Router Kaufempfehlung

[BenutzerGa4gooPh]

Kleiner Einspruch zu Vectoring aus Providersicht: Durch Übersprechen kann der Betreiber von Kupferleitungen (Last Mile) nicht alle Kabelpaare mit xDSL belegen, im Extremfall heißt das, der Nachbar bekommt xDSL, ich nicht. Betraf vor allem ADSL mit kompletter, langer Teilnehmeranschlussleitung (TAL) aus Kupfer.

Mit VDSL werden die DSLAMs eher per Glas (Upstream, Richtung Hauptverteiler/Provider) angeschlossen, Downstream Richtung Teilnehmergerät mit kurzen Kupferleitungen: Vectoring wurde speziell dafür, für VDSL2 entwickelt. Extrem wichtig wird es in grossen Gebäuden mit vielen Teilnehmern. Oder bei vielen Nachbarn.

Quintessenz: Die Sinnhaftigkeit von Vectoring würde ich selbst auf dem Dorfe nicht pauschal ausschließen. Zumindest verbessert sich Signal-Rausch-Verhaeltnis (SNR) und damit erzielbare Bandbreite und moegliche Teilnehmerzahl pro Kabelbuendel am DSLAM.

Zur Firewall: Dient bei Privatgeraeten wohl vorranging zur Verhinderung von ungewollten Zugiffen auf deren Management, Abweisung von Broadcasts aus dem Netz, Abschottung von anderen und äußeren Segmenten mit NetBIOS und Avahi, Kinderschutz, Vermeidung ungewollter Zugriffe aus dem internen Netz nach aussen, Adblocker etc. Wer von den Praktikern kann/will denn noch genau zwischen Router und Firewall und Blockern unterscheiden?! Beispielsweise NAT als "akademischer" Streitfall, beispielsweise OpenWrt und PFSense die alles machen (können).

Malware per https/443 auf Endgeräte: Danke wanne, für die interessanten und plausiblen Erläuterungen! Las schon mal einen Beitrag von dir, muss mich mal intensiver damit beschäftigen.
(Auf Endgerät, mittels Browser-Addons sagtest du bereits, nichttransparenter https-Proxy mit Content-Filter auf Router/FW zum zentralisierten Schutz für alle internen Netzgeräte einschl. Androiden, Win-PCs?)

[BenutzerGa4gooPh]

Aber sei's wie es sei, wir werden das hier nicht klären, die weitere Eingrenzung des DRM-Problems. Ich kann ja mal schauen, ob Sohnemann mir mal testweise seinen Nicht-Telekom-Internet-Router überlässt. Dann wird sich zeigen, ob das mit einer anderen Firewall geht.

Vorschlag: Teste nicht nur den "Sohnemann-Router" anstelle Speedport - sondern auch Speedport mit nachgeschaltetem "Sohnemann-Router" als testweisen Ersatz deines "Sonderknack-Debian-Firewall-Router-PCs" mit Tolino am WLAN des "Sohnemann-Routers". Gibt dafür allerdings verschiedene Konfigurationen - als auch für "Sonderknack-Debian-Firewall-Router-PCs" anstelle Routers vom Sohn.

Jana schrieb dazu: "Von orcape in einem anderen Thread verlinkt: https://www.administrator.de/wissen/kop ... 48713.html
Ganz interessant. "
Falls mit dem kurzfristigen Erhalt (oder längerfristigen Bedarf, hi, hi) des Routers deines Sohnes was nicht klappt, mache ich dir einen anderen Vorschlag. Will aber nicht für die Mieze schreiben, also melde dich bei Bedarf!

Oder nochmal: Gibt es VDSL-fähige Router ohne oder mit abschaltbarer Firewall? Dann könnte ich ja mal so einen - mieten.

Ist wohl gerade ein kleiner Streitfall.

[novalix]

sorry for off topic.

*Trage selbst Aluburka.

Sowas wie hier? Tres chique.

[wanne]

Kleiner Einspruch zu Vectoring aus Providersicht: Durch Übersprechen kann der Betreiber von Kupferleitungen (Last Mile) nicht alle Kabelpaare mit xDSL belegen, im Extremfall heißt das, der Nachbar bekommt xDSL, ich nicht.

Nope. Im extremfall heißt das beide bekommen DSL und wenn es beide nutzen ist es halb so schnell, weil das Spektrum aufgeteilt wird. Übersprechen auf allen frequenzen wird es aber nicht geben.

Extrem wichtig wird es in grossen Gebäuden mit vielen Teilnehmern. Oder bei vielen Nachbarn.

Ja klar wenn du in dem Dorf mit den 5 Wolkenkratzern in reihe wohnst sieht das natürlich gut aus mit Vectoring.
Ne ernsthaft: Auf dem Dorf hast du normal praktisch keine Mehrfamilienhäuser und immer Grundstücke die deutlich größer als das Haus sind.
Das genannte Dorf hat eine Einwohnerdochte von 86 Einwohner je km² das meiner Eltern 108 Einwohner/km². >250Ew/km² findest du auf dem Dorf halt einfach nicht. Nirgends. Und da kommt kein Vectoring hin.

Abweisung von Broadcasts aus dem Netz,

Das lässt kein Router durch.

Abschottung von anderen und äußeren Segmenten mit NetBIOS und Avahi,

Auch das geht durch keinen Router. Und auch der Provider sagt da dann eindeutig: Nein! Das blockt also schon dein Provider. Brauchst du nicht nochmal.

Kinderschutz,

Wie soll das gehen, seit xhamster TLS kann und unzählige kleinere Sites bei Amazon hosten? Und VPNs kennen mittlerweile auch die 10 Jähringen.

Adblocker etc.

Auch das wird wohl nicht mehr lange tun. Praktisch alle Seiten fangen an mehr und mehr Werbung nur noch als DIV statt als iFrame einzubinden. Damit haben die Routerfirewalls aber tatsächlich mal zu Sicherheit und privatsphäre beigetragen.

Vermeidung ungewollter Zugriffe aus dem internen Netz nach aussen

Wie gesagt da bist du mit "Personal" Firewalls deutlich besser dran, weil du da auch nach Nutzer oder App filtern kannst.

[BenutzerGa4gooPh]

@novalix:
No, ich mag bewährte Qualität, keine religiösen Modeerscheinungen: http://www.focus.de/fotos/arbeiter-in-s ... 51619.html (Hoffentlich habt ihr Adblocker, Focus halt.)

@wanne:
Mir ging es mehr um die schlecht mögliche praxisnahe (!) Unterscheidung der Begriffe bzw. Fähigkeiten von Firewall und Router als Gerät an sich: Die modernen Geraete bzw. Distributionen machen aus Anwendersicht beides, siehe OpenWrt und PFSense und Debian. Die Stock-FW der Plastik-Router ebenso, zumindest rudimentär. Ging mir da mehr um Günther. Als Fachmann sollte man schon unterscheiden, entweder dem Router oder der FW (innerhalb ein-und-derselben Distribution oder Herstellerfirmware) zuordnen.

Kinderschutz: Gibt ja nicht nur clevere 14-jaehrige, einige sind kleiner, noch nicht so clever - notfalls Whitelists oder Erziehung - oder Ohrfeige bei Wirkungslosigkeit vorgenannter Massnahmen. (Nicht ganz ernst gemeint.)

Zu Vectoring/Übersprechen können wir beide Extremfälle konstruieren (DSLAMs stehen neuerdings inmitten von "Eigenheimghettos" mit winzigen Grundstücken und jeder mit lahmem Internet ist nicht Sinn von VDSL), lassen wir es lieber.

Für mich persönlich interessant war dein Beitrag zu Malware per https. (Überlege mir dazu mal einen eigenen Thread.)

[guennid]

Ich fasse also mal in meinem Laienverstand zusammen: Es ist eher ungewiss, dass ein anderer VDSL-Router das Tolino-Problem lösen kann. Muss ich halt damit leben, zwecks E-Book-Ausleihe die Heimnetzkonfiguration fallweise umzustellen.
Und wenn ich wanne folge, dann ist auch die Aufgabe des Speedports unabhängig davon nicht sehr sinnvoll.
Ging mir auch schon durch den Kopf, die Verbandlung von Telekom und Tolino. Aber dann bleibt ja als zweite Möglichkeit nur ADE.
Ich weiß ja nicht genau, was da eigentlich passiert mit dem acsm-File von der Bibliothek. Bei lesen.net meinte man, die "Umwandlung" bestünde in einem kompletten epub-download durch Adobe, aber die meinten auch, "meine" Firewall verhindere die Umwandlung. Kriegt Adobe eigentlich mit, dass der AP/DHCP-Server nicht der des Telekom-Routers ist?

@Jana
Den Test mit "Sohnemann-Router" würde ich so anlegen, dass lediglich die beiden Fremd-Router ausgetauscht würden, mein AP und der eigene Router dahinter aber voll in Funktion blieben. Alles andere machte ja in Bezug auf das Tolino-Problem keinen Sinn. Ich käme vom Regen in die Traufe.

[BenutzerGa4gooPh]

Bisher, so habe ich dich verstanden, funktioniert nicht:
VDSL---Speedport---Guenthers Eigenbau (Debian vmtl.) mit WLAN-Accesspoint ---Tolino

Direkt am Speedport-WLAN funktioniert Tolino. Weil es deshalb unwahrscheinlich ist, dass Speedport "fehlerhaft", schlug ich vor:
VDSL---Speedports LAN---Ethernetkabel---WAN des Routers vom Sohn und an dessen WLAN---Tolino
(Nur NAT am Sohnrouter einstellen.)

Wenn das läuft, liegt es am testweise durch Sohnrouter ersetztem Eigenbau und eindeutig nicht am Speedport. Der Sohnrouter laesst sich vmtl. einfach per Webinterface konfigurieren. Knackpunkt: Ethernet WAN-Anschluss?

Aber mach was du willst, ich tue es ja auch.

[TomL]

Moin Günther

Ich fasse also mal in meinem Laienverstand zusammen: Es ist eher ungewiss, dass ein anderer VDSL-Router das Tolino-Problem lösen kann.
Muss ich halt damit leben, zwecks E-Book-Ausleihe die Heimnetzkonfiguration fallweise umzustellen.

Ich möchte mich nur kurz mit ner Verständnisfrage einklinken... weil zur Lösung kann ich wohl nix beitragen: Aber ich habe mich schon die ganze Zeit gewundert, warum Du den Aufwand betrieben hast, das WLAN des normalen Routers abzuschalten, um dann das WLAN des zweiten Routers für den Tolino einzuschalten. Warum soviel Aufwand?

Ich würde einfach den regulären Haus-Accesspoint durchlaufen lassen Und wenn der Tolino halt einen AP mit direktem WAN-Zugang will, dann würde ich kurzerhand mit einer eigenen SSID den eben auch aktivieren. Dann gibts eben im Haus zwei AP mit unterschiedlicher SSID.... ja und... was solls.... ?... vor dem Sommer werde ich das mit meiner alten Fritte genau so einrichten... damit wir eben auch noch im Garten störungsfreies WLAN haben. Die meldet sich dann mit eigener SSID, eigener WLAN-Verschlüsselung, eigenen intern eingerichteten MACs, wer alles darf.... usw. Das ich dann zwei AP habe, stört mich nicht, eher das Gegenteil trifft zu. Einen neuen Router für viel Geld würde ich mir wegen diesem Problem nicht anschaffen.... anscheinend geht doch alles mit der vorhandenen Hardware....

[guennid]

Tja Thomas,

Aufwand/Bequemlichkeit hat hier keinen so hohen Stellenwert, ich habe schon gerne möglichst viel unter meiner eigenen Kontrolle. Oder wie ich sonstwo sagte: Ich mach meine Fehler gerne selbst. Und Wlan nur, wo ich keine andere Lösung finde. Und das soll durch meinen Router, bevor es in die Welt gelassen wird. Und was rein geht, sowieso. Und eins zieht das andere nach: Als DHCP-Server muss ich dann auch den Speedport benutzen - dem Tolino kann ich keine statische IP verpassen. Im Übrigen leistet mir selnic gute Dienste. Nochmals danke! Bis zum McDonnels habe ich's u. a. wegen dieses geschlossenen Mists (Speedport+ADE) bisher noch nicht geschafft.

Grüße, Günther

[BenutzerGa4gooPh]

@TomL: Wenn guennid schon den Aufwand eines 2. Routers/Firewall oder was-auch-immer betreibt, ist es doch sinnvoll, auch WLAN damit abzusichern und damit das WLAN vom 1. Router (Speedport) abzuschalten.

Ich gebe dir jedoch insofern Recht, wenn guennid das 2. WLAN für den Tolino wirklich nicht zum Laufen kriegt (was eigentlich gehen sollte, Konfigurationsfehler am Eigenbau?), dann könnte er durchaus das 1. WLAN (Speedport) mit Extra-SSID ausschließlich für den Tolino nutzen. Was soll dem Tolino selbst schon groß passieren und hinter dem Speedport ist er schon ziemlich sicher.

@guennid: Du kannst notfalls am Speedport einen zusätzlichen DHCP-Server für nur eine einzige MAC-Adresse (Tolino) konfigurieren. Nennt sich DHCP-MAC-Reservation.

[guennid]

Ihr vergesst/überseht ADE! Schon möglich, dass die Telekom nichts kann für die Misere. War dem nicht so, dass Adobe bei den Bugs ganz oben stand?
Browsen könnte der Tolino in meiner Netzkonfig. Dass er, bzw. ich mit ihm, es nicht kann, ist lediglich der Tatsch-Tastatur geschuldet, aber ok, es mögen auch meine Wurstfinger die Schuldigen sein. "Too many fingers on keyboard error!"

[edit]

@guennid: Du kannst notfalls am Speedport einen zusätzlichen DHCP-Server für nur eine einzige MAC-Adresse (Tolino) konfigurieren.

Die Idee ist mir als Notlösung durchaus symphatisch.

Nichtsdestotrotz, ich möchte auch unabhängig von den Tolino-Problemen das Mietverhältnis für den Speedport beenden, Sprich, es soll eine neuer Plastic-Router her.

[guennid]

Tja, eigentlich wollte ich hier ja Schluss machen, aber ich komme mit der Umsetzung von Janas Empfehlung nicht ganz klar. Ich habe es hingekriegt, in der Web-GUI des Speedport einen IP-Bereich anzugeben, für den der DHCP-Server IPs vergeben soll, aber unter zweien macht er's nicht, und die Möglichkeit der Zuordnung der MAC des Tolino zu einer dieser beiden IPs habe ich bisher nicht gefunden.

Grüße, Günther

[TomL]

Eigentlich ist die Zuweisung eine statischen IP hier an dieser Stelle etwas, was weder für Kontrolle, noch für Sicherheit, noch für Funktion, noch für irgendein Wohlbefinden irgendeinen Nutzen hat. Das ist ja hier eh nur eine eher selten genutzte Verbindung, insofern ist die IP völlig egal und bedeutungslos.
Für die Sicherheit und die Kontrolle ist es jedoch wichtig, den Speedport nur auf bekannte (!) Geräte zu begrenzen. Das heisst, da musss es einen Menüpunkt "WLAN" und dann "Sicherheit" oder ähnliches geben. Dort kann man die Mac-Adressen der bekannten und erlaubten Geräte eintragen, hier eben die Mac des Tolinos. Darüber hinaus dann den Punkt "Nur bekannte Geräte erlauben" aktivieren und die Option (sofern vorhanden) "WPS-Schnellverbindung" unbedingt deaktivieren.

Damit wären eigentlich alle Anforderungen erfüllt.

[BenutzerGa4gooPh]

Die MAC Reservierungen Reservierungen sind nicht so wild - so du keinen 2. DHCP-Server auf dem WAN-Interface des 2. Routers hast. (Was Nonsens wäre.)

Also:
Eine Reservierung für Tolino und eine für das WAN-Interface des 2. Routers in der Kette.
Das WAN-Interface des 2. Routers auf DHCP-Client stellen. Beide Clients kriegen damit immer die gleiche IP.
Die MACs kannst du ermitteln?

Die IPs müssen im Bereich des LAN/WLAN-Netzes des 1. Routers (Speedport) sein!!!
Ergibt sich aus Interface-IP und Subnetzmaske des genannten Interfaces. Notfalls posten, sind eh von jedem verwendete private IPs.

Beispiel:
1. Router (Speedport) LAN/WLAN:192.168.10.1 255.255.255.0
Gibst dem 2. Router per DHCP-Reservation im Speedport die letzte des Bereiches,192.168.10.254, dem Tolino die 192.168.10.10.
Schön übersichtlich und leicht merkbar.
Den 2. Router auf NAT. (Geht auch mit statischer Route im Speedport. Nimm erst mal NAT zum Testen.)

Edit:
Vor- oder Nachteil: Es können so noch weitere Clients (mit richtigem WLAN-Passwort) einloggen. So du das nicht willst, kriegste eben noch ein Beispiel.
Thomas war schneller ... mit MAC-Filter des Speedport kann man natürlich auch einzuschränken.

@Thomas: Man kann auch den DHCP-Gesamtbereich auf die bekannten MAC-IP-Reservations einschränken, also hier auf 2. Muss man obiges Beispiel entsprechend ändern. MAC-Adressen kann man jedoch leicht ändern, also Ball flach. WPA2-PSK/AES-Authentifizierung ist wohl (noch) recht sicher und "state of the art".

