fremde Fritzbox vs. feste IP - Subnetz?

[hannes360]

Guten Morgen,

ich stehe gerade auf dem Schlauch mit meinem Wissen über Netzwerke und würde mich sehr über ein wenig Input freuen!

Status:
ich betreibe 3 Grossformatdrucker und 3 Rechner (2x Mac, 1x PC) und musste diese Woche mit den Geräten umziehen. Nun „wohnen“ die Geräte zur Untermiete in einem Büro bei einer anderen Firma, Ich habe alle meine Geräte über einen 24-Port Switch und dynamischer IP-Vergabe (DHCP) an die „fremde“ Fritzbox (5780?) anschliessen dürfen. Die Fritzbox ist der DHCP-Server. Soweit ist alles in Ordnung.

Problem:
zwei der drei Drucker brauchen eine feste IP (die ich mir beliebig einstellen kann), ich komme aber auf der „fremden“ Fritzbox nicht an die Adminseite, um dort die beiden als statische IP zu definieren!

Frage:
wie kann ich also - vielleicht in einer Art Subnetz? - die beiden Drucker mit einer festen IP versorgen und sie trotzdem mit dem Büronetz verbinden? Ich habe noch eine alte Fritzbox (5390?), die ich einsetzen könnte, weiss aber nicht, wie ich diese konfigurieren muss.

Eine Idee? Das wäre toll!

Derzeit stöpsle ich immer die Netzwerkkabel um und verbinde einen Drucker direkt mit einem der Rechner. Das ist aber nervig und ich kann auch immer nur einen Drucker gleichzeitig betreiben, was nicht sehr produktiv ist..

Dankeschön!

Gruss - Hannes

 

[Sebbi]

Eine Idee? Das wäre toll!

konfigurieren auf den Druckern die eine Feste IP benötigen einfach die Feste IP in der DHCP Range, die FB wird das normalerweise registrieren und diese Adresssen aufgrund von Kollision von der Vergabe ausschließen solange die Geräte aktiv sind.

ist aber nur temporär eine Lösung bis du dich mit dem Firmenadmin abgesprochen und zugang zu der FB bekommst.

 

[SSD960]

2-20 ist in der Regel frei. Kurz testen oder besser nachfragen und fertig.

 

[hannes360]

Danke. So hatte ich es probiert und hat auch funktioniert für einen Test. Allerdings muss ich grosse Drucke abschicken (12m) und es wäre recht unpraktisch, wenn dann mittendrin die Verbindung abbricht wegen Neuvergabe einer IP. Die Drucker gehen nach dem Druck auch in Ruhemodus und würden beim Aufwachen evtl. eine IP-Kollision auslösen, wenn deren IP dann zufällig neu vergeben wurde.

Auf die FB komme ich aber leider nicht ohne grösseren Aufwand mit der „fremden“ IT-Abteilung. Daher die Frage nach einer Art Subnetz. Oder geht das gar nicht?

 

[conf_t]

Wenn deine alte Fritzbox einen WAN-Port hat, kannst du mit dem auch an das Netzwerk der Fremdfirma und dir hinter deiner FB dein eigenes Netzwerk aufspannen - geht zumindest du für den Zugriff auf deine Geräte nicht über deren aktive Infrastruktur musst. Hinter deiner FB kannst du dann machen was du willst.

Aber ich verstehe das Problem auch nicht so ganz.
1. Frage doch einfach ob es einen Bereich gibt, in dem es Feste IPs genutzt werden können und welche noch frei sind, die Firma nutzt vielleicht selbst auch feste IPs (dazu sollte niemand sich auf die FB schalten müssen, sowas sollte dokumentiert sein)? Da einfach reinhängen und sich "irgendwas" schnappen ist eine schlechte Idee. Denk daran du bist "Gast" und abhängig von der Firma, nicht umgekehrt.
2. Verstehe ich dein Problem mit dem DHCP sowieso nicht. Normalerweise versuchen Geräte immer die gleiche DHCP IP wieder zu bekommen und auch die Router versuchen die gleiche IP wieder zuzuweisen. Echte IP wechsel gibt es eigentlich erst, wenn das Subnetz voll ist. Die Chance einer IP Änderung ist da, aber eher gering, insbesondere je regelmäßiger deine Geräte an sind. Und bei DHCP ist die Gefahr geringer, dass es eine Doppelte IP Vergabe gibt, als bei einer Statischen IP, insbesondere wenn da zwei Parteien im Netzwerk rumfuhrwerken.

