noizede
Goto Top

Einfamilienhaus Planung - Netzwerkaufbau

Liebes Forum!

Vielen Dank für alle Beiträge die ich den letzten Wochen lesen durfte face-smile - hat mir schon sehr viel geholfen.

Ich bin gerade mitten im Hausbau und nach vielen anderen Themen nun an der ersten Netzwerkplanung. Vielleicht wäre wer so nett und kann das folgende Konzept kurz kommentieren. Noch habe ich einige Monate Zeit (Fertigstellung Sommer 2015) - würde aber gerne mal wissen ob mein Grundkonzept so passt, da der Elektriker im Winter loslegt.

Aussgangssituation:
- Verkabelung von 7 Zimmern mit 1 oder 2 Dosen (je nach Bedarf)
- Außenverkabelung von 2 IP Cams
- Dose: Cat6
- Kabel: Cat7

Grundstruktur:
Internet - Router - Switch 1 mit POE (8 Anschlüsse) & Switch 2 ohne POE (8 Anschlüsse) - Patchfield - Cat7 Kabel - Dosen

Switch 1: Netgear ProSafe GS110TP Smart Managed Gigabit Switch mit PoE und 2 Fiber Ports
Siwtch 2: da stehe ich schon vor meiner ersten Frage -> sollte der 2. auch smart managed sein? Warum überhaupt ein 2. Switch, da ich gerne POE hätte (siehe weiter unten) aber 8 Ports reichen mehr als aus und würde als 2. Switch ein günstigeren nehmen. Was meint Ihr? Keine gute Idee 2 Switches? Wenn welcher? Wenn nur ein Switch, welcher mit POE?


Am Switch 1 hängt:
- IP Cam 1 (mit POE)
- IP Cam 2 (mit POE)
- Ubiquiti UAP-LR WLAN ACCESSPOINT (mit POE)
- Wohnzimmer Switch mit 4 oder 6 Ports (da zu viele Geräte, mache ich dort nen Switch bevor ich 4 Dosen setze) (mit POE)
-- an dem Switch hängen, PS4, Wii, TV, Rasperry PI XMBC Center
- Arbeitszimmer mit 4 Port Switch (auch da zu viele Geräte, daher kleiner Switch) (mit POE)
-- an dem Switch hängen 2 Rechner und ein Rasperry zum Spielen und 1 freier Port
- NAS Synology 214 (ohne POE)
- Philips Hue Bridge (ohne POE)
- Loxone Smart Home Miniserver (ohne POE)

Am 2. Switch (der ohne POE Funktion) hängen:
- Schlafzimmer 1 Dose
- Kinderzimmer 1 Dose
- Kinderzimmer 1 Dose
- Rest Frei

Wlan:
Über den Ubiquiti UAP-LR werden noch 3 Laptops sowie Smartphones und Tabletts eingebunden (Android & iOS Geräte).

Als Router (zwischen Modem und Switch) hätte ich einen alten Linksys WRT mit Open Tomato Firmware genommen (der steht aktuell noch herum). Über diesen Router soll ein VPN laufen, damit ich z.B.: auf das NAS von extern zugreifen kann oder auf den Loxone Miniserver.

ad Loxone Miniserver:
Dieser hat nur 2 Kernfunktionen:
- Bewässerungssteuerung von 4 Ventilen im Garten
- Steuerung der elektronischen Eingangstür (mit Transponder) -> daher Fernzugriff -> ich sehe wann wer eincheckt und bekomme Meldung

ad Internet:
Hier leider nur sehr langsames Angebot möglich, da muss ich noch überlegen (max. 4mbit möglich) - vielleicht Doppellösung mit Kabel und Mobil? (Lastenausgleich)

Meine Fragen:
- soll ich 1 oder 2 Switche nehmen?
- Passt der Router als VPN Lösung?
- Welche "kleinen" Switches würdet ihr für die Zimmer nehmen? Oder soch 4-6 Dosen setzen (macht es aber sehr teuer...)
- habe ich was falsch gemacht? Irgendwo kompletter Blödsinn?

Jetzt freue ich mich auf euren Input und darf schon mal herzlichen Dank sagen - ich hoffe, ich habe alle Infos die ich den letzten Wochen gelesen habe gut zusammengetragen, bin echt eher Anfänger im Netzwerk Bereich.

Vielen Dank Noizede

Content-ID: 251914

Url: https://administrator.de/contentid/251914

Ausgedruckt am: 23.11.2024 um 05:11 Uhr

brammer
brammer 15.10.2014 um 06:34:43 Uhr
Goto Top
Hallo,

Diese Thema wurde hier im Forum schon diverse male diskutiert, hast du die Beiträge gelesen?

Ich würde zumindest für das Wohnzimmer und Büro (soweit vorhanden...) mehr als 2 Dosen (4) setzen ....den höheren Preis gleichst du auf jeden Fall burch bessere Performance und weniger Ärger aus.
bei den Switchen würde ich immer genug Reserve berücksichtigen...

Brammer
killtec
killtec 15.10.2014 um 08:24:53 Uhr
Goto Top
Hi,
meine Emfpehlung:
1. Alle Kabel müssen in Leerrohre (ist sogar vorgeschrieben wenn das ein Installatuer macht).
2. Verbau mehr Dosen als du in den Räumen benötigst. Du wirst dich später ärgern!
3. Kauf einen großen Switch, der PoE und normale Ports hat. Oftmals haben die größeren Switche eine Mischung aus der Hälfte PoE Ports und normalen Ports.
4. Nimm immer Doppeldosen. Der Aufwand ist nicht größer als bei Einfachdosen (Bei der Verlegung der Kabel und dem Aufstämmen der Wand).
5. Wenn die Kabel durch einen Installatuer aufgelegt werden, lass dir später ein Messprotokoll geben.

Zu der Thematik Mehrere Dosen = teuer / teurer. So etwas kann sich schnell rächen. Du hast einen Höheren Strombedarf, mehr Fehlerquellen und ein ggf. Instabiles System. Daher Immer genügen Doppeldosen legen face-smile
Die paar EUR fallen beim Hausbau nicht auf face-smile

Gruß
Thomas91
Thomas91 15.10.2014 um 08:41:21 Uhr
Goto Top
Hallo Noizede,

ich kann dir auch nur Empfehlen mehr Kabel in die Zimmer zu ziehen.
Kinderzimmer: 1 PC + vllt mal IPTV da sind zwei Dosen schon etwas mager face-wink

Beim Switch würde ich persönlich einen Großen kaufen und keine zwei kleinen.

Wohnzimmer hinter den TV eine Doppeldose setzten (PFLICHT =P )
Büro würde ich 6 Dosen setzten, da 4 schnell weg sind.

Gruß Thomas
102534
Lösung 102534 15.10.2014 aktualisiert um 10:26:18 Uhr
Goto Top
Hallo face-smile

also mit so wenig Dosen wirst du dir in den Hintern beißen...

Wohnzimmer würde ich mindestens 2 Doppeldosen machen - in die Kinderzimmer auch. Warum das ganze?
1x fürs Laptop, 1x Mediacenter, 1x TV - damit sind schon 3 Dosen im Wohnzimmer weg.

Und was ganz groß im kommen ist - weils billiger ist - SAT over IP. Kannst du dir auch mal anschauen: http://www.amazon.de/dp/B00NGFDC3I/

PoE ist nur aktiv wenn auch die Spannung genutzt wird - ein zusätzlicher Billigheimer Switch kostet dich mehr Strom als ein guter großer mit PoE.
Günstig wäre zum Beispiel die TL-SG2424P - wenn alle Ports belegt sind, maximal 36 Watt Leistungsaufnahme. Plus PoE natürlich...

Etwas teurer - dafür auch besser - wäre natürlich ein Cisco SG200-26P. Ob du sowas brauchst ist aber fraglich.

Grüßle

win-dozer
noizede
noizede 15.10.2014 um 10:36:55 Uhr
Goto Top
Hallo und vielen Dank für die Inputs.

Ja, habe schon viele Beiträge gelesen - sonst wäre ich nie soweit gekommen face-smile

Okay, was ich auf jeden Fall mitnehme:

- 1 Switch besser als 2
-- Danke für die Empfehlung für: http://www.amazon.de/TP-Link-TL-SG2424P-24-Port-Gigabit-Switch/dp/B00HH ...

- mehr Dosen (auch wenn jede davon auf knapp 200,- EUR kommt...)

- das SAT to IP habe ich lang mit dem Elektriker diskutiert - irgendwie hat er es geschafft es mir auszureden ... mhh..

