15
Aktivierung von Fritzbox Gastzugang macht Routing-Probleme bei VLANs!?
Hallo zusammen,
ich habe eine Frage zu einem Netzwerk-Setup mit VLANs. Im Prinzip ein Standardfall, so wie hier von aqui mehrfach beschrieben. Läuft auch soweit alles.
Hier mein Setting:
Folgende statische Routen sind eingerichtet:
Fritzbox
Netzwerk Subnetzmaske Gateway
192.168.11.0 255.255.255.0 192.168.3.2
192.168.12.0 255.255.255.0 192.168.3.2
Cisco SG350
Dest IP Prefix Prefix Length Route Type Next Hop Router IP Address Outgoing Interface
0.0.0.0 0 Remote 192.168.3.1 VLAN 1
Das Ganze funktioniert problemlos. Zunächst. Schalte ich an der Fritzbox das Gästenetzwerk ein, macht die Fritzbox für die VLANs 11 und 12 dicht: Ich komme von dort nicht mehr ins Internet. VLAN 11 und 12 kommen allerdings noch an die Fritzbox.
Das passiert aber nur, wenn ich mich neu mit einem Gerät in einem der beiden VLANs 11 oder 12 verbinde/anmelde. War ich bereits vorher dort mit einem Gerät im Internet aktiv, dann funktioniert die Verbindung eine Zeit lang. Es werden aber wohl keine neuen Routen etabliert.
- Traceroutes aus VLANs 11, 12 auf irgendeine externe Adresse gehen dann nur bis zur Fritzbox.
- DNS macht die Fritzbox und funktioniert für die VLANs 11 und 12 auch bei eingeschaltetem Gästenetzwerk.
Aus dem Transfer-VLAN 3 komme ich noch ins Internet, aus dem Gästenetzwerk auch, aus den beiden anderen nicht mehr. Schalte ich den Gastzugang wieder ab, läuft wieder alles, sofort. Dabei ist es gleich, ob ich an der Fritzbox den WLAN-Gastzugang verwende oder den Ethernet-"Port4"-Gastzugang oder beides.
Leider ist das Gästenetzwerk der Fritzbox so gut wie nicht konfigurierbar. Läuft unter 192.168.179.0 mit DHCP.
Hat irgendjemand das schon einmal gehabt? Oder vielleicht eine Idee, eine Lösung dazu?
Vielen Dank im Voraus!!!
PS: Ein Gästenetzwerk ab Cisco SG350 wäre auch denkbar, aber der Internet-Traffic müsste dann immer durchs Transfer-VLAN. Bin mir nicht sicher, ob das nicht ein Sicherheitsrisiko ist, da darüber zumindest die beiden Router direkt erreichbar wären.
ich habe eine Frage zu einem Netzwerk-Setup mit VLANs. Im Prinzip ein Standardfall, so wie hier von aqui mehrfach beschrieben. Läuft auch soweit alles.
Hier mein Setting:
Folgende statische Routen sind eingerichtet:
Fritzbox
Netzwerk Subnetzmaske Gateway
192.168.11.0 255.255.255.0 192.168.3.2
192.168.12.0 255.255.255.0 192.168.3.2
Cisco SG350
Dest IP Prefix Prefix Length Route Type Next Hop Router IP Address Outgoing Interface
0.0.0.0 0 Remote 192.168.3.1 VLAN 1
Das Ganze funktioniert problemlos. Zunächst. Schalte ich an der Fritzbox das Gästenetzwerk ein, macht die Fritzbox für die VLANs 11 und 12 dicht: Ich komme von dort nicht mehr ins Internet. VLAN 11 und 12 kommen allerdings noch an die Fritzbox.
Das passiert aber nur, wenn ich mich neu mit einem Gerät in einem der beiden VLANs 11 oder 12 verbinde/anmelde. War ich bereits vorher dort mit einem Gerät im Internet aktiv, dann funktioniert die Verbindung eine Zeit lang. Es werden aber wohl keine neuen Routen etabliert.
- Traceroutes aus VLANs 11, 12 auf irgendeine externe Adresse gehen dann nur bis zur Fritzbox.
- DNS macht die Fritzbox und funktioniert für die VLANs 11 und 12 auch bei eingeschaltetem Gästenetzwerk.
