Nov 22, 2016

8749

VLAN fähiger VPN Router gesucht

Hallo Leute,

ich suche einen voll managebaren Switch bzw. Router, womit ich per vpn erreichbar sein kann und der layer 3 Routing beherrscht.
Das Gerät soll zum üben und zum aufteilen der Netze in VLANs angeschafft werden.
Bekomme ich das mit solchen Geräten hin?

Switche (ohne VPN)
CISCO Small Business SRW2008-K9-G5 - SG 300-10 - 10-port Gigabit Managed Switch

Router
CISCO RV130

Insgesamt hätte ich gern etwas, wo ich so fast alles damit machen kann, ohne gleich einen 24 Rack Switch zu kaufen.

Please also mark the comments that contributed to the solution of the article

Content-Key: 321698

Url: https://administrator.de/contentid/321698

Printed on: April 20, 2024 at 13:04 o'clock

33 Comments

Latest comment

Hallo,

ein Switch kann kein VPN, maximal Routing wenn es ein L3 Switch ist.

VPN kann ein Router oder eine Firewall übernehmen genau so wie das Routing.

VLANs können auch schon L2 Switche.

Wenn du es nur zum üben möchtest, würde ich einen Switch der SG-200er Reihe von Cisco nehmen und eine kleine Firewall (PfSense oder einen kleinen Mikrotik).
Damit kannst du das alles abfackeln.

Gruß

Ist soweit alles klar, bis auf die Sache mit den VLAN bei Layer2.
Auf dem L2 Switch könnte ich dann die Geräte in verschiedene VLANs stecken, aber die Kommunikation nach außen oder zu bestimmten anderen Geräten in anderen VLAN müsste ich ja dann mit L3 abdecken?? L" Switch würde doch dafür gar nicht ausreichen?

Die Konsolenbefehle sind ja bestimmt ungefähr gleich bei HP, Cisco usw.? Wären andere Hersdteller auch sinnvoll oder ist ciwsco da schon maß der Dinge?

VLAN Trennung geschieht ja ohnehin auf Layer 2 Ebene. Routen (sprich erlauben oder verbieten wer wohin darf und wohin nicht) kannst du nur auf Layer 3 Ebene.

Das geht entweder über:

einen Switch der auch Layer 3 beherrscht
einen Router
eine Firewall

In sehr großen Netzen bevorzugt man die L3-Switch Variante um Broadcast Traffic zu vermeiden.
In kleinen Umgebungen (zu Hause oder kleine Unternehmen) kann man das ruhig über eine Firewall oder einen Router machen.
Ist von der Konfiguration her angenehmer weil man nicht mit ACLs (Access Lists) arbeiten muss sonder einfach Regeln erstellen kann (gegebenenfalls auch über eine nette GUI).

Gruß

Zitat von @Leo-le:
Die Konsolenbefehle sind ja bestimmt ungefähr gleich bei HP, Cisco usw.? Wären andere Hersdteller auch sinnvoll oder ist ciwsco da schon maß der Dinge?

Kommt wie gesagt ganz auf dein Einsatzgebiet und deine Anforderungen drauf an.
Wenn es kritisch ist, wenn das Netz ausfällt, würde ich persönlich eher zu Cisco greifen.
Wenns nur zum Lernen oder Spielen ist, dann kannst du auch zu HP und Konsorten greifen.
Das soll kein HP Bashing sein, die haben bestimmt auch ihre Daseinsberechtigung. Rein Subjektive Erfahrungswerte die ich hier wiedergebe.

Okay, dann beschreibe ich jetzt nochmal genauer, was ich vorhabe.

Momentan steht so eine sinnlose Fritzbox 7490 bei mir daheim, worüber alles in einem Netz läuft. (Modem inclu)
Nun bekomme ich es ja bestimmt nicht hin, statt der fritzbox mit Modem irgendein anderes Modem als erstes device an meinen Anschluss zu legen, da ich keine Einwahldaten von 1u1 bekommen werde, oder? Ich denke mal nicht. Also kann ich nur dahinter etwas vernünftiges Klemmen und so dachte ich mir folgendes:

Router mit VPN + VLAN + voll managebar von Cisco hinter die Fritzbox (VPN leite ich durch, und so baue ich einfach per ipsec den Tunnel über den Cisco Router auf.
Am Cisco Router erstelle ich 3 VLANs (1x produktive Umgebung, 1x Testumgebung, 1x Drucker NAS usw.)
Rechner aus der produktiven Umgebung können auf die Testumgebung zugreifen , umgedreht aber nicht.

Mit dem Router kann ich auch switchport port sperren usw. ( Komplette Befehle, wie z.B auch an einem 2960 switch von cisco)

Gibt es so etwas?? Bzw. gibt es so etwas im smal business Bereich??

Zitat von @Leo-le:
Momentan steht so eine sinnlose Fritzbox 7490 bei mir daheim, worüber alles in einem Netz läuft. (Modem inclu)
Nun bekomme ich es ja bestimmt nicht hin, statt der fritzbox mit Modem irgendein anderes Modem als erstes device an meinen Anschluss zu legen, da ich keine Einwahldaten von 1u1 bekommen werde, oder?

Das müsstest du probieren, habe keine Erfahrung mit 1u1. Anrufen und fragen.

Router mit VPN + VLAN + voll managebar von Cisco hinter die Fritzbox (VPN leite ich durch, und so baue ich einfach per ipsec den Tunnel über den Cisco Router auf. )

Das ist eine Möglichkeit ja. Nennt sich dann Routerkaskade und birgt auch öfter mal Problemchen.
Zu bevorzugen wäre natürlich immer ein reines Modem + Firewall/Router dahinter + Switch. Hängt aber natürlich vom oberen Punkt mit 1u1 ab.

Am Cisco Router erstelle ich 3 VLANs (1x produktive Umgebung, 1x Testumgebung, 1x Drucker NAS usw.)

Das geht ja.

Rechner aus der produktiven Umgebung können auf die Testumgebung zugreifen , umgedreht aber nicht.

Okay.

Mit dem Router kann ich auch switchport port sperren usw. ( Komplette Befehle, wie z.B auch an einem 2960 switch von cisco)

Okay.

Gibt es so etwas?? Bzw. gibt es so etwas im smal business Bereich??

Naja, alles in einem Gerät wie gesagt nicht. Ein Switch kann nun mal kein VPN.
Du wirst also mindestens 2 Geräte dazu benötigen.

Am Cisco Router erstelle ich 3 VLANs (1x produktive Umgebung, 1x Testumgebung, 1x Drucker NAS usw.)

Das geht ja.
aber so etwas funktioneirt doch nicht mit diesen normalen Switchen, die auch VLAN unterstützen , oder?? Hier kann ich doch die Geräte nur in ein VLAN packen und das wars dann(Kommunikation zwischen einzelnen Geäreten funkt doch dann nicht bzw. kann man nicht einrichten, routing funktionieren muss)

Rechner aus der produktiven Umgebung können auf die Testumgebung zugreifen , umgedreht aber nicht.

Okay.

Das war eher eine Frage, ob das dann möglich ist mit L2 Switch

Mit dem Router kann ich auch switchport port sperren usw. ( Komplette Befehle, wie z.B auch an einem 2960 switch von cisco)

Okay.

Das war auch eine Frage, ob ich bei managebaren switchen auch kleineren mit smart management sowas auch machen kann?

Gibt es so etwas?? Bzw. gibt es so etwas im smal business Bereich??

Naja, alles in einem Gerät wie gesagt nicht. Ein Switch kann nun mal kein VPN.
Du wirst also mindestens 2 Geräte dazu benötigen.

Das kläre ich mit 1 und 1 ab, schön wäre wenn doch, aber so richtig glaube ich da noch nicht dran.

Mit einem reinen L2 Switch kannst du natürlich nicht die Zugriffe der versch. VLANs regeln.
Also indirekt ja: denn wenn du keinen Router oder Firewall an den Switch hängst welcher VLANs routen kann, dann sind alle VLANs ganz simple voneinander isoliert.

Aber mit einem Router oder einer Firewall kannst du sehr wohl die Zugriffe der VLANs auf dem L2 Switch regeln. Die Fritzbox kann leider nicht mit VLANs umgehen.

Einen Switchport wirst du mit einem davorgeschaltenen Router nicht sperren können. Wie soll das auch funktionieren?
Die Ports kannst du nur am Switch selbst sperren.

Okay, vielen Dank. Bis auf den letzten Punkt ist nun alles klar.
Jetzt verstehe ich nur nicht ganz, wenn ich nun einen voll managebaren Switch nehme, der soweit alles beherrscht, und ich packe den hinter einen Router , also z.B hinter die Fritzbox, so könnte ich doch meine gan zen Geräte an den Switch packen und Ports per Mac sperren, wenn das falsche device dran steckt, oder sehe ich da etwas falsch? Konfiguriert wird doch dann auf dem Switch.

Wenn dein Switch den du verwenden möchtest das kann, dann natürlich. Alles was den Switch betrifft konfigurierst du natürlich am Switch.
Du hast aber vorher davon gesprochen, ob der Router (der davor hängt) Switchports sperren kann.

