6
Frage zu Routing-Problemstellung 2 Router
Hallo zusammen,
nachdem mir die Anleitungen aus dem Wissens-Bereich nicht wirklich weiter geholfen haben (oder ich die nicht verstanden habe), bitte ich hier die geneigte Fachkompetenz um Hilfe.
Ich betreue ein kleines Unternehmen, das sich über 2 Stockwerke verzeilt.
Zur Zeit werden 2 Internet-Zugänge redundant genutzt. Ein Zugangspunkt befindet sich im unteren Stockwerk, der andere oben.
Beide Internet-Zugänge werden über je eine FritzBox (6390&7490) hergestellt.
Der zentrale Router ist ein Vigor 2925n. Dieser steht im unteren Stock, wie auch der "Kabel-Fritz".
Vigor-WAN1 --> 6390-LAN1: kein Problem
Vigor-WAN2 --> 7490-LAN1:
Die Verbindung in den oberen Stock erfolgt über 1 (in Worten: eine) LAN-Kabel-Verbindung. Weitere Kabel-Verbindungen sind nicht vorhanden.
Die 7490 stellt momentan lediglich den 2. Internet-Zugang zur Verfügung.
Es gibt 3 interne LANs (<Netz1>,<Netz2> und <Netz3>), die über den Vigor verwaltet werden, der auch den redundanten Zugang zum Internet regelt.
Der Vigor bietet auch WLAN für <Netz1> und <N2> an (nur so nebenbei)
Soweit - so gut.
NEU ist jetzt, dass auch im oberen Stockwerk LAN-Arbeitsplätze eingerichtet sind. Diese will ich verkabelt an die 7490 hängen.
Der redundante Internet-Zugang ist für diese Plätze erst mal nicht relevant.
Allerdings müssen sie mit im LAN1 hängen bzw. die Geräte im LAN1 im unteren Stock erreichen können.
Die andere Richtung (von <Netz1> zur 7490 über WAN2) klappt soweit - auch dort angeschlossene Geräte.
Nur von der 7490 zurück nach <Netz1> über WAN2 macht Probleme.
In der 7490 habe ich eine Statische Route eingerichtet: 192.168.164.0/24 über 192.168.178.10 (feste IP WAN-Port2 vom Vigor)
Ping von 192.168.164.1 (der Vigor) nach 192.168.178.x geht.
Ping aus dem x.178.x-Netz Richtung 192.168.164.0 geht nicht.
Trace geht nur bis zur 192.168.178.10 .
Hier scheitere ich offenbar an der korrekten Konfig des 2925 (habe aber dazu auch nix wirklich hilfreiches gefunden)
Mir scheint, der Vigor blockt WAN2 -> <Netz1> bzw. weiß nicht, was er damit machen soll.
Und ich weiß nicht, wie ich's ihm am Besten sage
--> Hat hier jemand eine Idee wie ich den Vigor richtig konfiguriere.
Meine Alternative:
Der 2. Ansatz von mir wäre, die Redundanz der Internet-Zugänge aufzugeben und <Netz1> komplett von der 7490 verwalten zu lassen.
Die Kabelverbindung geht dann Vigor-LAN1 <--> 7490-LAN1 -- Also NICHT über den WAN-Port.
DHCP im Vigor aus bzw. er holt sich die IP von der 7490.
Internet im <Netz1> geht dann nur noch über die 7490.
<Netz2> und <Netz3> laufen über Vigor-WAN1 zur 6390.
Das würde ich jedoch nur ungern so machen, da im <Netz-1> im unteren Stock doch recht viel Betrieb ist (viele kleine und große Datenmengen, die da durch's Netz gehen).
Ich habe da Bedenken, dass die Verbindung nach oben zum 'neuen' zentralen Router ein Engpass wird.
So - ich hoffe, mein Problem ist kein zu großer 'Stuss' und jemand hat eine hilfreiche Lösung.
Rainer
nachdem mir die Anleitungen aus dem Wissens-Bereich nicht wirklich weiter geholfen haben (oder ich die nicht verstanden habe), bitte ich hier die geneigte Fachkompetenz um Hilfe.
