basti-berlin
Goto Top

VLAN für 4 Netzwerke an 1 DSL-Anschluss

Hallo,

ich suche mir gerade eine Lösung, um 4 Netzwerke an einem DSL-Anschluss betreiben zu können.
Leider lässt es sich durch örtliche Gegebenheiten nicht wirklich anders bewerkstelligen, da vor Ort keine weiteren Anschlüsse vorhanden sind und wohl auch aktuell keine gelegt werden können.
Hinter dem Haus, in dem der Anschluss liegt, soll nun ein zweites Haus stehen, in dem der vordere Anschluss mitgenutzt werden soll.
Insgesamt würden 4 Netzwerke entstehen.

Daher ist meine Vorstellung, es so zu lösen:
Am vor Ort vorhandenen DSL-Anschluss ist eine Fritzbox angeschlossen. Dahinter soll nun ein Switch, Zyxel GS-1930-24v2, der die VLANs rausfallen lassen soll.

Ich möchte daher auch möglichst jeweils ein Gastnetz ermöglichen. IP-TV, VoIP geht dann auch noch drüber.
Ich weiß, das ist bei Volllast vielleicht etwas eng uind nicht die Beste Lösung, sollte jedoch im Grunde ausreichen.

Auch wenn es vll. nicht die Sauberste Lösung wäre, ist es der Plan, den DSL Anschluss mit der Fritzbox weiterhin zu befeuern, den Switch dahinter und jedes Weitere Netz mit einem Eigenen Router (wahrscheinlich auch Fritzboxen - die sind halt gerade vorhanden...).

Das ganze dürfte dann so aussehen:
DSL-Anschluss -> Fritzbox (Netzwerk 1, VLAN1???)-> Switch

- Vom Switch -> Das Netz der "Hauptfritzbox" für Kabelnetz
- Vom Switch -> VLAN2 -> Router , eigener IP-Bereich mit DHCP + VoIP + Gastnetz + ggf IPTV
- Vom Switch -> VLAN3 -> Router , eigener IP-Bereich mit DHCP + VoIP + Gastnetz + ggf IPTV
- Vom Switch -> VLAN4 -> Router , eigener IP-Bereich mit DHCP + VoIP + Gastnetz + ggf IPTV

Ggf. noch ein Weiteres VLAN, auf das alle zugreifen können (Drucker,NAS usw.)

-> "Wartungsport" am Switch, um ggf. in die anderen Netze zu kommen, falls dort PC-Hilfe benötigt wird

Das ganze ist (recht) familär, die Trennung der Netzwerke ist hauptsächlich dazu da, um es jedem Teilnehmer möglichst einfach ist, seinen eigenen Bereich zu verwalten und sich nicht gegenseitig zu stören.

Am Ende soll jedes Netz im Grunde ein (fast) vollwertiger Anschluss darstellen.
Wäre das im Grunde so machbar und wenn ja, wie am besten?

Content-Key: 451131

Url: https://administrator.de/contentid/451131

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: aqui
aqui 13.05.2019 aktualisiert um 17:56:24 Uhr
Goto Top
Ja, das ist ein klassisches einfaches VLAN Design und ist grundsätzlich so machbar.
Allerdings hat die o.a. Hardware so ihre Tücken. Vom "Design" mit den Einzelroutern mal ganz abgesehen !
  • 1. Die FritzBox supportet KEINE VLANs, kann also nicht routen zw. den VLANs bzw. deren Traffic forwarden !
  • 2. Der Zyxel Switch ist kein Layer3 Switch, kann also auch nicht zw. den VLANs routen und/oder deren Traffic zentral auf die FB forwarden.
Mit anderen Worten: so lässt sich das nicht direkt umsetzen.
Daher kommt vermutlich auch dein gruseliger "Notfallplan" mit dem FritzBoxen vor jedem VLAN. Aber mal abgesehen davon das das natürlich Design technisch völlig daneben ist und ein NoGo löst es dein Problem ja auch gar nicht. Du kannst ja weiterhin nicht den Traffic der VLANs zentral forwarden.
Zudem kannst du das NAT (IP Adress Translation) auf den FB Einzelroutern nicht abschalten was dir im Betrieb das Routing unmöglich macht.
Das wird aslo ganz sicher in einem Desater enden und ist eine Sackgasse.
Vergiss diesen Blödsinn also am besten gleich, der ist großer Murks und löst die Anforderung nicht. Der schafft mehr Probleme als er hilft.

