WinFuture-Forum.de: Doppeltes NAT verhindern - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Netzwerk
Seite 1 von 1

Doppeltes NAT verhindern Doppeltes NAT, 2 Router, bridge

#1 Mitglied ist offline   Volker S 

  • Gruppe: aktive Mitglieder
  • Beiträge: 285
  • Beigetreten: 23. Juli 09
  • Reputation: 23

geschrieben 19. Dezember 2014 - 13:32

Hi,

bekomme demnächst VDSL von 1und1 und komme gerade mit meinen Anforderungen an das Netzwerk irgendwie nicht weiter. Wäre nett, wenn Ihr mir helfen könntet.

Erst beschreibe ich mal die jetzige Ausgangssituation mit ADSL2+ (1200 Kbits/s):
Eingefügtes Bild

Das DSL kommt vom Erdgeschoss, geht in die 2.te Etage, wird vom Modem angenommen (ist eigentlich ein Modemrouter der gebridged wurde), geht dann in den Router (Linksys WRT54G) um letztendlich in eine Fritzbox 7170 (IP-Client-Modus) zu gelangen (1.te Etage).

Mit diesem System habe ich ein Netzwerk aus einem einheitlichen IP-Pool (bis auf das gebridgte Modem). Jeder Client kann auf alles zugreifen und ich kann mit der Firewall meines Routers meinen geschwätzigen LG-Fernseher ruhig stellen (das möchte ich auch beibehalten).


...nun kommt VDSL und ich bekomme eine Fritzbox 7490 (mit S0-Bus für meine ISDN-Hardware). Normalerweise würde ich meine Kombination Modem-Router in der 2.ten Etage durch einen weiteren einfachen Switch ersetzen, aber damit habe ich dann keine Kontrolle mehr über meinen geschwätzigen LG-Fernseher.
Und wenn ich meinen Router bridgen könnte (was er mir nur mittels W-LAN erlaubt, ergo besteht die Option für das LAN auch nicht), dann wäre ja wohl auch die Funktionalität meine Firewall abgestellt.

Laut Hören- und Sagen kennt die Fritzbox keine IP-Tables - Funktionalität in Ihrer Firewall, sonst wäre es ja kein Problem.

Ist die Auflösung meines Problemes nur in einer Doppel-NAT zu finden? Wenn ja, habe ich dadurch irgendwelche Nachteile?


-volker-

Dieser Beitrag wurde von Volker S bearbeitet: 19. Dezember 2014 - 18:40

0

Anzeige

#2 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.886
  • Beigetreten: 14. Juli 07
  • Reputation: 254

geschrieben 19. Dezember 2014 - 16:20

Du kannst in der 7490 verschiedene Benutzerprofile einrichten, welchen du dann über eine White- oder Blacklist nur gewisse Seiten erlauben kannst. So kannst du deinem LG das Schwatzen auch abstellen, einfach ein eigenes Benutzerprofil anlegen und dort dann nur noch das nötigste freigeben.
Dein Modem fällt ja dann sowieso raus, da die 7490 die Modemfunktionalität mit übernimmt, ebenso dein ISDN-NTBA und der Splitter.
Dass du bei 1&1 kein echtes ISDN hast, sondern VoIP mit ISDN-Funktionalität ist dir bewusst?
Im Prinzip siehts dann so aus:
[attachment=46399:Unbenannt.jpg]
0

#3 Mitglied ist offline   Kenny 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.419
  • Beigetreten: 22. September 03
  • Reputation: 12

geschrieben 19. Dezember 2014 - 17:41

Kindersicherung in der Fritzbox aktivieren und Internet sperren für den TV müsste gehen
"Irgendwat is ja immer."
0

#4 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 6.864
  • Beigetreten: 20. Juli 07
  • Reputation: 741

geschrieben 19. Dezember 2014 - 19:17

"Einheitlicher" IP-Pool? :unsure:

Ich geh einfach mal davon aus, daß PC1 nicht gleich PC1 ist, sondern eher PC2 und daß es auch zumindest TV1 und TV2 gibt.

@1- Wäre besser gewesen, das Modem näher am Splitter zu haben (wg Signalverlusten).

@2- Gibt es einen triftigen Grund, daß der PC in der zweiten Etage sowie die in die erste Etage führende LAN1-Leitung nicht mit am Switch hängen? Wenn nicht: Umhängen (wg Netzwerkperformance).


@3- Mit der Fritzbox kann man leider nur das Nötigste machen und selbst AVM sagt, daß das kein Netzwerkgerät ist. Versprich Dir also im Hinblick auf die Netzwerkinfrastruktur nicht allzuviel davon - leg Dir lieber einen kleinen D-Link für klein Geld zu, besonders wenn da auch ein *WRT drauf laufen kann - schlägt die FB um Längen.


Mein Vorschlag für die Architektur:

EG: Fritzbox 7490.
1. OG: (FB aus EG) => Switch => (TV, PC).
2. OG: (FB aus EG) => Router => Switch => (PC, SAT, TV, BDP).

sodaß also zwei Leitungen von der FB im EG nach oben gehen, jeweils eine in jede Etage.

Der Router im 2. OG wäre dann nur noch ein "Gate" für alles, was dahinter hängt und würde sich praktisch wie eine dedizierte Firewall verhalten (soweit diese konfigurierbar ist, natürlich).

Dieser Beitrag wurde von RalphS bearbeitet: 19. Dezember 2014 - 19:19

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
0

#5 Mitglied ist offline   Volker S 

  • Gruppe: aktive Mitglieder
  • Beiträge: 285
  • Beigetreten: 23. Juli 09
  • Reputation: 23

geschrieben 19. Dezember 2014 - 21:02

Beitrag anzeigenZitat (RalphS: 19. Dezember 2014 - 19:17)

"Einheitlicher" IP-Pool?

Bis auf das Modem haben alle 192.168.1.XXX

Zitat

Ich geh einfach mal davon aus, daß PC1 nicht gleich PC1 ist, sondern eher PC2 und daß es auch zumindest TV1 und TV2 gibt.

Jepp, hast Du richtig eingestuft

Zitat

@2- Gibt es einen triftigen Grund, daß der PC in der zweiten Etage sowie die in die erste Etage führende LAN1-Leitung nicht mit am Switch hängen? Wenn nicht: Umhängen (wg Netzwerkperformance).

(a) ...waren das einfach örtliche Begebenheiten. Das DSL-Kabel kommt in einer Ecke aus der Wand (da wo sich ebenfalls der PC befindet) und die TV-Ecke befindet sich recht weit entfernt vom PC.

(b) ...ich wollte schon die Vorteile eines Routers nutzen (auf dem übrigens DD-WRT läuft) um nicht alle Pakete über einen Switch zu schicken. So wie Du das Bild in der zweiten Etage siehst, trennt mein Router den Netzwerktraffic in die erste und zweite Etage. Streamingpakete (Filme) gehen nur zum Switch in die 'Filmecke', während Routingpakete zu den PC's auch wiederum nur dorthin gesendet werden (so jedenfalls ist mein bisheriges Verständnis von einem Router).

Zitat

Mein Vorschlag für die Architektur:

EG: Fritzbox 7490.
1. OG: (FB aus EG) => Switch => (TV, PC).
2. OG: (FB aus EG) => Router => Switch => (PC, SAT, TV, BDP).

sodaß also zwei Leitungen von der FB im EG nach oben gehen, jeweils eine in jede Etage.


Ups. Das wäre aber doch kein einheitlicher IP-Pool mehr - respektive 2 Netzwerke. Oder würdest Du was mit VPN und Tunneling machen wollen?
Ich bin gerne bereit, auch nochmal Geld in die Hand zu nehmen - Hauptsache das Ergebnis stimmt am Ende (mein jetziger alter Router kann eh nur 25-30 Mbits/s, aber durch eine neue Firmware beherrscht er nun das VLAN-Tagging - bin mal gespannt welche VLAN-ID ich von 1und1 erhalte / die Telekom hat ja bekanntlich fürs normale Netz die '7')

Das gesamte Erdgeschoß braucht nicht mit Internet versorgt werden (da lebt mein alter Herr). Da der Telefonanschluss im Erdgeschoss wegfällt, schließe ich sein Telefon an der Fritzbox im 1.OG an (welches dann durch VoIp versorgt wird). Den ursprünglichen TAE lege ich mit der vorhandenen ISDN-Leitung (EG -> 1.OG) nach oben ins 1.OG, wo dann die 7490 dran kommt. Die ISDN-Telephonanlage hängt dann nur noch mit an der Frizbox, um Inkompatibelitäten unsere DECT-Telephone auszuschließen.
Falls die Fritte unsere DECT-Telephone ebenfalls einpflegen kann, kommt auch die ISDN-Telefonanlage auf den Söller.

Zitat

Der Router im 2. OG wäre dann nur noch ein "Gate" für alles, was dahinter hängt und würde sich praktisch wie eine dedizierte Firewall verhalten (soweit diese konfigurierbar ist, natürlich).

Momentan weiß ich einfach nicht, wie Du das im gleichen IP-Pool bewerkstelligen kannst. Ich habe aber einfach auch keine Ahnung wie man ein Gate mit eigener Firewall (das wäre schon toll, denn das macht DD-WRT in meinem Router echt gut) auf einem Router betreibt, welche noch im gleichen Netz liegt.
Für mich sind zwei eigenständige Router (mit 2 Firewalls) auch 2 Netzwerke (mit doppeltem NAT). Aber wie gesagt, bin netzwerktechnisch eher ein Laie und lerne natürlich gerne dazu. :)

-volker-

@Kenny und Samstag,

hört sich doch eigentlich ganz gut an. Hauptsache die Fritte hat irgendwo eine Blacklist, in der man IP's oder Domains eintragen kann.

@Samstag,
würde da zwar wegen der örtlichen Begebenheiten noch einen zusätzlichen Switch verbauen, aber die 'blöden' Switches sind ja kaskadierbar.

-volker-

Dieser Beitrag wurde von Urne bearbeitet: 20. Dezember 2014 - 09:50
Änderungsgrund: Beiträge verbunden. Urne

0

#6 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.886
  • Beigetreten: 14. Juli 07
  • Reputation: 254

geschrieben 19. Dezember 2014 - 21:56

Ja, sind sie. Kannst dir aber dann auch überlegen die vorhandene 7170 als Repeater/Switch zu missbrauchen. Vom Stromverbrauch her braucht sie nur unwesentlich mehr als ein Switch, dafür sparst du dir die Anschaffungskosten, und dafür kannst du lange die 3 Watt Mehrverbrauch bezahlen.
Desweiteren machen die Fritzen untereinander eigentlich ganz ordentliche Arbeit, und der Adressbereich bleibt auch gleich (Standard 192.168.178.x, ist aber einstellbar und somit auch deine geforderten 192.168.1.x machbar, auch wenns prinzipiell keinen Unterschied macht).
Wenn's soweit ist und du brauchst Hilfe bei der Einrichtung meld dich nochmal, gibt genügend Leute hier die dir da weiterhelfen können.
Neues anschaffen würd ich da erstmal auf die lange Bank schieben, das geht immer noch falls wirklich ein Gerät gar nicht laufen sollte (wie es soll).

Dieser Beitrag wurde von Samstag bearbeitet: 19. Dezember 2014 - 21:58

0

#7 Mitglied ist offline   Volker S 

  • Gruppe: aktive Mitglieder
  • Beiträge: 285
  • Beigetreten: 23. Juli 09
  • Reputation: 23

geschrieben 19. Dezember 2014 - 22:27

Hallo Samstag,

Beitrag anzeigenZitat (Samstag: 19. Dezember 2014 - 21:56)

Ja, sind sie. Kannst dir aber dann auch überlegen die vorhandene 7170 als Repeater/Switch zu missbrauchen.


nach meinem Verständnis arbeitet meine 7170 in der augenblicklichen Konfiguration ja auch nur als Switch, da sie über LAN angebunden ist (ist doch richtig so, oder?)

Beim Repeater reden wir hier wiederum nur über den WLAN-Modus.

Wenn ich die 7170 als Switch benutze (also wie sie jetzt auch angeschlossen ist) brauche ich mir auch keine Gedankem mehr über das VLAN-Stepping machen, da ein Switch eben nicht routet (VLAN kann die 7170 nämlich nicht / als Repeater eingesetzt könnte ich dann auch WPA2 einsetzen, weil beide Hardwaregeräte dann Fritzboxen sind - ist für mich auch eine sehr gute Erkenntnis)

Zitat

Standard 192.168.178.x, ist aber einstellbar und somit auch deine geforderten 192.168.1.x machbar, auch wenns prinzipiell keinen Unterschied macht.


...ach das ist uninteressant? Ich dachte man müsste immer in einem eigenen Range bleiben, dass alle Clients aufeinander zugreifen können. Sind 192.168.178.x und 192.168.1.x nicht unterschiedliche Netzwerke?
Diese Einstellungen wären dann aber nur für die Verwendung als Repeater überhaupt interessant, weil ein 'dummer' Switch eben so etwas nicht braucht.

-volker-
0

#8 Mitglied ist offline   Samstag 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.886
  • Beigetreten: 14. Juli 07
  • Reputation: 254

geschrieben 20. Dezember 2014 - 00:33

Beitrag anzeigenZitat (Volker S: 19. Dezember 2014 - 22:27)

nach meinem Verständnis arbeitet meine 7170 in der augenblicklichen Konfiguration ja auch nur als Switch, da sie über LAN angebunden ist (ist doch richtig so, oder?)

Ja. AVM nennt das ganze zwar IP-Client, im Prinzip ist es aber auch nur ein Switch mit mehr Funktionen (VoIP z.b.).

Zitat

Beim Repeater reden wir hier wiederum nur über den WLAN-Modus.

Auch ja, wobei Switch und Repeater bei Fritzboxen gleichzeitig funktioniert (sofern über Lan1 angeschlossen und mehr als 1 Lan-Anschluss vorhanden), deswegen schrieb ich oben Switch/Repeater.

Zitat

Wenn ich die 7170 als Switch benutze (also wie sie jetzt auch angeschlossen ist) brauche ich mir auch keine Gedankem mehr über das VLAN-Stepping machen, da ein Switch eben nicht routet (VLAN kann die 7170 nämlich nicht ...)

Die 7170 kann kein VLan, korrekt. Unterteilen in verschiedene Netze geht aber theoretisch dennoch, da die 7490 ein Gastnetz mit eigens konfigurierbaren Möglichkeiten bereitstellt. Diese Möglichkeiten sind aber recht begrenzt, da kann man nochmal drüber reden wenn es soweit ist.

Zitat

... / als Repeater eingesetzt könnte ich dann auch WPA2 einsetzen, weil beide Hardwaregeräte dann Fritzboxen sind - ist für mich auch eine sehr gute Erkenntnis)

Korrekt :)

Zitat

...ach das ist uninteressant? Ich dachte man müsste immer in einem eigenen Range bleiben, dass alle Clients aufeinander zugreifen können. Sind 192.168.178.x und 192.168.1.x nicht unterschiedliche Netzwerke?
Diese Einstellungen wären dann aber nur für die Verwendung als Repeater überhaupt interessant, weil ein 'dummer' Switch eben so etwas nicht braucht.

Missverständnis :P Ich meinte eigentlich, dass es keinen Unterschied macht ob du jetzt 192.168.1.x oder eben 192.168.178.x benutzt. Beides gleichzeitig geht natürlich nicht. Oder es geht doch durch Änderung des Subnetzes auf 255.255.0.0, aber ich glaube nicht dass die Fritzen ein Class-B Netz mit 65000 Ip-Adressen beherrschen :P
0

#9 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 6.864
  • Beigetreten: 20. Juli 07
  • Reputation: 741

geschrieben 20. Dezember 2014 - 09:21

Man kann in der FB auch eine /8 Subnetzmaske konfigurieren, wenn man das will (das wäre dann 10.0.0.0/8). Warum sollte die das nicht verwalten können? Hängen ja keine Millionen von Clients dran. Ist zwar ein wenig blödsinnig... aber, kann man natürlich tun.

Außerdem scheint es hier ein kleines Mißverständnis zu geben: IP-Pool ist nicht dasselbe wie Subnetz. Und während zwar in *einem* Subnetz die IP-Adressen "zusammenpassen" müssen (=> Netz-ID), *darf* dieses für *mehrere* Subnetze *nicht* so sein.

Da ein Router vorhanden ist (der im 2. OG), kann man auch ein zweites Subnetz aufmachen, muß sich dann aber natürlich auch um die Routen kümmern. Das kann man aber bei der FB und auch bei *WRT konfigurieren. In meinem Vorschlag müßte man dazu den WAN-Port des Routers(2OG) mit der Fritzbox verbinden und dann am Router NAT abschalten.

... Ach ja, bevor man mit VLAN anfängt, sollte man das erstmal "normal" versuchen. Wer "Standard-Subnetz" nicht hinkriegt, ist bei VLAN komplett verloren.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
0

#10 Mitglied ist offline   Volker S 

  • Gruppe: aktive Mitglieder
  • Beiträge: 285
  • Beigetreten: 23. Juli 09
  • Reputation: 23

geschrieben 20. Dezember 2014 - 11:11

Hallo Samstag,

Beitrag anzeigenZitat (Samstag: 20. Dezember 2014 - 00:33)

Die 7170 kann kein VLan, korrekt. Unterteilen in verschiedene Netze geht aber theoretisch dennoch, da die 7490 ein Gastnetz mit eigens konfigurierbaren Möglichkeiten bereitstellt. Diese Möglichkeiten sind aber recht begrenzt, da kann man nochmal drüber reden wenn es soweit ist.


Auszeit!
Du hattest Doch vorgeschlagen, die alte Fritzbox als Switch zu verwenden. Ein Gastnetz hört sich für mich aber erstmal nach einem anderen abgeschlossenen Subnetz an. Das ist jetzt wieder eine andere Möglichkeit, nee?

Ich bleibe jetzt (hier bei Dir) erst mal bei der Möglichkeit die 7170 als Switch zu verwenden. Dabei werden die Einzelframes anhand der MAC-Adressen an die richtigen Ports geschickt.
Es findet kein IP-Routing (mit NAT bei verschiedene Netzen) und all den Gedönse bei einem Switch statt.
[Vermutungmodus an] Dadurch brauche ich mich nicht um VLAN und evtl. Geschwindigkeitseinbußen durch eine langsame CPU im Router mehr zu kümmern, da das Teil eben nur als Switch läuft [/Vermutungmodus aus].
Das hört sich doch soweit ganz gut an. Wofür dann die Möglichkeit eines Gastnetzes, zumal die Möglichkeiten dazu arg begrenzt sind, wie Du erwähntest?


-volker-

Beitrag anzeigenZitat (RalphS: 20. Dezember 2014 - 09:21)

Außerdem scheint es hier ein kleines Mißverständnis zu geben: IP-Pool ist nicht dasselbe wie Subnetz. Und während zwar in *einem* Subnetz die IP-Adressen "zusammenpassen" müssen (=> Netz-ID), *darf* dieses für *mehrere* Subnetze *nicht* so sein.

Da ein Router vorhanden ist (der im 2. OG), kann man auch ein zweites Subnetz aufmachen, muß sich dann aber natürlich auch um die Routen kümmern. Das kann man aber bei der FB und auch bei *WRT konfigurieren. In meinem Vorschlag müßte man dazu den WAN-Port des Routers(2OG) mit der Fritzbox verbinden und dann am Router NAT abschalten.


?
Du willst ohne NAT ein zweites Subnetz aufmachen? Oder habe ich Dich jetzt falsch verstanden?
Ich denke, dass sobald ein zweites Subnetz (beispielsweise 192.168.1.X und 192.168.2.X) ins Spiel kommt geht ohne Router und NAT überhaupt nichts mehr.


-volker-

Dieser Beitrag wurde von Volker S bearbeitet: 21. Dezember 2014 - 18:03
Änderungsgrund: Beiträge verbunden. Urne

0

#11 Mitglied ist offline   FloBrand 

  • Gruppe: aktive Mitglieder
  • Beiträge: 44
  • Beigetreten: 19. Oktober 13
  • Reputation: 0

geschrieben 31. Dezember 2014 - 00:46

Beitrag anzeigenZitat (Volker S: 20. Dezember 2014 - 11:11)

Du willst ohne NAT ein zweites Subnetz aufmachen? Oder habe ich Dich jetzt falsch verstanden?
Ich denke, dass sobald ein zweites Subnetz (beispielsweise 192.168.1.X und 192.168.2.X) ins Spiel kommt geht ohne Router und NAT überhaupt nichts mehr.
-volker-

Das ganze kann man dann mit statischen Routen in der Fritzbox regeln. Aber wozu 2 Subnetzwerke, hast du mehr als 253 Geräte? (1. IP ist für den Router und. 255 für Broadcast)

Ich verstehe eigentlich das lange geplane nicht, stell es einfach auf ein ganzes Netzwerk und gut ist es. Verteile das Internet dann und wenn du etwas natten musst, gehst du zum Einwahlrouter und forwardest das.
Eingefügtes Bild
0

#12 Mitglied ist offline   Volker S 

  • Gruppe: aktive Mitglieder
  • Beiträge: 285
  • Beigetreten: 23. Juli 09
  • Reputation: 23

geschrieben 31. Dezember 2014 - 10:33

...wenn ich das NAT an meinem Linksys-Router deaktiviere - funktioniert dann noch die Firewall mit den iptables?

Bisher erscheint es mir am praktikabelsten, wenn ich den Linksys (oder die alte Fritzbox) einfach als weiteren Switch nehme (da wo jetzt der Linksys als Router eingesetzt wird). Falls ich die Fritzbox als Switch nehme bleibt mir noch der Vorteil, dass ich mein WLAN mit WPA2 erweitern kann.

Welche Vor- oder Nachteile hätte ich denn zu erwarten, wenn ich nur einen Switch hätte (der anhand von MAC-Adressen weiter'routet'), oder ich einen Router ohne NAT einsetze?


-volker-

Dieser Beitrag wurde von Volker S bearbeitet: 31. Dezember 2014 - 11:12

0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0