Geräte des Heimnetzwerks von außen zugänglich machen

Anzeige

An der dem Router zugewiesenen öffentlichen WAN IPv4 kann man erkennen, ob es DS-Lite mit einer CGN-IP (CarrierGradeNAT) ist oder nicht. Die ersten zwei Zahlen sind da von Bedeutung.

Um mit wasistmeineip.com die IPv4 angezeigt zu bekommen, müsste man IPv6 beim benutzten Computer deaktivieren, so dass nur IPv4 verwendet wird.

 

Ah, so langsam blicke ich ein wenig durch - da haben wir die ganze Zeit leider ein bisschen aneinander vorbeigeredet.

Also (nochmal vereinfacht ausgedrückt): Das Gateway 192.168.0.1 oder 10.0.0.1 ist das Gateway des Heimnetzwerkes, über das dort angeschlossene Geräte nach außen kommen. Das Gateway des Routers jedoch ist sozusagen das Tor, durch das der Router das Internet erreicht. Und die öffentliche IP ist dann mehr oder weniger das, was der Provider bereitstellt bzw. womit der Router verbunden ist, sobald er durch das Tor schreitet (sorry für die blöde Ausdrucksweise, muss mir das Ganze immer bildlich vorstellen). Wenn nun aber Gateway des Routers und öffentliche IP gleich wären, dann wäre der Router ja sozusagen selbst das Tor...

Und was mich betrifft, müsste ich eroieren,ob meine Konfiguration ähnlich wie z.B. bei dem Bekannten ist. Falls ja, das KD-Router auf Modem-only stellen lassen oder eine Kabel-Fritzbox anschaffen, um eines der beiden Heimnetze zu sparen.
Falls nein, habe ich ein gewisses Problem.

Habe ich das soweit jetzt einigermaßen richtig verstanden?

 

Korrekt.
Eine Fritzbox brauchst Du nicht. Vorausgesetzt, der Vodafone-Router hat eine öffentliche IP, könntest Du an diesem die Portweiterleitung mit Ziel des zweiten Routers einrichten. Auf dem zweiten, inneren Router eine Portweiterleitung (derselbe Port wie der erste Router) mit Ziel des zu erreichenden Gerätes. Natürlich muss das Gerät auf diesen Port lauschen bzw. der entsprechende Dienst aktiviert sein. Besser ist es aber, beim Vodafone-Router den Bridge-Modus aktivieren zu lassen. Zwei Firewalls ("Router") braucht man nur für eine DMZ.

 

Man könnte den Weg, den die Pakete ins Internet nehmen, mit tracert nachvollziehen.
Beispiel unter Windows in der Kommandozeile von Powershell:

tracert golem.de > Documents\tracert.txt

Hier wird der Weg in die Datei tracert.txt im Ordner Dokumente geschrieben.
Das kannst Du hier mal veröffentlichen - aber nur das erste Byte. Bspw. 95.xxx.xxx.xxx. Den Rest also - nur bei der ersten öffentlichen IP - mit x editieren. Zeilenpunkte 1 - 3 reichen. Das kann ne ganze Weile dauern und kann mit Strg+c gestoppt werden.

 

Fast richtig verstanden, aber

das ist etwas anders. Die öffentliche IP ist die Quellen-IP, mit der Anfragen von Netzwerkgeräten ins Internet verwendet werden. Gateway ist der Weg ins Internet, sprich irgendein Router beim Internet-Provider (braucht man auch bei eigener öffentlicher IP, also keiner CGN-IP) und DNS gibt es auch noch. Das ist die IP eines Servers, der aus „verbalen“ Internet-Adressen (xyz.com) die zugehörige Ziel-IP kennt.

 

Hier scheint es an rudimentären Netzwerkgrundlagen zu scheitern.

Da schrillen bei mir die Alarmglocken, wenn man dann noch glaubt, man könne einen Server (Raspi) mit einigen Ports ins Internet haengen.
Der Raspi wird wohl in kurzer Zeit übernommen und Teil eines Botnets oder schlimmer werden.

Meine Empfehlung, hol Dir professionelle Hilfe vor Ort, die sich auch den Raspi anguckt bevor Du den Rest deines Netzes mit in Gefahr bringst.

 

OK, was ein DNS-Server ist, weiß ich schon. Der ist für die Namensauflösung zuständig.
Nur was mir immernoch nicht einleuchtet ist folgendes: Es kommt eine Anfrage eines Gerätes ins Internet, der Router schaut, welches Gerät das ist, aber diese Anfragen laufen ja dann über die öffentliche IP.
Auch wenn du mich wahrscheinlich für sturzdoof hältst: was genau macht dann noch die Gateway-Adresse des Routers? Braucht man diesen Weg ins Internet um das Netzwerkgerät mit der öffentlichen IP zu verbinden. Ich dachte bisher immer, das macht die Gateway-IP des internen Netzwerks.
Sorry, wenn ich soviel frag, aber ich möchte ein bisschen verstehen, was ich so tue.

 

Da du selber keine direkte Backbone-Verbindung zum Internet hast, sondern eine von deinem Internetprovider nutzt, werden alle Internet-Daten über den Internetprovider geroutet und der daran beteiligte Router des Internetproviders ist der Gateway. Eben der Durchgang zum Internet-Backbone, wenn man das so bildlich sagen kann. Der weitere Datentransport bis zum Empfänger durchläuft dann auch weitere Router anderer Provider und alle Router verständigen sich untereinander, welche Wege sie zur Verfügung stellen können. Damit wird letztlich gesichert, dass ein möglichst günstiger Weg von einer öffentlichen IP zu einer anderen und zurück gebildet werden kann. Das muss nicht der kürzeste, schnellste Weg sein, weil auch die Auslastung der einzelnen Router berücksichtigt werden muss. Sonst entstehen Engpässe oder beim Ausfall eines Routers/Backbone irgendwo wäre sonst gar keine Verbindung von A nach B mehr möglich. Aber das ist für dich eher unerheblich zu wissen, außer eben dass ein Gateway den Weg der IP-Pakete regelt.

