zu posten, hole ich den Thread mal wieder hoch und gebe meine Senf dazu.:

Wenn der Asus Router mit seinem WAN Port an der FB hängt, bringt eine Route in der FB rein gar nichts. Bei 08/15 Consumer-Routern sitzt zwischen dem WAN Port und den LAN Ports bzw dem WLAN die Firewall nebst NAT. Das kann man normalerweise auch nicht ändern, weil Consumer-Router für genau ein Szenario konzipiert sind, 1x Wan + Firewall/NAT + 1x LAN (Switch) + WLAN. Solche Kisten sind nicht dazu geeignet, mehrere private Subnetz gleichberechtigt zu routen, etc. Es gibt immer ein "fremdes" WAN Netzwerk und ein privates (W)LAN Netzwerk, die zwangsweise voneinander per NAT und Firewall getrennt werden.

Setzt man dennoch einen solchen Router im eigenen LAN als Zweitrouter ein - zB als VPN Gateway - und verbindet ihn per WAN Port, dann müsste man ihm auch Portweiterleitungen für den Zugriff vom Hauptnetzwerk am WAN ins getrennte Netz am LAN einrichten - genau wie man es vom www ins private Netzwerk tun muss. Für den Asus Router ist das LAN der Fritzbox quasi das Internet, also vermeintlich öffentlicher Raum.

Je nachdem wie der Asus das interne VPN nutzt, könnte man den Asus einfach als AP konfigurieren. Der WAN Port bliebe leer, das separate Subnetz fiele weg, weil der Asus nur noch als Switch mit WLAN und VPN fungiert, aber nicht mehr als NAT Firewall Router. Ob das geht hängt aber davon ab ob der Asus das VPN auch über die LAN Ports aufbauen kann oder ob die VPN Verbindung zwangsweise über den WAN Port erfolgen muss.

Klappt das so nicht und WAN ist für den Asus bei VPN Pflicht, dann kann man besagte Portweiterleitungen am Asus einrichten. Ist es nur ein Gerät hinter dem Asus, das erreicht werden soll (zB ein Drucker oder ein NAS) ist das halb so wild. Sollen aber mehrere Geräte bzw. mehrere Dienste erreicht werden - zB Webserver, Medienserver, Netzlaufwerke, Drucker, etc, dann kann das ziemlich lästig werden.

Die optimale Lösung in so einem Fall heißt : Netzwerk-Router. Nein, nicht Asus, Fritzbox und Co, sondern sowas wie ein EdgeRouter oder ein MikroTik. Das sind semiprofessionelle Router, die eben auch zwischen gleichberechtigten Netzwerken routen können, zum Beispiel privates FritzLAN und privates VPN LAN. Firewall und NAT lassen sich da nach belieben konfigurieren oder gar abschalten, um gegenseitig uneingeschränkten Zugriff zu ermöglichen.

Ein 08/15 Router mit OpenWRT, DD-WRT, o.ä käme auch in Frage, weil die alternative Firmware ebenfalls Firewall und NAT frei konfigurieren kann.

Eine weitere Möglichkeit wäre ein Raspberry PI oder ein beliebiger sonstiger PC bzw. Kleinst-PC, der ausschließlich als VPN Gateway dient. Auch hier hätte man dann nur ein gemeinsames Netz. Ein VPN-williges Gerät würde in einem gemeinsamen Netz zwar nicht automatisch per DHCP das VPN Gateway zugewiesen bekommen, aber das kann man bei einem PC zB mit einer simplen Batchdatei auf dem Desktop mit einem Doppelklick hin und her schalten, quasi ein Go-VPN an/aus Button.
 
Zuletzt bearbeitet:
Vielen Dank für deine ausführliche Antwort, die mir die Problematik meines Anliegens nochmals verdeutlicht hat!
Daraus ergeben sich für mich drei Möglichkeiten:
1. Netzwerk-Router. EdgeRouter oder ein MikroTik, dazu habe ich heute Nacht mal recherchiert. Das wir wohl, mangels Kenntnis der Materie, nichts werden. Die Einstellungen sollen durchaus komplex und nichts für Anfänger sein.
2. Mein Asus Router mit einer Custom Rom flashen, ich glaube bei meinem Modell geht nur Tomato und ich müsste mich zwecks Einstellungen hier durchfragen.
3. Die Portfreigabe(n) am Asus. Das erscheint mir erstmal als die praktischste und einfachste Art.

