Kommunikation mit Bridge an LAN 1

[svoop]

Hallos

In unserer Rollwohnung benutze ich eine Bridge (WLAN -> Ethernet) und dahinter die FB 7270 mit "Internetzugang über LAN 1" (ich nenn's mal LAN1-Modus). Um mit der Bridge zu kommunizieren muss ich nun jedes Mal die FB wieder in den DSL-Modus umschalten, damit die Bridge von der FB eine IP bezieht. Ich frage mich nun, ob es vielleicht auch anders geht. (Ich bin überhaupt nicht der Held in Routing-Angelegenheiten.)

Der Bridge kann ich beliebige IP Aliases geben, die unabhängig von der aktuellen Situation statisch sind. Damit es ziemlich sicher mit nichts kollidiert sagen wir mal 10.99.99.99/255.255.255.255.

Kann ich auf der FB im LAN1-Modus eine Route z.B. von WLAN (der FB) nach LAN 1 (der FB) zur IP 10.99.99.99/255.255.255.255 setzen?

Danke und cheers, -sven

 

[ffridolin]

Das wird so alles nicht funktionieren. Wenn die Box über LAN1 ihren Internetzugang bekommt, dann bekommt sie dort die IP des WLANs hinter der Bridge. Damit ist eine Kommunikation auf einem anderen Subnetz mit der Bridge nicht mehr möglich. Schlimmer sogar: Es wäre gigantische Sicherheitslücke, da man über diesen Weg freie Bahn aus dem Internet direkt in dein privates Netz hätte.

Es ist die gleiche Situation, die Kabelinternet-Nutzer haben, oder Leute mit anderen Routern vor der Fritzbox. Die direkte Kommunikation in ein anderes Netz über den WAN Port der Box ist nicht möglich.

 

[svoop]

I see. Interessanterweise hat folgendes funktioniert:

WLAN AP (192.168.1.1/255.255.255.0) --> Bridge (192.168.1.20) --> FB (192.168.1.203 auf LAN1, 192.168.100.1/255.255.255.0 auf WLAN). Es war Möglich, von einem Client (192.168.100.20 am WLAN der FB) auf die Bridge zu verbinden als http://192.168.1.20.

Geht das, weil 192.168.1.x und 192.168.100.x beide im 192.168.x.x-Range liegen? Nach deiner Beschreibung sollte das ja nicht gehen dürfen.

 

[ffridolin]

Nein, das geht, weil WLAN AP, Bridge und WAN Port alle Adressen aus dem gleichen Subnetz haben. Aber davon hast du auch nichts geschrieben, dass dein "Internetzugang" nur ein privater WLAN Zugang ist. Ich bin davon ausgegangen, du bekommst den regulären Internetzugang über diese Bridge. Und dann hast du nicht die Möglichkeit, einfach mal so weitere IPs aus dem Bereich zu vergeben, ohne Gefahr zu laufen, einen IP-Konflikt zu erzeugen.

 

[the$kull]

Das funktioniert, weil die Fritzbox im Routermodus NAT/Masquerading macht und die IP-Pakete von innen (WLAN der Fritzbox) nach außen (LAN1) routet. Andersrum wird es nicht klappen, es sei dennn man richtet ein Port-Forwarding auf die entsprechende interne Ziel-IP ein.

In dieser Konfiguration ist LAN1 der WAN-Anschluss und das Modem ist inaktiv!

@ffridolin

Es ist völlig egal, ob ein Kabelmodem, ein externes VDSL-Modem oder das interne Modem genutzt wird, es ist im Router-Modus NAT aktiv, es sei denn man stellt die Fritzbox um und nutzt sie als IP-Client, dann gibt es kein NAT.

Schönen Abend noch

 

[tjobbe]

also erstmal: eine KOnfiguration InternetGW-AP-WLAN Bridge-NATrouter-PC's, funktioniert. (das AP-Bridge konstrukt läuft hier bei mit seit mehreren MOnaten als ersatz für ein Inhouse CAT-5 Kabel )

Dabei liegen Inet-GW IP, WLAN AP IP, WLAN Bridge IP und WAN-IP (LAN1 FBF) im selben netz und die PC's hinter NAT FW in einem separaten Netz dass von aussen nicht sichtbar ist.

In der FritzBox ist das die konfig "Internetverbindung selber aufbauen via IP ohne ZUgangsdaten"

durch die NAT FW wird in der FBF eine Defaultroute gesetzt, die die PC's nutzen

Das Ganze funktioniert aber nur dann wenn der WLAN teil nicht mobil umkonfiguriert werden muss, als nach dem Motto heute dieses WLAN netz und morgen jenes.

Was ich verstanden habe ist, dass svoop's Problem ist dass er jedesmal "umkonfigurieren muss", wenn er an die Bridge zur konfiguration muss....was für mich darauf hindeutet dass er da an der WLAN konfig änderungen vornimmt. (Rollwohnung = Wohnwagen, Wohnmobil also eventual wechslendes WLAN)

In dem Fall hast du nur eine Chance wenn es offene WLAN netze ohne Fest IP addresse sind.

Ansonsten musst du jedes mal an die Bridge... sorry (Edit/erklärung: damit du von der FBF an die Bridge kommst muss die FBF eine WAN-IP addresse und damit eine verbindung zum Internet GW router haben, aber um die zu bekommen muss die Bridge mit dem AP verbunden sein....die klassische Huhn/Ei problematik. Du kommst nur im "konfigurierten" ZUstand von PC's an FBF auf die WLAN Bridge ! )


Cheers, Tjobbe

 

[svoop]

@tjobbe:
> Was ich verstanden habe ist, dass svoop's Problem ist dass er jedesmal
> "umkonfigurieren muss", wenn er an die Bridge zur konfiguration muss....was für
> mich darauf hindeutet dass er da an der WLAN konfig änderungen vornimmt.
> (Rollwohnung = Wohnwagen, Wohnmobil also eventual wechslendes WLAN)

Genau so ist es.

Bisher wechsle ich auf der FB immer in den DSL-Modus, damit die Bridge als Client eine IP hinter dem NAT der FB bekommt.

Meistens ist es aber so, dass die WLAN AP (z.B. auf einem Zeltplatz) ein NAT auf 192.168.x.x machen, oft 192.168.1.0/255.255.255.0 Und mein lokales Subnetz hinter der FB ist auf 192.168.100.0/255.255.255.0 eingestellt. Das sind dann IMHO zwar ähnliche Subnetze, aber sie überschneiden sich nicht.

Würde es gehen, wenn ich mein lokales Subnetz auf 192.168.0.0/255.255.0.0 umstelle, selber aber nur IPs in einem etwas ungewöhnlichen Teil davon (z.B. 192.168.67.70 bis 80) vergebe, um Kollisionen zu vermeiden? Und würde das bedeuten, dass grundsätzlich alle anderen Clients am Zeltplatz-AP auch die Clients hinter meinem FB-NAT sehen können?

Cheers, -sven

 

[tjobbe]

Sven,

das problem ist dass sich

a) die "öffentliche IP" ständig ändert (ändern kann)
b) du, bei den sich ändernden WLAN ankopplungen, zugriff auf die Bridge brauchst um die Verbindung zum AP herzustellen
c) um von einem PC hinter dem NAT router aber auf die Bridge zukommen, der NAT router bereits eine Internetverbidung braucht.

Ich würde das Problem dadurch angehen indem ich eine Bridge kaufe, die zwei LAN ports hat und daran einen Laptop/Netbook hänge um die jeweiligen Konfigurationen vorzunehmen.

Da die Bridge bei deinem Nutzungsprofil immer wechslende IP's bekommt kannst du eh keine festen Routen konfigurieren.

Cheers, Tjobbe

 

[ffridolin]

@ffridolin

Es ist völlig egal, ob ein Kabelmodem, ein externes VDSL-Modem oder das interne Modem genutzt wird, es ist im Router-Modus NAT aktiv, es sei denn man stellt die Fritzbox um und nutzt sie als IP-Client, dann gibt es kein NAT.

Was anderes habe ich ja auch nie behauptet.

Würde es gehen, wenn ich mein lokales Subnetz auf 192.168.0.0/255.255.0.0 umstelle, selber aber nur IPs in einem etwas ungewöhnlichen Teil davon (z.B. 192.168.67.70 bis 80) vergebe, um Kollisionen zu vermeiden? Und würde das bedeuten, dass grundsätzlich alle anderen Clients am Zeltplatz-AP auch die Clients hinter meinem FB-NAT sehen können?

Nein, das kannst du auf keinen Fall machen. In dem Fall wäre dein externes Subnetz eine Teilmenge des internen Subnetzes. Das wiederum führt dazu, dass die PCs die externen IPs gar nicht über den Router suchen, sondern sie intern im eigenen LAN erreichen wollen, dort sind sie aber nicht.
Ein Router braucht strikt getrennte Netze intern und extern, um routen zu können. Und solange die Fritzbox als NAT Router arbeitet (wie ich es ja oben schon beschrieben habe), kommst du auf die Bridge nur dann, wenn sie ebenfalls eine IP aus dem WAN Netz hat.

 

[the$kull]

Alternativ könnte man auch so etwas wie einen Linksys WRT54GL oder La Fonera mit DD-WRT nehmen.

Ich habe gestern einen Fonera als Client-Bridge eingerichtet und da kann man einen weiteren virtuellen WLAN-AP aufsetzen und sich dann über das zusatz-WLAN mit Fester IP auf die Bridge verbinden.

@ffridolin

Nach dem nochmaligen lesen ist mir das jetzt auch klar, war gestern etwas spät

 

[gt40]

Hallo zusammen, die Konfigurationsadresse einer Bridge ist nicht zwingendermassen die Adresse der gebridgten Verbindung. Wenn die Bridge, was sie eigentlich sollte transparent arbeitet, dann bekommt die Verbindung nur eine Adresse zugewiesen und das wäre dann die WAN Adresse für die Fritzbox. Sollte es also möglich sein, der Bridge selbst eine vom Subnetz des LAN der Fritzbox und dem WLAN des Campingplatzes abweichende private Adresse zu verpassen, dann werden Requests aus dem LAN von der Fritzbox dahin durchgeroutet.