Hallo zusammen,

da ich aktuell meine Fritzbox wegen Provider-Wechsel und Problemen komplett neu aufsetze, möchte ich auch Ordnung in die Vergabe der lokalen IP-Adressen bringen.

Bei mir bekommt jedes Gerät eine feste IP-Adresse von der FritzBox und wer die nicht hat, muss draußen bleiben.

Jetzt haben wir sehr viele Geräte im Heimnetz, nicht zuletzt wegen der Hauzssteuerung, so dass ich bald mit 255 Adressen nicht auskomme. Zudem würde ich gerne Adressblöcke für unterschiedliche Geräte vergeben.

Ich bekomme die FritzBox 6591 leider nicht dazu, den Adressbereich zu vergrößern.

Der aktivierten DHCP Server erklaubt mir nur Adressen zwischen 192.168.178.1 bis 192.168.178.254 zu vergeben. Als Subnetzmaske ist die 255.255.255.0 eingetragen.

Kennt dafür jemand eine Lösung und kann mir das erklären?

Viele Grüße

MacMichael

Ändere die Subnetzmaske von 255.255.255.0 auf 255.255.254.0.
Dann geht dein verfügbarer Adressbereich von 192.168.178.1 bis 192.168.179.254

Jedes Gerät braucht natürlich auch die andere Subnetzmaske, da sie unter Umständen sonst nicht miteinander reden können.

Super, danke für den schnellen Tipp. Das heißt, dass die erweiterte Subnetzmaske auf allen Geräten eingestellt sein muss, die nicht in dem alten Adressbereich bleiben?

Wenn ich in der Subnetzmaske aus der 254 eine 253 machen würde, hätte ich dann die Nummern bis 180?
Geht das auch mit der 255. davor, also 255.254.0.0, dann hätte ich bis in alle Ewigkeit genug Adressen.

Ich befürchte, dass bei dem ein oder anderen Gerät, das schwierig wird, das umzustellen, oder?
Für die Haussteuerung habe ich da Timethinker-Dosen und Aquara-Kram, das war alles ziemlich umständlich.

Du benötigst neben den erforderlichen Kentnissen zum richtigen Aufbau eines Netzwerkes auch vernünftige managbare Switche, damit du mehr als die von der Fritzbox vorgegebenen Adressen sauber verwalten kannst. Zudem ist es dann auch möglich und mehr als sinnvoll die Haussteuerung komplett aus dem Internet zu verbannen um ungebetene Besucher draussen zu lassen und etwaige Sicherheitslöcher in der Firmware damit zu fixen.
Kurze Erklärung über IPv4:

Adressen werden dort in 4 Blöcke vergeben z.B.
0.0.0.0 oder 192.168.178.1

Jeder Block vor einem Punkt bildet, wie der Kilometerzähler eines Autos einen Adressbereich von 0-255 ab.
Da in der Fritz!Box nur ein Segment vergeben werden kann. Stehen hier nur die Adressen von 1 bis 254 theoretisch zur Verfügung, abzüglich der selbst von der FB genutzten vorbelegten Adressen.
Ohne zusätzliche Hardware kommst du also nicht weiter!

Nein, ein kaputtes Subnetz

255.255.255.0 = 11111111 11111111 11111111 00000000 (8 Bit für Host-Adressen)
255.255.254.0 = 11111111 11111111 11111110 00000000 (9 BIt für Host-Adressen)
255.255.253.0 = 11111111 11111111 11111101 00000000 (kaputt)

Wenn Du mehr Adressen brauchst, ist der nächste Schritt nach dem /23 (also .254) ein /22 (also .252):

255.255.252.0 = 11111111 11111111 11111100 00000000 (10 Bit für Host-Adressen)
Nein.

Wenn Du 255.254.0.0 nutzt, kommst Du aus dem RFC 1918-Adreßbereich heraus, dann wären auch Adressen mit dem Prefix 192.169.0.0/16 in Deinem privaten Adreßbereich. Die gibt es aber im Internet, und das kann sehr in die Hose gehen (im besten Fall erreichst Du die Systeme einfach nicht).

Das höchste der Gefühle bei 192.168.0.0/16 ist 255.255.0.0 als Netzmaske. Das sind dann aber auch über 65000 Geräte, sollte für den Hausgebrauch reichen. Oder Du nutzt gleich 10.0.0.0/8 mit der Netzmaske 255.0.0.0, dann ist wirklich Ende der Fahnenstange. Ansonsten gibt es noch 172.16.0.0/12 mit 255.240.0.0 (jeweils maximal, kleiner geht immer).

Ob es sinnvoll ist, ein einzelnes Subnetz so aufzublasen, steht auf einem ganz anderen Blatt. Ebenso, ob der DHCP-Server des Plasterouters das mitmacht.

O.K., ich habe fast durchgängig relativ gute Switche, die man managen kann, aber auch ein paar einfache.

Aktuell (bin sehr auf Internet angewiesen, 3 Homeoffice-Arbeitsplätze aus aktuellem Anlass) scheint mir das für meine Kenntnisse doch etwas heikel, mit meinen Kenntnissen hier herumzuprobieren.

Ist auch die von sunni vorgeschlagene Änderung schon riskant?

Grundsätzlich haben meine Vorredner recht, jedoch ist bei der FB dennoch mehr möglich als man denkt.

Praktisches Beispiel:
Fritzbox hat die IP: 10.10.10.10
Als Subnet ist die: 255.255.0.0 hinterlegt.
Der von der Fritzbox kontrollierte DHCP-Bereich ist die 10.10.100.30-10.10.100.60 mit dem Subnet 255.255.0.0

In der Netzwerkübersicht der Geräte in der Fritzbox kann man nun auch auf ein Gerät klicken, den Hacken setzen um eine feste IP zu vergeben und dort dann z.B. die IP 10.10.10.100 eintragen, also quasi jede IP im Bereich 10.10.x.x

Über Sinn und Unsinn lässt sich streiten. Fakt ist auch, dass man sich damit die Broadcasthölle ins Haus holt und dann wirklich zusätzliche Geräte notwendig sind, um den Trafic bei vielen Geräten zu bändigen.

Wieso? Switche arbeiten auf Layer 2, denen sind die IP-Adressen und -Subnetze gerade mal egal. Und managebar müssen sie nur sein, wenn der OP sein Subnetz segmentieren will, was er aber nicht vorzuhaben scheint (auch wenn es sinnvoller wäre), sondern es geht nur um die Vergrößerung des Subnetzes.

Unter anderem, ja. "Intelligente" Heimgeräte bis hin zu Glühbirnen im Internet sind ein ziemlich effektiver Weg, sich in den Fuß zu schießen, vor allem wenn man eher geringe Netzwerk-Grundkenntnisse hat. Und wenn das dann noch mit "Home Office-Arbeitsplätzen" (siehe unten) zusammenkommt, ist eine explosive Mischung schnell erreicht ...

Wenn, wovon ich fest ausgehe, die Fritzbox mit größeren Subnetzen als /24 umgehen kann, gelten diese Betrachtungen so nicht.

Ausgerechnet gegen die "Broadcast-Hölle" helfen Switches nun aber gerade nicht. Da geht kein Weg an Segmentierung vorbei - also Router und mehrere separate (Sub-)netze. Das dürfte aber nun über die Möglichkeiten der Fritzbox hinausgehen.

Das kommt darauf an, was Du mit "riskant" meinst.

Performancemäßig sollte die Fritzbox mit mehr als 254 Geräten im Netz schon noch auskommen, wenn sich der Durchsatz in Grenzen hält.

Sicherheitstechnisch halte ich eine Kombination von IoT-Devices mit Internet-Anbindung und produktiver, beruflich genutzter IT für mindestens bedenklich.

Gerade bessere Switche sind L2+ bzw. L3 Switche, d.h. sind können routen.

Was auch eine Möglichkeit sein könnte, ist das du an einem der Anschlüsse der Fritte ein Gastnetzwerk einrichtest, und dort den ganzen "smarthome-Kram" reinhängst. Dann ist der netzwerktechnisch schon mal von den Macs getrennt, so das dadurch mögliche Risiken zumindest reduziert werden.

... müssen dafür aber auch entsprechend konfiguriert werden. Ja. Eine plug and play-Lösung wie ein "normaler" einfacher Switch sind sie in keinem Fall.

Ob ein L3-Switch noch als Switch bezeichnet werden kann, sei mal dahingestellt. Funktionell sind sie Router, nur etwas dummere.

Mir erscheint das komplizierter als ich zunächst dachte und die Ansichten sind da auch nicht einheitlich.

Aktuell komme ich mit 255 Adressen auch noch aus und mal sehen, wie es dann weiter geht.

Meine Konfiguration ist eigentlich nicht super kompliziert. Wir haben die Fritzbox plus 5 Mesh-Repeater (einer davon eine alte Fritzbox) sowie eine PowerLAN Verbindung auch über Fritz-Geräte. Das funktioniert ziemlich gut.

Dann haben wir zur Verteilung im Haus Zyczel GS1100 Switche.

Im Netz sind diverse Rechner, iPads, Iphones etc. sowie Kühlschrank, Spülmaschine, Homepod, NAS und einige Hausautomationssachen, die über Apple Home gesteuert sind.

Es werden nur Geräte im Netz zugelassen, für die eine feste IP vergeben wurde, darüber führe ich eine Liste. Alle anderen Geräte können sich nicht anmelden.

Mir scheint das eine vernünftige Sicherheit zu bieten, aber Spezialist bin ich nicht. Mein Arbeitgeber nutzt Tunnelblick als VPN Lösung, was manchmal etwas holpert aber unabhängig davon, wie man ins Netzt geht.