Könntest du mir bei der Vorgehensweise für die Portfreigabe helfen?
 
EdgeRouter und Co sind in der Tat etwas komplizierter einzurichten, aber reines Netzwerkrouting können sie mehr oder weniger out of the box, das ist ja die Kernkompetenz. VPN ist je nachdem ob IPsec oder OpenVPN schon etwas aufwändiger.

Portweiterleitungen funktionieren bei allen Routern im Prinzip gleich. Läuft hinter dem Asus ein Webserver (tcp 80/443), erstellst du im Asus eine Weiterleitung, die den "externen" Port tcp 80/443 auf die IP des Webservers weiterleitet. Für andere Dienste (Netzlaufwerke, o.ä.) musst du eben diese Ports weiterleiten. Welche das sind weiß Onkel Google.
Willst du nun vom Hauptnetz darauf zugreifen, musst du mit der WAN IP des Asus verbinden, so als wenn eben der Asus der Webserver, etc wäre.

Bedenke: Eine Portweiterleitung muss eindeutig sein. Ein externer Port kann nur ein einziges Mal weitergeleitet werden. Mehrere Weiterleitungen (zB für 2 Netzwerkdrucker) funktionieren also nicht. Dafür müsste man einen externen Alternativport wählen, aber das führt jetzt zu weit.
 
Hmm...ich bin ja sonst nicht der blödeste, aber bei diesen Port Sachen will der Groschen noch nicht fallen, ich glaube ich werde alt.
Ich mach mal ein Beispiel:
Ich bin mit meinem Handy (IP 192.168.178.111) im WLAN der Fritzbox (192.168.178.1) unterwegs.
An die ASUS (192.168.1.1 und an der Fritz 192.168.178.24) ist eine Linux TVBox (192.168.1.252) angeschlossen.
Jetzt möchte ich vom Handy aus auf die Linux TVBox. Also muss ich auf der Asus die Portweiterleitung einrichten. Dazu gibt es in der ASUS diese Einstellung:

1.JPG

Servicename wird frei gewählt, unter Source Target kommt die IP meines Handys, unter Portbereich die Ports, die ich noch ergoogeln muss, unter Lokale IP dann meine Linus TVBox. Lokaler Port ist mir noch nicht ganz klar.

Hab ich das so weit richtig begriffen?
 
Zuletzt bearbeitet:
Ich gebe zu, dass das selbst bei den Speedports leichter zu verstehen ist. "Source Target" ist ein ziemlich unglücklich gewählter Begriff. "Quelle Ziel"? Ja was nu? Quelle oder Ziel? Beides geht schlecht.. Doofe Bezeichnung..

Eine Portweiterleitung besteht im Prinzip aus zwei Teilen: Dem Matching und der Translation.

Matching definiert welche Bedingungen ein Paket erfüllen muss, um die Weiterleitung zu aktivieren. Üblich ist zB der Zielport. Kommt ein Paket am Wan mit Zielport TCP 80 an, wird auch nur diese Weiterleitung getriggert, aber nicht die für zB Port UDP 1194. Ein weiterer (optionaler) Trigger wäre zB die Quell-IP. Damit könnte man beispielsweise definieren, dass nur von der öffentlichen IP der Firma aus die Weiterleitung getriggert wird, nicht aber von zB meiner IP aus.

Translation wiederum gibt an was mit dem getriggerten Paket passieren bzw welche Eigenschaften geändert werden sollen. Das ist natürlich allen voran die Ziel-IP, kann aber auch optional den Zielport betreffen.

"Lokal" bezieht sich stets auf das private Netzwerk und gibt zB die lokale IP des Ziels bzw den dort verwendeten Port an - die Paketeigenschaften nach der Weiterleitung. Im Gegensatz dazu bezieht sich "extern" auf die Paketeigenschaften vor der Weiterleitung.


Eine simple Portweiterleitung mit den minimalen Einstellungen sieht so aus:

Quell-IP: leer (=beliebig)
Zielport (extern): TCP 80
Ziel-IP (lokal): 192.168.1.252
Zielport (lokal) : TCP 80 (oder leer falls der externe Port unverändert bleibt)

Würdest du bei der Quell-IP die IP deines Smartphones angeben, kämst du zB vom Tablet oder PC nicht drauf, weil die Quell-IP eine andere wäre. Ebenso wenn das Smartphone vom DHCP eine neue IP bekommt.