Ich betreue ein kleines Unternehmen, das sich über 2 Stockwerke verzeilt.
Zur Zeit werden 2 Internet-Zugänge redundant genutzt. Ein Zugangspunkt befindet sich im unteren Stockwerk, der andere oben.
Beide Internet-Zugänge werden über je eine FritzBox (6390&7490) hergestellt.
Der zentrale Router ist ein Vigor 2925n. Dieser steht im unteren Stock, wie auch der "Kabel-Fritz".
Vigor-WAN1 --> 6390-LAN1: kein Problem
Vigor-WAN2 --> 7490-LAN1:
Die Verbindung in den oberen Stock erfolgt über 1 (in Worten: eine) LAN-Kabel-Verbindung. Weitere Kabel-Verbindungen sind nicht vorhanden.
Die 7490 stellt momentan lediglich den 2. Internet-Zugang zur Verfügung.
Es gibt 3 interne LANs (<Netz1>,<Netz2> und <Netz3>), die über den Vigor verwaltet werden, der auch den redundanten Zugang zum Internet regelt.
Der Vigor bietet auch WLAN für <Netz1> und <N2> an (nur so nebenbei)
Soweit - so gut.
NEU ist jetzt, dass auch im oberen Stockwerk LAN-Arbeitsplätze eingerichtet sind. Diese will ich verkabelt an die 7490 hängen.
Der redundante Internet-Zugang ist für diese Plätze erst mal nicht relevant.
Allerdings müssen sie mit im LAN1 hängen bzw. die Geräte im LAN1 im unteren Stock erreichen können.
Die andere Richtung (von <Netz1> zur 7490 über WAN2) klappt soweit - auch dort angeschlossene Geräte.
Nur von der 7490 zurück nach <Netz1> über WAN2 macht Probleme.
In der 7490 habe ich eine Statische Route eingerichtet: 192.168.164.0/24 über 192.168.178.10 (feste IP WAN-Port2 vom Vigor)
Ping von 192.168.164.1 (der Vigor) nach 192.168.178.x geht.
Ping aus dem x.178.x-Netz Richtung 192.168.164.0 geht nicht.
Trace geht nur bis zur 192.168.178.10 .
Hier scheitere ich offenbar an der korrekten Konfig des 2925 (habe aber dazu auch nix wirklich hilfreiches gefunden)
Mir scheint, der Vigor blockt WAN2 -> <Netz1> bzw. weiß nicht, was er damit machen soll.
Und ich weiß nicht, wie ich's ihm am Besten sage
--> Hat hier jemand eine Idee wie ich den Vigor richtig konfiguriere.
Meine Alternative:
Der 2. Ansatz von mir wäre, die Redundanz der Internet-Zugänge aufzugeben und <Netz1> komplett von der 7490 verwalten zu lassen.
Die Kabelverbindung geht dann Vigor-LAN1 <--> 7490-LAN1 -- Also NICHT über den WAN-Port.
DHCP im Vigor aus bzw. er holt sich die IP von der 7490.
Internet im <Netz1> geht dann nur noch über die 7490.
<Netz2> und <Netz3> laufen über Vigor-WAN1 zur 6390.
Das würde ich jedoch nur ungern so machen, da im <Netz-1> im unteren Stock doch recht viel Betrieb ist (viele kleine und große Datenmengen, die da durch's Netz gehen).
Ich habe da Bedenken, dass die Verbindung nach oben zum 'neuen' zentralen Router ein Engpass wird.
So - ich hoffe, mein Problem ist kein zu großer 'Stuss' und jemand hat eine hilfreiche Lösung.
Rainer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 289219
Url: https://administrator.de/contentid/289219
Printed on: April 19, 2024 at 05:04 o'clock
6 Comments
Latest comment
Hi,
klar blockiert der 2925 da dieser ja "denkt" an WAN2 ist ein öffentliches Netz. D.h. Standardmäßig lässt er vom seinem Netz aus Richtung 192.168.164.0/24 Netz alle Anfragen zu 192.168.178.x durch blockiert aber alle externen Anfragen (muss er ja). In der Konfiguration der Firewall (und evtl. NAT wenn eine Addressübersetzung erfolgen soll) müssen erst dementsprechende Firewall-Regeln erstellt werden (in dem Fall erlaube 192.168.164.0/24 Anfragen TCP/UDP zu 192.168.178.0/24).
Gruß
klar blockiert der 2925 da dieser ja "denkt" an WAN2 ist ein öffentliches Netz. D.h. Standardmäßig lässt er vom seinem Netz aus Richtung 192.168.164.0/24 Netz alle Anfragen zu 192.168.178.x durch blockiert aber alle externen Anfragen (muss er ja). In der Konfiguration der Firewall (und evtl. NAT wenn eine Addressübersetzung erfolgen soll) müssen erst dementsprechende Firewall-Regeln erstellt werden (in dem Fall erlaube 192.168.164.0/24 Anfragen TCP/UDP zu 192.168.178.0/24).
Gruß
1
Naja - dass das eine Firewall-Sache ist, ist mir schon klar.
Das Haupt-Problem ist, dass ich es nicht hinbekomme, dem 2925 beizubringen, dass er TCP/UDP von WAN2 nach <Netz1> komplett durchlassen soll.
Ich habe in der Konfig der Firewall zwar eine entsprechende Regel eingerichtet (so, wie ich das Draytek-Manual verstanden habe), nur es kommt immernoch nix durch. Also scheine ich wohl irgendwo was übersehen zu haben.
Weiß zufällig jemand, wo ich beim 2925 überall Einstellungen vornehmen muss, um dieses Ziel zu erreichen?
Ich war bislang der Meinung, die Firewall würde ausreichen. Das scheint aber nicht der Fall zu sein.
Viele Grüße
Das Haupt-Problem ist, dass ich es nicht hinbekomme, dem 2925 beizubringen, dass er TCP/UDP von WAN2 nach <Netz1> komplett durchlassen soll.
Ich habe in der Konfig der Firewall zwar eine entsprechende Regel eingerichtet (so, wie ich das Draytek-Manual verstanden habe), nur es kommt immernoch nix durch. Also scheine ich wohl irgendwo was übersehen zu haben.
Weiß zufällig jemand, wo ich beim 2925 überall Einstellungen vornehmen muss, um dieses Ziel zu erreichen?
Ich war bislang der Meinung, die Firewall würde ausreichen. Das scheint aber nicht der Fall zu sein.
Viele Grüße
Evtl. mal noch schauen ob ein Routing Eintrag der beiden Netze fehlt
Genau da beginnt mein Problem.
In der 7490 die Statische Route ist m.E. klar und korrekt eingetragen. Oder?
Auf der Vigor-Seite habe ich eine FW-Regel erstellt....
... die aus meiner Sicht logisch erscheint.
Aber die scheint nicht zu greifen bzw. meine Logik und die Logik des Vigor "befinden sich in unterscheidlichen Netzen" -> ich hab da was falsch gemacht.
Es scheint mir, dass es von der 7490 schon bis zum WAN-Port des 2925 geht. Aber an dieser Stelle passiert dann nix mehr.
Es geht ja auch kein Ping auf die WAN-IP des Vigor (192.168.178.10). Die Route bis dahin (trace auf eine IP aus 192.168.164.0/24) geht bis zur 192.168.178.10.
An einer Lösung bin ich immer noch sehr interessiert.
Gruß
In der 7490 die Statische Route ist m.E. klar und korrekt eingetragen. Oder?
Auf der Vigor-Seite habe ich eine FW-Regel erstellt....
Aber die scheint nicht zu greifen bzw. meine Logik und die Logik des Vigor "befinden sich in unterscheidlichen Netzen" -> ich hab da was falsch gemacht.
Es scheint mir, dass es von der 7490 schon bis zum WAN-Port des 2925 geht. Aber an dieser Stelle passiert dann nix mehr.
Es geht ja auch kein Ping auf die WAN-IP des Vigor (192.168.178.10). Die Route bis dahin (trace auf eine IP aus 192.168.164.0/24) geht bis zur 192.168.178.10.
An einer Lösung bin ich immer noch sehr interessiert.
