Wechsel zu Swisscom (Internet-Box 4) - Mesh-Netzwerk

michiBuch

Hallo Zusammen

Ich wechsle gerade von Sunrise (vormals UPC) zu Swisscom. Bei Sunrise hatte ich die Internetbox als Bridge betrieben. Angeschlossen ist ein Synology RT2600ac, sowie im Haus verteilt 2 MR2200ac. Läuft als Mesh-Netzwerk.

Die Installation bisher:

Keller

Eingang Internetleitung Sunrise und (jetzt) Swisscom im Keller. Dort steht ein Rack mit einer Multimediakabel-Verteilung. RT2600ac ist hier und bedient das Verteilsystem der Multimediaverkabelung.
Im Keller ist auch das Gamezimmer der Jungs eingerichtet. Die sind per Kabel mit dem RT2600ac verbunden und extra ein VLAN eingerichtet, um sie mit ihren Gamer-PCs vom Rest des Hausnetzwerkes zu trennen.

Hier ist ein MR2200ac über Kabel 1Gbit angebunden und im Mesh integriert. 1 Router für TV per Kabel durch Multimediakabel direkt mit Router im Keller. Rest der Clients im WLAN

Hier ist auch ein MR2200ac über Kabel 1Gibit angebunden und bedient einen Switch (HomeOffice Infrastruktur) und WLAN Clients

Jetzt habe ich gelesen, dass man die Internet-Box 4 von Swisscom nicht in einen Bridge Modus setzen kann. Und natürlich würde ich gerne im Haus die WLAN-Clients durchgängig bedienen können, ohne von Stockwerk zu Stockwerk das WLAN zu wechseln. Zudem gefällt mir das Konzept der Synology-Router ganz gut (Sicherheit/VLAN/Guest-WLAN). Das würde ich eigentlich gerne behalten.

Direkt anschliessen kann ich den Synology Router nicht, da er nicht auf der Liste der offiziell zugelassenen Alternativen der Swisscom ist.

Wie wäre denn der Setup am einfachsten zu gestalten?

POGO 1104

Nutze den DMZ-Modus der Swisscom Internetbox, dann hast du “fast” eine Bridge….

Einige Kollegen hier @Werner und @kaetho nutzen das auch so….

@michiBuch schrieb:

…..Direkt anschliessen kann ich den Synology Router nicht, da er nicht auf der Liste der offiziell zugelassenen Alternativen der Swisscom ist.

Das würde auch technisch gar nie funktionieren, da das Teil weder Fiber- noch SFP- Port hat

Werner

@michiBuch

Hinter einem Zugangsrouter zum Internet einen weiteren Router anschliessen nennt man auch eine Routerkaskade erstellen.

Dabei wichtig ist die Netztrennung der IP-Adressräume, denn Du hast dann zwei hierarchisch getrennte Netze mit 2 DHCP-Servern, von denen jeder Router für seine eigenen Clients separate IP-Adressen vergibt.

Läuft die Internetbox in Deinem Beispiel also unter der Default-IP 192.168.1.1 und vergibt damit IP-Adressen im Netz 192.168.1.0/24 muss der kaskadierte Router, bei Dir also der RT-2600AC in einem abweichenden IP-Bereich wie z. B. 192.168.13.1 beheimatet sein, wo er dann sein überschneidungsfreies 192.168.13.0/24 aufspannt.

Konkret heisst das Du musst einfach sicherstellen, dass sich die zwei Netze nicht überschneiden und nur falls Dein Syno-Router heute auf dem gleichen Netz wie eine Internetbox wäre, müsstest Du einen der beiden IP-Bereiche ändern.

Anschliessend ganz einfach Deinen eigenen Router mit seiner WAN-Schnittstelle an einen LAN-Port der Internetbox anschliessen und schon ist die Kaskade fertig und Du musst sonst in Deinem bisherigen Netz rein gar nichts ändern.

Der einzige Unterschied besteht darin, dass vor Deinem eigenen Router jetzt nicht mehr ein Modem, sondern ein vorgeschalteter Router mit eigenem IP-Netz hängt und dadurch ein doppeltes NAT entsteht.

Innerhalb der Kaskade ist dann vom eigenen Netz aus gesehen die Internet-Box das Internet und Geräte welche direkt im Netz der Internetbox angeschlossen sind lassen sich via ihre IP-Adresse auch aus Deinem internen Netz erreichen, umgekehrt aber nicht, denn im Netz der Internetbox ist das einzige Gerät, welches die Internetbox kennt nur Dein Router.

Den von @POGO 1104 bereits erwähnten DMZ-Modus auf der Swisscom Internetbox solltest Du dabei grundsätzlich als optional betrachten, denn die Kaskade läuft auch ohne ihn.

Sinn macht er nämlich nur dann, wenn Du Dein internes Netz auch aus dem Internet via DynDNS erreichen willst und dazu zu faul bist, einzelne spezifische Ports von der Internetbox auf Deinen eigenen Router weiterzuleiten.

Der DMZ-Modus ist dann lediglich die “Komfortfunktion” um gleich alle Ports an Deinen eigenen Router zu forwarden (minus ein paar wenige, welche die Interbox immer für sich behält).

Da ich selbst nur 3 Ports für 3 verschiedene VPN-Server benötige, und gerne die Kontrolle behalte, ist bei mir selbst der DMZ-Modus folgerichtig gar nicht eingeschaltet, sondern die 3 dazu benötigten Ports habe ich auf der Internetbox im Portweiterleitungsmenu manuell als spezifische Einzelports weitergeleitet.

PS: Falls Du übrigens auch noch blue TV-Boxen betreiben willst, musst Du entweder sicherstellen, dass Dein eigenes Netz auch Multicast-tauglich konfiguriert ist, oder sie alternativ direkt im Netz der Internetbox anschliessen, denn sonst werden die Live-Programme im internen Netz kein Signal erhalten oder einfrieren 🙂

kaetho

😉 als Ergänzung. Könnte ja sein, dass @michiBuch kein doppeltes Nat haben möchte, was mit der DMZ der IBen leider nicht so einfach ist…

https://www.youtube.com/watch?v=5X3h_MjW7EY

Werner

@kaetho

Recht spektakuläre Erklärung eines NAT-Mechanismus.

Das Video finde ich eigentlich gut gemacht, was aber ein wenig fehlt ist die Erwähnung, dass sich der Unterschied zwischen einfachem NAT und doppeltem NAT bezüglich der Latenzzeit von Internetzugriffen lediglich im 1 Millisekundenbereich befindet, also immer noch innerhalb der Messungenauigkeiten der Latenzzeiten 🙂

Praxisfazit: Es lohnt sich gar nie ein doppeltes NAT eliminieren zu wollen und dazu z.B. eine Swisscom Internetbox durch ein reines Modem ersetzen zu wollen.

Kommt dann noch dazu, dass bei reinen IPv6-Zugriffen in kaskadierten Netzen mit einem durchgängigen IPv6-Dualstack sowieso gar kein NAT verwendet wird.

Auch dieser Latenzzeitunterschied zwischen IPv4 und nativem IPv6 lässt sich aber kaum messen 🙂

michiBuch

Danke POGO1104

Ich habe jetzt mal den DMZ weggelassen. Details in der Antwort an Werner. Kann das aber ja allenfalls dann anpassen.

Grüsse

Michael

michiBuch

Danke @Werner

Ich bin sehr dankbar. Über die Schnelligkeit der Forenteilnehmer hier mit professionellen Antworten und der dargebotenen Lösung. Last, but not least, auch über die gute Internet-Box 4 der Swisscom.

Meine Lösung ist bisher wie folgt:

Kaskade gebaut

IB4 auf neuen IP-Adressenkreis gestellt

Eine statische Route von der IB4 auf die Synology gelegt (sehr einfach)

Kurzer Test hat ergeben, es läuft alles einwandfrei, ohne dass ich konkret irgendwelche Neuinstallationen machen musste.

Top. und Danke nochmals an alle, die eine Rückmeldung gemacht haben. Schönen Sonntag noch.

@POGO 1104 @kaetho

michiBuch

“Das würde auch technisch gar nie funktionieren, da das Teil weder Fiber- noch SFP- Port hat”

Stimmt. Soweit war ich gedanklich auch nicht, da ich das sowieso vermeiden wollte.

Werner

@michiBuch

Die statische Route ist nur sinnvoll, wenn Du tatsächlich mit Clients aus dem Netz der Internetbox auch in das interne Netz hineingreifen können willst, sonst ist sie völlig überflussig.

Aus Sicherheitsgründen ist sie bei mir deshalb auch nicht definiert.

Der einzige Client im Netz der Internetbox ist also im Normalfall mein eigener kaskadierter Router und auch das WLAN der Internetbox ist bei mir normalerweise ausgeschaltet, da alle Clients im eigenen Netz angemeldet sind.

Neben diesem klaren Abgrenzungskonzept gibt es alternativ aber schon auch die technische Möglichkeit des Mischkonzepts der zwei Netze mittels der statischen Route, dann könnten Clients, welche direkt am LAN oder WLAN der Internetbox angemeldet sind auch auf die Ressourcen im nachgelagerten Netz hinter dem NAT des Synology-Routers zugreifen.

Man muss einfach wissen, was man will, und was die optionale statische Route genau bewirkt.

Funktionieren tun jedenfalls beide Konzepte.

michiBuch

Danke für den Nachtrag.

Beides deaktiviert. 2 WLAN brauche ich im Keller nicht. Rest funktioniert auch ohne statische Routen (das ist das DMZ…).

Bin immer noch happy.

Michael

Werner

Noch zur Präzisierung:

Statische Route und DMZ sind zwei ganz unterschiedliche Dinge und haben nichts miteinander zu tun.

DMZ oder alternativ eben einzelne Portweiterleitungen steuern die direkte Erreichbarkeit Deines oder Deiner internen Netze aus dem Internet, d.h. dabei geht es nur um die direkten Zugriffe von Clients aus der ganzen Welt auf Deinen Internetanschluss und alles was dahinter steckt.

In diesen beiden Konstrukten steckt dann auch das Risiko der Angriffsversuche von fremden Eindringlingen aus dem Internet, deshalb sollten Ports gegenüber dem Internet möglichst auch nur für den Direktzugriff auf eigene VPN-Server oder ähnlich “gehärtete” Appliances geöffnet werden.

Eine statische Route hat mit der grossen weiten Welt oder dem Internet hingegen rein gar nichts zu tun, sondern verbindet lediglich zwei interne Netze, welche auf unterschiedlichen Routern definiert sind damit man im Netz auf welchem die Route definiert ist, auch auf Ressourcen im anderen Netz zugreifen kann.

Als konkretes Beispiel:

IP-Adresse Internetbox: 192.168.1.1

IP-Adresse Synology Router: 192.168.13.1 im eigenen Netz und als Client im Netz der Internetbox mit der IP-Adresse 192.168.1.100

Wenn jetzt ein Client im Netz der Internetbox z.B. auf ein NAS im Netz des Synology-Routers zugreifen will, wird er an die Internetbox eine Anforderung für die IP-Adresse des NAS, sagen wir mal auf 192.168.13.20 stellen.

Da diese IP-Adresse aber ausserhalb des Adressbereichs der Internetbox liegt, wird dieser Zugriff dann nicht funktionieren, da die Internetbox selbst das NAS gar nicht kennt.

Definiert man nun auf der Internetbox aber eine statische Router in der Anweisungsform:

Netz 192.168.13.0 zum Gerät 192.168.1.100 routen,

weiss die Internetbox anschliessend, dass sie alle Adressanforderungen an das Netz 192.168.13.0/24 nicht verwerfen, sondern an den nachgelagerten Router weiterleiten soll, der kennt natürlich das NAS mit der IP-Adresse 192.168.13.20 in seinem eigenen Netz und so kann dann auch der Client im Netz der Internetbox auf das NAS im Netz des Synology Routers direkt zugreifen.

Wenn man das alles mal richtig verstanden hat, fragt man sich vielleicht, wieso braucht es nicht ebenfalls eine statische Route auf dem nachgelagerten Netz wenn man mit einem Client aus dem internen Netz auf die Ressourcen im Netz der Internetbox oder auf die Internetbox selbst zugreifen will?

Diese Erklärung ist ganz einfach, denn die Internetbox ist ja für das interne Netz sowieso das Gateway zum Internet (WAN/LAN-Mechanismus) und deshalb werden alle Request auf das Netz 192.168.1.0/24 aus dem nachgelagerten Netz über die WAN-Schnittstelle des internen Netzes sowieso an die Internetbox weitergegeben und dies ganz ohne zusätzliche statische Route.