Kein Zugriff auf Fritzbox aus Subnetz

[Mondsichel]

Hallo!

Ich oute mich mal als Anfänger, was Netzwerke angeht, also seht es mir bitte nach, sollte ich mein Problem nicht verständlich genug kommunizieren.

Also, ich habe eine Fritzbox (192.168.1.1), die mein Netzwerk mit dem Internet verbindet. Hinter dieser hängt ein managed Switch (192.168.1.12). Daran u. a. angeschlossen ein Draytek Router, der seine IP am WAN (192.168.1.70) von der Fritzbox bekommt (DHCP). Der Draytek macht sein eigenes LAN auf, mit eigenem Subnetz (192.168.7.1), daran per Ethernetkabel PC1 (192.168.7.20) und per WLAN PC 2 (192.168.7.21).

Nun kann ich von PC 2 aus auf meine Fritzbox zugreifen und diese konfigurieren, jedoch nicht von PC 1, deren Webinterface lässt sich nicht laden. Ich erhalte die Meldung:

Diese Seite funktioniert nicht​

192.168.1.1 hat keine Daten gesendet.


ERR_EMPTY_RESPONSE

Nun erhält der Draytek eine IP aus dem Netz der Fritzbox, somit müsste das eigentlich funktionieren. Der Draytek ist quasi im Rohzustand, keine Portweiterleitungen etc. konfiguriert, nur dass er seine WAN IP per DHCP von der Fritzbox erhält, seine eigene LAN IP und das WLAN ist eingerichtet.

Ich muss zugeben, das verstehe ich nicht. Kann mir jemand weiter helfen?
Danke.

 

[Barungar]

Theoretisch sollte das funktionieren. Kann PC1 denn ins Internet? Oder die FritzBox per PING erreichen?

 

[Mondsichel]

Internet haben beide PCs, Ping von PC 1 auf die Fritzbox:

Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 192.168.1.1:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),

 

[Barungar]

Das ist kurios... PC1 hat Internet, kann aber den Internet-Router nicht anpingen?!
Aber das erklärt auch schonmal, wieso Du die Webseite der FritzBox nicht aufrufen kannst.

Ist PC1 auf DHCP konfiguriert? Oder ist eventuell etwas falsch eingestellt in den Netzwerkeinstellungen?
Was passiert, wenn Du zum Versuch PC2 mal per LAN-Kabel anschließt?

Ich kenne Drraytek-Router nicht... vielleicht unterscheiden sich die WLAN und LAN Konfiguration?!

 

[Mondsichel]

Beide PCs bekommen ihre IP vom Draytek per DHCP. PC 2 lässt sich nicht per Kabel anschließen, das ist ein schmales Notebook ohne Netzwerkbuchse.

Es gibt schon unterschiedliche Einstellungen. Das sollte aber keine Auswirkungen auf den Zugriff auf die Fritzbox haben.

 

[Barungar]

Der PC1 steckt auf LAN 1 am Draytek-Router? Wie ich sehe, ist der Router vLAN fähig, und wenn ich die Tabelle unten richtig deute, ist jeder LAN ein eigenes vLAN zur Zeit.

 

[Mondsichel]

Der Draytek ist in der Lage, bis zu 6 eigene LANs zu verwalten. Alles läuft über LAN 1, auch das WLAN, also die 192.168.7.1. Die Tabelle ist standardmäßig angelegt, keine Veränderungen durch mich. Damit kann man konfigurieren, welches LAN/ VLAN untereinander kommunizieren darf.

Ich habe jetzt mal testweise einen herumliegenden Lancom Router angeschlossen und konfiguriert (DHCP an WAN von der Fritz!Box:192.168.1.81/ eigene IP: 192.168.8.1). Über WLAN komme ich mit dem Tablett an die Fritzbox, mit dem PC 1 mittels Netzwerkkabel angeschlossen am Lancom nicht, gleiches Problem. Auf PC 1 und PC 2 läuft Windows 11, das Tablett ist ein Ipad.

