9
Unify USG-Pro 4 hinter Fritzbox Kabel und Mobotix
Hallo,
vielleicht kann einer der Profis mal über die geplante Konfiguration drübersehen, ob diese sinnvoll ist.
Anbei habe ich ein Bild angefügt, zusätzlich eine kurze Beschreibung:
Ausgangslage:
- Fritzbox-Kabel mit Bridge-Modus an Lan-Port 2 zum WAN1-EIngang der USG (DHCP)
- Lan1 der Fritzbox (IP: 192.168.90.1) zum WAN2-Port des USG (192.168.90.2)
- AM LAN1-Port der USG hängt ein HP Switch mit entsprechenden Vlans (u.a. 192.168.88.1,192.168.170.1, 192.168.90.3 als Gateway für die Vlans etc)
Warum so geplant? Da die Mobotix-Telefone eine Verbindung zur Fritzbox benötigen und über die Fritzbox die Telefonie abgewickelt werden muss
---> Wenn ich mir überlege, sollte das NAT der USG am Wlan2-Port abgeschaltet werden. Folglich würde ich eine Route definieren, welche in meinem Fall das Vlan170 über den WAN2-Port der USG routen würde. Der Rest geht alles über WAN1-Port des USG
Passt dies sicherheitstechnisch so?
Wenn ja, wie schalte ich das NAT der USG ausschliesslich am WAN2-Port ab? Habe nirgends etwas gefunden ob dies geht.
Danke für eure Hilfe
vielleicht kann einer der Profis mal über die geplante Konfiguration drübersehen, ob diese sinnvoll ist.
Anbei habe ich ein Bild angefügt, zusätzlich eine kurze Beschreibung:
Ausgangslage:
- Fritzbox-Kabel mit Bridge-Modus an Lan-Port 2 zum WAN1-EIngang der USG (DHCP)
- Lan1 der Fritzbox (IP: 192.168.90.1) zum WAN2-Port des USG (192.168.90.2)
- AM LAN1-Port der USG hängt ein HP Switch mit entsprechenden Vlans (u.a. 192.168.88.1,192.168.170.1, 192.168.90.3 als Gateway für die Vlans etc)
Warum so geplant? Da die Mobotix-Telefone eine Verbindung zur Fritzbox benötigen und über die Fritzbox die Telefonie abgewickelt werden muss
---> Wenn ich mir überlege, sollte das NAT der USG am Wlan2-Port abgeschaltet werden. Folglich würde ich eine Route definieren, welche in meinem Fall das Vlan170 über den WAN2-Port der USG routen würde. Der Rest geht alles über WAN1-Port des USG
Passt dies sicherheitstechnisch so?
Wenn ja, wie schalte ich das NAT der USG ausschliesslich am WAN2-Port ab? Habe nirgends etwas gefunden ob dies geht.
Danke für eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 623444
Url: https://administrator.de/contentid/623444
Printed on: April 18, 2024 at 22:04 o'clock
9 Comments
Latest comment
Moin,
was willst du mit den beiden Verbindungen von der FB zur USG bezwecken?
Wenn du nicht das Gastnetz auf einem der beiden liegen hast (was man nicht braucht, wenn man eine USG hat), dann reicht doch ein Uplink.
VG
was willst du mit den beiden Verbindungen von der FB zur USG bezwecken?
Wenn du nicht das Gastnetz auf einem der beiden liegen hast (was man nicht braucht, wenn man eine USG hat), dann reicht doch ein Uplink.
VG
Wenn ich mir überlege, sollte das NAT der USG am Wlan2-Port abgeschaltet werden
Wäre in der Tat auch sinnvoller bei einer Router Kaskade. Erspart dir die Routing Einbahnstrasse durch die NAT Firewall und das Performance fressende überflüssige doppelte NAT und doppelte Firewalling.So sähe sowas aus mit VLAN Routing auf dem Switch wie bei dir:
Verständnissproblem Routing mit SG300-28
Was aber total unsinnig ist, sind deine 2 WAN Ports des USG auf eine FritzBox die gar keine 2 WANs supportet. Das wird dir über kurz oder lang Probleme bereiten, denn das ist ein fataler IP Design Fehler.
Es ist zudem auch komplett überflüssig wenn du stinknormal und einfach routest mit nur einem einzigen WAN Port (WAN1) und den dann ohne NAT.
Siehe Topologie im o.a. Layer 3 Routing Tutorial die die saubere Umsetzung kaarklein erklärt !
Hier meine Überlegungen warum ich beide WAN-Ports benutze möchte:
- Das Telefon Mobotix aus dem VLan170 muss sich zwangswiese an der Fritzbox einloggen. Über den WAN1-Port des USG kann sie es aber nicht, da die Fritzbox diesen Port ja im Bridge-Modus hält. Folglich kann das Telefon nicht auf die Fritzbox zugreifen und somit auch nicht anmelden.
- Deshalb dachte ich mir, da ich über den Bridge-Port eine öffentliche-IP bekomme, die Fritzbox über die anderen Ports eine zweite öffentliche-IP besitzt kann ich für das Telefon die Verbindung über den WAN2-Port des USG realisieren. Denn damit (bei abgeschalteten NAT) sollte die Anmeldung an der Fritzbox funktionieren.
- Das Telefon Mobotix aus dem VLan170 muss sich zwangswiese an der Fritzbox einloggen. Über den WAN1-Port des USG kann sie es aber nicht, da die Fritzbox diesen Port ja im Bridge-Modus hält. Folglich kann das Telefon nicht auf die Fritzbox zugreifen und somit auch nicht anmelden.
- Deshalb dachte ich mir, da ich über den Bridge-Port eine öffentliche-IP bekomme, die Fritzbox über die anderen Ports eine zweite öffentliche-IP besitzt kann ich für das Telefon die Verbindung über den WAN2-Port des USG realisieren. Denn damit (bei abgeschalteten NAT) sollte die Anmeldung an der Fritzbox funktionieren.
- Deshalb dachte ich mir, da ich über den Bridge-Port eine öffentliche-IP bekomme, die Fritzbox über die anderen Ports eine zweite öffentliche-IP besitzt kann ich für das Telefon die Verbindung über den WAN2-Port des USG realisieren. Denn damit (bei abgeschalteten NAT) sollte die Anmeldung an der Fritzbox funktionieren.
Also die Fritzbox kann nicht mit so einem Konstrukt umgehend. Hast du denn einen Tarif, welcher dir 2 öffentliche IP zuweist?
Mache doch folgende:
- Fritzbox als Router (besser komplett weg)
- Route auf USG....ggf Portweiterleitungen falls benötigt...Dahinter dann deine VLAN
- Telefone in das Fritzbox Netz (192.168.178.0/24 um beim "Standard" zu bleiben)
Klassisches aqui Tutorial mit Fritzbox & VLAN....du hängst halt einfach noch die Telefone dazwischen
Habe nochmals nachgesehen.
Ja definitiv.
Über den Bridge-Modus erhalte ich eine öffentliche IP und über die anderen Ports eine weitere öffentliche IP.
Ist meine Überlegung dann immer noch ein Designfehler?
Ja definitiv.
Über den Bridge-Modus erhalte ich eine öffentliche IP und über die anderen Ports eine weitere öffentliche IP.
Ist meine Überlegung dann immer noch ein Designfehler?
FritzBox gegen Draytek Vigor 165 tauschen und USG Einwahl ins Internet machen lassen.
Fritzbox als IP Client ins VLAN170 aufnehmen und fertig ist der Lack. Fritte ist dann nur noch Telefonanlage.
Fritzbox als IP Client ins VLAN170 aufnehmen und fertig ist der Lack. Fritte ist dann nur noch Telefonanlage.
Zitat von @FFSephiroth:
FritzBox gegen Draytek Vigor 165 tauschen und USG Einwahl ins Internet machen lassen.
Fritzbox als IP Client ins VLAN170 aufnehmen und fertig ist der Lack. Fritte ist dann nur noch Telefonanlage.
FritzBox gegen Draytek Vigor 165 tauschen und USG Einwahl ins Internet machen lassen.
Fritzbox als IP Client ins VLAN170 aufnehmen und fertig ist der Lack. Fritte ist dann nur noch Telefonanlage.
Er schreibt aber Kabel -> fritzbox. Wenn es Koaxkabel ist, dann wird das mit dem Vigor nichts.
Was es nun letztendlich ist, bleibt ein Geheimnis
Mit der FritzBox hat das auch nicht das Geringste zu tun. Es ist einzig und allein das vollkommen falsche IP (Routing) Design !
Mahlzeit
Kann er dann natürlich machen.
Zitat von @tech-flare:
Dann kann er aber die Fritte durch ein Technicolor TC4400EU-Modem ersetzen.Zitat von @FFSephiroth:
FritzBox gegen Draytek Vigor 165 tauschen und USG Einwahl ins Internet machen lassen.
Er schreibt aber Kabel -> fritzbox. Wenn es Koaxkabel ist, dann wird das mit dem Vigor nichts.FritzBox gegen Draytek Vigor 165 tauschen und USG Einwahl ins Internet machen lassen.
Fritzbox als IP Client ins VLAN170 aufnehmen und fertig ist der Lack. Fritte ist dann nur noch Telefonanlage.