Gruß
Habe mich jetzt nur kurz mal mit dem Draytek beschäftigt zum Glück gibt es da ein Live-Demo auf deren Website.
Im Draytek hast du aber lediglich die Firewall-Regel eingetragen aber noch kein Routing Eintrag gemacht oder?
Im Draytek auf
Load Balancing / Route Policy -> Index auswählen und die Source /Destination IP-Ranges eintragen.
Sollte meines Verständnisses her dann funktionieren. Am besten noch bei Diagnostic -> Routing Table kontrollieren
Im Draytek hast du aber lediglich die Firewall-Regel eingetragen aber noch kein Routing Eintrag gemacht oder?
Im Draytek auf
Load Balancing / Route Policy -> Index auswählen und die Source /Destination IP-Ranges eintragen.
Sollte meines Verständnisses her dann funktionieren. Am besten noch bei Diagnostic -> Routing Table kontrollieren
Der Bereich "Load Balancing / Route Policy" bezieht sich leidiglich auf rausgehende Pakete. Da war ich auch schon mal dran.
Wenn ich als Souce die IP vom WAN2 nehme (also aus 192.168.178.0/24) und als Destination den range aus 192.168.164.0/24 (entsprechend der hier notwendigen Schreibweisen), bringt das nichts. Der Vigor "dropt die Diagnose-Pakets" und meint, dass die Source nicht aus einem der interen IP-Subnetze kommt und das das daher nicht möglich ist.
Ich vermute eher, dass mein obiges Problem am NAT liegt, das in der Richtung WAN -> LAN Probleme macht.
Soweit ich im Internet recherchiert habe, läßt sich das NAT beim Vigor wohl nicht abschalten (korrigiert micht, wenn ich falsch liege).
Auf der anderen Seite ist es ja kein Problem einen einzelnen Rechner (oder eine einzelne interne IP-Adresse aus <Netz1>) von der WAN2-Seite her erreichbar zu machen (über NAT). Nur wie mache ich das mit einem ganzen internen Sub-Netz?
Es ist doch so, dass bei einer DMZ oder einem eingetragenen Port-Forwarding Pakete an die WAN-IP entsprechend durchgereicht, also per NAT an die interne IP gesendet werden. Das heißt dann doch, dass die Pakete von extern an die WAN-IP gesendet werden müssen. Also hier an die 192.168.178.10.
Im Vigor ist dann unter DMZ oder PortForwarding eingetragen, wass mit Anfragen ->AN diese IP<- passieren soll.
Der 7490 sendet nun jedoch Pakete an die Vigor-internen IP-Adressen aus 192.168.164.0/24 (also z.B. 192.168.164.15) an den WAN-Port des Vigor. Das ist in der 7490 eingetragen mit 192.168.178.10 lediglich als Gateway.
In der Firewall des Vigor habe ich zwar eingetragen, dass Pakete mit IP's von/aus 192.168.178.0/24 an 192.168.164.0/24 durchgelassen werden sollen.
Nur scheint der Vigor diese Pakete mit Ziel-IP's 192.168.164.0/24 von extern (WAN-Seite) gar nicht zu akzeptieren.
Also bin ich immernoch auf der Suche, an welcher Stelle ich dem Vigor beibringen kann/muss/soll, was er mit IP-Paketen am WAN2 machen soll, mit denen er dort erst mal nix anfangen kann. Also quasi am WAN2-Port von extern nach intern sowas wie ein Gateway eintragen (hier dann die Gateway-Adresse vom internen <Netz1> des Vigor: 192.168.164.1), damit der Vigor dann 'intern' nachsehen kann, wohin er das Paket routen soll.
Lediglich die Firewall-Einstellung scheint nicht auszureichen.
Vielleicht ist es aber auch so, dass es entweder mit dem Vigor schlicht gesagt "so nicht geht" oder gar nicht geht.
Vielleicht hat ja jemand hier DIE LÖSUNG.
Meine grundsätzliche Frage daher:
Ist es überhaupt möglich den Vigor2925 als 'betriebsinternen' Router einzusetzen, der innerhalb der Hauseigenen Netzwerkinfrastruktur zwischen verschiedenen Subnetzen LAN<->WAN-Seitig(!) in beide Richtungen routen kann?
Dass der Vigor LAN-Seitig mehrere Subnetze verwalten und routen kann, ist mir klar. Dafür ist das Ding ja auch da.
Die Frage ist aber - in diesem speziellen Fall - ob er das auch LAN<->WAN-seitig hinbekommt.
Noch habe ich die Hoffnung mit dem Vigor nicht aufgegeben.
Gruß
Rainer
Wenn ich als Souce die IP vom WAN2 nehme (also aus 192.168.178.0/24) und als Destination den range aus 192.168.164.0/24 (entsprechend der hier notwendigen Schreibweisen), bringt das nichts. Der Vigor "dropt die Diagnose-Pakets" und meint, dass die Source nicht aus einem der interen IP-Subnetze kommt und das das daher nicht möglich ist.
Ich vermute eher, dass mein obiges Problem am NAT liegt, das in der Richtung WAN -> LAN Probleme macht.
Soweit ich im Internet recherchiert habe, läßt sich das NAT beim Vigor wohl nicht abschalten (korrigiert micht, wenn ich falsch liege).
Auf der anderen Seite ist es ja kein Problem einen einzelnen Rechner (oder eine einzelne interne IP-Adresse aus <Netz1>) von der WAN2-Seite her erreichbar zu machen (über NAT). Nur wie mache ich das mit einem ganzen internen Sub-Netz?
Es ist doch so, dass bei einer DMZ oder einem eingetragenen Port-Forwarding Pakete an die WAN-IP entsprechend durchgereicht, also per NAT an die interne IP gesendet werden. Das heißt dann doch, dass die Pakete von extern an die WAN-IP gesendet werden müssen. Also hier an die 192.168.178.10.
Im Vigor ist dann unter DMZ oder PortForwarding eingetragen, wass mit Anfragen ->AN diese IP<- passieren soll.
Der 7490 sendet nun jedoch Pakete an die Vigor-internen IP-Adressen aus 192.168.164.0/24 (also z.B. 192.168.164.15) an den WAN-Port des Vigor. Das ist in der 7490 eingetragen mit 192.168.178.10 lediglich als Gateway.
In der Firewall des Vigor habe ich zwar eingetragen, dass Pakete mit IP's von/aus 192.168.178.0/24 an 192.168.164.0/24 durchgelassen werden sollen.
Nur scheint der Vigor diese Pakete mit Ziel-IP's 192.168.164.0/24 von extern (WAN-Seite) gar nicht zu akzeptieren.
Also bin ich immernoch auf der Suche, an welcher Stelle ich dem Vigor beibringen kann/muss/soll, was er mit IP-Paketen am WAN2 machen soll, mit denen er dort erst mal nix anfangen kann. Also quasi am WAN2-Port von extern nach intern sowas wie ein Gateway eintragen (hier dann die Gateway-Adresse vom internen <Netz1> des Vigor: 192.168.164.1), damit der Vigor dann 'intern' nachsehen kann, wohin er das Paket routen soll.
Lediglich die Firewall-Einstellung scheint nicht auszureichen.
Vielleicht ist es aber auch so, dass es entweder mit dem Vigor schlicht gesagt "so nicht geht" oder gar nicht geht.
Vielleicht hat ja jemand hier DIE LÖSUNG.
Meine grundsätzliche Frage daher:
Ist es überhaupt möglich den Vigor2925 als 'betriebsinternen' Router einzusetzen, der innerhalb der Hauseigenen Netzwerkinfrastruktur zwischen verschiedenen Subnetzen LAN<->WAN-Seitig(!) in beide Richtungen routen kann?
Dass der Vigor LAN-Seitig mehrere Subnetze verwalten und routen kann, ist mir klar. Dafür ist das Ding ja auch da.
Die Frage ist aber - in diesem speziellen Fall - ob er das auch LAN<->WAN-seitig hinbekommt.
Noch habe ich die Hoffnung mit dem Vigor nicht aufgegeben.
Gruß
Rainer
