Gelöst beIP als Router hinter FritzBox (Router hinter Router)

Dieses Thema im Forum "Bintec" wurde erstellt von jnko, 4. Mai 2019.

Schlagworte:
  1. jnko

    jnko Starter

    Registriert seit:
    4. Mai 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Hallo

    ich habe nun schon viele Threads gelesen, komme aber irgendwie keinen Schritt weiter.

    Erst einmal stelle ich aber den Aufbau dar.
    Ich möchte hier in meinem HeimLAN (FritzBox) eine kleine be.IP Plus Telefonanlage mit ip630 Telefonen vorkonfigurieren.
    Dazu habe ich zwei LAN-Bereiche über Bridges erstellt, das LAN 192.168.0.0/24 für die Clients über br0 (Port0+1) mit eigenem DHCP-Server sowie das LAN 192.168.188.0/24 über br1 (Port 2+3) ebenfalls mit eigenem DHCP. Das alles klappt auch problemlos.

    Später wird die Anlage über einen Telekom DLAN AllIP Anschluss betrieben werden, für das Setup jedoch möchte ich gerne die beIP über den blauen Port (Port5) mit meiner heimischen FritzBoxLAN (192.168.178.0/24) verbinden um so Internetzugriff über die beIP für Firmwareupdates ect bereitstellen zu können. Eine klassische beIPRouter hinter FritzBoxRouter Situation also, sollte nicht weiter kompliziert sein - dachte ich zumindest...

    Nun habe ich den Port5 entkoppelt und als DHCP-Client an die FB gesteckt. Die beIP bekommt brav über den DHCP-Server der FritzBox eine IPv4 Adresse 192.168.178.128

    Die Routen sind erstellt und sehen für mich eigentlich gut aus, aber aus mir unerfindlichen Gründen kommt die beIP keinen Internetzugang über die FritzBox. Irgendetwas übersehe ich her gerade, nur weiß ich einfach nicht was...
    Witziger weise scheint irgendwo in der beIP zumindest das DNS zu funktionieren, denn über SSH der beIP kann ich problemlos nslookups machen.

    Sieht irgendjemand hier meinen Fehler und kann mir einen Tipp geben bitte?



    screenshot-2019-05-04_18-17-30.png screenshot-2019-05-04_18-16-56.png screenshot-2019-05-04_18-16-35.png screenshot-2019-05-04_18-17-46.png
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.475
    Punkte für Erfolge:
    160
    Hi,

    willkommen im Forum.

    Die Konfiguration sieht in der Tat richtig aus.
    Die be.ip selbst hat also keinen Internet-Zugang? Wie sieht die DNS-Konfiguration denn aus?

    Die FB kannst du pingen, aus der be.ip heraus und von Clients aus den anderen Subnetzen?

    VG
     
  3. jnko

    jnko Starter

    Registriert seit:
    4. Mai 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Danke für die Antwort!


    screenshot-2019-05-04_22-42-44.png

    An den DNS Settings habe ich gar nichts gemacht, das hat sich die be über DHCP der FB besorgt.

    Nein, aus der SSH-Session der be heraus kann ich die FB nicht anpingen, ebensowenig wie anders herum. EIn FB Client kann die bi auch nicht anpingen. Aus der SSH-Session der be kann ich natürlich die IP der be 192.168.178.128 anpingen, komme über das GW 192.168.178.128 (also die IP der be) aber nicht in das NET der FB 192.168.178.0/24.

    Wie schon gesagt, kurioserweise kann ich aber aus der SSH-Session der be heraus beliebige DNS-Requests mit nslookup machen, egal ob interne DNS-Reqs oder www.microsoft.com, nslookup klappt.
    Die Verbindung an sich ist da, nur "nicht so richtig". DNS aus der bi heraus klappt irgendwie, nur das Routing klappt nicht und ich verstehe nicht so richtig warum. der Rest der be ist bis auf die Änderungen in den Bildern factory default. Ich stehe gerade wirklich auf dem Schlauch und sehe das Problem grad nicht...

    Auch an der Firewall könnte es liegen, aber die ist ebenfalls komplett leer und default.

    Da das ganze ja nur ein Setup zur Config ist wäre das nicht so schlimm, jetzt hats mich aber gepackt und ich wüsste schon gerne woran es liegt. Das lässt mir so gar keine Ruhe ;-) FW der bi ist up to date.
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.475
    Punkte für Erfolge:
    160
    Hi,

    wieso ist der Standardgateway 192.168.178.1 und der DNS-Server 192.168.178.10? Betreibst du einen dedizierten DNS-Server?

    VG
     
  5. jnko

    jnko Starter

    Registriert seit:
    4. Mai 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Ja, das ist bei mir im LAN ein odroid mit (in diesem Fall) pi.hole. Aber die DNS requests klappen, die Daten an sich stimmen, also DNS, GW, IP, ROUTE deshalb meine Verwirrung.
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.475
    Punkte für Erfolge:
    160
    Hi,
    Wäre schön gewesen, wenn du das von Anfang an erwähnt hättest. Dann hätte man sich gleich bestimmte Überlegungen sparen können, wenn man dir helfen will.:rolleyes:

    Gibt es in der FB Portweiterleitungen, Exposed host, ist IPv6 angeschaltet? Mach mal einen trace route von einem Client im be.ip LAN-Segment.

    VG
     
  7. jnko

    jnko Starter

    Registriert seit:
    4. Mai 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Uups, sorry. Ich habe hier einfach nur eine Fritte an einem Kabelmodem. Der DHCP der FB ist aus, DHCP und DNS läuft als pi.hole auf dem odroid im FB-LAN (StaticIP, DNS, DHCP, internal WWW, VPN,NAS ect).
    Das homelan der FB hat das default-Net 192.168.178.0/24

    Es ist ja auch alles gut, die Clients im LAN der be bekommen über die eingerichteten DHCP-Server die IPs, nur wird halt aus dem be.IP-LAN nicht ins LAN der FB geroutet.

    Ich habe das ganze Setup mal versucht grafisch darzustellen. Alles keine Hexerei soweit

    screenshot-2019-05-05_08-48-18.png
     
  8. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.475
    Punkte für Erfolge:
    160
    Hi,

    könntest du dann doch noch die ein oder andere meiner Fragen beantworten: Klappt der Zugang von einem Client aus einem der be.ip Subnetze? Wie sieht der trace route von einem Client ins Internet aus? Ist in der FB ein "Exposed host" definiert oder sonst welche Portweiterleitungen? Kann der Pi angepingt werden?

    VG
     
  9. jnko

    jnko Starter

    Registriert seit:
    4. Mai 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Nein. PING geht nicht durch, weder rein (FB-Lan -> be.IP) noch heraus (be.IP Client -> FB)

    Nein, kein exposed Host. Der Webserver ist nur für das FB-Lan. Es gibt nur einen Portforward für OpenVPN auf den pi.

    Von einem Client im FB-Lan aus ja, vom be.IP-Lan aus nein.
    Das allein muss ja aber nichts heißen. Wird denn ICMP von seiten der be.IP per default durchgelassen?

    Das witzige ist ja, dass ich, wenn ich mich per SSH auf die be einlogge, ich einen nslookup machen kann. Ein bischen Verbindung ist also irgendwie da...
    Deswegen hätte ich auf das Routing oder die be-Firewall getippt. Das Routing scheint aber zu stimmen, und die Firewall ist auf default. Eventell fehlt hier ja etwas. Wenn ich das in der Anleitung der be richtig gelesen habe, wird, wenn man einen Ansschluss auf "Vertrauenswürdig" stellt dieser in der FW der be erlaubt.
     
  10. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.475
    Punkte für Erfolge:
    160
    Hi,

    welche Subnetzmaske ist in der FB gesetzt? Welche DNS Server sind in der FB definiert? An welchen Port der FB ist die be.ip angeschlossen?

    Schalte das NAT auf der be.ip testweise ab und definiere eine oder zwei Routen in der FB für die LAN-Segmente der be.ip. Dann ping versuchen aus den LAN-Segmenten der be.ip.

    Zwischendurch auch mal die be.ip und die FB neu booten.

    VG
     
    jnko hat sich bedankt.
  11. jnko

    jnko Starter

    Registriert seit:
    4. Mai 2019
    Beiträge:
    6
    Punkte für Erfolge:
    1
    Ufff. es klappt. Ich glaube es nicht. Und das allerschlimmste: Es darf (auch gerne LAUT) gelacht werden.

    Wie immer sitzt das Problem VOR dem Rechner.

    An den Settings der be.IP war alles gut und richtig. @CapFloor Ja, meine FB/Homelan Config war indirekt schuld.
    Auf dem PI läuft ein OpenVPN neben dem PiHole-Service und als Backup hatte ich den FB-VPN auch noch -zwar unbenutzt- aber konfiguriert gelassen. Man weiß ja nie wann mal mal im Urlaub oder auf Dienstreise ist und der PI mal ausfällt.

    Auf jeden Fall hat die Fritte ihren internen IPSec-VPN statisch auf die IP 192.168.178.128 genagelt, der DHCP des PiHole wusste davon natürlich nichts und ebenfalls die 192.168.178.128 an die be.IP vergeben.
    Klar, dass das Routing in der FB für das IPSec-VPN der Fritte anders aussieht als der I-Net Zugang.
    Ich habe beim Fehlersuchen bestimmt 50x die VPN-IP angestarrt aber natürlich den Wald vor lauter Bäumen (Ip-Addrs) nicht gesehen.


    Vielen Dank fürs geduldige Zuhören und natürlich auch immer wieder der Schubser doch mal auf die FB zu schauen.