Mit Raspberry Pi als Verbindungsrechner zwei Netzwerke verbinden!?

[RuckZuck]

Mahlzeit.
Ich überlege gerade wie ich das Netzwerk im Haus eines Bekannten am besten aufbaue...

Ausgangslage:
Zweifamilienhaus, 2x FritzBox als Internetrouter (je eine in jeder Wohneinheit), 1x NAS in Wohnung1, mehrere SmartTVs in beiden Wohnungen, diverse Smartphones, Notebooks, etc.

Wunsch:
Die Geräte im jeweiligen Netzwerk sollen über ihren jeweiligen Router ins Internet, jedoch sollen alle Geräte beider Netzwerke sich untereinander sehen und kommunizieren.
Warum? Im Netz 1 (192.168.10.0) steht ein NAS (192.168.10.3) auf dem die Sat-Receiver/SmartTVs aus Netz1 (192.168.10.x) und Netz2 (192.168.20.x) zugreifen sollen um Aufnahmen zu speichern oder Abzurufen.
Eine Kopplung beider FritzBoxen über FritzVPN / Internet ist NICHT gewünscht (das wäre ja das einfachste).

FritzBox 1 erhält 192.168.10.1 an 16-Port managed Switch 192.168.10.2, alle Geräte an FB1 erhalten fest zugewiesene IP-Adressen im Bereich 192.168.10.x
FritzBox 2 erhält 192.168.20.1 an 8-Port managed Switch 192.168.20.2, alle Geräte an FB2 erhalten fest zugewiesene IP-Adressen im Bereich 192.168.20.x

Receiver 192.168.10.11 soll auf das NAS 192.168.10.3 zugreifen können (das geht ja ohne Weiteres), ebenso aber auch der Receiver 192.168.20.11 und Receiver 192.168.20.12 aus NW2.
Ebenfalls soll in Netzwerk1 ein SatIP-Server laufen welcher auch aus Netzwerk2 erreichbar sein soll.
Direkt beide Switches miteinander verbinden geht nicht wie ich es verstanden habe, da ein "Vermittlungsrechner" zwischen beiden Netzwerken benötigt wird.

Lösungsidee:
Kann ich ein Raspberry Pi mit 2. Netzwerkkarte (USB-Adapter!?) an beide Netzwerke anschließen mit IP-Adresse 192.168.10.2 für Netzwerkkarte1 und 192.168.20.2 für Netzwerkkarte2 und kann ich dann mittels IPTables die Netzwerke via Raspberry verbinden? Geht das so? Muss ich noch etwas beachten?
Ist so sichergestellt, dass jeweils die Geräte nur über den Router ihres Adressbereichs ins Internet gehen?

 

[dewildschwein500]

Hi @RuckZuck1986,
du brauchst ein Gerät, das mit beiden Netzwerken verbunden ist; ist mit dem Raspberry PI machbar. Die IPs für den PI überschneiden sich wohl in deinem Beispiel mit den IPs der Switche.
Der PI ist für die jeweiligen Netze ein zusätzliches Gateway .. für das 192.168.10.0er Netz ist der PI das Gateway zum 192.168.20.0er Netz ... für das 192.168.20.0er Netz ist der PI das Gateway zum 192.168.10.0er Netz.

Damit die Geräte aus dem 192.168.10.0er Netz mit den Geräten aus dem 192.168.20.0er kommunizieren können, müssen diese den Weg über den PI finden.
Dafür reicht jeweils eine statische Route in den FritzBoxen.
192.168.10.0er FritzBox: 192.168.20.0/24 über die Gateway IP 192.168.10.2 (PI IP)
192.168.20.0er FritzBox: 192.168.10.0/24 über die Gateway IP 192.168.20.2 (PI IP)

Möchte ein 192.168.20.0er Gerät zum Beispiel zum NAS (192.168.10.3), dann geht das Paket erst zu seinem Default-Gateway (192.168.20.1) und wird dann über die statische Route zum PI gesendet. Der PI leitet das Paket dann direkt zum Ziel weiter (Forwarding muss natürlich aktiviert sein) ... Der Rückweg ist das gleiche in grün ... das NAS adressiert die Anwort an die ursprüngliche 192.168.20.x Absender IP und das Paket findet den Weg über die FritzBox (192.168.10.1) über den PI zurück zum 192.168.20.0er Gerät.

Wenn man es noch etwas komplizierter machen möchte: Der PI braucht nicht unbedingt 2 Netzwerkkarten .. mit 2 VLANs würde die eine Netzwerkkarte reichen.

Mit IPTables könntest du noch bestimmte Verbindungen zwischen den Netzen verbieten. Mit einem Layer 3 Switch, kannst du dir auch das Zusatzgerät (PI) u.U. sparen.

