Portweiterleitung über 2 Router ohne IP Client

wardog19

Cadet 2nd Year
Registriert
Nov. 2014
Beiträge
20
Hallo,

ich habe folgende Netzwerkkonfiguration:

Mein PC: 192.168.178.58
Mein Router: 192.168.178.1 (FritzBox 4040 PQ)
Hauptrouter: 192.168.188.1 (Fritzbox 7590)

Nun meine Frage, wie kann ich den Hauptrouter am besten einstellen, damit mein Router die Portweiterleitung für sein Netzwerk selber entscheidet?
Leider muss mein Router ein eigenes Subnetz aufbauen, da der Hauptrouter nicht meiner ist, also IP Client fällt leider weg.

Reicht es, wenn ich dafür einfach meinen Router im Hauptrouter als IPV4 Exposed Host einrichte oder Manuell einfach alle Ports freigebe?
Oder bin ich gar komplett auf dem Holzweg?

Denn ich wurde vom Ubisoft Support darauf hingewiesen, das ich eine doppelte NAT habe und würde das gerne optimal einstellen.

Bevor ich nachfrage etwas umstellen zu dürfen, würde ich gerne schon einmal wissen was.


Vielen Dank im Voraus!
 
also erstmal, wozu brauchst du den 2. Router? Nur als verteilung? oder hat dies einen tieferen sinn?

ansonsten wenn das keinen tieferen Sinn hat, wie auch hier (https://www.computerbase.de/forum/t...tarke-pingschwankungen.1854519/#post-22284859) empfohlen die FB 4040 raus, die durch nen Switch ersetzen oder die FB 4040 nur als Switch benutzen (Nur LAN Ports nutzen, IP der FB und von deinen Rechner auf eine aus dem 188er Netz setzen und DHCP der 4040 abstellen und die 7590 alles machen lassen)
 
Exposed Host ist grob gesagt dein Gerät direkt am Internet, ungefiltert vom Hauptrouter.
Edit : Falls du das so umsetzen willst, kontrolliere das deine Firewall wirklich läuft.
 
Sebbi schrieb:
also erstmal, wozu brauchst du den 2. Router? Nur als verteilung? oder hat dies einen tieferen sinn?

Jeder von den beiden Routern soll sein eigenes Netzwerk haben, deswegen ist das so.

Turian schrieb:
Exposed Host ist grob gesagt dein Gerät direkt am Internet, ungefiltert vom Hauptrouter.
Edit : Falls du das so umsetzen willst, kontrolliere das deine Firewall wirklich läuft.

Also wäre das ne Möglichkeit, solange ich bei dem freigegebenen Router dann die Firewall aktiviere?

Ich habe mir das nämlich schon so vorgestellt, das der erste Router alle Anfragen an mein Subnetz einfach weiterleitet und mein Router dann die eigentliche Entscheidung für mein Netzwerk übernimmt.
 
wardog19 schrieb:
Ich habe mir das nämlich schon so vorgestellt, das der erste Router alle Anfragen an mein Subnetz einfach weiterleitet und mein Router dann die eigentliche Entscheidung für mein Netzwerk übernimmt.

und hier ist das problem, das funktioniert nicht, da bei eingehenen Verbindungen von extern nicht bekannt ist, an welches Subnetz die Pakete gehen sollen. Darum funktioniert das auch nicht mit den exposed host.

Wenn dann musst du für diese Anwendung, für die du die Kommunikation benötigst, Portfreigaben in den entsprechenden Bereichen für die eingehenden Verbindungen machen auf beiden Routern.
Von der 7590 auf die IP + gleichen Port der 4040 und von der 4040 auf deinen Rechner mit den entsprechenen Port.

Ausgehende Verbindungen sind kein Problem für das doppelte NAT, da die IP Table beiden NATs dann schon bekannt ist.
 
wardog19 schrieb:
Leider muss mein Router ein eigenes Subnetz aufbauen, da der Hauptrouter nicht meiner ist, also IP Client fällt leider weg.

Wenn du an den Hauptrouter nicht ran kommst geht es eh nicht.
Denn der muss es an deinen Router weiterleiten und der dann an deinen PC.
 
Sebbi schrieb:
Wenn dann musst du für diese Anwendung, für die du die Kommunikation benötigst, Portfreigaben in den entsprechenden Bereichen für die eingehenden Verbindungen machen auf beiden Routern.
Von der 7590 auf die IP + gleichen Port der 4040 und von der 4040 auf deinen Rechner mit den entsprechenen Port.

Ausgehende Verbindungen sind kein Problem für das doppelte NAT, da die IP Table beiden NATs dann schon bekannt ist.

Wenn ich das richtig verstehe, könnte ich dann einfach alle Ports in der 7590 für die IP meiner 4040 freigeben.
In der 4040 wiederum dann die entsprechenden Ports für die IP meines PC's?
Oder muss ich auf der 7590 2x Portfreigaben einrichten, einmal für die 7590 selbst und dann wiederum für die IP der 4040?
Also ist Exposed Host nicht gleich alle Ports freigegeben?

Entschuldigung im Voraus, falls ich mich etwas dumm anstellen sollte ^^
 
wardog19 schrieb:
Wenn ich das richtig verstehe, könnte ich dann einfach alle Ports in der 7590 für die IP meiner 4040 freigeben.

nein, das würde effektiv das das 188er Netz von Internet trennen, da keine Sockets mehr mit entfernten Rechnern gebildet werden könnten. Außerdem wäre das ein Sicherheitsrisiko, da die 4040 eventuell bald EoL geht.
Nein. das muss schon selektiv für jede Anwendung entsprechend passieren.

btw Portfreigaben = Portweiterleitungen / Port forwardung, hatte das etwas verkehrt ausgedrückt
 
Sebbi schrieb:
nein, das würde effektiv das das 188er Netz von Internet trennen, da keine Sockets mehr mit entfernten Rechnern gebildet werden könnten. Außerdem wäre das ein Sicherheitsrisiko, da die 4040 eventuell bald EoL geht.
Nein. das muss schon selektiv für jede Anwendung entsprechend passieren.

Okay verstehe. Schonmal vielen Dank für die Mühe!

Aber mal beispielhaft für Rainbow Six siege müsste ich die entsprechenden TCP/UDP Ports so freigeben:
Fritzbox7590: UDP/TCP Ports an die IP 192.168.188.33 (glaube das ist die IP meiner Box im 188er Netz)
Fritzbox4040: UDP/TCP Ports an die IP 192.168.178.58 (Mein PC)

Oder muss man da auch noch irgendwie die Anwendung selber mit einpflegen?

Würde es eventuell sogar reichen, bei beiden Routern UPNP zu aktivieren oder wird das so auch nichts bringen?
 
also du müsstest unter Portweiterleitungen folgendes einrichten:

die Ports für dein Rainbow Six:

TCP: 13000, 13005, 13200, 14000, 14001, 14008, 14020, 14021, 14022, 14023, 14024
UDP: 6015

Die Ports Weiterleitung auf der FB7590 auf die IP oder besser Hostname der 4040, in deinen Fall weil wohl DHCP aktiv im 188er Netz.

Die Ports Weiterleitung auf der FB4040 auf die IP oder besser Hostname der deines Rechners, in deinen Fall weil wohl DHCP auch aktiv im 178er Netz.

wardog19 schrieb:
Würde es eventuell sogar reichen, bei beiden Routern UPNP zu aktivieren oder wird das so auch nichts bringen?

UPNP bringt in dem Fall NICHTS und ist außerdem ne Sicherheitslücke ohne gleichen, da die 4040 zwar dann selbst die Ports aufmacht, aber das nicht an der 7590 weitergibt
 
Super, vielen Dank!

Was ich nur noch nicht verstehe: Warum ist exposed Host dann nicht möglich?
Weil wären dann nicht alle Ports von der 7590 für die 4040 freigegeben(ohne das es Probleme mit den Sockets gibt) und ich könnte dann mit der 4040 manuell entscheiden, was dann tatsächlich bei den Endgeräten bzw. meinem PC ankommt?

Weil so hätte ich auf jeden Fall eine Lösung, aber müsste bei jeder neuen Anwendung die auch wieder andere Ports benötigt, immer wieder nachfragen ob man mir das einrichten kann.

Aber wenn es mit der Konstellation nicht anders geht, dann werde ich da wohl mit leben müssen.
 
das Problem an der Geschichte ist eher sicherheitsrelavanter Natur. Man macht nicht mehr auf als man sollte um die Angriffsfläche zu minimieren.

Wenn irgendwas schief geht, gerade weil die FB 4040 auch eventuell bald EoL ist und noch ungepatchte Sicherheitslücken da sind, stehst du mit runtergelassener Hose da, weil eben alles offen wie ein Scheunentor ist.
Vorallem da ein Angreifer durchaus auch möglicherweise auf das 188er netz zugreifen kann.



Weiterhin, wenn du schon damit ein Problem hast, das ggf jemand auf einen Rechner zugreift etc so das du schon einen eigenen Router brauchst, dann frage ich mich, ob du dann nicht besser kommst, wenn du einen eigenen Anschluss dir zulegst.

Andersrum musst du aber denjenigen, dem die 7590 gehört soweit vertrauen, das er nicht Man in the Middle spielt und alles mithört an deiner Datenkommunikation.

von daher macht es eigentlich keinen Sinn, solche Netzwerke durch einen 2. Router zu trennen bzw dir keinen zugriff auf die 7590 zu geben durch einen 2. User. Denn du kannst genauso gut Schaden im dem 188er netz, auch wenns durch nen Router getrennt ist und umgekehrt.
Dh. bevor du sowas wie exposed Host machst nur um mit den Anschlussinhaber nicht in Kontakt treten zu müssen oder dir einen eigenen Anschluss zu holen
 
  • Gefällt mir
Reaktionen: wardog19
Okay, dann habe ich da jetzt auf jeden Fall nen klareren Blick.
Werde das dann einfach mal so mitteilen und dann werden wir da wohl eine Lösung finden.

Das es theoretisch keinen großartigen Unterschied macht, war mir garnicht bewusst!
Ich selbst habe da kaum Bedenken. Außer wenn man ausversehen dann mal den falschen Drucker o.ä. auswählt.

Wollte nur nicht direkt (Und ohne Argumente) um Vollzugriff bitten und hätte gerne ne einfache
Lösung bei gleicher Konstellation unter den geschilderten Bedingungen gehabt.

Vielen Dank für die Mühe! Hat mir sehr geholfen!
 
Zurück
Oben