Wenn alles stimmt, verbinden sich Smartphone und Co mit der Asus-IP auf dem definierten (externen) Port, zB 192.168.178.24 TCP 80 und der Asus erkennt TCP 80 und ändert das Ziel auf 192.168.1.252 TCP 80.

Was du dazu beim Asus wo eingeben musst, entnimmst du bitte der Anleitung. Das sollte nach meinen Ausführungen kein Problem sein ;)
 
Zuletzt bearbeitet:
Hallo nochmal.
Leider will das ganze nicht klappen. Vielleicht erwarte ich zu viel und das passt nicht zu meinem Wissensstand. Prinzipiell hab ich es verstanden, aber klappen will es trotzdem nicht.
Nichts desto trotz möchte ich mich ganz herzlich für die ausführliche Unterstützung bedanken!!! Daumen hoch!
 
Wenn du nicht sagst was genau du nun getan hast und was nicht passt, kann man auch nicht helfen.
 
Hallo,
können wir das Thema nochmal aufgreifen?

Habe das gleiche Problem

An meiner FritzBox hängt der Asus Router am LAN auf WAN, dieser hat OpenVPN und alle Geräte sind über den Asus im Internet.
Asus ist in der Fritz so eingestellt das er selbständig Ports freigeben kann. Wenn ich jetzt im Asus Netz (192.168.2.1) bin kann ich auf alles zugreifen, auch auf die Fritz mit 192.168.0.1.

Wenn ich aber im Fritz Netz bin kann ich nicht auf die Geräte zugreifen die im Asus Netz sind.
Wie genau kann ich das freigeben?
Asus muss per WAN angeschlossen sein wegen OpenVNP und mit dem Port Forwarding komme ich nicht weiter bzw. kenne ich nicht aus.

Danke
 
Sardexx schrieb:
Wenn ich aber im Fritz Netz bin kann ich nicht auf die Geräte zugreifen die im Asus Netz sind.
Wie genau kann ich das freigeben?
Asus muss per WAN angeschlossen sein wegen OpenVNP und mit dem Port Forwarding komme ich nicht weiter bzw. kenne ich nicht aus.
Zum Vergrößern anklicken....
Gar nicht, wenn Asus dieses Szenario so nicht vorgesehen hat. Es ist nicht unüblich, wenn auch in meinen Augen ein Ärgernis, dass Hersteller solcher eierlegenden Wollmilchsäue Funktionen wie VPN an- bzw ausschalten, wenn man den Betriebsmodus wechselt.

AVM, Asus, TP-Link und Co bauen Consumer-Router, die nur für Standardszenarien gebaut sind. Sie sind nicht dafür geeignet, ein voll geroutetes Netzwerk mit mehreren Subnetzen aufzubauen. Das geht nämlich über das besagte Standardszenario hinaus und hat in der Welt der reinen auspacken-anschließen-wizardsdurchklicken-Anwender nichts zu suchen.

Du kannst höchstens im Asus für jedes Gerät, das erreichbar sein soll eine Portweiterleitung einrichten, die dann aber nicht auch in der Fritzbox vorkommen darf, wenn das Gerät nicht auch via www erreichbar sein soll. Willst du allerdings zB 2x Netzlaufwerke aka SMB erreichen, musst du dich für ein Zielgerät entscheiden, weil eine Portweiterleitung nicht mehrdeutig sein kann.

Ansonsten bleibt dir nur ein zugegeben absurder Umweg über ein VPN-Gateway, das vom Fritz-Netz ins Asus-Netz geht und so den Traffic durch die Asus-Firewall tunnelt.

Zu guter Letzt kannst du dir einen Router besorgen, der nicht an die Ketten des Consumer-Markts gebunden ist und prinzipiell für alle denkbaren Netzwerkszenarien geeignet ist. Das kann ein EdgeRouter-X für 50€ sein, sein großer Bruder, der ER-4, ein entsprechendes Modell von MikroTik oder auch eine Appliance mit pfSense, o.ä. Allen gemein ist aber, dass das keine Consumer-Geräte sind, sondern semiprofessionelles Equipment, das auch mit einem Mindestmaß an KnowHow eingerichtet werden will.