 

[hannes360]

Danke!

Ja, die alte FB hat einen WAN Port, gucke ich mir an, wie das gehen kann. Danke.

zu 1.
gerade weil ich Gast bin und das „fremde“ Netzwerk nicht stören will, wollte ich beim Admin nicht Aufwand betreiben, dass er mir zwei statische IP einrichtet. Ich bin offiziell Untermieter, ist also nix heimliches oder so, ich scheue nur den Aufwand bei der anderen Firma und wollte mich eher minimalinvasiv verhalten

zu 2.
Das wusste ich nicht. Ich war der Auffassung, dass nach dem Ablauf des Lesse immer wieder eine neue IP vergeben wird oder werden kann. Dass ein Wechsel eher unwahrscheinlich ist, war mir nicht bewusst. Ich hatte von einem Techniker, der die Drucker betreut nur den Hinweis bekommrn, dass die beiden nur mit fester IP funktionieren. Ohne diese käme es immer wieder zu Problemen und Verbindungsabbrüchen, die briden sind erwas Mimosenhaft, was das Netzwerk angeht..

Ich gucke mir das mit dem WAN mal an, merci!

Hannes

 

[Raijin]

zwei der drei Drucker brauchen eine feste IP (die ich mir beliebig einstellen kann), ich komme aber auf der „fremden“ Fritzbox nicht an die Adminseite, um dort die beiden als statische IP zu definieren!

Kleiner aber feiner Unterschied: Eine statische Reservierung im DHCP-Server ist KEINE statische IP-Adresse. Die IP selbst wird nach wie vor dynamisch über DHCP an das Endgerät verteilt, auch wenn es immer dieselbe ist. Eine statische IP-Adresse ist eine IP-Adresse, die komplett ohne DHCP konfiguriert wird, also direkt am Gerät selbst.

konfigurieren auf den Druckern die eine Feste IP benötigen einfach die Feste IP in der DHCP Range, die FB wird das normalerweise registrieren und diese Adresssen aufgrund von Kollision von der Vergabe ausschließen solange die Geräte aktiv sind.

Nein, nein, nein! NIEMALS statische IP-Adressen innerhalb des DHCP-Bereichs anlegen! Zwar prüfen die meisten DHCP-Implementierungen vor der Zuteilung einer IP mittels ping ob die Adresse bereits belegt ist, aber das ist nur eine Momentaufnahme und mitnichten zuverlässig. Statische IPs daher immer außerhalb des DHCP-Bereichs anlegen!

@hannes360 : Bitte setze dich zuvor aber mit dem Administrator der Firma in Verbindung, weil du nicht einfach so irgendwelche IP-Adressen einstellen kannst, egal ob inner- oder außerhalb des DHCP-Bereichs. Im Zweifelsfalle legst du damit ein System der Firma lahm. Der Admin kann dir den DHCP-Bereich und verfügbare IP-Adressen nennen.

Ich habe noch eine alte Fritzbox (5390?), die ich einsetzen könnte, weiss aber nicht, wie ich diese konfigurieren muss.

Sofern diese Fritzbox über einen WAN-Port verfügt oder ggfs nach Konfiguration zB LAN1 als WAN nutzen kann, wäre das eine Möglichkeit, ein untergeordnetes Netzwerk innerhalb des Firmennetzwerks zu erstellen. AVM beschreibt recht detailliert wie das geht: FRITZ!Box als kaskadierten Router einrichten
Die bedienenden PCs und die Drucker müssen dabei natürlich alle direkt mit dieser Fritzbox verbunden werden, weil ein Zugriff vom Firmen-Netzwerk durch deine Fritzbox hindurch von der Firewall geblockt wird. Für deine Fritzbox ist das Firmen-Netzwerk dann nämlich quasi "das böse Internet".
In diesem Szenario könnte der WAN-Port deiner Fritzbox einfach auf DHCP stehen bleiben und der Admin muss sich um nichts kümmern.

Ergänzung (29. Juni 2022)

Sofern die Fritzbox der Firma mit Standard-IP konfiguriert ist (192.168.178.1), musst du jedoch die lokale IP-Adresse (LAN/WLAN) deiner Fritzbox anpassen, zB auf 192.168.1.1. Sonst gibt es einen Konflikt zwischen WAN- und LAN-Port, weil beide im selben Subnetz liegen.

