2x Router, 1x NAT

[smutbert]

Hallo allerseits,

es geht nicht direkt um Debian, aber unter Debian hätte ich verständnismäßig dieselben Schwierigkeiten, daher traue ich mich das Thema hier zu erstellen. Was Netzwerke angeht fühle ich immer noch als noob und mein aktuelles Scheitern am Konfigurieren eines alten Routers (OpenWRT) als Bridge macht das nicht besser. Die Situation ist folgende:

Ich habe einen neuen Router, der ein WLAN zur Verfügung stellt und an dem ein paar Geräte hängen (PC, Drucker,...) so weit nichts besonderes und das funktioniert auch.
Die Verbindung zum Internet soll der alte OpenWRT-Router (ein D-Link DWR 921 über LTE) herstellen, der am WAN-Port des neuen Routers hängt. Solange der alte Router in seiner Defaultkonfiguration NAT macht, ich also insgesamt mit Double NAT unterwegs bin funktioniert auch noch alles wie erwartet.

Jetzt versuche ich den OpenWRT-Router so zu konfigurieren, dass er als Bridge agiert, etwa so



Von meinem ersten Versuch reden wir besser nicht, beim zweiten weiß ich, dass die Bridge offensichtlich nicht funktioniert hat und ich mich aus dem Router ausgesperrt habe und deshalb keine Anhaltspunkte hatte woran genau es gescheitert ist.

ich habe

1. eine bridge (br-wwan) erstellt,
2. ein Ethernet-Interface und das wwan-Interface (wwan0, das sollte das Mobilfunkmodem sein) der bridge zugeordnet,
3. eine firewall-Zone namens bridge mit diesen Interfaces erstellt in der alles erlaubt ist (ist das bei einer bridge überhaupt notwendig?)

Habe ich da bereits einen prinzipiellen Denkfehler eingebaut oder machen mir da eventuell irgendwelche Mobilfunk-Eigenheiten einen Strich durch die Rechnung?

Eine Idee wie ich Zugriff auf den Router behalte ohne der Bridge in die Quere zu kommen?
(Kann/darf/soll ich dem Ethernet-Interface eine statische IP-Adresse verpassen obwohl es Teil der bridge sein soll? Oder muss ich dazu ein anderes Netzwerk-Interface verwenden?)

[cosinus]

Also zwei klassische DSL-Router in einemn Netzwerk ist immer ein schönes Fehlerpotential, hier mal mein Brainstorming:

- Bridge/alter Router muss ganz normal angeschlossen sein und die IP-Adressen verteilen
- neuer Router: unbedingt DHCP und Router Advertisement ausschalten und diesen über einen normalen LAN-Port an einem LAN-Port des alten Routers anschließen - der neue Router wird also zu einer Art Switch degradiert und man tut so als hätte er nur LAN-Ports aber keinen WAN
- als GW bekommen alle die IP des alten Routers

Wozu brauchst du da ein weiteres NAT nach dem NAT?

[smutbert]

Das doppelte NAT will ich ja genau loswerden (aber es funktioniert problemlos). DSL ist übrigens nicht im Spiel.

- neuer Router: unbedingt DHCP und Router Advertisement ausschalten und diesen über einen normalen LAN-Port an einem LAN-Port des alten Routers anschließen - der neue Router wird also zu einer Art Switch degradiert und man tut so als hätte er nur LAN-Ports aber keinen WAN

Das möchte ich aus zwei Gründen nicht.

• Der alte Router ist nicht sehr leistungsfähig und
• ich möchte das lokale Netz auch nutzen können, wenn der alte Router gar nicht eingeschaltet ist.

Deshalb versuche es eben andersherum: den alten Router zum Modem bzw. zur Bridge degradieren und den neuen ganz normal mit NAT, DHCP,... zu nutzen.

[cosinus]

Achso, dann hab ich dich falsch verstanden. Dass du 2x DHCP/RA nicht im Netz haben solltest wollte ich nur erwähnt haben.
Ich überleg mir was Neues bis Sonntag, GN8

[Faber38]

Guten Morgen, zu deiner Lösung wäre ein seperater DHCP und DNS-server die saubere Lösung. Du kannst beide Router ohne DHCP laufen lassen und zb. eBlocker als DHCP und DNS-server laufen lassen... benennen wir mal Router1 als R1 den anderen als R2 und dann den Eblocker als eB. Nun kannst du an einem R2 Wlan einschalten. DHCP übernimmt der eB, und verteilt die IP-adressen und DNS verweist er auf sich selbst und den Gateway setzt er auf den R1 der am internet hängt.
Im eB ist natürlich ein ext. DNS eingestellt fürs internet. zb. dnsforge.de.

Ich habe es bei mir ähnlich.R1 ist Glasfaser,R2 DSL mit Telefonie und der eB ist der DHCP. Musste es so machen da die Rufnummer übernahme noch folgt.

[uname]

ich möchte das lokale Netz auch nutzen können, wenn der alte Router gar nicht eingeschaltet ist.

Ich denke dann muss der normale Router unbedingt Router sein.

Der alte Router ist nicht sehr leistungsfähig

Wirklich? Und ob Bridging vs. Routing wirklich einen Unterschied bringt?

Versionen im Internet können 300 MBit/s. Was kann deiner? Wie schnell ist dein LTE?

Aus Stromkostengründen ist evtl. die Anschaffung neuer Hardware sinnvoll. Am besten nur ein Gerät. Bzgl. Sicherheit ist es, vor allen wenn du sowieso Bridging verwenden willst, vollkommen ausreichend.

Am Rande:
Ich habe den Nano-Router TL-WR802N. Löst dein Problem nicht, kann aber WISP, was für dich aber auch nicht relevant ist. Damit kann man etwas über Netzwerke lernen. Eine WLAN-Verlängerung auf Basis von Routing und NAT. Dort interessant, wo Internet per WLAN bereitgestellt wird wie z.B. in Studentenwohnheimen. Man kann sich dann aus dem WLAN mit WISP sein eigenes LAN/WLAN hinter NAT bauen. Kann interessant sein, wenn aus Sicherheitsgründen im Ursprungs-WLAN alle Gerâte voneinander isoliert sind. Wer will schon nur über Internet und Cloud-Dienste kommunizieren.

[smutbert]

Dass du 2x DHCP/RA nicht im Netz haben solltest wollte ich nur erwähnt haben.

ich überlege fast schon fieberhaft ob ich beim Umkonfigurieren auf die Bridge da etwas übersehen haben könnte.

Versionen im Internet können 300 MBit/s. Was kann deiner? Wie schnell ist dein LTE?

Das WLAN des alten Router nominell ebenfalls 300 MBit/s (selbst innerhalb eines Raumes sind da aber immer nur deutlich unter 10 MB/s übrig geblieben).
Das LTE-Modem des Routers kann 150 Mbit/s und erreicht das auch tatsächlich.

Wirklich? Und ob Bridging vs. Routing wirklich einen Unterschied bringt?

Wenn es nur alleine Bridging oder Routing ginge wohl nicht, aber mit DHCP und DNS mit einigen Blacklists haben schon genügt, dass der Router überfordert war.
Nur ein Gerät wäre super, aber damit werde ich wohl nicht glücklich, denn wenn ich den Mobilfunkrouter dort aufstelle wo er einen guten Empfang hat, bekomme ich dort, wo ich es gerne hätte, kein brauchbares WLAN-Signal.

und weil ich mit dem Mobilfunkteil eigentlich recht zufrieden bin, habe ich mir eben zusätzlich einen neuen Router besorgt.
(Zwischendurch hatte ich auch einen PC mit Debian als Accesspoint, aber das war auch nicht der Weisheit letzter Schluss.)

Guten Morgen, zu deiner Lösung wäre ein seperater DHCP und DNS-server die saubere Lösung. Du kannst beide Router ohne DHCP laufen lassen und zb. eBlocker als DHCP und DNS-server laufen lassen... benennen wir mal Router1 als R1 den anderen als R2 und dann den Eblocker als eB.

Das klingt gar nicht schlecht, wobei ich da bei mir jetzt keinen Grund sehe zusätzlich zu R1 und R2 noch ein eB hinzuzufügen, DHCP und DNS kann ja ruhig mein neuer Router übernehmen.
Der entscheidende Unterschied zu dem was ich versuche, ist wohl, dass nicht ein Router am WAN-Port des nächsten hängt sondern beide gemeinsam im lokalen Netz.


Darf ich euren Antworten entnehmen, dass ihr von meiner ursprünglichen Idee den alten Router als Bridge zu betreiben nicht so viel haltet? ☺

[cosinus]

Darf ich euren Antworten entnehmen, dass ihr von meiner ursprünglichen Idee den alten Router als Bridge zu betreiben nicht so viel haltet? ☺

Ich bin allgemein immer skeptisch wenn es darum geht zwei Router in einem Netz zu betreiben. Man muss da immer auf die verschiedenen Netzkonfigs achten und halt eben aufpassen, dass wenn überaupt nur einer den DHCP-Server spielt.
Was funktioniert denn bei dir nicht wenn du nur den neuen Router allein nutzt ohne den alten Router als Bridge? Kann der neue irgendwas nicht was du brauchst?

[smutbert]

Ihm fehlt das Mobilfunkmodem (→ kein Internet → kein Debianforum → ☹). Wie gesagt muss der WLAN-AP sinnvollerweise eh wo anders stehen als das Mobilfunkmodem, deshalb war das beim Kauf des neuen Routers auch kein Entscheidungskriterium.

[cosinus]

Ihm fehlt das Mobilfunkmodem (→ kein Internet → kein Debianforum → ☹)

Ok, ich seh schon, ich muss mir deine Beiträge nochmal genauer durchlesen.
Hatte heute leider wenig Zeit. Vllt komm ich heute Abend nochmal dazu...bin auch grad dabei für unsere Server im Büro Updates einzuspielen.

[smutbert]

Jetzt habe ich gerade etwas gefunden, was das Scheitern meiner Bridge-Versuche erklären dürfte.

The setup in the form shown here (OpenWRT before pfSense) is of course a double NAT scenario. This is not so easy to avoid when using modem cards, however. […]

Bei den Mobilfunkmodems lässt sich offensichtlich der DHCP-Client gar nicht deaktivieren [1].

[1] https://www.reddit.com/r/openwrt/commen ... alfbridge/

[cosinus]

Hab ich das richtig verstanden? Du brauchst den zweiten Router nur wegen WLAN weil der leistungsfähiger ist?
Wie auch immer, der alte wird so oder so ein bzw. das Gateway sein, denn nur er hat die Internetverbindung über LTE.

Ich würde das wirklich so machen:

• alten Router als Gateway einsetzen so wie du das jetzt auch vorhast
• irgendeinen LAN-Port neuen Router mit irgendeinem LAN-Port am alten Router anschließen (wer DHCP/RA macht ist dann egal, es darf nur einer sein; wenn du den alten Router mit dem WAN-Port des neuen verbindest hast du wieder doppeltes NAT! und das willst du doch loswerden )
• der interne Verkehr wird komplett über den neuen Router abgewickelt weil die Rechner ja alle an dem anschlossen bzw. über sein WLAN verbunden sind
• als Gateway trägst du auf allen Clients die IPv4-Adresse des neuen Routers ein - problematisch könnte IPv6 sein, weil Router sich gerne immer die fe80::1 geben
• der neue Router muss nicht mal ins Internet können, wichtig ist ja nur, dass die Clients wissen welche IP-Adresse das richtige Gateway hat (alter Router)

Oder hab ich dich immer noch nicht richtig verstanden um was es dir wirklich geht?

[smutbert]

Das ist dann ja (bis auf die Kleinigkeit wer DHCP und DNS übernimmt) auch das Setup, das Faber38 vorgeschlagen hat. Nachdem ich mit etwas Suchen sogar bei beiden Routern die Möglichkeit gefunden habe, ipv6 zu konfigurieren inklusive der Option das RA zu deaktivieren, steht einem Versuch nichts mehr im Wege.

Danke an alle.

[cosinus]

ipv6 zu konfigurieren inklusive der Option das RA zu deaktivieren, steht einem Versuch nichts mehr im Wege.

Es würde ja reichen, IPv6 auf dem neuen Router zu deaktivieren, DHCP/RA macht der neue Router. Der alte Router muss ja nur intern verfügbar sein und das WLAN aussstrahlen. Im Endeffekt ist er dann nur ein Switch und AccessPoint, aber mehr muss er ja auch nicht können/tun für das was du da vorhast

[smutbert]

Da fällt mir noch etwas ein:

Sollte ich auf die Idee kommen auf dem neuen Router einen vpn-server (wireguard) nutzen zu wollen, kann ich dann damit rechnen, dass das in der Konfiguration funktioniert (vorausgesetzt natürlich ich richte die entsprechenden Portforwarsings am alten Router ein) oder bieten Router solche Dienste das typischerweise nur am WAN-Port an?

[cosinus]

Kann ich so nicht viel zu sagen, wireguard nutze ich auch, aber mehr als Testballon um zu sehen, ob es eine Alternative zu unserem SSL-VPN ist für Homeoffice ist. Und den WG-Tunnel baue ich manuell zu Hause auf meinem Linux-Client auf. Der WG-Server im Büro ist eine VM mit Debian. Ob du das so ähnlich machen kannst, hängt davon ab wie du deinen neuen Router konfigurieren kannst. Im alten Router, dem GW, musst du dann ja ein Portforwarding einrichten.