Nachhilfe in Interfaces/VLAN/Bridges - FreshTomato auf ASUS RT-N66U

PeterPaulMary

Freshly Joined Member
Hallo,

Vorweg: ich habe mehrere Tage mein Glück versucht und quasi alle Posts zu dem Thema in diesem Forum (und vielen anderen) gelesen, habe mit viel Trial & Error die Einstellungen meines Routers zwei/drei dutzend Mal vermurkst und ihn jeweils wieder resettet. Leider bin ich bisher nicht zum gewünschten Ziel gelangt.

Ich vermute dass jemand mit etwas mehr Erfahrung mit Interfaces und Bridges ad hoc die richtigen Einstellungen nennen kann, zumal mein gewünschtes Setup vermutlich nicht gerade selten ist. Für Tipps oder auch nur Vermutungen wäre ich jedenfalls sehr dankbar.

Meine Herausforderung:

Ich habe VPN-Tunnel bisher nur bei Bedarf direkt über Clients aufgebaut, würde nun aber gern zu einer etwas komfortableren Variante übergehen indem ich meinen lokalen Clients ein Gateway mit einer dauerhaften VPN-Verbindung über einen zweiten Router innerhalb meines bestehenden Netzwerks anbiete.

Mit einem sekundären Gateway dass den gesamten Traffic tunnelt könnte ich somit durch eine simple Änderung der Gateway/Router-IP auf meinen Clients zwischen "ungetunnelter" und "getunnelter" Internetverbindung bei Bedarf hin- und herwechseln. Wenn beide Gateways (Frizbox [ungetunnelt] und ASUS [PP Tunnel]) im selben Subnetz erreichbar wären, hätte das den Vorteil dass die Clients weiterhin ohne irgendwelches Network traversal untereinander kommunizieren können während sie frei zwischen "getunnelt" und "ungetunnelt" wechseln können. Das ist mein bescheidenes Ziel.

Nach langem Suchen habe ich mich für einen etwas überdimensionierten ASUS RT-N66U entschieden und ihn erfolgreich mit der entsprechenden, aktuellsten FreshTomato Firmware geflashed (ASUS RT-N66U_RT-AC6x-2020.7-AIO-64K). Ich bin der PP-Anleitung zum Aufbau eines VPN Tunnels gefolgt und kann mit der ASUS-Tomate erfolgreich einen PP Tunnel aufbauen - und den auch mit verbundenen Clients nutzen.

Allerdings hat sich mal wieder herausgestellt dass auch ich einer dieser Heinis bin die einfach zu viel Wissen haben um die Finger davon zu lassen, aber zu wenig um es "mal eben" hinzukriegen. Aufgrund mangelnder Erfahrung und auch mangelnden Verständnisses der genauen Zusammenhänge zwischen Interfaces, VLAN's, Bridges, Routes, NAT, Policies, etc hat die Integration als sekundäres Gateway innerhalb meines bestehendes Netzwerks bisher jedenfalls nicht geklappt.

Bis dato bin ich nur in der Lage den PP Tunnel des ASUS Routers über dessen eigens bereitgestellte WLAN(s) zu nutzen. Ich es aber nicht geschafft den ASUS im bestehenden "Fritzbox-Netzwerk" erreichbar zu machen.

Meine Fritzbox ist unter Adresse 192.168.0.1 erreichbar. Sie stellt WiFI und DHCP bereit. Den ASUS-Router der den PP Tunnel aufbaut würde ich gern im bestehenden Subnet unter der Adresse 192.168.0.3 als zweites, getunneltes Gateway bereitstellen. Das WiFi und den DHCP des ASUS brauche ich dann eigentlich nicht.

Der ASUS ist derzeit über seinen WAN-Port mit der Fritzbox verbunden und erhält von der Fritzbox per DHCP die IP 192.168.0.30. Nameserver habe ich ihm zunächst öffentliche (1.1.1.1, 1.0.0.1) manuell gegeben um weitere Fehlerquellen auszuschließen. Die Firewall settings aus der PP Anleitung habe ich zunächst weggelassen um weitere Fehlerquellen auszuschliessen.

Die Theorie von Netzwerk-Interfaces und Bridges ist mir grob bekannt. In den letzten 25 Jahren bin ich allerdings immer ausgekommen bin ohne mich damit beschäftigen zu müssen. Die Interpretation der doch recht nahe beieinander liegenden und teils auch austauschbar verwendeten Bezeichnungen im Interface des Routers bereiten mir Kopfzerbrechen. Bisher habe ich jedenfalls nur graue Haare, aber keine Verbindung bekommen.

Ich vermute dass jemand mit mehr Netzwerk-Erfahrung (auch ohne das Interface zu kenne/sehen) zumindest theoretisch benennen kann welche Einstellungen erforderlich sind. Derzeit kann man aus den Einstellungen nur mein erklägliches herumstochern im Trüben erkennen.

Hier die derzeitigen Settings der ASUS-Tomate, die zumindest einen Tunnel aufbauen können und in ihrem eigenen WLAN zur Verfügung stellen:

WAN Port,
MAC BB:CC:DD:EE:FF:89,
IP 192.168.0.30 (Connection Type DHCP)

LAN AA:BB:CC:DD:EE:88,
br0 LAN 192.168.0.3/24,
br1 LAN1 192.168.2.3/24

LAN (br0) IPv6 LL Address: aa00::bb00:cc00:dd00:88
LAN1 (br1) IPv6 LL Address bb00::cc00:dd00:ee00:908b

Wireless eth1
AA:BB:CC:DD:EE:88

Wireless eth2
CC:DD:EE:FF:GG:8C

VLAN
VLAN1 (VID1) Ethernet Ports 1-4, Bridge --> LAN (br0)
VLAN2 (VID2) WAN Port --> Bridge WAN

Wireless
Bridge eth1 to LAN br0
Bridge eth2 to LAN br0
 
Top