blenzman
Goto Top

Routing zw. FB6591 und ER-X bei Nutzung statischer IP und Exposed Host

Hallo zusammen,

hab hier im Forum schon oft Hilfe gefunden - vielen Dank dafür!
Nun habe ich allerdings ein kleines Projekt, bei dem ich alleine nicht mehr weiter komme.

Folgender Sachverhalt:

- Business-Anschluss Vodafone Kabel in BW mit statischer IP-Adresse (/30er Subnetz) mit FritzBox Cable 6591
- ER-X als ExposedHost an der FritzBox angeschlossen
- Zum ER-X wird eine Site2Site VPN-Verbindung aufgebaut


netzplan1


Bisher habe ich die FB einfach als überfrachtetes Modem betrachtet. Nun möchte ich das separate Netz aber ganz gerne als Gäste-Wlan und die FB als DECT-Basisstation nutzen. Funktioniert auch soweit - nur, dass ich akutell keine Möglichkeit habe, diese aus meinem "normalen" Netz (192.168.3.0) zu steuern.

Außerdem spiele ich noch mit dem Gedanken einen Raspi als Webserver im LAN der FB zu installieren.

Ich hab mir schon einiges bzgl. Statische Routen angeschaut, blicke leider noch nicht ganz durch. Was ich verstanden habe, über ExposedHost-Verbindung kann ich keine Verbindung zum LAN der FB aufbauen. Daher der Gedanke hier die beiden Router nochmals zu verbinden.

Bisher hab ich folgendes versucht:

- Statische Route in FB: Zielnetz 192.168.3.0 / 255.255.255.0 / Gateway 192.168.178.21
- FB: Internet/Zugangsart/Portkonfiguration - hier hab ich nur LAN2 angeklickt zur Nutzung der öffentlichen IP
- ER-X: Statiche Route (Gateway) Ziel 192.168.178.0/24 Next Hop 192.168.178.1

Leider ohne den gewünschten Erfolg.

Nun zu meinen Fragen:

1. Ist die zweite Kabelverbindung so i.O.?
2. Wenn ja, welche Routen müsste ich in FB und ER-X eintragen, dass die beiden Netze kommunizieren können?
3. Mit entsprechenden Firwallregeln kommt das einer DMZ doch schon recht nahe, oder?

Kann mir einer weiterhelfen?

Danke!

Gruß Blenz

Content-Key: 639237

Url: https://administrator.de/contentid/639237

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: aqui
aqui 09.01.2021, aktualisiert am 10.01.2021 um 12:36:50 Uhr
Goto Top
Bisher habe ich die FB einfach als überfrachtetes Modem betrachtet.
Ein weitverbreiteter Irrglaube denn die FB ist kein Modem sondern ein vollwertiger Router.
Du betreibst sie in seiner simplen Router Kaskade mit doppeltem NAT und (vermutlich) doppeltem Firewalling.
Alles was in so einen Kaskaden Design beachtet werden muss beschreibt dieses Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Knackpunkt sind also die Firewall Regeln des ER-X an seinem Koppelport (WAN-Port) zur FritzBox. Dort werden mit an Sicherheit grenzender Wahrscheinlichkeit alle RFC-1918_Netze geblockt und damit dann auch Traffic aus dem 192.168.178er IP Netz. Damit ist also dann die FB aus dem lokalen LAN Netz am ER-X logischerweise unerreichbar weil ihr Traffic den WAN Port nicht passieren kann.
In einem solchen Kaskaden Design ist es also immer sinnvoll den RFC1918 Traffic freizugeben weil die Koppelnetze in der Regel immer Private IP Netze sind. Bei einer pFSense_Firewall zum Beispiel geht das mit einem einzigen Haken im WAN Port Setup:
wan
Simpelste Firewall Logik ! face-wink
Fazit:
Die schlichte und einfache Lösung ist: Erlaube in der ER-X Firewall die FB IP 192.168.178.1 (oder das Netz .178.0) das diese passieren darf und dann klappt der Zugriff auf die FB auch aus dem .3.0er Netz probllemlos !

Deine Kabelverbindung ist tödlich und komplett falsch und Sicherheits technisch fatal, denn damit verbindest du das .3.0er Netz wieder direkt mit dem .178.0er Netz. Du schliesst also den ER-X quasi kurz und führst dein Netz designtechnisch damit völlig ad absurdum. Dann kannst du den ER-X auch gleich völlig weglassen denn mit der Verkabelung ist er dann sinnfrei.
Du hast in deiner laienhaften Auffassung von den FB Ports völlig übersehen das diese nur als simple Layer 2 Ports arbeiten also als simpler Layer 2 Switch darstellen und NICHT als dedizierte Routerports zu sehen sind wie bei deinem ER-X.
Alle 4 Ports sind also gemeinsam im .178.0er IP Netz !!!
Mitglied: blenzman
blenzman 10.01.2021 aktualisiert um 14:17:29 Uhr
Goto Top
Hey,

Ein weitverbreiteter Irrglaube denn die FB ist kein Modem sondern ein vollwertiger Router.
Das war mir schon bewust...

Bzgl. der Firewallregeln hattest du recht - private Netze werden geblockt. Danke für den Hinweis, schaue ich mir an.

Du hast in deiner laienhaften Auffassung von den FB Ports völlig übersehen das diese nur als simple Layer 2 Ports arbeiten also als simpler Layer 2 > Switch darstellen und NICHT als dedizierte Routerports zu sehen sind wie bei deinem ER-X.
Alle 4 Ports sind also gemeinsam im .178.0er IP Netz !!!

Dann müsste doch mein ER-X auch eine Adresse im .178.0er Netz bekommen. Sieht lt. Anzeige in der FB aber nicht so aus. Hier wird die öffentliche IP angezeigt. Hatte für mich bisher Sinn gemacht, da der als ExposedHost angeschlossen ist. Die statische IP hab ich bei der Einrichtung des ER-X eingetragen (/30 Subnetz). Diese IP-Adresse (.226) kann ich aber ja nicht als Gateway in die statische Route der FB eintragen.

unbenannt2_

Daher kam ich auch auf die Idee mit dem zweiten Kabel. Hab ich aber wieder entfernt.

Wie müsste ich das Routing dann gestalten?
Die Freigabe der privaten Netze würde dann doch hier auch nicht reichen, oder?

Gruß Blenz
Mitglied: aqui
aqui 10.01.2021 um 15:12:45 Uhr
Goto Top
Das war mir schon bewust...
Hast du dann aber hier dennoch falsch aufgeschrieben... face-wink
Dann müsste doch mein ER-X auch eine Adresse im .178.0er Netz bekommen.
Wenn du den Port als DHCP Client konfigurierst dann ja. Hast du vermutlich aber nicht, denn bei einer FW stehen die Port Modes in der Regel auf Static.
Eine Exposed Host ist sowas wie ein Scheunentor um die NAT Firewall der FB zu überwinden. Das bedeutet lediglich das die FB dann ALLES was an Traffic auf ihre öffentliche Internet IP reinkommt an den dort definierten Host im lokalen LAN sendet.
Das lokale LAN sind wie gesagt ALLE 4 Ports denn die arbeiten in einer simplen Layer 2 Switchkonfig und sind NICHT untereinander getrennt wie man das von einem "richtigen" Router oder Firewall kennt.
kann ich aber ja nicht als Gateway in die statische Route der FB eintragen.
Macht auch sehr wenig Sinn wenn die ER-X an ihrem WAN Port NAT und Firewalling macht ! Da sist ja einen Einbahnstrasse dann und kein transparentes Routing. Siehe dazu auch HIER.
Daher kam ich auch auf die Idee mit dem zweiten Kabel.
Wie gesagt: Gefährlicher laienhafter Unsinn. Leuchtet dir auch selber ein wenn du dir das Netzdesugn mal in Ruhe aus Layer 2 und Layer 3 Sicht ansiehst.
Wie müsste ich das Routing dann gestalten?
Wenn die ER-X NAT am WAN (Koppelport) macht dann gibts kein Routing. Dann braucht die ER-X lediglich eine Default Route auf die FritzBox...fertisch.Ist ja ne simple Router Kaskade mit doppeltem NAT und doppeltem Firewalling. Siehe Tutorial oben da ist alles erklärt zu dem Thema Kaskaden.
Die Freigabe der privaten Netze würde dann doch hier auch nicht reichen, oder?
Wenn NAT und Firewalling gemacht wird nicht, da hast du Recht. Dann brauchst du Port Forwarding und Anpassung des Regelwerkes. Ohne NAT ist es nur Routing und dann Regelwerk.
Kommt also drauf an was du konfiguriert hast oder willst. Siehe Routing Tutorial oben !
Lesen und verstehen. face-wink
Mitglied: blenzman
blenzman 13.01.2021 um 22:29:26 Uhr
Goto Top
Wenn die ER-X NAT am WAN (Koppelport) macht dann gibts kein Routing. Dann braucht die ER-X lediglich eine Default Route auf die
FritzBox...fertisch.Ist ja ne simple Router Kaskade mit doppeltem NAT und doppeltem Firewalling. Siehe Tutorial oben da ist alles erklärt zu dem
Thema Kaskaden.

Ja, der ER-X macht NAT am WAN.

Das verbinden zweier privater Netze wie im Tutorial beschrieben, versteh ich.
Bin mir nur nicht sicher ob das meine Situation hier wiederspiegelt. (oder ich blicke es doch noch nicht face-wink )

Ich hab hier folgende Subnetze:
- 192.168.178.0/24 LAN auf der Fritzbox
- 192.168.3.0/24 LAN auf dem ER-X
- 9x.xxx.xxx.224/30 bereitgestellt von Vodafone

Die Default Route im ER-X bezieht sich auf das Gateway des 9x.xxx.xxx.224/30 Netz. Damit wird die statische IP bereitgestellt (die muss ich auch eintragen, sonst kann ich sie nicht nutzen, da VF keinen Bridgemode mehr in der FB anbietet). Vorausgesetzt es gibt nur eine Default Route (wovon ich aktuell ausgehe) kann ich die ja nicht auf das LAN der FB ändern.

Kann in dem Fall überhaupt eine Kommunikation ins LAN der FB stattfinden?
Mitglied: aqui
aqui 14.01.2021 aktualisiert um 10:59:38 Uhr
Goto Top
9x.xxx.xxx.224/30 bereitgestellt von Vodafone
Das ost das Point to Point netz von Voadfone. Ein /30er Prefix bedeutet ja so oder so nur 2 mögliche IP Adressen. Einmal die des Voadfone Routers und einmal deiner...das wars. Du hast vermutliche eine feste statische IP gebucht, dann bekommt man sowas. Wenn du das nicht gebucht hast wird sich die 9x.xxx.xxx.224 im PPPoE Tunnel üblciherweise alle 2-3 Tage ändern. (Dynmaische Provider IP)
Kann in dem Fall überhaupt eine Kommunikation ins LAN der FB stattfinden?
WO endet denn die 9x.xxx.xxx.224/30 IP ?? Auf deiner FritzBox oder im ER-X
PPPoE Passthrough supporten die FritzBoxen nicht mehr und auch nicht den Betrieb als reines Modem. Es sei denn du hast eine 7412er für_den_Modembetrieb ?!
Ohne eine genaue Beschreibung wer hier was routet oder routen soll und ggf. eine geneue Layer 3 Skizze kommen wir hier nicht weiter... face-sad
Mitglied: blenzman
blenzman 14.01.2021 um 11:46:31 Uhr
Goto Top
Du hast vermutliche eine feste statische IP gebucht,
Ja.

WO endet denn die 9x.xxx.xxx.224/30 IP ??
Die endet im ER-X.

Ich dachte das würde aus der Zeichnung im Eingangspost klar werden. Hab mal eine neue angefertigt - hoffe die ist verständlicher.

Die Frage ist, ob es möglich ist von einem Rechner 192.168.3.10 auf den Raspi 192.168.178.50 zuzugreifen und wenn ja, wie das Routing aussehen müsste.

netz_topo_web_