Du hast 2 Optionen das technisch richtig zu lösen:
  • Einen Layer 3 (Routing) Switch verwenden wie z.B. einen Cisco SG250-25 Oder...
  • Einen VLAN fähigen Router zu verwenden wie z.B. einen Mikrotik heX (RB750Gr3)
Nur so lässt sich das sauber lösen.
Die Option 1 und ihre Lösung ist hier zu sehen:
Verständnissproblem Routing mit SG300-28
("Cisco Router" dort kannst du mit "FritzBox" ersetzen !)
Die Option 2 und ihre Lösung hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
bzw. hier für die Grundlagen mit externem Router ohne L3 Switch:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Technisch am saubersten ist Option 1 aber etwas teurer (es sei denn du hast den Switch noch nicht beschafft ?!)
Ist er schon beschafft, ist Option 2 am einfachsten, denn damit kannst du für kleine 40 Euro das "Problem" lösen wenn dir 100 Mbit L3 Durchsatz reichen:
https://varia-store.com/de/produkt/31133-mikrotik-routerboard-rb750r2-he ...
oder etwas mehr wenns 1 Gig sein soll:
https://varia-store.com/de/produkt/31532-mikrotik-routerboard-hex-mit-88 ...
Die FritzBox ist bekanntermaßen unbrauchbar im VLAN Umfeld. Als Internet Router in deinem Konzept kann sie aber natürlich bleiben.

Wenn du übrigens rein nur die 4 Haus Netze zusammenführen willst ohne weitere Ports in den 4 Netzen, benötigst du gar keinen Switch (und auch gar keine VLANs !), sondern nur einen entsprechenden Router mit 5 Ports der diese 4 Haus Netze auf einen zentralen Internet Router (FB) routen kann. Ideal mit einer integrierten Firewall um die Hausnetze gegeneinander abzuschotten damit sich die Hausbewohner nicht gegenseitig hacken.
Dafür reicht einzig und allein einer der kleinen Mikrotiks oben. der Lite wenn die Internet Bandbreite nicht größer als 100 Mbit/s ist. Wenn sie größer ist der heX mit 1Gig
Fertisch....
Vermutlich willst du aber über den VLAN Switch auch den Hausnetzen noch in ihren jeweiligen VLANs Ports zur Verfügung stellen, richtig ? Z.B. 6 Ports pro Hausnetz = 24 Port Switch.
Dann brauchst du natürlich auch wieder den Switch.
Mitglied: NordicMike
NordicMike 13.05.2019 um 18:06:10 Uhr
Goto Top
Man kann die Fritzboxen auf Kaskade stellen, dann machen sie einen NAT. Die Clients dahinter haben dann einen eigenen IP Bereich und eigenen DHCP. Es ist zwar kein VLAN, aber immerhin getrennte Netze. Aber ob die ganzen VoIP und TV Programme mit dem DoppelNAT zurecht kommen, ist auszutesten.
Mitglied: Basti-Berlin
Basti-Berlin 13.05.2019 aktualisiert um 20:31:51 Uhr
Goto Top
Hi aqui,
danke für die Info. Der Switch ist bisher nur im Warenkorb. Ich muss halt versuchen, das möglichst einfach für "die anderen" zu machen.
Ich komme sonst mit PCs und Netzwerke klar, aber VLANs sind komplettes Neuland für mich.
Im Prinzip würde jeder nur seine Fritte anklinken und fertig. Die schnell als IP-Client umkonfigurieren, darüber kann ich verhandeln. Der Rest soll dann jeder selber können.
"Anschluss bzw. Netzwerk 1" bin ich selber - das dürfte am wenigsten Probleme machen.
Option 1 klingt daher schon mal recht gut.

