13
Frage zur Netzwerktrennung
Hallo zusammen,
ich hoffe ihr könnt mir bei meinem Problem ein paar Tipps/Lösungsansätze geben.
Mit den folgenden Komponenten möchte ich ein Netzwerk mit 3 getrennten Netzen (PROD, PRIVAT, GAST) aufbauen.
Komponenten
- Router: AVM Fritz!Box 7590
- Switch: HP 2530-24G PoE+ (J9773A)
- Access Point (4x): Aruba Instant On AP12
- NAS: Synology DS920+
Informationen
- Das WLAN der Fritz!Box ist abgeschaltet.
- Auf der Fritz!Box ist die MAC-Filterung aktiviert.
- Auf dem Switch sind aktuell 2 VLAN angelegt (PROD, GAST).
- Das GAST-VLAN kann nur eine Verbindung mit dem Gast-Netz der Fritz!Box herstellen.
- Die AccessPoints senden 3 SSID's aus: PROD, PRIVAT, GAST
- Die Geräte im PROD-Netz sollen gefiltert/zugelassen werden können.
- Die Geräte im PRIVAT-Netz sollen nicht gefiltert werden, aber auch nicht im GAST-Netz sein, da diese ggf. miteinander kommunizieren müssen.
Mein Problem ist aktuell noch, dass ich nichts weiß, wie ich die PRIVAT-Geräte behandelt soll.
Wenn ich diese in des PROD-VLAN aufnehme ...
... greift die MAC-Filterung. > Nicht gewünscht
Wenn ich diese in das GAST-VLAN aufnehme ...
... könnten evtl. Gast-Geräte eine Verbindung aufbauen. > Nicht gewünscht
Komme gerade nicht weiter, vielen Dank für eure Hilfe!
ich hoffe ihr könnt mir bei meinem Problem ein paar Tipps/Lösungsansätze geben.
Mit den folgenden Komponenten möchte ich ein Netzwerk mit 3 getrennten Netzen (PROD, PRIVAT, GAST) aufbauen.
Komponenten
- Router: AVM Fritz!Box 7590
- Switch: HP 2530-24G PoE+ (J9773A)
- Access Point (4x): Aruba Instant On AP12
- NAS: Synology DS920+
Informationen
- Das WLAN der Fritz!Box ist abgeschaltet.
- Auf der Fritz!Box ist die MAC-Filterung aktiviert.
- Auf dem Switch sind aktuell 2 VLAN angelegt (PROD, GAST).
- Das GAST-VLAN kann nur eine Verbindung mit dem Gast-Netz der Fritz!Box herstellen.
- Die AccessPoints senden 3 SSID's aus: PROD, PRIVAT, GAST
- Die Geräte im PROD-Netz sollen gefiltert/zugelassen werden können.
- Die Geräte im PRIVAT-Netz sollen nicht gefiltert werden, aber auch nicht im GAST-Netz sein, da diese ggf. miteinander kommunizieren müssen.
Mein Problem ist aktuell noch, dass ich nichts weiß, wie ich die PRIVAT-Geräte behandelt soll.
Wenn ich diese in des PROD-VLAN aufnehme ...
... greift die MAC-Filterung. > Nicht gewünscht
Wenn ich diese in das GAST-VLAN aufnehme ...
... könnten evtl. Gast-Geräte eine Verbindung aufbauen. > Nicht gewünscht
Komme gerade nicht weiter, vielen Dank für eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1605547915
Url: https://administrator.de/contentid/1605547915
Printed on: May 1, 2024 at 13:05 o'clock
13 Comments
Latest comment
Du hast ja keinerlei Spielraum mit einer sinnvollen Segmentierung bei einer FritzBox Hardware. Schlicht und einfach weil dieser einfache Consumer Router keine VLANs bzw. Segmentierung supportet.
Einzig und allein kannst du 2 Netze bedienen, das Gastsegment und das lokale LAN, mehr geht technisch bei der FB bekanntlich nicht.
Einzige Ausnahme wäre wenn dein HP Switch Gurke Layer 3 (Routing) fähig ist. Leider machst du dazu keinerlei zielführende Angaben im Thread.
Damit wäre dann eine weitere Netzwerk Segmentierung möglich mit einem Layer 3 Switch Design wie es z.B. HIER im Detail beschrieben ist.
Dort kannst du dann einfach mit IP Accesslisten arbeiten um den Zugriff auf die einzelnen IP Netze sauber zu reglementieren.
Mehr Optione hast du bei deiner HW ja nicht.
Einzig und allein kannst du 2 Netze bedienen, das Gastsegment und das lokale LAN, mehr geht technisch bei der FB bekanntlich nicht.
Einzige Ausnahme wäre wenn dein HP Switch Gurke Layer 3 (Routing) fähig ist. Leider machst du dazu keinerlei zielführende Angaben im Thread.
Damit wäre dann eine weitere Netzwerk Segmentierung möglich mit einem Layer 3 Switch Design wie es z.B. HIER im Detail beschrieben ist.
Dort kannst du dann einfach mit IP Accesslisten arbeiten um den Zugriff auf die einzelnen IP Netze sauber zu reglementieren.
Mehr Optione hast du bei deiner HW ja nicht.
Moin,
da die FB nur ein Netz auf den LanPorts + Gastnetz kann, wirst du hier nicht weiter kommen.
Meines Wissens kann der HP kein Routing und scheidet somit auch aus.
Du wirst den Router tauschen müssen oder weiteren installieren müssen.
da die FB nur ein Netz auf den LanPorts + Gastnetz kann, wirst du hier nicht weiter kommen.