Mit dem Router kann ich auch switchport port sperren usw. ( Komplette Befehle, wie z.B auch an einem 2960 switch von cisco)

Sorry, du hast recht. Hier meinte ich den Router als Komplettlösung. Gäbe es denn überhaupt eine Komplettlösung? Router mit Modem + VPN +VLAN + voll mangebar von Cisco?

Zitat von @Leo-le:
Sorry, du hast recht. Hier meinte ich den Router als Komplettlösung. Gäbe es denn überhaupt eine Komplettlösung? Router mit Modem + VPN +VLAN + voll mangebar von Cisco?

Nicht, dass ich wüsste. Ich kenne aber nicht alle Produkte von Cisco.
Was ich weiß, gibt es sowas in der Art von Mikrotik.
Kommt halt immer drauf an wie viele Switchports du benötigst.

Na 8 Ports reichen bei mir völlig aus. Ich werde mit nun einfach einen SG300 L3 Switch kaufen, damit sollte ich ja erstmal alles austesten können. VPN mach ich erstmal notgedrungen über die Fritzbox oder vielleicht auch über meine Synology Nas, wo bei ich eher ein Fan bin, wenn der VPN Server auf dem ersten Gerät im Netz läuft.

Die SG 200 Variante von dir wäre aber jetzt kein L3 Switch oder? Habe ich gerade auf die schnelle nicht gefunden.

Zitat von @Leo-le:
Die SG 200 Variante von dir wäre aber jetzt kein L3 Switch oder? Habe ich gerade auf die schnelle nicht gefunden.

Nope, 2er Serie ist L2, 3er Serie ist L3.

Hallo,

Zitat von @Leo-le:
steht so eine sinnlose Fritzbox 7490 bei mir

Soso - Sinnlos

da ich keine Einwahldaten von 1u1 bekommen werde, oder?

Diese hast du schon bei Vertragsabschluss bekommen - Per Post. Stehen auch in deiner Fritte drin. Kannst du auch per Web "Kundenlogin" selbst nachschauen und dort einiges ändern. Ansonsten bei 1und1 Anrufen. Warum sollten die deine Zugangsdaten dir enthalten - ohne tuts deine Fritte oder auch andere Hardware nicht.

Gruß,
Peter

Zitat von @Leo-le:
steht so eine sinnlose Fritzbox 7490 bei mir

Soso - Sinnlos

nicht Sinnlos?? Alle schwärmten im Studium immer von dem Teil( Lehrer)
und dann versuche ich alles um so ein Teil zu bekommen, dann funktionieren keine VLANs, VPNs nur mit Fredmsoftware, keine Konsole.

da ich keine Einwahldaten von 1u1 bekommen werde, oder?

War vielleicht von mir falsch ausgedrückt. Ich kann mich doch aber nicht mit jedem xbeliebigen Modem bei 1und1 anmelden oder doch??

Gruß,
Peter

Zitat von @Leo-le:
War vielleicht von mir falsch ausgedrückt. Ich kann mich doch aber nicht mit jedem xbeliebigen Modem bei 1und1 anmelden oder doch??

Warum denn nicht? Wenn du die Zugangsdaten hast und das Modem die Technologie unterstützt auf der dein Anschluss basiert geht das natürlich.

Hallo,

Zitat von @Leo-le:
nicht Sinnlos??

Eine Fritte tut das für was die gebaut wurde.

Alle schwärmten im Studium immer von dem Teil( Lehrer)

Und? Schwärmen darf man doch, oder?

und dann versuche ich alles um so ein Teil zu bekommen

Ne Fritte gibts schon fast an jeder Frittenschmiede

dann funktionieren keine VLANs

Nö, ist dafür nicht gebaut.

VPNs nur mit Fredmsoftware

Soso, das Fritten VPN tuts nicht mit Fritten zubehör. Dann machst du was falsch oder deine gegenstellen reden ein anderes VPN als deine Fritte.

keine Konsole

Warum soll die? Nicht für gebaut.

Ich kann mich doch aber nicht mit jedem xbeliebigen Modem bei 1und1 anmelden oder doch??

Doch, sofern dein Modem auch versteht was auf der Leitung gesprochen wird. Da gibts etliche Dialekte und manche Modeme können n icht alle Dialekte. So wie es Motoren gibt die nicht jeden Sprit abkönnen.

Gruß,
Peter

Okay Peter und Michi,

ich danke euch erstmal sehr für die vielen Antworten.
Nochmal kurz zur Fritzbox, jeder von meinen damaligen Lehrern wollte viel mit Cisco und ddwrt usw. rum spielen, da empfiehlt man doch keine Fritzbox. Ich dachte die ganze Zeit, damit kann ich unendlich viel Blödsinn anstellen. Aber okay, funktionieren tut sie allerdings!!

Mit dem Modem leuchtet mir jetzt auch ein. Dann ging es aber bei 1und1 mit dem Kabelmodem nicht. Irgendwann habe ich mich damit schon mal befasst und musste leider von der Idee Abstand nehmen.

Vielen Dank euch beiden und angenehmen Abend !

Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
All die können VLAN und auch VPN.
Oder wenn du beim Klassiker bleiben willst:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Kann auch beides.

Hallo Leo-le,

ich suche einen voll managebaren Switch bzw. Router, womit ich per vpn
erreichbar sein kann und der layer 3 Routing beherrscht.

Das eine oder das andere, oder gar beides als Einzelstück.
Switche in der Preisklasse in der Dein Budget liegt können
alle kein VPN und das ist in der Regel auch immer Sache
des Routers oder der Firewall.

Das Gerät soll zum üben und zum aufteilen der Netze in VLANs angeschafft werden.

Dann clieber etwas wozu man dann auch noch ein Forum, Bücher und/oder Support
hat, oder?

Bekomme ich das mit solchen Geräten hin?

Viele Wege führen nach Rom.

Switche (ohne VPN)
CISCO Small Business SRW2008-K9-G5 - SG 300-10 - 10-port Gigabit Managed Switch

Ist ein verwalteter (managed) Layer3 Switch der kein VPN kann aber er kann VLANs
selber routen und das ist auch nicht so das schlechteste! Klar zum Üben ist das zu
teuer aber der ist auch schon für ~180 Euro plus Versand bei Amazon.de zu haben,
und das ist auch nicht so weit entfernt von den Preisen für die Layer2 Switche die
um die 120 Euro - 130 Euro liegen. Man kann auch andere Switche mit ins Auge
fassen, die dann VLANs verwalten können.
- Zyxel GS1910
- Netgear GS110T
- MikroTik Cloud Switch 109-8G-1S-2HnD-IN CRS109-8G-1S-2HnD-IN

Router
CISCO RV130

- MikroTik RB850x2
- MikroTik RB2011/RB3011

Insgesamt hätte ich gern etwas, wo ich so fast alles damit machen kann,
ohne gleich einen 24 Rack Switch zu kaufen.

Cisco SG300 & MikroTik RB2011 oder RB850x2

Gruß
Dobby

Macht den die 7490 auch Festnetz-Telefon ?
Wenn du von 1&1 Zugangsdaten hast, dann kannst du ja ein normales Modem + Router nutzen, dann muss die Fritz aber als IP-Client wieder ins Netz und wird nur noch als "Telefonanlage" betrieben für Voip. Fast etwas schade drum

Zum Aneignen von VLAN-Wissen und experimentieren damit tuts eigentlich jeder günstige 30€-Switch von Netgear bspw.
Oder du nimmst einen TP-Link Router wie den 1043ND und machst OpenWRT drauf. Dann hast du einen VLAN-Switch, Router mit Gigabit und obendrein die Möglichkeit einen OpenVPN-Server / -client damit zu betreiben.

Wenn das Wissen und der Umgang mit VPN, VLANs und Routing gefestigt ist kannst du immernoch auf hochwertigere, größere Hardware umsatteln. Falls du eine Konsole willst, brauchst, dann bist du mit LuCI aufm OpenWRT erstmal beschäfftigt

dann muss die Fritz aber als IP-Client wieder ins Netz

Nicht unbedingt...
Ein simpler, preiswerter VoIP Adapter wie ein Cisco SPA 112 oder ne kleinen VoIP Anlage ala Auerswald 3000 VoIP tuts ja auch... und das sogar noch besser als die FB.

Hey Leute, vielen lieben Dank für die zahlreichen Antworten. Nun gibt es gleich eine ganze Menge, was ich ausprobieren möchte mit meiner Lust an der Technik. Ich werde mir aber tatsächlich mal so einen SG 300 Cisco kaufen, um ein bisschen mit den Befehlen rum zu basteln. Der ist doch komplett gemaged. Die FB bleibt erstmal dran. OpenWRT usw. habe ich alles schon ausprobiert und funkt auch, aber ich würde gern irgendwann mal bei uns in der Firma alles mit VLANs aufteilen und da werde ich kein OpenWRT dazu nutzen, sondern eher 4 Cisco Switches und dann anständig konfiguriert.

irgendwann mal bei uns in der Firma alles mit VLANs aufteilen

Was absoluten Sinn macht in einem Firmennetzwerk !!
Mindestens 4 VLANs sind immerin einer Firma erforderlich:

Client Netzwerk
Voice Netzwerk (bei VoIP Telefonen)
WLAN Netzwerk
Gastnetzwerk, WLAN und Draht

und da werde ich kein OpenWRT dazu nutzen

Solltest du auch niemals, denn dessen VLAN Funktionen sind nur rudimentär ! Siehe hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Naja gut, das Voicenetzwerk hängt bei uns auf komplett anderen Switches und das Gästenetzwerk ist physisch per separaten Internetport getrennt von dem eigentlichen Netz.
WLAN gibt es ausschließlich im Gästenetz.
Was mich aber dennoch interessieren würde, wäre die Sache mit pro Abteilung ein VLAN und am Ende den Abteilungen eine Mindestbandbreite zu reservieren usw.
Server vielleicht in ein VLAN und die Sicherungen dadurch zu priorisieren oder ist das Quatsch?

Voicenetz auf separaten Switches...?? Da war wohl etwas zuviel Budget über oder es fehlte schlicht das Fachwissen

Server vielleicht in ein VLAN und die Sicherungen dadurch zu priorisieren oder ist das Quatsch?

Nein, das kann man durchaus so machen.

Ich kenne mich sowieso bei der TK-Anlage nicht so richtig aus. Aber fakt ist, dass die TK-Anlage 3 eigene Switches angeschlossen hat, wo die Nebenstellen dran hängen. Ob ich die 3 switches nun zusätzlich bei den Clients mit dran hänge oder nicht ist doch völlig wurst, wenn die ports sowieso gebraucht werden oder?

Na ja wenn man es auch hätte mit den Ports des bestehenden Netzwerkes abfackeln können in einem Voice VLAN sind die 3 überflüssigen Switches ja verbranntes Geld...aber egal.

Hallo,

Zitat von @Leo-le:
Aber fakt ist, dass die TK-Anlage 3 eigene Switches angeschlossen hat

Frag doch den/die welche euer Voice LAN geplant haben was diese sich dabei vorgestellt haben und warum das so gemacht wurde. Vielleicht haben die übertriebene Paranioa und wollen kein Snowden Fall riskieren oder die führen Telefonate die keiner mitbekommen soll oder oder oder.

Ob ich die 3 switches nun zusätzlich bei den Clients mit dran hänge oder nicht ist doch völlig wurst

Stell dir vor dein Voice LAN nutzt die gleichen IPs wie dein Daten LAN. Was funktioniert dann noch wenn du die Stecker anders Stöpselst?

Auch wenn die IPs anders sind (andere Netze) macht man das so nicht ~~mehr~~ (Switche und verschiedene IP Netze auf das gleiche Kabel nutzen). Da wird dann VLAN gemacht um die IP Netze zu trennen (und Router um die Netze untereinander wieder zu Verbinden). Erst wenn du weisst warum dort die Trennung (und Geldausgabe) ist kannst du dich ans umstöpseln machen.

Gruß,
Peter

Voicenetz auf separaten Switches...?? Da war wohl etwas zuviel Budget über oder es
fehlte schlicht das Fachwissen

Wenn es nur ein paar VOIP Geräte sind ok dann machen wir dafür auch ein separates
VLAN auf, wenn das aber zu viele Geräte werden gibt es bei uns auch einen separaten
Switch für. Also alle WLAN APs, alle VOIP Geräte und alle IP Kameras haben bei uns alle
einen entweder einen eigenen Switch (Niederlassungen) oder aber gleich einen eigenen
Switch Stapel (Switch Stack). Bei 600 MA ist das auch schon fast Standard wenn man
nicht über alle Switch hin das eine oder andere Geräte suchen möchte. Wir verwalten
bei uns allerdings auch das Netzwerk mittels NMS300 Software und von daher ist
dann alles übersichtlicher.

Gruß
Dobby

wenn das aber zu viele Geräte werden gibt es bei uns auch einen separaten Switch für.

Wo beginnt und endet denn für dich die Definition "viele" ??
Im Grunde ist das Unsinn, denn auch wenn man viele VoIP Ports benötigt dimensioniert man die Access Switches entsprechend oder stacked sie um auf die erforderliche Port Anzahl zu kommen.
Auch 1000 Telefone können nichtmal auf 100 Mbit Switches nenneswerten Traffic verursachen der ein Ethernet auch nur ansatzweise gefährden würde.
Separate HW dafür ist nie erforderlich...wozu auch...?!
OK, Ausnahme vielleicht das Voice Netz beim Verfassungsschutz oder NSA....

German solved Question Switches, Hubs Hardware

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment