Thread anzeigen
Posten Sie hier, wenn Sie den richtigen Forenbereich nicht finden können oder eine allgemeine Frage stellen möchten.
 zwei Router im Netz
|
|
| AlfredKopal |
Veröffentlicht am 05-08-2025 14:17
|
 0-10 Beiträge  » Hattingen Germany » Fritz!Box 7590 AX » Fritz!Box 7590 AX Beiträge: 4 Trat bei: 05.08.25 |
Hi Gemeinde, wegen des grottenschlechten WLAN Netzes der Fritz!Box 7590 AX habe ich mir einen Dreamrouter 7 und einen UDR6 AP zugelegt. Die WLAN Netzabdeckung ist mittlerweile super aber jetzt komme ich von aussen mit meinem Handy nicht mehr auf das LAN des Dreamrouters. Mein Setup sieht zur zeit so aus: Fritzbox ohne Mesh nur als Internet Router mit dem 192.168.47.0/24 Pihole mit 192.168.47.10 an der Fritzbox Wanport des Dreamrouters mit der 192.168.47.11 an der Fritzbox Der Dreamrouter spannt das 192.168.1.0/24 mit DHCP Meine Clients sind (fast) alle umgezogen in das Netz des Dreamrouters. Das Konstrukt funktioniert prima. Wenn ich jetzt aber via MyFritz App auf meinem S24 Ultra den VPN starte erreiche ich nichts mehr - weder im 47er Subnet noch im 1er. Ich habe eine statische Route eingerichtet um das 1er Netz zu erreichen: Subnet 192.168.1.0, Mask 255.255.255.0, Router 192.168.47.11 Funktioniert aber trotzdem nicht. Auch Pihole lässt sich nicht anpingen. Mein Handy hat die 192.168.47.129 erhalten - sollte daher doch wenigstens Pihole erreichen? Ich bin grad ein wenig lost :-( Danke für eure Zeit und Hilfe! |
|
|
|
| Fritzie |
Veröffentlicht am 06-08-2025 19:43
|
 Admin  » DE » FritzBox 7430 Beiträge: 773 Trat bei: 05.05.21 |
Das ist ein klassisches doppeltes NAT + Routing-Problem, bei dem mehrere Teilprobleme zusammenspielen: Dein Handy wählt sich via MyFRITZ!VPN ins FritzBox-Subnetz (192.168.47.0/24) ein – du bekommst z. B. 192.168.47.129. Aber: * Die meisten deiner Geräte (Clients, Dream Router, U6-APs) hängen im 192.168.1.0/24 hinter dem WAN-Port des Dreamrouters. * Diese Trennung wird durch NAT im Dreamrouter verursacht – und macht das interne Netz für Clients außerhalb unsichtbar, auch über statische Routen hinaus. 1. Warum funktioniert der Zugriff nicht auf 192.168.1.0/24? Weil der Dreamrouter NAT verwendet. Dein Setup ist aktuell: Internet --- FritzBox (192.168.47.1) | |-- PiHole (192.168.47.10) |-- Dreamrouter WAN (192.168.47.11) | |-- Clients mit 192.168.1.x Was passiert: * Wenn dein Handy per VPN die 192.168.1.100 erreichen will, weiß die FritzBox, wohin (statische Route → 192.168.47.11). * Aber: Der Dreamrouter „weiß“ nicht, dass er für 192.168.47.129 antworten darf, weil: * NAT aktiv ist * Er die 192.168.47.129 nicht kennt, und diese außerhalb seines WAN liegt * Er Pakete einfach verwirft → kein Rückweg → kein Ping, kein Zugriff 2. Warum funktioniert nicht mal der Zugriff auf 192.168.47.10 (PiHole)? Weil dein VPN-Client auf dem Handy in der FRITZ!Box standardmäßig KEIN Zugriff auf das lokale Netz erlaubt, wenn es sich um VPN-Clients aus dem Internet handelt. Typisch: * MyFRITZ!VPN (WireGuard-basiert) erlaubt nur Zugriff auf Internet & ggf. das VPN-Subnetz – nicht automatisch aufs LAN. * Oder: Die FritzBox routet, aber blockt Rückwegverkehr (Firewall/Policy Issue) * Außerdem: Viele Android-Versionen blockieren aus Sicherheitsgründen DNS-Antworten oder ICMP vom VPN Lösungsmöglichkeiten Lösung A: Dreamrouter in Bridge-Modus / Access Point-Modus Die sauberste Lösung, wenn du keine doppelten Netze brauchst: 1. Dreamrouter vom Router- in den Access-Point-Modus versetzen * WAN-Port ignorieren * Dreamrouter bekommt IP im 192.168.47.0/24-Netz von der FritzBox * Alle Clients ebenfalls im gleichen Netz 2. Vorteile: * Keine statischen Routen nötig * Keine NAT-Probleme * VPN funktioniert direkt * DNS (PiHole) erreichbar 3. Nachteile: * Kein separates Netz (aber du könntest VLANs aufbauen, wenn nötig) Lösung B: NAT im Dreamrouter deaktivieren (wenn Routing bleiben soll) Wenn du getrennte Subnetze behalten willst (z. B. für Isolation), brauchst du ein echtes Routing-Setup: 1. Im Dreamrouter: * NAT deaktivieren * Firewall-Regeln anpassen, damit Verkehr aus 192.168.47.0/24 zugelassen wird * Default-Gateway bleibt FritzBox (192.168.47.1) 2. Damit funktioniert die statische Route auf der FritzBox wirklich. 3. Problem: Viele Consumer-Router können kein NAT-freies Routing korrekt – Ubiquiti aber meist schon, aber du musst Firewall + Routing aktiv konfigurieren Lösung C: VPN direkt auf Dreamrouter einrichten Wenn dein Ziel ist, Geräte im 192.168.1.0/24 zu erreichen: * Richte den VPN-Server direkt auf dem Dreamrouter (UDM/UDR) ein * Unifi OS 3.x bietet WireGuard nativ oder über Pakete/Apps * Dann verbindet sich dein Handy direkt ins 192.168.1.0/24, und alles funktioniert In meiner Freizeit versuche ich so gut ich kann zu helfen. Geduld ist eine Tugend. 🙏
|
|
|
|
| AlfredKopal |
Veröffentlicht am 07-08-2025 11:57
|
|
0-10 Beiträge » Hattingen Germany » Fritz!Box 7590 AX » Fritz!Box 7590 AX Beiträge: 4 Trat bei: 05.08.25 |
Hi Fritzie - erst einmal danke für Deine ausführliche Antwort! Du schreibst: "2. Warum funktioniert nicht mal der Zugriff auf 192.168.47.10 (PiHole)? Weil dein VPN-Client auf dem Handy in der FRITZ!Box standardmäßig KEIN Zugriff auf das lokale Netz erlaubt, wenn es sich um VPN-Clients aus dem Internet handelt." ==> Bevor ich mein Netz gesplittet habe hatte ich alle Geräte - vor allem meine QNAP - per Fritz!VPN erreicht. Weiterhin ist mein DNS (Pihole) einwandfrei im Netz erreichbar - warum? Der Dreamrouter muss also das 47er Netz kennen und DNS Anfragen korrekterweise über den 192.168.47.11 WAN Port weiterleiten. Was ich noch tun könnte wäre das Natting auf dem Dreamrouter zu deaktivieren und eine statische Route zum 47-er Netz einrichten. Hier müsste ich noch Kontakt mit Ubiquiti aufnehmen um zu erfahren ob der Dreamrouter auch normalen Verkehr über den WAN Port zulässt. Warum ich das Ganze mache? Ich möchte meine SMART Home Geräte weiter an der Fritzbox betreiben und auch weiter mein Festnetz Telefon nutzen (ja ich habe noch eines und ich nutze es auch ab und zu :-) ) Wäre es eine Möglichkeit die Fritzbox als Client im 192.168.1.0/24 zu betreiben? Sie müsste aber weiterhin Smarthome / DECT bieten sowie MODEM für DSL spielen. Wenn ich den VPN auf dem Dreamrouter aufsetze - wie würde das laufen? Da müsste ich ein Port Forwarding auf den 192.158.47.11 auf der Fritzbox einrichten. Aber widerspricht dass nicht Deine Angabe? "Der Dreamrouter „weiß“ nicht, dass er für 192.168.47.129 antworten darf, weil: * NAT aktiv ist * Er die 192.168.47.129 nicht kennt, und diese außerhalb seines WAN liegt * Er Pakete einfach verwirft → kein Rückweg → kein Ping, kein Zugriff" Danke Dir für Deine Zeit! Bearbeitet von AlfredKopal am 07-08-2025 12:04 |
|
|
|
| Fritzie |
Veröffentlicht am 09-08-2025 21:28
|
|
Admin » DE » FritzBox 7430 Beiträge: 773 Trat bei: 05.05.21 |
Ich sehe, wo die Verwirrung herkommt — und du hast völlig recht, dass es vor der Netztrennung (alles im 192.168.47.0/24) mit Fritz!VPN problemlos ging. Das Problem liegt jetzt nicht an der Fritz!Box-VPN-Funktion selbst, sondern daran, wie sich dein Netz durch den DreamRouter mit aktiviertem NAT verändert hat. Warum es vorher ging Vorher: * Ein Subnetz (192.168.47.0/24) * VPN-Client (Handy) bekam direkt eine 192.168.47.x von der Fritz!Box. * Alle Geräte kannten diese Adressen, kein Routing nötig. Warum es jetzt hängt Jetzt: * Fritz!Box: 192.168.47.0/24 * DreamRouter: WAN 192.168.47.11 / LAN 192.168.1.0/24 * NAT aktiv → Der DreamRouter verbirgt seine Clients hinter 192.168.47.11. Problem: * VPN-Client bekommt z. B. 192.168.47.129 von der Fritz!Box. * Er sieht zwar das 192.168.47.0/24-Netz (inkl. Pi-hole), aber der DreamRouter weiß nichts von 192.168.47.129 und lässt keine Rückpakete ins VPN-Netz, weil sein WAN für ihn „Internet“ ist. * DNS-Anfragen funktionieren vermutlich, weil sie UDP sind und der VPN-Client auf deinem Handy diese Anfragen direkt an Pi-hole schickt, der im 47er Netz liegt → kein Hop durch den DreamRouter zurück nötig. NAT deaktivieren = „Router-Modus“ statt „Double NAT“ Wenn du NAT am DreamRouter deaktivierst und stattdessen eine statische Route in der Fritz!Box einrichtest, hättest du: * Fritz!Box weiß: 192.168.1.0/24 → Gateway 192.168.47.11 * DreamRouter weiß: 192.168.47.0/24 → WAN 192.168.47.11 * Beide Netze können sich gegenseitig erreichen * VPN-Clients im 47er Netz können auch das 1er Netz sehen Der Haken: Nicht jeder Ubiquiti-Router erlaubt, NAT am WAN einfach auszuschalten, ohne dass man ihn in einen reinen L3-Router-Modus versetzt. Das müsstest du bei Ubiquiti checken. Fritz!Box als „Client“ im 1er Netz? Theoretisch: ja. Praktisch: nein, wenn sie gleichzeitig DSL-Modem und Smarthome/DECT machen soll. * Die Fritz!Box muss dafür im IP-Client-Modus laufen → dann ist sie aber kein Router mehr und macht kein DSL-Modem. * Du könntest sie nur noch hinter einem Modem betreiben, nicht als Modem selbst. VPN auf dem DreamRouter statt auf der Fritz!Box Das wäre in deinem Fall wahrscheinlich die sauberste Lösung: * DreamRouter bekommt VPN-Server-Funktion * Handy verbindet sich direkt ins 192.168.1.0/24 * DreamRouter hat statische Route zum 192.168.47.0/24 über WAN → Fritz!Box * Damit erreichst du beide Netze ohne NAT-Probleme * Auf der Fritz!Box bräuchtest du nur Portweiterleitungen auf die VPN-Ports des DreamRouters (z. B. 51820 UDP für WireGuard oder 1194 UDP für OpenVPN). Das widerspricht nicht meiner Aussage – Portweiterleitung funktioniert hier, weil du gezielt die VPN-Pakete an den DreamRouter weiterleitest, und der danach intern korrekt routet. Mein Vorschlag für dich: 1. NAT am DreamRouter aus, statische Route in Fritz!Box einrichten → einfachste Lösung, wenn Ubiquiti das erlaubt. 2. Falls nicht möglich: VPN-Server auf den DreamRouter verlegen und Fritz!Box nur als Portweiterleiter nutzen. 3. So sparst du dir doppelte NAT-Probleme und hast wieder Zugriff auf 47er und 1er Netz. In meiner Freizeit versuche ich so gut ich kann zu helfen. Geduld ist eine Tugend. 🙏
