29.09.2019

3063

Frage zu FritzBox - Cisco Switch - Gastzugang

Moin,
Ausgangssituation:

Ich habe einen Glasfaseranschluss worüber meineFritzBox (7582) ins Internet geht. Mein Heimnetzwerk ist an einem Cisco SG300-28 angeschlossen. Für das Büro (im Heimnetzwerk) habe ich ein LAG zu einem weiteren Cisco SC300-10. Ist kein extra Netzwerk, steht nur mein PC, Drucker, ect.

Jetzt würde ich gerne den Gastzugang der FritzBox, im Büro ebenfalls nutzen wollen. Wenn ich mal einen fremden PC hier habe, soll der nicht auf mein privates Netzwerk zugreifen können.
Ist es möglich, dass ich den Gastzugang der FritzBox im SG300-28 einstecke über die beiden LAN-Kabel die das LAG nutzt am SG300-10 wieder an einem Port das Gastnetz raus bekomme?
haben ja beide unterschiedliche Adressbereiche.

Klar ich kann am PatchPanel einen Stecker vom LAG ziehen und das Kabel von der FritzBox Gastzugang in diesen stecken und im Büro ebenfalls umstecken, ist aber zu einfach und nicht mein Verständnis von Dazu-lernen.

Ein ja oder nein ist als Antwort schon mal ok. Ein schups in die richtige Richtung gern genommen. Ich selber bin nicht IT-Ausgebildet. Minimale Grundkenntnisse.
Ich hatte an ein VLAN gedacht...

LG Dennis

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 499909

Url: https://administrator.de/contentid/499909

Ausgedruckt am: 05.11.2024 um 16:11 Uhr

11 Kommentare

Neuester Kommentar

Moin,

das sollte völlig Problemfrei funktionieren.

An den Cisco ein VLAN anlegen, z.B. 100.
Die LAG-Ports werden (wenn ich eh schon gesetzt) auf "Trunk-Port" umgestellt und als tagged VLAN überträgst du hier das VLAN 100.

Am SG300-28 setzt du z.B. den Port 26 auf VLAN100 untagged und schließt hier den LAN4-Port der FritzBox (Gastnetz) an.
Am SG300-10 setzt du dann z.B. den Port 8 auf VLAN 100 untagged und kannst dort dann die Gäste per Kupfer anschließen.

Wie du die VLANS am SG definierst, kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Wenn du dir das Tutorial des Kollegen @aqui genauer anschauen möchtest, einfach scrollen

Gruß
em-pie

M8in,

Ja, geht mit VLAN.

Aber für Gäste solltest Du Dir einen Mikrotik oder eine pfsense hinstellen. Das Gritz-Gastnetzwerk ist nur eine Notlösung.

lks

Es ist ja nur für den Fall, dass ich einen Rechner bekomme, den ich temporär ins Internet bringen muss aber nicht in meinem Privaten Netzwerk haben will.

Ist es möglich, dass ich den Gastzugang der FritzBox im SG300-28 einstecke

Ja das geht.
Es ist zwar keine elegante Lösung weil die FritzBox als billiges Consumer Gerät nicht VLAN fähig ist aber mit einer zweiten Strippe vom Switch zur FB geht es als quick and dirty Workaround
Du richtest auf dem Cisco Switch ein weiteres Gast VLAN ein was KEINE VLAN IP Addresse auf dem Cisco hat, sprich damit NICHT geroutet werden kann und somit keinen Zugang zu den anderen IP Netzen am Switch hat.
Damit ist dieses VLAN als Gast VLAN dann vollständig isoliert.
Jetzt nimmst du einen untagged Port von diesem Switch Gast VLAN und steckst den mit einem zweiten Patch Kabel in den Gast Port auf der FritzBox.
Damit ist dann dieses isolierte Gast VLAN Netz auf dem FritzBox Gäste Port und kommt nur über den ins Internet.

Diese Anleitung geht davon aus das du eine Layer 3 Anbindung des Switches an die FB hast wie es hier beschrieben ist:
Verständnissproblem Routing mit SG300-28

Danke erst mal für die Mitteilungen. Werd ich die Tage mal versuchen.

Dann sind wir gespannt auf das Ergebnis... ?!

