Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit Routing: Benötige von außen Zugriff auf ein Netzwerkgerät hinter einem 2. Router (Fritzbox und TP-Link-DD-WRT)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: gladoll

gladoll (Level 1) - Jetzt verbinden

26.09.2013, aktualisiert 28.09.2013, 3295 Aufrufe, 12 Kommentare, 2 Danke

Hallo zusammen,

seit Stunden bin ich jetzt schon am rumtesten doch leider stellt sich kein Erfolg ein, hoffe mir kann einer weiterhelfen:

Folgendes Szenario:

Netz 1: Fritzbox mit Internetzugang
192.168.178.1

Netz 2: TP-Link mit DD-WRT
192.168.1.1

Aufgabe:
Ich muss vom Internet auf ein Netzwerkgerät mit der IP 192.168.1.100 über den Port UDP/2030 zugreifen. Das Gerät hängt am TP-Link via LAN-Kabel.

Fritzbox und TP-Link sind untereinander mit Kabel verbunden: LAN Fritzbox -> WAN TP-Link

TP-Link hat feste WAN IP aus Fritzbox Netz bekommen (192.168.178.2)

In Fritzbox hab ich eine Portfreigabe auf 192.168.1.100 eingerichtet sowie eine Route von 192.168.178.0 auf 192.168.178.2 / 24

27ac1be9eb917c560c0daba4061199b2 - Klicke auf das Bild, um es zu vergrößern

Beide Netze haben einen eigenen DHCP (muss auch so bleiben), die Clients vom .1.0 Netz müssen nicht ins Internet, lediglich auf die 1.100 muss von Außerhalb/Internet zugegriffen werden.

Mit dieser Konstelation habe ich getestet, klappt aber leider nicht (bekomme keinen Zugriff von außen und auch keinen Ping vom Fritzbox Netz ins TP-Link Netz)


99e9805d2b2ff09ad53eb49d2e79ce2f - Klicke auf das Bild, um es zu vergrößern
e17c23990cec23b8ef30aab1dad2c901 - Klicke auf das Bild, um es zu vergrößern


Frage 1:
Wo hab ich den Denkfehler, hab ich auf dem TP-Link etwas vergessen, benötige ich hier auch Route + Portfreigabe?

Frage 2:
Ist die Verbindung in WAN Port richtig?

Frage 3:
Was wäre die beste Lösung?

Grüße,
Domi

Mitglied: Dobby
26.09.2013 um 16:00 Uhr
Hallo,

Was wäre die beste Lösung?
also zumindest so wie ich das sehe ist dann der Nutzen einer Router Kaskade hinüber!
Und da gibt es dann eigentlich auch keine Ausrede mehr wenn man das so machen
möchte wie Du es weiter oben erklärt hast nimm doch bitte einfach den DD-WRT Router
weg und ersetze Ihn durch einen ordentlichen Switch und setze VLANs ein und von mir
aus mach aus dem DD-WRT Router einen WLAN AP wenn Du WLAN brauchst.

Der Sinn einer Router Kaskade ist doch dass das erste Netzwerk via VPN oder über das
Internet zu erreichen ist und das dahinter liegende Netzwerk durch den zweiten Router
(DD-WRT) weiter geschützt wird! Sicherlich kann man dort auch am WAN Port etwas
öffnen (Ports) oder weiterleiten, wenn nicht sogar SPI/NAT ganz abschalten und nur
das einfache flache Routing nutzen, aber wie gesagt ich finde das dann immer etwas Sinnfrei!