Nein, die Sicherheit ist gleich Null. Jeder, der eine Adresse mit 192.168.178 an seinem Gerät einstellt, hat sofort Zugang zum Netz. Etwas mehr Sicherheit würden die MAC-Adressen bieten, aber die kann man auch sehr leicht fälschen.

Hinzu kommt, dass IPv4-Adressen bei allen neueren Apple-Betriebssystemen eine Altlast sind, die nur noch verwendet wird, wenn es unbedingt sein muss. Das Standardprotokoll ist IPv6 und es kann sein, dass viele Deiner Netzgeräte (auch unter Einbeziehung von Bonjour) schon lange darüber kommunizieren, ohne dass Du das gemerkt hast.

Ist es nicht vielmehr so, dass die Geräte eine feste IP-Adresse haben müssen. Die Zuweisung einer IP Adresse durch den Router ist doch eher DHCP. Ich bin mir nicht sicher ob jedes deiner Geräte die Einstellung einer festen IP-Adresse erlaubt. Das gibt bei über 200 Geräten einen netten Konfigurationsaufwand. Jedes Gerät per DHCP verfügbar machen und dann falls möglich auf feste IP-Adresse umprogrammieren. Das dauert.
Aus meiner Sicht tust Du dir keinen Gefallen damit Geräte wie Steckdosen oder Lampen ins Heimnetz einzubinden die auch schon mal nach Hause telefonieren. Da ist die Sicherheitslücke doch schon vorprogrammiert.

Ich verwende nur Geräte die über Bluetooth verbunden werden. Da kann dann kein Hersteller aus China sich in meinem Netz umsehen.

Das Thema Subnetzmaske wurde ja schon ausreichend erklärt.

Nein, es gibt auch Layer 3 Switche und ich habe geschrieben vernünftige managebare Switche, von Layer-2 habe ich nichts geschrieben und ich würde mir diese auch nicht mehr kaufen.

Zu viel Aufwand, fehleranfällig und wie Marcel Bresink richtig geschrieben hat auch noch unsicher. Die saubere und gute Möglichkeit damit sich auch auf den Clients kein Konfigurationsfehler oder Vertipper in den Netzwerkeinstellungen einschleicht ist folgende:
In der Fritzbox zu der jeweiligen MacAdresse eine IP zuweisen, der Client bleibt auf DHCP, solltest du aus irgendeinem Grund einmal die Settings ändern wollen musst du sonst alle Geräte einzeln wieder konfigurieren. Die Übersicht welches Gerät welche IP hat bekommst du dann auch sauber in der Übersicht der Fritzbox. Funktioniert das, sperrst du im Bereich WLAN den Zugang, das nur die bekannten WLAN Geräte ins Netz dürfen, das ist keine 100%ige Sicherheit, erhöht aber schon mal die Hürde.

Nachtrag:
Dann verbiegst du Das Profil Standard so, das es nichts mehr darf, da alle neuen Geräte automatisch Standard bekommen. Nun legst du dir ein Profil mit den gewünschten Einstellungen an und weist die den entsprechenden Geräten die dir bekannt sind zu, so bekommst du auch die Heimautomation geblockt, damit diese nicht mehr nach Hause telefoniert!

Persönlich sehe ich da kein Problem, wenn man wirklich ein Heimnetzwerk betreibt was keine Verbindung zum Internet hat. Ich habe dazu für spezielle Hardware ein VLAN hochgezogen, in dem diese Geräte zwar miteinander kommunizieren können, aber keinerlei Kontakt zur Außenwelt haben. Da die Ports auf „untagged“ gesetzt wurden, können die Geräte auch nicht auf das andere Netz zugreifen.

Den Hausautomationssachen erlaube ich keinen Zugang zum Internet. So habe ich das Standard-Profil eingestellt, was diese Geräte bekomen. Das Standard-Profil bekommt auch jedes andere Gerät.

Mit Port-Öffnungen bin ich sehr sparsam, es sind nur die voreingestellte und für den Zugang der FritzBox von unterwegs.

Alle Geräte die ins Internet dürfen bekommen ein anderes Profil. Das geht meines Wissens nur, wenn die Geräte eine feste IP haben.

Die Aquara-Hubs wollen einmal bei der Einrichtung und bei Updates gelegentlich ins Internet, dann stelle ich die einmal kurz dafür um. Viele Sachen laufen dann sowieso nur über den einen Hub. Ich habe allerdings 9 sehr gute Schaltsteckdosen, die alle eine eigene IP haben wollen. Die können aber nicht aus dem Heimnetz raus.

Welchen Port muss man öffnen um von außen in die Fritzbox zu kommen? Ich habe meinen eigenen Domain Dienst und melde mich über VPN an einer ollen Fritzbox an.
Ich habe keinen Port offen und bin aber mit 8 Fritzboxen verbunden (daher habe ich noch eine hier zu stehen).