|
|
|
|
| AlfredKopal |
Veröffentlicht am 12-08-2025 18:13
|
|
0-10 Beiträge » Hattingen Germany » Fritz!Box 7590 AX » Fritz!Box 7590 AX Beiträge: 4 Trat bei: 05.08.25 |
Danke für Deine ausführliche Hilfe - ich checke mal ob ich das Natting auf dem Dreamrouter deaktivieren kann. |
|
|
|
| AlfredKopal |
Veröffentlicht am 15-08-2025 18:21
|
|
0-10 Beiträge » Hattingen Germany » Fritz!Box 7590 AX » Fritz!Box 7590 AX Beiträge: 4 Trat bei: 05.08.25 |
Also das Natting auf dem Dreamrouter lässt sich einfach deaktivieren. Zur Zeit habe ichauf meinem PC die Verbindung über den Dreamrouter zur Oberfläche des Raspberry mit Pihole und seit heute auch mit Home Assistant. Sowohl die Oberfläche (grafisch und Putty) als auch die beiden Oberflächen der Apps funktionieren aus dem 1er Netz einwandfrei. Nur erreiche ich noch immer nichts vom 47er Netz aus was im 1er Netz liegt. Der WAN Port des Dreamrouters hat die 192.168.47.11 - das ist mein Interface für die Route auf der Fritzbox. Zum Test habe ich das WLAN der Fritzbox aktiviert und mein Notebook damit verbunden. (Damit schreibe ich auch gerade ;-) ) Es ist mir mit diesem aber nicht möglich die NAS mit der 192.168.1.2 zu erreichen. Ping geht auch nicht. Tracert findet schon das Interface aber dnn ist Sense: C:\Windows\System32>tracert 192.168.1.2 Routenverfolgung zu 192.168.1.2 über maximal 30 Hops 1 5 ms 2 ms 2 ms 192.168.47.1 2 5 ms 2 ms 3 ms udr7-telekom.kopal.local [192.168.47.11] 3 * * * Zeitüberschreitung der Anforderung. 4 * * * Zeitüberschreitung der Anforderung. 5 * * * Zeitüberschreitung der Anforderung. 6 Warum frage ich mich funktioniert es vom 1er netz ins 47er aber nicht umgekehrt? Müsste da noch was am Dreamrouter konfiguriert werden? DAnke DIr! |
|
|
|
Diese Website nutzt Affiliate-Links von Awin sowie Google-Anzeigen, um den Betrieb für Sie kostenlos zu halten.
Erfolgt über ein Affiliate-Link ein Kauf, erhalten wir eine Provision ohne Mehrkosten für Sie.
Bitte blockieren Sie keine Anzeigen und Cookies.
| |
| Zum Forum springen |
|
Verwende BBcode oder HTML um nach; 'zwei Router im Netz', zu verweisen!
| BBcode: | |
| HTML: |
Verwandte Themen
| Betreff | Fritz Forum | Letzter Beitrag | |
|---|---|---|---|
| automatische Steuerung elektrische Gurtwickler über zwei Bedingungen | FRITZ!DECT allgemein | : 2 | 15.06.25 |
| DECT Telefon an 2. Router anschliessen(gelöst) | FRITZ!Box 7590 DSL | : 6 | 20.05.25 |
| 7530 AX Nach Update auf 8.02 - Keine Verbindung über 5GHz Netz mehr möglich | FRITZ!Box Andere Typennummern | : 3 | 09.03.25 |
| FritzBox 6820 LTE Router und Congstar LTE Daten SIM | FRITZ!Box allgemein | : 3 | 22.10.24 |
| Hilfe für 7590 / Zweiter Router / IP-Client(gelöst) | FRITZ!Box 7590 DSL | : 3 | 02.10.24 |
Hilfe FRITZ!Box
Wählen Sie Ihr Modell aus und klicken Sie auf „öffnen“. Die richtige Hilfeseite wird geöffnet.
Hilfe FRITZ!Repeater
Wählen Sie Ihr Modell aus und klicken Sie auf „öffnen“. Die richtige Hilfeseite wird geöffnet.
Hilfe FRITZ!Powerline
Wählen Sie Ihr Modell aus und klicken Sie auf „öffnen“. Die richtige Hilfeseite wird geöffnet.