Portweiterleitung über 2 Router

[Wardog19]

Hallo,

ich habe folgende Netzwerkkonfiguration:

Mein PC: 192.168.178.58
Mein Router: 192.168.178.1 (FritzBox 4040 PQ)
Hauptrouter: 192.168.188.1 (Fritzbox 7590)

Nun meine Frage, wie kann ich den Hauptrouter am besten einstellen, damit mein Router die Portweiterleitung für sein Netzwerk selber entscheidet?
Leider muss mein Router ein eigenes Subnetz aufbauen, da der Hauptrouter nicht meiner ist, also IP Client fällt leider weg.

Reicht es, wenn ich dafür einfach meinen Router im Hauptrouter als IPV4 Exposed Host einrichte oder Manuell einfach alle Ports freigebe?
Oder bin ich gar komplett auf dem Holzweg?

Denn ich wurde vom Ubisoft Support darauf hingewiesen, das ich eine doppelte NAT habe und würde das gerne optimal einstellen.

Bevor ich nachfrage etwas umstellen zu dürfen, würde ich gerne schon einmal wissen was.


Vielen Dank im Voraus!

 

[DJKuhpisse]

Richtig, auf IPv4-Ebene hast du doppeltes NAT. Wo liegt das Problem, einfach das vorhandene Netz mitzubenutzen?
Oder auf ein größeres Netz umzustellen, sollte dieses nicht ausreichen?
In der Konstellation jetzt muss am Hauptrouter die Portweiterleitung erfolgen (entweder einzeln oder alle (Exposed Host).

 

[Wardog19]

Es sollen 2 separate Netzwerke sein.

Muss ich denn dann vom ersten Router direkt an meinen PC weiterleiten, also:

Port X
Von FritzBox 7590 (192.168.188.1) direkt an PC im anderen Netz (192.168.178.58 )

Oder:

Port X
Von Fritzbox 7590((192.168.188.1) an Fritzbox 4040 (192.168.188.33)
und
Von Fritzbox 4040(192.168.178.1) an PC (192.168.178.58)


Dann gibt es ja auch noch UPNP, würde das über beide Router hinweg funktionieren, wenn beide diese Funktion angeschaltet hätten?

 

[DJKuhpisse]

Auf der 7590 machst du die 4040 Exposed-Host. Wichtig: Deren IPv4-Adresse muss immer gleich bleiben.
Dann von der 4040 auf die andere weiterleiten.

 

[Wardog19]

Dann von der 4040 auf die andere weiterleiten.

Mit "die andere" meinst du meinen PC dann?

 

[DJKuhpisse]

Mit "die andere" meinst du meinen PC dann?

Ja klar.

 

[Wardog19]

Okay danke!

Aber ist es denn dann so, als wäre mein Router einfach direkt mit dem Internet verbunden und der Job des filterns wird einfach auf meine Fritzbox, für Anfragen in mein Subnetz, ausgelagert?

Oder gibt es da irgendwelche Probleme?

Weil wenn ich jetzt z.B. nur einen Router hätte und da meinen PC selbst als exposed host angeben würde, wäre das je vermutlich total unsicher.
Aber da ich ja "nur" einen anderen Router freigebe und der ja selber die Daten managen kann, ist das dann kein Problem?

Bin leider absoluter leihe.

 

[DJKuhpisse]

Nein, das ist nicht total unsicher.
Es ist bei Ipv6 nämlich der Standardfall, da soll jeder PC ne öffentliche IP haben.
Dein Doppel-NAT ist einfach Käse, nicht mehr und nicht weniger.

In so einem Fall schafft man sich einen gescheiten Router an und erstellt 2 Netze.
10.0.1.0/24 und 10.0.2.0/24 z.B.
Für IPv6 auch so, wenn man da getrennte Netze will.

Auf einem gescheiten Betriebssystem sind nach Installation auf nicht-Localhost-IPs (127.0.0.0/8 und ::1) KEINE Netzwerkdienste aktiv. Ergo kann der auch ohne Firewall im Internet sein, es gibt nichts anzugreifen.

Das ändert sich natürlich sofern man einen Netzwerkdienst 8egal welchen) installiert. Dann ist der bei Nutzung eine öffentlichen IP-Adresse (egal ob IPv4 oder IPv6) aus dem Internet erreichbar.
Will man das nicht am besten ne Private IP-Adresse nehmen, auch IPv6 hat derartige Bereiche.

 

[Wardog19]

Danke für die ausführliche Antwort, leider tue ich mich schwer das zu verstehen..

Aber wenn ich es dann so einstelle wie du gesagt hast (Fritz 4040 als exposed Host in der Fritz 7590), dann kann ich bei meinem Router auf Dauer alle Ports manuell freigeben/weiterleiten und das doppelte NAT macht keine Probleme mehr?

Weil es wäre eben sehr nervig für mich und die andere Partei, wenn ich immer fragen müsste neue Ports freizugeben.
Da wäre es praktisch, wenn wir da nur einmal was umstellen müssten.
EDIT: Bzw. die andere Partei nur ein mal was umstellen müsste, ich müsste das bei mir natürlich trotzdem.

Weil für jedes neue Multiplayerspiel braucht man ja auch wieder andere Ports etc.

 

[DJKuhpisse]

Aber wenn ich es dann so einstelle wie du gesagt hast (Fritz 4040 als exposed Host in der Fritz 7590), dann kann ich bei meinem Router auf Dauer alle Ports manuell freigeben/weiterleiten und das doppelte NAT macht keine Probleme mehr?

Richtig, da alles an die die IP der 4040 geht kannst du da die Ports freigeben.
Nur ist NAT allgemein eine Krücke und war nie in den Protokollen so vorgesehen. VoIP macht da auch heute drüber Probleme.
Ich rate dazu, gescheite Hardware anzuschaffen und kein Doppel-NAT zu betreiben.
Alle was per IPv6 geht sollte zudem über IPv6 laufen.

 

[kaepteniglo]

Mal eine kleine Frage zur Verständlichkeit:

Wozu dient denn der Hauptrouter?

Ist da nur die 2. Fritzbox angeschlossen oder mehr?

Wenn da nur die 2. FB angeschlossen ist, aus welchem Grund auch immer, dann geht das mit dem Exposed Host.
Wenn da noch andere Geräte ihren Internetzugang darüber abwickeln, geht das mit dem Exposed Host natürlich nicht.

 

[DJKuhpisse]

Mal eine kleine Frage zur Verständlichkeit:

Wozu dient denn der Hauptrouter?

Ist da nur die 2. Fritzbox angeschlossen oder mehr?

Wenn da nur die 2. FB angeschlossen ist, aus welchem Grund auch immer, dann geht das mit dem Exposed Host.
Wenn da noch andere Geräte ihren Internetzugang darüber abwickeln, geht das mit dem Exposed Host natürlich nicht.

Doch, sofern die keine Portweiterleitung brauchen geht das problemlos, da der exposed Host nur die statische NAT-Tabelle betrifft.

 

[kaepteniglo]

Doch, sofern die keine Portweiterleitung brauchen geht das problemlos, da der exposed Host nur die statische NAT-Tabelle betrifft.

Bei einem IPv6 Netz würde das sogar mit mehreren Exposed Hosts funktionieren sehe ich gerade in den Anleitungen von AVM.

Aber wir der gesamte Internet-Traffic nicht trotzdem automatisch zum Exposed Host weitergeleitet?

 

[DJKuhpisse]

Bei einem IPv6 Netz würde das sogar mit mehreren Exposed Hosts funktionieren sehe ich gerade in den Anleitungen von AVM.

Bei IPv6 ist gar kein NAT vorgesehen. Du darfst NAT und einen Paketfilter (Firewall) NICHT verwechseln. Das sind 2 völlig unterschiedliche Dinge.

 

[kaepteniglo]

Ich hab das bloß gerade aus der AVM Anleitung

Aber das mit der Netztrennung wäre mit anderen Geräten, die VLANs bereitstellen können, besser lösbar.