ComputerBase Menü
Aktuelles

Routerkaskade - Zugriff von außen auf zweiten Router

G

Gobaba

Cadet 3rd Year
Registriert
Apr. 2020
Beiträge
33
Hallo Zusammen,

vielleicht könnt ihr mir bei folgendem Thema helfen :)

Als Mieter einer Doppelhaushälfte haben wir leider keinen eigenen Internetanschluss. Es wurde nur ein LAN-Kabel von der ersten Fritzbox zu uns gelegt.
Da ich nicht will, dass die anderen auf meine Geräte sehen und zugreifen können, habe ich eine zweite Fritzbox 4060 über den WAN-Port angebunden und einen neuen IP-Bereich definiert. Zudem auch dadurch das WLAN ermöglicht mit einem zusätzlichen Verstärker.
Aufbau:

Internet => Fritzbox 1 (192.168.178.x) => Fritzbox 4060 (192.168.145.x) => meine Endgeräte

Jetzt habe ich jedoch aktuell das Problem, z. B. bei der Playstation von unterwegs nicht mehr auf Remote Play zugreifen zu können.
Im eigenen Netz funktioniert der Zugriff, von außerhalb habe ich das Gefühl, dass der Zugriff geblockt wird, da er hinter dem zweiten Router hängt.

Testweise hab ich bei meiner Fritzbox 4060 die Playstation als Exposed Host eingestellt, jedoch auch ohne Erfolg.
Neben der Playstation vermute ich, dass ich auch von außerhalb Probleme auf Zugriff der Hue-Bridge oder Smarthome-Geräte etc. haben werde.

Habt ihr vielleicht eine Idee?

Vielen Dank vorab!
 
Gobaba schrieb:
Testweise hab ich bei meiner Fritzbox 4060 die Playstation als Exposed Host eingestellt
Zum Vergrößern anklicken....
Das hilft Dir wenig, wenn schon der Haupt-Router (Fritzbox 1) von außen alles blockiert. Alle benötigten Ports müssen auf beiden Router geöffnet werden.
 
Du könntest entsprechende Freigaben auf der Fritzbox 1 einrichten.. also Ports öffnen und Fritzbox 2 als Ziel eintragen. Und dort wieder das gleiche Spiel. Ob das so funktioniert weiß ich allerdings nicht... wäre jedoch das was ich zumindest mal probieren würde.
 
Aber.. Wenn du das Zeug nach außen exposen willst. Gerade bei dem ganzen Sicherheitsalptraum, der sich IOT nennt, Tunnel das bitte durch ein vpn. Die äußere fritzbox muss dann nur die benötigten ports für, beispielsweise wireguard, exposen und ab da geht's ins interne Netz
 
  • Gefällt mir
Reaktionen: redjack1000 und Korben2206
Gobaba schrieb:
Da ich nicht will, dass die anderen auf meine Geräte sehen und zugreifen können, habe ich eine zweite Fritzbox 4060 über den WAN-Port angebunden und einen neuen IP-Bereich definiert.
Zum Vergrößern anklicken....
Wenn der Nutzer der Fritzbox1 das auch so sieht, habt Ihr ein Problem. Denn Du kommst noch immer problemlos auf alle Geräte des 192.168.178.0/24 Netzes.
 
Ja gut, auch das kann man lösen. Müssen halt beide 2 Router hinter einander klemmen und sich den äußeren teilen. Ein bisschen dmz hat noch niemandem geschadet :D

Oder man klemmt gleich einen Router für Erwachsene dran und teilt die Netze auf
 
madmax2010 schrieb:
Oder man klemmt gleich einen Router für Erwachsene dran und teilt die Netze auf
Zum Vergrößern anklicken....
Geht auch mit Spielzeug: Die zweite FB an LAN4 der ersten und Gastzugang aktivieren ;)
Nur Portfreigaben werden dann schwierig.

Aber schon richtig, anstatt der 4060 wäre ein Router mit anständiger Firewall besser geeignet, um die Netze sauber zu trennen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: madmax2010
Vielen Dank für die zahlreichen Antworten :)
Ist bloß komisch, vorher hatte ich auch nie Probleme, wenn nur eine Fritzbox im System hing. Freigaben wurden auch nicht manuell eingerichtet, daher habe ich gehofft, dass ich einfach so durchkomme.

