Kann den Openwrt Router nicht aus dem Netzwerk der Fritzbox aufrufen.

[tcash]

Hallo,

ich habe mich nach langer Pause, mal wieder mit dem einbinden eines Openwrt Routers ins Heimnetz beschäftigt.
Meine Fritzbox 7490 läuft als DSL/Router mit DHCP. IP Adresse der Fritzbox ist die 192.20.20.1

IP4 Netzwerk: 192.20.20.0
Subnetzmaske: 255.255.255.0
Gateway: 192.20.20.1


Dazu habe ich noch einen Openwrt Router als Erweiterung eingebunden mit der IP Adresse 192.20.22.1

IP4 Netzwerk: 192.20.22.0
Subnetzmaske: 255.255.255.0
Gateway: 192.20.20.11

Der Openwrt Router ist über Wan mit der Fritzbox verbunden und der Wan Port hat von der Fritzbox, die IP Adresse 192.20.20.11 bekommen.
Dazu habe auf der Fritzbox, noch eine statische IP4 Route eingetragen.

IP4 Netzwerk: 192.20.22.0
Subnetzmaske: 255.255.255.0
Gateway: 192.20.20.11

Auf den Openwrt Router habe ich als Gateway die Wan Adresse der Fritzbox 192.20.20.11 eingetragen und es läuft Wireguard und damit kommen ich auch ins Internet.
Eigentlich läuft alles, wie es soll bis auf eine Ausnahme. Ich komme zwar vom Openwrt Netzwerk (192.20.22.0/24) auf die IP Adresse der Fritzbox (IP 192.20.20.1). Aber ich komme nicht aus dem Fritzbox Netzwerk 192.20.20.0/24 auf die IP Adresse des Openwrt Routers (192.20.22.1). Ich erhalte immer die Fehlermeldung Fehler: Verbindung fehlgeschlagen. Aus dem Netzwerk der Fritzbox funktioniert traceroute zum Openwrt Router und auch der Ping dahin funktioniert.

traceroute 192.20.22.1
traceroute to 192.20.22.1 (192.20.22.1), 30 hops max, 60 byte packets
1 fritz.box (192.20.20.1) 2.069 ms 2.107 ms 2.718 ms
2 192.20.22.1 (192.20.22.1) 4.526 ms 5.837 ms 8.669 ms

ping 192.20.22.1
PING 192.20.22.1 (192.20.22.1) 56(84) bytes of data.
From 192.20.20.1: icmp_seq=1 Redirect Host(New nexthop: 192.20.20.11)
64 bytes from 192.20.22.1: icmp_seq=1 ttl=64 time=4.58 ms

Ich suche mir schon seit Tagen den Wolf und komme einfach nicht weiter. da ich im Openwrt Router als Gateway die 192.20.20.11 eingetragen habe, sollte ich doch auch wieder zurück kommen. Über etwas Hilfestellung würde ich mich sehr freuen.

 

[Helge01]

IP4 Netzwerk: 192.20.20.0

Du betreibst dein privates Netzwerk mit öffentlichen IPv4 Adressen? Änder das lieber mal schnell in den richtigen Bereich 192.168.0.0 bis 192.168.255.255.

 

[redjack1000]

Wie ist denn die Firewall auf dem OpenWRT eingerichtet, das Netzwerkwerk das betriebst ist kein privates, das solltest du ändern.

CU
redjack

 

[drago1401]

löschen bitte - sorry

 

[riversource]

Das mit den öffentlichen IPs wurde dir ja schon gesagt. Und dann vermute ich, dass der OpenWRT als NAT Router arbeitet. Das darf natürlich nicht sein, wenn die Netze sich gegenseitig erreichen sollen. Andererseits: Wenn sie das sollen, warum dann die Trennung in 2 Netze?

Fazit: Das Setup macht so keinen Sinn.

 

[till69]

Aber ich komme nicht aus dem Fritzbox Netzwerk 192.20.20.0/24 auf die IP Adresse des Openwrt Routers

Firewall von OpenWRT ausschalten

 

[drago1401]

die frage ist, wer was sehen soll oder getrennt sein soll.
ich hätte einen managebaren switch genommen, der auch routen kann.

 

[snaxilian]

Entweder Holzhammermethode und Firewall des openwrt deaktivieren oder einfach die Firewall des openwrt korrekt konfigurieren. Standardmäßig wird diese nämlich keine Zugriffe von "extern", also vom WAN Port ankommend, erlauben.

 

[tcash]

Danke an alle für die Hilfestellung und die Tipps. Als erstes werde ich meine IP Adressen ändern und mein Setup überdenken. Auch die Firewall am openwrt Router steht zur Disposition.

 

[Redundanz]

du musst in der openwrt firewall config wan > lan forwarden:

config forwarding
        option src 'wan'
        option dest 'lan'

und du musst für die wan zone masquerading ausschalten.

dass du im heimnetzwerk public ips verwendest ist solange kein problem bis du mal zufällig eine dns reply aus dem internet mit einer deiner heim-ips bekommst. dann kommst du halt nicht raus aus deinem netz.
solange du einen consumer-anschluss hast und nicht die kontrolle über deine isp public-ip, kannst du überall alles eintragen was du möchtest und hast im zweifel halt mal pech wenn ein webserver oder ein gameserver den du erreichen willst genau eine deiner ips hat.