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
26.09.2013 um 17:59 Uhr
Wenn mans richtig macht ist es kinderleicht !
Was du leider NICHT beschrieben hast oben ist ob der DD-WRT Router im Gateway (also NAT) oder Router Modus arbeitet ??
Um dir zielführend zu helfen ist das aber essentiell wichtig , denn bei NAT müsstest du 2mal Port Forwarding konfigurieren.
Gehen wir mal davon aus das du wie es sein soll transparent routest ohne NAT am DD-WRT, dann sind das deine ToDos:
  • DD-WRT in den Router Mode
  • Statische Route 192.168.1.0 mask 255.255.255.0 gateway 192.168.178.2 auf der FB konfigurieren
  • DD-WRT auf Static IP am WAN Port setzen und 192.168.178.2 /24 eintragen und das Gateway dort auf 192.168.178.1 setzen, ebenso den DNS.
  • Mit Ping und Traceroute untereinander checken ob die Netze erreichbar sind !
  • Wenn ja Port Forwarding an der FB UDP 2030 auf lokale IP 192.168.1.100 eintragen
  • Fertisch

Machst du dennoch kein transparentes routen sondern betreibst den DD-WRT im Gateway Modus (IP Routing Menü) dann musst du natürlich 2mal Port Forwarding machen, denn sonst kannst du die NAT Firewall des DD-WRT nicht überwinden...logisch !
Prozedur ist dann wie oben nur:
  • DD-WRT ist dann im Gateway Mode !
  • Statische Route an der FB kann entfallen !
  • Wenn ja Port Forwarding an der FB UDP 2030 auf lokale IP 192.168.178.2 eintragen
  • Dann am DD-WRT wiederum Port Forwarding UDP 2030 auf lokale IP 192.168.1.100 eintragen
  • Fertisch

Das sind die Optionen die du hast je nachdem WIE dein DD-WRT im Routing konfiguriert ist !!
Grundlagen dazu findest du hier:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
und
http://www.administrator.de/wissen/mit-einem-wlan-zwei-ip-netzwerke-ver ... (Kapitel "WAN Port Einstellungen")
Bitte warten ..
Mitglied: gladoll
28.09.2013 um 20:13 Uhr
Erstmal vielen Dank für die beiden Antworten! Der DD-WRT arbeitet als "Router" ... ich habe oben noch 3 Screenshots eingefügt.

Genau wie du es im Router Mode beschrieben hast, hatte ich es konfiguriert ... mein Problem ist aber, dass ich keinen Ping und keinen TR bekomme (getestet von einem PC der an der Fritzbox hängt) ... aus irgendeinem Grund finden sich die beiden Netze nicht ...

Noch ne Idee was mir den Ping versauen könnte? LG
Bitte warten ..
Mitglied: WandaStaab
29.12.2013 um 23:25 Uhr
Hallo gladoll.
Schade, dass der Thread ohne Lösung endet. Nur soviel dazu: Hatte letzthin ebenfalls einen TP-Link WR941ND hinter einer FritzBox 7390 hängen. Konfiguration wie bei Dir mit statischer Route in der FB. Mit DD-WRT hat es sofort nachdem ich die Firewall abgeschaltet hatte funktioniert. Bin dann aber wieder auf die Original FW von TP-Link zurück, weil die DD-WRT Version nur max. 54MBit/s zustande gebracht hat. Die Orig.FW schafft wieder ohne Probleme 300MBit/s, nur schaffe ich es hier mit identischer Konfiguration der beiden Router nicht, das Netz hinter dem TP-Link anzupingen. Firewall abschalten wie auch Portforwarding ins TP-Link Netz, als auch Einrichten eines PC im TP-L Netz als DMZ brachten keinen Erfolg. Es ist, als wenn man zwar in der Konfig des 941 die Firewall deaktivieren kann, sie in Wirklichkeit aber dennoch aktiv ist.
Bitte warten ..
Mitglied: aqui
30.12.2013, aktualisiert um 12:05 Uhr
.@WandaStaab
Das ist auch vollkommen logisch das du mit der original Firmware das Netz nicht erreichen kannst, denn die original FW erlaubt nicht das Abschalten des NAT Prozesses (IP Adress Translation) auf dem WAN/Internet Port.
Folglich verhindert also immer die dann aktive NAT Firewall im Router den Zugriff auf das Netzwerk dahinter und macht so das Routing immer zu einer Einbahnstrasse ! Kommt man eigentlich auch von selber drauf wenn man mal etwas nachdenkt und sich den Paket Datenfluss vor Augen führt...
Bei DD-WRT ist das der Gateway Mode = NAT oder Router Mode = ohne NAT im IP Setup.

