Netzwerk

Fritzbox: Zweites Heimnetz mit alter Box einrichten

Im Schrank liegt noch eine alte Fritzbox herum? Wie wäre es mit einem zweiten LAN?

Als Fritzbox-Nutzer habt Ihr standardmäßig ein Heimnetz mit dem privaten Adressbereich 192.168.178.XXX. Aber Ihr könnt natürlich auch segmentieren, also etwa ein zweites Heimnetz mit dem Adressbereich 10.0.0.XXX einrichten. Im professionellen (und nerdigen) Bereich ist das durchaus üblich, um beispielsweise Geräte voneinander abzuschotten oder Nutzern/Anwendungen eigene Netzwerkbereiche zuzuordnen. Mit Fritzboxen ist das zwar nur eingeschränkt möglich, dafür aber super einfach – typisch Fritze halt.

Netzwerksegmente

Normalerweise können Netzwerkgeräte nur auf andere Geräte im selben Adressbereich zugreifen. Möchte man zwei Netze verbinden, benötigt man dafür einen Router – sowie die Fritzbox standardmäßig auch das Heimnetz mit dem Internet verbindet. Die Verbindung zum Internet läuft dabei ganz automatisch. Eine Verbindung von zwei Heimnetzen muss man hingegen explizit einrichten. Normalerweise würde das so gehen: Router 2 wird an Router 1 angeschlossen und beiden Routern wird manuell mitgeteilt, welchen Adressbereich der jeweils andere Router aufspannt und über welche IP im eigenen Adressbereich der Router zu finden ist. Diese manuell angegebene Route zwischen den beiden Heimnetzen nennt sich Statische IP-Route.

Bei der Fritzbox sieht es anders aus: Hier kommt die Technik NAT zum Einsatz. Ganz kurz und vereinfacht ausgedrückt: Ihr habt nur eine öffentliche IP-Adresse von Eurem Internetanbieter, aber ganz viele interne Heimnetzadressen. Eine Verbindung zu einer Website kann aber nur von Eurer öffentlichen Adresse aufgebaut werden. Dass Ihr von jedem Gerät im Heimnetz einfach so Webadressen aufrufen könnt, habt Ihr NAT zu verdanken. Die Fritzbox ist eben für den Consumer-Markt gedacht (und ist streng genommen auch kein reiner Router, sondern ein Kombi-Gerät aus Router, Switch und Modem). Für die Verbindung zweier Heimnetze bedeutet das einerseits, dass Ihr gar keine statische IP-Route einrichten müsst. Andererseits aber, dass Ihr nicht wirklich frei konfigurieren könnt!

Soll heißen: Mit zwei Fritzboxen könnt Ihr quasi per Plug&Play zwei Heimnetze (vorhanden: Netzwerk 1, neu einzurichten: Netzwerk 2) mit folgenden Eigenschaften einrichten:

  • Netzwerk 1: Alles wie immer, keine Änderungen für Eure Geräte
  • Netzwerk 1: Zugriff auf Dienste in Netzwerk 2 optional via Portfreigabe
  • Netzwerk 2: Zugriff auf Rechner in Netzwerk 1
  • Netzwerk 2: Zugriff auf das Internet

Im Grunde ist es simpel: Nehmt Euer vorhandenes Heimnetz: Auf Rechner im Internet habt Ihr direkten Zugriff über IP-Adressen (die aus Namen wie tutonaut.de übersetzt werden). Wollt Ihr aber vom Internet aus auf Dienste im Heimnetz zugreifen, geht das nur über Eure externe IP, die Ihr vom Provider bekommt. Ihr landet also standardmäßig auf Eurer Fritzbox – oder eben per Portweiterleitung zum Beispiel auf Eurem NAS.

Und im obigen 2-Fritzboxen-Setup ist es dasselbe: Aus Sicht des neuen Netzwerks ist das vorhandene Heimnetz das Internet – Rechner können per IP angesprochen werden. Aus Sicht des vorhandenen Heimnetzes ist das neue Netzwerk wiederum nur eine einzelne Netzwerkadresse – Dienste können per Portweiterleitung angesprochen werden.

