AVM4040 - DNS; Routing und settings

[gooseberry]

Liebe Community,
steige gerade von LINKsys Smart WiFi auf AVM4040 um.
Fact: unter Linksys funktioniert alles.
Nun ist es so, dass das Wording bei AVM mir noch etwas fremd ist.

Meine Konstellation:
1. AVM FB7590 ist die ProviderBox mit dem LAN Interface: 192.168.178.1/30
2. Firewall in: 192.168.178.2/30
3. Firewall out: 10.10.13.2/30
4. AVM FB 4040 in 10.10.13.1/30
5. LAN/WLAN FB 4040 10.10.10.253/24

Es hat lange gedauert bis ich dem WAN Interface der 4040 ein IP Adresse zuweisen konnte: hier scheint das Setting "Internetzugang über Kabelmodem und Router" verantwortlich zu sein - richtig??
Meine settings sind nun:

Betriebsart im Heimnetz​

1. Internet-Router - ist das richtig????

Heimnetz​

IPv4-Adresse 10.10.10.253/24

Was nicht funktioniert ist: Localer DNS - dnsmasq auf 10.10.10.6 - keine Auflösung. Und das Routing 0.0.0.0 ????

Auf LINKsys hatte ich NAT eingestellt; NAT 4040 ???

So, grundsätzlich welche settings sind falsch? Ich muss zu mir sagen, dass mein Wissen bzgl. Router immer mehr abbaut.

Hat mir jemand einen Tipp??

Grüße

 

[Barungar]

Ich denke, dass Konstrukt das Du da baust ist für die FritzBox einfach zu viel. Du darfst nicht vergessen, dass ist ein Consumer-Produkt!
Du sagst der FritzBox auf ihrem WAN-Interface sei sie 10.10.13.1/30 und ihr GW ist 10.10.13.2, okay. Dann sagst Du ihr noch, dass sie einen Primären-DNS 10.10.10.6 nutzen soll, der aber in ihrem eigenen LAN-Segment liegt.

Ich denke, hier ist der TILT... für die FritzBox. Meine Vermutung ist, sie kommt nicht damit klar. Alles auf der Seite des WAN-Interfaces sollte außerhalb des LANs der FritzBox liegen. Ich denke, die FritzBox ist so verdrahtet, dass von WAN-Seite nie ein Zugriff auf LAN-Seite durchgehen wird.

Lösungsvorschlag... Zieh den lokalen DNS-Server VOR die FritzBox 4040. Du hast hinter der Provider-FritzBox ja wohl schon eine Firewall. Insgesamt hast Du drei Firewalls im Einsatz...

1. Firewall in der FritzBox 7590
2. Firewall von Dir
3. Firewall in der FritzBox 4040

Das ist schon sehr komplex, was baust Du da? Fort Knox!?

Mach doch z.B. auf dem Netzsegment zwischen "Deiner" Firewall und der FB4040 das Segment 10.10.13.0/29 ...

• FB 4040 - 10.10.13.1
• Firewall - 10.10.13.2
• lokaler DNS - 10.10.13.3

Oder anderer alternativer Vorschlag:
Gib in der WAN-Interface Konfiguration nicht den lokalen DNS an, sondern trag den unter DNS-Server (Internet -> Zugangsdaten -> DNS-Server) ein, an dieser Stelle funktionieren auch DNS-Server, die im LAN der FritzBox liegen.

 

[blurrrr]

Ich wüsste nicht, dass man NAT auf der Fritzbox selbst abschalten kann. Statische Routen kannste ja noch eintragen, aber das war es dann auch. Davon ab, wenn ich Dein "Konstrukt" richtig deute...

Meine Konstellation:
1. AVM FB7590 ist die ProviderBox mit dem LAN Interface: 192.168.178.1/30
2. Firewall in: 192.168.178.2/30
3. Firewall out: 10.10.13.2/30
4. AVM FB 4040 in 10.10.13.1/30
5. LAN/WLAN FB 4040 10.10.10.253/24

... hast Du ja noch eine anderweitige Firewall laufen, wozu dann noch die Fritzbox? Über die Firewall kannst Du ja sicherlich schon entsprechend segmentieren. So eine Fritzbox würde ich "dahinter" evtl. noch "maximal" als Accesspoint laufen lassen (oder zwecks Telefonie), aber sicherlich nicht, um noch weitere Segmentierungen zu schaffen (was die Firewall auch zig mal besser regeln kann)

Was nicht funktioniert ist: Localer DNS - dnsmasq auf 10.10.10.6 - keine Auflösung. Und das Routing 0.0.0.0 ????

Wenn Du für alles entsprechende Regeln (und ggf. Portweiterleitungen auf der Fritzbox) erstellst, "sollte" das funktionieren. Ebenso wie die Routen und alles andere. Routen musste halt auf der "Internet"-Fritzbox für die Netze hinter der Firewall setzen (aber nicht für das Netz hinter der 2. Fritzbox, die macht eh NAT, bringt also nix, da das Netz hinter der 2. Fritzbox nie in direktem Kontakt mit der Firewall stehen wird).

Btw: Bei solchen Konstrukten ist es immer etwas einfacher, wenn man es grafisch darstellt (inkl. allen beteiligten Dingen, wie z.B. DNS-Server/-Resolver und z.B. auch ggf. Clients, etc.)

 

[gooseberry]

Hallo Zäma,

zunächst mal danke für die Rückmeldungen.

Barungars zweiter Vorschlag funktioniert; aber vielleicht weniger Overhead ist immer gut; ja, eigentlich ist die 4040 nur ein WLAN Accesspoint für mein LAN.
Und ja,
"Die Firewall ist nicht aktiv, wenn die FRITZ!Box die Internetverbindung eines anderen Routers nutzt ("IP-Client-Modus"). In diesem Fall empfiehlt sich die Einrichtung einer Firewall in dem anderen Router."

Was für mich die richtige Lösung wäre.

Kann ich im IP-Client Modus das WAN Interface und den Router manuell eine IP Adresse verpassen - so wie o.g. ?
Und was die 4040 noch können sollte, ist als Master Mesh aufzutreten; das habe ich aber noch nicht aktiviert, da ich erst mal einen sicher und stabilen Zustand erreichen möchte.

So und jetzt die Netz-Infrastruktur (meine Standardlösung seit Jahren)



Welche Möglichkeiten würdet ihr denn realisieren.

Danke für jeden Tipp

 

[blurrrr]

Mir stellt sich eher die Frage, was das mit dem "Router" ganz hinten noch soll (grade, wenn das Ding NAT macht)... 10.10.10.0/24 direkt von der Firewall bedienen lassen, den Router zwecks WLAN als reinen Accesspoint konfigurieren, fertig. Kann ich Dir zumindestens mal so sagen, da mein Konstrukt "relativ" ähnlich aussieht (nur mehr Netze und Zeugs hinter der Firewall).

 

[gooseberry]

Danke für alle Informationen. Ich gehe nochmal in Klausur; allerdings mein LAN direkt an die FW!!??

 

[the other]

Moinsen,
welche Firewall nutzt du denn?
Ein total typisches Setting:
Fritzbox als Internetrouter, an deren LAN---------------WAN der Firewall, an deren LAN----------switch mit APs und Clients, ggf. mit VLANs
Dann kannst du ggf. immer noch überlegen, ob deine Firewall NAT aktiv hat oder nicht.
Wenn du die Frewall passend konfiguriert hast...

allerdings mein LAN direkt an die FW!!??

Warum nicht?