TwoCom Online-Forum

[michaelk]

Hinter meinem VIGOR2900V hängen verschiedene Rechner und ein Wireless-Router (IP-Bereich 10.0.0.x). Dieses "wirelessgate" widerrum verbindet meine home entrtainment devices und jeden der sich wireless bei mir einklinkt (natürlich mit Passwort etc.). Dafür stellt der wireless router per DHCP aber 192.168.1.x Adressen bereit. Das funktioniert soweit auch prima.

Mein Problem ist jetzt, dass ich mein NAS (QNAP TS-219P) gerne von dem einen Netz verwalten und bestücken würde, im anderen Netz dagegen auschliesslich nutzen möchte.
Konkret möchte ich z.B. die Administration aus dem Produktivnetz (10.0.0.x) machen, angeboten werden sollen die files aber letztlich im home entertainment Netz. Geht das?
--
Cheers

[nobody]

Hi,
Aus Deinem Text geht nicht hervor, wo das NAS Teil steht.

Es ist nicht unbedingt problemlos, egal, ob jemand hinter einem NAT router ist, oder, vor diesem, auf ein gerät, dass nicht in seinem Netzwerk ist zuzugreifen - mal davon ausgehend, dass Du das windows smb protokoll verwendest.

Die administration eines NAS ist meist jedoch über ein Web-interface. Das sollte problemlos gehen - ohne änderungen von innerhalb des Netzes zu dem NAS das ausserhalb steht. Mit einem offenen port, den Du auf dem Wireless-Router einrichtest, in die andere richtung.

Dennoch:
warum nicht einfach die Routing funktionalität des Wireless routers deaktivieren, und, das Teil als acesspoint verwenden ? Dann ist alles im gleichen Netz, und, Du hast keinen ärger - oder gibt es hier sicherheitsbedenken (aber selbst mit eingeschalteter NAT router funktionalität hat jeder zugriff vom Wireless-lan auf das lan hinter dem Vigor, nur umgekehrt nicht) ?

[michaelk]

Hola,

(Reihenfolge geändert)

Dennoch:...warum nicht einfach die Routing funktionalität des Wireless routers deaktivieren, und, das Teil als acesspoint verwenden ? Dann ist alles im gleichen Netz, und, Du hast keinen ärger - oder gibt es hier sicherheitsbedenken (aber selbst mit eingeschalteter NAT router funktionalität hat jeder zugriff vom Wireless-lan auf das lan hinter dem Vigor, nur umgekehrt nicht)?

Tatsächlich habe ich die beiden Netze getrennt, damit Rechner, die sich bei mir ins Wireless-Netz verbinden, nicht auf meine Rechner im Haupt-Netz zugreifen können.
Wenn ich Dich hier richtig verstanden habe, dann sollte ich die Reihenfolge der Router tauschen (also Internet <-> Wireless-NAT-Router (192er Netz mit der NAS) <-> VIGOR-NAT-Router (10er Netz)?

Aus Deinem Text geht nicht hervor, wo das NAS Teil steht.

grundsätzlich ist es mir egal in welchem Netz die "NAS steht". Damit mein AV-Receiver aber auf die NAS zugreifen kann, müssen die beiden vermutlich im selben IP-Range liegen oder? Das wäre dann das 192er Netz.

[nobody]

Solange die leute im wireless lan nicht wissen, welche Adressen dein anderes netz hat, dann bist Du relativ sicher.

Alternativer vorschlag:
verpasse dem Wlan-router eine statische "WAN" ip (aus dem netz des Draytek routers) mit 32 Bit netzmaske,
dann wird der (bitte selber testen, ob das wirklich tut) wireless router, keine pakete in das Vigor-Netz schicken.

dann ist kein zugriff vom "Wifi" in das Vigor netz möglich.
NAS dann in das Wifi Netz stellen, dort freigeben,
einen http/https (80/443) port per NAT auf dem Wifi router aufmachen, der auf die IP des Nas zeigt, dann kannst Du es vom Vigor netz werwalten.

