Zwei Netze via Router verbinden

[nissl]

Guten Morgen,

ich brauch mal technische Unterstützung, weil ich einfach nicht weiter komme. Ich hoffe ich kann das leicht schildern und ich hoffe jemand kann mir helfen.

Folgendes Setup:

Router 1 (WAN)
FritzBox 7360
Netz: 172.16.20.0
IP: 172.16.20.1
Netzmaske: 255.255.255.0

Router 2 (An LAN Port 2 der FritzBox im WAN Port des Routers)
Netgear FVS318N
Netz: 172.16.10.0
IP: 172.16.10.1
Netzmaske: 255.255.255.0
WAN IP (an der FritzBox): 172.16.20.254

Mein Ziel wäre, dass sich Systeme in den beiden Netzen finden können und Zugriffe möglich sind. Diese sind im wesentlichen RDP, SMB, Div. Management Konsolen.

Zusätzlich interessant zu wissen ist, dass der DHCP Server im Netz 172.16.20.0 steht (IP: 172.16.20.3). Die Adressvergabe klappt sogar Netzübergreifend.

Meiner Meinung nach brauche ich eine Static Route von 172.16.20.0 nach 172.16.10.0. Diese habe ich an der Fritz Box wie folgt konfiguriert:

Netzwerk: 172.16.10.0
Netzmaske: 255.255.255.0
Gateway: 172.16.20.254

Eine Route von 172.16.10.0 nach 172.16.20.0 brauche ich ja eigentlich nicht, da diese per Default (über den WAN Port) geroutet wird.
Die Verbindung von 172.16.10.0 nach 172.16.20.0 klappt auch, auch das Internet kann ich aus dem Netzwerk aus erreichen. Nur eben umgekehrt nicht.
Die Firewalleinstellungen hatte ich dann noch in Verdacht und Testweise einfach eine Regel auf den Testrechner erstellt.
Allow - Any - Any - 172.16.10.11
Somit sollte ich diesen Host pingen können und auch auf das ESXi Webinterface zugreifen können, welches er bereitstellt.

Aber leider klappt es nicht und irgendwas muss hier noch falsch sein und/oder vergessen worden.

Kann mich hier bitte jemand erleuchten ?

Danke und einen schönen Tag.

 

[Merle]

Ist die Firewall am WAN Interface von Router 2 aus? NAT auch?

Ich meine, dass das recht gut so aussieht und so hätte ich es bis hier auch gemacht.
Klappen denn Pings vom .20.0/24 => .10.1?

 

[Q-6600]

Das Problem wird eher sein, dass Router2 nicht einfach nur als Router selbst agiert, sondern, wie im Heimgebrauch üblich, NAT betreibt. Die Geräte im 10er-Netz sprechen dann über die WAN-IP mit dem anderen Netz und dem Internet. Dadurch dürften aus Netz10 alle Geräte in Netz20 erreichbar sein, aber nicht andersrum.

Evtl. kannst du ja etwas beim NATting / Portregeln umkonfigurieren, damit es funktioniert. Dass du die Route eingefügt hast, war auf jeden Fall schon mal ein guter Schritt.

 

[woodpeaker]

Router 2 (An LAN Port 2 der FritzBox im WAN Port des Routers)

Warum im WAN Port und nicht im LAN Port? Internet geht doch über den Router 1, oder?

 

[nissl]

Ist die Firewall am WAN Interface von Router 2 aus? NAT auch?

Also Jein, die Firewall kann ich in dem Sinn nicht ausschalten. Aber ich hab eben mit der Rule, Any Any sowieso allen Traffic auf den Testhost weitergeleitet. Leider erfolglos.

Ich meine, dass das recht gut so aussieht und so hätte ich es bis hier auch gemacht.
Klappen denn Pings vom .20.0/24 => .10.1?

Leider nicht. Pings vom Router in 172.16.10.0 auf sämtliche hosts in .20.0 klappen, auch nslookup.
Aber andersherum gehts nicht.

Ich kann noch den Routing Mode von NAT auf "classical Routing" umstellen. Was bringt mir das ?

EDIT:

Warum im WAN Port und nicht im LAN Port? Internet geht doch über den Router 1, oder?

Meinem Verständnis nach klappt das nur so, wenn überhaupt. Am LAN port routet er ja nicht.