 

[the other]

Moinsen,
funktioniert denn vom PC1 ein PING auf den switch im Fritzbox Netz (vermutlich nicht)? Und vom PC2 (vermutlich)
Erreichst du dessen Anmeldemaske von 1 und 2?
Oder gleiches Ergebnis wie zur Fritzbox (LAN nein, WLAN ja)?

 

[Mondsichel]

Mit dem PC 1 kann ich über den Draytek keine der genannten Geräte aufrufen, weder Fritzbox noch Switch. Vom PC 2 erreiche ich beide Anmeldemasken, wenn ich mit dem Draytek verbunden bin.

Nun kommt etwas Kurioses: Der von mir installierte Lancom konnte das vorher auch nicht, nach einem Firmwareupdate hingegen kann ich Switch und Fritzbox über PC 1 anpingen und aufrufen. Also so, wie es eigentlich sein sollte.

C:\Users\User>ping 192.168.1.1

Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
Antwort von 192.168.1.1: Bytes=32 Zeit=4ms TTL=63
Antwort von 192.168.1.1: Bytes=32 Zeit=3ms TTL=63
Antwort von 192.168.1.1: Bytes=32 Zeit=3ms TTL=63
Antwort von 192.168.1.1: Bytes=32 Zeit=3ms TTL=63

Ping-Statistik für 192.168.1.1:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 3ms, Maximum = 4ms, Mittelwert = 3ms

C:\Users\User>ping 192.168.1.12

Ping wird ausgeführt für 192.168.1.12 mit 32 Bytes Daten:
Antwort von 192.168.1.12: Bytes=32 Zeit=6ms TTL=63
Antwort von 192.168.1.12: Bytes=32 Zeit=5ms TTL=63
Antwort von 192.168.1.12: Bytes=32 Zeit=7ms TTL=63
Antwort von 192.168.1.12: Bytes=32 Zeit=4ms TTL=63

Ping-Statistik für 192.168.1.12:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 4ms, Maximum = 7ms, Mittelwert = 5ms

 

[the other]

Moinsen,
dann müsste es doch am switch liegen, oder?
Ich meine: eigentlich sollte dein Vorhaben ja eh funktionieren in einer einfachen Routerkaskade (Zugriff Netz1 > Netz 2 = Nö; Zugriff Netz 2 > Netz 1= yeah).
Wenn du jetzt also einen anderen switch einsetzt (mit aktueller Software), dann tut alles wie normal erwartet.
Läuft der andere switch, dann nicht...

Dann scheint eben das Problem nicht bei Fritz, Draytek oder windows Firewall zu liegen.
Seltsam finde ich das Verhalten allerdings auch: wenn der Draytek das WLAN aufmacht, dann geht der Verkehr am Ende ja auch via Kabel vom Draytek über switch zur Fritz.
Wie ausführlich ist denn der managed switch zu managen? Ist da ggf. noch irgendein Feature aktiv, der das Verhalten auslösen könnte?

Wenn du den draytek einfach direkt an die Fritz anschließt funktioniert vermutlich auch alles normal?

 

[Mondsichel]

Den Switch hatte ich nicht ausgewechselt, sondern anstatt des Drayteks einen Lancom als Router zum Testen genommen. Der Switch ist ein Layer 2 und wird im Auslieferungszustand eingesetzt. Da ich beabsichtige in Zukunft auch mit VLANS zu experimentieren, habe ich mich an diesem Punkt für ein Managed entschieden, zudem versorgt er einen AP über PoE mit Strom.

Wenn es am Switch liegen würde, dann müsste hier auch der Lancom Router versagen.
Gleich geblieben sind also:

• Fritzbox
• Switch
• PC 1

Somit liegt das Problem irgendwo beim Draytek aus meiner Sicht. Ich bin am überlegen, ob ich testweise im Draytek eine statische Route zur Fritzbox lege, obwohl beide ja im gleichen Netz miteinander verbunden sind.