 

Ein Gateway ist die IP an die du dich wendest, wenn du nicht direkt mit der Zieladresse reden kannst. Im Netz 10.0.0.XXX sehen sich alle XXX ohne Gateway.

Willst du in das Netz 192.168.0.XXX und ist dein Gateway dein Router (Normalfall) und dein Router hat die 10.0.0.1, dann schickst du dein Paket an den Router. Der weiß dann, wo 192.168.0.XXX ist. Bei deiner Topologie ist das das Mininetz zwischen Netgera und KD-Gerät.

Willst du zur Ziel-IP 8.8.8.8, schickst du dein Paket an dein Gateway, 10.0.0.01. Das ist ein Router. Der verpackt das Paket um und schickt es an sein eigenes Gateway, die 192.168.0.1. Das ist wieder ein Router. Der verpackt das Paket um und schickt es an sein eigenes Gateway. Das ist die ??? keine Ahnung. Normal brauchst du das nicht zu sehen und es braucht dich auch nicht zu interessieren. Aber Pakete die den Router verlassen, tragen als Absendeadresse die "öffentliche" IP des Routers. Für Antworten auf ausgehende Pakete funktioniert das auch, ohne dass du eine echte öffentliche IP hast. Für Anfragen jedoch funktioniert das nur, wenn du eine echte öffentliche IP hast. Was das ist, was du für deinen Kabelanschluss ja beauftragt hattest, damit ddns geht.

Nun sind 192 und 10 Netze, die nicht nach außen getragen werden. Hört sich komisch an, aber heißt einfach nur, dass es keine öffentlichen IP gibt, die so anfangen. Also wenn eine Anfrage an deine öffentliche IP kommt, dann ist das zwar die IP des Routers, aber auf dem Router läuft ja nicht der Dienst (FTP). Daher das Portforwarding.

Und so musst du nun entweder eine Routertabelle erstellen, in der die IP des Raspi vom KD-Gerät über den Netgear als Gateway erreichbar ist (was laut Anleitung wohl nicht geht), oder vom KD-Gerät auf den Netgear forwarden und vom Netgear dann auf den Raspi. (Oder halt eines der Netze rauswerfen, also die Netzwerktopologie umdesignen. Wie auch immer. Am Übersichtlichsten wird es sein, das KD-Gerät als Modem laufen zu lassen)

Dass du das Wlan im KD-Gerät nicht selber anschalten kannst, macht mich schon stutzig. Laut Anleitung kann das Ding eigentlich eine ganze Menge.

Stimmt, das gab es ja auch noch.

Man könnte den Raspi auch an den KD-Router hängen. Also in die defacto DMZ.

Das Portforwarding muss dann im KD-Router direkt auf den Raspi eingestellt werden. Wenn man sich im 10er Netz befindet, sollte man eigentlich die 192er IP über den Netgear finden können. Wenn man auf dem raspi eingeloggt ist, braucht es allerdings vielleicht eine statische Routingtabelle auf dem raspi, damit der für das 10er Netz auch den Netgear und nciht den KD als Gateway nutzt - sofern der raspi auf andere Dienste im 10er Netz zugreifen muss. Wenn nicht, könnte man sich so eine richtige dmz basteln, wo der gehackte raspi dann nicht mehr so einfach den Fernseher oder den Kühlschrank hacken kann.

Warum auch immer man die einsehen kann. Aber man kann sich ja auch beliebig komplizierte Netze zusammenbauen mit Routern. Das Gateway meiner Fritzbox kann ich nicht einsehen. Wozu auch. Die Info bekommt die Box beim Einwählen ins DSL, für mich ist die uninteressant. Für dich eigentlich auch.

Es wäre nur dann interessant, wenn du eine Routertabelle eintragen könntest. Dann könntes du für bestimmte Netze ein anderes Gateway eintragen. Also beispielsweise für 192.168.0.XXX für 192.168.1.XXX für 192.168.2.XXX für 192.168.3.XXX jeweils ein Gateway welches im Netz 192.168.0.XXX erreichbar ist und dann mit den jeweils anderen Netzen verbunden ist und vermittelt (routet).

Das Gateway deines Heimnetzes ist dein Router, der Netgear. Das Gateway deines Netgear ist der KD-Router. Das Gateway des KD-Routers ... kann dir egal sein. So geht es nach drausen.

Umgekehrt: die äußerste öffentlich adressierbare IP muss ein dir zugänglicher Router sein, sonst klappt es nicht mit dem ddns. Wenn du eine kompliziertere Netzwerktopologie aufbauen willst, musst du auf diesem äußersten Router für den Rückweg Gateways angeben. Das kannst du nicht in dem KD-Gerät (soweit ich in der Anleitung überflogen habe). Die Alternative ist Portforwarding. Das geht.

 

192.167.X.X oder 192.169.x.x st eine öffentliche IP.. Bei der Default Subnetzmaske bei einem 10er Netz von 255.0.0.0 sehen sich 10.255.255.254: abgezogen ist Netzwerk- und Broadcastadresse