[michaelk]

...Alternativer vorschlag:
verpasse dem Wlan-router eine statische "WAN" ip (aus dem netz des Draytek routers) mit 32 Bit netzmaske, dann wird der (bitte selber testen, ob das wirklich tut) wireless router, keine pakete in das Vigor-Netz schicken.

"32 Bit netzmaske" heisst, dass der Wirless-Router nur einen Teilbereich der IPs aus dem VIGOR Netz kennt und selbst handelt, richtig? Vermutlich sollte ich dann auch im VIGOR eine Netzmaske verwenden, damit es keine Überscheidungen bei der IP-Zuweisung gibt?

...dann ist kein zugriff vom "Wifi" in das Vigor netz möglich. NAS dann in das Wifi Netz stellen, dort freigeben,
einen http/https (80/443) port per NAT auf dem Wifi router aufmachen, der auf die IP des Nas zeigt, dann kannst Du es vom Vigor netz werwalten.

Verstehe ich Dich richig, dass der Unterschied zu der Variante Internet<->Wireless-router<->VIGOR der wäre, dass auch das 192er-Netz durch die VIGOR-Firewall geschützt wäre? Das wäre mir natürlich lieber so...
--
Vielen Dank für Deine Hilfestellung

[nobody]

Ich denke es ist besser den Vigor router für die Internet Verbindung zu nehmen, denn, in der tat ist der Firewall individueller anpassbar als bei anderen Geräten, auch, geht VPN nur wirklich gut, wenn der VPN router am Internet hängt.


so z.B.:

Code: Alles auswählen


Internet
   |
Draytek 2900V
   |(switch am Draytek)
Internes Netzwerk (10.0.0.x/24)
IP Vigor intern z.B. 10.0.0.254
DHCP bereich z.B. 10.0.0.1 bis 10.0.0.127
   |        |               |
PC#01      PC#02         Anderer Router mit WLAN
                         Externe IP aus Vigor Adressbereich: 10.0.0.253/32
                         also z.B.: 10.0.0.253, 255.255.255.255
                         gateway: 10.0.0.254, DNS: z.B. opendns
                            |
                         switch/WiFi Netzwerk: 192.168.10.0/24
                         Interne IP Router: 192.168.10.254
                         Subnetz: 255.255.255.0
                            |             |
                          NAS-Gerät      WiFi-Clients


Alle pakete in alle netze ausser 10.0.0.254 schickt dann der WLAN router hoffentlich via dem vigor ins internet.
kann aber, sein, dass der vigor die pakete dann doch in das interne netz routet, aber, probieren kannst Du es ja mal, das ist ja keine grosse mühe.

[michaelk]

werde ich morgen probieren es so (oder so ähnlich umzusetzen. Ich frage mich allerdings noch, warum Du dem jeweiligen Router offensichtlich die jeweils letztmögliche Adresse gibst?
Und zum Testen (ob der VIGOR Anfragen aus dem Wireless-Netz nur ins Internet weiterleitet und nicht ins eigene Netz sendet) reicht ping?

[nobody]

Die Adresse des routers, die ist beliebig, ich wähle aus gewohnheit die letzte.

ein ping, das müsste reichen, so der host, den Du pingst normalerweise das ping von einer adresse ausserhalb seines subnetzes beantwortet.
also, wenn jetzt ping ok, und nacher nicht mehr, dann müsste es geklappt haben.

[michaelk]

..Alternativer vorschlag:
verpasse dem Wlan-router eine statische "WAN" ip (aus dem netz des Draytek routers) mit 32 Bit netzmaske, dann wird der (bitte selber testen, ob das wirklich tut) wireless router, keine pakete in das Vigor-Netz schicken.

habe ich gemacht, allerdings war die 32 Bit Netzmaske nicht konfigurierbar, eine 31er ging dagegen. D.h. der WLAN Router hat jetzt extern die 10.0.0.253 mit der subnet mask 255.255.255.252. Liegt das daran, dass der VIGOR die 10.0.0.254 belegt und als gateway über die subnet mask erlaubt sein muss?
Jedenfalls kommen nach der Umstellung auch weiterhin alle Rechner ins Internet und umgekehrt kann ich aus dem Wireless-Net meine Rechner im Hauptnetz nicht mehr anpingen.