Aus dem Transfer-VLAN 3 komme ich noch ins Internet, aus dem Gästenetzwerk auch, aus den beiden anderen nicht mehr. Schalte ich den Gastzugang wieder ab, läuft wieder alles, sofort. Dabei ist es gleich, ob ich an der Fritzbox den WLAN-Gastzugang verwende oder den Ethernet-"Port4"-Gastzugang oder beides.
Leider ist das Gästenetzwerk der Fritzbox so gut wie nicht konfigurierbar. Läuft unter 192.168.179.0 mit DHCP.
Hat irgendjemand das schon einmal gehabt? Oder vielleicht eine Idee, eine Lösung dazu?
Vielen Dank im Voraus!!!
PS: Ein Gästenetzwerk ab Cisco SG350 wäre auch denkbar, aber der Internet-Traffic müsste dann immer durchs Transfer-VLAN. Bin mir nicht sicher, ob das nicht ein Sicherheitsrisiko ist, da darüber zumindest die beiden Router direkt erreichbar wären.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 491033
Url: https://administrator.de/contentid/491033
Printed on: April 20, 2024 at 13:04 o'clock
15 Comments
Latest comment
Moin,
An welchem Port der Fritzbox hängt denn die Cisco? Port 4 ist für "Gäste" reserviert.
lks
An welchem Port der Fritzbox hängt denn die Cisco? Port 4 ist für "Gäste" reserviert.
lks
Es werden aber wohl keine neuen Routen etabliert.
Nein, mit den Routen selber kann das nichts zu tun haben. Das siehst du ja an der Tatsache das die FritzBox IP dann trotzdem noch erreichbar ist. Das wäre technisch unmöglich wenn die Routen in irgendeiner Art und Weise deaktiviert sind.Es kann also nur etwas mit dem Bridging des Gastnetzes innerhalb der FB oder der NAT Translation zu tun haben.
Interessantes Phänomen und vermutlich ein Bug in der FritzBox Firmware ! Ist die auf dem aktuellsten Stand !
Wäre mal spannend ob andere das reproduzieren können...?!
Wenn das Gastnetz wirklich an Port 4 ist (wichtig !) und die Firmware akuell, dann hilft vermutlich nur die AVM Hotline.
Wenn du das Gästenetzwerk auf dem Cisco selber IP seitig terminierst musst du zwingend eine Access Liste dort einrichten.
Siehe dazu auch hier:
Lancom Muliti-WAN Router und Layer3 Cisco Switch - VLAN Fragen
Das Gastnetz der FB ist nicht wirklich sicher aber die ACL Konfig des Switches ist ein Mehraufwand in der Konfig.
So oder so ist das definitiv ein Bug in der FritzBox sollte das Verhalten so reproduzierbar sein auch bei anderen !
Hi,
ja, das war auch meine erste Idee. Ich hab da dreimal hingeschaut.
Die Cisco hängt nicht an Port 4...
ja, das war auch meine erste Idee. Ich hab da dreimal hingeschaut.
Die Cisco hängt nicht an Port 4...
Hi aqui,
ich hab mir so etwas auch schon gedacht.
Innerhalb der FB geht's nicht nach außen weiter, ausgenommen für das der FB bekannte LAN-seitige Netz (hier 192.168.3.0) sowie das Gastnetz. Vielleicht geht es doch noch nach außen weiter, aber die Rückantwort kommt nicht mehr durch oder bleibt hängen - habe ich noch nicht getestet. Traceroutes enden jedenfalls bei der FB.
Interessanterweise funktionieren bestehende Verbindungen weiter. Erst wenn ich einen Rechner aus dem Netz nehme (WLAN abmelden & anmelden oder Netzwerkstecker raus & rein etc) dann geht es nicht mehr.
Firmware ist auf dem aktuellen Stand, Gastnetz in an Port 4 oder übers WLAN. Entscheidend ist aber das Häkchen bei "Gastzugang für LAN 4 aktiv": Sobald ich das rausnehme funktioniert wieder alles.
So einfach und übersichtlich die aktuellen Fritzboxen sind, im Detail sind einige Dinge nicht so gut gelungen. Das ganze Gastnetzwerk-Management ist etwas verwirrend. Die Regeln im WLAN->Gastzugang festgelegt und gelten dann auch für das Gast-LAN, das aber im Heimnetz eingeschaltet wird. Unter Filter können die Regeln für den Gastzugang wieder geändert werden und gelten dann für WLAN und LAN. Könnte mir auch vorstellen, dass bei mir in der FB (Filter?) etwas so konfiguriert ist, das dass dieses Problem auslöst und der Zusammenhang erstmal nicht ersichtlich ist.
Vielleicht hat noch jemand anderes das selbe Problem? Eine Fritzbox mit VLANs dahinter sowie aktiviertem Gastzugang dürfte nicht so selten sein.
ich hab mir so etwas auch schon gedacht.
Innerhalb der FB geht's nicht nach außen weiter, ausgenommen für das der FB bekannte LAN-seitige Netz (hier 192.168.3.0) sowie das Gastnetz. Vielleicht geht es doch noch nach außen weiter, aber die Rückantwort kommt nicht mehr durch oder bleibt hängen - habe ich noch nicht getestet. Traceroutes enden jedenfalls bei der FB.
Interessanterweise funktionieren bestehende Verbindungen weiter. Erst wenn ich einen Rechner aus dem Netz nehme (WLAN abmelden & anmelden oder Netzwerkstecker raus & rein etc) dann geht es nicht mehr.
Firmware ist auf dem aktuellen Stand, Gastnetz in an Port 4 oder übers WLAN. Entscheidend ist aber das Häkchen bei "Gastzugang für LAN 4 aktiv": Sobald ich das rausnehme funktioniert wieder alles.
So einfach und übersichtlich die aktuellen Fritzboxen sind, im Detail sind einige Dinge nicht so gut gelungen. Das ganze Gastnetzwerk-Management ist etwas verwirrend. Die Regeln im WLAN->Gastzugang festgelegt und gelten dann auch für das Gast-LAN, das aber im Heimnetz eingeschaltet wird. Unter Filter können die Regeln für den Gastzugang wieder geändert werden und gelten dann für WLAN und LAN. Könnte mir auch vorstellen, dass bei mir in der FB (Filter?) etwas so konfiguriert ist, das dass dieses Problem auslöst und der Zusammenhang erstmal nicht ersichtlich ist.
Vielleicht hat noch jemand anderes das selbe Problem? Eine Fritzbox mit VLANs dahinter sowie aktiviertem Gastzugang dürfte nicht so selten sein.
Interessanterweise funktionieren bestehende Verbindungen weiter.
Das ist normal, denn der TCP Session Cache rennt solange wie die Session aktiv ist. Bei Inaktivität rennt sie in einen Timeout und wird nicht mehr aufgebaut.Spricht für einen Fehler in der FB, das sie die gerouteten Netze dann ignoriert und rein nur die lokalen berücksichtigt wenn das Gastnetz aktiv ist.
Das ist auch irgendwie verständlich denn de FB kann nicht mehr sicher erkennen was Gast ist und was nicht. Das kann sie ohne eine etwas intelligentere Firmware nur anhand der an ihr direkt angeschlossenen IP Netze.
Könnte also sein das das System bedingt ist. Da solltest du mal ein Mail an die AVM Hotline schicken mit deiner Skizze oben.
Die Antwort von denen dürfte höchst interesant sein !!
Moin,
tagged denn die Cisco den Port zu Cisco oder ist der untagged? Ich könnte mir vorstellen, daß die Fritzbox das nicht mag, wenn da tagged Pakete ankommen.
Der Port zur Fritzbox sollte auf jeden Fall untagged und in der Fritzbox die statischen Routen zur Cisco eingetragen.
lks
tagged denn die Cisco den Port zu Cisco oder ist der untagged? Ich könnte mir vorstellen, daß die Fritzbox das nicht mag, wenn da tagged Pakete ankommen.
Der Port zur Fritzbox sollte auf jeden Fall untagged und in der Fritzbox die statischen Routen zur Cisco eingetragen.
lks
@lks
Denke mal du meinst den Port im Transfernetz vom Cisco Switch zur FritzBox, oder ??
Den kann und darf er gar nicht taggen in egal welcher Art und Weise denn wie jeder weiss kann die FritzBox kein irgendwie geartetes 802.1q Tagging !! Soclhe Pakete schmeisst die FB sofort weg, sprich sie dropt oder ignoriert diese. Sie kann ja nur untagged only, sonst nix da nicht VLAN fähig.
Versteht man den TO richtig ist das Gastnetz rein nur auf der FB im Moment. Er testet also direkt an der FB.
tagged denn die Cisco den Port zu Cisco oder ist der untagged?
Bahnhof, Ägypten ???Denke mal du meinst den Port im Transfernetz vom Cisco Switch zur FritzBox, oder ??
Den kann und darf er gar nicht taggen in egal welcher Art und Weise denn wie jeder weiss kann die FritzBox kein irgendwie geartetes 802.1q Tagging !! Soclhe Pakete schmeisst die FB sofort weg, sprich sie dropt oder ignoriert diese. Sie kann ja nur untagged only, sonst nix da nicht VLAN fähig.
Versteht man den TO richtig ist das Gastnetz rein nur auf der FB im Moment. Er testet also direkt an der FB.
Zitat von @aqui:
@lks
Denke mal du meinst den Port im Transfernetz vom Cisco Switch zur FritzBox, oder ??
@lks
tagged denn die Cisco den Port zu Cisco oder ist der untagged?
Bahnhof, Ägypten ???Denke mal du meinst den Port im Transfernetz vom Cisco Switch zur FritzBox, oder ??
Jupp.
Den kann und darf er gar nicht taggen in egal welcher Art und Weise denn wie jeder weiss kann die FritzBox kein irgendwie geartetes 802.1q Tagging !! Soclhe Pakete schmeisst die FB sofort weg, sprich sie dropt oder ignoriert diese. Sie kann ja nur untagged only, sonst nix da nicht VLAN fähig.
Eben. Deswegen meine Frage, weil er sagte, sobald er die anderen VLANs aktiviert, funktioniert es nicht mehr. Nicht da da aus versehen, die Pakte getagged aus der Cisco da rausgehen.
Versteht man den TO richtig ist das Gastnetz rein nur auf der FB im Moment. Er testet also direkt an der FB.
Ja, aber die Probleme sind nur dann, wenn er an der Cisco VLANs aktiviert. was ja unerhelblich sein sollte, solange da keine tagged Pakete aus der Cisco rauskommen.
lks
weil er sagte, sobald er die anderen VLANs aktiviert, funktioniert es nicht mehr.
Hast du vermutlich falsch verstanden.Die VLANs sind immer aktiv ! Ein Ping aus denen klappt immer auf die FB IP.
Erst wenn der Gastzugang aktiv ist klappt kein Forwarding mehr aus diesen gerouteten VLANs ins Internet. Ping der FB IP aber weiterhin und Forwarding ins Internet ausschliesslich aus dem direkten LAN Netz der FB und dem Gastnetz der FB.
die Probleme sind nur dann, wenn er an der Cisco VLANs aktiviert
M.E. nein. Ich verstehe den TO so das diese immer aktiv sind. Wie sollte man sie auch deaktivieren geht ja physisch auch gar nicht.solange da keine tagged Pakete aus der Cisco rauskommen.
Der Cisco tagged ja nirgendwo. An allen Ports hängen einzig nur untagged Endgeräte wenn man den TO richtig versteht. Es ist ja auch sein einziger Switch wenn man es recht versteht.
Hi ihr beiden,
von der Cisco gehen keine getaggten Pakete an die Fritzbox raus. Klar, das hätte eine Fehlerquelle sein können.
Das Problem tritt nicht auf, wenn ich die anderen VLANs aktiviere, sondern wenn ich den Gastzugang an der FB anschalte. Dann kommen VLAN 11 und 12 nicht mehr durch die FB nach außen. Schalte ich den Gastzugang wieder aus, funktioniert alles wieder wie es soll. Hänge ich einen Rechner ins Transfernetz, dann komme ich immer raus - auch bei eingeschaltetem Gastnetz.
Etwas in der Art vermute ich auch. Ich frag mal bei AVM nach und lass euch wissen, was die dazu sagen.
von der Cisco gehen keine getaggten Pakete an die Fritzbox raus. Klar, das hätte eine Fehlerquelle sein können.