- Wenn ich das richtig verstehe, ist dann der Cisco SG250-25 der DHCP-Server für das jeweilige VLAN, richtig?
- Den Cisco SG250-25 finde ich gerade nach schneller suche nur als Cisco SG250-26 , ist das richtig?

Ich bin auf den Switch noch nicht festgelegt, da bin ich offen. Habe halt nur bei Cisco noch nicht nachgesehen, weil dann immer gleich "hohe Kosten" im Hinterkopf stand. In diesem Falle wäre er ja anscheinend sogar noch etwas günstiger... Wobei es auch nicht auf ein paar Euro ankommt. Das wird wohl eine "Dauerlösung" für mindestens ein paar Jahre, bis sich hier anschlussmäßig was bewegen kann. Daher lieber ein paar Euro nicht am falschen Ende sparen, wenn nicht gleich die Kosten explodieren...

Demnach würde es dann so aussehen:
DSL -> Fritzbox + WLAN Netzwerk 1
Daran dann der Cisco SG250-25 (Cisco SG250-26) als DHCP-SERVER (nur für die VLANs)

- VLAN 1 (Netzwerk 1, Kabel)
- VLAN 2, 3 und 4 per Fritte, jeweils als IP-Client mit IP-Telefonie

Kann ich dann trotzdem noch eine "gemeinsame" Zone einrichten? Drucker/NAS usw und wie gehts das dann mit den Gäste-Netzen?


EDIT:
Das Ziel ist -> Jeder hat "vollwertiges" Internet. Keiner soll sich gegenseitig Stören, aber ggf. Sollen NAS, Drucker, usw gemeinsam genutzt werden können.
Dennoch wäre schön, wenn ich in alle Netze komme, um da vll mal helfen zu können. Keiner dort kennt sich mit IT aus... Daher der Wartungsport.
Der 24port Switch ist eigentlich nur für das kommende Netzwerk 1 gedacht. Dummerweise liegen keine Netzwerkleitungen im Haus aber jeder raum hat 2-paarige gute Telefonleitungen - da versuche ich jetzt aus ###e Gold zu machen. Ob das überhaupt funktioniert, teste ich noch, sobald ich da Zeit finde.
Halt das beste draus zu machen. Das hintere Haus bekommt 4 CAT7 Leitungen von vorn.

1x für Jede Wohneinheit (also 3 Stk.)
1x Spare

Da war die "Idee" mit dieser von NordicMike angesprochenen Kaskade...

Somit wäre ja fast die Beste Lösung der (größere) Mikrotik-Router und dann die Fritten (alle - auch meine) hinter den Switch..., oder?

Ist der Cisco oben sicher Layer 3?
Ich hab eben nur Infos gesehen, wo Layer 2 angegeben ist...

Routing zwischen den vlans ist auch nicht unbedingt nötig. Der Gedanke war, möglichst gleich alle Möglichkeiten einrichten, die "sinnvoll" wären.

Wirklich wichtig ist:
Einzig mein office will ich komplett abschotten, falls sich hier jemand was einfängt...
Jeder kann mit seinem netz das tun, was er mit eigenem Anschluss könnte.
Surfen, IPTV, telefonieren.
Lediglich ich muss ggf. Mal von außen ins Netzwerk.
Wenn ich Hardware (den Switch) anschaffe, dann halt wenigstens was vernünftiges, was mehr Möglichkeiten bietet.
Mitglied: Basti-Berlin
Basti-Berlin 13.05.2019, aktualisiert am 14.05.2019 um 08:25:44 Uhr
Goto Top
Hallo nochmal,
die Sache mit dem IP-Client hat mich gerade noch etwas lesen lassen. Die Kaskate hat mich da gerade hingelenkt.
Danke @NordicMike

Wenn ich es richtig verstehe, brauche ich also Layer 3 für das Routing zwischen den VLANs.