* 0.0.0.0/ 0.0.0.0 via 192.168.1.1 WAN2
S 192.169.1.0/ 255.255.255.0 via 192.168.1.70 LAN1
C 192.168.1.0/ 255.255.255.0 directly connected WAN2
C~ 192.168.7.0/ 255.255.255.0 directly connected LAN1

C= direkte Verbindung
S= statische Verbindung
~= private

 

[the other]

Moinsen,
ach...ich Depp...
hab irgendwie verstanden, dass du den switch gewechselt hast. Vergiss daher meine Idee. Das macht dann idT mal so gar keinen Sinn mehr. Danke für den Hinweis.

 

[blurrrr]

* 0.0.0.0/ 0.0.0.0 via 192.168.1.1 WAN2
S 192.169.1.0/ 255.255.255.0 via 192.168.1.70 LAN1
C 192.168.1.0/ 255.255.255.0 directly connected WAN2
C~ 192.168.7.0/ 255.255.255.0 directly connected LAN1

192.169?

Ich habe jetzt mal testweise einen herumliegenden Lancom Router angeschlossen und konfiguriert (DHCP an WAN von der Fritz!Box:192.168.1.81/ eigene IP: 192.168.8.1). Über WLAN komme ich mit dem Tablett an die Fritzbox, mit dem PC 1 mittels Netzwerkkabel angeschlossen am Lancom nicht, gleiches Problem

Weiss ja nicht, aber wenn LAN und WLAN ggf. anderweitige IP-Kreise haben, jeweils NAT für die Netze aktiviert? Falls nicht, wirst Du jeweilige Routen auf der Fritzbox für die entsprechenden Netze hinter den nicht-Fritzbox-Routern benötigen.

EDIT: Es ist nicht zwingend gesagt, dass - ggf. bei Einrichtung ohne Assistent - die internen Netze beim WAN-Übergang automatisch maskiert werden. Kontrollier das mal besser (SNAT: Internes Netz -> WAN-IP). Falls dem nicht so ist, setz einfach eine Route in der Fritzbox für das entsprechende Netz und gut ist. Im besten Fall konfigurierst Du auch direkt alles "gleich" (also keine unterschiedliche NAT-Konfiguration für LAN/WLAN). Am saubersten wäre es komplett ohne NAT.

 

[Mondsichel]

192.169?

Ja, ne, falsch, hat wohl der Draytek selbst aus der 8 eine 9 gemacht, weil er wohl erkennt, dass er mit dem Netz der Fritzbox verbunden ist und eine statische Route keinen Sinn ergibt. Habe das eben nochmals versucht zu ändern - geht nicht.

LAN und WAN laufen im selben IP Kreis des Draytek, also dem 192.168.7.x. Leider kann ich im Draytek nicht erkennen, ob NAT aktiviert ist, ich vermute nicht, da man keinen dedizierten Schalter dafür hat, sondern nur einzelne Regeln konfigurieren kann.

die internen Netze beim WAN-Übergang automatisch maskiert werden. Kontrollier das mal besser (SNAT: Internes Netz -> WAN-IP). Falls dem nicht so ist, setz einfach eine Route in der Fritzbox für das entsprechende Netz und gut ist. Im besten Fall konfigurierst Du auch direkt alles "gleich" (also keine unterschiedliche NAT-Konfiguration für LAN/WLAN). Am saubersten wäre es komplett ohne NAT.

Hm, den Weg habe ich noch gar nicht beschritten, also dass ich Geräte hinter dem Draytek erreichen möchte, bislang versuche ich nur die Fritzbox vor dem Draytek zu erreichen. Mir ist bewusst, dass ich in der Fritzbox eine Route setzen müsste für ein Netz, welches sie nicht kennt, wenn aus dem Netz der Fritzbox auf das Netz hinter dem Draytek zugegriffen werden soll. Der Draytek hängt jedoch am Netz der Fritzbox (jetzt testweise mit statischer IP, also der vorgenannten 192.168.1.70 am WAN Port) mit dem gleichen Ergebnis, ich kann nicht auf die Fritzbox über PC 1 zugreifen.

