Gastzugang mit 2. Router

[Anno]

Hi Leute,

ich brauche bitte kurz eure Hilfe. Folgende Situation:

- "Hauptrouter" stellt das Internet per WLAN und Kabel für meine Geräte im Netzwerk zur Verfügung. Funktioniert soweit seit Jahren problemlos.
- "Nebenrouter" soll nun einen Gastzugang bereitstellen, der das Netzwerk vom Nebenrouter und Hauptrouter abtrennt. Gäste im Nebenrouter sollen also Internetzugriff haben, aber nicht auf das Netz im Hauptrouter zugreifen können.

Ich habe also ein Kabel an den LAN-Port des Hauptrouters angeschlossen und dieses wiederrum an den WAN-Port des Nebenrouters. Das Internet funktioniert auch soweit.

Meiner Meinung nach müssten die beiden Netze somit getrennt sein.
Hauptrouter: 192.168.0.1
Nebenrouter: 192.168.1.1 (angeschlossen an WAN)

Was ich aber nicht verstehe: Ich bin im Netz des Nebenrouters (meine PC IP: 192.168.1.100) und kann DENNOCH das Webinterface des Hauptrouters mit 192.168.0.1 öffnen. Ist das normal? Habe ich einen Denkfehler?

Vielen Dank

 

[Xanta]

Wieso nicht einfach ein Gastnetz auf dem Hauptrouter einrichten?

 

[Darkblade08]

Und warum macht man das so kompliziert? Eine FritzBox kann ein Gast WLAN bereitstellen. Dort kann man einstellen, dass Geräte im Gast WLAN nicht auf die Geräte im restlichen WLAN zugreifen können. Du kannst sogar die Kommunikation untereinander einschränken, eine Verbindungszeit einstellen etc.

Daher die Frage: Was für ein Modell ist dein "Hauptrouter"?

 

[d2boxSteve]

Du erreichst nur die 192.168.0.1 weil das das default Gateway des Nebenrouters ist. Andere Adressen aus 192.168.0.0/24 würdest du nur erreichen wenn du im Hauptrouter eine Route für das Netz 192.168.1.0/24 auf die WAN IP des Nebenrouters eintragen würdest.
Tust du das nicht sind die Netze "quasi getrennt" weil die Rückroute ins Gastnetz fehlt.

 

[Anno]

Das ist ein TP-Link WDR3600 und hat somit keine Gastzugangsfunktion. Hätte ich natürlich gemacht, sofern die Funktion vorhanden wäre

Ich kann sogar vom Nebenrouter auf den Remotedesktop von Geräten aus dem Hauptrouter zugreifen. Da scheint also etwas nicht zu stimmen bzw. ich habe das nicht verstanden.

 

[Xanta]

Vielleicht hat dein Router automatisch eine Route erstellt.
Evtl. mal diese Einstellungen prüfen.


Edit: Dein Router hat die gewünschte Funktion.

Guest Network Access provides secure Wi-Fi access for guests sharing your home or office network*

 

[Anno]

Vielleicht hat dein Router automatisch eine Route erstellt.
Evtl. mal diese Einstellungen prüfen.


Edit: Dein Router hat die gewünschte Funktion.

Im Interface des Hauptrouter ist keine Route eingetragen. Hab ich gerade nachgeschaut.

Nein, hat er nicht.
Wie kommst du darauf, dass er die Funktion hätte?

 

[Darkblade08]

Hä, dein Router unterstützt doch den Gastzugang
http://ch.tp-link.com/products/details/TL-WDR3600.html#specifications

 

[Xanta]

Da es hier, auf der Schweizer und italienischen Seite steht: http://www.tp-link.com/us/products/details/TL-WDR3600.html

Gibt es vielleicht ein erweitertes Interface?

 

[chrigu]

mhhhhh... "TL-WDR3600.html#specifications" dort steht... gastnetz, 2,4 und 5ghz. je einmal..

 

[Raijin]

Du erreichst nur die 192.168.0.1 weil das das default Gateway des Nebenrouters ist. Andere Adressen aus 192.168.0.0/24 würdest du nur erreichen wenn du im Hauptrouter eine Route für das Netz 192.168.1.0/24 auf die WAN IP des Nebenrouters eintragen würdest.