 

[hannes360]

@Raijin Danke! Das hilft

Das fremde Netz möchte ich selbstverständlich nicht lahmlegen! Ich gucke mir das WAN an, sowas in der Art meinte ich mit dem Subnetz..

Und ja: ich klopfe mal beim Admin an..

Merci!

 

[xxMuahdibxx]

Einfach ein Subnetz aufmachen mit der eigenen Fritte über den WAN Port ... mit anderen IP Ranges ... was auch besser ist dann sind deine PC´s und Drucker nicht von der anderen Firma her einsehbar !

anderweitig was für ein Switch ist das ... wenn der VLAN kann oder ein Managed Switch ist könnte der das auch am Ende.

 

[Raijin]

Wenn du deine Fritzbox wie beschrieben als kaskadierten Router einstöpselst, ist sie WAN-seitig für den Admin der Firma nichts anderes als ein x-beliebiger Client. Das heißt du kannst den WAN-Port auf DHCP belassen und der Admin hat nichts weiter zu tun. Informieren solltest du ihn natürlich dennoch damit er wenigstens weiß was da passiert. Ob er anschließend für deine Fritzbox eine Reservierung im DHCP anlegt oder nicht, ist egal.


Wichtig ist wie gesagt die korrekte Konfiguration des lokalen Netzwerks deiner Fritzbox.

Schlecht:
Firmen-Fritzbox (LAN) : 192.168.178.1
Deine-Fritzbox (LAN) : 192.168.178.1

Gut 1:
Firmen-Fritzbox (LAN) : 192.168.178.1
Deine-Fritzbox (LAN) : 192.168.1.1

Gut 2:
Firmen-Fritzbox (LAN) : 192.168.1.1
Deine-Fritzbox (LAN) : 192.168.178.1

 

[hannes360]

„anderweitig was für ein Switch ist das ... wenn der VLAN kann oder ein Managed Switch ist könnte der das auch am Ende.“

So ein grosser, schwarzer
Keine Ahnung, vor 10 Jahren gekauft..

Da waren ja jetzt schon ausreichend und sehr hilfreiche Hinweise, wie es gehen sollte

Vielen lieben Dank!

Ich bin erst morgen mittag wieder in der Firma, dann versuche ich das mal umzusetzen und melde gerne dann Erfolg oder komme mit neuen dummen Fragen

Dank euch!!!

Hannes

 

[SSD960]

Das kann doch nicht so schwer sein den Drucker eine Feste IP zu geben aus dem unteren. Warum eine zweite Fritzbox. Was für ein Aufwand...

 

[hannes360]

Wenn man nicht auf die Adminseite des DHCP-Servers, also der FritzBox kommt, schon..
Am Drucker selber natürlich nicht, das geht in 3 Sekunden. Aber diese Vergabe dem DHCP-Server mitzuteilen ist halt "schwierig" in diesem Fall. Der Admin sitzt in einer anderen Stadt und es ist nur eine Zweigstelle, wo ich untermiete. Meine Intension war einfach, den Aufwand für den Vermieter so gering wie möglich zu halten und möglichst nichts oder so wenig wie möglich an seinem Netz zu ändern..

 

[Sturmwind80]

Ich sehe es eher als kritisch an, dass du mit deinem Netzwerk scheinbar im gleichen Netzwerk der "fremden" Firma bist. Das ist nicht wirklich optimal für beide Seiten.

Ohne mit dem Admin zu sprechen, solltest du auch keine festen IP Adressen für deine Drucker vergeben, da du ja gar nicht wissen kannst, ob die IP Adressen schon bei der anderen Firma vergeben sind.

Daher sehe ich das mit der zweiten Fritz.Box auch als sinnvoll an.

Ergänzung: Oder hab ichs falsch verstanden und du hängst alleine an der Fritz.Box und hast nur keinen Zugriff?

 

[hannes360]

Nein, das hast du völlig richtig verstanden und ja, der Zugang über die zweite FritzBox erscheint mir auch sauberer = besser für alle Beteiligten. Wie erwähnt, ist kein "heimlicher" Zugriff, nur eben möglichst wenig invasiv. Ich teste das morgen..

 

[M-X]

Das kann doch nicht so schwer sein den Drucker eine Feste IP zu geben aus dem unteren. Warum eine zweite Fritzbox. Was für ein Aufwand...