Ja, Verlegung macht alles der Elektriker mit Leerrohe und Messprotokoll (daher auch die 200,- pro Dose in Summe).

Was meint ihr zu der Router Lösung mit dem Linksys WRT (für VPN)?

Und bei hunderten von Entscheidungen spürt man die "paar Euro" schon im Hausbau face-smile - allein Elektronik & Technik kommt bald auf 60.000,-
102534
102534 15.10.2014 um 10:49:12 Uhr
Goto Top
Zitat von @noizede:


- das SAT to IP habe ich lang mit dem Elektriker diskutiert - irgendwie hat er es geschafft es mir auszureden ... mhh...

Ja das ist klar... für ihn ist das n schlechtes Geschäft (LNB + Kabel + Multiswitch etc pp)

Was meint ihr zu der Router Lösung mit dem Linksys WRT (für VPN)?

gute Sache wenn du dich damit Beschäftigst - ansonsten Fritz!Box. Warum? Viele Funktionen und jede Menge einfacher Anleitungen

Und bei hunderten von Entscheidungen spürt man die "paar Euro" schon im Hausbau face-smile - allein Elektronik &
Technik kommt bald auf 60.000,-

Ja, ohne eigener Arbeit ist sowas teuer... Wobei ich z.B. die Netzwerkverkabelung selbst machen würde... 10€ pro Keystone Modul, 80Cent pro Meter Kabel...
Schrank, Panel, Switch etc. dann ca. 400€
Thomas91
Thomas91 15.10.2014 um 10:53:49 Uhr
Goto Top
Zitat von @102534:

> Zitat von @noizede:
>
> Und bei hunderten von Entscheidungen spürt man die "paar Euro" schon im Hausbau face-smile - allein Elektronik &
> Technik kommt bald auf 60.000,-

Ja, ohne eigener Arbeit ist sowas teuer... Wobei ich z.B. die Netzwerkverkabelung selbst machen würde... 10€ pro
Keystone Modul, 80Cent pro Meter Kabel...
Schrank, Panel, Switch etc. dann ca. 400€

Genau das hab ich mir auch gedacht face-smile
102534
102534 15.10.2014 aktualisiert um 11:16:26 Uhr
Goto Top
Zitat von @Thomas91:

> Zitat von @102534:
>
> > Zitat von @noizede:
> >
> > Und bei hunderten von Entscheidungen spürt man die "paar Euro" schon im Hausbau face-smile - allein Elektronik
&
> > Technik kommt bald auf 60.000,-
>
> Ja, ohne eigener Arbeit ist sowas teuer... Wobei ich z.B. die Netzwerkverkabelung selbst machen würde... 10€ pro
> Keystone Modul, 80Cent pro Meter Kabel...
> Schrank, Panel, Switch etc. dann ca. 400€

Genau das hab ich mir auch gedacht face-smile

Leerrohre kann ja der Elektrofuzzi reinziehen. Und natürlich eine Erdungsleitung zum Schrank...
Bei Rund 150€ Ersparnis pro Dose kann ich gar nich so langsam arbeiten als das sich das rechnen würde ;)

EDIT: Ich habe die hier im Einsatz - billig aber okay: http://www.ebay.de/itm/261555913880
Evtl dann noch das Panel: http://www.ebay.de/itm/331048130197
Fast jeder Hersteller von Blenden bietet was an für Keystones...
noizede
noizede 15.10.2014 um 11:58:18 Uhr
Goto Top
Nochmals Danke - somit gibt es ja morgen bei der Baubesprechung gleich einiges zu diskutieren über die weiteren Leerrohe. Dann schaue ich mal, auf welche Kosten ich komme für nur Rohre, optional dann Verkabelung oder eben selbst ...

Ja, Rack und Patchfield war von Anfang an geplant nur wahrscheinlich viel zu wenige Dosen face-sad - aber ihr habt ja recht mit dem Feedback...

Darf ich noch eines Fragen, nur auf Nummer sicher zu gehen:
- Für das Wlan ist ja der Ubiquiti UAP-LR geplant (http://dl.ubnt.com/guides/UniFi/UniFi_AP_AP-LR_User_Guide.pdf)
-- Dieser hängt dann ja am Switch -> und wenn ich das Manual richtig verstehe kann der Vlan?
-- Also ich definiere zB Laptop Office 1 als Vlan LO1 und das klappt dann egal ob ich ihn an eine Dose stecke oder auf der Terasse mit Wlan verbunden bin?

