16
An einem Internetanschluss 4 getrennte Netzwerke
Hallo Allen
Für den Hausgebrauch eine Lösung gesucht um mind. 4 getrennte Netze hinter einem Internetzugang zu realisieren.
Es sollen persönliches Netz, Gäste, Wärmepumpe, Ablesedienst für Funkstation Heizkostenverteiler
und was in Zukunft vielleicht noch alles kommt, jeweils in seinem eigenen Netz mit Internetzugang betrieben werden.
Die Dienstleister greifen glaub per VPN auf ihre Geräte zu.
An meinem Telekom Internetrouter Speedport Smart 3 gehen nur Standard und Gast.
Ich selbst denke an mehrere VLANs bei einem Switch / Router, angeschlossen an meinem Speedport Internet Router.
Weiß aber nicht welcher gemanagte Switch dieses Routing übernehmen kann oder ob da noch weitere Geräte benötigt werden.
Ganz toll wäre ja eine kompakte Anleitung wie man das an welchem Gerät umsetzt.
Hintergrund:
In unserem Dreifamilienhaus brauchen Wärmepumpe für die Wartung
und der Ablesedienst für die ständige Bereitstellung der Verbrauchsdaten einen Zugang zum Internet.
Da würde ich meinen privaten Zugang zur Verfügung stellen.
Aber ich kenne die Mitarbeiter und Software nicht, die Dienstleister kennen sich auch untereinander nicht, deshalb möchte ich, dass sich jeder in seinem eigenen Netz aufhält um das anderen nicht zu gefährden.
Diese Problemstellung müsste es doch mittlerweile in vielen Häusern geben, da muss doch nicht jeder Dienstleister seinen eigenen Internetanschluss im Haus haben.
Wie wird sowas in der Regel gelöst?
Danke im Voraus
Für den Hausgebrauch eine Lösung gesucht um mind. 4 getrennte Netze hinter einem Internetzugang zu realisieren.
Es sollen persönliches Netz, Gäste, Wärmepumpe, Ablesedienst für Funkstation Heizkostenverteiler
und was in Zukunft vielleicht noch alles kommt, jeweils in seinem eigenen Netz mit Internetzugang betrieben werden.
Die Dienstleister greifen glaub per VPN auf ihre Geräte zu.
An meinem Telekom Internetrouter Speedport Smart 3 gehen nur Standard und Gast.
Ich selbst denke an mehrere VLANs bei einem Switch / Router, angeschlossen an meinem Speedport Internet Router.
Weiß aber nicht welcher gemanagte Switch dieses Routing übernehmen kann oder ob da noch weitere Geräte benötigt werden.
Ganz toll wäre ja eine kompakte Anleitung wie man das an welchem Gerät umsetzt.
Hintergrund:
In unserem Dreifamilienhaus brauchen Wärmepumpe für die Wartung
und der Ablesedienst für die ständige Bereitstellung der Verbrauchsdaten einen Zugang zum Internet.
Da würde ich meinen privaten Zugang zur Verfügung stellen.
Aber ich kenne die Mitarbeiter und Software nicht, die Dienstleister kennen sich auch untereinander nicht, deshalb möchte ich, dass sich jeder in seinem eigenen Netz aufhält um das anderen nicht zu gefährden.
Diese Problemstellung müsste es doch mittlerweile in vielen Häusern geben, da muss doch nicht jeder Dienstleister seinen eigenen Internetanschluss im Haus haben.
Wie wird sowas in der Regel gelöst?
Danke im Voraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668345
Url: https://administrator.de/contentid/668345
Ausgedruckt am: 15.11.2024 um 17:11 Uhr
16 Kommentare
Neuester Kommentar
Klasse, das ist es.
Sowas hänge ich an die Fritzbox, Port4 wird auf GASTLAN umgestellt. Die Geräte sehen sich nicht untereinander, somit brauch ich keine VLANs.
Vier getrennte Netze mit einer Fritzbox?
2
Moin,
Indem der Dienstleister sein Problem löst, also eigener Internetanschluss, ggf. über Mobilfunk (oft noch GSM, sinnvollerweise eher LTE/5G.
Auch wenn es natürlich sinnvoll erscheinen mag, den vorhandenen Internetanschluss zur Verfügung zu stellen, würde ich dies aus sicherheitstechnischen Erwägungen nie machen; gibt es einmal eine Sicherheitslücke in dem Bereich, dann hast DU das Problem.
Gruß
DivideByZero
Zitat von @MarkSauter:
Diese Problemstellung müsste es doch mittlerweile in vielen Häusern geben, da muss doch nicht jeder Dienstleister seinen eigenen Internetanschluss im Haus haben.
Wie wird sowas in der Regel gelöst?
Diese Problemstellung müsste es doch mittlerweile in vielen Häusern geben, da muss doch nicht jeder Dienstleister seinen eigenen Internetanschluss im Haus haben.
Wie wird sowas in der Regel gelöst?
Indem der Dienstleister sein Problem löst, also eigener Internetanschluss, ggf. über Mobilfunk (oft noch GSM, sinnvollerweise eher LTE/5G.
Auch wenn es natürlich sinnvoll erscheinen mag, den vorhandenen Internetanschluss zur Verfügung zu stellen, würde ich dies aus sicherheitstechnischen Erwägungen nie machen; gibt es einmal eine Sicherheitslücke in dem Bereich, dann hast DU das Problem.
Gruß
DivideByZero
Kontext einbeziehen, lesen und verstehen.
Spoiler
Es geht eher darum, dass sich die Geräte untereinander nicht sehen dürfen, was keine 4 Netzwerke braucht.
In deinen Worten, wenn über den LAN4 Port ein 48-Port Switch angesteckt wäre, in deinen Worten also 48 getrennte Netze.
Geräte im Gast- und Heimnetz sind vollständig voneinander getrennt und erhalten keinen Zugriff auf Geräte im jeweils anderen Netz
Quelle: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/294_WLAN-Gast ...
Spoiler
Es geht eher darum, dass sich die Geräte untereinander nicht sehen dürfen, was keine 4 Netzwerke braucht.
In deinen Worten, wenn über den LAN4 Port ein 48-Port Switch angesteckt wäre, in deinen Worten also 48 getrennte Netze.
Geräte im Gast- und Heimnetz sind vollständig voneinander getrennt und erhalten keinen Zugriff auf Geräte im jeweils anderen Netz
Quelle: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/294_WLAN-Gast ...
Hm....
Naja, mehr Kontext geht jetzt nicht. Klar, kann man jetzt das Gast-LAN der Fritzbox für diverse Geschichten nehmen. Funktioniert auch. Aber man muss zum einen eine Fritzbox kaufen und den vorhandenen Speedport ersetzen und hat dann dennoch keine mindestens 4 getrennten Netze, die explizit gewünscht sind. Ja, man könnte da auch noch Fritzboxen und Speedport kaskadieren....aber das ist eher was fürn Freitag.
Zitat von @MarkSauter:
Für den Hausgebrauch eine Lösung gesucht um mind. 4 getrennte Netze hinter einem Internetzugang zu realisieren. Es sollen persönliches Netz, Gäste, Wärmepumpe, Ablesedienst für Funkstation Heizkostenverteiler und was in Zukunft vielleicht noch alles kommt, jeweils in seinem eigenen Netz mit Internetzugang betrieben werden.
[...]
Ich selbst denke an mehrere VLANs bei einem Switch / Router, angeschlossen an meinem Speedport Internet Router. [...]
Ganz toll wäre ja eine kompakte Anleitung wie man das an welchem Gerät umsetzt.
Für den Hausgebrauch eine Lösung gesucht um mind. 4 getrennte Netze hinter einem Internetzugang zu realisieren. Es sollen persönliches Netz, Gäste, Wärmepumpe, Ablesedienst für Funkstation Heizkostenverteiler und was in Zukunft vielleicht noch alles kommt, jeweils in seinem eigenen Netz mit Internetzugang betrieben werden.
[...]
Ich selbst denke an mehrere VLANs bei einem Switch / Router, angeschlossen an meinem Speedport Internet Router. [...]
Ganz toll wäre ja eine kompakte Anleitung wie man das an welchem Gerät umsetzt.
Naja, mehr Kontext geht jetzt nicht. Klar, kann man jetzt das Gast-LAN der Fritzbox für diverse Geschichten nehmen. Funktioniert auch. Aber man muss zum einen eine Fritzbox kaufen und den vorhandenen Speedport ersetzen und hat dann dennoch keine mindestens 4 getrennten Netze, die explizit gewünscht sind. Ja, man könnte da auch noch Fritzboxen und Speedport kaskadieren....aber das ist eher was fürn Freitag.
@nachgefragt:
kpunkt hat schon richtig verstanden. Ich will wirklich 4 getrennte Netze um eindeutig zu trennen.
@DivideByZero
Das stimmt wohl und muss beachtet werden.
Ich will sogar noch hinzufügen, dass man ja nicht weiß was die über meinen Internetanschluss sonst noch so alles (be)treiben, vielleicht sogar verbotenes.
Die Aufrufe protokollieren wäre eine Lösung, aber wer macht das schon.
Schlussendlich muss wie immer jeder für sich zwischen Funktionalität, Kosten und Sicherheit abwägen.
Für mich persönlich sind getrennte Netze und ein Internetanschluss, das richtige Maß.
kpunkt hat schon richtig verstanden. Ich will wirklich 4 getrennte Netze um eindeutig zu trennen.
@DivideByZero
Das stimmt wohl und muss beachtet werden.
Ich will sogar noch hinzufügen, dass man ja nicht weiß was die über meinen Internetanschluss sonst noch so alles (be)treiben, vielleicht sogar verbotenes.
Die Aufrufe protokollieren wäre eine Lösung, aber wer macht das schon.
Schlussendlich muss wie immer jeder für sich zwischen Funktionalität, Kosten und Sicherheit abwägen.
Für mich persönlich sind getrennte Netze und ein Internetanschluss, das richtige Maß.
1
Ok, dann vergiss die Option mit dem Gastnetzwerk, welches sich in der Form sicherlich auch über den Speedport realisieren ließe.
Ich will wirklich 4 getrennte Netze um eindeutig zu trennen.
Entweder die o.a. Lösung mit einem Layer 3 VLAN Switch ob mit Mikrotik oder einem anderen Hersteller der Wahl oder mit einer (kostenfreien) Firewall:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Beides sind die klassischen 08/15 Routing Lösungen die so eine Anforderung mehrerer lokaler Netze im Handumdrehen umsetzen.
2
Mit OPNsense freunde ich mich mehr und mehr an.
Naiv nachgefragt, für den konkreten Fall:
Das müsste doch auch gehen, wenn ich "irgendeinen" PC mit 1x LAN und 4x USB + LAN Adapter nehme, oder? Dann hätte ich 5 Interfaces welche ich in der OPNsense verwalten kann, also einen entsprechenden VLAN zuweisen kann (Interfaces: Assignments).
VPN mit OpenVPN, alles für lau.
Naiv nachgefragt, für den konkreten Fall:
Das müsste doch auch gehen, wenn ich "irgendeinen" PC mit 1x LAN und 4x USB + LAN Adapter nehme, oder? Dann hätte ich 5 Interfaces welche ich in der OPNsense verwalten kann, also einen entsprechenden VLAN zuweisen kann (Interfaces: Assignments).
VPN mit OpenVPN, alles für lau.
1wenn ich "irgendeinen" PC mit 1x LAN und 4x USB + LAN Adapter nehme,
Ja, das klappt natürlich auch. Hat aber einen gravierenden Nachteil...Die USB Adapter sind mechanisch nicht besonders stabil und wenn diese einmal die USB Verbindung verlieren ist das dazu korrespondierende Interface tot. Dazu kommt das die USB Interfaces oft deutlich limitiert sind im Durchsatz. Ganz besonders wenn die alle zusammen an einem internen USB Hub hängen und sich die Bandbreite auch noch teilen müssen.
Besser:
Belasse es bei dem einen 1 Gig Interface am Rechner und nutze VLANs mit einem kleinen 20 Euro VLAN Switch. Performanter und mechanisch deutlich besser und obendrein ersparst du dir die Frickelei mit den USB Adaptern. Damit wären dann 4092 Firewall Interfaces möglich!
Wie man das ganz einfach und unkompliziert umsetzt erklärt dir, wie immer, das OPNsense VLAN Tutorial
2
So was blödes!
Jetzt hab ich den MikroTik hEX PoE gekauft und sehe beim Einrichten nach Anleitung, dass der Speedport 3 nicht die erforderlichen Routen auf die VLANs setzen kann.
Das hätte ich Idiot vorher genau lesen sollen.
Dann funktioniert wohl auch kein VPN aus diesen VLANS des MikroTik, damit die Dienstleister auf ihre Geräte zugreifen können?
Ich wäre bereit für weitere Hardware Geld auszugeben. Aber kann ich den Speedport einfach austauschen, der macht ja auch Telefonie und gegen was dann?
Hat jemand ein Idee wie ich jetzt weitermachen kann?
Jetzt hab ich den MikroTik hEX PoE gekauft und sehe beim Einrichten nach Anleitung, dass der Speedport 3 nicht die erforderlichen Routen auf die VLANs setzen kann.
Das hätte ich Idiot vorher genau lesen sollen.
Dann funktioniert wohl auch kein VPN aus diesen VLANS des MikroTik, damit die Dienstleister auf ihre Geräte zugreifen können?
Ich wäre bereit für weitere Hardware Geld auszugeben. Aber kann ich den Speedport einfach austauschen, der macht ja auch Telefonie und gegen was dann?
Hat jemand ein Idee wie ich jetzt weitermachen kann?
Kann der Mikrotik nicht direkt an den Anschluss? Häng den Speedport dahinter und lass den wie gewohnt die Telefonie. Zur Not halt ein Vigor vor dem Mikrotik. Speedport würde ich immer hinter den Mikrotik setzen.
Aber warte auf @aqui. Der wird bald auftauchen und dir sagen, was zu tun ist.
Aber warte auf @aqui. Der wird bald auftauchen und dir sagen, was zu tun ist.
1dass der Speedport 3 nicht die erforderlichen Routen auf die VLANs setzen kann.
Na und?! Dann machst du auf dem Koppelport des Mikrotik halt NAT (Adress Translation). Guckst du dazu auch HIER (Kapitel "Wichtige Punkte") und HIER.Das macht der Mikrotik übrigens per Default auf dem ether1 Port wenn man ihm seine Default Konfig laden lässt.
Damit ist das "Problem" dieser Speedport Gurken dann doch ganz einfach mit einer Router Kaskade mit NAT gefixt.
Dann funktioniert wohl auch kein VPN aus diesen VLANS des MikroTik
Doch, natürlich!VPN Traffic per Port Forwarding im Speedport an den Mikrotik weiterreichen und dort terminieren.
Idealerweise mit einem L2TP das man den überall integrierten VPN Client nutzen kann. Guckst du dazu HIER.
Wireguard VPN kann der Mikrotik natürlich auch.
Obwohl heute wieder Freitag 🐟 ist muss du nicht gleich die Flinte ins Korn schmeissen.
1Zitat von @aqui:
Obwohl heute wieder Freitag 🐟 ist muss du nicht gleich die Flinte ins Korn schmeissen.
Obwohl heute wieder Freitag 🐟 ist muss du nicht gleich die Flinte ins Korn schmeissen.
Ich hol höchstens eine andere Flinte
Jetzt hab ich schon mal gelernt, dass man mit einer Gurke ins Internet gehen kann :-o
Es ist ganz interessant, das jetzt durchzuziehen.
Vielen Dank für die weitere Unterstützung.