Ein klassisches Verhalten was auch hier in der "Alternative 2" schon beschrieben ist oder auch hier im Kapitel "WAN Port Einstellungen]
Ein immerwiederkehrender Fragenklassiker hier im Forum bei kaskadierten Billigroutern wo NAT generell nicht abschaltbar ist !
Wenn man keinen anderen Router einsetzen will wie z.B. einen 35 Euro Mikrotik 750G oder DD-WRT etc. der das NAT Problem löst, dann kann man das nur mit statischer Port Weiterleitung sprich Port Frowarding umgehen.
Das ist natürlich nur ein mickriger Workaround, denn es funktioniert generell nur für ein einziges Endgerät im Netz dahinter. Nicht wirklich das was man will wenn man ein ganzes Netz transparent routen möchte.
Fazit: Es gibt generell nur 2 Lösungen:
  • 1. Frickellösung mit Port Forwarding
  • 2.. Technisch immer besser: Einen Router verwenden der NAT abschaltbar macht wie z.B. Mikrotik 750 usw.
P.S.: Wie hast du die angeblichen 54 Mbit gemessen ??? mit netIO http://www.nwlab.net/art/netio/netio.html oder IPerf ??
Bitte warten ..
Mitglied: Dobby
30.12.2013 um 12:49 Uhr
Schade, dass der Thread ohne Lösung endet.
Wer sagt das denn?

Es kommt eben nur darauf an ob der TO die beiden Router noch einmal zurücksetzt und dann
einfach noch einmal alles "zu Fuß" einträgt und gut ist es dann.

Was mich allerdings bei den meisten Leuten wirklich stört und zumeist ab und an schon richtig
ärgert ist doch folgendes: Wenn man drei Regeln beachtet bekommt das jeder zum fliegen, jeder.
- Eine Routerkaskade hat vorne am ersten Router ein Modem und am zweiten Router keines!
- Eine Routerkaskade setze ich auf wenn ich vorne am ersten Router das VPN terminieren möchte!
- Das was per VPN von außen erreicht werden soll. kommt hinter den ersten Router!

Mir ist daher völlig schleierhaft warum nun alle Welt es genau anders herum versucht und dann
hier im Forum nachfragt wo denn das Problem ist? Da komme ich eben nicht mehr so ganz mit!
Was soll denn bitte der zweite Router wenn das VPN dort terminiert werden soll?
Der ist dann völlig unnütz und deplatziert, dann lieber einen Switch für 30 € und den zweiten
Router als WLAN AP daran laufen lassen. Das macht dann auch alles Sinn und funktioniert eben so.

So und da könnt Ihr nun alle denken was Ihr wollt so funktioniert das bei mir seit über
einem Jahrzehnt und mit gefühlten 14 + Routern und Firewalls die ich nach und nach ausprobiert habe!
Zur Zeit benutze ich eine AVM Fritz!Box als ersten Router und dahinter eine Netgear FVS336Gv2 Firewall.

Gruß
Dobby
Bitte warten ..
Mitglied: WandaStaab
30.12.2013 um 22:54 Uhr
Zitat von aqui:

.@WandaStaab
Das ist auch vollkommen logisch das du mit der original Firmware das Netz nicht erreichen kannst, denn die original FW erlaubt
nicht das Abschalten des NAT Prozesses (IP Adress Translation) auf dem WAN/Internet Port.
Naja, mir war es nicht bekannt und auch nicht logisch. Als Nicht-ITler setze ich eine gewisse Benutzerfreundlichkeit voraus. Bin leichtsinnig davon ausgegangen, dass der TP Link großzügigerweise durch Abschalten der FW auch NAT deaktiviert. Würde meiner Meinung nach durchaus Sinn machen, oder ein Kästchen zum An-/Abhaken mehr im Setup ...

Folglich verhindert also immer die dann aktive NAT Firewall im Router den Zugriff auf das Netzwerk dahinter und macht so das
Routing immer zu einer Einbahnstrasse ! Kommt man eigentlich auch von selber drauf wenn man mal etwas nachdenkt und sich den Paket
Datenfluss vor Augen führt...
Ja, klar, logisch, wenn man weiß, dass NAT nicht abgeschaltet wird..

* 1. Frickellösung mit Port Forwarding
Hat ebenfalls nicht funktioniert. Warum auch immer.

* 2.. Technisch immer besser: Einen Router verwenden der NAT abschaltbar macht wie z.B. Mikrotik 750 usw.
Werde DD WRT wieder aufspielen...

P.S.: Wie hast du die angeblichen 54 Mbit gemessen ??? mit netIO http://www.nwlab.net/art/netio/netio.html oder IPerf ??
Ha, ertappt. Ich habe gar nicht gemessen, sondern mich auf die DD WRT Anzeige der verbundenen Clients verlassen, meinte aber auch nicht den tatsächlichen Durchsatz. Alle verbunden mit 54MBit/s, und Beta FW hin oder her; ich wollte mir nicht vorstellen, dass die Anzeige derart fehlerhaft ist.
Bitte warten ..
Mitglied: WandaStaab
30.12.2013, aktualisiert um 23:08 Uhr
Zitat von Dobby:

> Schade, dass der Thread ohne Lösung endet.
Wer sagt das denn?
Ich wollte nicht auf das ursprüngliche Problem mit dem nicht funktionierenden VPN hinaus. Der Kommentar von gladoll am 28.09.2013 passte nur prinzipiell auf mein Problem, leider nur bis zum Kommentar von aqui am 30.12.2013.
Bitte warten ..
Mitglied: aqui
31.12.2013, aktualisiert um 15:35 Uhr
Benutzerfreundlichkeit darfst du nicht bei billigster Consumer Hardware voraussetzen. Das sagt einem auch aber schon der gesunden Menschenverstand auch als Nicht ITler, oder ?!
Leider merkt man das auch an deinen anderen nicht erfolgreichen Frickelversuchen, sorry...
1.) .. .Hat ebenfalls nicht funktioniert. Warum auch immer...
Hat vermutlich deshalb nicht funktioniert weil du mit DHCP IP Adressen gearbeitet hast. Diese sind dynmaisch und können sich ändern. Das Port Forwarding klappt aber immer nur auf eine feste statische IP. Wenn diese IP sich also ändert mit dem nächsten DHCP Lease dann geht dein Port Forwarding ins Nirwana und nix funktioniert. In die Falle bist du vermutlich blind getappt ?!
Das Problem mit Port Forwarding ist das du dann auch statische IPs festgelegt bist was die Lösung eigentlich nicht praktikabel macht...deshalb ja auch Frickellösung !
2.) .. .Ha, ertappt. Ich habe gar nicht gemessen,..
war (fast) klar !! Passiert Laien immer die nur auf die dumme Anzeige der negoiateten Datenrate schielen und glauben das das so ist. Das ist natürlich wie immer im richtigen Leben Blödsinn bzw. diese Anzeige ist maximal ein grobes Schätzeisen, denn sie zeigt immer nur die Brutto Datenrate an, hat also mit dem realen Leben soviel zu tun wie ein Fisch mit einem Fahrrad.
WLAN mit 802.11g Standard kann prizipeinbedingt nur 54 Mbit Brutto.
Du solltest dazu besse rmal das lesen:
http://www.tomsnetworking.de/content/reports/j2005a/report_wlan_luege/
Fazit: Besser keine laienhaften Halbwahrheiten in einem Administrator Forum posten sondern erstmal in Ruhe die Fakten lesen und verstehen !
Deine Anbindung machst du besser kabelbasierend wenn es geht, dann hast du auch den vollen Durchsatz...oder...misst ihn real mit netIO oder IPerf !
Bitte warten ..
Mitglied: WandaStaab
01.01.2014 um 18:05 Uhr
Schönes neues Jahr zunächst mal.

Zitat von aqui:

Leider merkt man das auch an deinen anderen nicht erfolgreichen Frickelversuchen, sorry...
Kein Problem, bin in Grenzen kritikfähig und höre manchmal auch auf andere, die es besser wissen.

>> 1.) .. .Hat ebenfalls nicht funktioniert. Warum auch immer...
Hat vermutlich deshalb nicht funktioniert weil du mit DHCP IP Adressen gearbeitet hast.[..] In die Falle bist du vermutlich blind
getappt ?!
Nein, hatte statische IP vergeben. Habe es aber auch nicht weiter verfolgt, da ich es über Portforwarding nicht realisieren wollte.

>> 2.) .. .Ha, ertappt. Ich habe gar nicht gemessen,..
war (fast) klar !! Passiert Laien immer die nur auf die dumme Anzeige der negoiateten Datenrate schielen [..] diese Anzeige ist maximal ein grobes Schätzeisen, denn sie zeigt immer nur die Brutto Datenrate an, [..]
WLAN mit 802.11g Standard kann prizipeinbedingt nur 54 Mbit Brutto.
Hm, das ist sogar mir bekannt. Nur zeigt die Original FW connects mit 300MB nach n-Standard an, mit Übertragungsraten bei 7-8 MByte/s (Anzeige unter WIN7 prof. bei Kopieren von Dateien zwischen 5MB und 2GB, und die DD-WRT FW eben nur connects mit 54MBit und dazu passenden 1-1,7 MByte/s. Um dann zu wissen, wo ich ungefähr stehe, kann ich mir eine bitgenaue Analyse schenken.

Du solltest dazu besse rmal das lesen:
http://www.tomsnetworking.de/content/reports/j2005a/report_wlan_luege/
Fazit: Besser keine laienhaften Halbwahrheiten in einem Administrator Forum posten sondern erstmal in Ruhe die Fakten lesen und
verstehen !
Ich lese in diesem Forum relativ viel, bin aber bisher nicht davon ausgegangen, dass es sich um ein rein für tatsächliche, professionelle IT Administratoren gedachtes Forum handelt, sondern, habe es bisher für eines gehalten, in dem auch Laien- bzw. 'Familiennetzwerkadmins' fragen und mitwirken können/dürfen, notfalls und im Lernprozess auch mit Halbwahrheiten (die können von Euch Pros ja dann verneint oder korrigiert werden). Wenn dem so nicht ist, bin ich gerne bereit meine Mitgliedschaft zu beenden. Da genügt ein kurzer Hinweis.

Deine Anbindung machst du besser kabelbasierend wenn es geht, dann hast du auch den vollen Durchsatz...oder...misst ihn real mit
netIO oder IPerf !
Kabel wäre sinnvoll, ja, geht aber nicht, nein.
Bitte warten ..
Mitglied: Dobby
01.01.2014 um 19:04 Uhr
Ich lese in diesem Forum relativ viel, bin aber bisher nicht davon ausgegangen,
dass es sich um ein rein für tatsächliche, professionelle IT Administratoren gedachtes Forum handelt
Früher war dem wohl einmal so.


sondern, habe es bisher für eines gehalten, in dem auch Laien- bzw. 'Familiennetzwerkadmins'
fragen und mitwirken können/dürfen, notfalls und im Lernprozess auch mit Halbwahrheiten
Ist ja auch so!

(die können von Euch Pros ja dann verneint oder korrigiert werden).
Ob dazu nun jeder Lust und Laune hat musst Du Ihm aber auch selbst überlasen.

Wenn dem so nicht ist, bin ich gerne bereit meine Mitgliedschaft zu beenden.
Warum?

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
02.01.2014, aktualisiert um 10:04 Uhr
... ."professionelle IT Administratoren gedachtes Forum handelt,"
Bei Toms Hardware ist das sicher so hier aber nicht !! Ist aber zugegebenermaßen für einen Laien mit wenig Kenntniss des IT Umfelds schwer zu differenzieren !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerkmanagement
VPN Server über FritzBox oder über DD-WRT Router (1)

Frage von ValdoAddams zum Thema Netzwerkmanagement ...

Netzwerkprotokolle
DD-WRT Router: Frage zum Routing (13)

Frage von D46505Pl zum Thema Netzwerkprotokolle ...

Router & Routing
TP-Link Router VPN Verbindung Router Oberfläche nicht erreichbar (3)

Frage von D46505Pl zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...