Danke face-smile
102534
102534 15.10.2014 um 12:14:18 Uhr
Goto Top
Hallo,

du kannst am AP eine SSID einem VLAN zuordnen. Anschließend wird der Traffic vom AP getagend und auf dem Trunkport geswitcht. Wenn du so was machen willst musst du aber einen Switch oder einen Router haben der zwischen VLANs routen kann -> der OpenWRT kann das.
Inwiefern der TPLink bei solchen Spielchen zu gebrauchen ist kann ich dir nicht sagen - hier würde ich dir aber auf jeden Fall dann eher zum Cisco raten! (du sparst je jetzt schon viel Geld bei der Verkabelung face-smile))

Gruß

win-dozer
Thomas91
Thomas91 15.10.2014 um 12:15:56 Uhr
Goto Top
Hallo noizede,

machst du nur ein VLAN oder mehrere?
Sofern du nur eines machst auf dem Switch, der Ubiquite AP und Controller können beide auch VLAN-tagging und das ganze sollte bei richtiger Konfiguration garkein problem sein!

Gruß Thomas
noizede
noizede 15.10.2014 um 12:32:27 Uhr
Goto Top
Sorry - jetzt stehe ich auf der Leitung, dachte VLAN´s sind immer mehrere auf dem Switch.

Geplant war es ähnlich wie hier beschrieben: Heimnetzwerk - Wie installieren?

Zitat: Alles bekommt sein eigenes VLAN und dann werden die anderen Mitbenutzer bzw. Ihre PCs
eben noch in den VLANs Mitglied auf die sie Zugriff haben müssen.

Also zB Vlan 1 = NAS und Vlan7 = Mediencenter -> Vlan7 darf auf Vlan1 und sonst nichts
oder
Vlan2 (=Tablett) darf auf Vlan7 (Mediencenter) aber auch Vlan1 (=NAS) aber sonst auf nichts

Oder habe ich das total falsch verstanden - sorry fürs nachfragen und schon wieder Danke euch beiden face-smile
Thomas91
Thomas91 15.10.2014 um 13:31:44 Uhr
Goto Top
Kommt drauf an, was genau du vor hast.
Beispiel:
Vlan 1 Managment VLAN 192.168.100.0/24 In diesem VLAN bekommen Router, Switche, NAS MGMT IP, Server, Mediencenter eine IP
Vlan 2 Client LAN VLAN 192.168.101.0/24 In dieses VLAN kommen alle Clients ob PC, Tablet
+++Frage+++
Wenn das Mediencenter nur auf das Nas zugreiffen soll warum machst du es nicht in das gleiche VLAN wenn dort eh nur dein NAS vorhanden ist?!?

Optional:
Vlan 3 Client WLAN VLAN 192.168.102.0/24 In diesem VLAN bekommen deine WLAN Geräte eine IP
Wenn du den Traffic so genau regeln willst benötigst du meines erachtens eine Firewall dazwischen oder einen Router bei dem du den Zugriff genau regeln kannst. Ich persönlich würde eine FW bevorzugen, da hier mehr Möglichkeiten sind.

Nun müsstest du mal sagen ob ich deinen Kommentar richtig verstandne habe :D
noizede
noizede 15.10.2014 um 14:29:19 Uhr
Goto Top
Hui Danke - du zeigst mir gerade die Grenzen meines kognitven Modells über Vlan auf (was ich positiv meine) face-smile

Ich darf von einem Scenario ausgehen (ich habe insgesamt an 20 Szenarien, und so bin ich auf Vlans gekommen als Lösung).

Beispiel Wlan:
Mit dem privaten Laptop darf ich auf das NAS aber der Firmenlaptop der Freundin darf nichts im Intranet machen außer mit dem Web über Firmen-VPN zu kommunizieren. Später wird ein eigenes Firmen-NAS angeschafft. Dann darf der LF (Laptop Freundin) zusätzlich auf diesen greifen. Dieses NAS ist aber dafür von keinem anderen sichtbar/kommunzierbar und darf auch nicht ins Web.

Beispiel mit den 2 IP Cams:

2 IP Cams hängen im internen Netz. Diese dürfen nur mit dem NAS kommunizieren (Synology Surveilance Station) sowie einem Admin Device (zum Setup) und sind nicht vom Web (außen) erreichbar und kommunizieren mit keinem anderen Device. Das NAS ist auch von außen nicht erreichbar bzw. kommuniziert nicht. Nur wenn ich mich mittels VPN (Smartphone oder Laptop) einlogge in das Heimnetz sehe ich auf dem NAS die Live Bilder der Cams. Innerhalb des Netzes dürfen aber andere Devices zugreifen (zB Mediencenter).

Beispiel Mediencenter:
Raspberry PI im Wohnzimmer darf nur mit dem NAS kommunizieren sowie dem Admin Device (zum Setup). Das NAS darf aber mit anderen Devices kommunizieren ausser mit dem Device "Büro Laptop" und der Gruppe "Guests" die sich per Wlan anmelden.


Deine Frage:
Wenn das Mediencenter nur auf das Nas zugreiffen soll warum machst du es nicht in das gleiche VLAN wenn dort eh nur dein NAS vorhanden ist?!?
Antwort: Weil ja das Mediencenter nur auf das NAS zugreifen darf, aber das NAS mit anderen Devices (VLANs) kommuniziert.

Und Danke fürs mitlesen/zuhören face-smile
brammer
brammer 15.10.2014 um 14:41:09 Uhr
Goto Top
Hallo,

Vlan 1 Managment VLAN 192.168.100.0/24 In diesem VLAN bekommen Router, Switche, NAS MGMT IP, Server, Mediencenter eine IP
Vlan 2 Client LAN VLAN 192.168.101.0/24 In dieses VLAN kommen alle Clients ob PC, Tablet

soweit richtig, nur nicht VLAN 1...
Nimm besser VLAN 4000 (oder irgendwas anderes.)
Es gibt Angriffsszenarien für VLAN 1 .... das ist bei uns auf allen Switchen deaktiviert.

Wenn du außerdem Planst irgendwann mit VPN Verbindungen zu arbeiten, Homeoffice oder Kinder verbinden sich per VPN, solltest du den IP Adress Bereich 192.168.x.x meiden.
Nimm Alternativ 10.226.x.x.

brammer
102534
102534 15.10.2014 um 14:44:42 Uhr
Goto Top
Hallo,

hier mal ein Vorschlag für deine VLANS:

1: intern - hier kommt NAS, Cam, Router etc rein.
2: Clients - hier kommt deinen Clients wie TV, Laptop etc rein die auch vertrauenswürdig sind
3: Gäste - hier kommt z.B. das Laptop deiner Freundin rein.

die Firewall regelt z.B. das Clients auf den internen Bereich keinen Zugriff haben - außer du erlaubst das expliziet. z.B. mediacenter per CIFs auf NAS
außerdem wird der Traffic der Gäste gefiltert - nur http, https, pop, smtp, imap, vpn. Außerdem kannst du http und https ja mittels transparent proxy filtern (filehoster, diverse "tubes" etc)

das nur die Cam auf das NAS Bilder kopieren darf würde ich durch Freigabeberechtigungen regeln. Das Setup würde ich mittles kurzzeitiges anschließen an das VLAN1 machen - oder einer festen IP Adresse den Zugriff gestatten...

Gruß

win-dozer
Thomas91
Thomas91 15.10.2014 aktualisiert um 15:00:36 Uhr
Goto Top
Hey,
ich tendiere immer mehr zu einer Firewall mit der du das ganze Regelst :D
Zitat von @noizede:

Hui Danke - du zeigst mir gerade die Grenzen meines kognitven Modells über Vlan auf (was ich positiv meine) face-smile

Ich darf von einem Scenario ausgehen (ich habe insgesamt an 20 Szenarien, und so bin ich auf Vlans gekommen als Lösung).

Beispiel Wlan:
Mit dem privaten Laptop darf ich auf das NAS aber der Firmenlaptop der Freundin darf nichts im Intranet machen außer mit dem
Web über Firmen-VPN zu kommunizieren. Später wird ein eigenes Firmen-NAS angeschafft. Dann darf der LF (Laptop Freundin)
zusätzlich auf diesen greifen. Dieses NAS ist aber dafür von keinem anderen sichtbar/kommunzierbar und darf auch nicht
ins Web.

Beispiel mit den 2 IP Cams:

2 IP Cams hängen im internen Netz. Diese dürfen nur mit dem NAS kommunizieren (Synology Surveilance Station) sowie einem
Admin Device (zum Setup) und sind nicht vom Web (außen) erreichbar und kommunizieren mit keinem anderen Device. Das NAS ist
auch von außen nicht erreichbar bzw. kommuniziert nicht. Nur wenn ich mich mittels VPN (Smartphone oder Laptop) einlogge in
das Heimnetz sehe ich auf dem NAS die Live Bilder der Cams. Innerhalb des Netzes dürfen aber andere Devices zugreifen (zB
Mediencenter).

Beispiel Mediencenter:
Raspberry PI im Wohnzimmer darf nur mit dem NAS kommunizieren sowie dem Admin Device (zum Setup). Das NAS darf aber mit anderen
Devices kommunizieren ausser mit dem Device "Büro Laptop" und der Gruppe "Guests" die sich per Wlan
anmelden.


Deine Frage:
Wenn das Mediencenter nur auf das Nas zugreiffen soll warum machst du es nicht in das gleiche VLAN wenn dort eh nur dein NAS
vorhanden ist?!?
Antwort: Weil ja das Mediencenter nur auf das NAS zugreifen darf, aber das NAS mit anderen Devices (VLANs) kommuniziert.

Und Danke fürs mitlesen/zuhören face-smile


VLAN Tabelle:
Privat Laptop VLAN 1
NAS VLAN 2
reines DSL für Homeoffice VLAN 3
Firmen NAS VLAN 4
IP Cams VLAN 5
Guest VLAN 6 (oder ist das mit VLAN 3 gleichzustellen?)
VLAN7 VPN-POOL
VLAN8 Pi

Skizze FW Regeln:
VLAN1 ---all---> Internet (kannst du auch auf ftp, http, https uvm. einschränken)
VLAN1 ------> VLAN2
VLAN2 ------>VLAN1/6/7
VLAN3 ---all---> Internet
VLAN3 ---benötigte Protokolle oder alles--->VLAN4
VLAN3 ---all---> RFC-1918- 10/192/178 (je nachdem was benötigt wird) !!!blockieren!!!
VLAN5 ------>VLAN2
VLAN6 ------>Internet
VLAN6 ------>VLAN2
VLAN7 ------>VLAN2
VLAN8 ------>VLAN2

+++Achtung das ist nur eine grobe Skizze und muss von dir verfeinert werden +++

Als Firewall kann ich pfsense empfehlen.

Die VLAN-ID´s sind als beispiel gewählt gerne kannst du hier auf den Hinweis eingehen und andere ID´s oder IP-Bereiche verwenden!

Der Pi ist schon ein tolles Teil *thumbs up*

Edit:

Zitat von @102534:

das nur die Cam auf das NAS Bilder kopieren darf würde ich durch Freigabeberechtigungen regeln. Das Setup würde ich
mittles kurzzeitiges anschließen an das VLAN1 machen - oder einer festen IP Adresse den Zugriff gestatten...

Gruß

win-dozer

Ist besser wie das von mir oben geschriebene und macht viel mehr Sinn wenn es um schreib und leserechte auf dem NAS/ Cifs freigabe gibt!
noizede
noizede 15.10.2014 aktualisiert um 17:44:25 Uhr
Goto Top
Super und Danke!
Thomas, gerne nehme ich deine skizze und beginne mal meine Szenarien zu planen.

Das mit der Firewall muss ich mir näher anschauen - leider läuft pfsense nicht auf einem Rasperry (ja, ich stehe auch drauf) - d.h. noch ein Device einplanen in die Gesamtkette.

Werde mir mal das Thema Firewall näher anschauen - war bis jetzt nicht so auf meinem Radar face-smile

So und morgen gleich mal den Elektriker quälen wegen der Leitungen - und das Loxone Ding will auch noch geplant werden ...

Vielen Dank

Edit:
Die OpenWRT Firewall auf dem Router würde dafür nicht reichen? Würde ein Gerät sparen face-smile
Thomas91
Thomas91 16.10.2014 um 07:48:17 Uhr
Goto Top
Zitat von @noizede:


Edit:
Die OpenWRT Firewall auf dem Router würde dafür nicht reichen? Würde ein Gerät sparen face-smile

Wenn der Router VLAN´s kann, probiers aus mehr wie nichts sein kann es nicht :P