nutrix schrieb:
Problem ist, daß Consumer Zeugs und einfache Router wie eine Fritzbox meines Wissens nach sowas wie Reverse-NAT nicht unterstützt, falls man den Rückweg auch braucht. Das könnte dann die zwischengeschaltete HW-Firewall dagegen sehr gut.
Braucht man da unbedingt Reverse NAT?
Ich habe bei mir eine FritzBox als Hauptrouter für Gästenetz und "normale" Geräte und dahinter mein Testnetz.
Das ganze ist noch S2S an eine andere FritzBox gekoppelt.
Außer den passenden Routen mit Gateway ist da eigentlich nicht viel notwendig.
Portweiterleitung mit Doppel NAT ist zumindest über IPv4 auch machbar. Für IPv6 müsste man genau auf die Adressen achten, wäre aber auch machbar.
Für das Beispiel hier wäre es vermutlich am einfachsten das letzte Netz als IPv4 Route in der vorderen FritzBox mit der hinteren FritzBox als Gateway einzutragen und, falls notwendig, auf der hinteren FritzBox die Ports zu öffnen, wobei die als IP Client soweit ich ich erinnere die Firewall eh abschaltet, aber da bin ich nicht 100% sicher.
Die Geräte hinter der hinteren FritzBox kennen die Route zu anderen Geräten, da aller Traffic durch die hintere FritzBox als Gateway läuft und von da ins interne Netz oder über die vordere FritzBox ins Internet, aber die erste FritzBox muss wissen, dass es hinter einem ihrer Clients ein weiteres Netz gibt, da sonst keine Antworten ankommen können.
Dann läuft zwar der Traffic einmal über die Hauptfritzbox, aber das wäre nur ein Problem, wenn die langsam angebunden ist.
Ich hatte z.B. einen Host der über 2,5GBit/s direkt über die 2. FritzBox mit einem weiteren Gerät hätte reden können, aber das andere Gerät wusste nichts von der direkten Route und ist über die hintere FritzBox zur vorderen und wieder zurück gegangen, wodurch max. 1 GBit/s möglich war. Nur wegen Faulheit eine Route zu hinterlegen hatte ich dann asynchrones Routing
//edit: Etwas OT, aber
conf_t schrieb:
Wie du siehst es gibt viele Ideen, wobei statische Route aufgrund des NATs nicht funktionieren wird wie in #2 vorgeschlagen.
Habe selbst 2 Fritzboxen kaskadiert mit jeweils NAT und das lässt sich praktisch ohne viele Einschränkungen nutzen.
Zu deiner Frage: Richte an der inneren Fritzbox eine Portfreigabe ein und Spreche das Gerät mit der IP der hinteren Firtzbox im Hauptnetz plus Port an.
Insgesamt hat man aber meist weniger Trouble, wenn das innerste Netz das Heimnetz /vertrauenswürdgste Netz ist und die äußeren Netze dann z.b. für IoT oder so sind. Das ist auch die best-Pratice, die zigfach in der c't schon wegen sowas durchgekaut wurde. Denn aus den innersten Netzen kommst du unbeschränkt in die äußeren Netze, aber umgedreht halt nur per Portweiterleitung im NAT.
Hier mal als Beispiel, wie ich das betreibe:
Code:
───────────────────────┐ 192.168.103.0/24
│ ┌────────────┐
│ │ │
192.168.3.0/24 │ │ Heizung │ div. Portweiterleitungen
│ NAT │ ┼─────────────────────┐
┌────────────┐ │ ┌───────────────┐ │ Nextcloud │ │
│PC1 │ │ │Fritzbox 7690 │ └────────────┘ ┌──────────┐ ┌──────┐
│ │ ├──────┤ WG-Server ├───────────────────────────────────────│ Fritzbox ┼────────────────────────│ ONT │
│NAS1 │ │ └───────┬───────┘ 192.168.103.2 │ 5690pro │ └──────┘
│ │ │ │ WGuard Portweiterleitung └──────────┘
│Smartphoone │ │ │ Portweiterleitung für Backup NAT
└────────────┘ │ │
│ │
───────────────────────┘ │
│
│
┌────────────────────────────┐ │
│ Gäste WLAN │ │
│ 192.168.189.0/24 │ │
│ ┌───────────────────────┐ │ ──────
│ │ Smarte Rauchmelder │ │
│ │ │ │
│ │ Smarte Wetterstation │ │
│ │ │ │
│ └───────────────────────┘ │
│ │
└────────────────────────────┘
Wie hast du das Subnetz des Gästenetzes der FritzBox geändert?
Umweg über Config Export, oder ging das bei dir?
Bei mir ist das fest vorgegeben...