So könntet Ihr zum Beispiel im neuen Netzwerk 2 Server/Dienste bereitstellen, auf die Nutzer von Netzwerk 1 aus standardmäßig (!) keinen Zugriff haben – also etwa einen Horror-Film-Medienserver, den die Kinder nicht sehen sollen.

fritzbox-oberflächen im browser.
Rechner in Netzwerk 2: Zwei Heimnetze von einem Rechner aus

Nebenbei: Umgekehrt wäre eigentlich schöner, denn dann könnte man in Netzwerk 2 wunderbar Server für den öffentlichen Zugriff über das Internet bereitstellen! Da aber bei Altgeräteverwertung Netzwerk 1 schneller und sicherer ist, sollte dies natürlich das Standard-Netzwerk bleiben. Bei professionellen Routern/Switches ist das auch durchaus machbar, hier aber nicht.

Fritzbox eben: Die Einrichtung ist super einfach, dafür sind die Möglichkeiten beschränkt. (Der Vollständigkeit halber: Es gibt wohl irgendwelche Frickelwege, die Fritzbox gegen die Herstellervorstellungen zu modifizieren, aber scheint mal zu funzen, dann wieder nicht, dann wieder doch und wieder nicht, und außerdem ist das auch sicherheitstechnisch nicht unbedingt eine gute Idee – Updates würden Eure Konfiguraition tendenziell auch noch zerschießen.)

Zweites Netzwerk einrichten

Kommen wir zum angenehmen Teil, der einfachen Einrichtung. Zunächst zur Hardware: Hier kamen die Fritzbox 6660 Cable und 6360 Cable zum Einsatz. Mit anderen Fritzen sollte es weitgehend genauso funktionieren. Wenn Eure Alte neuer ist als die 6360, könnten die Optionen anders heißen, da gibt es je nach OS-Version einen IP-Client-Modus. Ober der sich im Detail exakt genauso verhält wie das Setup hier, kann ich nicht sagen, aber grundsätzlich bleibt die Idee dieselbe.

Nochmal kurz die Benennungen, weil zwei Fritzboxen verwirren können ;)

  • Vorhandene, aktuell laufende Fritzbox: Fritzbox 1/Neu
  • Alte, inaktive Fritzbox: Fritzbox 2/Alt
  • Vorhandenes Netzwerk: Netzwerk 1 (an Fritzbox 1)
  • Aufzubauendes Sub-Netzwerk: Netzwerk 2 (an Fritzbox 2)

Bevor es ans Vernetzen geht, hängt erstmal nur einen Rechner an die Fritzbox 2/Alt, um diese zu konfigurieren – aber nicht an LAN 1; die Fritzbox-Oberfläche erreicht Ihr wie immer über die Adresse fritz.box.

Konfiguration auf Fritzbox 2/Alt:

  1. Zugangsart festlegen
    Aktiviert unter Internet/Zugangsart die Option Internetzugang über LAN 1. Heißt: Die Fritzbox 2/Alt wird über LAN 1 mit dem Internet verbunden, statt über den Anschluss zur Dose in der Wand.
    fritzbox screenshot.
    Fritzbox 2: Anbindung an das Internet über Fritzbox 1 am LAN-1-Anschluss
  2. IP-Adresse in Netzwerk 1 festlegen
    Legt direkt darunter unter Ip-Adresse manuell festlegen fest, unter welcher Adresse die Fritzbox 2/Alt in Netzwerk 1 zu finden ist – also beispielsweise 192.168.178.2 (192.168.178.1 ist in der Regel die Fritzbox 1/Neu). Als Subnetzmaske vergebt Ihr 255.255.255.0, als Standard-Gateway und Primärer DNS-Server die Adresse der Fritzbox 1/Neu, also 192.168.178.1.
  3. Heimnetz 2 konfigurieren
    Wechselt nun zu Heimnetz/Heimnetzübersicht/Netzwerkeinstellungen/IP-Adressen/IPv4-Adressen. Hier bestimmt Ihr nun den Adressbereich des neuen Subnetzwerks, indem Ihr die IP-Adresse der Fritzbox 2/Alt auf zum Beispiel 10.0.0.1 setzt (die Subnetzmaske bleibt auf 255.255.255.0). Auch die Option Lokaler DNS-Server setzt Ihr auf die Adresse der Fritzbox 2/Alt, also wieder 10.0.0.1.
subnetz-einstellungen der fritzbox.
Fritzbox 2: Aufspannen von Netzwerk 2 (hier als 192.168.188.XXX)

Damit ist die Konfiguration abgeschlossen und Ihr könnt vernetzen: Einfach den Anschluss LAN 1 der Fritzbox 2/Alt an einen beliebigen Anschluss der Fritzbox 1/Neu hängen – fertig! Alle Geräte, die Ihr nun in das neue Netzwerk 10.0.0.XXX hängt, sei es über LAN oder WLAN, haben sofort Internetzugriff und auch Zugriff auf Geräte im Netzwerkbereich 192.168.178.XXX.