*edit
Speziell bei Asus habe ich schon häufig davon gelesen, dass zB das VPN abgeschaltet wird, wenn man den Betriebsmodus auf "AP" (oder wie Asus das auch nennen mag) umstellt. Genau genommen sind solche Betriebsmodi Bullshit bzw. sind ein weiterer Indikator für die Zielgruppe, die bloß nicht mehr als einen Haken setzen soll, weil sonst irgendwas kaputtkonfiguriert werden könnte - der "blöde" Consumer eben. Wenn man jedoch bei einem 08/15 Router einfach nur den DHCP-Server deaktiviert, am LAN-Port eine feste IP aus dem Subnetz des Internetrouters vergibt und anschließend das Kabel in einen der LAN-Ports steckt und WAN leer lässt, hat man einen AP-Modus von Hand eingestellt. Versuche das und schau ob Asus dann die VPN-Funktion aktiviert lässt. Es kann jedoch sein, dass Asus die VPN-Verbindung über den WAN-Port erzwingen und nicht über einen der LAN-Ports erlaubt, dann hast du Pech und kannst das Teil in den Müll werfen.
 
Puh danke für die ausführliche Antwort.
Also so weit ich weis läuft VPN nur über WAN, müsste ich aber Testen ob es auch mit LAN geht, dann auf AP umstellen oder??

Würde das ja mit der Portweiterleitung am Asus machen, bin aber zu blöd dafür.

Würde halt gerne das komplette Netzwerk über Asus bzw. VPN laufen lassen, aber die Fritz stehen lassen wegen Telefon und VPN Verbindung auf Fritz für Zugriff aufs Netzwerk bzw. NAS.

Bekomme ich das irgendwie unter einem Hut?
Grüße
 
Sardexx schrieb:
Bekomme ich das irgendwie unter einem Hut?
Zum Vergrößern anklicken....
Wie ich sagte: Nein. Solche Router sind nicht in der Lage, gleichberechtigte Netzwerke zu handhaben, sie können es einfach nicht. Es gibt nur "vor der Firewall" (=jenseits des WAN-Ports) und "hinter der Firewall (=LAN+WLAN). Der Asus trennt nun Das Internet und das Fritzbox-Netzwerk vor der Firewall vom Netzwerk am LAN/WLAN des Asus hinter der Firewall. Daran kann man bei 08/15 Routern nichts ändern, weil Otto Normal damit imstande wäre, wissentlich aber eben auch - und das ist entscheidend - unwissentlich die Sicherheit des kompletten Netzwerks gefährden könnte und wird.
Die einzige Chance wäre der Betrieb als Access Point gänzlich ohne WAN-Port, weil so effektiv alles auf der (W)LAN-Seite abläuft. Ob Asus das in der VPN-Funktion berücksichtigt hat, musst du ausprobieren.

Eine Routerkaskade wie du sie gebaut hast ist zwar in einigen Anwendungsfällen eine gangbare Lösung, aber nicht, wenn man Verbindungen von beiden Seiten aus herstellen will. Steht ein NAS oder ein Netzwerkdrucker im inneren (Asus-)Netzwerk, kann man nur mit Portweiterleitungen arbeiten. Dazu dann zB die SMB-Ports (frag google) im Asus an das NAS weiterleiten oder das NAS eben ins Netzwerk der Fritzbox hängen.

Routerkaskaden sind tricky und ein sehr spezieller Fall. Ich vermute mal du erhoffst dir dadurch, alle Geräte hinter dem Asus zB mit Cyberghost zu verbinden und damit "anonymisiert" ins Internet zu leiten. Einerseits ist das ein weit verbreiteter Irrtum - der VPN-Anbieter weiß genau wer du bist und speichert diese Daten ggfs in Ländern mit lockerem Datenschutz - und andererseits ist eine feste Installation, die zB den TV hinter dem VPN-Router dazu zwingt über VPN zu gehen, nicht ausreichend flexibel, wenn zB der VPN-Anbieter Probleme hat oder dessen VPN-Server zB von Netflix gesperrt werden.
 