[TomL]

Man kann auch den DHCP-Gesamtbereich auf die bekannten MAC-IP-Reservations einschränken,

Welchen Zweck soll das erfüllen, wenn ich sowieso nur genau ein einziges Gerät über die Mac-Adresse zulasse und an den Kabel-Ports auch nix angeschlossen ist/wird? Ich würde lediglich den DHCP-Range weit außerhalb des regulären Ranges vom anderen Router setzen, damit nicht die gleiche IP von zwei Routern vergeben wird..... und das wars dann auch schon. Welche LAN-IP der Tolino während des Downloads irgendwelcher Bücher von irgendeinem Online-Handler hat, ist doch für diesen Moment völlig unwichtig und faktisch für den Gedanken an Sicherheit und Kontrolle total irrelevant.

[BenutzerGa4gooPh]

Welche LAN-IP der Tolino während des Downloads irgendwelcher Bücher von irgendeinem Online-Handler hat, ist doch für diesen Moment völlig irrelevant.

Stimmt eigentlich.
Für das WAN-Interface des 2. Routers wäre mir jedoch die "statische IP" durch Reservation wichtig. Werde meinen Text/Beispiel überdenken ...

2 DHCP-Server im gleichen Netz sind ungut, aber das sollte im Beispiel nicht auftreten. Diesbezüglich eindeutig. Der 2. DHCP-Server im LAN des 2. Router stört nicht, durch NAT nie, ohne NAT muss man natürlich IPs planen. Aber das bringst du guennid bei.

Beispiel überdacht:
Da es sich um eine Router-Router-Verbindung mit zusätzlichen Host handelt, finde ich das so schön übersichtlich, alle IPs fest und mit MACs eingetragen.

guennid kann für die 2., nach seiner Aussage nötige Reservation jedoch auch einen Dummy nutzen:
1. Reservation: WAN-Mac des 2. Routers <>- 192.168.10.2
2. Reservation: Dummy-MAC (alles 9en oder so) <-> 92.168.10.3 (hat man gleich Platzhalter für irgendwas)
Vorteil: guennid muss nicht die MAC des Tolino suchen. Dessen IP wird dann variieren.

[TomL]

Nee, Jana, Günther muss da wirklich überhaupt nix mit NAT und IP-Reservierung machen.... der Speedport ist selber schon Border-Device, und als solcher sogar das einzige. Das heisst, der macht von ganz alleine schon das passende NAT... gleich für den zweiten Router, der dahinter als lokaler LAN-Router geschaltet ist, in vollem Umfang mit, weil letzten Endes nur der Speedport die Schnittstelle zum Internet ist.

Wenn Günther sicherstellt, dass der DHCP des zweiten (inneren) Routers einen anderen Range hat, als der erste, vordere Router (Speedport), passiert da gar nix. Es reicht völlig aus, das eine erlaubten Gerät (Tolino) einzutragen und den Router seine Arbeit machen zu lassen. Konflikte oder Risiken gibts nicht mehr, als die obligatorischen, die er jetzt auch schon hat.

[guennid]

da musss es einen Menüpunkt "WLAN" und dann "Sicherheit" oder ähnliches geben.

Ich finde ihn jedenfalls nicht. Es gibt "Heimnetz/WLAN-Zugriff verwalten/Zugangsbeschränkungen" und obwohl ich bei letzterem "Nur bestimmte Computer im WLAN zulassen" ausgewählt habe, setzt er dann sowohl bei "alle auswählen", als auch bei "Tolino" Häkchen, die ich nicht mehr entfernen kann. Dann bietet er in diesem Dialog noch "Computer verwalten" an. Klicke ich das an, erscheint der nächste Dialog, betitelt "Einstellungen zum Heimnetz (LAN)". Dort sehe ich dann in der Spalte "Geräte" meinen Debian Router und den Tolino. In der Spalte "Verbindung" steht beim Debian-Router "Netzwerkkabel" (logo, anders ist der auch mit dem Speedport nicht verbunden), beim Tolino ausgegraut "keine". In der nächsten Spalte "MAC+IP" kann ich dann diese Daten für die beiden Geräte "anzeigen" und auch "ändern". Offenbar hat der Speedport bereits die MAC des Tolino. - ich habe sie ihm nicht gegeben. Als IP nimmt er die erste des von mir definierten Bereichs mit den zwei IPs.

