PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Internet via LAN + privates Netzwerk


Reaping_Ant
2018-02-23, 09:36:29
Ich werde demnächst in eine Wohnung ziehen, in der das Gebäude einen zentralen Internetanschluss hat, der über LAN in die einzelnen Wohnungen durchgereicht wird. Nun habe ich natürlich mehrere Geräte, die ich mit dem Internet und untereinander verbinden möchte (z.B. für Streaming über Steam). Idealerweise möchte ich einen Router an das Netzwerk des Hauses anschließen, der die Internetverbindung dann an die anderen Geräte durchreicht, die sich in einem separaten Netzwerk befinden.

Kann das im Prinzip jeder Router, oder muss ich auf etwas Spezielles achten? Kann es durch diese Konstruktion Probleme mit VPN/Remotedesktop-Verbindungen geben (als Client, dass es als Host nicht funktioniert kann ich mir denken)?

blackbox
2018-02-23, 09:44:23
Wozu sollst du einen Router brauchen? im schlechtesten Fall bringst du das Netzwerk durcheinander und am Ende hat keiner mehr Internet. ;)

Ein normaler managed Switch mit VLAN reicht aus.

Tyrann
2018-02-23, 09:49:16
Wozu sollst du einen Router brauchen? im schlechtesten Fall bringst du das Netzwerk durcheinander und am Ende hat keiner mehr Internet. ;)

Ein normaler Switch reicht aus.
selten so einen Humbug gelesen.


@Reaping_Ant
Ein normaler Router reicht aus, den hängst du dann einfach mit der WAN-Seite an das Hausnetz.

der hier ist schon Luxus: https://geizhals.de/tp-link-archer-c1200-a1503156.html?v=l&hloc=de

blackbox
2018-02-23, 09:59:00
selten so einen Humbug gelesen.


@Reaping_Ant
Ein normaler Router reicht aus, den hängst du dann einfach mit der WAN-Seite an das Hausnetz.

der hier ist schon Luxus: https://geizhals.de/tp-link-archer-c1200-a1503156.html?v=l&hloc=de

Habs vorher schon korrigiert.

Ein Doppel NAT ist nicht zu empfehlen.

lumines
2018-02-23, 12:44:54
Kann das im Prinzip jeder Router, oder muss ich auf etwas Spezielles achten? Kann es durch diese Konstruktion Probleme mit VPN/Remotedesktop-Verbindungen geben (als Client, dass es als Host nicht funktioniert kann ich mir denken)?

Ja, doppeltes NAT bricht oft einige Protokolle (VPNs etc.) auf subtile Art und Weise. Auch clientseitig.

Ich werde demnächst in eine Wohnung ziehen, in der das Gebäude einen zentralen Internetanschluss hat, der über LAN in die einzelnen Wohnungen durchgereicht wird. Nun habe ich natürlich mehrere Geräte, die ich mit dem Internet und untereinander verbinden möchte (z.B. für Streaming über Steam). Idealerweise möchte ich einen Router an das Netzwerk des Hauses anschließen, der die Internetverbindung dann an die anderen Geräte durchreicht, die sich in einem separaten Netzwerk befinden.

Was man dafür nimmt, kommt ganz drauf an, wie das konkret umgesetzt ist. Das kann man von außen schlecht sagen. Dass jede Wohnung eine eigene LAN-Buchse hat, sagt leider wenig über das eigentliche Netzwerk aus. Es kann ein komplett flaches Netzwerk ohne Isolation der Wohnungen sein, aber es könnte auch z.B. mit VLANs die Wohnungen isolieren.

In beiden Fällen wirst du mit einem normalen SOHO-Router sehr wahrscheinlich erst einmal doppeltes NAT haben, wenn du den einfach mit dem WAN-Port an die Buchse hängst. Großartig konfigurieren kann man da selten etwas.