 

[woodpeaker]

Du hast doch nur einen Internetanschluss, oder?
Dann ist der WAN Port am 2. Router nicht zu belegen. "Routen oder verwalten" tut der sein eigenes Netz so oder so.
Du willst aber zwei getrennte Netze über einen Router onlinefähig halten und miteinander verbinden. Richtig?
Dann gehe über einen LAN Port am z. Router.

 

[Theuth]

Wenn ich das richtig verstanden habe, wäre die einfachste Lösung, Router 2 als Repeater für Router 1 zu konfigurieren (wenn möglich). Damit wären es aber nicht mehr zwei verschiedene Netze, sondern ein übergreifendes. Und damit auch eine IP-Range.

 

[Merle]

Probier mal classic routing. Könnte NAT aus heißen.

 

[Raijin]

Das wird in der Tat am NAT liegen. Rein von der Bezeichnung her würde ich behaupten "Classic Routing" heißt NAT aus.

Wenn dem so ist, sollte es dann auch schon klappen, da du die Subnetzroute korrekt in der Fritzbox eingetragen hast. Mit "tracert 172.16.x.y" kannst du den Verlauf der Route prüfen.


Frage: Wozu das ganze? Was willst du mit dem getrennten, aber eben nicht getrennten Netzwerk erreichen? Oder kommen als nächstes Firewall-Regeln dazu, die gegenseitige Zugriffe beschränkt?

 

[nissl]

Also einen richtigen Sinn hat es nicht. Ich habs mir nur in den Kopf gesetzt und jetzt möchte ich das halt hinbekommen. So eine Art Machbarkeitsstudie.

Ich möchte mir gerne das Lab aufbauen mit AD und vielleicht noch mehr dingen, und da bietet sich das an, diese Netze ein bisschen zu trennen, aber eben nicht so, dass ich von meiner Workstation in dem "normalen" netz nicht drauf komme.

Ich werde das heute abend mal mit classical routing probieren.

Danke

 

[nissl]

HI Merci für den Tip mit dem Classical Routing.

Das klappt soweit. Leider muss ich jetzt trotzdem für jeden Server bzw. Service den ich aus dem anderen Netz aus erreichen will, den Port forwarden. Ist das normal? Sollte ich nicht durch die Route auch so durch kommen?

 

[Merle]

Ja NAT kann ja schon nicht mehr sein, Firewall aber durchaus. Und zwar im Router.

 

[Raijin]

Portweiterleitungen sind nicht nötig bzw werden gar nicht getriggert, wenn direkt eine IP nebst Port im dahinterliegenden Subnetz angesprochen wird. Weiterleitungen triggern ausschließlich wenn der Router selbst als Ziel angegeben wurde und er das dann weiterleiten soll. Bei NAT@WAN ist das zB zwingend erforderlich, da das private Netz dahinter ja nicht direkt erreichbar ist.

Dennoch muss die Firewall die Verbindungen auch zulassen. Firewall ≠ Weiterleitungen. Die Firewall ist der Türsteher, der Wachmann. Die Portweiterleitung bzw Destination NAT (DNAT) ist sozusagen der Platzanweiser. Bei einem Consumer-Router wird bei der Einrichtung einer Portweiterleitung im Hintergrund automatisch eine Ausnahme in die Firewall eingebaut. So als wenn der Platzanweiser Infos über verkaufte Tickets bekommt und dem Türsteher die Gästeliste gibt. Der Nutzer bekommt davon nichts mit. Bei fortgeschrittenen Routern gibt es diese Wizards für Portweiterleitungen zwar auch (inkl passender Firewall-Regel), aber wenn man aus oben genannten Gründen eben eigentlich keine Weiterleitung braucht und sie daher nicht anlegt, wird nun Mal auch keine Regel in der Firewall erstellt.

Lösungen:

A) Firewall aus. Alle IPs aus Netz#1 dürfen alles in Netz#2 und umgekehrt.
B) Firewall manuell anpassen. Erlaube Zugriff auf IP x in Subnetz#2 auf Port y (oder alle). Ggfs auch nur für eine bestimmte Quell-IP, zB das NAS.
C) Automatische Regel durch Portweiterleitung.

Je nach Bedarf - beide Netze sind ja durch dich administriert - würde ich zu A oder B raten. Bei C passiert das wie gesagt im Hintergrund und ist sozusagen eine Blackbox. Gerade wenn du was dabei lernen willst, solltest du dir anschauen wie es richtig geht.