Heimnetzwerke - WIFI, LAN, Router und Co 16.537 Themen, 81.397 Beiträge

Passenden Router für getrenntes Subnetz hinter Fritzbox gesucht

Aphex Junior / 18 Antworten / Baumansicht Nickles

Hallo zusammen,

durch eine glückliche Vertragsumstellung habe ich jetzt zwei Fritzboxen 7490 zu Hause (FB1 und FB2). Ich möchte jetzt zwei getrennte Netzwerkbereiche einrichten, die sich gegenseitig nicht kennen. Dies möchte ich über einen dritten Router lösen, da ich die beiden Fritzboxen schon habe und es hardwaremäßig lösen möchte.

Was ich mir dazu durchgelesen habe: http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html

1. Die erste Fritzbox (FB1) schließe ich ans Internet an und an dieser kommen alle von beiden Subnetzen zugänglichen Geräte, kurz und knapp 1 Netzwerkdrucker, sonst nichts. Lachend

2. Die zweite Fritzbox (FB2) soll das private LAN aufspannen, somit klemme ich den WAN Port (er heißt DSL/TEL) von FB2 an ein LAN Port von FB1. Soweit korrekt?

3. Ich brauche einen dritten Router mit entsprechenden Fähigkeiten, aber möglichst keine 300 Euro schwer, welcher lediglich ein weiteres Subnetz eröffnet kann und hierfür suche ich eine passende Empfehlung. Mehr als ein einfaches WLAN (es muss nicht mal AC sein!) und 1-2 LAN-Anschlüsse zur Verfügung stellen muss er nicht können. Allerdings bin ich mir unsicher, ob ich dafür jeden beliebigen Router nehmen kann? Er muss NAT können? Und er muss entsprechend konfigurierbar sein, hier kenne ich mich nicht aus bzw. ich denke man kann beim Einrichtungsassistenten etwas derartiges einstellen a la "ich hänge bereits hinter einem Router ohne Zugangsdaten" oder?

Ins Auge gefasst habe ich z. B. den "TP-Link TL-WR940N WLAN Router". Ist der dafür geeignet?

Bin sehr dankbar, wenn ich von den Profis etwas Hilfestellung bekommen könnte.

Schönen Sonntag Abend!
Gruß

bei Antwort benachrichtigen
Borlander Aphex Junior „Passenden Router für getrenntes Subnetz hinter Fritzbox gesucht“
Optionen
2. Die zweite Fritzbox (FB2) soll das private LAN aufspannen, somit klemme ich den WAN Port (er heißt DSL/TEL) von FB2 an ein LAN Port von FB1. Soweit korrekt?

Nein. Bei dieser Konfiguration dient LAN1 als WAN-Port. DSL/TEL am LAN würde nicht funktionieren und könnte schlimmstenfalls sogar noch zu Hardwareschäden führen.

Ins Auge gefasst habe ich z. B. den "TP-Link TL-WR940N WLAN Router". Ist der dafür geeignet?

Sollte funkitonieren mit WAN-Typ dynamic oder static IP; siehe http://www.tp-link.com/en/products/details/cat-9_TL-WR940N.html#specifications

Gruß
Borlander

bei Antwort benachrichtigen
Aphex Junior Borlander „Nein. Bei dieser Konfiguration dient LAN1 als WAN-Port. DSL/TEL am LAN würde nicht funktionieren und könnte ...“
Optionen
Nein. Bei dieser Konfiguration dient LAN1 als WAN-Port. DSL/TEL am LAN würde nicht funktionieren und könnte schlimmstenfalls sogar noch zu Hardwareschäden führen.

Sicher? Okay ich habe gerade das hier gefunden:

http://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/3229_FRITZ-Box-als-kaskadierten-Router-einrichten/

Hm war mir fast 100%ig sicher, dass DSL/TEL dann der WAN-Port der Fritzbox ist und nicht Lan1, aber in der Anleitung (s. Link) steht es genau so, wie du es beschrieben hast.

Aber dann ist das nur bei Fritzboxen so? Normalerweise steckt man doch den zweiten Router mit seinem WAN-Port! zur Trennung der Netze in den LAN-Port des vorgeschalteten Routers oder nicht? So zumindest meine gefundene Anleitung bei heise (s. Eröffnungspost).

