VPN / Subnetz Problem

[Kamener]

Hallo, ich hoffe mir kann hier jemand weiter helfen (scheinen ja echt Experten hier im Forum zu sein!), weiß leider echt nicht mehr weiter...
Bevor das Gemecker eventuell loßgeht, ja ich habe mich hier im Forum bereits umgesehen und auch diverse andere Informationsquellen zu rate gezogen, konnte mein Problem jedoch bisher leider nicht alleine lösen.

Zunächst meine Gegebenheiten:

Ort A:

Fritzbox 7170 hängt über Lan 1 an einem Modem von U.Media, Internet folglich über Coax mit einer 32k Verbindung. Feste IP: 192.168.100.1 /24 DHCP deaktiviert

D-Link DIR 655 feste IP: 192.168.200.1 /24 DHCP aktiviert, Range ab 192.168.200.100 /24; Internet über Wan Schnittstelle an Lan2 der FB, eingerichtet als Standardgateway via statischer IP, besitz am Lanport die 192.168.100.2

Bei dem Router hab

An dem D-Link Router hängen sowohl über W-Lan als auch über Lan (gigabit) diverse Computer, ein Nas, ein Server u.ä.


Ort B:

Fritzbox 3270 hänt über USB an einem Surfstick. Feste IP: 192.168.300.1 /24, DHCP aktiviert, Range ab 192.168.300.100 /24



Gewünscht ist, dass ich von einem Computer an Ort B auf die Geräte am Ort A via VPN der Fritzbox Zugriff habe.
Mein Problem ist, dass ich trotz vielen Versuchen mit Portweiterleitung, DMZ, statischen Routen, umstruckturierungen des Netzwerkes u.ä. nicht von Ort B auf die Geräte zugreifen kann. Nichteinmal mit dem Ping Befehl. Geräte die ich direckt an die FB an Ort A anschließe kann ich ohne weiteres erreichen, der D-Link muss aber verwendet werden, da die FB kein Giga. Netz hat und auch kein W-Lan N. VPN funktioniert via DYNDNS ansonsten problemloß, nur da sich die Geräte an dem D-Link bei der einen Konfiguration in einem anderen Subnetz befinden, habe ich keinen Zugriff.

Das Problem erweitert sich dadurch, dass ich den D-link nicht einfach nur als Switch nutzen kann, da leider 2 Geräte, die an Ihm hängen, keine Einstellmöglichkeiten für ein Standardgateway besitzen, so dass der D-Link zwangsweise das I-net zur Verfügung stellen muss.

Wünschenswert wäre sogar, dass hinter dem Modem als erstes der D-Link router kommt und an diesem erst die Fritzbox für VPN hängt, da ich gemerkt habe, dass das Internet deutlich langsamer wird, wenn ich erst über 2 Router gehen muss. Das wäre für mich die perfeckte Lösung, wenn das geht....


Meine Vermutung liegt darin, dass es entweder an einer falschen Konfiguration liegt oder eventuell daran, dass die Checksumme im Header des Datenpaketes der "VPN-Verbindung" nach der Weiterleitung über das Internet nicht mehr passt, da eventuell durch den NAT die IP während des Routens geändert wird(aufgrund des anderen Subnetzes und somit die Checksummenprüfung das Paket verwirft.

Ich hoffe ihr könnt mir weiterhelfen, wie/was ich konfigurieren muss bzw. ändern sollte, dass alles so klappt, wie es soll. Für jede Hilfe schon einemal vielen DANK!!!

 

[frank_m24]

Hallo,

arbeitet der D-Link als NAT Router oder als vollwertiger Router? Als NAT-Router hast du keine Chance. Er muss vollwertig Routen.
Den VPN Server ins Netz zu hängen, bringt nichts. Wenn du die Fritzbox hinter den D-Link bringst, müssen alle Clients hinter die Fritzbox. Das geht aber nicht, wie du sagst.
Warum kannst du in zwei Geräten die Gateways nicht einstellen? Du könntest einfach die Subnetze von D-Link und Fritzbox vertauschen, dann kannst du auch ihre Position vertauschen. Noch besser: Wenn die Box den passenden IP Bereich zur Verfügung stellt, kannst du den D-Link zum Switch machen. Den Geräten ist es doch egal, welcher Router als Gateway fungiert, solange die IP stimmt.

 

[Kamener]

Vielen Dank zunächt für die Hilfe!

Der D-Link routet "vollwertig", wüsste auch nicht, wie ich was anderes einstellen könnte bei dem...

Unter den Netzwerkgeräten gibt es tatsächlich 2 die nicht die Möglichkeit besitzen, ein Standard Gateway einzustellen...das ist ein TV-receiver und ein Media-player. Außerdem werden ein paar Geräte via W-Lan auch mal an anderen Orten in anderen Netze genutzt und ich fände es nicht so schön, wenn ich jedes mal die Einstellungen wieder ändern müsste.

Mit dem tauschen der IP-Bereiche verstehe ich jetzt nicht genau, in wie fern das etwas ändern soll. Jetzt sprichst du auch davon, die Geräte zu tauschen, weiter oben sagst du aber, dass ich dann keine Chance mit dem VPN habe. ...???

Naja, habe noch etwas experimentiert. Ich habe den D-Link mal direckt an das Modem angeschlossen und die Fritzbox dahinter. Mittels DMZ und ein paar routen kam ich soweit, dass ich per VPN tatsächlich auf die Fritzbox kam aber wiedermal nicht auf den D_link geschweige denn an Geräte die an diesen angeschlossen sind.

langsam glaube ich, dass ich mir ne Fritzbox mit Giga-Lan und W-Lan N holen sollte, würde es einfacher machen. Leider sind die nur so teuer...gibts nicht irgen eine Chance das mit meiner vorhandenen Hardware zu lösen? Vielleicht stelle ich ja auch falsche Routen oder so ein...

Für jede weitere Hilfe wäre ich wirklich dankbar!

 

[frank_m24]

Der D-Link routet "vollwertig", wüsste auch nicht, wie ich was anderes einstellen könnte bei dem...

Ohoh, das hört sich schon schlecht an, denn die Standard-Einstellung der SoHo Router ist NAT Routing.

Unter den Netzwerkgeräten gibt es tatsächlich 2 die nicht die Möglichkeit besitzen, ein Standard Gateway einzustellen...das ist ein TV-receiver und ein Media-player.

Das heißt, sie haben keins, oder wie? Wenn sie eins brauchen, dann muss man es auch einstellen können.

Außerdem werden ein paar Geräte via W-Lan auch mal an anderen Orten in anderen Netze genutzt und ich fände es nicht so schön, wenn ich jedes mal die Einstellungen wieder ändern müsste.

Dafür gibt es DHCP.

Mit dem tauschen der IP-Bereiche verstehe ich jetzt nicht genau, in wie fern das etwas ändern soll.

Wenn man in deinen Geräten das Geteway nicht ändern kann, dann hört sich das so an, als sei dort eine IP als Gateway fest eingestellt. Dann ist es nur wichtig, dass diese IP als Gateway vorhanden ist. Welches Gerät die IP zur Verfügung stellt ist egal - ob nun Fritzbox oder D-Link. Also kannst du die Geräte auch tauschen und die Fritzbox hinter den D-Link hängen.

Jetzt sprichst du auch davon, die Geräte zu tauschen, weiter oben sagst du aber, dass ich dann keine Chance mit dem VPN habe. ...???

Du hast gesagt, du kannst die Geräte nicht tauschen. Ich bin anderer Meinung, solange du alle Geräte hinter die Fritzbox klemmst.

Ich habe den D-Link mal direckt an das Modem angeschlossen und die Fritzbox dahinter. Mittels DMZ und ein paar routen kam ich soweit, dass ich per VPN tatsächlich auf die Fritzbox kam aber wiedermal nicht auf den D_link geschweige denn an Geräte die an diesen angeschlossen sind.

Das kann auch nicht funktionieren. Der D-Link ist in dem Fall der WAN Port für die Fritzbox, und da kommt ihr VPN natürlich nicht hin. Wie ich schon in Beitrag 1 schrieb:

Wenn du die Fritzbox hinter den D-Link bringst, müssen alle Clients hinter die Fritzbox.

An den D-Link kannst du dann kein Gerät mehr anschließen.

gibts nicht irgen eine Chance das mit meiner vorhandenen Hardware zu lösen?

Ganz sicher sogar. Ich habe nur das Gefühl, du weißt nicht so genau, was du da tust. Die fehlen einige Grundlagen in Bezug auf IP Routing und Subnetting.

 

[Kamener]

Danke für die schnelle Antwort!

Ohoh, das hört sich schon schlecht an, denn die Standard-Einstellung der SoHo Router ist NAT Routing.

Okay, das wusste ich nicht....mit nem besseren Cisco Router käme ich besser zurecht^^ Wie stelle ich den denn um? Finde keine großen Einstellungsmöglichkeiten für das Routing

Das heißt, sie haben keins, oder wie? Wenn sie eins brauchen, dann muss man es auch einstellen können.

Es gibt nur die Möglichkeit über DHCP oder eine IP einzurichten. nach weitern Überlegungen ja auch nicht tragisch, könnte im jeweiligen Router statische Routen für die Geräte zum SG einrichten.

Dafür gibt es DHCP.

Schon klar, nur wenn ich beispielsweise bei einem PC die Adapteinstellungen ändere gibt es doch nur die möglichkeit die automatische Einstellung zu nhemen oder alles manuell einzugeben. Wüsste nicht, wie ich das verbindungsspezifisch einstelle....

Wenn man in deinen Geräten das Geteway nicht ändern kann, dann hört sich das so an, als sei dort eine IP als Gateway fest eingestellt. Dann ist es nur wichtig, dass diese IP als Gateway vorhanden ist. Welches Gerät die IP zur Verfügung stellt ist egal - ob nun Fritzbox oder D-Link. Also kannst du die Geräte auch tauschen und die Fritzbox hinter den D-Link hängen.

ja hier lag tatsächlich ein Denkfehler von mir...ist ja eigentlich ziemlich egal...nur mit dem Tausch der Router bringt mir doch dann trotzdem nichts, da alle geräte an den D-Link gehängt werden sollen und die Friztbox nur für VPN und Telefon fungieren soll. Du sagtest selbst, dass dafür die FB an erster Stelle stehen muss. Siehe dafür auch:

Du hast gesagt, du kannst die Geräte nicht tauschen. Ich bin anderer Meinung, solange du alle Geräte hinter die Fritzbox klemmst.

Hinter die Fritzbox heißt, dass der D-Link auch hinter die Fritz muss...

Das kann auch nicht funktionieren. Der D-Link ist in dem Fall der WAN Port für die Fritzbox, und da kommt ihr VPN natürlich nicht hin. Wie ich schon in Beitrag 1 schrieb:
An den D-Link kannst du dann kein Gerät mehr anschließen.

Dazu habe ich gerade mal testhalber zusätzlich eine Lan-Verbindung zwischen den Routern eingerichtet, dass der Wan nur für das Internet fungiert und alles andere über statische Routen über Lan läuft....leider kann ich den einzelnen Anschlüssen keine festen IP´s zuweisen wie bei einem Cisco, daher klappt das nicht so wirklich....war ja aber auch eigentlich klar.

Ganz sicher sogar. Ich habe nur das Gefühl, du weißt nicht so genau, was du da tust. Die fehlen einige Grundlagen in Bezug auf IP Routing und Subnetting.

Die Grundlagen sind wohl schon vorhanden, nur beschäftige ich mich zum ersten mal mit VPN und normalerweise kofiguriere ich größere Cisco Router mittels Console. Mache das ganze aber auch noch nicht so lange, soo viel praktische Erfahrungen habe ich leider noch nicht.


Fest steht also jedenfalls, das als erstes Gerät die Fritz stehen muss, nur wie ich jetzt den D-Link am besten dahinter klemme ist mir noch nicht ganz klar. Einfach über Lan, dass er im selben Subnetz hängt und nur als Switch funktioniert oder wirklich über Wan, nnur dann weiß ich nicht, wie ich Ihn dazu bringen soll, als vollwertiger Router zu arbeiten....

Mit den 2 Geräten ohne SG sollte nun das geringste Problem darstellen....

 

[frank_m24]

Hallo,

nach weitern Überlegungen ja auch nicht tragisch, könnte im jeweiligen Router statische Routen für die Geräte zum SG einrichten.

Äh, was? Das wird nicht gehen. Ein Standardgateway muss im lokalen Subnetz eines Gerätes liegen. Wie soll das Gerät denn das Gateway zum Standardgateway kennen? Denn wenn man schon kein Standardgateway einrichten kann, dann wird eine manuelle Route erst Recht nicht gehen.

Schon klar, nur wenn ich beispielsweise bei einem PC die Adapteinstellungen ändere gibt es doch nur die möglichkeit die automatische Einstellung zu nhemen oder alles manuell einzugeben. Wüsste nicht, wie ich das verbindungsspezifisch einstelle....

Was ist an DHCP so schlimm?

Hinter die Fritzbox heißt, dass der D-Link auch hinter die Fritz muss...

Nein, nur die Clients.

Einfach über Lan, dass er im selben Subnetz hängt und nur als Switch funktioniert

So würde ich es machen. Es gibt meines Erachtens keinen Grund, den D-Link routen zu lassen. Für mich hört sich das so an, als bräuchtest du in erster Linie Gigabit Ethernet und WLAN von dem Ding.

 

[Kamener]

Äh, was? Das wird nicht gehen. Ein Standardgateway muss im lokalen Subnetz eines Gerätes liegen. Wie soll das Gerät denn das Gateway zum Standardgateway kennen? Denn wenn man schon kein Standardgateway einrichten kann, dann wird eine manuelle Route erst Recht nicht gehen.

Okay okay...ich sollte echt mal den kopf anmachen, bevor ich schreibe...Klar, logisch...

Wenn der D-Link nur über Lan angeschlossen ist und als Switch arbeitet, den Geräten einfach die IP der Fritz angeben und es sollte laufen, der Switch leitet in dem Fall ja nur weiter.

Was ist an DHCP so schlimm?

Nichts ist daran schlimm, wenn der D-Link als Switch arbeitet ja auch überhaupt kein Problem....wenn er jedoch als Router arbeitet, bin ich mir nicht ganz sicher, wie sich der D-Link verhält. Wenn ich diesem ein Default Gateway einstelle, routet er die Adresse auch über das normale Lan oder wirklich nur über den Wan Anschluss?

Nein, nur die Clients.

Schon klar...nur wie du schon richtig erkannt hast, möchte ich für diese das Gigabit Ethernet und W-Lan vom Typ N nutzen, dass leider nur der D-Link ermöglicht.

Wenn ich den D-Link nur als Switch nutze, muss ich dann den DHCP Dienst der Fritzbox nutzen? Mir gefällt es bei dem D-Link nämlich sehr gut, dass ich die Reservierungen statisch über die Mac festlegen kann und nurdie übrigen geräte eine Adresse aus dem Pool erhalten. Kann ich weiterhin den Macfilter des D-Link Routers nutzen?

Wenn ich es so konfiguriere wie jetzt festgehalten, bremst die Fritzbox mich dann aus? Konnte keine Angaben dazu finden, welche Geschwindigkeiten bei der Verbindung zum Modem über Lan 1 möglich sind. Wenn der D-Link als Switch fungiert, sollte dieser mich ja kaum merkbar ausbremsen, oder?

Und noch eine richtig dumme Frage, aber wie heißt es so schön...es gibt keine dumme Fragen....: Muss ich dem D-Link noch irgenwo einstellen, dass er nur als Switch arbeiten soll? Klar, die Einstellungen zum Internet entfallen, aber sonst?

Weiterhin würde mich noch interresieren, ob der D-Link wirklich theoretisch als vollwertiger Router funktionieren kann und wenn ja wo ich das einstelle, wenn der standard mäßig nur NAT macht...

Vielen Dank!

 

[frank_m24]

Hallo,

wenn er jedoch als Router arbeitet, bin ich mir nicht ganz sicher, wie sich der D-Link verhält. Wenn ich diesem ein Default Gateway einstelle, routet er die Adresse auch über das normale Lan oder wirklich nur über den Wan Anschluss?

Wenn der D-Link Router ist und DHCP Server ist, verteilt er sich selber als Defaultgetway. Alle Pakete, die er bekommt, und mit denen er nichts anfangen kann, schickt er an sein Defaultgateway, also die Fritzbox.

Wenn ich den D-Link nur als Switch nutze, muss ich dann den DHCP Dienst der Fritzbox nutzen?

Ich würde sagen: Ja. Es sei denn, der DHCP Server des D-Links ist so flexibel konfigurierbar, dass du Gateway und DNS Server manuell festlegen kann. Beide muss nämlich die Fritzbox sein.

Mir gefällt es bei dem D-Link nämlich sehr gut, dass ich die Reservierungen statisch über die Mac festlegen kann und nurdie übrigen geräte eine Adresse aus dem Pool erhalten.

Noch ein Grund für eine der neuen Fritzboxen. Die können das nämlich jetzt auch (Firmware 04.86 erlaubt Reservierung von IP Adressen für spezifische MAC Adressen).

Kann ich weiterhin den Macfilter des D-Link Routers nutzen?

Für WLAN? Ja.

Wenn ich es so konfiguriere wie jetzt festgehalten, bremst die Fritzbox mich dann aus?

Im lokalen Netz des D-Links nicht. Da hat die Fritzbox nichts mit zu tun.
Beim Internetzugang macht es keinen Unterschied, ob der D-Link als Router oder als Switch arbeitet. Die Fritzbox ist in beiden Fällen gleich schnell.

Wenn der D-Link als Switch fungiert, sollte dieser mich ja kaum merkbar ausbremsen, oder?

Genau. Ein Hop über einen Switch kostet lediglich einige µs Delay.

Muss ich dem D-Link noch irgenwo einstellen, dass er nur als Switch arbeiten soll? Klar, die Einstellungen zum Internet entfallen, aber sonst?

Bei einigen Routern kann man extra den WAN Port in den "Bridge Modus" bringen. Aber solange du alle Kabel nur an die LAN Ports anklemmst, ist das egal.

Weiterhin würde mich noch interresieren, ob der D-Link wirklich theoretisch als vollwertiger Router funktionieren kann und wenn ja wo ich das einstelle, wenn der standard mäßig nur NAT macht...

Ich hab gerade mal die Anleitung überflogen. Er ist ein reiner NAT Router.

 

[knoerrli]

Also ich würde den DHCP der fritzbox benutzen und dem Dlink und den anderen Netzwerkgeräten eine IP im Subnetz der fritzbox verpassen.
Dann haben alle das gleiche Subnetz der fritzbox und dorthin kommst du ja schon per VPN. Der Dlink arbeitet dann nur als Bridge und dann ist er wahrscheinlich auch etwas schneller ohne NAT Routing.

 

[frank_m24]

Genau. .

 

[Kamener]

Und so wird es jetzt am Wochenende auch gemacht! Vielen Dank nochmal für eure bisherige Hilfe!! Ich werde dann mal berichten, wie es dann funktioniert. Sollte es aus irgend enem Grund nicht nach meinen Vorstellungen sein, überlege ich mir nochmal ne neue Fritz zuzulegen.... Die 7390 reitzt mich schon, nur habe ich gehört das W-Lan soll da eine sehr begrenzte Reichweite haben? Oder hat sich das durch die neuen firmwres jetzt auch verbessert?

Was haltet ihr sonst von der 6360 in meinenm Fall?

Eine wirkliche Alternative die sich auch in dem preislichen Rahmen bewegt, gibt es eigentlich nicht so wirklich, oder? klar gibt es vergleichbare Produkte zu dem Preis, aber mit dem Funktionsumfang?
Bin gerade auf die alternativen Firmwares/Mods gestoßen....hat jemand einen Link o.ä. wo das mal schön zusammengefasst/erklärt wird?

 

[Kamener]

Hallo mal wieder, ich hatte jetzt mal gnügend Zeit alles zu testen. Zunächst hat es eigentlich geklappt wie gesagt, nur wurde die Fritzbox sehr warm dabei und das Internet wurde wirklich sehr langsam. VPN funktionerte mal, mal nicht...

Folglich habe ich mir die 7390 gegönnt und nutze nun nur diese. Siehe da, alles klappt von Anfang an wie ich es mir wünschte.

Vielen Dank noch einemal für eure Hilfen!