[Frage] Netzerweiterung mit zweiter FB

luckybyte

Neuer User
Mitglied seit
2 Jan 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hi,

ich muß mein Netz erweitern. Derzeit vorhanden ist eine 7590 als Router und div. APs im Mesh. IP vom Router ist 192.168.1.1/24
Hier möchte ich nun mit einer zweiten FB das Netz um ein weiteren Bereich erweitern (z.B. 192.168.2.1/24). Beide FBs sollen per DHCP Adressen aus ihrem eigenen Bereich vergeben, dennoch soll es an einzelnen Clients möglich sein andere Clients im jeweils anderen Netz "zu sehen".
Hintergrund: Im gleichen Haus soll Internetzugang über eine FB geteilt werden, trotzdem eigene Netze mit einfacher DHCP IP Vergabe an einzelnen Clients, dennoch soll teilen von z.B. Mediaserver im Netz möglich sein.
Ebenso soll eine Telefonnummer vom Router per Mesh auf die neue FB im Netz 2 weiter gereicht werden.
Wie muss ich beide FBs (Router und FB als AP) konfigurieren?
Die Clients im vorhandenen Netz 1 möchte ich möglichst nicht manuell ändern müssen.

Danke für kurze Anweisungen!
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,353
Punkte für Reaktionen
457
Punkte
83
Moinsen


Ebenso soll eine Telefonnummer vom Router per Mesh auf die neue FB im Netz 2 weiter gereicht werden
Zwei getrennte DHCP-Netzwerke laufen unter der Bezeichnung: Doppeltes NAT
Wenn du versuchst die zu meshen, wirste dein blaues Wunder erleben.
Der Master wird den Slave wieder aus den Routermodus rausholen.
...ohne DHCP und eigener Firewall in den IP-Bereich des Masters.

Zweite Schwierigkeit
Das zweite NAT sieht das erste NAT schon als Internet an.
So auch alle Geräte, die sich dort tummeln.
Wohingegen im zweiten NAT Portfreigaben/Weiterleitungen erst dafür sorgen, dass Geräte im zweiten NAT fürs erste NAT erreichbar sind.
So auch das Webinterface der 2. NAT FRITZ!Box.
Screenshot_20200628-113916.png
Das muss dann als HTTPS Fernzugang freigegeben werden.
 
Zuletzt bearbeitet:

luckybyte

Neuer User
Mitglied seit
2 Jan 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hatte nach dem Schreiben auch schon gedacht das Tel-Weiterleitung im Mesh Mist ist. ich kann die TelNr ja auch eigenständig eintragen. Also wäre zweite FB ohne Mesh.
Wäre dann:
1.FB 192.168.1.1/24
2.FB 192.168.2.1/23 Mit GW IP von FB1
Richtig so?
Wenn ich an FB1 und 2 jeweils nur als DHCP Bereich IP Adressen im jeweiligen Subnetz eingebe und NUR an den Clients im Netz 2 ein 23er Subnetz mit GW von FB1 würde damit auch das Teilen am Mediaserver ins andere Netz funktionieren?
 

jankos61

Neuer User
Mitglied seit
6 Nov 2005
Beiträge
27
Punkte für Reaktionen
0
Punkte
1
Kannst du beide FB mit Kabel verbinden?, wenn ja dann FB 2 als IP-Client konfigurieren dann kannst an beiden telefonieren und hast nur ein IP Bereich.
 

luckybyte

Neuer User
Mitglied seit
2 Jan 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Ja ich werde beide FBs mit Ethernet verbinden. Den zweiten IP Bereich möchte ich aber bewusst erstellen um mehr Adressen zu bekommen und eine Trennung voneinander zu haben.
 

mac-christian

Neuer User
Mitglied seit
16 Mrz 2020
Beiträge
117
Punkte für Reaktionen
4
Punkte
18
Mehr Adressen verstehe ich - aber Trennung? Du schreibst ja selber "dennoch soll teilen von z.B. Mediaserver im Netz möglich sein."

Was möchtest du nun - komplette Trennung oder gar keine Trennung? Eine halbe Trennung?

Wenn dir ein 192.168.x.x/24 zu klein ist, böte sich 172.16.x.x/16 an
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,607
Punkte für Reaktionen
232
Punkte
63
Wie bereits von mac-christian geschildert, hast Du so keine Trennung. Wenn Du etwas Separieren willst, schildere das bitte genau. Dann können wir vielleicht Tipps geben (Gast-Netz, andere Hardware, Firewall).
… mehr Adressen …
Aktuell mit einer FRITZ!Box hast Du etwas über 250. Wieviele brauchst in etwa?
 

luckybyte

Neuer User
Mitglied seit
2 Jan 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Meine Konfig und mein Ziel:

Eine 7590 als Router mit IP-Bereich 192.168.1.0 /24
Eine 7490 über LAN 1 mit 7590 verbunden. IP Bereich 192.168.2.0 /24

Die beiden Bereiche sind mir wichtig, da die FB auch jeweils eigene DHCP Adressen verteilen und ich diese getrennt voneinander halten will und Ja, ich habe in Summe in beiden Bereichen i.M. ca. 150 Teilnehmer, das könnte in ein paar Monaten mit "nur" einem Bereich knapp werden.

Ziel ist es das trotzdem aus einzelne Teilnehmer aus den Bereich mit anderen aus dem jeweils anderen Bereich kommunizieren können. Beispiel: Receiver 192.168.2.45 soll auf Medienserver 192.168.1.100 zugreifen können.
Das die Trennung der Bereich beim Einsatz von Mesh nicht funktioniert habe ich inzwischen verstanden.
Mit zwei 16er Subnetzmasken habe ich es ebenfalls wieder Erwarten nicht hinbekommen zwischen den Netzen zu pingen.

Wie konfiguriere ich die beiden FBs das es so wie beschrieben funktioniert? Leider hatte ich mit statischen IP-Routen auch kein Erfolg, oder ich habe es falsch konfiguriert.
Telefonie werde ich separat an 7490 einrichten, soll wohl dann über die 7590 als Router funktionieren, hoffe ich.
Danke für Hilfestellung!
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
26,030
Punkte für Reaktionen
548
Punkte
113
Ziel ist es das trotzdem aus einzelne Teilnehmer aus den Bereich mit anderen aus dem jeweils anderen Bereich kommunizieren können. Beispiel: Receiver 192.168.2.45 soll auf Medienserver 192.168.1.100 zugreifen können.
Das geht grundsätzlich, aber: Ein Router routet immer nur in eine Richtung. In der anderen Richtung ist kein genereller Zugriff möglich, weil die Firewall das verhindert. Es können da nur einzelne Ports für bestimmte Anwendungen freigegeben, oder Geräte in dem anderen Netz als Exposed Host eingerichtet werden.
Statische IP-Routen sind dafür nicht erforderlich.
 

luckybyte

Neuer User
Mitglied seit
2 Jan 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Exposed Hosts wollte ich nicht einrichten, da ja m.E. damit alles Ports durch die Firewall nicht nur für die zweite FB sondern auch zum Internet hin geöffnet werden.

Kann ich denn einen VPN Tunnel zwischen den FBs erstellen? LAN-LAN Kopplung? Macht das überhaupt Sinn weil ich den Traffik ja nicht übers Internet laufen lassen möchte.
Zudem erreiche ich die FB untereinander in der jetzigen Konfig nicht untereinander. Oder?
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
26,030
Punkte für Reaktionen
548
Punkte
113
Exposed Hosts wollte ich nicht einrichten, da ja m.E. damit alles Ports durch die Firewall nicht nur für die zweite FB sondern auch zum Internet hin geöffnet werden.
Bei Exposed Hosts auf einem Router, der keine direkte Internetverbindung hat, sondern nur eine Verbindung zu einem anderen Router, kann natürlich kein Zugriff aus dem Internet erfolgen, jedoch ein Zugriff von dem anderen Router. Also genau das, was du beabsichtigst.
Und den Sinn und Zweck eines Tunnels zwischen zwei Routern, die sowieso schon direkt miteinander verbunden sind, musst du mir mal erklären. :)
 
Zuletzt bearbeitet:

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,607
Punkte für Reaktionen
232
Punkte
63
luckyByte, wenn Du knapp 300 Geräte gleichzeitig in Deinem Heimnetz haben wirst, würde ich mir eine FRITZ!Box verkneifen. Die Teile scheinen zwar potent, aber sind eigentlich immer noch auf dem Stand des Jahres 2005. Die Potenz ist eigentlich nur wegen NAS gesteigert worden. Der Rest, die Architektur und im Detail ist schon arg. Fehler und Beschränkungen ohne Ende. Oder anders formuliert: Hol Dir bitte einen Router der 172er- bzw. gleich 10er-Netze erlaubt. Das Problem ist nämlich wirklich dieses Double-NAT, was Dir am laufenden Meter neue Probleme bescheren wird. Eine Dauerbaustelle. Du kannst mit so einem Netz viel schöner Separieren bzw. Zugangskontrollen einführen. Ja, eine FRITZ!Box ist schon da, aber die bekommst Du gebraucht auch gut wieder los. Ja eine FRITZ!Box hat schon viele Funktionen, für die Du vergleichsweise viele Hilfestellungen im Netz findest … aber den Aufwand rate ich Dir trotzdem. Wenn Du was All-In-One mit deutscher User-Base haben willst: LANCOM Systems. Deren Boxen (mit Super-Vectoring) bekommst Du in eBay günstig, z.B. die 883+Serie bereits für unter 120€. Nachteil: Die Bedienung ist unter aller Wutz, auch wahnsinnig viele Fehler und die Voreinstellungen sind ein Krauß. Der nächste Schritt wäre DSL-Modem holen und alles dahinter (Firewall, DHCP, …) in Software selbst machen.
Ein Router routet immer nur in eine Richtung. In der anderen Richtung ist kein genereller Zugriff möglich, weil die Firewall das verhindert. Es können da nur einzelne Ports für bestimmte Anwendungen freigegeben, oder Geräte in dem anderen Netz als Exposed Host eingerichtet werden.
Jetzt stehe ich auf dem Schlauch. Soweit ich luckyByte verstand, will er seine Dienste über Übernetz, also im Erstnetz platzieren. Er will lediglich vom Unternetz, also dem Zweitnetz auf diese Dienste zugreifen. luckyByte hilft dies?
 

luckybyte

Neuer User
Mitglied seit
2 Jan 2019
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Danke für alle Antworten.
Ich habe nun meine Konfig so umgestellt:
7490 als reiner Router, dahinter eine 7590 mit Internetzugang über WAN (192.168.1.1/24) und eine 7360 ebenso Zugang über Lan1 (192.168.2.1/24). Auf beiden Boxen läuft ein eigener DHCP Serverfür die jeweilgen Netze..

An der 7590 habe ich einen Mediaserver (192.168.1.100), dieser ist auf der 7590 als Exposed Host frei gegeben.
Aber wie kann ich nun im Netz der 7360 mit dem PC (192.168.2.20) den Mediaserver erreichen?
Ist meine Konfig so richtig eingerichtet oder muss ich an beiden Boxen eine 16er Maske angeben? Oder muss ich dem PC eine 16er Maske verpassen?
Oder wie erreiche ich den Mediaserver nun aus dem 192.168.2 er Netz?
Ich hoffe ich bin wenigstens so halbwegs richtig unterwegs.

Nachtrag: Die 7590 und die 7360 sind vom Router 7490 unter 192.168.178. 20 und 21 zu erreichen /24er Subnetz.
Muss ich das ändern? Wie wäre die korrekte Konfiguration?
 
Zuletzt bearbeitet:

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
26,030
Punkte für Reaktionen
548
Punkte
113
Ja. Damit kannst du sehr schön ermitteln, dass du in zwei getrennten Netzen (192.168.1.1/24) und (192.168.2.1/24) kein gemeinsames Subnetz haben kannst.
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via