Nachtrag:
Grober Netzwerkplan

Spoiler: Netzwerkplan

                   +-- NAS  -------+
                   | 192.168.10.3  +---+
                   +---------------+   |
                                       |
                                       |
                                       |
                 +-- FB (1) -  --+     |
                 | 192.168.10.1  |     |   +-- PI Router---+
(Internet)---WAN-+               +-LAN-+---+ 192.168.10.2  |         +-- FB (2)------+
                 |               |         |               |         | 192.168.20.1  |
                 +---------------+         | 192.168.20.2  +---+-LAN-+               +-WAN---(Internet)
                                           +---------------+   |     |               |
                                                               |     +---------------+
                                                               |
                                                               |
                                                               |
                                                               |   +-- PC/SmartTV--+
                                                               +---+ 192.168.20.3  |
                                                                   +---------------+

Auf dem PI-Router IP-Forwarding aktivieren und auf FritzBox 1 (FB 1) und FritzBox 2 (FB 2) jeweils eine statische Route eintragen.

 

[RuckZuck]

Internet würde aber wie gewohnt über den jeweiligen Router gehen?
Also lag ich richtig das forwarding auf dem Pi dann mit iptables zu lösen?!

da sowieso ein Pi laufen soll (unter anderem als Printserver, Homebridge, etc) macht das nichts ;-)
Switches werden wohl Netgear ProSafe Plus 8- & 16-Port, da ich bisher mit denen gute Erfahrungen gemacht habe.
FRITZ!Boxen werden 7590er, ggf schon die AX Ausführung.

 

[dewildschwein500]

Hi,
IPTables braucht man nicht; braucht man entweder zum NAT'n oder zum Firewall'ing ... NAT braucht man für dein Vorhaben nicht .. also bräuchte man IPTables nur noch um bestimmte Verbindungen zwischen den zwei Netzen zu unterbinden.

Thema Internet: Ja, würde wie gewohnt über die jeweilige FritzBox gehen.
Die Clients sende sämtliche Netzwerkpakete immer zur FritzBox, solange die Ziel-IP-Adresse nicht zum eigenen Netzwerk gehört. Ohne die statischen Routen würden auch die Pakete für das jeweils andere LAN versucht werden übers Internet loszuwerden. Die FritzBox würde das Paket theortisch einfach zu seinem Standard-Gateway (Provider) weiterschicken, in der Hoffnung, dass dieses weiß wo das Ziel ist ... Praktisch verläßt das Paket aber nicht die FritzBox in Richtung Internet, weil diese privaten IP-Adressen nicht im Internet geroutet werden. Durch die statische Route zum jeweils anderen LAN, werden die Pakete gezielt zum PI geroutet ... alle anderen Pakete, also die die weder zum eigenen LAN noch zum anderen LAN gehören, verlassen über ihr Standardgateway das eigene Netz.

Für das Forwarding reicht:
echo 1 > /proc/sys/net/ipv4/ip_forward ... überlebt aber kein Reboot
Dauerhaft Forwarding aktivieren
/etc/sysctl.conf => net.ipv4.ip_forward=1

 

[conga]

Der Kollege @dewildschwein500 hat eine technisch gangbare Lösung mit den statischen Routen über den Fritz.Boxen und den PI als Router vorgeschlagen. Bei dem PI hätte ich bedenken, ob das Gerät mit einer zusätzlichen USB Netzwerkkarte immer noch performant ist. Da die eingebaute Netzwerkkarte auch über das USB geht. Anstatt des PIs würde ich ein Cisco SG250-08 Gigabit-Smart Switch mit 8 Ports (SG250-08-K9-EU) nehmen, gib es im großen Fluss für ca. 85 € und der beherrscht Layer 3 (routing). Hier ein kurzes Video wie es umgesetzt wird:

Sie müssen registriert sein, um Links zu sehen.

 

[dewildschwein500]

Hi,
ja, die Netzwerk-Performance der PIs ist nicht besonders gut ... auch bei einem PI 4 wird man kein Gigabit Netzwerk betreiben können.

 

[conga]

Der PI ist nicht die beste Lösung fürs Routing. Was auch geht sind kleine Mikrotik Router, wie z.B.:
- MikroTik hEX lite, 5 x 10/100 Mbit/s Ethernet, ca. 35€
- MikroTik hEX, 5 x 10/100/1000 Mbit/s Gigabit Ethernet, ca. 45€

oder mit openWRT, hier könnte ein TP-Link C6 mit 4 Gigabit LAN Ports das Routing übernehmen.

​

 

[HarryHase]

Ich würde bei sowas über ein class B Netzwerk nachdenken ; Da wären die Netzwerke physikalisch über einen Standard gigabit Switch gekoppelt und logisch nur über die Netzwerkadressen. Nachteil es gibt nur einen DHCP Server (oder macht eine kompliziertere Lösung mit Filtern, dann wäre das Bindeglied z.B. der MicroTik mit openwrt, der dann dhcp für die beiden Stränge zur Verfügung stellen kann und auch komplexe Filter erlaubt).
Wollte nur den Gedanken einwerfen der mir gleich gestern kam als ich den Titel las.

 

[conga]

Kann trotz nach mehrmaligen lesen, deinen Ansatz mit dem Class B Netz nicht verstehen (@HarryHase). Du willst ein class B Netz nutzen und diesen subnetten (logisch unterteilen)? Wie stellst du die Verbindung zwischen den zwei Netzen her?

 

[dewildschwein500]

Hi,
hier noch ein alternatives Board für den PI mit einem speziellen Router OS wie pfSense oder OPNSense ... wohl nicht so ganz günstig

Sie müssen registriert sein, um Links zu sehen.

Sie müssen registriert sein, um Links zu sehen.

Mit dem System kann man beide Netzwerke besser verwalten als man es mit einer bzw. zwei FritzBoxen kann. Man hätte eine zentrale und vernüftige Oberfläche und u.a. wird man die FritzBox-Schwächen im DHCP- und DNS-Bereich los.

 

[conga]

Jetzt wird es interessant, PC Engines ist super. Da haben wir früher Firewalls gebaut mit den alten PC Engines Board und mit m0n0wall. Heute nimmt man, wie du schreibst pfSense oder OPNsense. Dürfte meiner Meinung nach, für das Projekt etwas überdimensioniert sein und kostet auch was mehr. Nicht zu vergessen, dass pfSense und OPNsense auch eine gewisse Einarbeitungszeit brauchen und in falschen Händen kann man ziemlich viel verkonfigurieren und das kann auf Kosten der Sicherheit gehen.

 

[dewildschwein500]

Hi @conga,
ja, da stimme ich dir zu. Ist etwas überdimensioniert und bei dem System muss man in den verschiedenen Netzwerkbereichen etwas fitter sein und man muss Spaß am "basteln" haben.

 

[HarryHase]

Im B-Netz kann jeder mit der richtigen Subnetzmaske auf alles zugreifen, die Fritzboxen bekommen die C-netz-mask damit sehen die sich schon mal gegenseitig nicht; Als gateway bekommt jeder seinen router eingetragen; Beispiel
---
PC1 : 192.168.178.100 | PC2 : 192.168.179.100
Mask: 255.255.0.0 | Mask: 255.255.0.0
gw_ 192.168.178.1 | gw_ 192.168.179.1
---
fritz: 192.168.178.1 | gw_ 192.168.179.1
Mask: 255.255.255.0 | Mask: 255.255.255.0
---
PC ist ein synonym für ein Gerät im Bereich, Fritz für den router zum Internet
Wenn das so eingetragen ist kann PC1 auf PC2 zugreifen und ins Internet geht er über Fritz1
So kann man dann auch Geräte "aussperren" die nicht über die Grenze greifen sollen;

Was man jetzt noch überlegen muss ist das mit dem DHCP

 

[conga]

OK, verstehe dein Lösungsansatz, kein Router im Netz und nur ein Netz. Dafür benötigt es nicht ein class b Netz. Das geht auch mit einen C Netz. Bei deiner Überlegung fehlt eine Fritz.Box, wenn ich das richtig erfasse.

Man kann das ganze ohne Router abbilden in einen Netz, wie im Bild 1. Hier ist zu beachten, dass nur eine FritzBox als DHCP Server fungieren kann und im anderen Netz ist manuelle IP Vergabe angesagt. Bei dieser Lösung ist mehr Handarbeit angesagt.

Die schönere und saubere Lösung ist wie von @dewildschwein500 vorgeschlagen, 2 Subnetze mit einen Router dazwischen, sieh Bild: 2

Du musst Regestriert sein, um das angehängte Bild zusehen.

Du musst Regestriert sein, um das angehängte Bild zusehen.

 

[HarryHase]

Klar kann man das auch mit eine c-Netz machen, aber das ist schwieriger zu verstehen, darum gehe ich bei solchen Überlegungen auf ein B-Netz, das kriegt man ohne rechnen hin und Adressen sind lokal ja immer mehr als genug da.
Bei meiner Überlegung sind 2 Fritze drin, aber nur eine darf DHCP machen und es muss von Hand konfiguriert werden, das ist richtig, dafür wird keine Hardware benötigt und es ist trivial gelöst;
Mit einem router in der Mitte muss dieser und die statischen routen in den Geräten die übergreifen sollen konfiguriert werden, auf einem SAT Receiver wird das lustig da es mit jedem update nachgezogen werden muss.

je länger ich drüber nachdenke, ist das m

Viele Wege führen nach Rom...