Sollte funkitonieren mit WAN-Typ dynamic oder static IP; siehe http://www.tp-link.com/en/products/details/cat-9_TL-WR940N.html#specifications

Danke.

bei Antwort benachrichtigen
Borlander Aphex Junior „Sicher? Okay ich habe gerade das hier gefunden: ...“
Optionen
So zumindest meine gefundene Anleitung bei heise (s. Eröffnungspost).

Die Anleitung geht allerdings auch von Routern aus die kein eingebautes DSL-Modem haben. Bei denen hängt das WAN immer an einem Ethernet-Port. Im Fall der FritzBox hängt das WAN im Regelfall am DSL-Port (der sich elektrisch ganz anders verhält als ein Ethernet-Port). Neben Internetzugang über Ethernet unterstützen einige wenige Modelle (wahrscheinlich nur die 7390 und 7490) auch noch WISP mit WLAN als WAN-Verbindung…

Btw.: Du solltest Dir in der heutigen Situation zumindest auch schon an IPv6 denken, das kein NAT vorsieht.

Gruß
Borlander

bei Antwort benachrichtigen
Aphex Junior Borlander „Die Anleitung geht allerdings auch von Routern aus die kein eingebautes DSL-Modem haben. Bei denen hängt das WAN immer an ...“
Optionen

Hey, danke für die Erklärung, d.h. der DSL/TEL Anschluss (der ja sowieso direkt zur TAE führt, weil das Modem integriert ist) bleibt bei der FB2 einfach leer und der Ethernet-LAN-Port-1 der FB2 wird zum WAN-Port über die Benutzeroberfläche "umfunktioniert" und direkt an den Ethernet-LAN-Port-1 der FB1 angeschlossen?

http://ecx.images-amazon.com/images/I/814Q5Ys6S-L._SL1500_.jpg

bei Antwort benachrichtigen
Borlander Aphex Junior „Hey, danke für die Erklärung, d.h. der DSL/TEL Anschluss der ja sowieso direkt zur TAE führt, weil das Modem integriert ...“
Optionen
und direkt an den Ethernet-LAN-Port-1 der FB1 angeschlossen?

Bei der äußeren FritzBox ist der Port egal, da kannst Du auch Port 2, 3 oder 4 nehmen.

Port 1 nimmt in bestimmten Konfigurationen eine Sonderrolle ein und kann u.A. auch für eine Gast-LAN-Konfiguration genutzt werden. In manchen Szenarien kann die Nutzung von Gast-LAN oder WLAN auch eine einfachere Alternative zur Trennung über mehrere Router sein.

(Evtl. könnte eine Kommunikation zwischen Port 1 und den Ports 2-4 sogar noch etwas langsamer sein, als innerhalb der Ports 2-4.)

der DSL/TEL Anschluss (der ja sowieso direkt zur TAE führt, weil das Modem integriert ist) bleibt bei der FB2 einfach leer

So lange Du die Festnetz-Telefoniefunktion der inneren Box nicht nutzen willst, dann ja

bei Antwort benachrichtigen
Aphex Junior Borlander „Bei der äußeren FritzBox ist der Port egal, da kannst Du auch Port 2, 3 oder 4 nehmen. Port 1 nimmt in bestimmten ...“
Optionen
Port 1 nimmt in bestimmten Konfigurationen eine Sonderrolle ein und kann u.A. auch für eine Gast-LAN-Konfiguration genutzt werden. In manchen Szenarien kann die Nutzung von Gast-LAN oder WLAN auch eine einfachere Alternative zur Trennung über mehrere Router sein.

Das Gast-LAN habe ich schon probiert und führt leider nicht zum Erfolg, da die Geräte zu sehr gesperrt sind. Daher möchte ich das mit den Routern lösen. Jetzt hab ich noch zwei Fragen:

1) Man sollte wohl die FB2 erstmal lokal entsprechend konfigurieren, damit LAN1 von FB2 als WAN-Port fungiert, da ansonsten beide Netze - zumindest solange die Konfiguration von FB2 noch nicht final abgeschlossen ist - direkt miteinander verbunden sind (was nicht erwünscht ist)?

2) Dazu ein Zitat aus der Fritzbox-Kaskade-Anleitung:

So können Sie z.B. mit Ihrem privaten Heimnetz im ersten Stock den Internetanschluss des Firmennetzwerks im Erdgeschoss mitbenutzen, ohne dass aus dem FRITZ!Box-Heimnetz auf Datei- und Druckerfreigaben im Firmennetzwerk zugegriffen werden kann (oder umgekehrt).

Das ist doch Unsinn oder? Wenn ich nur zwei Router einsetze also FB1 als DSL Router und FB2 dahinter, dann kann ich immer von FB2 auf das Netz von FB1 zugreifen, nur von FB1 auf das Netz von FB2 nicht. Also stimmt meiner Meinung nach die Aussage in der Anleitung (die für zwei Router geschrieben ist) nicht, oder?

bei Antwort benachrichtigen
Borlander Aphex Junior „Das Gast-LAN habe ich schon probiert und führt leider nicht zum Erfolg, da die Geräte zu sehr gesperrt sind. Daher ...“
Optionen
1) Man sollte wohl die FB2 erstmal lokal entsprechend konfigurieren, damit LAN1 von FB2 als WAN-Port fungiert, da ansonsten beide Netze - zumindest solange die Konfiguration von FB2 noch nicht final abgeschlossen ist - direkt miteinander verbunden sind (was nicht erwünscht ist)?

So lange beide  Boxen die selbe IP macht es das schon deutlicher einfacher temporär mal ein Gerät nur an die innere Box zu hängen um diese in der Konfiguration anzupassen ;-)

Das ist doch Unsinn oder? Wenn ich nur zwei Router einsetze also FB1 als DSL Router und FB2 dahinter, dann kann ich immer von FB2 auf das Netz von FB1 zugreifen, nur von FB1 auf das Netz von FB2 nicht. Also stimmt meiner Meinung nach die Aussage in der Anleitung (die für zwei Router geschrieben ist) nicht, oder?

Wenn es nur um die Nutzung des Internetzugangs geht, dann könnte man dieses Verhalten umsetzen in dem man die äußere FritzBox so konfiguriert, dass LAN1 das Gast-LAN läuft (nur Internetzugang und keine Verbindung zum normalen LAN). Zugriff auf Windows-Freigaben würde aber sowieso nicht funktionieren, weil SMB/CIFS nicht routing-fähig ist…

bei Antwort benachrichtigen
Aphex Junior Borlander „So lange beide Boxen die selbe IP macht es das schon deutlicher einfacher temporär mal ein Gerät nur an die innere Box ...“
Optionen

Ja das stimmt. Zu 2.: Hier meinte ich lediglich die Formulierung. Wenn ich zwei Netze trennen möchte, die sich untereinander nicht kennen sollen!, dann brauche ich drei Router (einen externen DSL Router + 2 dahinter), so wie die erste Heise-Anleitung bzw. dieses Bild

http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html?view=zoom;zoom=1

beschreibt oder nicht? Die Fritzbox-Anleitung bei dem zweiten Link sagt eben aus, dass die Netze voneinander getrennt wären, was nur in einer Richtung stimmen würde, da nur zwei Router im Spiel sind.

Wenn ich nur einen Router hinter den externen klemme, dann hätte ich nur eine einseitige "Sperre", da ich immer von dem abgeschotteten Netzwerk hinter dem 2. Router wieder in das davor komme, aber nicht andersherum oder irre ich (keine Forwardings!, default config)?

Möchte ich jedoch, dass sich beide Netzwerke gar nicht kennen (in beiden Richtungen nicht), dann muss ich zwei Router (und das ist genau mein Vorhaben) hinter den externen Router hängen, die je ein einzelnes Subnetz aufspannen.

Ich kann das GastLAN leider nicht nutzen bzw. maximal für einen Besuch fürs Handy oder so, da mit dem GastLAN wirklich nichts funktioniert. Hier könnte ich nicht mal einen alten TV dranhängen mit NetFlix, der keine Firmwareupdates mehr bekommt etc. Für derartige alte Geräte, die ich jedoch teils noch nutze und die ich sicherheitstechnisch nicht "einfangen" kann möchte ich eben ein getrenntes Netz, was überhaupt gar nicht (in keine Richtung) von dem privaten LAN gesehen werden kann. Daher die beiden Netze komplett unsichtbar voneinander.

bei Antwort benachrichtigen
Aphex Junior Nachtrag zu: „Ja das stimmt. Zu 2.: Hier meinte ich lediglich die Formulierung. Wenn ich zwei Netze trennen möchte, die sich ...“
Optionen

Für die Empfehlung mache ich nochmal einen anderen Thread auf, da das hier untergegangen ist :)

bei Antwort benachrichtigen
magicas Aphex Junior „Für die Empfehlung mache ich nochmal einen anderen Thread auf, da das hier untergegangen ist :“
Optionen

Hallo Aphes Junior,

Ich kann deiner Argumentation nicht so ganz folgen.

Die erste FB FB1 hängt ganz normal am Netz heisst der ein und ausgang wird per NAT kontrolliert,

Die zweite FB FB2 wird an einen freien Port in diesem Netzwerk angeflanscht bei FB2 an Port 1, dieser wird bei der entsprechnenden Konfiguration vom "Switch" entkoppelt daher greift auf den restlichen Ports und im Wlan auch wieder das NAT und du hast zwei voneinander unabhängige Netze.

Wo liegt jetzt dein Problem? und warum willst du einen 3 Router einsetzen?

mfg

magicas 

bei Antwort benachrichtigen
Aphex Junior magicas „Hallo Aphes Junior, Ich kann deiner Argumentation nicht so ganz folgen. Die erste FB FB1 hängt ganz normal am Netz heisst ...“
Optionen

Hallo magicas,

Die erste FB FB1 hängt ganz normal am Netz heisst der ein und ausgang wird per NAT kontrolliert,

Genau, also anders ausgedrückt....der Router bzw. die Fritzbox kümmert sich automatisch darum?!

Die zweite FB FB2 wird an einen freien Port in diesem Netzwerk angeflanscht bei FB2 an Port 1, dieser wird bei der entsprechnenden Konfiguration vom "Switch" entkoppelt daher greift auf den restlichen Ports und im Wlan auch wieder das NAT und du hast zwei voneinander unabhängige Netze.

Ja, richtig, aber es ist so, dass die Geräte an der FB1 (externes Gerät am Internet) von den Geräten hinter der FB2 gesehen werden können. Diese stehen ja praktisch (in Anlehung an die erste Anleitung von heise) in der DMZ. Ein Netzwerkdrucker z. B. gehört hier ja auch hin.

Was ich aber möchte ist, dass sich zwei Netze gegenseitig/untereinander nicht sehen. Mit zwei Routern (externer + einer dahinter) ist das nur in eine Richtung gewährleistet.

Hätte man jetzt also ein Schadszenario im inneren Netz (das Netz hinter FB2), so könnte es auch ins vorhergeschaltete Hauptnetz von FB1.

bei Antwort benachrichtigen
magicas Aphex Junior „Hallo magicas, Genau, also anders ausgedrückt....der Router bzw. die Fritzbox kümmert sich automatisch darum?! Ja, ...“
Optionen

Hallo Aphex Junior,

entweder hab ich einen Denkfehker oder du.

bei  FB1 externes Netz --> Internes Netz z.B. 192.168.178.1

bei FB2 intern Netz FB1 z.B. 192.168.178.2 --> Internes Netz FB2 z.B. 192.168.188.1

wo soll jetzt wer was sehen können oder benutzen können?

da --> ja heisst NAT-Translation also kein direktes durchkommen.

bei Antwort benachrichtigen
Aphex Junior magicas „Hallo Aphex Junior, entweder hab ich einen Denkfehker oder du. bei FB1 externes Netz -- Internes Netz z.B. 192.168.178.1 ...“
Optionen
entweder hab ich einen Denkfehker oder du.

Beides ist möglich, wenn du ein extremer Netzwerkspezialist bist, dann wohl ich :-D

Ich habe mir nur sämtlichen Kram dazu durchgelesen, X Anleitungen und hab ein solides technisches Grundverständnis^^

Lies mal in der Anleitung im Eröffnungspost von mir bis zu dieser Stelle:

An den DSL-Router schließen Sie nur die WAN-Schnittstellen der Breitband-Router und solche netzwerkfähigen Geräte an, die aus beiden Subnetzen erreichbar sein müssen.

Es gibt in der Anleitung von Heise auch ein Konzeptbild, was genau dein geschildertes Szenario mit nur zwei Routern abbildet (ich hätte mal ganz davon abgesehen, ja auch nur lieber 2 Geräte, bräuchte ich keinen neuen Router kaufen^^), aber auch hier kann von (ich spreche jetzt mal passend zum Bild von dem Heise-Artikel) von der grünen Zone (Heimbüro) auf die rote Zone (DMZ) zugegriffen werden. Ist doch das gleiche, als wenn ich im Internet surfe. Ich kann nach außen hin alles antickern aber vom Internet nicht auf meine lokalen Rechner (keine Forwardings eingestellt, default!).

