pcross01
Goto Top

Erweiterung Netzwerk um VLAN mittels Switch (Layer 3)

Hallo zusammen,

ich hoffe ihr könnt mir bei meinem Vorhaben weiterhelfen.

Ich will gern (u.a. aus Sicherheitsgründen) ein zusätzliches Netz (VLAN) in mein aktuell sehr einfach aufgebautes Netzwerk integrieren. Dabei habe ich folgende „Anforderungen“:
- die Clients des neuen VLANs sollen nicht auf Clients in den anderen VLANs (Heimnetz und Gastnetz) zugreifen können
- eine Verbindung z.B. vom Heimnetz in das neue VLAN wäre grundsätzlich okay (z.B. zur Administration der Komponenten...)
- das Heimnetz mit den vorhandenen AVM-Funktionalitäten der Fritzbox (Mesh, usw.) und der AVM-Repeater soll bestehen bleiben
- das neue VLAN soll über das bereits vorhandene VPN der Fritzbox (für Heimnetz) von außen erreichbar sein

Momentan setzte ich eine AVM-Fritzbox (aktueller Firmwarestand) mit einigen AVM-Repeater ein, um das Heim- und Gastnetz per LAN und WLAN zu verteilen. Nach einigen Recherchen würde sich z.B. der TP-Link TP-Link SG2008v3 als eine geeignete Komponente (Layer3(Lite)-Switch) für den gewünschten Aufbau eines zusätzlichen VLANs (Layer 3 inkl. DHCP) eigenen. Im Anhang dieses Posts habe ich schematisch die beiden Varianten einmal dargestellt.

Noch anzumerken ist, dass ich das Fritzbox-Gastnetz als Ersatz für das neue VLAN leider nicht nutzen kann, da man auf das Fritzbox-Gastnetz nicht einfach über VPN zugreifen kann.

Noch ein paar kurze Erklärung zu den Varianten:
Variante 1:
Erzeugung von drei VLANs (VLAN1 – Heimnetz / VLAN2 – Gastnetz / VLAN3 – neues Netz) über Layer 3 Switch
Abgehender Datenverkehr (Nur Internetzugriff) von VLAN3 geht über Internetzugang von VLAN2 (Gastnetz).
Eingehender Verkehr (z.B. VPN, Zugriff aus dem Heimnetz) läuft über VLAN1 (Heimnetz).
Somit: Keine Verbindung vom VLAN3 in das VLAN1 (eingehend)

Variante 2:
Erzeugung von drei VLANs (VLAN1 – Heimnetz / VLAN2 – Gastnetz / VLAN3 – neues Netz) über Layer 3 Switch
Eingehender und ausgehender Verkehr des VLAN3 geht über VLAN1 (Heimnetz).
Hier müssen dann spezielle Regel auf dem Switch eingerichtet werden. (siehe Fragen)

Nun meine Fragen:
Welche der Varianten wäre aus eurer Sicht die favorisierte Variante (zur Gewährleistung der o.g. Punkte) und warum? Habt ihr Verbesserungsvorschläge oder eine weitere (bessere) Variante?
Zu Variante 2: Kann man durch Funktionen des Layer 3 Switches das VLAN1 und VLAN3 sauber trennen (z.B. ACL)? Problem ist ja, dass bei Variante 2 das VLAN3 über VLAN1 gehen muss, um ins Internet zu kommen. Ohne spezielle Regeln zwischen VLAN1 und 3 könnten somit Clients aus dem VLAN3 auf Clients im VLAN1 zugreifen.

Mein Fachwissen im Netzwerkbereich würde ich auf erweiterte Grundlagenkenntnisse einstufen. Konfiguration von Routern, Switchen, Firewalls, usw. ist für mich also kein "Tagesgeschäft". Ich möchte im Übrigen ungern weitere Zusatzkomponenten wie pfsense/ OPNsense verwenden. Einerseits aufgrund des erhöhten administrativen Aufwands und weil das Risiko etwas falsch zu konfigurieren dann doch relativ hoch ist. Aus diesem Grund kommt auch kein neuer oder zusätzlicher Router (Layer 3) aktuell in Frage.

Bei Rückfragen sagt einfach Bescheid. Vielen Dank im Voraus für eure Hilfe.
variante1
variante2

Content-ID: 669354

Url: https://administrator.de/contentid/669354

Ausgedruckt am: 08.11.2024 um 14:11 Uhr

HansDampf06
HansDampf06 08.11.2024 aktualisiert um 14:03:17 Uhr
Goto Top
Bei Deinem Vorhaben würde ich mir ernsthaft überlegen, ob die Fritzbox noch das richtige Gerät ist. Warum? Bei dem Aufspannen von VLAN's kann man das sicherlich über einen Layer-3-Switch abfrühstücken. Aber ein solcher Switch hat eben nicht die Funktionalität eines Routers, insbesondere wenn diese Regeln zugleich den benötigten Firewallregeln entsprechen sollen. Hier würde ich also eher zu einem VLAN-fähigen Router wechseln - dazu gibt es viele Fragen / Beiträge in diesem Forum. Eine Fritzbox hat - abgesehen vom Gastnetzwerk - keine echten VLAN-Fähigkeiten und scheidet daher aus.
Dann kannst Du nämlich auch alle drei Netzwerkbereiche als echte VLAN's aufspannen, was die Netzwerkgestaltung verbessert und vereinfacht.

Überdies lässt sich Dein Wunsch, den neuen Netzwerkbereich per VPN erreichen zu können, höchstwahrscheinlich nicht mit den zumeist eingeschränkten Regelmöglichkeiten eines Switches sinnvoll umsetzen. Auch hier ist es besser, das auf dem Router, der anstelle der Fritzbox das (VPN-)Gateway ist, umzusetzen.

Dann solltest Du Dir überlegen, ob das mit den vielen Repeatern ein gute Idee ist. Repeater sind keine wirklichen Access Points. Zudem dürften die AVM-Teile wiederum nicht VLAN-fähig sein. Ein VLAN-fähiger Access Point macht die ganze Netzwerksegmentierung zum Kinderspiel.

Setzt Du auf einen vernünftigen Router, so benötigst Du nicht die Anschaffung eines regelmäßig kostenintensiven Layer-3-Switches, sondern kannst bei dem bleiben, was Du als Switch hast oder kaufst Dir kostengünstig einen passenden normalen (Layer-2-)Switch. Mit dem gesparten Geld kannst Du locker eine vernünftige Routerhardware kaufen, sofern Du die noch nicht haben solltest, und hast langfristig wesentlich mehr davon.

Viele Grüße
HansDampf06
Headcrach
Headcrach 08.11.2024 um 14:25:34 Uhr
Goto Top
Moin,
leider schreibst Du nicht was Du für ein I-Net Anschluß hast?
Bei einem VDSL Anschluß könntest Du Dir ein Cisco Router kaufen. Dort könnte man dann den VPN und ZFW verwirklichen. Mit einem Layer 3 Switch dann das Netzwerk-Management machen. Und mit Cisco AP könnte man MSSID im WLAN umsetzen und die Fritte kannst Du dann als Telefonbox nutzen.
Als Alternative kann man natürlich Draytek Modem nutzen.

Bei FTTH Anschluß kommt es drauf an die dieser Umgesetzt wurde.

Aber wie gesagt. Es gibt viele Wege die nach Rom führen.
nachgefragt
nachgefragt 08.11.2024 um 15:09:14 Uhr
Goto Top
Ist ACL eine Option?
Beispiel Cisco, ich finde man sieht ganz gut was es kann: https://forum.opnsense.org/index.php?topic=39556.0
PCross01
PCross01 08.11.2024 um 15:11:30 Uhr
Goto Top
Zitat von @HansDampf06:

Bei Deinem Vorhaben würde ich mir ernsthaft überlegen ...

Erst einmal vielen Dank für deine ausführliche Rückmeldung. Ich habe grundsätzlich auch schon mit dem Gedanken gespielt, die Fritzbox inkl. Repeater gegen "professionelle" Netzwerkkomponenten auszutauschen. Jedoch wurde die AVM-Hardware erst im letzten Jahr komplett erneuert. Außerdem will ich mit dem neuen Netz/ VLAN "nur" Smart-Home-Komponenten vom Heimnetz abgrenzen, um dadurch ein bisschen mehr Sicherheit und eine gewissen Netztrennung zu erreichen. Weitere Ansprüche habe ich aktuell nicht. Zumal ich auch nicht unzählige Clients im Gesamt-Netzwerk betreibe.

Der Layer 3 (Lite) Switch den ich gefunden habe (TP-Link TP-Link SG2008v3) kostet aktuell ca. 75 EUR und bietet laut Youtube-Tutorials alle notwendigen Funktionen um die o.g. Varianten abzubilden. Somit wäre es im Vergleich zu einem Kompletttausch eine eher geringere Investition.

Bzgl. der VPN-Verbindung habe ich diesen Beitrag gefunden und deshalb die Hoffnung gehabt auch mit der Fritzbox eine Verbindung auf ein weiteres Netzsegment zu bekommen: Fernzugriff Fritzbox auf weitere Netze

Außerdem stellt es sich für mich - mit meinen Basis-Netzwerkkenntnissen - schwierig da, zu entscheiden, welche Komplett-Lösung (Router, AP, usw.) bzgl. Administration, Pflegeaufwand, usw. am besten geeignet wäre. Das Risiko bei einem Layer-3-Router etwas falsch zu konfigurieren - auch mit dem Hinblick, dass dieser direkt am öffentlichen Netz hängt, ist schon ein erhöhtes Risiko. Mit einer Fritzbox kann man da ja i.d.R. nicht wirklich viel falsch machen. Aber ehrlicherweise kenne ich den Funktionsumfang der Router anderer Hersteller nicht genug, um hier eine Aussage zu zumachen.

Hast du denn eine Empfehlung für einen Router und AP (auch bzgl. nutzerfreundlichen Einrichtung/ gute Dokumentation)?

Somit entnehme ich deinen Argumenten, dass du bezweifelst, dass überhaupt einer der beiden o.g. Varianten wirklich funktioniert?

Letztendlich kann das Ergebnis für mich auch lauten, dass der Aufwand es "ordentlich" zu machen nicht im Verhältnis zum Nutzen steht und ich es mit der VLAN-Aufteilung einfach lasse.
PCross01
PCross01 08.11.2024 um 15:18:45 Uhr
Goto Top
Zitat von @Headcrach:

Moin,
leider schreibst Du nicht was Du für ein I-Net Anschluß hast?
Bei einem VDSL Anschluß könntest Du Dir ein Cisco Router kaufen. Dort könnte man dann den VPN und ZFW verwirklichen. Mit einem Layer 3 Switch dann das Netzwerk-Management machen. Und mit Cisco AP könnte man MSSID im WLAN umsetzen und die Fritte kannst Du dann als Telefonbox nutzen.
Als Alternative kann man natürlich Draytek Modem nutzen.

Bei FTTH Anschluß kommt es drauf an die dieser Umgesetzt wurde.

Aber wie gesagt. Es gibt viele Wege die nach Rom führen.

Vielen Dank für deine Nachfrage. Mein I-Net-Anschluss läuft über Kabel. Da eine Umstellung auf FTTH perspektivisch in Frage kommt, betreibe ich aktuell das Kabelmodem des Providers im Bridge-Mode und dahinter kommt dann die Fritz-Box (Nutzung des WAN-Ports). Perspektivisch wird es also FTTH. Kann aber sein, dass der entsprechende Anbieter auch ein Modem bereitstellt und es dann wieder ähnlich aufgebaut sein wird wie es aktuell ist.

Du würdest also auch von den o.g. Varianten (Fritzbox in Verbindung mit Layer 3 Switch) abraten und einen Kompletttausch vornehmen?
PCross01
PCross01 08.11.2024 um 15:26:23 Uhr
Goto Top
Zitat von @nachgefragt:

Ist ACL eine Option?
Beispiel Cisco, ich finde man sieht ganz gut was es kann: https://forum.opnsense.org/index.php?topic=39556.0

Vielen Dank für deine Antwort. Wie in dem verlinkten Beitrag gut beschrieben, ist OPNSense und Co. schon etwas komplexer und man muss wissen, was man tut. Da es für meinen kleinen Anwendungsfall zu aufwendig wäre solch eine Lösung zu realisieren, würde ich eher auf die o.g. präferierten Varianten oder einer Empfehlung aus Router - AP - Kombi zurückgreifen wollen.