[Gelöst] FritzBoxen kaskadieren für Subneting

WileC

Mitglied
Mitglied seit
28 Nov 2007
Beiträge
395
Punkte für Reaktionen
13
Punkte
18
Hallo liebes Forum,

ich habe ein FritzBox-Netzwerk "192.168.1.0" (FB1), wobei diese Fritzbox als DSL-Router eingerichtet ist.

Nun möchte ich eine zweite Fritzbox per LAN1 und dem Netzwerk "192.168.188.0" (FB2) dahinter klemmen. Es können nun die Clients aus dem FB2-Netzwerk auf die Clients des FB1-Neztwerks wegen der Standardroute zugreifen und ins Internet gehen.

Aber anders herum gehts nicht, da ja die kaskadierte Fritzbox die Firewall/NAT/PAT in Betrieb hält. Ausschalten kann man sie ja in dieser Betriebsart nicht.

Nun ist meine Frage, um von FB1-Netzwerk auf das FB2-Netzwerk zuzugreifen, wie ich das am besten bewerkstelligen kann.

1.) über das freetz AVM-Firewall.cgi ?
2.) mit der unschönen Lösung einer "internen" VPN-Verbindung Fritzbox-Fritzbox
3.) die Möglichkeit der Änderung an der AR7.cfg der FB2 über einen geklauten Eintrag der vpn.cfg -> accesslist = "permit ip any 192.168.1.0 255.255.255.0"; Gibt es so eine Einstellung in der Box? kann man die Firewall der kaskadierten FritzBox insoweit öffnen, dass Anfragen aus dem 192.168.1.0. Netz zugelassen und durchgereicht werden?

MfG
Tobias
 
Zuletzt bearbeitet:
Das liegt nicht an Firewall, sondern daran dass entscheidende Geräte nicht wissen, wo dieses Netz ist. Du brauchst zuerst eine Route in der ersten Box zur zweiten.
 
Das ist grundsätzlich richtig, aber wegen der statischen Route kommen die Pakete ja noch lange nicht durch die Firewall oder das NAT der zweiten Fritzbox, da es ja Pakete von "außen" sind.

Ich habe zwischenzeitlich mit einer VPN-Verbindung über LAN-LAN gespielt, mit dem Ergebnis, dass eine Verbindung nicht hergestellt wird...
 
Dann betreibe die zweite FB als IP Client, im Router Modus ist doch gewollt, dass Firewall blockiert.

Die Route wurde ja bereits genannt, dann ist im zweiten Router auch mit Portfreigaben zu arbeiten, da das Heimnetz an zweiten FB eben als Internet gilt.
 
So ist es ja, die Box wird als IP-Client mit eigenem Netz betrieben, so wie im Eingangs-Post beschrieben. Ich möchte aber, dass man vom 1. Fritzbox netz, ins zweite untergeordnete Fritzboxnetz kommt...

Per VPN-Tunnel bohrt ja auch ein Loch durch die Firewall.

Da kann man bestimmt was in der AR7.cfg bei den Interfaces in der Accesslist einstellen, dass Datenpakete von 192.168.1.0/24 durchgelassen werden, auch wenn sie aus dem "Internet" am LAN1 ankommen.
 
IP-Client = selbe Netz, keine Firewall und kein Routing notwendig

Und genau dass hast du ja nicht, du betreibst die als Router im eigenen Netz, damit auch Firewall/NAT/Freigaben + Route ect.

Zu Modifizierung kann ich dir nichts sagen.
 
Und genau das wären die Informationen, die ich benötigen würde. Modifikation der AR7.cfg

- - - Aktualisiert - - -

Also ich konnte das Problem über die AR7.cfg lösen. Nun funktioniert die kaskadierte Fritz!Box (FB) wie ein LAN-Router.

Ich habe in der AR7.cfg das IP-Masquerading für die dsl-interfaces ausgeschaltet. Hier im folgenden dargestellt:

Code:
 dslifaces {
                enabled = yes;
                name = "internet";
                weight = 50;
                dsl_encap = dslencap_inherit;
                dslinterfacename = "dsl";
                [COLOR=#ff0000][B]no_masquerading = yes;              # hier steht standard-mäßig "no" drin[/B][/COLOR]
                use_fixed_masqaddr_if_no_masquerading = no;
                no_firewall = no;
                stackmode = stackmode_ipv4only;
                pppoevlanauto = no;
                pppoevlanauto_startwithvlan = no;
                ppptarget = "internet";
                rfc4638_enabled = no;
                fixed_masqaddr = 0.0.0.0;
                mtu = 0;
                gre_server_cfg {
                        server_dnsprefer = protoprefer_ipv4;
                        dpd {
                                inactivity = 20s;
                                replywait = 1s;
                                npings = 4;
                                period = 30s;
                        }
                        allow_netbios = no;
                }
                etherencapcfg {
                        use_dhcp = no;
                        use_dhcp_if_not_encap_ether = no;
                        ipaddr = 192.168.1.5;
                        netmask = 255.255.255.0;
                        gateway = 192.168.1.1;
                        dns1 = 192.168.1.10;
                        dns2 = 192.168.1.1;
                }
                is_mcupstream = yes;
                stay_always_online = no;
                disable_ondemand = no;
                reconnect_delay_after_conn_abort = 30s;
                only_route_when_connected = no;
                redial_delay_after_auth_failure = 1m;
                redial_limit = 3;
                redial_after_limit_reached = 10m;
                redial_after_limit_reached_variance = 5m;
                redial_delay_after_low_error = 10s;
                redial_delay_after_ppp_timeout = 10s;
                redial_delay_after_ppp_error = 0w;
                routes_only_for_local = no;
                dproutes_only_for_local = no;
                disable_staticroutes_on_dhcproutes = no;
                ripv2receiver_enabled = no;
                ripv2_update_timer = 30s;
                ripv2authmode = ripv2_auth_none;
                ripv2md5_keyid = 0;
                ripv2passwd = "";
                set_replicate_dhcpoptions_in_parameter_request_list = no;
                unset_ignored_dhcpoptions_in_parameter_request_list = yes;
                dsldpconfig {
                        security = dpsec_firewall;
                        filter_teredo = yes;
                        filter_netbios = yes;
                        filter_sip = no;
                        filter_smtp = no;
                        sip_alg = no;
                        lowinput {
                                policy = "permit";
                                accesslist = 
                                             "deny ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
                        highoutput {
                                policy = "permit";
                                accesslist = 
                                             "reject ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "reject ip any 169.254.0.0 255.255.0.0";
                        }
                }
                dhcp_auth_mode = auth_none;
                dhcp_requests_with_client_id = yes;
                dhcp_ignore_options_in_renewing = no;
                is_erouter = no;
        }

nun kann man von der kaskadierten FB (FB2) ins höhre Fritzbox-Netz alles erreichen und umgekehrt vom Netzwerk der FB1 aus, jeden rechner des kaskadierten Netzes.

Vielleicht gibts ja auch eine Möglichkeit, über die "accesslist" im bereich dsldpconfig -> Lowinput -> highoutput zu arbeiten ??!
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.