Weil man von außen nicht wissen kann was der DHCP Bereich ist ? Wenn der Admin den Bereich von 2-254 definiert hat, hast du im zweifel immer mögliche Probleme mit Konflikten...

ich würde auch die zweite Fritzbox nutzen und dadurch auch dein Netzwerk von dem der Fremdfirma trennen. Das ist nämlich sowieso ein fragliches Setup das ihr euch das anscheinen ohne seperierung teilt...

 

[Raijin]

Um die Netzwerke sauber zu trennen, sollte man gar darüber nachdenken, die zweite Fritzbox an LAN4 der Internet-Fritzbox anzuschließen und diesen als Gast-Netzwerk definieren. So ist gewährleistet, dass beide Netzwerke voneinander getrennt sind.

Bei einer simplen Routerkaskade über das normale LAN der Internet-Fritzbox ist nämlich nur eine Richtung durch die Firewall reglementiert, Firmen-Netz --||||--> Drucker-Netz. Andersherum hat man nach wie vor vollen Zugriff, also Drucker-Netz -----> Firmen-Netz.

Die Gastfunktion der Internet-Fritzbox würde dies verhindertn, weil sie eine Firewall zwischen Haupt- und Gastnetzwerk hat.

Also so:

www
|
(WAN)
InternetFritzbox (LAN1-3 + WLAN) ---- Firmennetzwerk
(LAN4 als Gast)
|
(WAN)
DruckerFritzbox (LAN1-4 + WLAN) ---- Druckernetzwerk

So ist sichergestellt, dass die Firma nicht auf dein Druckernetzwerk zugreifen kann und andersherum kannst du aus dem Druckernetzwerk nicht auf das Firmennetzwerk zugreifen. Selbst wenn ihr euch "vertraut", solltet ihr mit sowas nämlich vorsichtig sein. Wenn irgendwas im Firmennetzwerk passiert, zeigen nämlich erstmal alle auf dich...

 

[Sebbi]

Nein, nein, nein! NIEMALS statische IP-Adressen innerhalb des DHCP-Bereichs anlegen! Zwar prüfen die meisten DHCP-Implementierungen vor der Zuteilung einer IP mittels ping ob die Adresse bereits belegt ist, aber das ist nur eine Momentaufnahme und mitnichten zuverlässig. Statische IPs daher immer außerhalb des DHCP-Bereichs anlegen!

DAS ist nicht korrekt, denn jede standardmäßige DHCP Server Implementierung sperrt automatisch die IP eines Clients zur Vergabe für eine gewisse Zeit, wenn dieser mit einer statisch konfigurierte IP ankommt. Diese wird er dann nur regelmäßig anfragen dann, ob diese noch belegt ist.
Wenn die IP schon vergeben ist, wird das statische Gerät in dem Netzwerk auch immer gewinnen, da ein Adresskonflikt erkannt wird und sich dann DHCP Geräte eine neue IP vom Server holen.

Du hast zwar recht das das ganze nicht sauber ist, aber es funktioniert zumindest temporär.
Außerdem wenn die Fritzbox DHCP Server spielt, ist es eh fraglich, wie sauber das Netzwerk konfiguriert ist.

Im Bezug auf die Datensicherheit ist eigenes Netzwerksegment via der alten FB an der FB der Vermieterfirma vorzuziehen.

 

[SSD960]

@M-X Deshalb hatte ich vorher geschrieben: Nachfragen

 

[Raijin]

DAS ist nicht korrekt, denn jede standardmäßige DHCP Server Implementierung sperrt automatisch die IP eines Clients zur Vergabe für eine gewisse Zeit, wenn dieser mit einer statisch konfigurierte IP ankommt. Diese wird er dann nur regelmäßig anfragen dann, ob diese noch belegt ist.

Dem widerspreche ich auch in keinster Weise. Der Knackpunkt ist aber nun mal "für eine gewisse Zeit". Sollte der DHCP die fragliche IP erneut vergeben wollen, aus welchen Gründen auch immer (zB Pool voll + Recycling abgelaufener Leases, etc) und bei der folgenden Überprüfung der Ping ins Leere laufen, weil das Gerät mit der statischen IP in diesem Moment ausgeschaltet ist oder aus anderen Gründen nicht (mehr) auf den Ping reagiert, gilt diese IP-Adresse im Pool wieder als verfügbar.

Statische IP-Adressen innerhalb des DHCP-Bereichs bergen immer das Risiko eines Konflikts, weil man im Zweifelsfalle keinen Einblick in den Prozess der Vergabe im DHCP-Server bzw in die Konfiguration des fraglichen Clients hat.