Leider klappt der administrative Zugriff auf die NAS (verschoben ins 192er-Netz, feste IP ...1.6) noch nicht, obwohl ich am Wireless-Router die ports 80, 443 und 8080 auf die NAS weiterleite. Habe ich da etwas falsch verstanden? Meine Anfrage aus dem Hauptnetz richtet sich an die externe IP des Wireless-Routers, also z.B. ...253:80

[nobody]

Schade, dass das mit der 32Bit netzmaske nicht geht, aber, solange Du in dem Bereich keine IP Adressen hast, ist es ja egal.

Das mit der Netzmaske, das führt aber auch dazu, dass das mit dem Administrativenzugriff auf das NAS nicht mehr geht.

dann mach es doch so:
Subnetz:
255.255.255.248
( router: 10.0.0.254, verfügbare hostadressen: 10.0.0.249 bis 10.0.0.254)
WLAN router externe IP z.B.: 10.0.0.249,
und, gib dem PC der das Nas administrien soll die IP 10.0.0.250

auf den hat natürlich dann das netz hinter dem WLAN router zugriff !

Subnet calculator:
hxxp: // www dot subnet-calculator dot com/

[michaelk]

Ich glaube da stimmt irgendetwas anderes noch nicht, denn vor dem Umbiegen der IPs konnte ich auf den Wireless-Router sowohl über seine LAN-IP als auch über die WAN-IP zugreifen. Selbst ein ping auf die 10.0.0.253 wird aus dem VIGOR-Netz nicht beantwortet.
Jetzt aber, kann ich nur noch aus dem 192er-Netz und auch nur über die LAN-IP auf die administrative Oberfläche des Wireless-Routers zugreifen. Die WAN-IP dagegen liefert mir nur die Webserver page aber nicht die administrative Oberfläche (port 8080)

[nobody]

aber, Du hast Doch geschrieben:
"Wireless-Router die ports 80, 443 und 8080 auf die NAS weiterleite"

wenn Du den port 8080 auf das NAS weiterleitest, dann geht natürlich ein zugriff auf das Router Admininterface über diesen port nicht mehr, stattdessen solltest du auf das NAS kommen - oder ?

[michaelk]

aber, Du hast Doch geschrieben:
"Wireless-Router die ports 80, 443 und 8080 auf die NAS weiterleite"

und das ist auch so. Nochmal zur Verdeutlichung:

1 Router (VIGOR, WAN=?, LAN=10.0.0.254/24
2 Router (BUFFALO, WAN=10.0.0.253/31, LAN=192.168.1.254/24)
--Port forwarding for 80, 443, and 8080
3 Router (BUFFALO as Bridge, LAN=192.168.1.253)

(sorry ich weiss nicht wie man hier eine kleine Matrix erstellt)

wenn Du den port 8080 auf das NAS weiterleitest, dann geht natürlich ein zugriff auf das Router Admininterface über diesen port nicht mehr, stattdessen solltest du auf das NAS kommen - oder ?

Im VIGOR-Netz scheint die IP 10.0.0.253 (zumindest für meinen PC) nicht zu existieren. Kann das daran liegen das der Wirelss-Router am WAN-Port ein 31er subnet hat (er also eine Anfrage von einer dritten IP aus dem -für ihn- externen Netz nicht akzeptiert)?
Bis auf den administrativen Zugriff aus dem VIGOR-Netz auf den Wireless-Router (WEBGUI habe ich auf auf port 9090 administriert) bzw. aufs NAS scheint alles zu funktionieren. D.h. im 2ten Netzt funtioniert der Zugriff sowohl auf den Router als auch auf das NAS.
--
Gruß