Ok leider finde ich aber nichts vernünftiges im Internet bezüglich Portweiterleitung mit Asus.

oder ich richte im Asus einen VPN Tunnel ein mit Zugriff auf das Netzwerk oder?


Das der VPN Anbieter meine Daten hat ist klar, aber es wird nichts geloggt und rausgeben darf er die Daten auch nicht. Auf jeden Fall besser als direkt über Provider online zu gehen
 
Du hast doch eh gesagt, dass alle Geräte am Asus angeschlossen sind. Warum willst du dann noch von der Fritzbox aus auf das Asus-Netz zugreifen?
 
Ja als einzigstes Gerät ist der Samsung TV weil sonst Amazon nicht richtig läuft und der ist an der Fritz.
Vom Samsung aus möchte ich aber gerne auch auf die NAS zugreifen...
 
Sardexx schrieb:
Das der VPN Anbieter meine Daten hat ist klar, aber es wird nichts geloggt und rausgeben darf er die Daten auch nicht. Auf jeden Fall besser als direkt über Provider online zu gehen
Zum Vergrößern anklicken....
Und das steht im Werbetext des Anbieters, korrekt? Wenn die Ermittlungsbehörden an einen VPN-Anbieter herantreten, muss er die Daten ebenso herausgeben wie ein Internetanbieter. Auch muss er gegebenenfalls dieselben Daten über denselben Zeitraum speichern wie ein Internetanbieter. Hinzu kommt, dass der VPN-Anbieter bzw. dessen Server im Zweifelsfalle in einem anderen Land sitzt und dessen Datenschutzgesetzen Folge leisten muss. Dazu muss man sagen, dass Datenschutz in den wenigsten Ländern so im Fokus steht wie in Deutschland.
VPNs sind nicht mal im Ansatz das Allheilmittel als dass sie von den Anbietern selbst und durch Mundpropaganda dargestellt werden. Anonymität wie sie dort versprochen wird, gibt es in der Form nicht. Selbst Tor ist schon lange kein Garant mehr für Anonymität.

Sardexx schrieb:
Ok leider finde ich aber nichts vernünftiges im Internet bezüglich Portweiterleitung mit Asus.
Zum Vergrößern anklicken....
Portweiterleitungen sind trivial. Sie werden im Handbuch, aber auch auf 17 quadrillionen Seiten im Internet inkl. YouTube-Videos erklärt. Dabei besteht eine Portweiterleitung stets aus denselben Komponenten:

Externer Port
-> das ist der Port, den man von außen ansteuert, in der Regel identisch mit dem internen Port

Interner Port
-> das ist der Port wie er am Zielgerät, dem NAS, verwendet wird (wie gesagt, in der Regel 1:1 wie der externe Port)

Ziel IP
-> das ist die lokale IP des Zielgeräts (NAS)


Welche Ports notwendig sind, findet man easy bei google. "portweiterleitung smb"




Sardexx schrieb:
Vom Samsung aus möchte ich aber gerne auch auf die NAS zugreifen...
Zum Vergrößern anklicken....
Dann stell das NAS eben zur Fritzbox.
 
Ok VPN ist ein anderes Thema 😊


NAS ist im Keller geht also leider nicht, also Weiterleitung von der NAS z.B.:

IP Fritz: 192.168.0.1
Samsung: 192.168.34
IP Asus: 192.168.1.1
IP NAS: 192.168.1.184
Port: 5000

Wie bekomme ich jetzt die NAS auf dem Samsung angezeigt?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Phil_81
Fritzbox hinter Fritzbox - Zugriff auf Gerät hinter zweiter Fritzbox
Antworten
4
Aufrufe
500
Phil_81
Phil_81
A
Asus Router an FritzRepeater anschließen, VPN nutzen
Antworten
12
Aufrufe
466
chrigu
chrigu
E
Zweiten Router hinter Fritzbox anhängen (Asus Router Ac68u DSL)
Antworten
11
Aufrufe
1.231
SaxnPaule
SaxnPaule
A
  • Frage
Wie mach ich ein Gerät über Umwege aus dem Internet erreichbar?
2 3
Antworten
50
Aufrufe
4.671
Raijin
Raijin
M
Asus Router AC86U Abstürze
Antworten
7
Aufrufe
634
Bob.Dig
Bob.Dig
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz