Zwei Fritzboxen jeweils mit Internetzugang Subnetze routen

[extensier]

Hi,

stehe hier vor folgendem Problem: Ich habe bei mir im Haus im Wohnzimmer eine Fritzbox 6360 Cable von Unitymedia stehen, die über LAN alle Etagen versorgt.
Jetzt habe ich in unserer Ferienwohnung, welche wir vermieten eine Fritzbox 7412 von 1&1 stehen, dort habe ich das Gast-WLAN aktiviert und diesen Zugang den Gästen gegeben. Dies funktioniert auch einwandfrei.

Ich möchte für unser Haus die 1&1 Fritzbox als "Backup" Internetzugang nutzen. Was ist da die eleganteste Lösung?

Aktuell habe ich die 7412 im selben Subnetz wie die Fritzbox 6360 192.168.0.X, die 6360 hat die .1 die 7412 hat die .254 und ihren DHCP disabled. Da aber keine direkte LAN Verbindung möglich ist, nutze ich am nächstgelegenen Punkt zur Ferienwohnung bei mir im Haus einen 0815 WLAN Repeater mit LAN Anschluss, dieser hat via LAN in meinem Netz die IP .252 und ist konfiguriert als WLAN Repeater für das interne WLAN der Fritzbox 7412.

Wie gesagt, das läuft toll, die Gäste surfen über die 1&1 Leitung, bei mir alles wie gewohnt und wenn Unitymedia ausfällt dann stelle ich bei meinen Geräten den Gateway .254 ein und alles ist schick.


Das Problem an der Sache ist jetzt:
Wenn ich mich mit dem privaten WLAN der Fritzbox 7412 verbinde greift der DHCP der 6360 durch und der WLAN Client bekommt den Gateway .1 - wäre ja nicht schlimm, aber der Client hat dann kein Internet, sonst wäre alles gut und ich hätte gar kein Problem.

Daher hätte ich gerne eine andere Lösung, wo dann auch getrennte Subnetze sind, was deutlich eleganter wäre,
weiß aber noch nicht 100% wie ich diese realisiere. Quasi soll es so aussehen:

Die beiden Boxen sollen eigene Subnetze bekommen, soweit so gut (im Haus Fritzbox 6360 192.168.0.1, in Ferienwohnung Fritzbox 7412 192.168.100.1)
Weiter soll es mit dem privaten WLAN der Fritzbox 7412 möglich sein auf das 192.168.0. Netz zuzugreifen (zwecks NAS-Server u.a. Shares) und im Optimalfall kann ich immernoch aus dem 192.168.0. bei Netzausfall von Unitymedia den Gateway .100.1 in der Wohnung nutzen.


Am liebsten hätte ich irgendeine MiniPC Hardware mit pfsense mit Beinchen in beide Netze, dort ist Routing ja kein Problem.
Wenn jemand eine günstige/stromsparsame Hardware kennt, immer her damit.
Ansonsten, lässt sich das mit einem anderen "Consumer"-Router bewerkstelligen? Hätte eine "alte" Fritzbox 3720 frei.


Hoffe man steigt da durch und ein Netzwerk Profi kann mir da helfen.


Gruß Felix

 

[^R4iD]

Ich empfehle https://www.ebay.de/sch/i.html?_fro...TR0.TRC0.H0.Xastaro.TRS0&_nkw=astaro&_sacat=0

Darauf dann SophosUTM drauf und fertig.. günstiger wird das nicht..

https://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition.aspx

 

[Raijin]

Das ist mit 08/15 Hardware so nur bedingt möglich. Consumer-Router dieser Art sind fest auf ein Szenario eingestellt, in welchem 1x WAN-Port (sei es über internes oder externes Modem bzw. Netzwerk) und 1x LAN+WLAN vorgesehen ist. Maximal gibt es noch ein Gast-(W)LAN dazu. Zwar sind Fritzboxxen durchaus etwas flexibler als TP-Link, Asus und Co, aber ein komplexes Setup mit WAN-Failover lässt sich damit so nicht bewerkstelligen, zumindest wäre mir nicht bekannt, dass eine Fritze das kann...

Üblicherweise würde man sowas eher mit semiprofessionellen Routern lösen wie MikroTik, EdgeRouter und Co. Auch ein TP-Link, o.ä. mit OpenWRT/DD-WRT käme dafür in Frage. Im Gegensatz zu Consumer-Routern, die in der Regel wie beschrieben für exakt 1 Szenario gedacht sind, kann man solche Router mehr oder weniger frei konfigurieren.

Ein EdgeRouter-X (50€) hat zum Beispiel 5 LAN-Ports, besser gesagt 5 LAN-Schnittstellen. Port0 wäre dann WAN#1, hier hinge die Kabel-Fritzbox dran. Port1 wäre WAN#2, hier kommt ein LAN-Kabel (oder zur Not über Access Points eine WLAN-Verbindung) zur Ferienfritzbox (an einen LAN-Port). Port2-4 wäre dann dein eigentliches LAN. Im EdgeRouter definiert man für das sogenannte "WAN failover" Regeln in welchem Fall der EdgeRouter selbst dein LAN statt über WAN#1 eben über WAN#2 schickt. Natürlich muss der ER in dem Falle auch eine Firewall haben, die den Zugriff zwischen Haupt- und Ferien-Netzwerk entsprechend reglementiert. Du willst ja nicht, dass die Feriengäste mal eben so dein NAS im LAN sehen können

pfSense, SophosUTM und dergleichen sind natürlich auch wunderbar geeignet, wenn man das auf PC Hardware laufen lassen will. Allerdings sollte man sich dann Gedanken darüber machen ob die Anschaffungskosten für die Hardware bzw. die Betriebskosten für potentiell uralte PC Hardware nicht den Anschaffungspreis zB eines MikroTiks überschreiten.

 

[extensier]

Erstmal vielen Dank für die Antworten bis dato.

Als Ergänzung des Szenarios: Die Gäste sind eh abgeriegelt über das Gäste WLAN der Fritzbox 7412. Da wir die Ferienwohnung gelegentlich selbst nutzen (Geburtstagsfeiern, im Garten sitzen (da schöner) hatte ich das private WLAN der 7412 quasi für mich/meine Family vorgesehen. Internet kann ruhig über das "langsamere" 1&1 DSL laufen, nur der Zugriff rüber zu NAS&Co. und 2. der z.Zt. manuelle Failover soll noch möglich sein.

@Raijin: Der EdgeX sieht interessant aus Danke für den Tipp!

@Toaster05: welches der Astaro Geräte unter dem Link meinst du genau?



Gruß Felix

 

[Raijin]

Naja, die Sache ist die:

- FeWo hat eigenes Internet
- FeWo kann nicht auf dein Netzwerk gucken
- Du @FeWo kannst auf dein Netzwerk gucken

Das sind Anforderungen, die so kaum mit 08/15 Hardware zu bewerkstelligen sind. Sobald du von der FeWo-Fritze eine Verbindung zu deinem privaten Netzwerk herstellst, kann im Prinzip jeder an der FeWo-Fritze auf dein Netzwerk schauen - oder eben keiner. Mal so mal so ist schwierig bis nicht möglich.


Das Gast-(W)LAN eines Routers funktioniert in der Regel so, dass nur der Zugriff auf das WAN möglich ist und der Zugriff auf das Haupt(W)LAN wird gesperrt. WAN heißt alles was nach dem WAN-Port bzw. dem internen Modem kommt. Das normale (W)LAN wiederum ist nicht reglementiert. Selbst wenn deine Gäste via Gast-WLAN nur www dürften, könnte ein findiger Gast ja auf die Idee kommen, seinen Laptop per Kabel direkt an die Fritzbox zu hängen. Dann hätte er denselben Effekt wie wenn er im Haupt-WLAN eingeloggt wäre. Eine simple Verbindung Fritz2Fritz wäre also eher nicht so schön, weil man dann aus der FeWo potentiell auf dein NAS, etc zugreifen könnte. Eine Unterscheidung zwischen Feriengast und dir ist nicht so simpel wie du glaubst.

Das einfachste Szenario, das mir in den Sinn kommt, sähe wie folgt aus. Ob es gut oder schlecht ist, sei mal dahingestellt. Ich persönlich vertraue in fortgeschrittenen Szenarien mit mehreren Subnetzen, Zugriffsbeschränkungen und dergleichen eher nicht auf 08/15 Consumer-Hardware, weil sie für diesen Zweck einfach nicht gedacht ist.

- Fritze1 macht www in Wohnung W1. WLAN ja, Gast-WLAN nein
- Fritze2 macht www in Wohnung W2. WLAN ja Gast-WLAN ja
- LAN-Kabel von Fritze1 zu Fritze2
- Fritze1 bekommt eine statische Route ins Subnetz von Fritze2
- Fritze2 bekommt eine statische Route ins Subnetz von Fritze1

Nu würden Gäste in W2 nur das Gast-WLAN bekommen. Der physische Zugriff auf die Fritze2 muss eingeschränkt werden (zB abgeschlossener Schrank, Abstellraum oder dergleichen). Die Gast-Funktion verhindert den Zugriff auf das lokale Netzwerk in W2, das wiederum über eine Route mit W1 verbunden ist. Loggt man sich dagegen ins normale WLAN von Fritze2 ein, müsste man über besagte Route eine Verbindung zu W1 bekommen.

Inwiefern man nu aber von W1 aus über die Fritze2 surfen kann, hab ich mir noch nicht so überlegt. Ich bin mir nicht sicher ob das mit Fritzen in dem Setup überhaupt geht. Normalerweise würde ich nämlich zwischen die Fritzen einen ER-X setzen, der künftig für beide Seiten als Standard-Gateway fungiert und somit dann auch eine Entscheidung treffen kann über welche Internetverbindung er die Daten schickt (Stichwort: WAN-Failover).

Man kann das aber auch noch anders machen und ausschließlich mit Access Points bzw. Repeatern arbeiten. Wenn du das Haupt-WLAN bis in die Ferienwohnung erweiterst - sei es per Kabel+AP, Repeater oder auch PowerLAN+AP - kannst du dich in der FeWo auch direkt ins HauptWLAN einloggen. Dann brauchst du effektiv überhaupt keine Verbindung untereinander. Für die Failover-Verbindung in die andere Richtung könnte man das ähnlich machen, dann würde man sich eben von W1 aus in das WLAN von W2 einklinken.

 

[extensier]

Hi, ich denke durch die Gast Funktionalitäten der Fritzbox 7412 drüben sind die Gäste gut außen vor.

und bzgl. des Failovers aus W1 auf das Internet von W2, da würde ein WLAN von W2 in W1 nicht reichen, da so alle kabelgebundenen Geräte rausfallen. Werde mir mal den ER-X genauer ansehen und schauen, ob ich den mal bestelle.


Gruß Felix

 

[Raijin]

Der ER-X ist ein reiner (Kabel)Netzwerkrouter. Demnach muss er entweder eine Kabelverbindung in beide Netzwerke haben oder aber über einen angeschlossenen Access Point im Client-Modus, der den ER quasi ins WLAN bringt. Eine Lösung mit ER-X wäre sicherlich die optimale Variante, aber auch mit die aufwändigste. Einerseits besagte Kabelverbindung (falls nicht mit APs verbunden) andererseits sind solche semiprofessionellen Router auch nicht unbedingt so einfach einzurichten wie eine Fritzbox, sie können eben deutlich mehr. Die Community ist aber sehr aktiv und wenn man Fragen hat, gibt es immer jemanden, der eine Antwort parat hat.

 

[extensier]

Also wenn ich das so richtig verstehe, würde ich den ER-X entweder mit in das Netzwerk 192.168.0.x der Fritzbox 6360 bei mir im Haus bringen oder der ER-X wird der neue Router und bekommt quasi als WAN1 die 6360 angeschlossen, und WAN2 über die wireless Strecke die Fritzbox 7412. Dann wäre ich doch eigentlich da. Für letztere Variante, welche mir deutlich eleganter erscheint, müsste ich dann aber noch gucken, wie sich das mit der Fritzbox 6360 verhält im Bezug auf Fritz!Fon (habe nur die Apps im Einsatz) und ich nutze ein Fritzbox-to-Fritzbox VPN zu einem anderen Standort (FB 7490) noch. Da müsste ich dann noch gucken, aber wenn jetzt theoretisch ein PC bei mir hinter dem ER-X eine IP aus dem remote Fritzbox 7490 Netz erreichen will, dann geht er ja erstmal zum ER-X und dieser zur FB 6360 und diese wiederum kennt die IP ja vom FB-to-FB VPN, richtig?
Wenn ja, würde das im Failover auf die 1&1 Leitung ja immernoch klappen, wenn dort auch FB-to-FB mit der 7412 zur 7490 eingestellt ist. (Schwelge ganz schon im Ubiquiti Himmel gerade, wollte eh schon lange die APs von denen holen, dann direkt die drei Geräte )


Gruß Felix