Etwas konfigurierbarer sind z.B. die Geräte von MikroTik. In der Standardkonfiguration verhalten die sich praktisch genau so wie normale SOHO-Router, aber man kann sehr, sehr viel manuell einstellen. Ich würde dabei tatsächlich auch einfach so einen nehmen, selbst wenn dich die manuellen Einstellungen eventuell überfordern. Im Zweifelsfall kannst du den noch immer einfach nur dranhängen und erst einmal mit doppeltem NAT leben, bis dir klar ist, wie das Netzwerk bei euch überhaupt aufgebaut ist und wie du eventuell doppeltes NAT vermeiden kannst. So eine Flexibilität hat man mit den meisten anderen SOHO-Routern leider nicht.

Wenn dich fehlendes MIMO für das 5-GHz-WLAN nicht stört (für 2,4 GHz hat er allerdings 2x2 MIMO), wäre der eine relativ günstige Lösung: https://shop.omg.de/mikrotik/routerboard/mikrotik-hap-ac-lite/a-13719/

Mit 802.11ac-Clients wäre die maximale Datenrate noch immer 433 Mbit/s. Mit 802.11n-5-GHz-Clients wäre sie nur ~144 Mbit/s wegen des fehlenden MIMOs. Per 2,4 GHz kommt er auf maximal 144 Mbit/s bei 20 MHz Kanalbreite. Ein bisschen limitierend ist natürlich das Fast-Ethernet. Gigabit bekommt man leider erst mit den teureren Geräten. Grundsätzlich sollte der aber für alles ausreichen, wenn du nicht gerade >100 Mbit/s nur für deine Wohnung hast.

Ein normaler managed Switch mit VLAN reicht aus.

Vielleicht verstehe ich auch etwas falsch, aber das Haus müsste die Wohnungen an einen Managed Switch anbinden. Wenn er einen Managed Switch in ein flaches Netzwerk hängt, hat er davon selbst erst einmal nichts.

qiller
2018-02-23, 14:41:52
Ich werde demnächst in eine Wohnung ziehen, in der das Gebäude einen zentralen Internetanschluss hat, der über LAN in die einzelnen Wohnungen durchgereicht wird...

Du musst erst klären, ob jede Wohnung eine eigene, öffentlich IP-Adresse (z.B. als IP-Alias) erhält, oder ob das private IP-Adressen sind.

Bei öffentlichen IP-Adressen ist das im Prinzip weiter kein Problem. Normaler (WLAN)-Router, der WAN-seitig kein festverbautes und nicht umkonfigurierbares DSL- oder Kabelmodem beinhält, sollte es tun, auch für VPN-Dienste oder Home-Cloud-Angebote.

Hast du allerdings private IP-Adressen, die hinter einem NAT-Anschluss liegen, kannst du immer noch denselben Router nutzen, aber das zur Verfügungstellen von VPN- oder Homecloud-Diensten wird hier nicht möglich sein, da du nur die Kontrolle über deinen eigenen Router hast und hier die nötigen Ports weiterleiten kannst.

mfg Oli

Reaping_Ant
2018-02-23, 17:18:09
Vielen Dank für die ausführlichen Antworten. Dann ist es wohl tatsächlich besser erstmal vor Ort zu schauen, wie das Netzwerk aufgebaut ist. Für die ersten Tage tut es auch das Teilen der Verbindung über's WLAN meines Notebooks.
Gibt es irgendwo ein gutes Einsteiger-Guide zum Thema Netzwerktechnik, wo z.B. erläutert wird, wie man den Aufbau des eigenen Netzwerks nachvollziehen kann? Ich habe zwar schon ein paar Heimnetzwerke konfiguriert, aber auf der Ebene habe ich noch nicht so viel Ahnung davon. Und genauere Informationen vom (japanischen) Vermieter zu bekommen, scheitert wohl an der Sprachbarriere...

@lumines: Vielen Dank für die konkrete Router Empfehlung. Gefällt mir gut, und gute Konfigurierbarkeit ist mir im Zweifelsfall wichtiger als Bandbreite. Mal sehen wo ich hierzulande einen auftreiben kann.