Übrigens...
Wenn du einen MSSID fähigen WLAN Accesspoint hast kannst du das Gast WLAN auch (sofern erforderlich) mit einem oder mehreren weiteren APs ausstrahlen. Z.B. um die Reichweite des WLANs zu vergrößern.
Hier steht wie man das macht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Also es scheint zu funktionieren.
Jedenfalls kann ich meinen Laptop hin und her stopseln und bekomme die passenden IP-Adressen von der FritzBox richtig zugewiesen.

Beide Cisco´s laufen als L2. Routen brauchen die ja (denke ich) auch nicht.
Die FB gibt mir ja zwei unterschiedliche Adressbereiche. Die bekomme ich auch so aus den von mir gewählten Ports an dem SG300-10.

LAG1 bestand ja schon aus GE1+GE2
Habe mir ein VLAN eingerichtet
Sämtliche Ports sind seit Inbetriebnahme als Trunk Ports eingestellt.
Dann unter Port-VLAN dem Gast-VLAN den Port 25 "Ungetaggt" zugewisen - dem LAG1 "Getaggt"
Damit haben sich die anderen LAGs und Ports passend ausgeschlossen.
Selbe Spiel auf dem 10er Switch und damit läuft das jetzt.

Ich hoffe, dass wenn ich mal wieder einen PC zum "überprüfen" bekomme, so eine Trennung habe. Wer will schon eine PC von der Mutter mit Viren, AdWare oder sonst was überhall in seinem Privat-Netzwerk haben.

Danke an alle.

Dazu hör ich die Zukunftsmusik leise spielen, das ich mal bisschen mit ubiquiti basteln will.
Dann fliegen auch solche sachen wie der Vorwerk Robbi aus dem PC-Netz und Fernseher vielleicht auch oder wie auch immer. Dann kommen auch APs damit ich die WLAN Reichweite verbessern kann und damit mir nicht langweilig wird

Die FB wird dann zwar nur noch eine Telefonanlage werden... aber das kann sie ja echt gut.

Beide Cisco´s laufen als L2. Routen brauchen die ja (denke ich) auch nicht.

Solange du nur ein einziges, dummes und flaches Netz dahinter hast ohne Segmentierung, dann nicht, das ist richtig.
Fragt sich dann aber warum du dann sinnlos Geld rausgeschmissen hast und einen teuren Layer 3 Switch angeschafft hast. Dann hätte es ein Layer 2 only SG200 ja auch getan und das allemal billiger...aber egal.

Die FB gibt mir ja zwei unterschiedliche Adressbereiche.

Solange du damit "normales" LAN und das Gastnetz meinst, ja. Mehr nämlich kann die FB nicht !

Sämtliche Ports sind seit Inbetriebnahme als Trunk Ports eingestellt.

Das ist grundsätzlich falsch !!
Endgeräte Ports sind immer Untagged und dami Access Ports. Du solltest besser mal die VLAN Schnellschulung lesen und vor allem verstehen:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Nur Ports an denen du eine VLAN Info brauchst wie die Koppelports der Switches untereinander, sind Trunk Ports also Tagged Ports. Alle anderen NICHT !

Wer will schon eine PC von der Mutter mit Viren, AdWare oder sonst was

Wahre Worte...ganz besonders wenn man Winblows Rechner benutzt !

Ich habe damals recht lang überlegt ob L2 oder L3. Da es zu der Zeit auf das Geld nicht sooo an kam, habe ich gedacht, dann lieber später mehr Möglichkeiten offen haben.

Ja ist alles ganz simpel und für Dummis. Halt nur das eigene Haus - nicht auf WLAN angewiesen zu sein.

Deinen Link werd ich lesen - bis ich ihn verstehe

und Danke schon mal für den Hinweis zu den Ports. Dann werde ich das mal korrigieren.

OK, so gesehen war die SG300 Entscheidung dann richtig. Nur wenn du es später dann doch nicht nutzt rausgeschmissenes Geld.
Bei Hausautomation und Gastnetz sollte man aber immer segmentieren wenn immer möglich gerade bei Ersterem.

gelöst Frage Netzwerke Netzwerkgrundlagen

Mehr von DieOmer

Leoni Hardware AuswahlDieOmer - 6 Kommentare

Cisco SG300 StartschleifeDieOmer - 13 Kommentare

Switch Hardware-Auswahl im HeimnetzwerkDieOmer - 4 Kommentare

Heiß diskutiert