Das heißt: Ihr könnt von Netzwerk 2 aus Geräte aus Netzwerk 1 an-ping-en:

ping 192.168.178.1

Versucht Ihr hingegen Geräte von Netzwerk 1 aus Netzwerk 2 anzupingen, wird dies scheitern:

ping 10.0.0.1

Das heißt nicht, dass Ihr aus Netzwerk 2 alles sofort so machen könnt, wie aus Netzwerk 1. Ihr könnt die Rechner erreichen – welche Dienste diese dann zur Verfügung stellen, ist dann wieder eine Frage der Konfiguration. Ein Beispiel: Hier klappt der Zugriff aus dem neuen Netzwerk auf Webserver auf Anhieb, auf Medienserver teilweise. Der Zugriff auf Netzwerkfreigaben hingegen nicht. Da müsste dann noch weiter herumkonfiguriert werden, aber das ist dann ein anderes Thema.

Wenn Ihr auch umgekehrt von Netzwerk 1 auf Server in Netzwerk 2 zugreifen wollt, müsst Ihr Portfreigaben auf Fritzbox 2/Alt einrichten.

Weiterleitungen

Mit diesem Setup könnt Ihr nun wild in der Gegend herum-umleiten: Wenn Ihr nur von Netzwerk 1 auf Server im Netzwerk 2 zugreifen wollt, genügt eine Portfreigabe auf der Fritzbox 2/Alt für die gewünschten Ports. Beispiel: Ihr habt in Netzwerk 2, also an Fritzbox 2/Alt, zwei Rechner mit Servern:

  • Rechner 1 mit Webserver auf Port 80, IP-Adresse 10.0.0.11
  • Rechner 2 mit Kodi auf Port 8080, IP-Adresse 10.0.0.22

Dann richtet Ihr auf Fritzbox 2/Alt zwei Portfreigaben unter Internet/Freigaben/Portfreigaben ein:

  • Freigabe 1: Port 80 an Computer Rechner 1 an Port 80
  • Freigabe 2: Port 8080 an Computer Rechner 2 an Port 8080

Dann könnt Ihr von Rechnern in Netzwerk 1 auf Kodi und Webserver Zugreifen:

  • Webserver: 192.168.178.2:80
  • Kodi: 192.168.178.2:8080

Ihr gebt also immer die Adresse der Fritzbox 2/Alt in Netzwerk 1 an – die einzelnen Rechner-IPs in Subnetzwerk 2 spielen keine Rolle, die Dienste werden ausschließlich über den Port angesprochen. Genau so, wie eben auch aus dem Internet auf Netzwerk 1 zugegriffen wird.

So, genug der dauernden Wortwiederholungen … klingt schrecklich, ich weiß, aber es beugt Missverständnissen vor.

Es ginge aber auch noch mehr: Wie wäre es etwa mit einem Webserver im Docker-Container auf einem Server in Netzwerk 2, erreichbar über das Internet? Das sähe dann so aus:

  • Fritzbox 1/Neu: Portfreigabe für Fritzbox 2/Alt auf Port 80
  • Fritzbox 2/Alt: Portfreigabe für „Mein-Server“ (etwa IP 10.0.0.11) auf Port 80
  • „Mein-Server“: Portfreigabe für Docker-Container auf Port 80
  • Docker-Container: Laufender Webserver, etwa Apache, mit Standard-Port 80

Das Ergebnis: Jeder Mensch der Welt mit Internetanschluss könnte nun Eure externe IP-Adresse eingeben und würde auf dem Webserver im Container in Netzwerk 2 landen.

Zugriffe raus in die zwei „Internets“ via IP, rein ind die Heimnetzwerke per Ports

Verwirrung komplett? Supi.

Fazit

Das klingt jetzt alles vielleicht arg kompliziert, aber letztlich besteht die ganze Subnetz-Einrichterei nur aus zwei bis drei Schritten:

  1. Fritzbox 2: Internet über LAN 1
  2. Fritzbox 2: Adressbereich für Netzwerk 2
  3. Fritzbox 2 – optional: Portfreigaben für Zugriff auf Dienste aus Netzwerk 1

Das ist binnen weniger Minuten eingerichtet. Weitere Konfiguration könnt Ihr immer noch in Angriff nehmen, etwa Portfreigaben für SSH-Zugriff. Es mag bessere und einfachere Möglichkeiten für die Segmentierung von Netzwerken geben, aber wenn eine alte Fritzbox herumliegt …

Mehr zum Thema Fritzbox.

26% sparen
(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)

Basis für Einstiegsbild.

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help und VoltAmpereWatt.de. Neu: Mastodon

14 Kommentare

  1. Hallo Mirco,

    Danke für die super Erklärung. Ich habe noch ein paar Frage bezüglich der Vernetzung mehrerer sekundärer Fritzboxen. Wäre es möglich, mehrere Fritzboxen zu verbinden (z. B. Subnetze 10.0.1.0, 10.0.2.0, 10.0.3.0 usw.), und wären diese Fritzboxen dann voneinander isoliert?

    Danke!

  2. Gute Anleitung. Du schreibst: Nebenbei: Umgekehrt wäre eigentlich schöner, denn dann könnte man in Netzwerk 2 wunderbar Server für den öffentlichen Zugriff über das Internet bereitstellen!
    Genau so eine Lösung würde ich aber suchen. Das Netzwerk2 soll nicht das Netzwerk1 sehen. Es gibt bei mir Geräte im Netzwerk (z.B. Heizungssteuerung Viessmann), die mit dem Hersteller kommunizieren müssen. Ich möchte aber nicht, dass der Hersteller auf mein Netzwerk Zugriff hat, in dem auch mein NAS und meine PCs sichtbar sind.
    Wie du schreibst, könnte man die Router tauschen. Aber dann wäre der schlechtere am Netzwerk1. Wenn man zwei gleich gute Router hätte, könnte man am Netzwerk1 die Geräte mit Kommunikation nach außen einbinden und im Netzwerk2 die NAS und PCs. Mir ist aber nicht klar, ob es dann irgendwelche Nachteile für das Netzwerk2 gibt (Geschwindigkeit?).

  3. Hallo Mirco,
    danke erstmal für den Super Artikel,
    würde mich aber auch gerne an Ralf seine Frage anschließen.

    Wie kann ich zB in Netzwerk 2, indem ein Raspberry Pi als VPN und Pihole dient, diesen Raspberry von außen erreichen? Ich stoße mit den Fritzoxen immer auf das Problem, dass ich diesen nicht erreichen kann und ich somit mein VPN von unterwegs nicht nutzen kann. Ich habe Portfreigaben eingerichtet und auch DynDNS versucht aber keine Chance. Mache ich vielleicht irgendwas falsch oder ist das die Grenze des Möglichen bei der Fritzbox?

    oder hatt das Problem schon jemand gelöst?

    Bei mir hab ich auch im 2. Netz ein Raspberry mit Iobroker drauf und den würde ich gerne von außen erreichen.

    Danke schon mal.

    1. Mehr als Weiterleitungen lässt sich da leider nicht machen – eigentlich sollte man damit durchaus von extern auf einen Dienst in Netzwerk 2 kommen, zumindest auf einfache Dinge wie eine Webserver. Wenn das nicht klappt, hapert es irgendwo an den Einstellungen. Andere Dinge können aber schnell an der Fritzbox selbst und NAT scheitern.

      Dieses Fritzbox-Setup ist nicht optimal, nur eine Notlösung – da ich das hier auch nicht mehr laufen habe, kann ich mir ioBroker speziell aber auch nicht anschauen.

      Falls es unbedingt dieses Hard- und Netzwerk-Setup sein muss, frag mal bei Administrator.de nach, vielleicht findet sich da irgendeine Frickellösung … Vermutlich wird man Dir aber eher raten, ein paar Euro für bessere Hardware in die Hand zu nehmen und die 2-Fritzen-Lösung zu verwerfen. Oder wirf ioBroker schlicht in Netzwerk 1!

  4. Hallo Mirco,
    danke erstmal für den Super Artikel,
    würde mich aber auch gerne an Ralf seine Frage anschließen.

    Wie kann ich zB in Netzwerk 2, indem ein Raspberry Pi als VPN und Pihole dient, diesen Raspberry von außen erreichen? Ich stoße mit den Fritzoxen immer auf das Problem, dass ich diesen nicht erreichen kann und ich somit mein VPN von unterwegs nicht nutzen kann. Ich habe Portfreigaben eingerichtet und auch DynDNS versucht aber keine Chance. Mache ich vielleicht irgendwas falsch oder ist das die Grenze des Möglichen bei der Fritzbox?

    oder hatt das Problem schon jemand gelöst?

    Bei mir hab ich auch im 2. Netz ein Raspberry mit Iobroker drauf und den würde ich gerne von außen erreichen.

    Danke schon mal.

  5. Hallo Mirko,

    danke für die Anleitung, funktioniert super.
    Kann ich die FritzBox 2 auch aus dem Internet erreichen? Beispielsweise über VPN von myFritz?

    VG Andreas

  6. Hallo Mirco,

    erstmal danke für den ausführlichen Artikel. Eine Frage habe ich aber trotzdem. Wie kann ich zB in Netzwerk 2, indem ein Raspberry Pi als VPN und Pihole dient, diesen Raspberry von außen erreichen? Ich stoße mit den Fritzoxen immer auf das Problem, dass ich diesen nicht erreichen kann und ich somit mein VPN von unterwegs nicht nutzen kann. Ich habe Portfreigaben eingerichtet und auch DynDNS versucht aber keine Chance. Mache ich vielleicht irgendwas falsch oder ist das die Grenze des Möglichen bei der Fritzbox? Danek dir schon mal.

  7. Hallo Mirko,

    vielen Dank für die ausführliche Erklärung. Geht die Freigabe auch andersherum, wenn ich z.B. aus dem Netzwerk 2 auf ein Gerät aus Netzwerk 1 zugreifen will. In meinem Fall ist es eine Dreambox die im Netzwerk 1 hängt und ich würde gerne aus dem Netzwerk 2 auf diese zugreifen.

    Vielen Dank,

    Sascha

    1. Das sollte einfach so gehen, ganz ohne Portfreigaben oder sowas.

      Aus Sicht von Netzwerk 2 ist Netzwerk 1 wie das Internet – ein Netz mit ganz vielen IP-Adressen, unter anderem der der Dreambox. So wie Du also aus Netzwerk 1 auf tutonaut.de zugreifen kannst, kannst Du von Netzwerk 2 auf die IP der Dreambox zugreifen (also vermutlich was in der Art von 192.168.178.123). Portfreigaben/Weiterleitungen braucht man nur „vom Großen ins Kleine“, also wenn man vom Internet auf Netzwerk-1-Geräte zugreifen will oder eben vom Netzwerk 1 auf Netzwerk-2-Geräte.

      Nach oben sehen die Netze immer ganz viele IP-Adressen/Rechner, die direkt angesprochen werden können. Nach unten sehen Netze immer nur eine einzelne IP-Adresse – und Zugriff auf IP-Adressen/Rechner darunter laufen dann über Port-Weiterleitungen.

      1. Vielen Dank für den Hinweis, das hatte ich falsch verstanden. Eigentlich wollte ich nicht, dass alle Geräte aus dem Netzwerk 2 auf mein Netzwerk 1 zugreifen können, sonder sie sollten eigentlich nur die Internetverbindung von Netzwerk 1 nutzen.

        Kann ich dann eigentlich über eine Portfreigabe von Netzwerk 1 auf die FritzBox in Netzwerk 2 zugreifen?

  8. Hallo Mirko,
    Fast alle Zeilen waren Antworten von meinen schwebende Fragen. Nie in meinem Leben habe ich so ausführlich Erklärung gesehn. Ich danke Dir sehr. Ich habe eien enteressante Frage an Dich aber wenn möglich möchte über PM oder MAil schreiben. Meine Frage ist über ein problemlos laufende pfsense.
    MfG

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Schaltfläche "Zurück zum Anfang"
Schließen

Ooopsi!

Bitte deaktiviere Deinen Adblocker.