11
Heimnetzwerk in VLANs schneiden
Hallo Zusammen,
ich würde gern mein derzeitiges LAN/WLAN umkonfigurieren. Derzeit läuft alles in einem Netz. Das soll sich in Zukunft ändern.
Folgendes sollte möglich sein:
1: Alle können über die Fritzbox 7490 mit dem Internet kommunizieren
2: Die Fritzbox 7430 stellt den einzigen AP für WLAN derzeit dar. Ein Gastzugang wäre hier gut, sofern ich diesen vom restlichen Netz abbinden kann.
Leider ist es baulich nicht möglich zwei Kabel zw. 7430 und der vorgelagerten Switch zu legen.
3: Mein Netz sollte von außen per VPN erreichbar sein.
Mich interessieren folgende Fragen:
Wie würdet Ihr VLANs schneiden? Was wohin? Tagged, oder untagged? Was macht Sinn, was nicht? Lohnt es sich überhaupt?
Welche Komponenten würden dann aus Eurer Sicht im Lead bei DHCP bzw. DNS stehen? Eher Fritzbox? Oder Switch?
Über Anregungen würde ich mich freuen. Danke
Gruß
Stefan
ich würde gern mein derzeitiges LAN/WLAN umkonfigurieren. Derzeit läuft alles in einem Netz. Das soll sich in Zukunft ändern.
Folgendes sollte möglich sein:
1: Alle können über die Fritzbox 7490 mit dem Internet kommunizieren
2: Die Fritzbox 7430 stellt den einzigen AP für WLAN derzeit dar. Ein Gastzugang wäre hier gut, sofern ich diesen vom restlichen Netz abbinden kann.
Leider ist es baulich nicht möglich zwei Kabel zw. 7430 und der vorgelagerten Switch zu legen.
3: Mein Netz sollte von außen per VPN erreichbar sein.
Mich interessieren folgende Fragen:
Wie würdet Ihr VLANs schneiden? Was wohin? Tagged, oder untagged? Was macht Sinn, was nicht? Lohnt es sich überhaupt?
Welche Komponenten würden dann aus Eurer Sicht im Lead bei DHCP bzw. DNS stehen? Eher Fritzbox? Oder Switch?
Über Anregungen würde ich mich freuen. Danke
Gruß
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 374201
Url: https://administrator.de/contentid/374201
Printed on: April 16, 2024 at 19:04 o'clock
11 Comments
Latest comment
Hallo!
Dir ist bekannt, dass die Fritzbox kein VLAN kann und somit neue Hardware für Router und Switch fällig wird?
Wenn du keinen Plan hast, was du trennen sollst und warum - würde ich alles lassen wie es ist
Gruß
eisbein
Dir ist bekannt, dass die Fritzbox kein VLAN kann und somit neue Hardware für Router und Switch fällig wird?
Wie würdet Ihr VLANs schneiden? Was wohin? Tagged, oder untagged? Was macht Sinn, was nicht? Lohnt es sich überhaupt?
Wenn du keinen Plan hast, was du trennen sollst und warum - würde ich alles lassen wie es ist
Gruß
eisbein
Ja da ist bekannt. Aber ich habe auch gelesen, wenn die Switches die Führung übernehmen könnten, das man dann die erste Fritzbox "rausschneiden" kann. Meine Switches können jeweils VLAN.
Im Netz ist immer das Argument von erhöhter Sicherheit mit VLAN. Auch wenn man mit Smarthome, SATIP etc. spielt, oder gar über GAST WLAN nachdenkt. Daher ja auch meine Fragen zu dem Thema.
Im Netz ist immer das Argument von erhöhter Sicherheit mit VLAN. Auch wenn man mit Smarthome, SATIP etc. spielt, oder gar über GAST WLAN nachdenkt. Daher ja auch meine Fragen zu dem Thema.
Hallo!
VLANs - sind einfach ausgedrückt virtuell getrennte Netze, das hat mit Sicherheit noch nicht viel zu tun.
Die Frage ist also zuerst, was willst du trennen und warum?
Was sind deine Sicherheitsanforderungen?
Gruß
eisbein
VLANs - sind einfach ausgedrückt virtuell getrennte Netze, das hat mit Sicherheit noch nicht viel zu tun.
Die Frage ist also zuerst, was willst du trennen und warum?
Was sind deine Sicherheitsanforderungen?
Gruß
eisbein
Genau das ist ja die Frage die ich habe. Macht es in einer Konfiguration wie meiner überhaupt Sinn VLANs nutzen zu wollen? Oder ist es besser alles in einer Zone zu halten. Würdet Ihr was trennen wollen, wenn meine Konfiguration zu Grunde liegt? Deine Antwort ist "alles" so zu lassen. Das akzeptiere ich.
Warum ich trennen würde liegt auf der Hand. Einmal um einen gewünschten GAST WLAN Zugang komplett vom Rest zu trennen. Dazu kommt noch mein TV Traffic von SAT-IP. Dieser Traffic sollte Vorrang haben vor anderem Traffic. Und wenn man es dann noch erschwert von außen direkt alles zu erreichen, wäre es ja ein guter Nebeneffekt. Aber wenn der Overhead zur Konfiguration zu hoch ist, oder es Einschränkungen gibt, welche ich noch nicht kenne, ist auch das bisherige Konzept für mich ok.
