Keine Verbindung mit WLAN zum DrayTek

[blurrrr]

Mal so nebenbei:

Solange der Laptop mit dem LAN verbunden ist, bin in der Lage den DrayTek Router (192.168.1.1) zu pingen oder die anderen Rechner welche an DrayTek verbunden sind (z.B. 192.168.1.10, 192.168.1.11) genauso pingen.

Haben wir vielleicht auch falsch verstanden, oder ist ggf. etwas unglücklich formuliert gewesen. Ich habe es jedenfalls so gedeutet, dass es nur funktioniert, wenn ein Gerät an einem LAN-Port der Fritzbox angeschlossen ist und es nicht funktioniert, wenn ein Gerät über das WLAN der Fritzbox angebunden ist.

 

[Barungar]

Achja, und ich finde es seltsam, dass der Traceroute schon vor dem Draytek endet. Selbst wenn Du ihn mit der IP aus dem FritzBox-LAN (192.168.178.139) anpingst. Kann es sein, dass der DrayTek ICMP auf dem "WAN-Interface" unterdrückt? Bzw. hast Du eventuell sogar eine Firewall dort aktiv, die eingehenden Traffic blockt?

 

[FSC830]

Das ist doch ganz anders als beschrieben und in der ersten Netzwerk Skizze.
Da heißt es doch klar, "mit WLAN an der Fritz geht es, mit LAN an der Fritz nicht". Aber jetzt in Skizze 2 geht der LAN Anschluss zum Draytek!?

Oder ist das ein neuer Aufbau?

Gruss

 

[Zorlayan]

Weiß denn die FritzBox, dass das Netz 192.168.1.0/24 hinter dem Router 192.168.178.139 liegt?
Also hast Du das auch (statisch) in die Routing-Tabelle der FritzBox geschrieben?

Sorry wenn ich blöd frage, ich habe bisher im Thread nur "Routing-Tabellen" des Draytek gesehen, aber nie von der FritzBox.

Hallo, Ja er weiss, hier ist die Einstellung in FB

 

[Zorlayan]

Das ist doch ganz anders als beschrieben und in der ersten Netzwerk Skizze.
Da heißt es doch klar, "mit WLAN an der Fritz geht es, mit LAN an der Fritz nicht". Aber jetzt in Skizze 2 geht der LAN Anschluss zum Draytek!?

Oder ist das ein neuer Aufbau?

Gruss

Hallo, sorry die 2. Skizze ist aktuell.

 

[Barungar]

Dann bleibt noch die Frage, wenn es eine Route in der FritzBox zum Netz hinter dem DrayTek gibt... der DrayTek aber nicht auf Ping bzw. Traceroute antwortet, dass da eine Firewall aktiv ist und auch verhindert, dass dort Pakete hingeroutet werden.

 

[Zorlayan]

Dann bleibt noch die Frage, wenn es eine Route in der FritzBox zum Netz hinter dem DrayTek gibt... der DrayTek aber nicht auf Ping bzw. Traceroute antwortet, dass da eine Firewall aktiv ist und auch verhindert, dass dort Pakete hingeroutet werden.

Da ist nur ein Regel aktivier und ich habe trotzdem keine Verbindungsmöglichkeit auch wenn ich diesen Regel deaktiviere.

 

[Zorlayan]

hier sind die Einstellungen vom WAN Port auf dem DT: Vielleicht ist die Lösung hier versteckt?

 

[Zorlayan]

Ich kann die Verbindung vom DT angeschlossenen PCs ins FB-Netz herstellen aber vom FB-Netz ins DT-Netz geht nicht.
Obwohl in der FW nichts eingestellt bzw. blockiert ist.
Das nervt einfach

 

[Zorlayan]

hier sind die Tracert-Ergebnisse noch mal:

Tracert vom FB-Netz (192.168.178.20) zu DT-Netz (192.168.1.1):


Tracert vom DT-Netz (192.168.1.10) zu FB-Netz (192.168.178.20):

 

[Barungar]

Die Regeln 1 bis 7 sagen alle nur etwas über raus ins WAN aus.
Ich sehe keine einzige Regel für aus dem WAN rein.
Meine Vermutung (ich arbeite nicht mit DrayTek) wäre daher, dass das Gerät sämtlichen eingehenden Verkehr blockt!

 

[Zorlayan]

hier habe ich neue Regeln hinzugefügt WAN--> LAN und WAN--> Localhost aber trotzdem keine Verbindung:



Tracert vom FB-Netz zu DT-Netz nach der Änderungen:

 

[blurrrr]

Najo, immerhin reagiert der Draytek jetzt schon mal auf einen Ping. Ich vermute das Problem aber noch an einer ganz anderen Stelle... Ist schön, wenn Pakete rein dürfen, nur was passiert, wenn die Pakete wieder raus gehen?

