FritzBox im BridgeModus / Zugriff auf WebGUI aus Netz ?

Hallo,

Es gibt zwar schon ein paar Thread zu dem Thema aber so wirklich weiter bringen tut keiner, daher mal eine Ideen-Sammlung in die Runde.

Ausgangslage:

Kabel-Internet - ( FritzBox 6591 Mietgerät von vodafone ) - UDM Pro

FritzBox im BridgeModus auf LAN2 - öffentliche IP liegt an der UDMPRo an ( WAN - Port )

Internet funktioniert alles wunderbar

derzeit nur ein Netz und ein WLan eingerichtet, noch keine FW-Regeln

Telefonie macht die FritzBox ( VoIP ) derzeit nur per DECT-Geräte

Problem:

- Zugriff auf die WebGUI der FritzBox über den LAN2 - Port nicht möglich

- Anmeldung von VoIP-Telefon aus dem Ntz an der FritzBox als VoIP-Registry nicht möglich, da LAN2 kein Zugang auf die Box-intern möglich

- gleiches gilt fürs SMartphone über VoIP per WLan

- Zugriff meines SmartHome-Servers auf die FritzBox zum Auslesen von Telefonliste usw. nicht möglich, gleicher Grund

mögliche Lösungs-Idee:

- Einrichtung mehrer Netzwerke, u.a. eines für Telko als VLan ( ist eh geplant und schon im Aufbau )

- Alle VoIP-Geräte in das VLan "Telko" rein und die FritzBox bekommt ebenfalls einen Anschluss in diese VLan an LAN 1 ( darüber ist Zugang zur Box möglich )

- SmartHome-Server bekommt Zugang in das VLan per FW-Regel

Frage:

- hat das schon jemand mal erfolgreich so umgesetzt und funktioniert es ?

- gibt es bessere Ideen ?

Ich würde das am Wochenende mal angehen und probieren.

Kurze Updates:

- VoIP - Telefon ins VLAN, IP per Reservierung aus dem DHCP-Pool des NEtzes

- FritzBox feste IP aus dem selben Bereich

- beide Switchports auf das selbe VLan gestellt

- Telefon verbindet sich zur FritzBox , Telefonie geht intern und extern

- Telefon ist per Ping und HTTPS erreichbar aus anderem VLAN

- Fritzbox ist nicht erreichbar, weder per Ping noch per HTTPS auf die WebGUI

- NTP vom Telefon funktioniert nicht, aber Problem schon erkannt ( die UDM kann kein NTP-Server spielen ), aber egal, da kommt noch ein eigener hin.

Jetzt bleibt zu klären, warum dei FritzBox nicht erreichbar ist, obwohl der Rest im VLAN erreichbar ist. - die Fritzboxen können nicht mit VLans umgehen, das ist schon mal ein Problem.

Update2:

- Telefonie funktioniert innerhalb des VLan ( VoIP an FritzBox connectet )

- hänge in mein Notebooks ins selbe VLan, kann ich problemlos die FritzBox GUI erreichen

- aus anderen WLan ist die FritzBox nicht erreichbar, weder per Ping noch per HTTPS

- die WebGUI des VoIP-Telefons kann ich aber sehr wohl erreichen ( Ping geht auch ), daher kann ich Firewall-Regel hier schon ma ausschliessen, die FritzBox hat ein Problem mit VLan's

- Routen auf UDM oder FritzBox bringen nichts - den Tip hab ich schon aus dem Netz

- FritzBox als Netzwerk-Client geht auch nicht, dann ist die Internetverbindung weg

Ich werde mal eine Anfrage bei AVM stellen.

Kurzes Update:

Ich habe etliche Möglichkeiten und Konfigurationen durchgetestet, es ist nicht möglich, aus einem anderen VLan auf die FritzBox GUI zuzugreifen, obwohl die Gui eines VoIP-Telefons im selben VLan immer erreichbar war.

Ich habe eine Supportanfrage an AVM gestellt und denen alles an Infos geschickt, was ich habe, die wollten das an die Netzwerkkollegen weiterleiten und sich ansehen.

Könnte ein paar Tage dauern.

Die FritzBox GUI ist mir noch egal aber ich brauche auch Zuganz zur Fritzbox für mein Smarthome-Server um den AB an/abzuschalten usw.