Irgendetwas muss ich übersehen...

 

[the other]

Moinsen,
Ich habe null Ahnung von draytek Routern oder deren Konfiguration.
Aber warum ist im letzten Screenshot kein LAN aktiv? Ich mein, du hast doch sonst Internet mit dem PC am LAN?

 

[Mondsichel]

Aber warum ist im letzten Screenshot kein LAN aktiv?

Den Screenshot erstellte ich, als ich mich über den Lancom am Draytek angemeldet hatte. Da ich noch andere Geräte mit konfiguriert habe, war das einfach bequemer, weil ich so den Zugriff in das Fritzboxnetz habe, was mit der Draytek verweigert. Morgen sehe ich dann mal weiter...

 

[Mondsichel]

Ich habe jetzt mit den statischen Routen experimentiert. RIP für LAN und WAN aktiviert. Über PC 2 und WLAN komme ich auf die Fritzbox, nur mit PC 1 weiterhin keine Möglichkeit. Aber anpingen kann ich die Fritzbox jetzt aus dem Draytek.

-----------------------------------------------------------------------------------
* 0.0.0.0/ 0.0.0.0 via 192.168.1.1 WAN2
S 192.168.1.0/ 255.255.255.255 via 192.168.1.70 LAN1
C 192.168.1.0/ 255.255.255.0 directly connected WAN2
C~ 192.168.7.0/ 255.255.255.0 directly connected LAN1

Pinging 192.168.1.1 with 64 bytes of Data through WAN2:
Receive reply from 192.168.1.1, time=10ms
Receive reply from 192.168.1.1, time=10ms
Receive reply from 192.168.1.1, time=40ms
Receive reply from 192.168.1.1, time=20ms
Receive reply from 192.168.1.1, time=10ms
Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)

Traceroute vom Draytek:

traceroute to 192.168.1.1, 30 hops max through WAN2 protocol ICMP
1 192.168.1.1 20 ms
Trace complete.

traceroute to 192.168.1.1, 30 hops max through WAN2 protocol UDP
1 192.168.1.1 20 ms
Trace complete.

Jetzt pinge ich vom PC 1 und...

C:\Users\User>ping 192.168.1.1

Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 192.168.1.1:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),

Der Draytek Router kann also die Fritzbox anpingen und ein Traceroute ausführen, versuche ich das über die Eingabeaufforderung des PC 1 funktioniert es nicht. Die Firewalleinstellungen in Windows 11 sind auf privat gestellt, also so, dass der PC 1 in meinem Netzwerk sichtbar ist.

 

[Barungar]

Ich kenne mich weder mit LANCOM noch Draytek Geräten aus. Aber ich vermute, dass das "Problem" irgendwo bei den Geräten liegt. Ich arbeite bei mir mit Cisco und ZyXEL Layer 3-Switchen bzw. einer OPNsense HA Firewall. Da klappt alles so wie es soll.

 

[Mondsichel]

Lancom und Draytek sind renommierte und gute Geräte. Natürlich kann nicht jeder alles haben.

 

[the other]

Moinsen,
nö, das wäre ja auch langweilig.
Ich denke auch nicht, dass deine Geräte das nicht zulassen können, ist ja eigentlich nur eben eine simple Routerkaskade. Aber wie so oft ist der Teufel eben gerne im Detail versteckt...es wird entweder noch irgendwo eine (Herstellerspezifische?) Einstellung geben, die nicht oder für deinen Bedarf falsch konfiguriert ist.
Da hier leider nicht so wirklich viele Draytek User sind wie es scheint, ist das feedback eben eher allgemein.