Beispiel:
Quelle: 192.168.178.100
Ziel: 192.168.1.10
Antwort kommt von: 192.168.178.139

Von "hinter'm Draytek" log Dich bitte mal bei der Fritzbox ein und schau ins Ereignis-Protokoll der Fritzbox, von welcher IP der Login kam. Es "sollte" eine 192.168.1.x sein, ich vermute aber mal, dass es die WAN-IP des Draytek ist. Wenn dem so ist, kein NAT nutzen... Guckste mal hier: https://www.draytek.co.uk/support/guides/kb-drayos-iprouting bzw.:



EDIT: Kleiner Nachtrag noch als Erklärung:

Antwort kommt von: 192.168.178.139

Die Antwort wird von der Quelle instant weggeschmissen, weil die IP niemand gefragt hat (Person A fragt Person B, aber die (unangefragte) Antwort von Person C wird verworfen, es wird auf Antwort von Person B gewartet).

 

[Zorlayan]

in FB Log steht 192.168.178.139 (DT) für die Anmeldung:

 

[Barungar]

Das deutet darauf hin, dass der DrayTek - wie von @blurrrr vermutet - NAT betreibt. Das ist für Dein Vorhaben auch sehr schlecht.
Du solltest also das NAT abschalten.
Denn so lange der DrayTek ein NAT macht und damit das 192.168.1.0/24-Netz hinter seiner IP "verbirgt" wirst Du auch nicht dahinrouten können.

 

[Zorlayan]

so etwa?

 

[the other]

Moinsen,
jau, das schaut nach typischer Routerkaskade aus:
Fritzbox Netz1 kommt nicht ins draytek Netz 2 aber andersherum...also scheint dein draytek nicht im bridge Modus zu sein (was in dem screenshot in Post #28 auch zu sehen ist), sondern im vollen Routingmodus, macht also dann auch NAT. Ohne Portweiterleitung und geöffnete Firewall ist da dann Ende.
https://www.draytek.com/support/knowledge-base/5705
Da steht dann eben:
The Bridge function on Vigor165 provides a direct connection between the DSL connection and Ethernet, the connected device (firewall, router or PC) can log into the Internet (your ISP) directly without NAT and have full control over the Internet connection.

Wobei "Internet" dann eben dein "Fritzbox Net" ist...
Ob das nun an den Einstellungen hier oder dort zu regeln ist, sollte dem Handbuch zu entnehmen sein (Stichworte: IP Client Modus > so nennt avm das, oder auch NAT deaktivieren oder Anschluss an weiterem Router...es sollte da angegeben werden, ich nutze hier nämlich auch keine draytek Produkte).

 

[blurrrr]

so etwa?

Betreibe selbst kein Draytek, daher... keine Ahnung, vermutlich, im Zweifel einfach ausprobieren (und vorher ein Backup runterladen), aber ich kann Dir folgendes sagen:

In Deiner aktuellen Konstellation sollte auf dem Draytek "nirgendwo" NAT benutzt werden, lediglich reines Routing. NAT macht primär (und das auch nur bei IPv4) Sinn beim Übergang ins Internet (da man im Internet nichts mit Deinen privaten IP-Adressen anfangen kann).

Heisst: Alles was "intern" durch div. Netze läuft, sollte "ohne" NAT laufen, somit kann man auch einfach alles "direkt" ansprechen. Lediglich was Deine internen Netze verlässt wird durch den Router mit direktem Internetzugang (bei Dir die Fritzbox) entsprechend maskiert (private IP -> öffentliche WAN-IP vom Router).

 

[Zorlayan]

Bridge Modus aktiviert, der PC an DT angeschlossen war hat eine IP-Adresse von FB-DHCP bekommen, jetzt habe ich keine Verbindung zum 192.168.1.1 (Startseite von DT) erreichen.
Vielleicht habe ich zu viele Einstellungen (Firewall etc. ) geändert, jetzt habe ich den DT-Router resettet, werde Bridge Modus noch mal genauer anschauen und aktivieren, scheint die Lösung sein. (ich hoffe)

 

[blurrrr]

Lies mal hier: https://wiki.securepoint.de/UTM/NET/Bridge-Ethernet, eine Bridge ist da eher nicht das richtige. Das ist auch der Grund, warum Du hinter dem Draytek eine IP aus dem Fritzbox-Netz bekommst.

Eigentlich war schon alles richtig, nur das NAT sollte aus sein bzw. nicht genutzt werden und die Firewall-Regeln müssen entsprechend angepasst werden.

EDIT: Bei einer Bridge gibst Du auch die daran beteiligten Ports an. Es hätte vermutlich schon gereicht, einfach einen - nicht an der Bridge beteiligten - LAN-Port des Draytek zu nutzen, um wieder Zugriff auf das Interface zu bekommen.