FB als Modem für Nighthawk

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von Nitrox, 16. Oktober 2019.

  1. Nitrox

    Nitrox Starter

    Registriert seit:
    16. Oktober 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Hallo zusammen,

    wie im Titel beschrieben, habe ich seit kurzem einen Nighthawk R7000, der als Router eingesetzt ist. Da ich Internet via Kabel bekomme, fungiert die FB (6490 Cable) aktuell nur als Modem/Gateway ins Internet.

    Dabei habe ich folgende Konstellation:
    FB-Netzwerk: 192.168.178.0/24
    NH-Netzwerk: 172.10.10.0/24

    Dort tritt schon mein erstes Problem auf:
    Wenn ich im FB-Netz bin, kann ich keine IP des NH-LANs anpingen. Auf der FB ist eine statische Route hinterlegt, in der die 192.168.178.122 (IP des NH-Routers im FB-Netz) als Gateway dient.
    Firewall-technisch kann man auf der FB ja leider nicht viel konfigurieren oder Logs auswerten - wieso kann ich also keine IP aus dem Bereich 172.10.10.X anpingen?

    Daraus resultierend mein eigentliches Problem:
    Da nur die FB eine öffentlich IP bekommt, muss ich diese für mein Heim-VPN nutzen. Das klappt soweit auch, nur dass ich via VPN dann eben nicht in mein NH-Netzwerk komme.

    Habt ihr irgendwelche Tipps oder Ideen was ich noch checken kann?
    Ziel ist, via VPN in mein NH-Netzwerk zu gelangen.

    Ich suche seit Tagen das Netz durch und gebe langsam auf, ich weiß nicht mehr wonach ich noch suchen soll...

    Ich wäre für alles dankbar!

    Beste Grüße
     
  2. frank.td

    frank.td Moderator

    Registriert seit:
    30. Dezember 2006
    Beiträge:
    31.922
    Punkte für Erfolge:
    555
    Hallo,

    willkommen im Forum.

    Hilft dir -das-?

    Gruß Frank
     
  3. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.109
    Punkte für Erfolge:
    120
    Hi,

    das NATten am WAN-Port des R7000 verhindert eingehende Verbindungen aus dem FB LAN-Segment. Das kannst du unter "ERWEITERT > Konfiguration > WAN-Konfiguration" bei "NAT-Filter" ändern: Einfach auf "offen" setzen.

    Der Zugrff auf das LAN-Segment des R7000 über eine VPN-Verbindung auf die FB funktioniert deshalb aber trotzdem noch nicht. Dazu musst du die VPN-Konfiguration im Client so anpassen, dass auch das Subnetz hinter dem R7000 vom Client zur FB geroutet wird. Dazu gibt es bei AVM Anleitungen, glaube ich.

    Du hast (wahrscheinlich unabsichtlich) beim R7000 einen öffentlichen IP-Adressbereich im LAN-Segment konfiguriert: Der private IP-Adressbereich beginnt bei 172.16.0.0/12, d.h. du musst mindestens eine 16 (und höchstens eine 31) im zweiten Oktet des Subnetzes konfigurieren, z.B. 172.16.10.0/24.

    VG
     
  4. Nitrox

    Nitrox Starter

    Registriert seit:
    16. Oktober 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Hallo, Danke!
    Nein, hilft leider nicht, da ich aus der DMZ auch nicht in mein LAN kommen würde - das ist ja der Sinn einer DMZ ;)

    Das hatte ich schon konfiguriert, komme aus dem FB-LAN trotzdem nicht auf das NH-LAN (Netzwerkadresse schon angepasst, s.u.). :-(

    nh_wan.png

    Hatte ich auch schon getestet, mit Online-Anleitung, hat nicht geklappt. Allerdings geht ja auch schon der Zugriff aus dem FB-LAN in das NH-LAN nicht, daher konzentriere ich mich erst einmal darauf.


    Korrekt ;) Habe ich angepasst, ändert aber leider nichts an meiner Problematik. :-(
    nh_network.png

    Die statische Route in der FB sieht wie folgt aus - sollte korrekt sein oder?
    fb_routing.png
     
  5. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.109
    Punkte für Erfolge:
    120
    Hi,
    Das ist trotzdem korrekt. Das NATten muss abgeschaltet werden. Auf welche Geräte willst du denn zugreifen im LAN-Segment des R7000?
     
  6. Nitrox

    Nitrox Starter

    Registriert seit:
    16. Oktober 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Richtig. Das geht aber leider beim Nighthawk nicht ohne Weiteres, dafür ist eine extra Firmware notwendig.
    Mein NH-Router soll eigentlich die FritzBox größtmöglich ersetzen. Da ich allerdings Kabel-Internet habe, kann ich den NH nicht direkt an den Kabelanschluss anschließen (NH hat keinen Anschluss für Kabel-Internet).
    Daher will ich die FB als Modem fungieren lassen und der NH soll mein LAN betreiben.
    Deshalb die Problematik, dass ich via VPN nur auf die FB gehen kann und von da dann ins NH-LAN muss. Also eigentlich will ich letztendlich via VPN auf alle meine Geräte zu Hause (im NH-LAN) zugreifen können ;-)
     
  7. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.109
    Punkte für Erfolge:
    120
    Hi, kannst du bitte meine Frage beantworten?

    VG
     
  8. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.109
    Punkte für Erfolge:
    120
    Noch eins: Kannst du bei "offenen NAT" aus dem LAN des R7000 ins Internet?
     
  9. Nitrox

    Nitrox Starter

    Registriert seit:
    16. Oktober 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Was möchtest du denn wissen, was für Gerätetypen es sind?
    Ein Linux-Rechner, ein Raspi und ein Drucker hauptsächlich.

    Ja mit der offenen NAT-Einstellung komme ich aus dem NH-LAN ins Internet.
     
  10. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.109
    Punkte für Erfolge:
    120
    Hi,
    es könnte eine Firewall auf dem Gerät den Zugriff aus einem fremden Subnetz blockieren. Aber das hast du sicher auch schon geprüft.

    Wenn die Geräte mit "offenem NAT" ins Internet kommen, dann ist das ein Indiz dafür, dass der R7000 ausgehend weiterhin NATtet. Was erklärt, warum trotz ausgeschaltetem (eingehenden) NAT die Antwortpakete (geNATted) verworfen werden.

    Du kannst natürlich die Netzwerk-Trennung zwischen FB und R7000 aufheben und die beiden Geräte in ein Netzwerk-Segment packen mit einer - Router-hinter-Router - Konfiguration.

    Oder du machst eben irgendein OpenSource OS auf den R7000. Damit gehts auch.

    Viel Erfolg!

    VG
     
    Nitrox hat sich bedankt.
  11. Nitrox

    Nitrox Starter

    Registriert seit:
    16. Oktober 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Sí, die Clients blocken definitiv nichts.

    Dem würde ich zustimmen, da - soweit ich weiß - das vollständige Deaktivieren von NAT auf dem Nighthawk mit original OS nicht möglich ist.

    Darauf wird es wahrscheinlich hinauslaufen, dass ich die FB an den LAN- statt WAN-Port des NH anschließe und das WLAN dann einfach weiter auf dem NH laufen lasse.

    Damit werde ich sicherlich auch noch experimentieren, das aber später ;)

    Ich danke Dir auf jeden Fall schonmal für die ganze Hilfe und dein Wissen! ;)