Meines Wissens kann der HP kein Routing und scheidet somit auch aus.
Du wirst den Router tauschen müssen oder weiteren installieren müssen.
Hi,
der 2530 ist ein reiner Layer 2 Switch und kann nicht routen. Da müsstest du dann einen Router mit dazu packen, dann geht das.
Du kannst z.B. pfsense / opensense oder ähnlches auf separater Hardware nutzen.
die Fritz!Box ist dafür nicht geeignet.
Gruß
der 2530 ist ein reiner Layer 2 Switch und kann nicht routen. Da müsstest du dann einen Router mit dazu packen, dann geht das.
Du kannst z.B. pfsense / opensense oder ähnlches auf separater Hardware nutzen.
die Fritz!Box ist dafür nicht geeignet.
Gruß
Ich denke auch, dass zur Umsetzung Deiner Vorgaben eine kleine Firewall (die pfsense finde ich einsteiger-freundlicher) erforderlich ist.
Nicht der Idealfall - aber auch (ohne zusätzliches DSL-Modem) hinter der FritzBox machbar.
Damit kannst direkt (über Ports) oder indirekt (über virtuelle Ports mit Vlan's) Dein Netz in unterschiedliche Segmente aufteilen. Die pfsense stellt für jedes Segment einen eigenen DHCP-Server bereit.
Die unterschiedlichen W-Lan's (mit Vlans) sind somit getrennt. Das Switch bekommt dafür auch die erforderliche Port-Konfiguration (hinsichtlich Vlans).
Über Firewall-Regeln stellst Du dann ein, wie die unterschiedlichen Segmente miteinander und mit dem Internet (über den WAN-Port zur Fritzbox) miteinander kommunizieren dürfen. Ein Nebenprodukt ist noch die bessere VPN-Fähigkeit der Firewall.
Gruß Jörg
Nicht der Idealfall - aber auch (ohne zusätzliches DSL-Modem) hinter der FritzBox machbar.
Damit kannst direkt (über Ports) oder indirekt (über virtuelle Ports mit Vlan's) Dein Netz in unterschiedliche Segmente aufteilen. Die pfsense stellt für jedes Segment einen eigenen DHCP-Server bereit.
Die unterschiedlichen W-Lan's (mit Vlans) sind somit getrennt. Das Switch bekommt dafür auch die erforderliche Port-Konfiguration (hinsichtlich Vlans).
Über Firewall-Regeln stellst Du dann ein, wie die unterschiedlichen Segmente miteinander und mit dem Internet (über den WAN-Port zur Fritzbox) miteinander kommunizieren dürfen. Ein Nebenprodukt ist noch die bessere VPN-Fähigkeit der Firewall.
Gruß Jörg
Du kannst z.B. pfsense / opensense oder ähnlches auf separater Hardware nutzen.
Oder einen preiswerten 50 Euro Mikrotik_Router z.B. hEX-GR3 in Kaskade mit der FritzBox ! 
Zitat von @aqui:
Oder einen preiswerten 50 Euro Mikrotik_Router z.B. hEX-GR3 in Kaskade mit der FritzBox !
Kommt dafür dieses Modell in Frage?Oder einen preiswerten 50 Euro Mikrotik_Router z.B. hEX-GR3 in Kaskade mit der FritzBox !
https://www.amazon.de/Mikrotik-WLAN-Zugangspunkt-Zugangspunkt-100-Mbit-Q ...
Zitat von @Nominis:
Ich denke auch, dass zur Umsetzung Deiner Vorgaben eine kleine Firewall (die pfsense finde ich einsteiger-freundlicher) erforderlich ist.
Kommt dafür dieses Modell in Frage?Ich denke auch, dass zur Umsetzung Deiner Vorgaben eine kleine Firewall (die pfsense finde ich einsteiger-freundlicher) erforderlich ist.
https://shop.netgate.com/products/1100-pfsense?variant=32157480026227
Kommt dafür dieses Modell in Frage?
Jau, der ist richtig und löst das im Handumdrehen. Allerdings ist das ein 100 Mbit/s Modell wenn dir das reicht OK. Wenn du doch lieber 1Gigabit haben möchtest:https://www.varia-store.com/de/produkt/97589-rb750gr3-routerboard-hex-mi ...
Kommt dafür dieses Modell in Frage?
Bei der Firewall ja ! Guckst du auch hier:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Dann würde ich den Router wegen der Kosten glaube ich bevorzugen.
Gigabit macht natürlich sinn!
Hast du vielleicht noch ein paar Tipps zur Umsetzung?
Ich stehe gerade noch etwas auf dem Schlauch und habe das Lösungskonzept noch nicht vor mir.
Danke aber schon einmal sehr für eure Tipps!
Gigabit macht natürlich sinn!
Hast du vielleicht noch ein paar Tipps zur Umsetzung?
Ich stehe gerade noch etwas auf dem Schlauch und habe das Lösungskonzept noch nicht vor mir.
Danke aber schon einmal sehr für eure Tipps!
Hier wird alles inklusive bunter Bilder erklärt
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Vielen Dank, Router ist bestellt, schaue ich mir dann im Detail an!
Ansonsten hier fragen...
Dann komme ich mit meinem Hinweis " ... ja, der kommt dafür in Frage bzw. auch ein APU-Board-System ... "
wohl zu spät
Gruß Jörg
wohl zu spät
Gruß Jörg
Wenn's das denn war bitte dann nicht vergessen den Thread auch zu schliessen !
How can I mark a post as solved?
How can I mark a post as solved?