Aktuell komme ich nicht auf die erste Fritzbox drauf, da müsste ich dann um Erlaubnis fragen. Daher suche ich nach einer Lösung um das bei einer Sitzung abzuschließen :D
Mit einem eigenen VPN habe ich noch nicht gearbeitet. Glaube da habe ich dann aber auch das Problem, dass ich nicht über die Remote Apps drauf zugreifen kann.

till69 schrieb:
Wenn der Nutzer der Fritzbox1 das auch so sieht, habt Ihr ein Problem. Denn Du kommst noch immer problemlos auf alle Geräte des 192.168.178.0/24 Netzes.
Zum Vergrößern anklicken....
Das ist dann nicht mehr mein Problem :D :D Aber den anderen Nutzern ist die Konfiguration unwichtig.

Scheint wohl am einfachsten zu sein, die Geräte die ich von außen erreichen will. An der ersten Fritzbox zu belassen und nicht erst hinter der zweiten durchschleuse. "Wenn die bestehende Konfiguration es ermöglicht".
 
Ja, leider wahr :)

Da jeder Anbieter unterschiedliche TCP und UDP-Ports benötigt, müsste ich ja zahlreiche Ports freigeben.
Wie würde die Konfiguration dann aussehen? Am Beispiel TCP 1935
In FB1 den Port 1935 freigeben, und in FB2 dann ebenfalls 1935 eintragen?

In meinem FB2 habe ich für die Geräte bspw. angekreuzt, dass sie die Port selbständig freigeben können.
Das geht wohl für FB1 nicht, da die ja meine Endgeräte nicht kennt.

Macht der ganze Aufbau dann noch überhaupt Sinn? Im Endeffekt sollen die Geräte vor dem Nachbar-Netz getrennt sein, jedoch auch im Internet ersichtlich werden... :D
 
Gobaba schrieb:
Das geht wohl für FB1 nicht, da die ja meine Endgeräte nicht kennt.
Zum Vergrößern anklicken....
UPnP ist schon eine Möglichkeit. Die Ports in FB1 müssen ja alle auf die WAN-IP deiner 4060 geleitet werden.
 
Gobaba schrieb:
Wie würde die Konfiguration dann aussehen? Am Beispiel TCP 1935
In FB1 den Port 1935 freigeben, und in FB2 dann ebenfalls 1935 eintragen?

In meinem FB2 habe ich für die Geräte bspw. angekreuzt, dass sie die Port selbständig freigeben können.
Zum Vergrößern anklicken....
FB1: Portweiterleitung für TCP 1935 an WAN-IP der FB2
FB2: Portweiterleitung für TCP 1935 an lokale IP des Ziels

Die "selbständige Freigabe" nennt sich im übrigen UPnP. Auch wenn das sehr komfortabel sein mag, gilt es als Sicherheitsrisiko, da auch Malware auf diese Weise Portweiterleitungen einrichten kann. Wenn du genau weißt welche Ports du benötigst, solltest du UPnP ausschalten und explizite Portweiterleitungen anlegen.



Gobaba schrieb:
Im Endeffekt sollen die Geräte vor dem Nachbar-Netz getrennt sein, jedoch auch im Internet ersichtlich werden...
Zum Vergrößern anklicken....
In einer Routerkaskade mit 2 Routern ist dies nur einseitig gegeben. Die Firewalls der Fritzboxxen schützen lediglich ihr eigenes lokales Netzwerk vor unerwünschten Zugriffen von der WAN-Seite. Andersherum ist die Firewall offen.

www <-- FB1 <-- Nachbarnetz <-- FB2 <-- DeinNetz
<-- in diese Richtung sind alle Zugriffe erlaubt, also von DeinNetz auf www, aber eben auch auf das Nachbarnetz

www -->| FB1 --> Nachbarnetz -->| FB2 --> DeinNetz
--> in diese Richtung blockiert FB1 den Zugriff vom www auf das Nachbarnetz und somit auch auf FB2. FB2 blockt wiederum den Zugriff vom Nachbarnetz auf DeinNetz.


In der aktuellen Konstellation kann du also auf das Netzwerk des Nachbarn zugreifen, aber der Nachbar kann nicht auf dein Netzwerk zugreifen - aber: Portweiterleitungen in FB2 sind natürlich auch aus dem Nachbarnetzwerk aus nutzbar. Für FB2 sind www und Nachbarnetz ein und dasselbe, Fernzugriff via Portweiterleitung aus dem Internet ist also dasselbe wie "Fern"zugriff aus dem Nachbarnetz.