Lokadamus
2018-02-23, 19:32:50
1.) Vielen Dank für die ausführlichen Antworten. Dann ist es wohl tatsächlich besser erstmal vor Ort zu schauen, wie das Netzwerk aufgebaut ist.

2.) Gibt es irgendwo ein gutes Einsteiger-Guide zum Thema Netzwerktechnik, wo z.B. erläutert wird, wie man den Aufbau des eigenen Netzwerks nachvollziehen kann?

3.) @lumines: Vielen Dank für die konkrete Router Empfehlung. Gefällt mir gut, und gute Konfigurierbarkeit ist mir im Zweifelsfall wichtiger als Bandbreite. Mal sehen wo ich hierzulande einen auftreiben kann.1.) Jup. Ohne die verwendete Netzwerkstruktur zu kennen können wir nur sagen, wie es in Deutschland ist.

2.) http://www.netzmafia.de/

3.) Lern Linux/ Unix (*BSD) kennen.

lumines
2018-02-23, 19:39:35
Gibt es irgendwo ein gutes Einsteiger-Guide zum Thema Netzwerktechnik, wo z.B. erläutert wird, wie man den Aufbau des eigenen Netzwerks nachvollziehen kann?

http://intronetworks.cs.luc.edu/current/html/#

Ist alles ziemlich aktuell und gerade die Einführungstexte zu den jeweiligen Themen sind sehr angenehm. Wenn man über einen Fachbegriff stolpert, kann man den da jedenfalls besser nachgucken als in Wikipedia und Co., weil man da eventuell etwas mehr Kontext hat.

Jasch
2018-02-24, 10:37:24
Ich weis nicht wo das mit dem Doppelnat ist böse herkommt.
Seit Jahren wird das immer wiederholt wie so nen in Stein gemeisselte Gechichte.(nach dem Essen darfst nicht Schwimmen gehen).
Das funktionert alles, man hat halt nur den höheren Verwaltungsaufwand.



Also ich habe bei mir seit Jahren Doppel NAT im Einsatz und keinerlei Probleme.
Man muss halt nur auf die Doppelten Freigaben achten (Portforwarding etc..).
Oder auf dem ersten Gerät, wenn man das denn will, einfach das 2te Gerät in DMZ setzten.

Betreibe hier 2 Fritzboxen(2 DSL) + Telekom Hybridrouter(LTE) und dahinter eine Pfsense.(Openvpn Sever, Client, MultiWan, Squid etc...).

lumines
2018-02-24, 10:48:49
Ich rede ja nicht von Portweiterleitungen. Es gibt tatsächlich Protokolle, die durch doppeltes NAT einfach brechen. L2TP/IPSec macht z.B. hinter zu viel NAT Probleme, auch als Client. Ich meine auch einmal gelesen zu haben, dass SIP damit problematisch ist. Kommt natürlich auch auf die Implementierung an.

Wenn man darauf für die Uni, Arbeit etc. angewiesen ist, hat man ein Problem. Für Normalsterbliche ist es auch praktisch unmöglich das doppelte NAT dann als Ursache für solche Probleme zu finden. Hinter dem doppelten NAT wird man ziemlich sicher auch kein IPv6 bekommen, insofern fällt das als Alternative für die jeweiligen Protokolle auch raus.

Mir ist auch nicht so ganz klar, welche Probleme man mit doppeltem NAT lösen will. Eine Firewall kann man auch ohne weiteres NAT haben.

Jasch
2018-02-24, 11:01:03
Das mag zum Teil stimmen, nachvollziehen kann ich es nicht, Ipsec geht auch bei mir Problemlos.
Mit Doppelnat löst man keine Probleme, man hat das, weil es zum Teil einfach nicht anders geht.

Bsp. Ich habe eine Pfsense als Zentralen Router, Firewall etc.(und will auch darauf alles verwalten), es gibt aber keine einzelnen DSL Modems mehr.
Also hängen da 2 Fritzboxenan den Wan Ports, die leider den Modem only modus nicht unterstützen.
Auserdem läuft die Ip Telefonie+ Dect über die 1ne Fritzbox, das ganze brauch ich somit nicht in meinem eigentlichen Lan.

