Router-Kaskade mit FritzBox und TimeCapsule

T

tobsen

Neuling
Thread Starter
Mitglied seit
02.01.2005
Beiträge
342
Hallo zusammen,

dieses Wochenende wurde endlich mal meine Router-Kaskade für eine Art DMZ und getrenntes Gästenetzwerk Realität. Naja, fast..

Habe mich gerade schon mal durch den Thread (Router Kaskade) hier gelesen, allerdings beschleicht mich das Gefühl, dass es ein Problem mit TimeCapsule ist..
Inspiriert wurde das Ganze von klassischen DMZs mit "richtiger Hardware" in verschiedenen mir bekannten Firmen und durch diesen ct-Artikel (Lokale Netze mit einer Router-Kaskade trennen).

Stand jetzt:
"Privates" Netz hinter der TimeCapsule, in dem Backups (auf die TimeCapsule) gefahren werden, Dateien ausgetauscht werden (auch via TC) und gedruckt wird (Printserver im gleichen Netz).
Das Ganze geschieht sowohl per Kabel als auch per n-Wlan, die IPs werden per DHCP vergeben und sind per MAC-Adressen reserviert & es existiert eine Ausschlussliste. TC und Printserver haben statische IPs ausserhalb der DHCP-Range.
Zunächst einzige Verbindung dieses Netzes: der Zugang zum Internet. Dazu ist der WAN-Port der TC als Client im "Public" Netz konfiguriert.

"Public" Netz / DMZ: Eine Fritzbox 7270, die ein eigenen b/g Wlan aufmacht (für Gäste) eine Art Webserver per Kabel angebunden hat (muss nur am Internet hängen und darf NICHT mit dem privaten Netz reden) und eben die TC per Kabel verbunden ist.

IP-Mäßig
Public: Fritzbox 192.168.5.1, 255.255.255.0
Gibt per DHCP, auf Kabel und Wlan, 5.100-199 aus, 255.255.255.0 Subnetmask, .5.1 als Gateway und DNS.
WAN: Zugangsdaten für Internetverbindung mit 1und1

Privat: TC 192.168.6.1, 255.255.255.0
Gibt per DHCP, auf Kabel und Wlan, .6.10-99 aus, 255.255.255.0 Subnetmask, .6.1 als Gateway und DNS.
WAN: 192.168.5.200, 255.255.255.0, .5.1 als GW und DNS

Grundsätzlich sollte ein Router ja auf dem WAN Port nur raus(>rein) zulassen, und nicht rein(>raus). Das tut auch alles soweit.


Problem: Auf der Fritzbox gibts es ein Admin-Interface, in dem es auch eine Telefonliste gibt (welche Anrufen wurden verpasst).
Die Nutzer des "Privaten" Netzes würden sich das gerne gelegentlich anschauen (Workaround: 1x pro Tag eine Email mit den Infos von der Fritzbox verschicken lassen, dauert aber manchen zu lange).

Laut der Theorie müsste ein Routing von Privat > Public doch funktioieren, oder?
Ich kann aber schon die Fritzbox aus dem privaten Netz nicht pingen (192.168.5.1). In der Traceroute zu google.com erscheint sie aber (1. .6.1, 2. .5.1).
In der Fritzbox sind auch keine Beschränkungen für die IP des TC-WAN-Interfaces hinterlegt.


Folgende Beobachtung:
Sobald ich an dem WAN-Interface der TC als Subnetmask 255.255.0.0 angebe, bekomme ich von den Clienten des "Private" Netzes keine Internetverbindung mehr.
Kann mir das aber nicht so recht erklären..


Meine Vermutung ist, dass die TC einen Ping an 192.168.5.1 direkt verwirft (oder sogar schon der lokale Rechner?), leider kann ich jedoch die Subnetmask der TC für die DHCP-Vergabe nicht definieren (nur für den WAN-Port, und dazu siehe Beobachtung oben).

