Fritz Box 7270 > Netgear FVS 114 > mein Netzwerk

[Damage2003]

Hallo Freunde,

ich hoffe hier kann mir geholfen werden. Ich habe die Konfiguration:

Fritz Box 7270 stellt die Internetverbindung her (IP: 192.168.178.254; statische Route 192.168.0.0; 255.255.255.0; 192.168.178.1)

dahinter kommt eine Netgear FVS 114 Firewall(Wanseite: 192.168.178.1/LAN 192.168.0.2; statische Route 192.168.178.0;255.255.255.255;192.168.178.1)

dahinter kommt mein Netzwerk (IP: 192.168.0.x; 255.255.255.0; Gateway 192.168.0.2). In diesem Netzwerk läuft auch ein FTP-Server.

Der Standard funktioniert. Ich kann problemlos von allen Clients in das Internet (192.168.0.0 > Internet). Komme auch auf die Fritz box (192.168.0.0 > 192.168.178.254). Alles soweit gut, die Firewall funktioniert.

Jetzt habe ich mir einen Fritz Stick Wlan N-Draft geholt. Damit kann ich dann auf die Fritz box zugreifen. Und komme nicht mehr auf die Rechner im 192.168.0.0 Netzwerk. Auch der FTP ist über die interne IP nicht zu erreichen. Über meinen Dyndns-Namen komme ich auch wieder an meinen FTP. Allerdings würde ich dies gerne über die interne IP-erledigen. Habe ich irgendetwas falsch gemacht? Irgendwo ein Denkfehler ? Habe ich was übersehen? Stimmt die statische Route in der Firewall? Wie komme ich an das interne Netz? Oder soll ich die Reihenfolge ändern? Erst Firewall dann Fritz box?

Damage

 

[frank_m24]

Hallo,

ich hoffe hier kann mir geholfen werden.

Wir versuchen es mal.

statische Route 192.168.178.0;255.255.255.255;192.168.178.1

An dieser Route verstehe ich 2 Dinge nicht:
- Warum ist die Subnetzmaske 255.255.255.255? Damit beschränkst du den Zugriff auf einen Host
- Warum ist das Gateway localhost? Damit führst du die Route ad absurdum.
Meines Erachtens ist diese Route nicht erforderlich, wenn die Clients hinter dem Netgear diesen als Standard-Gateway konfiguriert haben.

Und komme nicht mehr auf die Rechner im 192.168.0.0 Netzwerk.

Arbeitet der Netgear als NAT Router? Dann ist das normal und lässt sich auch nicht ändern. Ein NAT Router blockt alle von außen einkommenden Verbindungen, außer es existiert eine Portweiterleitung (deshalb dürftest du den FTP Server auf 192.168.178.1 erreichen, da es offensichtlich eine Portweiterleitung für den dyndns Zugriff gibt).

 

[Damage2003]

Hallo erstmal und schon mal vielen Dank.

An dieser Route verstehe ich 2 Dinge nicht:
- Warum ist die Subnetzmaske 255.255.255.255? Damit beschränkst du den Zugriff auf einen Host
- Warum ist das Gateway localhost? Damit führst du die Route ad absurdum.
Meines Erachtens ist diese Route nicht erforderlich, wenn die Clients hinter dem Netgear diesen als Standard-Gateway konfiguriert haben.

Das ist richtig. Die Firewall braucht die 255.255.255.255 um zu wissen das es genau einen Rechner hinter der Firewall hast. Und der Gateway ist nicht localhost (wenn ich das richtig verstehe).

statische Route 192.168.178.0;255.255.255.255;192.168.178.1

Ziel: 192.168.178.0 Subnet 255.255.255.255 Gateway 192.168.178.1. Diese Route funktioniert ja auch. Ich komme auf die Fritzboxoberfläche.

Meines Erachtens ist diese Route nicht erforderlich, wenn die Clients hinter dem Netgear diesen als Standard-Gateway konfiguriert haben.

Doch, wie gesagt um auf die Oberfläche zu kommen. Ansonsten nicht.

rbeitet der Netgear als NAT Router?

Nein, ist eine SPI-Firewall. Aber da suche ich den Fehler.

Schaue mal weiter und melde mich dann.

Damage

 

[frank_m24]

Hallo,

Die Firewall braucht die 255.255.255.255 um zu wissen das es genau einen Rechner hinter der Firewall hast.

Das ist doch absolut widersinnig. 192.168.178.0 ist eine Netzadresse. Durch die Subentzmaske von 255.255.255.255 schränkst du das Netz auf einen Host ein, den es gar nicht gibt (nämlich 192.168.178.0, "Der Host, der nicht sein darf" (Frei nach Jim Knopf)). :crazy:
Also entweder führst du hier eine Host-Route auf die Fritzbox ein (192.168.178.254, 255.255.255.255), oder eine Route ins 192.168.178er Netz (192.168.178.0, 255.255.255.0). Diese beiden Routen wären zumindest syntaktisch richtig (auch wenn es die zweite schon automatisch gibt).

Und der Gateway ist nicht localhost (wenn ich das richtig verstehe). Ziel: 192.168.178.0 Subnet 255.255.255.255 Gateway 192.168.178.1.

Das Gateway ist seine eigene WAN Adressen, also localhost. Ein Gateway benötigt man, wenn ein anderer Router den Weg in ein spezifisches Subnetz herstellt (der ist dann das Gateway). Siehe deine eigene statische Route in der Frizbox, die ist korrekt. Die Box kann das 192.168.0er Subnetz nicht kennen, das hinter der Firewall ist. Also bringt man es ihr bei, indem man ihr ein Gateway nennt, dass sie erreichen kann.
Der Netgear kennt den Weg ins 192.168.178er Netz aber schon, denn er ist selber drin. Intern im System hat der Router bereits automatisiert eine Route auf 192.168.178.0/255.255.255.0, allein durch die IP, die er am WAN Interface hat.

Diese Route funktioniert ja auch. Ich komme auf die Fritzboxoberfläche.

Du kämst auch ohne diese Route auf die Fritzbox-Oberfläche.

So, jetzt noch mal: Das Ding routet ja offensichtlich. Entweder per NAT oder vollwertig. Ist es ein NAT Router, ist dein beschriebenes Verhalten normal, wie oben erklärt. Routet es vollwertig, dann blocken irgendwelche Firewall-Einstellungen zu Zugriff von außen auf die Hosts.

Wie hast du denn z.B. den dyndns FTP Zugang eingerichtet? Wo hast du welche Portweiterleitungen bzw. Portöffnungen angelegt? Daraus lässt sich doch alles weitere ableiten.