Eben. Deswegen meine Frage, weil er sagte, sobald er die anderen VLANs aktiviert, funktioniert es nicht mehr. Nicht da da aus versehen, die Pakte getagged aus der Cisco da rausgehen.
Das Problem tritt nicht auf, wenn ich die anderen VLANs aktiviere, sondern wenn ich den Gastzugang an der FB anschalte. Dann kommen VLAN 11 und 12 nicht mehr durch die FB nach außen. Schalte ich den Gastzugang wieder aus, funktioniert alles wieder wie es soll. Hänge ich einen Rechner ins Transfernetz, dann komme ich immer raus - auch bei eingeschaltetem Gastnetz.
Spricht für einen Fehler in der FB, das sie die gerouteten Netze dann ignoriert und rein nur die lokalen berücksichtigt wenn das Gastnetz aktiv ist.
Das ist auch irgendwie verständlich denn de FB kann nicht mehr sicher erkennen was Gast ist und was nicht. Das kann sie ohne eine etwas intelligentere Firmware nur anhand der an ihr direkt angeschlossenen IP Netze.
Das ist auch irgendwie verständlich denn de FB kann nicht mehr sicher erkennen was Gast ist und was nicht. Das kann sie ohne eine etwas intelligentere Firmware nur anhand der an ihr direkt angeschlossenen IP Netze.
Etwas in der Art vermute ich auch. Ich frag mal bei AVM nach und lass euch wissen, was die dazu sagen.
o.k. Da habe ich dann etwas durcheinandergebracht.
Generell ist aber die Gastnetzfunktion der Fritten sehr bescheiden. Bei meiner privaten Fritte funktioniert z.B. WLAN nicht mehr, sobald das Gastnetz aktiv ist. Der Fehler zieht sich aber schon seit der 7270 über 7390 und 7490 bis zu der 7590 durch. Deswegen sind die Gäste über einen DDwrt-TP-Link angebunden. Ich empfehle Dir daher, das Gastnetz über eine andere Lösing anzubinden.
lks
Generell ist aber die Gastnetzfunktion der Fritten sehr bescheiden. Bei meiner privaten Fritte funktioniert z.B. WLAN nicht mehr, sobald das Gastnetz aktiv ist. Der Fehler zieht sich aber schon seit der 7270 über 7390 und 7490 bis zu der 7590 durch. Deswegen sind die Gäste über einen DDwrt-TP-Link angebunden. Ich empfehle Dir daher, das Gastnetz über eine andere Lösing anzubinden.
lks
Hi lks,
indirekt hat mir der Fehler mit dem WLAN bei Dir geholfen. Ja, die FBs sind bei der Gastnetzfunktion bescheiden und etwas wirr. Ich könnte mir vorstellen, dass dieser Bereich nicht besonders gepflegt wird - im Vergleich beispielsweise zum Mesh. Dass bei Dir das WLAN ausfällt, wenn das Gastnetz aktiv ist, klingt nach einer Fehlkonfiguration innerhalb der FB. Das ist ja weder gewünscht, noch tritt das vermutlich häufig bei anderen auf.
Ich hab dann mal bei mir einen kompletten Reset gemacht und ein älteres Backup eingespielt. Dann noch die aktuellen Änderungen eingetragen und ... der Fehler ist weg! Gelöst!
Wäre jetzt noch spannend, ob das auch mit dem aktuellen Backup funktioniert hätte. Mag ich aber nicht nochmal testen, solange es jetzt läuft. Ich hab in den letzten Tagen recht viel rumkonfiguriert, irgendwo ist die FB da durcheinander gekommen. Hab mir eben mal ein unverschlüsseltes Backup erstellt und kurz draufgeschaut: Da stehen auch alte Sachen drin, alte WLAN Konfigs, die nicht mehr gültig sind. Ein DSL-Provider, den ich nie eingestellt habe. Ein Problem ist das wahrscheinlich nicht, aber es zeigt, dass da nicht mit aller Gründlichkeit aufgeräumt wird. Fazit: FB sehr benutzerfreundlich, für den Consumer sicher absolut OK und einfacher zu verwalten als so manch anderer Router. Aber etwas unsicher, wenn man an die Grenzen der Kiste geht.
Danke an euch beide für die Hilfe.
@Lochkartenstanzer: Vielleicht wäre das auch bei Dir eine Option: Kompletter Reset und dann alles neu einstellen.
indirekt hat mir der Fehler mit dem WLAN bei Dir geholfen. Ja, die FBs sind bei der Gastnetzfunktion bescheiden und etwas wirr. Ich könnte mir vorstellen, dass dieser Bereich nicht besonders gepflegt wird - im Vergleich beispielsweise zum Mesh. Dass bei Dir das WLAN ausfällt, wenn das Gastnetz aktiv ist, klingt nach einer Fehlkonfiguration innerhalb der FB. Das ist ja weder gewünscht, noch tritt das vermutlich häufig bei anderen auf.
Ich hab dann mal bei mir einen kompletten Reset gemacht und ein älteres Backup eingespielt. Dann noch die aktuellen Änderungen eingetragen und ... der Fehler ist weg! Gelöst!
Wäre jetzt noch spannend, ob das auch mit dem aktuellen Backup funktioniert hätte. Mag ich aber nicht nochmal testen, solange es jetzt läuft. Ich hab in den letzten Tagen recht viel rumkonfiguriert, irgendwo ist die FB da durcheinander gekommen. Hab mir eben mal ein unverschlüsseltes Backup erstellt und kurz draufgeschaut: Da stehen auch alte Sachen drin, alte WLAN Konfigs, die nicht mehr gültig sind. Ein DSL-Provider, den ich nie eingestellt habe. Ein Problem ist das wahrscheinlich nicht, aber es zeigt, dass da nicht mit aller Gründlichkeit aufgeräumt wird. Fazit: FB sehr benutzerfreundlich, für den Consumer sicher absolut OK und einfacher zu verwalten als so manch anderer Router. Aber etwas unsicher, wenn man an die Grenzen der Kiste geht.
Danke an euch beide für die Hilfe.
@Lochkartenstanzer: Vielleicht wäre das auch bei Dir eine Option: Kompletter Reset und dann alles neu einstellen.
Zitat von @signalgrau:
@Lochkartenstanzer: Vielleicht wäre das auch bei Dir eine Option: Kompletter Reset und dann alles neu einstellen.
@Lochkartenstanzer: Vielleicht wäre das auch bei Dir eine Option: Kompletter Reset und dann alles neu einstellen.
Was glaubst Du, was ich bei jedem Generationenwechsel gemacht habe. (von 7270 über 7390 und 7490 zu 7590). Es muß etwas damit zu tun haben daß.
A: Die SSIDs für 2,4GHz und 5GHz unterschiedliche sind und
B: Das Telefonbuch "riesig" ist.
Allerdings konnte ich da nie "den Finger drauflegen".
Bei einer frisch aufgesetzten Fritzbox (nicht werksreset, sondern auch Firmware-Reset) geht es eine Zeitlang gut. Irgendwann, im Laufe der Wochen, tritt dieser dann auf und bleibt.
Eigentlich wollte ich die private Fritzbox schon lange ersetzen, aber wie heißt es so schön: ein Schuster hat selbst die schlechtesten Schuhe. Außerdem kommen die Kinder damit besser klar.
lks
PS. Siehe auch meinen Tipp "Fritzbox: WLAN-Modul konnte nicht korrekt initialisiert werden. Bitte FRITZ!Box neu starten! (0200)" hier im Forum.
Bei einer frisch aufgesetzten Fritzbox (nicht werksreset, sondern auch Firmware-Reset) geht es eine Zeitlang gut. Irgendwann, im Laufe der Wochen, tritt dieser dann auf und bleibt.
Ich hoffe mal, dass das bei mir nicht auch passiert. Auszuschließen ist das absolut nicht. Sollte es nochmal auftreten, werd ich mir eine andere Lösung einfallen lassen.
Eigentlich wollte ich die private Fritzbox schon lange ersetzen, aber wie heißt es so schön: ein Schuster hat selbst die schlechtesten Schuhe.
Kenne ich
Allerdings so schlecht sind die FBs auch nicht. Fokus liegt halt auf einfacher Bedienung und nettem UI. Nicht jeder mag oder kann auf der Konsole arbeiten.
Wer mehr will im UI nimmt Mikrotiks
