Erweiterung Netzwerk um VLAN mittels Switch (Layer 3)
Hallo zusammen,
ich hoffe ihr könnt mir bei meinem Vorhaben weiterhelfen.
Ich will gern (u.a. aus Sicherheitsgründen) ein zusätzliches Netz (VLAN) in mein aktuell sehr einfach aufgebautes Netzwerk integrieren. Dabei habe ich folgende „Anforderungen“:
- die Clients des neuen VLANs sollen nicht auf Clients in den anderen VLANs (Heimnetz und Gastnetz) zugreifen können
- eine Verbindung z.B. vom Heimnetz in das neue VLAN wäre grundsätzlich okay (z.B. zur Administration der Komponenten...)
- das Heimnetz mit den vorhandenen AVM-Funktionalitäten der Fritzbox (Mesh, usw.) und der AVM-Repeater soll bestehen bleiben
- das neue VLAN soll über das bereits vorhandene VPN der Fritzbox (für Heimnetz) von außen erreichbar sein
Momentan setzte ich eine AVM-Fritzbox (aktueller Firmwarestand) mit einigen AVM-Repeater ein, um das Heim- und Gastnetz per LAN und WLAN zu verteilen. Nach einigen Recherchen würde sich z.B. der TP-Link TP-Link SG2008v3 als eine geeignete Komponente (Layer3(Lite)-Switch) für den gewünschten Aufbau eines zusätzlichen VLANs (Layer 3 inkl. DHCP) eigenen. Im Anhang dieses Posts habe ich schematisch die beiden Varianten einmal dargestellt.
Noch anzumerken ist, dass ich das Fritzbox-Gastnetz als Ersatz für das neue VLAN leider nicht nutzen kann, da man auf das Fritzbox-Gastnetz nicht einfach über VPN zugreifen kann.
Noch ein paar kurze Erklärung zu den Varianten:
Variante 1:
Erzeugung von drei VLANs (VLAN1 – Heimnetz / VLAN2 – Gastnetz / VLAN3 – neues Netz) über Layer 3 Switch
Abgehender Datenverkehr (Nur Internetzugriff) von VLAN3 geht über Internetzugang von VLAN2 (Gastnetz).
Eingehender Verkehr (z.B. VPN, Zugriff aus dem Heimnetz) läuft über VLAN1 (Heimnetz).
Somit: Keine Verbindung vom VLAN3 in das VLAN1 (eingehend)
Variante 2:
Erzeugung von drei VLANs (VLAN1 – Heimnetz / VLAN2 – Gastnetz / VLAN3 – neues Netz) über Layer 3 Switch
Eingehender und ausgehender Verkehr des VLAN3 geht über VLAN1 (Heimnetz).
Hier müssen dann spezielle Regel auf dem Switch eingerichtet werden. (siehe Fragen)
Nun meine Fragen:
Welche der Varianten wäre aus eurer Sicht die favorisierte Variante (zur Gewährleistung der o.g. Punkte) und warum? Habt ihr Verbesserungsvorschläge oder eine weitere (bessere) Variante?
Zu Variante 2: Kann man durch Funktionen des Layer 3 Switches das VLAN1 und VLAN3 sauber trennen (z.B. ACL)? Problem ist ja, dass bei Variante 2 das VLAN3 über VLAN1 gehen muss, um ins Internet zu kommen. Ohne spezielle Regeln zwischen VLAN1 und 3 könnten somit Clients aus dem VLAN3 auf Clients im VLAN1 zugreifen.
Mein Fachwissen im Netzwerkbereich würde ich auf erweiterte Grundlagenkenntnisse einstufen. Konfiguration von Routern, Switchen, Firewalls, usw. ist für mich also kein "Tagesgeschäft". Ich möchte im Übrigen ungern weitere Zusatzkomponenten wie pfsense/ OPNsense verwenden. Einerseits aufgrund des erhöhten administrativen Aufwands und weil das Risiko etwas falsch zu konfigurieren dann doch relativ hoch ist. Aus diesem Grund kommt auch kein neuer oder zusätzlicher Router (Layer 3) aktuell in Frage.
Bei Rückfragen sagt einfach Bescheid. Vielen Dank im Voraus für eure Hilfe.
ich hoffe ihr könnt mir bei meinem Vorhaben weiterhelfen.
Ich will gern (u.a. aus Sicherheitsgründen) ein zusätzliches Netz (VLAN) in mein aktuell sehr einfach aufgebautes Netzwerk integrieren. Dabei habe ich folgende „Anforderungen“:
- die Clients des neuen VLANs sollen nicht auf Clients in den anderen VLANs (Heimnetz und Gastnetz) zugreifen können
- eine Verbindung z.B. vom Heimnetz in das neue VLAN wäre grundsätzlich okay (z.B. zur Administration der Komponenten...)
- das Heimnetz mit den vorhandenen AVM-Funktionalitäten der Fritzbox (Mesh, usw.) und der AVM-Repeater soll bestehen bleiben
- das neue VLAN soll über das bereits vorhandene VPN der Fritzbox (für Heimnetz) von außen erreichbar sein
Momentan setzte ich eine AVM-Fritzbox (aktueller Firmwarestand) mit einigen AVM-Repeater ein, um das Heim- und Gastnetz per LAN und WLAN zu verteilen. Nach einigen Recherchen würde sich z.B. der TP-Link TP-Link SG2008v3 als eine geeignete Komponente (Layer3(Lite)-Switch) für den gewünschten Aufbau eines zusätzlichen VLANs (Layer 3 inkl. DHCP) eigenen. Im Anhang dieses Posts habe ich schematisch die beiden Varianten einmal dargestellt.
Noch anzumerken ist, dass ich das Fritzbox-Gastnetz als Ersatz für das neue VLAN leider nicht nutzen kann, da man auf das Fritzbox-Gastnetz nicht einfach über VPN zugreifen kann.
Noch ein paar kurze Erklärung zu den Varianten:
Variante 1:
Erzeugung von drei VLANs (VLAN1 – Heimnetz / VLAN2 – Gastnetz / VLAN3 – neues Netz) über Layer 3 Switch
Abgehender Datenverkehr (Nur Internetzugriff) von VLAN3 geht über Internetzugang von VLAN2 (Gastnetz).
Eingehender Verkehr (z.B. VPN, Zugriff aus dem Heimnetz) läuft über VLAN1 (Heimnetz).
Somit: Keine Verbindung vom VLAN3 in das VLAN1 (eingehend)
Variante 2:
Erzeugung von drei VLANs (VLAN1 – Heimnetz / VLAN2 – Gastnetz / VLAN3 – neues Netz) über Layer 3 Switch
Eingehender und ausgehender Verkehr des VLAN3 geht über VLAN1 (Heimnetz).
Hier müssen dann spezielle Regel auf dem Switch eingerichtet werden. (siehe Fragen)
Nun meine Fragen:
Welche der Varianten wäre aus eurer Sicht die favorisierte Variante (zur Gewährleistung der o.g. Punkte) und warum? Habt ihr Verbesserungsvorschläge oder eine weitere (bessere) Variante?
Zu Variante 2: Kann man durch Funktionen des Layer 3 Switches das VLAN1 und VLAN3 sauber trennen (z.B. ACL)? Problem ist ja, dass bei Variante 2 das VLAN3 über VLAN1 gehen muss, um ins Internet zu kommen. Ohne spezielle Regeln zwischen VLAN1 und 3 könnten somit Clients aus dem VLAN3 auf Clients im VLAN1 zugreifen.
Mein Fachwissen im Netzwerkbereich würde ich auf erweiterte Grundlagenkenntnisse einstufen. Konfiguration von Routern, Switchen, Firewalls, usw. ist für mich also kein "Tagesgeschäft". Ich möchte im Übrigen ungern weitere Zusatzkomponenten wie pfsense/ OPNsense verwenden. Einerseits aufgrund des erhöhten administrativen Aufwands und weil das Risiko etwas falsch zu konfigurieren dann doch relativ hoch ist. Aus diesem Grund kommt auch kein neuer oder zusätzlicher Router (Layer 3) aktuell in Frage.
Bei Rückfragen sagt einfach Bescheid. Vielen Dank im Voraus für eure Hilfe.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669354
Url: https://administrator.de/contentid/669354
Ausgedruckt am: 08.11.2024 um 14:11 Uhr
6 Kommentare
Neuester Kommentar
Bei Deinem Vorhaben würde ich mir ernsthaft überlegen, ob die Fritzbox noch das richtige Gerät ist. Warum? Bei dem Aufspannen von VLAN's kann man das sicherlich über einen Layer-3-Switch abfrühstücken. Aber ein solcher Switch hat eben nicht die Funktionalität eines Routers, insbesondere wenn diese Regeln zugleich den benötigten Firewallregeln entsprechen sollen. Hier würde ich also eher zu einem VLAN-fähigen Router wechseln - dazu gibt es viele Fragen / Beiträge in diesem Forum. Eine Fritzbox hat - abgesehen vom Gastnetzwerk - keine echten VLAN-Fähigkeiten und scheidet daher aus.