Warum ich trennen würde liegt auf der Hand. Einmal um einen gewünschten GAST WLAN Zugang komplett vom Rest zu trennen. Dazu kommt noch mein TV Traffic von SAT-IP. Dieser Traffic sollte Vorrang haben vor anderem Traffic. Und wenn man es dann noch erschwert von außen direkt alles zu erreichen, wäre es ja ein guter Nebeneffekt. Aber wenn der Overhead zur Konfiguration zu hoch ist, oder es Einschränkungen gibt, welche ich noch nicht kenne, ist auch das bisherige Konzept für mich ok.
Hallo!
Musst und solltest du nicht!
Das sind doch schon mal Anforderungen mit denen man arbeiten kann, die aber nur bedingt etwas mit VLAN zu tun haben.
GAST WLAN Zugang sollte die Fritzbox eigentlich können, es sei denn du willst das über mehrere WLAN-Router/AccessPoints
erschwert von außen direkt alles zu erreichen macht auch die Fritzbox (Firewall) - wie sieht es da aktuell aus?
TV Traffic sollte Vorrang haben - hier wird es interessant...
Gruß
eisbei
Deine Antwort ist "alles" so zu lassen. Das akzeptiere ich.
Musst und solltest du nicht!
GAST WLAN Zugang, TV Traffic sollte Vorrang haben, erschwert von außen direkt alles zu erreichen
Das sind doch schon mal Anforderungen mit denen man arbeiten kann, die aber nur bedingt etwas mit VLAN zu tun haben.
GAST WLAN Zugang sollte die Fritzbox eigentlich können, es sei denn du willst das über mehrere WLAN-Router/AccessPoints
erschwert von außen direkt alles zu erreichen macht auch die Fritzbox (Firewall) - wie sieht es da aktuell aus?
TV Traffic sollte Vorrang haben - hier wird es interessant...
Gruß
eisbei
Welche Komponenten würden
Sinnvoll ist immer ein L3 Switch aber eben auch etwas teuerer. Wenn du das Budget hast...kein Problem.Wenn nicht, reicht für ein Heimnetz dann meistens ein einfacher L2 VLAN Switch in Kombination mit einem gescheiten Router oder Firewall.
Dieses Forums Tutorial erklärt dir alle Details zu dem Thema und sollte alle deine Fragen beantworten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw. auch:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Haussteuerung und ein Gastnetz sind natürlich ein Muss um das sicher abzutrennen. Der Rest ist eher eine Eigenentscheidung. Voice und IP-TV würden natürlich noch Sinn machen. Ggf. auch ein Office Netz wenn man im Arbeitszimmer bzw. Home Office arbeitet.
Ja Gast Zugang kann die Box nur mit der Unterscheidung des Traffics wenn dieser von meiner 7430 kommt, bin ich mir halt unsicher wie ich das hinbekomme. Da über die gleiche Box ja auch WLAN meiner eigenen Geräte geht. Es müsste hier also der Traffic von der Box unterschieden werden. Ich kann lediglich sagen welche IP Adressen zu meinen WLAN Geräten gehören.
Ähnlich mit jeder neuen IP. Diese ist entweder im Gast WLAN dann aktiv, oder per LAN irgendwo eingestöpselt. Kennt mein System das Gerät nicht, sollte es dann nur GAST Rechte habe. Erst wenn ich es einem anderen VLAN zuweise, darf es ggf. mehr.
TV Traffic ist der einzig zeitkritische Traffic. Wenn ein Download mal länger dauert etc. egal. Auch Videos werden ja gepuffert beim anschauen. Livestreaming, besonders in hohen Auflösungen noch Sonderfall bei mir. Aber alles was von der Satanlage im Haus gestreut wird, sollte Vorrang haben. Neben den beiden TV Geräten auch auf Tablet oder Phone, da ich damit auch abspielen kann.
Ähnlich mit jeder neuen IP. Diese ist entweder im Gast WLAN dann aktiv, oder per LAN irgendwo eingestöpselt. Kennt mein System das Gerät nicht, sollte es dann nur GAST Rechte habe. Erst wenn ich es einem anderen VLAN zuweise, darf es ggf. mehr.
TV Traffic ist der einzig zeitkritische Traffic. Wenn ein Download mal länger dauert etc. egal. Auch Videos werden ja gepuffert beim anschauen. Livestreaming, besonders in hohen Auflösungen noch Sonderfall bei mir. Aber alles was von der Satanlage im Haus gestreut wird, sollte Vorrang haben. Neben den beiden TV Geräten auch auf Tablet oder Phone, da ich damit auch abspielen kann.
Danke Dir das werde ich mir mal anschauen
Ja Gast Zugang kann die Box nur
Vergiss Gast Zugänge mit einer FritzBox. Die ist in Sekunden überwunden und ist nicht wirklich sicher. Außer für Oma Grete wenn der Enkel mal zu Besuch ist. (Aber auch nicht wenn der pfiffig ist !)Es müsste hier also der Traffic von der Box unterschieden werden.
Kein Problem mit MSSID fähigen APs. Siehe VLAN Tutorial -> Praxisbeispiel von oben bzw. MT Tutorial.Lesen hilft
Kennt mein System das Gerät nicht, sollte es dann nur GAST Rechte habe
Simpelste Port Security mit 802.1x und Mac Bypass und dynamischen VLANs:Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
TV Traffic ist der einzig zeitkritische Traffic
Den priorisiert man deshalb ja auch auf Switch und Router !
-->Vergiss Gast Zugänge mit einer FritzBox. Die ist in Sekunden überwunden und ist nicht wirklich sicher
Wieso eigentlich? Wer sagt das?
Wieso eigentlich? Wer sagt das?
Google mal dazu oder sieh dir die zigtausend YouTube Filmchen dazu an. Das Gastnetz der FB ist Spielkram und nur für unwissende Laien das die gut schlafen können.