Warum er darauf besteht, einen Bereich von mind. 2 IPs (in seinem Netz, soweit verstehe ich das schon) für DHCP zu verlangen statt einer, erschließt sich mir nicht. Dem Debian Router hatte ich schon längst eine andere IP, also keine aus dem angegebenen Bereich, aber wiederum im Speedport-Netz (192.168.2) vergeben (anders könnte hier Internet auch gar nicht funktionieren, meine ich), und die benutzt der Speedport auch, samt der zugehörigen MAC, ebenfalls bei "anzeigen" gesehen.

Grüße Günther

[BenutzerGa4gooPh]

@TomL: Ohne Doppel-NAT statische Rückroute im Speedport auf das LAN hinter 2. Router nötig. Keine IP-Doppelungen möglich, IP-Planung erforderlich. Bringe du das Günther bei, 2 x NAT ist einfacher. Soll erst mal gehen, dann kann man optimieren.

Nun ist gleich mein Akku leer ... morgen geht es weiter.

[guennid]

Wenn Günther sicherstellt, dass der DHCP des zweiten (inneren) Routers einen anderen Range hat, als der erste, vordere Router (Speedport), passiert da gar nix.

Hatte ich von Anfang an bedacht und so konfiguriert, s.o.

Wobei: Den DHCP-Server des "inneren" Routers benötige ich gar nicht mehr, aber das ist eine anderes Thema.

[TomL]

Rückroute im Speedport auf das LAN hinter 2. Router nötig. Keine IP-Doppelungen möglich. Bringe du das Günther bei, 2 x NAT ist einfacher. Soll erst mal gehen, dann kann man optimieren.

Wieso sollte man das denn machen? Welchen Sinn sollte es haben, mit dem Tolino theoretisch wieder die Geräte hinter dem "inneren" Router zu erreichen? Ich muss ehrlich sagen, ich verstehe die Probleme nicht, die Du jetzt lösen willst. Es reicht doch absolut aus, wenn er sich am Tolino via WLan mit dem Speedport verbinden kann... dann ist er störungsfrei im Web und kann Bücher kaufen. Was derweil der innere Router mit seinen eigenen Clients treibt, ist doch hier bedeutungslos. Wenn er am Tolino keine IP hat, die auch der "innere" Router vergibt, gibt es keine Konflkite, das Nat für den Tolino ins Internet macht der Speedport. Und wenn der Speedport eh keine anderen WLAN-Geräte zulässt, ist doch auch das Sicherheitsproblem gelöst. Wieso muss man denn da noch über Nat und IP-Reservierung und so'n Quatsch nachdenken.....?... ehrlich... das kapier ich einfach nicht.

[TomL]

Hatte ich von Anfang an bedacht und so konfiguiriert, s.o.
Wobei: Den DHCP-Server des "inneren" Routers benötige ich gar nicht mehr, aber das ist eine anderes Thema.

Das sind doch beste Voraussetzungen. Dann einfach den DHCP-IP-Range des Speedports außerhalb der bereits vergebenen Static-IPs des "inneren" Routers setzen und "jöh...lass laufen und zieh vollspeed Bücher...."

[guennid]

Eins interessiert mich aber doch noch: Warum zum Henker will der Speedport diese bescheuerte Range von zwei IPs haben, wenn ich nur eine benötige!

[BenutzerGa4gooPh]

Die Hosts hinter dem 2. Router wollen doch durch den 1. Router auch ins Netz - und dafür bedarf es ohne Doppel-NAT der Rückroute im Speedport auf NetzB. Das ist dem sonst unbekannt!!!
Der Tolino im WLAN des 1. Routers kann selbstverständlich ohne, der Speedport kennt ja direkt angeschlossene Netze.
DSL-Speedport-NetzA-ZweiterRouter-NetzB-HostsB
(Tolino im NetzA)

[TomL]

Es gibt "Heimnetz/WLAN-Zugriff verwalten/Zugangsbeschränkungen" und obwohl ich bei letzterem "Nur bestimmte Computer im WLAN zulassen" ausgewählt habe, setzt er dann sowohl bei "alle auswählen", als auch bei "Tolino" Häkchen, die ich nicht mehr entfernen kann. Dann bietet er in diesem Dialog noch "Computer verwalten" an.

Ist nicht so einfach die Erklärung nachzuvollziehen, ohne selber drauf zu gucken.... *hmmm* ... aber es ist total einfach, den Erfolg Deiner Einstellungen zu prüfen. Wenn Du den Speedport neu gestartet hast, vesuch einfach dich mit dem Laptop oder einem beliebigen Smartphone zu verbinden. Selbst mit korrektem (!) WPA-Schlüssel muss die Verbindung abgewiesen werden. Wenns so ist, war's das.... Problem gelöst.