Hi!

Kannst Du mit einer direkten Verbindung Rechner -- FRITZ!Box über LAN 2 zugreifen?

Gruß!

Zitat von EJHome

Kannst Du mit einer direkten Verbindung Rechner -- FRITZ!Box über LAN 2 zugreifen?

Nein, die FritzBox ist im BridgeModus, somit arbeitet die Internetmässig wie ein Kabelmodem. Die externe IP-Adresse vom Provider wird 1:1 an LAN2 durchgereicht und die UDM dahinter hält die externe IP-Adressen.

EIn Zugriff auf die Fritzbox selber ist so nicht möglich, es geht nur über LAN1 mit der internen IP der Fritzbox - das funktioniert ja auch nur eben nicht aus anderen VLAN's raus.

Zitat von razor

Du benutzt aber schon die IP-Adresse der FB, um via FB-LAN{2...4} auf die Web-GUI zuzugreifen oder hast einen DNS-Eintrag erstellt, richtig?

Mach die FB noch DHCP auf den LAN-Ports / WLAN? Woher hat das Telefon, welches erfolgreich an der FB registriert wurde, seine IP? DHCP der UDM-P oder FB? Wie verhält sich die FB, wenn Du einen LAN-Client parallel (LAN3/4) zur UDM-P (LAN2) anschließt? Bekommt er eine IP und ins Internet? Was hängt an LAN1?

Könntest Du zur Veranschau lichung eine Skizze erstellen, um zu sehen, wie die Kabel (und VLANs?) konfiguriert sind?

Ich habe in meinem Setup (s.u.) meine FB als IP-Client (DHCP vom USG) in einem eigenen VLAN hängen und alles funktioniert. Ich bin mir im Klaren, dass Dein Setup ein anderes ist, aber das die FB nicht mit VLANs klar kommen soll, da bin ich noch ünschlüssig. Was meinst Du mit "damit klarkommen"? Ja, sie kann nicht mit VLANs umgehen (Stichwort: tagging), aber nativ ist kein Problem.

Man kann im BridgeModus nicht über den BridgePort ( LAN2 in dem Fall ) auf die FritzBox zugreifen, da die darauf nicht reagieren kann. Der Port hat keine interne IP sondern Durchzug zum Internetanschluss.

DHCP ist auf der Fritzbox aus, die hat eine feste IP aus dem VLAN, DHCP macht die UDM-Pro.

Internet funktioniert alles - das ist nicht das Problem und hat damit auch nichts zu tun.

Der Telefonteil hat eine eigene Internetverbindung mit eigener öffentliche IP vom Kabelprovider

Ich komme nur nicht von anderen VLAN als das wo die FritzBox mit LAN1 drin hängt auf die WebGUI der Box, bin ich selben VLAN mit dem Notebook, funktioniert es problemlos. Das VoIP ist im selben VLAN, bekommt seine IP per DHCP von der UDM und ist registriert an der FritzBox, kann telefonieren.

Bild hab ich nicht mehr, welches ich auf die schnelle erstellt habe für AVM, aber kurze beschrieben:

Kabelanschluss -> FritzBox6591 im BridgeModus

-> FB-LAN2 an die UDMPro ( WAN mit DHCP ) hält die öffentliche IP, hierüber geht aller Internettraffic

-> FB-LAN1 ( feste IP: x.x.50.2, VLAN 50 - Telko, Gateway x.x.50.1 = UDM ) -> Unifi Switch ( Port steht auf SwitchPort Profile Teleko (50) )

- VoIP ( IP x.x.50.10, VLAN 50, DHCP ) hängt am selben Switch und erreicht problemlos die FritzBox

- wenn Notebook in VLAN 10 irgentwo im Netz erreicht per HTTPS wie WebGUI des VoIP-Telefons aber NICHT die der FritzBox

- wenn Notebook im VLAN 50 irgentwo im Netz erreicht per HTTPS die WebGUI des VoIP-Telefons und AUCH die der FritzBox

Firewalll kann ich komplett ausschliessen, weil derzeit komplett offen.

@Tuxtom007

Danke für die ausführliche Antwort!

Wie ist Dein Aufruf des GUI?

Gruß!

Zitat von EJHome

Wie ist Dein Aufruf des GUI?

https://<interne IP der FB>

Wie früher auch.

Versuche es mal mit http://<interne IP>

Gruß!

Zitat von EJHome

Versuche es mal mit http://<interne IP>

Hätte mich stark gewundert, wenn es funktioniert - also geht nicht.

Da ist ein Redirect auf https drin.

Ich habe gerade auch die Antwort von AVM bekommen, die sind lustig:

---

"Eine FRITZ!Box 6591 Cable kann nicht im Bridge-Mode betrieben werden. Diese Funktion bieten wir nicht an."

Sollten Sie über einen Business-Vertrag von Vodafone eine angepasste Firmware auf der FRITZ!Box 6591 Cable installiert bekommen haben, dann bitte direkt an den Support / die Entwicklung von Vodafone wenden. Seitens AVM können wir bei einer nicht von uns angebotenen Funktion leider nicht weiterhelfen."

---

Komisch das eine gekaufte 6591 die Funktion freigeschaltet hat und eine gekaufte 6660 die Funktion nur ausgebelendet hat.

Einen Businessvertrag von Vodafone habe ich auch nicht, sondern Privatkundenbertrag aber eben mit freigeschaltetem BridgeModus über die Hotline.

Zudem wird vom Provider keine andere Firmware aufgespielt sondern nur ein anderes config.xml File, worüber die Funktionen in der WebGUI aktiviert oder eben deaktiviert werden. Über den Weg kann man den BridgeMopdus z.b. bei der 6660 auch einschalten.

Ja, da werde ich doch mal meinen Ex-Kollegen auf den Zeiger gehen mit dem Problem -. wobei ich da ehrlich gesagt keine brauchbare Antwort erwarte.

Bin auch gerade etwas stuzig geworden - ich habe die FritzBox derzeit testweise im default-Netz der UDM ( ohne VLan ) mit einer IP aus dem Netz ( x.x.0.250 ). Das VoIP-Telefon ( immer noch im VLan 50 mit IP x.x.50.10 ) ist dennoch zur FritzBox verbunden und Telefonie geht auch. Und es verbindet sich auch nach einem Neustart wieder sauber.

Alles sehr strange

Ja "strange"!

Deshalb halte uns bitte im Loop!

Im Moment habe ich keine weitere Idee. Bei mir konnte ich dem 2ten LAN-Port der FRITZ!Box eine IP reservieren und sie darüber uneingeschränkt ansprechen!

Danke!

Kurzes Update: wirklich weiter gekommen bin ich noch nicht.

Ich werde am Wochenende noch etwas selber testen, hab da noch paar Ideen, die ich probieren möchten, wenn das auch nichts bringt, begrabe ich das Thema.

Es kann gut sein, das Vodafone den BridgeModus für die FritzBoxen nicht mehr lange anbieten wird und dann hat es sich eh erledigt.

Die FritzBox wird das Problem sein - davon mich ich mittlerweile überzeugt.

Bei Vlan wird im TCP-Paket noch ein Vlan-Tag mitgeschickt und ich tippe drauf, das die FritzBox das ignoriert.

Ich hab gestern mal probiert auf LAN1 der FritzBox einen TCP-Snoop mitlaufne zu lassen aber der hat nichts aufgezeichnet, danach hatte ich keine Lust mehr. Werde ich am WE mal wiederholen.

Die Anfragen kommen bei der FritzBox an.

Ich habe gestern abend nochmal einen Trafficmitschnitt auf LAN1 der FritzBox gemacht und dann vom iPhone aus die WebGui aufgerufen ( iPhone hängt im VLan20 )

Die Anfragen des iPhone kommen bei der FritzBox an aber von ihr nicht beantworten, es kommen immer wieder Retransmissions.

Routen habe ich schon probiert, auf beiden Seiten, sowohl in der UDM als auch in der FritzBox und in beiden gleichzeitig, keine Änderung.

Hallo,

jepp das war auch genau das Problem. Die FritzBox antwortet nicht, weil die Antworten auf falsche Interface geschickt werden ( Richtung Internet ), das hab ich gestern im Trace sehen könne.

Ich habe routen eingerichtet für die Subnetz und nun geht es auch aus anderen Vlan.

Ergo: Problem gefunden - Problem gelöst