Um zu testen, ob der lokale Rechner den Ping direkt verwirft, habe ich es mal mit einer manuellen Konfiguration versucht:
192.168.6.10 (privates Netz) mit 255.255.0.0 und .6.1 als Router.
Internet funktioniert weiterhin, aber an der Erreichbarkeit des 1. "Public" Routers hat sich nichts geändert (kann nicht gepingt werden).


Hat irgendjemand einen Tipp, in welche Richtung ich weiterdenken sollte?
Vielen Dank!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hi,

die angegebene Konfiguration sieht soweit eigentlich gut aus (Die mit den 255.255.255.0er Masken - das andre is BähBäh!)

Warum deine Fritzbox allerdings auf den Ping nicht antwortet, kann ich mir im Moment nicht so ganz erklären - das Routing scheint ja zu funktionieren, sonst würde sie auch im traceroute nicht auftauchen...

Fragen dazu:
- Aus dem privaten Netz andere IPs im Internet und/oder dem public Netz anpingen funktioniert?
- Bekommst du vom Ping ein "timeout" oder ein "destination unreachable" zurück?
- Kannst du aus dem privaten Netz und aus dem public Netz die WAN-Adresse der TC anpingen (192.168.5.200)?
 
100%ig scheint das Routing aber nicht zu funktionieren.

Hast du mal Wireshark im Hintergrund laufen gelassen?
 
Hummerman schrieb:
100%ig scheint das Routing aber nicht zu funktionieren.
Zum Vergrößern anklicken....

Naja, wenn alles andre funktioniert, inkl. Internetzugriff aus dem privaten Netz usw., dann würde ich doch stark vermuten, dass das Problem nicht am Routing liegt...

Vll. mag es die Fritzbox nicht, wenn man aus einem anderen als ihrem eigenen Subnetz auf das Admin-Interface zugreifen möchte... Dann wäre allerdings die Frage, woran sie das merkt, denn das sollte aus dem privaten Netz ja möglichst hinter nem NAT versteckt sein...

Oder die TC blockt auf dem WAN Interface prinzipiell erstmal alles was mit Ping zu tun hat... dann müsste aber der normale http Zugang trotzdem funktionieren...

Alles bisschen komisch...

Hast du mal Wireshark im Hintergrund laufen gelassen?
Zum Vergrößern anklicken....

Was möchtest du mit dem Wireshark an der Stelle sehen? *grübel*
Interessant wäre da eher zu sehen, was bei der Fritzbox ankommt - oder eben auch nicht ankommt...
Oder?
 
Wireshark dazu um zu sehen, was im privaten Netz überhaupt zurück kommt.
 
Hallo,

// kommentar: hat sich erledigt.
Nachdem ich von anderen Computern im privaten Netz auf die fritzbox zugreifen konnte, habe ich mir meinen Rechner nochmal näher angeschaut und 2 zusätzliche Interfaces, die je eine statische IP (1x im WLAN und 1x im LAN) erzeugten, als Übeltäter ausmachen können (die Interfaces sind vorhanden, da ich mich beruflich öfter in lokale Kofigurations-Netze ohne DHCP hängen muss).
Warum TC in dem Moment das Routing (ausser Internettraffic, der geht ja noch) einstellt, keine Ahnung.

Wichtig: Ich kann zwar weitere statische IPs auf weiteren Interfaces haben, nur müssen diese 192.x.egal.egal haben, wobei x nicht = 168 sein darf (192.1.100.100 = fritz.box erreichbar, 192.168.100.100 = fritz.box nicht erreichbar, nur DNS auflösung auf .5.1.).
Das verstehe einer..
Gruß//


danke für die Antworten:

- Aus dem privaten Netz andere IPs im Internet und/oder dem public Netz anpingen funktioniert?
Zum Vergrößern anklicken....
Privat > Internet: ok
Code: 
PING google.com (72.14.221.99): 56 data bytes
64 bytes from 72.14.221.99: icmp_seq=0 ttl=54 time=27.506 ms
64 bytes from 72.14.221.99: icmp_seq=1 ttl=54 time=27.346 ms
Privat > Public: nein (.5.1 ist die fritzbox)
Code: 
PING 192.168.5.1 (192.168.5.1): 56 data bytes
ping: sendto: No route to host
ping: sendto: Host is down
ping: sendto: Host is down

