Gelöst FritzBox 6591 nicht unter ihrer WAN-IP aus anderem Subnetz erreichbar

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von sooderso, 22. April 2021.

Schlagworte:
  1. sooderso

    sooderso Starter

    Registriert seit:
    22. April 2021
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Ich möchte auf eine FritzBox 6591 aus dem Subnetz eines nachgeschalteten Routers zugreifen (für die Admin-Konsole und von einer weiteren, ausschließlich als DECT-Basis fungierenden FritzBox, die als LAN/WLAN-Telefon auf die 6591 zugreifen soll). Mit einer vorher verwendeten 6490 ging das problemlos (und mW ohne weitere Einstellungen).

    Das Setup:
    1. FritzBox 6591 direkt am Kabelanschluß, bekommt dort vom ISP eine IP-Adresse (94.77.188.111). Diese Box soll nur als DECT-Basis und als Internetzugang arbeiten, WLAN und DHCP-Server sind deaktiviert.
    2. Dahinter hängt per LAN verbunden ein Router, der innerhalb seines Subnetzes (192.168.1.0/24) das Routing für mehrere Geräte übernimmt und sie mit dem Internetzugang der FritzBox verbindet.
    3. Die Gateway-IP des Routers ist die 94.77.188.111, seine statische WAN-IP ist 94.77.188.112.
    4. Im Subnetz des Routers sitzt eine FritzBox 7430, die nur als DECT-Basis für einen zweiten Gebäudeteil arbeiten soll und an der 6591 als LAN/WLAN-Telefon angemeldet ist (mit der 94.77.188.111 als Registrar).

    Aus dem Subnetz des Routers (also von einem Rechner mit der IP 192.168.1.x) möchte ich nun auf das Admin-Interface der 6591 zugreifen können (und qua 4. die 7430 betreiben). Das ging vorher, als am Anschluß noch eine 6490 lief, unter Verwendung der Anschluß-IP-Adresse 94.77.188.111; mit der 6591 geht es nicht mehr.

    Testweise habe ich die WAN-IP-Adresse des Router auf eine des 6591-Subnetzes gestellt (192.168.178.2; und entsprechend das Gateway auf 192.168.178.1). Dann hatte der Router allerdings gar keinen Internetzugang mehr.

    AVM hat bisher keine Ahnung, woran das liegen könnte. Kann hier jemand helfen?
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.652
    Punkte für Erfolge:
    218
    Hi,

    willkommen im Forum.
    Von welchem Router redest du: Dem im LAN-Segment der FB6591?
    Du hast eine Router-hinter-Router Konfiguration, bei der beide Router eine öffentliche IP-Adresse besitzen? Wenn dein ISP dir nicht ein öffentliches Subnetz zugewiesen hat, kann das so nicht funktionieren.

    Also: Bekommst du vom ISP ein festes, öffentliches Subnetz zugewiesen?

    VG
     
  3. sooderso

    sooderso Starter

    Registriert seit:
    22. April 2021
    Beiträge:
    6
    Punkte für Erfolge:
    1
    @CapFloor: Ja, 3. bezieht sich auf den Router hinter der 6591. Nein, eigentlich sollte nur die 6591 eine öffentliche IP-Adresse haben. Das Setup, in der der Router hinter der FritzBox die 94.77.188.112 als statische WAN-IP-Adresse eingestellt hat, funktioniert, wie ich sagte im Moment so weit, daß das Router-Subnetz Zugang zum Internet hat, und es hat mit der 6490 so funktioniert, daß ich aus dem Router-Subnetz über die 94.77.188.111 auf die FritzBox zugreifen konnte.
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.652
    Punkte für Erfolge:
    218
    Hi,

    es ist sinnfrei und risikobehaftet, öffentliche IP-Adressen, die einem nicht gehören, im eigenen LAN-Segment zu verwenden: Zum einen kann das externe System, zu dem die von dir ungerechtfertigt genutzte, öffentliche IP-Adressen gehört, aus deinem Netzwerk nicht angesprochen werden, zum anderen können deine Systeme nicht unter dieser öffentliche IP-Adresse aus dem Internet erreicht werden. Es gibt noch weitere Aspekte, unter denen durch ein derartige Setup deine Netzwerksicherheit gefährdet wird. Das gilt übrigens unabhängig davon, ob deine Konfiguration jemals "funktioniert" hat oder nicht.

    Deshalb mein Rat: Konfiguriere das LAN-Segment der FB 6591 mit einem privaten IP-Bereich, weise dem Router dahinter eine feste, private IP aus diese LAN-Segment zu.

    VG
     
  5. sooderso

    sooderso Starter

    Registriert seit:
    22. April 2021
    Beiträge:
    6
    Punkte für Erfolge:
    1
    @CapFloor: Den Punkt bezüglich der öffentlichen IP-Adressen akzeptiere ich gern. Und ich würde es auch gern anders konfigurieren.

    Mein Problem ist aber, wie im OP schon gesagt, daß ich im Router-Subnetz gar keinen Internetzugriff habe, wenn ich dem Router eine IP aus dem privaten IP-Bereich der 6591 (zB 192.168.178.2) gebe.

    Der zweite Teil des Problems/der Frage ist, daß (unabhängig von der unguten Konfiguration) es mit der 6490 funktioniert hat, aber mit der 6591 nicht – und ich zumindest gern verstehen würde, woran das liegt und ob es eventuell nur eine Einstellung in der 6591 ist, die ich vergessen/übersehen habe. :)
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.652
    Punkte für Erfolge:
    218
    Hi,

    der Router bekommt eine IP-Adresse außerhalb des DHCP-Bereiches der FB, die IP-Adresse der FB (192.168.178.1) als Standard-Gateway und DNS-Server. Gibt es noch andere Geräte im LAN-Segment der FB, mit denen der Internet-Zugriff funktioniert?

    Um welches Gerät handelt es sich bei dem Router hinter der FB?

    VG
     
  7. sooderso

    sooderso Starter

    Registriert seit:
    22. April 2021
    Beiträge:
    6
    Punkte für Erfolge:
    1
    So hatte ich es versucht, aber genau das funktionierte nicht: Dann hatte nichts im Router-Subnetz Zugang zum Internet. (Der DHCP-Server auf der 6591 ist aus, der Router hatte als statische IP-Adresse die 192.168.178.2 und als Gateway die 192.168.178.1.)

    Der Router ist ein Asus RT-N18U, auf dem AdvancedTomato 3.5-140 läuft. Ich kann es sicherheitshalber (Anfang nächster Woche) mit einem anderen Router und neuestem FreshTomato oder DD-WRT nochmal gegentesten.

    Wäre es plausibel, daß der Zugang auf die FB über deren öffentliche IP-Adresse vorher deswegen geklappt hat, weil das spezifisch in der 6490 freigegeben war und jetzt in der 6591 nicht freigegeben ist?

    Und noch eine allgemeine Frage: Sollte, wenn im Router die FB-IP-Adresse (ob öffentliche oder interne) als Gateway angegeben ist, der Zugriff auf das Admin-Interface der FB aus dem Router-Subnetz immer möglich sein, weil der Router automatisch eine Route aus seinem Subnetz zum Gateway einrichtet?

    Schon einmal vielen Dank für die Hilfe! :)
     
  8. sooderso

    sooderso Starter

    Registriert seit:
    22. April 2021
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Im Prinzip funktioniert es jetzt tatsächlich so, vielen Dank für die Hinweise! Einer der Stolpersteine war, daß das alles nicht ging, solange der DHCP-Server in der FB aus war. Ein anderer, daß mir nicht klar war, daß die LAN-Ports der FB (je nach Einstellung, die aber hervorragend versteckt ist) unterschiedlich geschaltet sind (1 für das interne LAN, 2-4 für direkt Verbindung zur WAN-IP).