Dann kannst Du nämlich auch alle drei Netzwerkbereiche als echte VLAN's aufspannen, was die Netzwerkgestaltung verbessert und vereinfacht.
Überdies lässt sich Dein Wunsch, den neuen Netzwerkbereich per VPN erreichen zu können, höchstwahrscheinlich nicht mit den zumeist eingeschränkten Regelmöglichkeiten eines Switches sinnvoll umsetzen. Auch hier ist es besser, das auf dem Router, der anstelle der Fritzbox das (VPN-)Gateway ist, umzusetzen.
Dann solltest Du Dir überlegen, ob das mit den vielen Repeatern ein gute Idee ist. Repeater sind keine wirklichen Access Points. Zudem dürften die AVM-Teile wiederum nicht VLAN-fähig sein. Ein VLAN-fähiger Access Point macht die ganze Netzwerksegmentierung zum Kinderspiel.
Setzt Du auf einen vernünftigen Router, so benötigst Du nicht die Anschaffung eines regelmäßig kostenintensiven Layer-3-Switches, sondern kannst bei dem bleiben, was Du als Switch hast oder kaufst Dir kostengünstig einen passenden normalen (Layer-2-)Switch. Mit dem gesparten Geld kannst Du locker eine vernünftige Routerhardware kaufen, sofern Du die noch nicht haben solltest, und hast langfristig wesentlich mehr davon.
Viele Grüße
HansDampf06
Dann kannst Du nämlich auch alle drei Netzwerkbereiche als echte VLAN's aufspannen, was die Netzwerkgestaltung verbessert und vereinfacht.
Überdies lässt sich Dein Wunsch, den neuen Netzwerkbereich per VPN erreichen zu können, höchstwahrscheinlich nicht mit den zumeist eingeschränkten Regelmöglichkeiten eines Switches sinnvoll umsetzen. Auch hier ist es besser, das auf dem Router, der anstelle der Fritzbox das (VPN-)Gateway ist, umzusetzen.
Dann solltest Du Dir überlegen, ob das mit den vielen Repeatern ein gute Idee ist. Repeater sind keine wirklichen Access Points. Zudem dürften die AVM-Teile wiederum nicht VLAN-fähig sein. Ein VLAN-fähiger Access Point macht die ganze Netzwerksegmentierung zum Kinderspiel.
Setzt Du auf einen vernünftigen Router, so benötigst Du nicht die Anschaffung eines regelmäßig kostenintensiven Layer-3-Switches, sondern kannst bei dem bleiben, was Du als Switch hast oder kaufst Dir kostengünstig einen passenden normalen (Layer-2-)Switch. Mit dem gesparten Geld kannst Du locker eine vernünftige Routerhardware kaufen, sofern Du die noch nicht haben solltest, und hast langfristig wesentlich mehr davon.
Viele Grüße
HansDampf06
Moin,
leider schreibst Du nicht was Du für ein I-Net Anschluß hast?
Bei einem VDSL Anschluß könntest Du Dir ein Cisco Router kaufen. Dort könnte man dann den VPN und ZFW verwirklichen. Mit einem Layer 3 Switch dann das Netzwerk-Management machen. Und mit Cisco AP könnte man MSSID im WLAN umsetzen und die Fritte kannst Du dann als Telefonbox nutzen.
Als Alternative kann man natürlich Draytek Modem nutzen.
Bei FTTH Anschluß kommt es drauf an die dieser Umgesetzt wurde.
Aber wie gesagt. Es gibt viele Wege die nach Rom führen.
leider schreibst Du nicht was Du für ein I-Net Anschluß hast?
Bei einem VDSL Anschluß könntest Du Dir ein Cisco Router kaufen. Dort könnte man dann den VPN und ZFW verwirklichen. Mit einem Layer 3 Switch dann das Netzwerk-Management machen. Und mit Cisco AP könnte man MSSID im WLAN umsetzen und die Fritte kannst Du dann als Telefonbox nutzen.
Als Alternative kann man natürlich Draytek Modem nutzen.
Bei FTTH Anschluß kommt es drauf an die dieser Umgesetzt wurde.
Aber wie gesagt. Es gibt viele Wege die nach Rom führen.
Ist ACL eine Option?
Beispiel Cisco, ich finde man sieht ganz gut was es kann: https://forum.opnsense.org/index.php?topic=39556.0
Beispiel Cisco, ich finde man sieht ganz gut was es kann: https://forum.opnsense.org/index.php?topic=39556.0