.5.20 ist noch ein anderer Rechner im Public Netz (eine Art Server in der DMZ..). Ich kann auf den Rechner per SSH zugreifen, allerdings nur wenn ich von ganz aussen (Internet-IP der fritzbox > Portweiterleitung) darauf zugreife.
Die Option, auf die fritzbox auf dem Weg (ganz aussen + Portweiterleitung) zuzugreifen ist aus Sicherheitsgründen keine Option.
Code: 
PING 192.168.5.20 (192.168.5.20): 56 data bytes
ping: sendto: No route to host
ping: sendto: Host is down
ping: sendto: Host is down
Die .5.20 kann ich von einem weiteren Rechner im privaten Netz problemlos pingen, bzw. von der .5.20 kann ich auch die Fritzbox (.5.1) problemlos pingen bzw. ist ja auch als GW+DNS eingetragen..


- Bekommst du vom Ping ein "timeout" oder ein "destination unreachable" zurück?
Zum Vergrößern anklicken....
siehe oben > no route to host, host is down
(Terminal unter OS X 10.5)


- Kannst du aus dem privaten Netz und aus dem public Netz die WAN-Adresse der TC anpingen (192.168.5.200)?
Zum Vergrößern anklicken....
Privat > WAN TC: nein, aber geht ja wg. der subnetmask (255.255.255.0) und der eigenen IP (192.168.6.x) doch schon garnicht?!
Code: 
PING 192.168.5.200 (192.168.5.200): 56 data bytes
ping: sendto: No route to host
ping: sendto: Host is down
ping: sendto: Host is down

Public > WAN TC: ja
Code: 
PING 192.168.5.200 (192.168.5.200) 56(84) bytes of data.
64 bytes from 192.168.5.200: icmp_seq=1 ttl=255 time=0.267 ms
64 bytes from 192.168.5.200: icmp_seq=2 ttl=255 time=0.200 ms


Gib mal fritz.box ein statt der Ip
Zum Vergrößern anklicken....
Privat > fritz.box: nein, aber DNS aufgelöst!
Code: 
PING fritz.box (192.168.5.1): 56 data bytes
ping: sendto: No route to host
ping: sendto: Host is down
ping: sendto: Host is down

ok, DNS Cache geleert (dscacheutil -flushcache), der Rechner war ja immerhin schon mal im public netz (per WLAN), aber gleiches Ergebnis.
Privat > fritz.box: nein, aber DNS aufgelöst!

Der Vollständigkeit halber:
Public > fritz.box: ok, aber das sollte ja auch..
Code: 
PING fritz.box (192.168.5.1) 56(84) bytes of data.
64 bytes from fritz.box (192.168.5.1): icmp_seq=1 ttl=64 time=0.549 ms
64 bytes from fritz.box (192.168.5.1): icmp_seq=2 ttl=64 time=0.380 ms


Wireshark dazu um zu sehen, was im privaten Netz überhaupt zurück kommt.
Zum Vergrößern anklicken....
Mein Wireshark tut irgendwie gerade nicht.. sorry.



//Ende gut, alles gut ;-)
 
Anmelden, um zu antworten.

Ähnliche Themen

wackaman
Alten Router als Repeater bzw Hotspot benutzen, aber wie
Antworten
5
Aufrufe
311
wackaman
wackaman
Nemetron
[User-Review] Lesertest zur AVM FRITZ!Box 5690 Pro
Antworten
3
Aufrufe
888
Nemetron
Nemetron
J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
572
justinh999
J
mtheis1987
  • Artikel
[User-Review] FRITZ!Box 5690 Pro
Antworten
7
Aufrufe
4K
Zeitmangel
Z
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh