megasus
Goto Top

Richtige Einrichtung zweier Router im selben Netzwerk

Hallo,

ich habe eine etwas komplexere Netzwerk-Situation zu klären. Folgendes Szenario:

- Router A (Typ: Car-A-Wan)
> Besitzt zwei SIM-Module und stellt eine Verbindung zum Internet über das Mobilfunk-Netz her

- Wireless Router B (Typ: ASUS RT-N66U; Merlin firmware)
> Dient als DHCP Server
> Dient als WLAN-Accesspoint
> Soll VPN-Server zur Verfügung stellen

Die Frage ist nun, wie die beiden Geräte korrekt zu konfigurieren sind.
Bisher waren beide Geräte so konfiguriert:
A
- IP: 192.168.2.1
- DHCP aus
- Über LAN Port im Netzwerk
- Subnetz 255.255.255.0

B
- IP: 192.168.2.2
- DHCP ein
- Über LAN Port im Netzwerk
- Subnetz 255.255.255.0
- Gateway auf 192.168.2.1
- Kein VPN
- IP-Pool definiert

Das funktionierte auch Problemlos. Der Asus Router meldete als Status zwar, dass er nicht mit dem Internet verbunden sei, doch die Clients kamen ja rein.
Nun möchte ich allerdings die integrierte VPN-Server Funktion des Asus nutzen. Auf der Einrichtungs-Seite steht allerdings der Hinweis:
"Der WLAN-Router verwendet aktuell eine private WAN-IP-Addresse. Bitte konfigurieren Sie den DNS-Service, bevor Sie den VPN-Server starten."

Meine Vermutung war nun, dass das daran liegt, dass der ASUS ja nicht als Gateway dient. Router A ist ebenso nicht über den WAN-Port mit dem ASUS verbunden.
Das habe ich dann auch mal probiert und nach einigen Versuchen (Bilden zweier Subnetze und Ändern einiger Einstellungen) sagte der Asus, dass nun Internetverbindung bestehe.
Das Problem ist nur, dass die Clients jetzt nicht mehr ins Internet kommen. (Kein DNS-Problem - Ping auf 8.8.8.8 geht auch nicht durch)


Mach ich hier was komplett falsch, oder wie ist das am Besten einzurichten?

Vielen Dank

Content-Key: 257701

Url: https://administrator.de/contentid/257701

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: colinardo
Lösung colinardo 15.12.2014, aktualisiert am 16.12.2014 um 13:39:53 Uhr
Goto Top
Hallo megasus, Willkommen auf Administrator.de!
Das ist eine einfache Routerkaskade:
Siehe dazu das Tutorial von @aqui
Kopplung von 2 Routern am DSL Port
Auch sehr ausführlich bei Heise erläutert
http://m.heise.de/netze/artikel/Router-Kaskaden-1825801.html

Router A gibst du eine feste IP aus einem anderen Subnetz z.B. 192.168.50.1. Dann verbindest du Router A mit dem WAN Port von Router B. Auf Router B stellt du den WAN-Port auf eine feste IP aus dem Subnetz von Router A z.B. 192.168.50.2. Dort setzt du als Gateway die 192.168.50.1 und als DNS-Server entweder auch die des Routers A oder eine öffentliche wie die Google DNS Adresse. Und nicht die DHCP-Server Config des Routers B für das LAN Netz vergessen, dort musst du das Gateway und ev. eingetragenen DNS rauslöschen oder auf sich selber zeigen lassen!

Wichtig ! Jetzt solltest du entweder deine Clients rebooten oder mit ipconfig /Release und ipconfig /renew die Daten auf dem Client aktualisieren lassen !

Besser wäre es allerdings wenn sich Router A als pures Modem konfigurieren ließe, dann benötigst du keine Portforwardings auf Router A für die VPN-Ports.

Dann läuft das ganze face-wink

Grüße Uwe
Mitglied: megasus
megasus 15.12.2014 um 18:55:15 Uhr
Goto Top
Vielen Dank, werde das morgen mal testen.
Mitglied: megasus
megasus 16.12.2014 aktualisiert um 11:22:22 Uhr
Goto Top
Habe das mal versucht so umzusetzen.
Leider komme ich immernoch nicht mit den Clients ins Internet (auch kein Ping auf 8.8.8.8). Ich komme auch nicht mehr auf die Web-Konfiguration von Router A.

Hier mal Screenshots meiner Einstellungen:
http://imgur.com/a/o2uPY

Zitat von @colinardo:
Besser wäre es allerdings wenn sich Router A als pures Modem konfigurieren ließe, dann benötigst du keine
Portforwardings auf Router A für die VPN-Ports.


Nach welcher Option müsste ich denn da suchen? Die Konfigurationsmöglichkeiten halten sich bei Router A ja in Grenzen.
Habe es auch noch nicht geschaft den DHCP von A abzuschalten, stadtdessen habe ich das jetzt so eingestellt, dass er nur Addressen von 192.168.0.0 bis 192.168.0.0 verteilt..
Mitglied: colinardo
Lösung colinardo 16.12.2014 aktualisiert um 13:40:01 Uhr
Goto Top
Klar, wenn du auf dem WAN des ASUS kein NAT machst benötigst du auf dem CAR-A-WAN Router eine statische Route die auf den Asus-Router als Gateway zeigt !
Netz 192.168.2.0/24 mit Gateway 192.168.0.2

Wenn du stattdessen auf dem ASUS NAT aktivierst läuft es direkt auch ohne statische Route, dann ist zwischen den beiden Routern aber auch eine Firewall aktiv!

Grüße Uwe
Mitglied: megasus
megasus 16.12.2014 um 12:01:19 Uhr
Goto Top
Ok, nach aktivieren von NAT auf dem ASUS, kommen jetzt alle Clients ins Internet und auf die config-Seite komm ich jetzt auch wieder drauf.
Nun wollte ich noch den VPN-Server im Asus ans laufen bringen.
Da erhalte ich immernoch die Meldung:
"Der WLAN-Router verwendet aktuell eine private WAN-IP-Adresse (192.168.x.x, 10.x.x.x oder 172.16.x.x). Bitte konfigurieren Sie den DNS-Service, bevor Sie den VPN-Server starten."

Hab ihn trotzdem mal gestartet, eine Port-Weiterleitung im Car-A-Wan eingerichtet und versucht über die globale Ip mich von einem anderen Netzwerk aus zu verbinden. Das geht leider noch nicht.

Auch beim Einrichten einer Dynamischen DNS bekomme ich eine ähnlche Meldung:
"Der drahtlose Router verwendet derzeitig eine private WAN IP-Adresse (192.168.x.x, 10,x,x,x, oder 172.16.x.x). Er befindet sich evtl. im Multi-NAT-Betrieb, wobei DDNS-Service in solcher Umgebung nicht unterstützt wird."

Hier die Config:
http://imgur.com/a/cMDZR


Vielen Dank für deine Hilfe ;)
Mitglied: colinardo
colinardo 16.12.2014 aktualisiert um 12:25:38 Uhr
Goto Top
Check mal die Firewall, Standardmäßig blocken die Router den Zugriff von privaten RFC1918 Adressen auf dem WAN-Interface. Wenn sich das dort nicht konfigurieren lässt wäre ein reiner Modem-Betrieb des Car-A-WAN Routers die bessere Wahl solange dieser das überhaupt unterstützt (kann ich aber mangels Informationen zu diesem Router nicht sagen).

Zum Verbinden nehme dann die öffentliche IP des Car-A-WAN, da ja dann DDNS des Asus nicht funktionieren kann !

Checke zudem ob dein Mobilfunkanbieter VPN Verbdindungen überhaupt zulässt, und ob da nicht Provider-NAT vorgeschaltet ist !

Außerdem musst du in diesem Fall die OpenVPN-Config anpassen, da ja die IP-Adresse für den Zugriff im OpenVPN-Config-File nicht stimmt, da der Asus ja die falsche IP bzw. DNS Namen dort hinterlegt!!
Mitglied: megasus
megasus 16.12.2014 aktualisiert um 13:14:33 Uhr
Goto Top
Hab im Asus die Firewall mal deaktiviert, die ovpn config ip hatte ich bereits angepasst. Der Carawan hat 2 Module (Telekom und Vodafone). Hab natürlich dann unterschiedliche IP Adressen, jenachdem welches eingewählt ist.
Bei Beiden kommt allerdings keine Verbindung zustande.

Wenn ich mich mit dem VPN Client im selben Netzwerk befinde und entsprechend die lokale IP verwende, gehts natürlich.
Mitglied: colinardo
colinardo 16.12.2014 aktualisiert um 13:26:44 Uhr
Goto Top
Für OpenVPN-Grundlagen hinter NAT-Routern siehe:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Ansonsten sind Wireshark & Co dein Freund, vermutlich mal wieder die Firewall die da irgendwo quer schlägt

Ich hoffe nicht das du es von deinem internen Netzwerk über die externe IP versuchst, dann hast du nämlich ein Hairpin-NAT Problem, was der eher seltene Car-A-WAN Router sehr wahrscheinlich nicht supported. Hier also unbedingt über 3G etc. probieren.
Mitglied: megasus
megasus 16.12.2014 aktualisiert um 13:41:36 Uhr
Goto Top
Gut, das eigentliche Problem ist ja behoben. Werde mich da schon irgendwie durchwühlen. :D

Zitat von @colinardo:

Ich hoffe nicht das du es von deinem internen Netzwerk über die externe IP versuchst, dann hast du nämlich ein
Hairpin-NAT Problem, was der eher seltene Car-A-WAN Router sehr wahrscheinlich nicht supported. Hier also unbedingt über 3G
etc. probieren.

Also der VPN-Client ist auf einem Notebook, dass ich natürlich entweder in das "Asus" Netz einwähle, wenn ich es lokal versuche, oder eben in ein anderes, zweites Netz (normales DSL) einwähle, wenn ich es über die öffentliche IP versuchen will. Das sollte doch kein "Hairpin-NAT" Problem verursachen, oder?
Mitglied: colinardo
colinardo 16.12.2014 aktualisiert um 15:16:09 Uhr
Goto Top
Zitat von @megasus:
Also der VPN-Client ist auf einem Notebook, dass ich natürlich entweder in das "Asus" Netz einwähle, wenn ich
es lokal versuche, oder eben in ein anderes, zweites Netz (normales DSL) einwähle, wenn ich es über die öffentliche
IP versuchen will. Das sollte doch kein "Hairpin-NAT" Problem verursachen, oder?
Nein in dem Fall dann nicht, das geschilderte Hairpin oder Loopback NAT tritt nur dann in Erscheinung wenn du aus dem Asus Netz versuchen würdest über die externe IP des Mobilfunk-Routers zu verbinden:
Siehe dazu:
http://wiki.mikrotik.com/wiki/Hairpin_NAT

Aber wie gesagt schmeiß Wireshark an dann weißt du was Sache ist und ob überhaupt Pakete am Asus ankommen. Und komm jetzt nicht mit, "das hab ich noch nie benutzt", dazu gibt es diverse Tutorials im Netz ! Grundlagen Routing solltest du hier natürlich mitbringen.

Viel Erfolg.
Grüße Uwe