Von so einem Setup würde ich grundsätzlich abraten. Wenn man sich unbedingt einen Internetanschluss teilen möchte, sollte man die Netzwerke wenigstens sauber trennen. Entweder bewerkstelligt man das mit einem fortgeschrittenen Router, der mit ausreichend Schnittstellen bzw. VLANs ausgerüstet ist, oder aber man richtet eine 3-fach-Routerkaskade ein. Dabei bekommt jede Haushälfte quasi eine FB2 und die FB1 aka Internet-Fritzbox ist einzig und allein für die Internetverbindung da. Das sieht dann so aus:

www
|
(WAN)
InternetFritzbox
(LAN+WLAN)
|
| (gemeinsam nutzbares Netzwerk, zB für IP-Kamera Carport, o.ä.)
|
+-- (WAN) FritzboxHälfte1 (WLAN+LAN) -- HausHälfte1
+-- (WAN) FritzboxHälfte2 (WLAN+LAN) -- HausHälfte2

Mit diesem Setup sind beide Netzwerke voneinander getrennt, in beide Richtungen.
 
  • Gefällt mir
Reaktionen: Gobaba
Raijin schrieb:
in diese Richtung sind alle Zugriffe erlaubt, also von DeinNetz auf www, aber eben auch auf das Nachbarnetz
Zum Vergrößern anklicken....
Es ist ja nicht gesagt, dass der Nachbar es nicht genau gleich macht und sein Heimnetz ebenfalls durch einen zusätzlichen Router abschirmt.
Das ist ja erstmal nur eine Annahme.

Gobaba schrieb:
Neben der Playstation vermute ich, dass ich auch von außerhalb Probleme auf Zugriff der Hue-Bridge oder Smarthome-Geräte etc. haben werde.
Zum Vergrößern anklicken....
Generell würde ich dir raten auf deiner Fritzbox oder in deinem Netz einen VPN Server einzurichten und die benötigten VPN Ports durch die erste Fritzbox (und ggf. durch deine) zu tunneln.
 
  • Gefällt mir
Reaktionen: Gobaba und Raijin
h00bi schrieb:
Es ist ja nicht gesagt, dass der Nachbar es nicht genau gleich macht und sein Heimnetz ebenfalls durch einen zusätzlichen Router abschirmt.
Das ist ja erstmal nur eine Annahme.
Zum Vergrößern anklicken....
In der Tat :schluck:
 
Beste Lösung wäre eigentlich deinen Vermieter zu überzeugen das die aktuelle Situation Müll ist (ein Anschluss für beide Wohnungen).
Ich würde mich auch mal schlau machen ob man nicht Anspruch auf einen eigenen, dedizierten Anschluss hat... immerhin, wie du ja auch schon bemerkt hast, ist die momentane Lösung nicht besonders Datenschutzkonform...
 
Korben2206 schrieb:
Ich würde mich auch mal schlau machen ob man nicht Anspruch auf einen eigenen, dedizierten Anschluss hat...
Zum Vergrößern anklicken....
Hat man. Telefonleitung ist gesetzlich Pflicht, darüber gehen dann mind. 6 Mb/s. Nicht rosig, aber was eigenes.
 
  • Gefällt mir
Reaktionen: Gobaba
Raijin schrieb:
FB1: Portweiterleitung für TCP 1935 an WAN-IP der FB2
FB2: Portweiterleitung für TCP 1935 an lokale IP des Ziels

Die "selbständige Freigabe" nennt sich im übrigen UPnP. Auch wenn das sehr komfortabel sein mag, gilt es als Sicherheitsrisiko, da auch Malware auf diese Weise Portweiterleitungen einrichten kann. Wenn du genau weißt welche Ports du benötigst, solltest du UPnP ausschalten und explizite Portweiterleitungen anlegen.
Zum Vergrößern anklicken....
Hey, das wird wohl die Lösung werden.
Dann frage ich nach dem Zugang zur FB1 und trage die benötigten Ports ein.
Kann man theoretisch auf FB1 UPnP zu meiner WAN-IP aktivieren und bei der FB2 alles sperren, was nicht benötigt wird?

h00bi schrieb:
Es ist ja nicht gesagt, dass der Nachbar es nicht genau gleich macht und sein Heimnetz ebenfalls durch einen zusätzlichen Router abschirmt.
Das ist ja erstmal nur eine Annahme.
Zum Vergrößern anklicken....
Klar, das kann auch sein. Da stecke ich leider nicht drin. Möglich ist es.

h00bi schrieb:
Generell würde ich dir raten auf deiner Fritzbox oder in deinem Netz einen VPN Server einzurichten und die benötigten VPN Ports durch die erste Fritzbox (und ggf. durch deine) zu tunneln.
Zum Vergrößern anklicken....
Hört sich gut an, muss ich mich mal mit auseinandersetzen.


Mit einem eigenen Anschluss hätte die Problematik auch erst garnicht existiert 🙄
Jedoch war das wohl damals beim Bau so geplant und erst nachträglich in zwei Hälften getrennt. Habe auch gehört, dass es möglich ist, sich von der Telekom eine Leitung verlegen zu lassen. Jedoch will ich mir das nicht direkt mit den Vermietern verscherzen und nehme das erstmal so hin.
 
Acanthophis schrieb:
Telefonleitung ist gesetzlich Pflicht
Zum Vergrößern anklicken....
"Telefonleitung" meint die Möglichkeit ein festnetzähnliches Telefon zu betreiben. Das geht auch per LTE VOIP.
Es gibt keine Pflicht für eine klassische Kupferdoppelader.
 
  • Gefällt mir
Reaktionen: bender_
@h00bi

Ich will mich ungern streiten, zumal ich keine (volle) juristische Ausbildung habe und ich mich anmaße zu behaupten, dass du ebenfalls diese nicht besitzt.

Vielleicht habe ich mich auch falsch ausgedrückt.
Ich meinte lediglich, dass ein Übergabepunkt einem Mieter per Gesetz Rechtsprechung zusteht, andernfalls hat die Mietwohnung einen Mangel.


Denn der Übergabepunkt für das Telefonfestnetz gehört zu den Mindestanforderungen, die Wohnraum erfüllen muss. Besteht kein Telefonanschluss, gilt die Wohnung als mangelhaft und hat der Mieter laut Paragraf 535 des Bürgerlichen Gesetzbuches (BGB) Anspruch darauf, dass dieser Mangel beseitigt wird.
Zum Vergrößern anklicken....
http://www.recht-einfach.info/ratge...und-pflichten/telefonanschluss-und-fernsehen/


Mieter haben – sofern nicht ausdrücklich etwas anderes vereinbart ist oder eine besonderer Nutzungszweck besteht -, Anspruch darauf, dass ihnen Anschlüsse für Telekommunikation zur Verfügung stehen. Der Vermieter hat dem Netzbetreiber gegenüber die erforderlichen Erklärungen abzugeben und das Anbringen der notwendigen Zuleitungen am Haus zu gestatten (LG Berlin, Urteil vom 12.09.2014 – 63 S 151/14).
Zum Vergrößern anklicken....
https://www.mietrechtslexikon.de/a1lexikon2/t1/telefon.htm


Das Vorhandensein eines Hausanschlusses bzw. eines Anschlusses bis zur Verteilerdose in der Wohnung gehört hingegen zum vertragsgemäßen Standard einer Wohnung.
Besteht kein Anschluss, so ist der Vermieter dazu verpflichtet den vertragsgemäßen Zustand herzustellen und die Bereitstellung des Anschlusses zu veranlassen. Die Kosten hierfür trägt der Vermieter, eine Aufbürdung auf den Mieter ist nicht zulässig - weder für den Anschluss an das Haus noch bis zur Verteilerdose in die Wohnung.
Zum Vergrößern anklicken....
https://www.anwaltonline.com/mietrecht/tipps/1273/telefon--und-internetanschluss



Klar kann man auch über LTE VoIP, und damit Telefon, realisieren, aber darum geht es nicht. Es geht um die physikalische Leitung samt Übergabepunkt. Nicht um das "Telefonieren können".

Ich lasse mich aber gerne belehren, sollte ich hier was durcheinander bringen.




Edit: Gesetz durch Rechtsprechung abgeändert
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Grimba
Nextcloud: VPN vs. Portforwarding + Routerkaskade
Antworten
11
Aufrufe
559
qiller
Q
L
Einbindung einer IP Kamera ins Heimnetz mit eingeschränktem Zugang
Antworten
15
Aufrufe
584
norKoeri
N
jojo R
Zugriff auf LTE Fritzbox möglich?
Antworten
9
Aufrufe
779
norKoeri
N
E
Zweiten Router hinter Fritzbox anhängen (Asus Router Ac68u DSL)
Antworten
11
Aufrufe
1.236
SaxnPaule
SaxnPaule
coffee4free
News Ubiquiti: Nutzer hatten Zugriff auf fremde Router und Kameras
2 3 4
Antworten
62
Aufrufe
5.303
ReactivateMe347
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz