GELÖST :Netzwerkkonfigurationsproblem : Anpingen im Gäste-WLAN-Subnetz /Presence

rasti · 10 Januar 2018, 19:25:07

Hallo,

ich brauche Hilfe bei der Konfiguration meines Netzwerks.

Problem ist, ich habe ein privates Netzwerk (WLAN+LAN) und ein Gäste Netzwerk (nur WLAN)
und ich will aus dem privaten Netzwerk heraus Geräte des Gäste-WLANs anpingen (zwecks Presence).

Konfiguration ist wie folgt:

INTERNET <=> Unitymedia-Kabelmodem (192.178.0.1) <=> Fritzbox7270 (192.178.168.1)
Die Fritzbox selbst hat kein WLAN.
Im IP-Raum der Fritzbox 192.178.168.xxx sind alle privaten Rechner, FHEM etc.

An der Fritzbox hängen 2 Router TL-WR710N (mit Originalfirmware)
#1 ist einfach als privater WLAN-Accesspoint für meine privaten Rechner, TV, WLAN-CUL etc. eingerichtet
IP : 192.178.168.12
#2 ist als WLAN-Router eingerichtet als Gäste-WLAN.
IP : 192.178.168.11 und IP : 192.178.10.1
Der WLAN-Router hängt mit seinem WAN-Port im Privatnetzwerk.

Die Gäste haben ein eigenes Subnetz 192.178.10.xxx , sie können ins Internet, haben aber kein
Zugriff auf mein Privatnetzwerk 192.178.168.xxx , die IPs habe ich im Router gesperrt.

Das funktioniert soweit eigentlich alles gut. Was ich nun will, ist einfach aus meinem Privatnetz heraus
Geräte aus dem Gäste-WLAN anzupingen, um Presence nutzen zu können.

Bin ich aber auf dem FHEM-Raspi oder einem anderen Rechner im Privatnetzwerk 192.178.168.xxx ,
dann kann ich momentan keinen Nutzer im Subnetz 192.178.10.xxx anpingen.

Ein Traceroute (habe einige Server ausge-iXt) zeigt auch den Grund :

Code Auswählen

tracert 192.178.10.101

Routenverfolgung zu 192.178.10.101 über maximal 30 Hops

  1     3 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2     5 ms     3 ms     3 ms  192.168.0.1
  3    12 ms    13 ms    11 ms  XXXXXXXXXXXXXXXXXXXXXXX 
  4    12 ms    15 ms    11 ms  XXXXXXXXXXXXXXXXXXXXXXXX
  5    27 ms    18 ms    19 ms  XXXXXXXXXXXXXXXXXXXXXXXXXX
  6    20 ms    15 ms    18 ms  de-fra01b-rc1-ae4-0.aorta.net [84.116.140.201]
  7    15 ms    13 ms    16 ms  de-fra03b-ri1-ae10-0.aorta.net [84.116.132.178]
  8     *        *        *     Zeitüberschreitung der Anforderung.
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10     *        *        *     Zeitüberschreitung der Anforderung.
 11     *        *        *     Zeitüberschreitung der Anforderung.

Die Fritzbox routet also nach draußen.

Ich habe was von statischem Routing gelesen

Code Auswählen

https://avm.de/service/fritzbox/fritzbox-7270/wissensdatenbank/publication/show/581_Statische-IP-Route-in-FRITZ-Box-einrichten/

mir ist aber nicht wirklich klar ob das nun das ist was ich brauche oder ob ich noch irgendwas mit
Portweiterleitung/Freischaltung im GästeWLAN-Router einstellen muss.....

Ich bin momentan eigentlich heilfroh, dass ich es überhaupt soweit eingerichtet bekommen habe
und das das ganze momentan so wie es soll, läuft .... möchte nicht einfach wild rumprobieren
und mich möglicherweise selbst aussperren :

Kann hier jemand helfen und sagen, was genau ich wo wie und warum einstellen muss `?

Viele Grüße

Ralf

CoolTux · 10 Januar 2018, 19:53:53

Das geht nicht. Das sind zwei komplett getrennte Netzte. Also glaube so gar physikalisch. Da kannst nichts pingen weil keine Verbindung besteht.

rasti · 10 Januar 2018, 20:03:11

Zitat von: CoolTux am 10 Januar 2018, 19:53:53
Das geht nicht. Das sind zwei komplett getrennte Netzte. Also glaube so gar physikalisch. Da kannst nichts pingen weil keine Verbindung besteht.

Das glaube ich nicht. Ich kann ja auch aus dem Internet heraus meinen FHEM-Server aufrufen.....

sku · 10 Januar 2018, 20:08:04

Zitat von: rasti am 10 Januar 2018, 20:03:11
Das glaube ich nicht. Ich kann ja auch aus dem Internet heraus meinen FHEM-Server aufrufen.....

doch, ist getrennt
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/294_WLAN-Gastzugang-privater-Hotspot-einrichten/

CoolTux · 10 Januar 2018, 20:26:25

Zitat von: rasti am 10 Januar 2018, 20:03:11
Das glaube ich nicht. Ich kann ja auch aus dem Internet heraus meinen FHEM-Server aufrufen.....

Du kannst es gerne mit Glauben versuchen.
Mein Wissen sagt dennoch es geht nicht.

CoolTux · 10 Januar 2018, 20:29:12

Nur um noch mal Missverständnisse aus zu räumen.
Hast Du an der Fritzbox wirklich "Gaste Netzwerk" eingerichtet oder ein normales Netzwerk und Du nennst es für Dich nur Gästenetzwerk?

betateilchen · 10 Januar 2018, 20:40:21

Und ausserdem heißen die Netzwerke mit ziemlicher Sicherheit nicht 192.178.xxx.xxx sondern 192.168.xxx.xxx

Default Adressbereiche in der Fritzkotz:

Reguläres LAN&WLAN = 192.168.178.0 (änderbar)
Gäste-WLAN = 192.168.179.0 (m.W. nicht ohne weiteres änderbar)

Und in der Doku steht ausdrücklich:

Zitat
FRITZ!Box bietet mit der Funktion "Gastzugang (privater Hotspot)" eine Möglichkeit, den vorhandenen Zugang über WLAN auch Ihren Gästen sehr einfach und komfortabel zur Mitnutzung zur Verfügung zu stellen. Ihre FRITZ!Box trennt dazu den Gastzugang komplett von Ihrem Heimnetz. Gäste können so nur das Internet nutzen, jedoch nicht auf Ihr privates Netzwerk zugreifen, etwa auf die Inhalte von Dateifreigaben, Drucker etc.

rasti · 10 Januar 2018, 21:02:37

Zitat von: CoolTux am 10 Januar 2018, 20:29:12
Nur um noch mal Missverständnisse aus zu räumen.
Hast Du an der Fritzbox wirklich "Gaste Netzwerk"

Nein. WLAN an der Fritzbox ist abgeschaltet.

rasti · 10 Januar 2018, 21:04:44

Zitat von: betateilchen am 10 Januar 2018, 20:40:21
Und ausserdem heißen die Netzwerke mit ziemlicher Sicherheit nicht 192.178.xxx.xxx sondern 192.168.xxx.xxx

Oops. Sorry , da hast du recht, da habe ich mich im Eingangsthread vertan.

CoolTux · 10 Januar 2018, 21:07:21

Zitat von: rasti am 10 Januar 2018, 21:02:37
Nein. WLAN an der Fritzbox ist abgeschaltet.

Was auch immer die Antwort mit meiner Frage zu tun hat. Belassen wir es dabei sonst wird es nur noch komplizierter. ES GEHT NCHT!

rasti · 10 Januar 2018, 21:16:00

Hallo,

im Eingangsthread gabs einige IP-Tippfehler.

Hier nochmal richtig:

Konfiguration ist wie folgt:

INTERNET <=> Unitymedia-Kabelmodem (192.168.0.1) <=> Fritzbox7270 (192.168.178.1)
An der Fritzbox ist WLAN komplett abgeschaltet.

Im IP-Raum der Fritzbox 192.168.178.xxx sind alle privaten Rechner, FHEM etc.

An der Fritzbox hängen weiterhin 2 Router TL-WR710N (mit Originalfirmware)
#1 ist einfach als privater WLAN-Accesspoint für meine privaten Rechner, TV, WLAN-CUL etc. eingerichtet
IP : 192.168.178.12
#2 ist als WLAN-Router eingerichtet als Gäste-WLAN.
IP : 192.168.178.11 und IP : 192.168.10.1
Der WLAN-Router hängt mit seinem WAN-Port im Privatnetzwerk.

Die Gäste haben ein eigenes Subnetz 192.168.10.xxx , sie können ins Internet, haben aber kein
Zugriff auf mein Privatnetzwerk 192.168.178.xxx , weil ich die IPs im Router gesperrt habe.
( Nehme ich die Sperre raus, kommen die Gäste natürlich wieder aus dem Subnetz in mein Netz.)

Das funktioniert soweit eigentlich alles gut. Was ich nun will, ist einfach aus meinem Privatnetz heraus
Geräte aus dem Gäste-WLAN anzupingen, um Presence nutzen zu können.

Bin ich aber auf dem FHEM-Raspi oder einem anderen Rechner im Privatnetzwerk 192.168.178.xxx ,
dann kann ich momentan keinen Nutzer im Subnetz 192.168.10.xxx anpingen.

Ein Traceroute zeigt auch den Grund :

Code Auswählen

tracert 192.168.10.100

Routenverfolgung zu 192.168.10.100 über maximal 30 Hops

  1     5 ms     1 ms     1 ms  fritz.box [192.168.178.1]
  2     4 ms     4 ms     3 ms  192.168.0.1
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *

Die Fritzbox routet also nach draußen, 192.168.0.1 ist das Kabelmodem.

Was tun ?

Viele Grüße

Ralf

betateilchen · 10 Januar 2018, 21:28:37

Zitat von: rasti am 10 Januar 2018, 21:16:00
Was tun ?

Hol Dir eine Tüte Popcorn und mach Dir einen schönen Abend.

KernSani · 10 Januar 2018, 23:00:45

Hi rasti,

ich bewundere deine Hartnäckigkeit

Aber mal ganz grundsätzlich... Diese Frage hat nichts mit FHEM zu tun, auch wenn du hier vielleicht ein paar Netzwerk- und Fritzbox-Experten findest (die dir sagen werden: "geht nicht"). Ich würde dir empfehlen, mal in entsprechenden Foren (vielleicht sowas https://www.router-forum.de/avm-fritzbox/ - keine Ahnung ob das was taugt) nachzufragen.

Wenn du eine Lösung findest wäre es sicherlich interessant, sie auch hier verlinkt zu sehen.

Grüße,

Oli

tiroso · 10 Januar 2018, 23:08:04

Du musst noch ein extra Routing vornehmen inkl extra Firewall zwischen deinen Subnetzen.

Wenn du es schaffst in den Fritzboxen (oder anderen Routern) weitere Routen ausser dem Default Gateway einzutragen und noch ne Firewall einbindest...dann könnte es klappen

rasti · 10 Januar 2018, 23:46:26

Zitat von: tiroso am 10 Januar 2018, 23:08:04
Du musst noch ein extra Routing vornehmen inkl extra Firewall zwischen deinen Subnetzen.

Wenn du es schaffst in den Fritzboxen (oder anderen Routern) weitere Routen ausser dem Default Gateway einzutragen und noch ne Firewall einbindest...dann könnte es klappen

Hallo,

natürlich geht das irgendwie

In der Fritzbox kann ich eine statische Route eingeben. Siehe Bild.
Das scheint auch zu funktionieren, denn dann routet er nicht mehr
über den Fritzbox-WAN-Port nach draussen (sehe ich am Traceroute)

Aber auf Geräte im Subnetz 192.168.10.xxx des angeschlossenen Router TL-WR710N kann ich nicht zugreifen.
Das sollte aber auch gehen :
http://www.malitu.de/it-tipps-und-anleitungen/erklaerung-routing-zielnetz-gateway.html
https://avm.de/service/fritzbox/fritzbox-7270/wissensdatenbank/publication/show/581_Statische-IP-Route-in-FRITZ-Box-einrichten/

Viele Grüße

CoolTux · 11 Januar 2018, 05:11:36

Sagen wir es mal so. Mit Deinen einfachen und/oder fehlerhaften Worten konnte man nichts konkretes sagen.

Nun zum aktuellen Problem. Die Antwort auf Deine Frage heißt Rückroute.

tiroso · 11 Januar 2018, 06:40:33

Wenn du da keinen Zugriff drauf hast dann würde ich vorschlagen dir eigenen eignen Server aufzusetzen der als Gateway fungiert. Trag die richtigen Routen für deine Subnetze ein, kauf dir ne firewall und bastel nicht mit so consumer Geräten. Die sind nicht wirklich für so einen Einsatz vorgesehen. Tut mir Leid

Frank_Huber · 11 Januar 2018, 09:05:11

Warum nicht Presence über die MAC Tabelle der Fritzbox?
Ist gerade wenn es um moderne Mobilgeräte geht eh zuverlässiger als ping.

Und das bekommst auf jeden Fall ans laufen über das Fritzbox Modul.

nils_ · 11 Januar 2018, 09:33:10

unabhängig von der fritzbox konfiguration....

warum willst du denn einen presence check auf ein gerät in einem _gäste_ wlan machen?

rasti · 11 Januar 2018, 11:46:45

Zitat von: nils_ am 11 Januar 2018, 09:33:10
unabhängig von der fritzbox konfiguration....
warum willst du denn einen presence check auf ein gerät in einem _gäste_ wlan machen?

Für die Steuerung von z.B. Heizung wenn Kinder zu hause sind. Leider haben diese momentan Null
Sicherheitsbewusstsein und bekommen deswegen momentan auch keinen Zugang zum
internen Netz

rasti · 11 Januar 2018, 11:48:06

Zitat von: Frank_Huber am 11 Januar 2018, 09:05:11
Warum nicht Presence über die MAC Tabelle der Fritzbox?

Weil die Geräte im Subnetz nicht in der MAC-Tabelle der FB erscheinen.

Frank_Huber · 11 Januar 2018, 12:48:24

Zitat von: rasti am 11 Januar 2018, 11:48:06
Weil die Geräte im Subnetz nicht in der MAC-Tabelle der FB erscheinen.

Echt? Oh. Ich war jetzt davon ausgegangen dass da ALLE Geräte gelistet werden.
Dann sorry. lag ich wohl falsch.

rasti · 11 Januar 2018, 13:08:32

Zitat von: Frank_Huber am 11 Januar 2018, 12:48:24
Echt? Oh. Ich war jetzt davon ausgegangen dass da ALLE Geräte gelistet werden.
Dann sorry. lag ich wohl falsch.

Es erscheint nur die IP/MAC des Routers, der das Subnet aufspannt, nicht aber die Geräte in dessen IP-Raum

CoolTux · 11 Januar 2018, 13:12:26

Hast Du denn nun eine Rückroute gesetzt oder nicht?

rasti · 11 Januar 2018, 13:56:32

Zitat von: CoolTux am 11 Januar 2018, 13:12:26
Hast Du denn nun eine Rückroute gesetzt oder nicht?

Glaube schon....meinst du mit Rückroute das hier
https://forum.fhem.de/index.php?action=dlattach;topic=82528.0;attach=93342;image
?

CoolTux · 11 Januar 2018, 14:08:32

Habe gerade mal drüber nachgedacht.
Fritzbox keine Ahnung, daher hier mal das Prinzip

Auf beiden Fritzboxen müssen zwei Netzwerksegmente eingerichtet sein. Einmal das Segment was die Fritzbox an sich bediehnt und einmal das Netzwerksegment der jeweils anderen Fritzbox.
Hast Du das so? Kann man das so machen? Kenne das nur mit separaten Netzwerkinterfaces und/oder richtigen VLAN's

rasti · 11 Januar 2018, 14:31:22

Hallo Cooltux,

ich dachte eigentlich, dass meine Konfiguration nun klar beschrieben wäre.

1 Fritzbox 7270 und 2 TP-Link TL-WR710N

Wenn nicht, diese Routerkonfig. entspricht ist im Prinzip der hier:
http://www.malitu.de/it-tipps-und-anleitungen/erklaerung-routing-zielnetz-gateway.html

Was im genannten Artikel der Netgear ist, ist bei mir ein TP-Link

tiroso · 11 Januar 2018, 14:47:34

Aber das Ziel des Artikels ist nixht das gleiche wie bei dir...

Setz dir nen Server zuhause auf der das Routing übernimmt. So wie du es haben willst geht es mMn mit der von dir genannten Hardware nicht

rasti · 11 Januar 2018, 15:03:03

Zitat von: tiroso am 11 Januar 2018, 14:47:34
Aber das Ziel des Artikels ist nixht das gleiche wie bei dir...

Ist das soviel anders ? Im Artikel wird voll auf einen Rechner im Subnetz zugegriffen ich will nur pingen.
Aber auch den Zugriff wie im Artikel beschrieben habe ich noch nicht hinbekommen.

Zitat
Setz dir nen Server zuhause auf der das Routing übernimmt. So wie du es haben willst geht es mMn mit der von dir genannten Hardware nicht

Wenn es deiner Meinung nach nicht geht, kennst du sicher den TL-WR710N und kannst mir sagen,
warum genau es nicht funktionieren kann ? Ich könnte ja noch open wrt draufmachen, aber da
muss ich ja auch Sachen einstellen, und vieles wenn nicht das meiste kann man bestimmt mit
der Originalfirmware erschlagen.

nils_ · 11 Januar 2018, 17:16:19

ich bin kein netzwerkexperte, aber ich glaube das "problem" sind nicht deine TP-Links, sondern die fritzbox.

ich glaube das meinte tiroso mit

Zitat von: tiroso am 11 Januar 2018, 14:47:34
Setz dir nen Server zuhause auf der das Routing übernimmt. So wie du es haben willst geht es mMn mit der von dir genannten Hardware nicht

sprich FritzBox ersetzen bzw. einen anderen "Server" hinter die FritzBox schalten der zwischen deinen beiden Netzen routet...

falls das alles blödsinn war, einfach ignorieren

kadettilac89 · 11 Januar 2018, 17:35:40

Code Auswählen



INTERNET <=> Unitymedia-Kabelmodem (192.178.0.1) <=> Fritzbox7270 (192.178.168.1)
Die Fritzbox selbst hat kein WLAN.
Im IP-Raum der Fritzbox 192.178.168.xxx sind alle privaten Rechner, FHEM etc.

An der Fritzbox hängen 2 Router TL-WR710N  (mit Originalfirmware)
#1 ist einfach als privater WLAN-Accesspoint für meine privaten Rechner, TV, WLAN-CUL etc. eingerichtet
    IP : 192.178.168.12
#2 ist als WLAN-Router eingerichtet als Gäste-WLAN.
    IP : 192.178.168.11 und IP : 192.178.10.1
    Der WLAN-Router hängt mit seinem WAN-Port im Privatnetzwerk.

Die Gäste haben ein eigenes Subnetz 192.178.10.xxx , sie können ins Internet, haben aber kein
Zugriff auf mein Privatnetzwerk 192.178.168.xxx , die IPs habe ich im Router gesperrt.

Wenn ich das richtig interpretiere sind
- Fritzbox, Router #1 und Router #2 'normal modus' im selben Netzwerk.
- Router #2 spannt ein zweites Wlan 192.178.10.xxx auf -- ich weiß, IP wurde korrigiert, ich behalte das damit es zur initialen Ausführung passt.

Hat Router #2 dann 2 mal einen DHCP-Server? Oder welces Device vergibt die IPs. Es sind ja 2 verschiedene Netzwerkmasken genannt.
Hat Router #1 auch einen DHCP-Server?

Für den Fall, dass alle 3 Devices (Fritz, Router #1, Router #2) einen DHCP mit selber Netzwerkmaske aufmacht gehen DNS / DHCP nicht an die Fritzbox die auch Switch ist und es kann nichts geroutet werden. Da vermutlich das 192.178.168.* von allen 3 Geräten vermeintlich selber verwaltet wird ...

Was funktionieren könnte:

Fritz mit DHCP 192.168.178.* (Fritz default)
Router #1 KEIN eigener DHCP , IP des Routers selbst 192.168.178.12, Standardgateway 192.168.178.1
Router #2 KEIN eigener DHCP, IP des Routers selbst 192.168.178.11, Standardgateway 192.168.178.1
Router #2 Guesnetz: eigener DHCP mit 192.168.10.*, IP des Routers selbst 192.168.10.1, Standardgateway 192.168.178.1

In der Fritzbox eine IPv4 Route:
- 192.168.10.* --> 192.168.10.1

Vorausgesetzt die TL-WR710 lassen die Konfig zu.

Damit müsste das Pingen in beide Richtungen gehen. Du musst dann noch deine Einschränkung ... "wer darf was" testen und konfigurieren da ja jetzt alle alles sehen.

Erklärung:
Fritzbox muss DNS und DHCP für Router #1 + Router #2 übernehmen
Router #2 DHCP für Guestnetz 192.168.10.* wird von Router #2 selber verwaltet
Fritzbox weiß anhand eindeutiger IP-Zuordnung welches Segment von sich selbst und was der Router #2 macht.

tiroso · 11 Januar 2018, 20:53:36

Vielleicht war ich auch ein bisschen zu voreilig.

Du könntest versuchen auf deinem FHEM Server eine Route hinzuzufügen.

Code Auswählen

route add -net 192.178.10.0 netmask 255.255.255.0 gw 192.178.168.11

Theoretisch wird der FHEM Server alle Anfragen an das Netz 192.178.10.0/24 an das Gateway 192.178.168.11 vornehmen. Das Gateway, in deinem Fall der Router weiß in seinem Fall an welches Gerät diese Anfrage geht. Die Antwort geht an das Default Gateway (Router). Der hat seinerseits das Gateway zur Fritzbox(Hoffe ich) welcher wiederrum die Antwort an den FHEM Server schickt.
Vielleicht könnte das klappen.

rasti · 11 Januar 2018, 21:57:42

Hallo kadettilac89,

ich versuche das mal für dich zusammenzufassen und deine Fragen zu beantworten

Ich habe :
- Fritzbox mit IP 192.168.178.1 und mit DHCP-Server, vergibt IPs 192.168.178.xxx
- Router #1 mit IP 192.168.178.12 als WLAN-Access Point (Privat)
- Router #2 mit IP 192.168.178.11 als WLAN-Router (für Gäste)
- Router #2 spannt ein zweites Gäste Wlan 192.168.10.xxx auf
- Router #2 hat einen eigenen DHCP-Server und vergibt die IPs 192.168.10.xxx
- der WAN-Port von Router #2 hängt im LAN der Fritzbox
- Standardgateway auf Router 1+2 : 192.168.178.1

Zitat
Für den Fall, dass alle 3 Devices (Fritz, Router #1, Router #2) einen DHCP mit selber Netzwerkmaske aufmacht gehen DNS / DHCP nicht an die Fritzbox die auch Switch ist und es kann nichts geroutet werden. Da vermutlich das 192.178.168.* von allen 3 Geräten vermeintlich selber verwaltet wird ...

Sorry da verstehe ich gerade nur Bahnhof.

Zitat
.......
In der Fritzbox eine IPv4 Route: - 192.168.10.* --> 192.168.10.1

Das verstehe ich auch nicht. Ich habe eingestellt : https://forum.fhem.de/index.php?action=dlattach;topic=82528.0;attach=93342;image
nach Fritzbox-Anleitung bzw. dem anderen Malitu-Link, was ich hier schon verlinkt hatte.

Zitat
Vorausgesetzt die TL-WR710 lassen die Konfig zu.

Wäre schön zu wissen, was ich da zusätzlich zum schon gesagten da drin konfigurieren muss

Zitat
Erklärung:
Fritzbox muss DNS und DHCP für Router #1 + Router #2 übernehmen
Router #2 DHCP für Guestnetz 192.168.10.* wird von Router #2 selber verwaltet

Ist mir klar und auch so gemacht.

Zitat
Fritzbox weiß anhand eindeutiger IP-Zuordnung welches Segment von sich selbst und was der Router #2 macht.

Auch das verstehe ich nicht

kadettilac89 · 11 Januar 2018, 22:19:52

Zitat von: rasti am 11 Januar 2018, 21:57:42

Für den Fall, dass alle 3 Devices (Fritz, Router #1, Router #2) einen DHCP mit selber Netzwerkmaske aufmacht gehen DNS / DHCP nicht an die Fritzbox die auch Switch ist und es kann nichts geroutet werden. Da vermutlich das 192.178.168.* von allen 3 Geräten vermeintlich selber verwaltet wird ...

Sorry da verstehe ich gerade nur Bahnhof.
--> 1) unten

.......
In der Fritzbox eine IPv4 Route: - 192.168.10.* --> 192.168.10.1

Das verstehe ich auch nicht. Ich habe eingestellt : https://forum.fhem.de/index.php?action=dlattach;topic=82528.0;attach=93342;image
nach Fritzbox-Anleitung bzw. dem anderen Malitu-Link, was ich hier schon verlinkt hatte.
--> 2) unten

Zitat
Fritzbox weiß anhand eindeutiger IP-Zuordnung welches Segment von sich selbst und was der Router #2 macht.

Auch das verstehe ich nicht
--> 1) unten

1) Ganz wichtiger Punkt, darum nochmal nachgefragt auch wenns nervig scheint. In deinen beiden Routern - ausgenommen im Guestnetz -- ist kein DHCP-Server aktiv, sprich, kein Häckchen gestzt, kein IP-Range definiert? Wie ich dich verstehe ist das nicht gesetzt. Kannst du ggf. einen Screenshot der Settings beider Router posten?

2) Was mir aktuell nicht klar ist, und woran es evtl. liegt. Wie spannt der Router 2 Wlan mit unterschiedlichem IP-Range auf? Das kannst du so nicht beantworten, aber was zeigt die Fritzbox an, siehst du da den Router 2# nur einmal, oder siehst du den zusätzlich mit einer IP 192.168.10.*? Hintergrund der Frage: macht dann der Router im Accesspoint Modus intern ein eigenes Routing? In dem Fall könnte es so sein, wie auch bei der Fritzbox die beide Netze vollständig trennt.

Was du mal testen könntest, konfiguriere den Router #2 ohne Guestnetz. Nur mit dem 192.168.10.* Netzwerk. Standardgateway die Fritzbox wie es jetzt schon drin sein sollte. In dem Falle müsstest du durch kommen.

SChau mal ob du in der Anleitung zum #2 etwas zu Routing,, statische Route oder sowas findest.

kadettilac89 · 11 Januar 2018, 22:35:33

Du schreibst dass du Zugriff von Guest net nach intern nicht willst. Deine Konfigseite sieht so ähnlich wie hier ... http://www.tp-link.de/faq-1317.html .... aus. Und du hast das Flag "allow Guest to access my network" nicht gesetzt.

--> Lass den Zugriff mal zum Test zu und prüfe ob du dann durchkommen würdest. Wenn ja passt zumindest die Fritzbox-Einstellung und zeigt, dass deine Anforderung so nicht umsetzbar ist. Das "allow" wäre dann bidirektional.

rasti · 11 Januar 2018, 22:42:56

Zitat von: kadettilac89 am 11 Januar 2018, 22:19:52
1) Ganz wichtiger Punkt, darum nochmal nachgefragt auch wenns nervig scheint. In deinen beiden Routern - ausgenommen im Guestnetz -- ist kein DHCP-Server aktiv, sprich, kein Häckchen gestzt, kein IP-Range definiert? Wie ich dich verstehe ist das nicht gesetzt. Kannst du ggf. einen Screenshot der Settings beider Router posten?

Hier die DHCP-Settings vom Gastnetz-Router 192.168.178.11

Code Auswählen

DHCP Settings
DHCP Server:	 Disable   Enable
Start IP Address:	
192.168.10.100
End IP Address:	
192.168.10.199
Address Lease Time:	
120
  minutes (1~2880 minutes, the default value is 120)
Default Gateway:	
192.168.10.1
 (Optional)
Default Domain:	
 (Optional)
Primary DNS:	
0.0.0.0
 (Optional)
Secondary DNS:	
0.0.0.0
 (Optional)

Hier die Network-WAN-Settings vom Gastnetz-Router 192.168.178.11

Code Auswählen

WAN
WAN Connection Type:	    Detect  
IP Address:	
192.168.178.11
Subnet Mask:	
255.255.255.0
Default Gateway:	
192.168.178.1
MTU Size (in bytes):	
1500
  (The default is 1500, do not change unless necessary.)
Primary DNS:	
192.168.178.1
Secondary DNS:	
0.0.0.0
  (Optional)

Hier die Network-LAN-Settings vom Gastnetz-Router 192.168.178.11

Code Auswählen

LAN
MAC Address:	
XXXXXXXXXXXX
IP Address:	
192.168.10.1
Subnet Mask:		 
IGMP Proxy:	

Note: IGMP(Internet Group Management Protocol) works for IPTV multicast stream.
The device supports both IGMP proxy with enabled or disable option and IGMP snooping

Hier die DHCP-Settings der Fritzbox

Code Auswählen

IPv4-Einstellungen
Geben Sie die IPv4-Adresse an, unter der die FRITZ!Box im lokalen Netzwerk erreichbar ist.

Achtung!
Änderungen auf dieser Seite können dazu führen, dass die FRITZ!Box nicht mehr erreichbar ist. Beachten Sie unbedingt die Hilfe, bevor Sie Änderungen vornehmen.

IPv4-Adresse 
192. 168. 178. 1
Subnetzmaske 
255.255.255.0

  DHCP-Server aktivieren
DHCP-Server vergibt IPv4-Adressen

von 192 . 168 . 178 .  20 bis 192. 168 . 178 . 150
Gültigkeit 10  Tage
Die vergebenen IP-Adressen werden nach Ablauf der Gültigkeit wieder freigegeben

Zitat
2) Was mir aktuell nicht klar ist, und woran es evtl. liegt. Wie spannt der Router 2 Wlan mit unterschiedlichem IP-Range auf? Das kannst du so nicht beantworten, aber was zeigt die Fritzbox an, siehst du da den Router 2# nur einmal, oder siehst du den zusätzlich mit einer IP 192.168.10.*? Hintergrund der Frage: macht dann der Router im Accesspoint Modus intern ein eigenes Routing? In dem Fall könnte es so sein, wie auch bei der Fritzbox die beide Netze vollständig trennt.

In der Fritzbox sehe ich den Gäste-WLAN-Router nur mit seiner IP 192.168.178.11
Die Subnetz-IP 192.168.10.1 oder andere Endziffern 192.168.10.x sehe ich nicht

Zitat
Was du mal testen könntest, konfiguriere den Router #2 ohne Guestnetz. Nur mit dem 192.168.10.* Netzwerk. Standardgateway die Fritzbox wie es jetzt schon drin sein sollte. In dem Falle müsstest du durch kommen.

verstehe ich wieder nicht

Zitat
SChau mal ob du in der Anleitung zum #2 etwas zu Routing,, statische Route oder sowas findest.

Klar kann man einstellen. Diese Einträge sind aber leer. Muss hier was eingetragen werden ?
=>

Code Auswählen

Add or Modify a Static Route Entry
Destination Network:	
Subnet Mask:	
Default Gateway:

Viele Grüße

Ralf

rasti · 11 Januar 2018, 22:45:52

Zitat von: kadettilac89 am 11 Januar 2018, 22:35:33
Du schreibst dass du Zugriff von Guest net nach intern nicht willst. Deine Konfigseite sieht so ähnlich wie hier ... http://www.tp-link.de/faq-1317.html .... aus. Und du hast das Flag "allow Guest to access my network" nicht gesetzt.

--> Lass den Zugriff mal zum Test zu und prüfe ob du dann durchkommen würdest. Wenn ja passt zumindest die Fritzbox-Einstellung und zeigt, dass deine Anforderung so nicht umsetzbar ist. Das "allow" wäre dann bidirektional.

Nee Nee .... Der TL-WR710N hat nur ein WLAN zum aufspannen, der kennt kein virtuelles Gäste-WLAN

Otto123 · 11 Januar 2018, 22:47:58

Hallo Rasti,

Du willst Die Kinder aus Sicherheitsgründen nicht im internen Netz - willst es aber dann mit deinem Routing wieder verbinden?

Popcorn!

Lass doch die Kinder das Problem lösen, die können das vielleicht besser?

Gruß Otto

rasti · 11 Januar 2018, 22:55:16

Zitat von: Otto123 am 11 Januar 2018, 22:47:58
Hallo Rasti,

Du willst Die Kinder aus Sicherheitsgründen nicht im internen Netz - willst es aber dann mit deinem Routing wieder verbinden?

Popcorn!

Lass doch die Kinder das Problem lösen, die können das vielleicht besser?

Gruß Otto

Hallo Otto,
ich mag kein Popcorn und versteh dich auch jetzt nicht wirklich....

Vom Gäste-WLAN 192.168.10.xxx kann man auf keine IP im internen Netz 192.168.178.xxxx zugreifen,
da ich diese IPs geblockt habe.

Meine Kinder können es nicht besser....aber wenn DU es besser kannst, kannst du mir sicher erklären,
was ich falsch gemacht habe ....

kadettilac89 · 11 Januar 2018, 22:55:50

Code Auswählen


Default Gateway:	
192.168.10.1

hast du das eingetragen oder wurde das automatisch reingesetzt?

Kannst du 192.168.10.1 pingen? Vom 192.168.178.* Netz aus, verbunden mit Wlan an Router #2

Zitat von: rasti am 11 Januar 2018, 22:45:52
Nee Nee .... Der TL-WR710N hat nur ein WLAN zum aufspannen, der kennt kein virtuelles Gäste-WLAN

da habe ich jetzt ein Verständnisproblem, ich dachte dieser Router stellt 2 Wlan-Netze zur Verfügung?

Code Auswählen


- Router #2  mit IP 192.168.178.11 als WLAN-Router (für Gäste)
- Router #2  spannt ein zweites Gäste Wlan 192.168.10.xxx auf

kadettilac89 · 11 Januar 2018, 23:01:29

Zitat von: Otto123 am 11 Januar 2018, 22:47:58
Du willst Die Kinder aus Sicherheitsgründen nicht im internen Netz - willst es aber dann mit deinem Routing wieder verbinden?

Er will nur in eine Richtung um per Presence zu prüfen ob die Kinder zu hause sind .... im Wlan spielen statt zu schlafen ... o. ähnliches.

Die Kinder sollen aber nicht in das "heilige" Netz damit die nichts anstellen. Anforderung an sich verstanden, Wertung ... ggf. kann die Anforderugn auch anders erfüllt werden, aber jetzt spielen wir mal am Netz.

rasti · 11 Januar 2018, 23:06:14

Zitat von: kadettilac89 am 11 Januar 2018, 22:55:50
Code Auswählen Erweitern
Default Gateway: 192.168.10.1
hast du das eingetragen oder wurde das automatisch reingesetzt?

Das steht in den DHCP-Einstellungen des Gäste-WLAN-Routers 192.168.178.11
Habe ich glaube ich selbst reingetippt !?!

Zitat
Kannst du 192.168.10.1 pingen? Vom 192.168.178.* Netz aus,

nein !

Zitat

da habe ich jetzt ein Verständnisproblem, ich dachte dieser Router stellt 2 Wlan-Netze zur Verfügung?

Nein nur das eine hier:

Zitat
- Router #2 spannt ein Gäste Wlan 192.168.10.xxx auf
[/code]

Dieser Router #2 hat im privaten Netz halt die IP 192.168.178.11
Mein internes WLAN-Netz macht Router #1 (als Access Point konfiguriert, ohne DHCP) mit der IP 192.168.178.12

kadettilac89 · 11 Januar 2018, 23:20:24

Code Auswählen


Das steht in den DHCP-Einstellungen des Gäste-WLAN-Routers 192.168.178.11
Habe ich glaube ich selbst reingetippt !?!

Ist wahrscheinlich die interne IP für das zweite Netz. Kannst du dich mal mit dem Gäste-Wlan verbinden und schaun ob du 192.168.10.1 pingen kannst?

Code Auswählen


Add or Modify a Static Route Entry
Destination Network:	
Subnet Mask:	
Default Gateway:

kannst du hier mal 192.168.10.0, 255.255.255.0, 192.168.10.1 eintragen? Diese Route sollte eigentlich auch so bekannt sein. Aber testen kostet nichts.

CoolTux · 11 Januar 2018, 23:20:46

Nur mal so am Rande gefragt. Wenn das Routing Mal gehen sollte.
Wer regelt dann eigentlich was geroutet werden soll. Die Kinder sollen nicht geroutet werden. Also eigentlich quasi nichts ausser icmp packete. Ich hoffe du kannst das so einstellen, ansonsten sind deine Kinder im Netzwerk.

Zitat von: rasti am 11 Januar 2018, 21:57:42
Hallo kadettilac89,

ich versuche das mal für dich zusammenzufassen und deine Fragen zu beantworten

Ich habe :
- Fritzbox mit IP 192.168.178.1 und mit DHCP-Server, vergibt IPs 192.168.178.xxx
- Router #1 mit IP 192.168.178.12 als WLAN-Access Point (Privat)
- Router #2 mit IP 192.168.178.11 als WLAN-Router (für Gäste)
- Router #2 spannt ein zweites Gäste Wlan 192.168.10.xxx auf
- Router #2 hat einen eigenen DHCP-Server und vergibt die IPs 192.168.10.xxx
- der WAN-Port von Router #2 hängt im LAN der Fritzbox
- Standardgateway auf Router 1+2 : 192.168.178.1

Wie und wo hängt Router 1? An der Fritzbox?

Und ja es ist definitiv ein Popcorn Thread.

Otto123 · 11 Januar 2018, 23:22:41

Aber ping braucht auch pong ...

Heißt: wenn die Geräte auf Ping reagieren sollen brauchen sie eine Route zurück ins "heilige Netz".
Und wenn sie die haben dann haben die bösen Buben die auch.

Ich wollte nur nochmal die ganzen: "Es geht nicht" auch auf den Nenner bringen: Es macht auch keinen Sinn! Nicht mit simplen Routing.

Du kannst einfach den FHEM Server in beide Netze bringen, der hat keine Route und könnte eine Firewall haben.

Edit: Genau, Leon sagt es auch nochmal

CoolTux · 11 Januar 2018, 23:25:53

Man könnte es auch Vernünftig machen. Ich habe 9 VLans und die Geräte der Kinder kommen genau da hin wo ich es will und auch nur ausgewählte Sachen. Das ganze wird über eine Packetfirewall geregelt. Dazu kommt noch ein Proxy mit Webfilter.

Otto123 · 11 Januar 2018, 23:33:00

Und vernünftig und Fritzbox schließen sich leider aus - hat Udo schon immer gesagt

rasti · 11 Januar 2018, 23:33:30

Zitat von: kadettilac89 am 11 Januar 2018, 23:20:24
Code Auswählen Erweitern
Das steht in den DHCP-Einstellungen des Gäste-WLAN-Routers 192.168.178.11 Habe ich glaube ich selbst reingetippt !?!

Ist wahrscheinlich die interne IP für das zweite Netz. Kannst du dich mal mit dem Gäste-Wlan verbinden und schaun ob du 192.168.10.1 pingen kannst?

Klar das geht. Alle Geräte im Gäste-WLAN 192.168.10.xxx sind anpingbar und innerhalb des Subnetzes auch verbindbar
(z.B. FTP-Server auf dem Handy und Zugriff über Laptop)

Zitat
Code Auswählen Erweitern
Add or Modify a Static Route Entry Destination Network: Subnet Mask: Default Gateway:
kannst du hier mal 192.168.10.0, 255.255.255.0, 192.168.10.1 eintragen? Diese Route sollte eigentlich auch so bekannt sein. Aber testen kostet nichts.

Dann kommt eine Fehlermeldung

Code Auswählen

Error code: 4010
Destination Network address cannot be in the same subnet with LAN IP address, please enter again.

Im System Routing Table des 192.168.10.1 steht dies hier:

Code Auswählen

System Routing Table
ID	Destination Network	Subnet Mask	Gateway	Interface
1	192.168.178.0	255.255.255.0	0.0.0.0	WAN
2	192.168.10.0	255.255.255.0	0.0.0.0	LAN & WLAN
3	239.0.0.0	255.0.0.0	0.0.0.0	LAN & WLAN
4	0.0.0.0	0.0.0.0	192.168.178.1	WAN

kadettilac89 · 11 Januar 2018, 23:43:10

dann ist es wahrscheinlich mit der Hardware nicht umsetzbar.

was genau willst du überwachen, nur ob deine Kinder zu Hause sind? Alternativen ... Bluetooth? Geotagging-App? ....

rasti · 12 Januar 2018, 01:12:56

Hallo,

ich habs hingekriegt. Die zuvor beschriebene Konfiguration und die Hardware ist OK.

Einfacher blöder Fehler, Otto123 hat mich (mit seinem ping braucht pong) drauf gebracht

Ich hatte ja im Subnet die IPs im Hauptnetz blockiert, somit auch die des FHEM-Servers
und meines Laptops, von wo aus ich versucht habe anzupingen.

Ich habe jetzt folgende Zugangsbeschränkungen vom Gäste-WLAN aus gesehen :

Code Auswählen

ID	Target Description	Information	Modify
1	HomeNet_2-3	192.168.178.2 - 192.168.178.3 	Edit Delete
2	HomeNet_7-254	192.168.178.7 - 192.168.178.254 	Edit Delete
3	Fritzbox	192.168.178.1/80/TCP 	Edit Delete
4	ConnectBox	192.168.0.1/80/TCP 	Edit Delete
5	FHEM_Server	192.168.178.6/TCP 	Edit Delete
6	WLAN_CUL	192.168.178.5 	Edit Delete

Somit ist alles gesperrt bis auf
192.168.178.4 => komplett frei, Druckerserver, drucken dürfen die Kiddies ja schon

Die Fritzbox braucht man als Gateway und den FHEM-Server fürs Pingen/Presence.
Deswegen habe ich bei Fritzbox, Kabelmodem, FHEM-Server einfach das TCP-Protokoll blockiert,
somit kommt man nicht auf die Weboberfläche , FTP und ssh/telnet geht auch nicht.
Pingen geht aber.

@Otto123 @Cooltux
Jetzt würde mich eure Meinung interessieren, ob das so halbwegs sicher ist.
Nicht ob man das mit anderer Hardware noch vernünfiger lösen kann.
Zumindest ICH komme mit meinen bescheidenen IT-Kenntnissen nicht ins private LAN.....

@ kadettilac89
Vielen Dank für deine Mühe und deine Zeit !

Gute Nacht dann

CoolTux · 12 Januar 2018, 04:54:27

Also da möchte ich mich zu keiner Aussage hinreißen lassen, da ich die Konfiguration und Konstellation nicht kenne. Es gibt ja nicht nur TCP sondern auch noch UDP.
Aber wenn es nur darum geht das die Kinder was auch immer nicht machen dürfen, kann das blockieren des TCP Protokolls ein Weg sein.

Michael1986 · 23 Februar 2018, 18:40:17

Hi Leute,

ich habe es gerade geschafft meinen ersten FHEM Server aufzusetzen und mit meiner FritzBox zu verbinden.
Wenn ich jetzt "set FritzBox guestWlan on" eingeben oben in der Zeile, dann lädt er zwar die Seite neu, aber das a GästeWlan bleibt aus.
Muss ich bei der Fritzbox noch etwas einstellen?

Danke euch schon mal

Otto123 · 23 Februar 2018, 19:39:32

Hallo Michael 1986,

deine Frage ist am eigentlichen Thema vorbei, der Thread steht auf gelöst. Das macht keinen Sinn.

Mach bitte ein neues Thema (im Fritzbox Unterforum) auf, füge etwas mehr Infos dazu: Nur "FritzBox zu verbinden" ist zu dünn. Vielleicht am besten ein list Deiner definition in Code Tags (der # Knopf über dem

Smiley).
Dann schauen wir mal weiter.

Gruß Otto

GELÖST :Netzwerkkonfigurationsproblem : Anpingen im Gäste-WLAN-Subnetz /Presence

Michael1986