Draytek 2860/2820: DHCP-Adresse von vorgeschaltetem Router

[neuber18]

Ein Draytek sei über die WAN-Buchse an einen vorgeschalteten Router, der die Internet-Einwahl durchführt und einen DHCP-Server hat, angeschlossen. Leider gelingt es nicht, dynamische IP-Adressen aus der vorgeschalteten Ebene abzuholen, obwohl bei DHCP-Relay die Adresse des vorgeschalteten Routers, der DHCP-Server ist, eingetragen wurde.

Wie kann dies geschafft werden?

 

[weißnix_]

WAN und LAN eines Routers dürfen nicht im gleichen Netzsegment liegen. Das wäre bei Deiner Einstellung aber der Fall.
Benutz für den "Uplink" eine LAN-Buchse des Draytek.
Oder gibt es einen bestimmten Grund für eine Routerkaskade?

 

[neuber18]

Die WAN-Buchse wurde verwendet, weil die Geräte an dem Draytek Geräte angeschlossen werden sollen, die isoliert von den Geräten des vorgeschalteten Netzwerks sein sollten.

Bei Verwendung der LAN-Buchsen dürften alle im LAN des übergeordneten Netzwerks sichtbar sein. Kann man das sonst verhindern?

 

[weißnix_]

Vom Draytek müssen dann Routing Regeln verwaltet werden. Den Zugriff auf das übergeordnete Netzwerk kannst Du dann nur per Firewall einschränken.
DHCP muss der Draytek machen, da er ja ein eigenes Netzwerk bilden soll.
Was hast Du denn als übergeordneten Router. Kann der das nicht vollständig selbst abbilden? Schon ein Basis-Pro-Router wie die be.ip plus von Bintec könnte das ohne eine Krücke wie eine Routerkaskade lösen. Zumindest das, was ich von Deinem Problem verstanden habe.
Zeichne mal ein Netzschema und skizziere die zu verwendenden Adressbereiche und Isolationsbereiche ein. Wer soll auf wen Zugriff haben.

 

[sonyKatze]

DrayTek bietet in seinen Router (bisher) keinen DHCP-Client über LAN. Auch bietet DrayTek nicht die Möglichkeit öffentliche IP-Adressen über LAN anzusteuern. Jedenfalls bin ich zu blöd dafür. Wenn Du eine Anwendung auf dem DrayTek nutzen musst, die eine öffentliche IP-Adresse erfordert, dann kommst Du um eine Router-Kaskade nicht herum. Bei der Router-Kaskade ist egal, was Du unter LAN einträgst.

DrayTek → WAN → General → WAN-Ethernet: Enable → Internet Access → WAN-Ethernet → Access Mode: Static or Dynamic IP → (Taste) Details → Obtain an IP address automatically​

​

Allerdings klingt Deine Beschreibung so, als wolltest Du alles hinter dem DrayTek lediglich isolieren. In dem Fall packst Du den DrayTek in ein VLAN und/oder Wired 802.1x über den Menüpunkt „LAN“ in Deinem DrayTek.

 

[neuber18]

VLAN im Draytek ist eine grundsätzlich sehr gute Anwendungsidee hierzu. Dann bleibt das Problem, dass der Draytek nicht fernkonfiguriert werden kann, wenn er per LAN-Buchse hinter dem vorgeschalteten Router hängt. Das klappt bei den angegebenen Modellen per Port-Forwarding über vorgeschaltete Router zum Draytek (warum auch immer) nur dann, wenn der Draytek über die WAN-Buchse angeschlossen ist.

Verständnisfragen zur Konfiguration unter dem Menüpunkt "LAN":

VLAN: hier werden prinzipiell komplett entkoppelte LANs verstanden (ohne Notwendigkeit eine VLAN-ID) einzufügen, richtig? Wired 802.1x finde ich hier nicht.

 

[sonyKatze]

Das VLAN richtest Du im übergeordneten Switch bzw. Router ein. Du legst dann den DrayTek in dieses VLAN.
802.1x richtest Du im übergeordneten Switch bzw. Router ein. Du konfigurierst dann die Clients hinter dem DrayTek für 802.1x.

Aber eine ganz andere Frage, bevor wir uns verlaufen:

1. Welche Firmware-Version ist auf den DrayTek(en)?
2. Was genau soll der DrayTek überhaupt machen (VPN, …)?

fernkonfiguriert […] Port-Forwarding […] nur dann, wenn der Draytek über die WAN-Buchse angeschlossen ist

Seltsam. Wollen wir nicht lieber das lösen? DrayTek → System → Management → LAN Access Control
Ist dort etwas anders eingestellt als unter WAN = Internet Access Control?

 

[neuber18]

Was genau soll der DrayTek überhaupt machen (VPN, …)?

Seltsam. Wollen wir nicht lieber das lösen? DrayTek → System → Management → LAN Access Control
Ist dort etwas anders eingestellt als unter WAN = Internet Access Control?

Firmware "gefühlt" ca. 3 Jahre zurück - muss bei nächstem Zugriff nachsehen.

Draytek soll z.B. von Draytek des anderen Standorts angewählt werden können als Einwahlpunkt für einen VPN-Tunnel (der vorgeschaltete Router braucht dann Port-Forwarding zum Draytek betreffs der für VPN verwendeten Ports).


Betreffs dem Remote-Management: "Allow management from the Internet" angehakt. Wie gesagt klappt das dummerweise allerdings nur bei Anschluss am WAN-Port, nicht jedoch bei Anschluss am LAN-Port. Wenn dieses lösbar ist -> Tipp erbeten.

 

[sonyKatze]

DrayTek → System → Management → LAN Access Control
Ist dort etwas anderes eingestellt als unter WAN = Internet Access Control?

Leider kann man in DrayOS so wahnsinnig viel verstellen und das dann nicht sehen … gibt auch noch eine Zugriffsliste. Wenn das alles nichts hilft würde ich die Konfiguration speichern und zum Test das Gerät zurücksetzen.

VPN-Tunnel

Was spricht dagegen den DrayTek als ersten (und einzigen) Router zu verwenden?

 

[neuber18]

Es gibt nur System Maintenance >> Management - Management Setup - Management Access Control beim 28er Draytek. Eine weitere Untermaske mit "LAN Access Control" existiert bei dem Modell nicht. Die "Access List" ist leer gelassen, d.h. keine nach IP-Adresse gefilterte Zugreifer. Der Vorrouter braucht spezielle Modem-Varianten und Telefonie-Unterstützung, die so im älteren Draytek nicht vorhanden sind. Es soll möglichst wenig in das vorherige Netzwerk auf 1. Ebene eingegriffen werden, sondern eine 2. Ebene isoliert von der ersten bereitgestellt werden, die von aussen VPN-Einwahl zur 2. Ebene ermöglicht.

 

[sonyKatze]

Wenn Du einen DrayTek vorne hinpackst, würde Dank Active-True-IP der VoIP-Router gar nichts mitbekommen. OK. Ist nicht. Warum nicht einen eigenen Computer hinstellen, der das VPN macht? Der DrayTek ist im Prinzip nur eine Box, die Open-Source-Komponenten zusammentackert. Kann man auch alles selbst machen. Spannend ist eigentlich nur das DSL-Modem (und dass dann alle Anwendungen nicht mit NAT zu kämpfen haben), was bei Dir ja nicht zum Zug kommt.

Eine weitere Untermaske mit "LAN Access Control" existiert bei dem Modell nicht.

Seltsam. Im Emulator ist die als eigener Reiter sichtbar – jedenfalls beim 2860. Beim 2820 war das Menü noch grober. Was ich auch nicht verstehe, warum DHCP-Client über WAN bei Dir nicht klappt. Hier mit meinem DrayTek kein Problem. Ich würde den DrayTek auf Werkseinstellungen zurücksetzen und neu von Vorne beginnen. Ethernet-Kabel in WAN2. Und dann den Menüpfad aus Post 5. Alle anderen WANs dort in dem Menü auf „None“ und unter WAN → General → Enable: Aus. Wenn das immer noch nicht klappt: WAN über LAN → Port Mirror mittels Wireshark mitverfolgen. So siehst Du, ob der DrayTek überhaupt eine IP-Adresse über DHCP anfragt. Bei Fragen dazu, einfach fragen.

Und wie geschildert: Welches Modell und Firmware-Version hast Du genau?

 

[neuber18]

Habe jetzt einen Leihrouter 2820VSn vorhanden mit neuerer Firmware vom 31.07.2018.Es ist die wohl momentan letzterhältliche Version: 3.7.3.

Auch damit klappt kein Fernkonfigurations-Zugriff auf das Router-Management via HTTP oder HTTPS, wenn der Draytek hinter einem vorgeschalteten Router über die LAN-Buchse angeschlossen ist. Im vorgeschalteten Router sind selbstverständlich dann die Portweiterleitungen für Port 80 bzw. 443 zutreffend eingerichtet.

Schliesst man den Draytek über die WAN-Buchse an, klappt der Fernkonfigurations-Zugriff.

Es gilt entsprechend das unter Post#10 geschriebene, habe es mit dem Leihrouter, der auch konfigurationsmässig bereits mehrfach zurückgesetzt worden ist, inzwischen wiederholt durchgetestet.

 

[weißnix_]

Auch damit klappt kein Fernkonfigurations-Zugriff auf das Router-Management via HTTP oder HTTPS, wenn der Draytek hinter einem vorgeschalteten Router über die LAN-Buchse angeschlossen ist

Vom (zweiten) Router aus betrachtet, wäre das auch ein Zugriff übers LAN.
Ich würde auch erwarten, dass sich der VPN-Tunnel ausschließlich über den WAN-Anschluss etablieren lässt.
Welche Art VPN verwendet denn Draytek - was ist als Port/Protokollweiterleitung am ersten Router einzustellen?