Hm.. Nö

Wenn am 2. Router das Kabel in den WAN-Port geht, macht der 2. Router NAT, wie der 1. Router auch. Man kann also prinzipiell ALLE Geräte im Haupt-(W)LAN erreichen, weil diese denken, die Anfrage käme von einem Gerät im Haupt-(W)LAN, nämlich Router-2.

Die Trennung von Haupt-(W)LAN und (W)LAN#2 müsste im Hauptrouter passieren. Der darf Anfragen von LAN#2 bzw. von Router#2 (Hauptrouter sieht ja IMMER nur die Router#2-IP als Quelle) nicht ins restliche Netzwerk weiterleiten. D.h. die Firewall muss das blocken. Da aber Router#2 und zB das NAS beide im Haupt-(W)LAN sind und beide am Switch des Hauptrouters angeschlossen sind, kommt die Firewall überhaupt nicht zum Tragen, da der Traffic über den Switch direkt von Port zu Port geht und NICHT durch die Firewall läuft.

Lösung: Wie bereits mehrfach erwähnt ein Gast-(W)LAN. Das bekommt ein separates IP-Subnetz und wird eben doch geroutet bzw. gefirewallt. Dazu muss der Haupt-Router aber an einem LAN-Port den Gastzugang aktivieren können (oder Router#2 wird via Gast-WLAN im WISP-Modus angebunden). Kann der Hauptrouter das nicht, kann man zB einen EdgeRouter-X für 50€ oder auch einen beliebigen OpenWRT/DD-WRT Router als Zwischenstation nehmen und dort entsprechendes Routing bzw. Firewallregeln anlegen..

*edit
Das Default-Gateway in Router#2 sagt ja nur aus, dass er Traffic, der NICHT in seinem Subnetz liegt - zB a.b.c.d für computerbase.de - an den Hauptrouter schicken soll. Traffic, der in seinem Subentz liegt, also im normalen Haupt-LAN, müsste er direkt am Zielgerät abliefern, zB am NAS. Durch besagtes NAT am WAN-Port antwortet das NAS dann Router#2 auf der WAN-IP (=Haupt-LAN-IP) und der wiederum leitet es zurück durch das NAT wieder zum eigentlichen Gerät im Neben-LAN.

 

[Anno]

Leute, vielen Dank. Ich habe soeben ein Firmwareupdate gemacht und nun ist die Funktion Gastzugang vorhanden (Kopf->Tisch).

Erstmal vielen Dank an alle und ich werde mich bei Bedarf nochmal melden.

 

[Raijin]

Kannst du denn den LAN-Port am Haupt-Router wo der Gast-Router angeschlossen ist auch dem Gast-Zugang zuordnen? Oder geht das evtl. nur im WLAN? Das wäre nämlich die entscheidende Frage. Gast-WLAN bringt dir nix, wenn der fragliche Router per LAN angeschlossen ist und der LAN-Port dem Hauptnetzwerk zugeordnet bleibt..

 

[Anno]

Nein, dem Gastzugang kann kein LAN-Port zugewiesen werden. Ist im meinem Fall aber auch nicht nötig, da mir der Gastzugang als WLAN ausreicht und genau meiner Wunschvorstellung entspricht.
Eigentlich sollte aber der Menüpunkt tatsächlich "Guest WLAN Network" heißen und nicht "Guest Network".

 

[Raijin]

ok, das heißt alle Gast-Geräte sind sowieso im WLAN und nix is im LAN? Dann klappt das natürlich wie gewünscht.

Ergänzung (6. März 2017)

Sollten dennoch - jetzt oder später - auch LAN-Geräte betroffen sein, kann man den 2. Router auch im Client-Modus anbinden. Dann loggt der sich im Gast-WLAN ein - der WAN-Port bleibt dann leer - und an seinen LAN-Ports kommt dann ebenfalls das Gast-Netzwerk raus.

Wenn's nur WLAN-Geräte sind und die Reichweite vom Hauptrouter ausreicht, braucht man den 2. Router sogesehen nicht mehr. Nur, wenn man wie gesagt per Client-Modus auch LAN-Geräte ins Gastnetzwerk bringen will oder im Repeater-Modus die Reichweite des Gast-WLANs erweitern will.