 

[Raijin]

Bitte keine "ist im Heimnetzwerk kein Problem" Aussagen. RFC1918 sieht bestimmte Bereiche für private Netzwerke vor und die sollte man tunlichst einhalten, auch wenn man womöglich niemals im Leben tatsächlich in eine Konfliktsituation kommt. Diese Bereiche sind ja gerade dafür da, dass sowas gar nicht passieren kann.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Da kann man sich nach Belieben austoben, weil diese Bereiche für private Netzwerke reserviert sind. Sie werden also niemals im Internet auftauchen. Selbst wenn man außerhalb dieser Bereiche vielleicht nie auf Probleme stößt, bitte trotzdem daran halten, weil das Damokles-Schwert über dem Kopf geduldig sein kann

Übrigens: Spätestens dann, wenn man sich von außen via VPN in das Heimnetzwerk verbinden will, sollte man in den obigen Bereichen kreativ werden. Also nicht einfach gleich das erste /24er Subnetz nehmen.

 

[tcash]

@Redundanz danke, dass mit dem forwarding werde ich mal testen. Aber erstmal muss ich meine beiden Router anpassen, wegen den öffentlichen Adressbereich und dann mein ganzes Setup überdenken. Da habe ich noch jede Menge Arbeit.

@Raijin danke, ich werde dann den Adressbereich 172.30.30.0 und 172.30.31.0 verwenden, so da ich sauber bin.

 

[Redundanz]

Bitte keine "ist im Heimnetzwerk kein Problem" Aussagen.

natürlich tätige ich diese aussage, sie entspricht ja meiner ansicht.

 

[Raijin]

Zum einen war es nur eine Bitte und zum anderen wirken solche Aussagen unseriös. Weißt du welche Webseiten/Server/Dienste in 192.20.20.0/24 bzw 192.20.21.0/24 liegen? Weißt du ob @tcash sie womöglich nutzen möchte (ob bewusst oder unbewusst)? Nein, das weiß ich auch nicht, abgesehen davon, dass beinahe das komplette /16er Subnetz auf AT&T registriert ist, was so ziemlich alles heißen kann.

Die Wahrscheinlichkeit eines Konflikts mit diesen IPs hängt vom individuellen Nutzungsverhalten ab. Wat weiß ich, vielleicht hängt da ein Rechenzentrum drauf, in dem VPN-Dienst xy ein paar Server stehen hat, die man nutzen möchte.

Wahrscheinlichkeiten sind immer so eine Sache. Für den, den es trifft, sind es sozusagen 100%. Wozu sonst Lotto spielen? Weil irgendjemand den Jackpot knackt und wer nicht spielt kann nicht gewinnen - oder andersherum: Wer nur private IPs verwendet, bekommt auch per Definition keine Probleme mit öffentlichen IPs.

 

[SpeedMaxX]

Hallo,
Habe die gleiche Anforderung. Habe einen Gl inet B1300 hinter der FritzBox. Dort läuft WireGuard und tunnelt zwei Geräte, die ich aber gerne wieder aus dem Hauptnetz der Fritte erreichen möchte. Eine Route habe ich angelegt mit der IP des GL-Routers aus dem Hauptnetz als Gateway. Leider reicht das noch nicht aus.
In der Oberfläche des GL-Routers kam ich das Masquerading nicht deaktiviert werden.

Viele Grüße, Markus

 

[Raijin]

Das Masquerading ist hier auch nicht das eigentliche Problem, sondern die Firewall. Durch den WAN-Port kommst du nur durch, wenn du eine Portweiterleitung einrichtest - für jeden Port und jedes Gerät einzeln und unter der Voraussetzung, dass jeder externe Port jeweils nur einmal weitergeleitet werden kann, also entweder an Gerät 1 oder Gerät 2.

Eine Route in das Subnetz des glinet bringt dir also wenig, weil der glinet das komplett wegblockt. Das ginge nur, wenn der glinet WAN -> LAN ungeblockt durchrouten würde. Bei glinet kann man im fortgeschrittenen Modus dee GUI auf das dahinterliegende OpenWRT zugreifen. Dort kann man prinzipiell alles machen. Alternativ über ssh.

 

[SpeedMaxX]

Danke. Dann gehe ich mal zuerst den Schalter für den Experten Modus suchen 🔦 ansonsten nehme ich ssh. Danke!

 

[SpeedMaxX]

Hallo, eine Option im zur Umstellung auf einen Experten-Modus habe ich nicht gefunden ... :-( Falls jemand eine Idee hat, gerne her damit.

Alternativ: Bevor ich via SSH was zerlege => hätte jemand die Befehle parat? Zugriff via SSH habe ich direkt hinbekommen.

Noch eine Frage: Können die Geräte aus dem "Subnetz" dann auch später auf alle Geräte im "Hauptnetz" zugreifen oder ist dazu auch noch was zu konfigurieren?

Danke schon mal vorab - Grüße!

===
Edit: ah, ich glaube, ich müsste LuCi nutzen, richtig? Sehe ich mir heute Abend mal an.

 

[SpeedMaxX]

Ok, habe

• Masquerading deaktiviert
• Input accept
• Output accept
• forward reject

Nun komme ich vom Hauptnetz zur Adminoberfläche, jedoch noch nicht auf die Geräte dahinter.

Was habe ich noch „zu tun“?

 

[Raijin]

INPUT = alles, was das den Router selbst zum Ziel hat
OUTPUT = alles, was vom Router selbst ausgeht
FORWARD = alles, was der Router weiterleitet

forward reject

Beantworte dir die Frage selbst


Es kann dennoch sein, dass die Geräte selbst blockieren. Bei Windows ist es beispielsweise ab Werk so, dass eingehende Verbindungen von außerhalb des eigenen lokalen Subnetzes geblockt werden. Man muss also ggfs die Firewall (eingehend) auf dem Zielgerät so einrichten, dass sie Anfragen aus dem anderen Subnetz zulässt.