Nichts anderes ist doch dein von dir beschriebes Szenario mit nur zwei Routern, nur das das "Internet" für die Rechner an der FB2 das Netz von FB1 ist, sprich 192.168.178.0/24.

bei Antwort benachrichtigen
magicas Aphex Junior „Beides ist möglich, wenn du ein extremer Netzwerkspezialist bist, dann wohl ich :-D Ich habe mir nur sämtlichen Kram ...“
Optionen

Ich würde sagen probiers doch mal aus du hast ja die zwei Router,

mach mal so wie ich es vorhin angedeutet habe und probier mal ob du ohne weitere einstellungen von netz1 zu netz2 oder andersherum kommst. Zwinkernd

bei Antwort benachrichtigen
Aphex Junior magicas „Ich würde sagen probiers doch mal aus du hast ja die zwei Router, mach mal so wie ich es vorhin angedeutet habe und ...“
Optionen

Der 2. Router kommt in 4 Wochen argh!

Ne jetze oder? Sag mal lieber deine Theorie zu dem ganzen? UnschuldigLachend

Ich schenk nur Heise mein Glauben aktuell, aber sicher bin ich mir auch nicht. Immerhin ist es ja schon ein anderes Netz, aber eben das davor! Kennen müssen die sich schon. NAT funktioniert ja in eine ganz bestimmte Richtung, sonst könnten die LAN PCs ja auch nicht beliebige Internet-Adressen aufrufen können?

bei Antwort benachrichtigen
Borlander Aphex Junior „Ja das stimmt. Zu 2.: Hier meinte ich lediglich die Formulierung. Wenn ich zwei Netze trennen möchte, die sich ...“
Optionen
Ich kann das GastLAN leider nicht nutzen bzw. maximal für einen Besuch fürs Handy oder so, da mit dem GastLAN wirklich nichts funktioniert.

Hattest Du dazu auch schon mal die Konfiguration des Gast-LANs angepasst? (Die Standardkonfiguration ist dort erst mal sehr restriktiv eingestellt angesichts des Namensgebenden Nutzungsszenarios).

Ich bin mir auf Basis Deiner Beschreibung übrigens immer noch nicht so ganz sicher ob für Dich nicht auch eine Trennung zwischen äußerem und inneren Netz ausreichen würde. Ich war zunächst noch davon ausgegangen, dass Du z.B. eine saubere Trennung zwischen den Netzen für privaten und beruflichen Einsatz haben möchtest. Das scheint aber eher nicht der Fall zu sein.

bei Antwort benachrichtigen
Aphex Junior Borlander „Hattest Du dazu auch schon mal die Konfiguration des Gast-LANs angepasst? Die Standardkonfiguration ist dort erst mal sehr ...“
Optionen
Hattest Du dazu auch schon mal die Konfiguration des Gast-LANs angepasst?

Ja, in sämtlichen Varianten. Keine Chance. Die Geräte, die dran sollen, nutzen individuelle Ports und somit ist das nicht machbar. Dafür ist das Gast-LAN auch nicht vorgesehen, sonst wären wir wieder bei ganz normalem WLAN.

dass Du z.B. eine saubere Trennung zwischen den Netzen für privaten und beruflichen Einsatz haben möchtest

Ja möchte ich auch, nur, dass ich eben den beruflichen Einsatz nicht habe. Sie sollen trotzdem sauber getrennt sein (gegenseitig unsichtbar sozusagen).

bei Antwort benachrichtigen
Aphex Junior Nachtrag zu: „Ja, in sämtlichen Varianten. Keine Chance. Die Geräte, die dran sollen, nutzen individuelle Ports und somit ist das ...“
Optionen

Hallo nochmal,

ich habe alles wie beschrieben eingerichtet und es scheint gut zu funktionieren. Allerdings musste ich in dem TPLink-Router (das ist der, der das zweite Subnetz aufspannt) das Remote-Management über den WAN-Port aktivieren, damit ich aus dem anderen Subnetz heraus auf die Weboberfläche dieses Routers komme.

Muss ich hier irgendwelche Sicherheitsbedenken haben? Eigentlich ist der Subnetz-Router ja nur im LAN.

An dem Haupt-DSL-Router habe ich natürlich keine externen Zugriffe aus dem richtigen Internet heraus erlaubt.

Dank+Grüße

bei Antwort benachrichtigen