Die Fritzboxen (um dabei zu bleiben, weil sie da sind) können dann auf IP-Client gestellt werden.
Dann ist die Firewall zwar aus, das macht aber ohnehin die "Routerbox". Nur halt innerhalb des Gesamtnetzwerks nicht.
NAT sollte dann wahrscheinlich auch deaktiviert sein(?).
Aber kommunikation zw. den VLANs ist möglich.
Durch den Cisco Switch bekommt jedes VLAN dann eigene IP-Bereiche und damit jeder Client, der an der jeweiligen Fb ist, die jeweils passende IP vom Switch(?)
Somit wären im ersten Fall die FBs zum reinen Access-Point degradiert. Gäste WLAN als Bonus geht dann über die FBs dann zwar nicht, aber damit könnte ich leben...

Fraglich wäre dann nur noch, ob jeder seine (DECT)-Telefonie dann an den Client-FBs einrichten kann

@aqui
- damit hätte ich doch wohl deine Option 1?
- Routing liefe über Switch und Der Fritzbox am Anschluss. DHCP am Switch
- Wäre ich mein "Desaster" damit los?
- Kann ich ein komplett abgeschottetes Office Netz mit Internet-Zugriff und ggf. Zugriff von aussen so realisieren?
- Ist der SG250-25 oder SG250-26 wirklich Layer 3? Wie oben geschrieben hab ich nur den 26er gefunden und da sagt mir das I-net gerade Layer 2 - mir scheint, als "müsse" ich da auf den SG350-26
- Ginge dann NAS/Drucken aus allen Netzen?
- Verliere ich durch das Routen zwischen den VLANs nicht das Trennen der Netze?
Mitglied: aqui
aqui 14.05.2019 aktualisiert um 09:28:02 Uhr
Goto Top
Man kann die Fritzboxen auf Kaskade stellen, dann machen sie einen NAT.
Das kann man niicht konfigurieren. Und NAT ist nicht abschaltbar in der FritzBox. Damit würden die FritzBoxen das gesamte Routing verfälschen und schlimmer noch in eine Einbahnstrasse verwandeln da die nicht abschlatbare NAT Firewall der FB dann transparentes Routing verhindert. Siehe hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router (Kapitel "ICS NAT")
Ein NoGo...! Das Konzept ist krank und solltest du keinesfalls umsetzen.
Wenn ich es richtig verstehe, brauche ich also Layer 3 für das Routing zwischen den VLANs.
Ja !
Ein kleiner 30 oder 40 Euro Mikrotik Router löst dein Problem. Oder eben ein Layer 3 Switch wie z.B. ein Cisco SG-250
Wäre ich mein "Desaster" damit los?
Ja !
Ist der SG250-25 oder SG250-26 wirklich Layer 3?
Ja. Guckst du hier:
250
Der SG-350 geht aber auch. Du hast die freie Wahl.
Ginge dann NAS/Drucken aus allen Netzen?
Ja sicher !! Warum sollte es deiner Meinung nicht gehen.
Du solltest dringenst mal etwas zu Routing Grundlagen lesen...und verstehen !!
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Verliere ich durch das Routen zwischen den VLANs nicht das Trennen der Netze?
Ja, aber dafür bietet der Switch sog. IP Accesslisten mit den du den Zugang blockierst. Drucken z.B. erlauben, Rest blockieren usw.
Mitglied: Basti-Berlin
Basti-Berlin 14.05.2019 aktualisiert um 10:21:52 Uhr
Goto Top
Hey...
Danke für die klare Antwort.

