Ich muss etwas ausholen. Die Cisco ASA 5505 Firewall ist die kleinste Firewall und für Homeoffice oder kleine Außenstellen oder Firmen geeignet. Wer sie sich zulegt, sollte sich mit Netzwerken, Firewalls und dergleichen auskennen und auch Cisco-Geräte managen können.
Nun zu seinem Netzwerk zu Hause:
Mit anderen Worten:
Die Vodafone EasyBox dient als Router ins Internet und hat intern die IP 192.168.2.1. Per WLAN sind Laptop, Handy, Tablet angebunden. Ebenfalls im IP-Bereich 192.168.2.xxx. Der WLAN Repeater ist transparent und hat eine Management IP-Adresse (192.168.2.99). Das Gerät ist per WLAN an der EasyBox angebunden und geht per LAN-Kabel an die Cisco ASA 5505 Firewall.
Diese hat auf der WAN-Seite die IP 192.168.2.98.
Da wir eine Firewall haben und diese als Trennung zwischen 2 Subnetzen haben, müsen wir auf der internen Seite (für den PC, das NAS) einen anderen IP-Adressbereich wählen. Die interne IP der Firewall hat die 10.0.0.2, sie dient als Standard-Gateway für den PC (10.0.0.20) und das NAS (10.0.0.10).
Nun sollte die Firewall durch einen Switch ausgetauscht werden. Dadurch verschieben sich aber auch die IP-Bereiche wieder. Somit musste ich zum einen den WLAN Repeater umstellen und den Switch neu konfigurieren. Alles an sich kein Problem.
Das Ergebnis sieht nun wie folgt aus:
Soweit war alles ok. Der PC bekam per DHCP eine IP-Adresse von der Vodafone EasyBox.
Tests:
Um nun alles prüfen ob alles wie gewünscht funktioniert, testet man. Das Internet, zB ix.de, ist meine bevorzugte Adresse. Warum? Sie ist kurz! Und daher schnell zu tippen.
http:/www.ix.de - Seitenaufruf ging nicht.
Ping auf ix.de - ging nicht.
Komisch... kein Internetzugriff. Aber eine IP-Adresse habe ich bekommen, somit ist das interne Netzwerk zuHause doch ok. Dachte ich.
Nochmal andere Tests:
Ping auf das Standard-Gateway (in diesem Fall die EasyBox): 192.168.2.1 - geht
Cool... Netzwerk (Routing) ist ok, sonst bekäme ich die EasyBox nicht erreicht. Ein Versuch, die Weboberfläche aufzurufen, war auch ok. Alles schien gut und korrekt zu sein.
Manuelle Vergabe der IP-Adresse am Desktop-PC brachte keinen Erfolg.
Später, bei genauerem Hinsehen habe ich einen Eintrag gesehen:
Dieser Eintrag sorgt dafür, dass die Verbindung nicht korrekt funktioniert. Pakete werden zwar weggesendet, können aber nicht zurück, da der Weg nicht bekannt ist. Routing ist ein sehr komplexes, aber interessantes Thema!
Durch den Befehl route delete 0.0.0.0 in einer DOS-Box (auch EIngabeaufforderung genannt), löscht man diesen Eintrag und alles funktioniert nun wie gewünscht.
Bitte beachten: Die DOS-Box muss mit Admin-Rechten ausgeführt werden!