Wie gesagt imho keine Probleme bei mir.

@Threadstarter, wie von den anderen schon erwähnt must du erstmal rauskriegen wie die Hausverwaltung das ganze gelöst hat, da gibt es einfach zu viele Möglichkeinten.
-hängt ihr an einem Router in einem Lan(glaube ich nicht)
-ein Router mit Vlan pro Mieter (1ne externe Ip)
-Multiple externe Ips mit einzeln Lan pro Mieter...
-.....

lumines
2018-02-24, 13:41:23
Sogar wenn man die Fritzbox nicht als reines Modem benutzen kann, ist das doppelte NAT trotzdem überflüssig. Es ist nur wahrscheinlich eine der Standardeinstellungen von Pfsense. Man könnte auch einfach DHCP an der Fritzbox deaktivieren, die Pfsense-Kiste an die Fritzbox anschließen, die Firewall unter Pfsense entsprechend konfigurieren (Broadcast / Multicast von und hin zur Fritzbox blockieren) und DHCP, DNS etc. über die Pfsense-Kiste laufen lassen. So hat man alle Vorteile einer "zentralen" Konfiguration unter Pfsense, spart sich aber weiteres NAT.

Vielleicht übersehe ich auch etwas, aber so eine Lösung ist praktisch in jeder Hinsicht simpler.

Die Voreinstellungen brennen einem ins Hirn ein, dass man NAT braucht, aber das verkompliziert in praktisch allen Fällen die Konfiguration nur. Man braucht NAT nur höchstens an einer Stelle und auch nur für IPv4.

xiao didi *
2018-02-24, 13:47:13
Vielleicht übersehe ich auch etwas, aber so eine Lösung ist praktisch in jeder Hinsicht simpler.
Wenn man keine Routen konfigurieren kann, dann ist Doppel-NAT leider nötig.

lumines
2018-02-24, 14:08:11
Wenn man keine Routen konfigurieren kann, dann ist Doppel-NAT leider nötig.

Statische Routen können sogar die allermeisten Wald-und-Wiesen-SOHO-Router. Das NAT separat zu deaktivieren und nur die Firewall aktiv zu lassen ist nur leider etwas, was sehr selten geht. Keine Ahnung warum, aber gerade das geht oft nur mit den professionellen Geräten. Speziell Pfsense kann das aber.

xiao didi *
2018-02-24, 14:17:18
Statische Routen können sogar die allermeisten Wald-und-Wiesen-SOHO-Router.
Unitymedias Config für den für Business Verträge verteilten Hitron CGNV4 lässt zum Beispiel keine Anpassung der statischen Routen zu. Und schon ist man gekniffen.

Aber das soll nur als Beispiel dienen. Wenn ich keine Kontrolle über den letzten Knoten habe, dann ist frühestens bei Routen und spätestens bei der Portweiterleitung Schluss, wie oben jemand auch schon gesagt hat.
Doppel-NAT findet man aber auch zum Beispiel gerne mal bei Gast-WLAN Netzen, wenn dafür kein VLAN bereitgestellt werden soll. Manche Systemhäuser binden so ihre vorgefertigten Systeme auch gerne mal in Fremdnetze ein, wie eine Art Blackbox.

lumines
2018-02-24, 16:40:27
Unitymedias Config für den für Business Verträge verteilten Hitron CGNV4 lässt zum Beispiel keine Anpassung der statischen Routen zu. Und schon ist man gekniffen.

Schon klar. Deshalb will ich da auch nicht irgendwelche speziellen Empfehlungen für den TE geben. Nur eben speziell im Fall von Jasch ist das eben komplett überflüssig, weil die Fritzboxen auch statische Routen einrichten können.

Jasch
2018-02-25, 11:47:44
Priz. hast du Recht, aber dann muss ich von Hand NAT Regeln für OpenVPN Server und Client anlegen, FB Broadcasts blocken.....(mom hab ich genau extra Sache, Portf. auf FB für OpenVPN).
Ich wollte eingentlich nur darauf hinweisen das DoppelNAT kein Problem ist, und oft auch wesentlich leichter einzurichten ist, und man hat nochmal eine Trennung zwischen LAN und WAN Netz.

Möglich das es bei Sonderfällen Probleme geben kann, aber mir fallen keine Relevanten ein.
Ich wollte bloß mal gegen die oft auftretende Position DoppelNAT = böse, Quelle aller Probleme Stellung nehmen.

Back to Topic, wenn du die nötigen Angaben von deinem Vermieter hast, können wir Dir weiterhelfen.
Ich würde aber in jedem Fall einen Router setzten, da du selber über das vorgeschaltete System keine Kontrolle haben wirst, und Dich somit blind auf dessen Einstellungen/Sicherheit verlassen müsstest.

lumines
2018-02-25, 12:02:55
Ich wollte eingentlich nur darauf hinweisen das DoppelNAT kein Problem ist, und oft auch wesentlich leichter einzurichten ist, und man hat nochmal eine Trennung zwischen LAN und WAN Netz.

Die "Trennung" kommt ja durch die Firewall, nicht durch das NAT. NAT ohne separate Firewall-Regeln ist relativ witzlos.

Quelle: Been there, done that …

Die meisten Nutzer benutzen das NAT eher um an die entsprechend vorkonfigurierten Firewall-Regeln zu kommen und nicht unbedingt um bewusst NAT zu machen.

Ich wollte bloß mal gegen die oft auftretende Position DoppelNAT = böse, Quelle aller Probleme Stellung nehmen.

Es macht ja auch nicht überall Probleme, aber es gibt eben Protokolle, die damit nicht klarkommen. Vielleicht haben deine Router mit NAT haufenweise "Helper" drin und zufällig funktionieren die hintereinandergeschaltet, aber wer da schon einmal ein bisschen drin rumgestochert hat, dem dürfte vollkommen klar sein, dass das eine sehr fragile Sache ist und definitiv nicht in allen Fällen gut geht.

Ich mache jedenfalls gerne wenige Annahmen darüber, wie jemand sein Netzwerk nutzen will. So eine Einstellung wie "mach mal und wenn's bricht, was soll's" ist nicht gerade optimal, wenn man ein problemloses Netzwerk haben will. Netzwerke sollten so problemlos funktionieren wie Strom oder fließendes Wasser.

Ich habe gestern Abend auch einmal einen kleinen MikroTik hinter eine Fritzbox geschaltet, dem MikroTik sein eigenes Subnetz gegeben und mit einer statischen Route in der Fritzbox und im MikroTik dazwischen geroutet. Die Firewall-Regeln am MikroTik brauchten auch nur eine minimale Anpassung. Das ist kein Hexenwerk und wenn man weiß, was man will, ist das in wenigen Minuten eingerichtet. Kein NAT, keine Kopfschmerzen und trotzdem hat man die gleiche Isolation seines Netzwerks wie das, was die meisten hinter einem NAT wollen.

Falls es jemanden oder den TE interessiert:

Fritzbox
IP: 192.168.10.1
Netzwerk: 192.168.10.0/24

Mikrotik
IP: 192.168.11.1 auf der Bridge, 192.168.10.3 auf dem Interface verbunden mit der Fritzbox
Netzwerk: 192.168.11.0/24

Fritzbox:

https://abload.de/img/fritzbox1csy5.png

MikroTik:

https://abload.de/img/mikrotik55sg8.png

Jasch
2018-02-26, 15:48:16
So hab auch mal umgebaut, zumindest für die 2 FB, statische Route rein, NAT Outbound auf Manual, und die Regeln für die 2 FBs gelöscht. Funkt noch.
Der tolle Hybridrouter der Teledoof kann natürlich keine statischen Routen, ist halt Telekom Highend.