Ist das mit dem nicht abschaltbaren NAT auch bei Einstellung als ip-client zutreffend?

Edit:
Das AVM guide liest sich an der Stelle so, als wäre da alles aus und offen.
Ich werde die FBs wahrscheinlich wegen der telefonie hat brauchen
/Edit
Du solltest dringenst mal etwas zu Routing Grundlagen lesen...und verstehen !!

Darum Les ich hier ja kräftig.
Ich werde nur älter und da geht's lernen nicht mehr ganz so schnell... Routing/Vlan ist halt neu für mich...

Ich mache das ja auch, weil ich irgendwie Spaß daran habe. Nebenbei hilft's dann meiner Familie.
Nur will ich halt auch vermeiden, das falsche zu kaufen. Zurück schicken wegen eigener Inkompetenz finde ich nicht nett und so ein Ding ist halt nicht gerade billig.
Mitglied: aqui
aqui 14.05.2019 aktualisiert um 16:00:15 Uhr
Goto Top
Ist das mit dem nicht abschaltbaren NAT auch bei Einstellung als ip-client zutreffend?
Bei einer FritzBox ist generell die NAT Funktion NICHT abschaltbar !!!
Egal in welchem Mode oder was auch immer.
Einzige Ausnahme:
Du flashst ein alternatives Betriebssystem auf die FritzBox ! Das geht für OpenWRT nur bei der 4040:
https://www.heise.de/select/ct/2019/10/1557138646211569
Oder https://freetz.github.io für alle FB Modelle.
Damit (und nur damit) wäre es möglich.
Das ist unter anderem auch ein gravierender Grund warum die FritzBox als segmentierender Router in LAN Umgebungen mit mehreren IP Netzen völlig unbrauchbar ist. Das ist auch nicht gewollt, denn es ist ja nun mal ein billiger Consumer Router mit einem ganz anderen Zielmarkt.
Für deine o.a. Anforderungen ist das die komplett falsche Hardware ! Bleib da besser bei Mikrotik oder nimm einen Cisco SG250 oder SG350 als L3 Switch.
Andere können das zu weitaus besseren Preisen 10mal besser wie z.B. Mikrotik. Da bekommst du ein Cisco Featureset zum Preis einer FriitzBox und drunter.
Das AVM guide liest sich an der Stelle so, als wäre da alles aus und offen.
Ist natürlich Quatsch, wie jeder Netzwerker auch weiss !
Ich mache das ja auch, weil ich irgendwie Spaß daran habe.
Das ist sehr gut ! Behalte den Spaß und den Lerneifer, das ist unbezahlbar !
Nur will ich halt auch vermeiden, das falsche zu kaufen.
Deswegen gibts ja auch das Forum hier das verhindert das du dein Geld sinnfrei ín eine unbrauchbare FritzBox versenkst. Besser und auch preiswerter ist da der Mikrotik ! face-wink
Mitglied: Basti-Berlin
Basti-Berlin 14.05.2019 um 16:21:09 Uhr
Goto Top
Ok. Danke.
Dann geht jetzt wohl ein cisco hier her auf die Reise...
Freetzen... da hab ich Glück. Alle betreffenden FBs sind bereits gefreetzt.

Dann werd ich mir das gute Stück mal ansehen... und vieeeel lesen...
Mitglied: aqui
aqui 14.05.2019 um 16:30:05 Uhr
Goto Top
Oder vieeeel fragen hier ! face-wink
Mitglied: Basti-Berlin
Basti-Berlin 14.05.2019 um 17:00:25 Uhr
Goto Top
Hmmm...
Der Plan wäre, erstmal selber versuchen.
Mitglied: aqui
aqui 14.05.2019 um 17:46:21 Uhr
Goto Top
Klar, das ist immer der richtige Weg. Das Fragen nur damit du nicht allzuviel graue Haare bekommst face-wink