21
Netzwerk trennen mit 2 Router und Switch (Vlan)
Hallo liebe Profis,
ich hoffe ihr könnt mir bei meinem Vorhaben helfen. Bin nicht ganz ein Newbie was es IT angeht, bin Entwickler, aber mit Netzwerken kenne ich mich nicht so gut aus.
Mein Vorhaben (Bild angehängt)
Ich habe eine Fritzbox am Glasfaser.
Jetzt soll dieses Netzwerk aufgesplitet werden in 2 Netzwerke (192.168.19.x und 192.168.20.x).
Es sind 2 Router (beides Fritzboxen) vorhanden und ein managed Switch.
Das vorhaben ist, beide Netzwerke sollen Internet haben, sich selbst aber nicht sehen. Ich habe da was von VLAN gelesen.
Ich möchte nicht das Gastnetzwerk der Fritzbox nutzen!
Aktuell ist das szenarion so:
Fritzbox 1 mit Glasfaser, Patchkabel auf Fritzbox 2 an Lan1 (und in dieser Box Internetzugang über Lan1 aktiviert).
An Fritzbox 2 geht ein Lan Kabel auf den Switch (Port 8) und ein PC an den Switch Port 1, beide Ports sind im Switch als VLAN ID 2 gestellt.
Das funktioniert ja auch, allerdings "sehen" die Geräte in beiden IP Bereichen die jeweils anderen, ich hatte das so verstanden das genau dies mit VLAN eben nicht so wäre.
Wo ist mein Denkfehler? ODer geht das ganze so überhaupt nicht? Wäre echt dankbar für eure Hilfe.
ich hoffe ihr könnt mir bei meinem Vorhaben helfen. Bin nicht ganz ein Newbie was es IT angeht, bin Entwickler, aber mit Netzwerken kenne ich mich nicht so gut aus.
Mein Vorhaben (Bild angehängt)
Ich habe eine Fritzbox am Glasfaser.
Jetzt soll dieses Netzwerk aufgesplitet werden in 2 Netzwerke (192.168.19.x und 192.168.20.x).
Es sind 2 Router (beides Fritzboxen) vorhanden und ein managed Switch.
Das vorhaben ist, beide Netzwerke sollen Internet haben, sich selbst aber nicht sehen. Ich habe da was von VLAN gelesen.
Ich möchte nicht das Gastnetzwerk der Fritzbox nutzen!
Aktuell ist das szenarion so:
Fritzbox 1 mit Glasfaser, Patchkabel auf Fritzbox 2 an Lan1 (und in dieser Box Internetzugang über Lan1 aktiviert).
An Fritzbox 2 geht ein Lan Kabel auf den Switch (Port 8) und ein PC an den Switch Port 1, beide Ports sind im Switch als VLAN ID 2 gestellt.
Das funktioniert ja auch, allerdings "sehen" die Geräte in beiden IP Bereichen die jeweils anderen, ich hatte das so verstanden das genau dies mit VLAN eben nicht so wäre.
Wo ist mein Denkfehler? ODer geht das ganze so überhaupt nicht? Wäre echt dankbar für eure Hilfe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8031308412
Url: https://administrator.de/contentid/8031308412
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
21 Kommentare
Neuester Kommentar
Moin,
das Einfachste wird sein, wenn die Materie neu ist, du nutzt normales Netz und Gäste-Netz auf der FB 1 (192.168.19.0/24). Hier ziehst du zwei Strippen zu deinem Managed Switch: Ein CAT Kabel für das normale LAN, z.B. Port 1 auf der FB, Port 1 auf dem managed Switch.
Das zweite Kabel für das Gäste Netz auf Port 4 der FB und Port 8 auf deinem Switch.
Die beiden Switchports konfigurierst du als untagged VLAN jeweils für das eine und das andere VLAN.
Die Netztrennung übernimmt dabei die Fritzbox für dich. Alles andere benötigt einen vernünftigen Router / Firewall und entsprechendes Knowhow, um es ordentlich zu trennen. Wenn du nicht in Zusatzhardware investieren möchtest, ist das für einen Neuling vermutlich die charmanteste Lösung.
Wenn du das so verkabelst, hast du auf deinem Switch auf den VLANs jeweils einmal das normale Fritzbox Netz und einmal das Gast Netz anliegen. Die können untereinander nicht kommunizieren, aber teilen sich den gemeinsamen Internetanschluss der Fritzbox.
VG
das Einfachste wird sein, wenn die Materie neu ist, du nutzt normales Netz und Gäste-Netz auf der FB 1 (192.168.19.0/24). Hier ziehst du zwei Strippen zu deinem Managed Switch: Ein CAT Kabel für das normale LAN, z.B. Port 1 auf der FB, Port 1 auf dem managed Switch.
Das zweite Kabel für das Gäste Netz auf Port 4 der FB und Port 8 auf deinem Switch.
Die beiden Switchports konfigurierst du als untagged VLAN jeweils für das eine und das andere VLAN.
Die Netztrennung übernimmt dabei die Fritzbox für dich. Alles andere benötigt einen vernünftigen Router / Firewall und entsprechendes Knowhow, um es ordentlich zu trennen. Wenn du nicht in Zusatzhardware investieren möchtest, ist das für einen Neuling vermutlich die charmanteste Lösung.
Wenn du das so verkabelst, hast du auf deinem Switch auf den VLANs jeweils einmal das normale Fritzbox Netz und einmal das Gast Netz anliegen. Die können untereinander nicht kommunizieren, aber teilen sich den gemeinsamen Internetanschluss der Fritzbox.
VG
Okay, also mit "Consumer Hardware" nicht so einfach.....
Dann versuche ich das mal so wie du das schreibst. Ich wollte das Gastnetzwerk nicht nutzen da ich aktuell nicht weiß ob es irgendwelche Beschränkungen dabei gibt (Ports, etc.) Da muss ich mal recherchieren.
Dann versuche ich das mal so wie du das schreibst. Ich wollte das Gastnetzwerk nicht nutzen da ich aktuell nicht weiß ob es irgendwelche Beschränkungen dabei gibt (Ports, etc.) Da muss ich mal recherchieren.
Moin,
Wenn Du die FritzBox behalten willst, kannst Du Dir auch ein klasisches Layer3 Netzwerk aufbauen (inb4aqui
). Aber dann brauchste einen L3 Switch (vllt. ist Dein jetziger auch L3-fähig, du nennst ja das Modell nicht?)
Siehe Verständnissproblem Routing mit SG300-28
So habe ich das auch oft im Einsatz. Für was um die hundert Taler kriegst Du z.B.: einen Cisco SG250 L3-Switch o.ä. Die FB packst Du dann in das Transfer VLAN, stellst die Default Route am Cisco ein (Rückrouten auf FB nicht vergessen da die nicht VLAN fähig ist). Via ACLs kannst Du das ganze dann abtrennen. Die VLANs kannst Du dann tagged auf deinen jetzigen managed Switch weitergeben zum verteilen. Wäre eben eine Lösung.
Das kannst Du in der FB einstellen bei Gastzugang. Ansonsten ist es nicht beschränkt. Ist vielleicht für Dein Vorhaben ausreichend??
Trommel
Wenn Du die FritzBox behalten willst, kannst Du Dir auch ein klasisches Layer3 Netzwerk aufbauen (inb4aqui
). Aber dann brauchste einen L3 Switch (vllt. ist Dein jetziger auch L3-fähig, du nennst ja das Modell nicht?)Siehe Verständnissproblem Routing mit SG300-28
So habe ich das auch oft im Einsatz. Für was um die hundert Taler kriegst Du z.B.: einen Cisco SG250 L3-Switch o.ä. Die FB packst Du dann in das Transfer VLAN, stellst die Default Route am Cisco ein (Rückrouten auf FB nicht vergessen da die nicht VLAN fähig ist). Via ACLs kannst Du das ganze dann abtrennen. Die VLANs kannst Du dann tagged auf deinen jetzigen managed Switch weitergeben zum verteilen. Wäre eben eine Lösung.
Zitat von @NetzwerkNull:
Ich wollte das Gastnetzwerk nicht nutzen da ich aktuell nicht weiß ob es irgendwelche Beschränkungen dabei gibt (Ports, etc.) Da muss ich mal recherchieren.
Ich wollte das Gastnetzwerk nicht nutzen da ich aktuell nicht weiß ob es irgendwelche Beschränkungen dabei gibt (Ports, etc.) Da muss ich mal recherchieren.
Das kannst Du in der FB einstellen bei Gastzugang. Ansonsten ist es nicht beschränkt. Ist vielleicht für Dein Vorhaben ausreichend??
Trommel
Bei meinem beschriebenen Szenario kannst du dann auf den anderen Switchports jeweils untagged das gewünschte VLAN konfigurieren. Die sonstige Separierung übernimmt dann die Fritzbox anhand deiner Regeln. Standardmäßig dürfen die beiden lokalen Netze (normales und Gäste-Netz) nicht miteinander sprechen. Ebenso gibt es auch keine Portbeschränkungen. Die kannst du aber nachträglich noch dazu konfigurieren.
Wenn es dann doch mal etwas mehr sein darf, kannst du dir auf nahezu irgendeiner Hardware auch mal eine OPNsense Firewall installieren oder ein Gerät von Mikrotik etc. kaufen und rumspielen. Grundsätzlich ist die Funktionsweise da aber identisch zu deiner FB, nur dass du auf der FB einfach nicht alle Funktionen hast.
VG
Wenn es dann doch mal etwas mehr sein darf, kannst du dir auf nahezu irgendeiner Hardware auch mal eine OPNsense Firewall installieren oder ein Gerät von Mikrotik etc. kaufen und rumspielen. Grundsätzlich ist die Funktionsweise da aber identisch zu deiner FB, nur dass du auf der FB einfach nicht alle Funktionen hast.
VG
Puuuuh, das sind mal Begriffe
Ne, ich werde das nicht zu komplex machen. Hintergrund des ganzen ist, dies sollte eigentlich hier und im Büro identisch aufgebaut werden, dort nur mit anderen Switch (Mehr Ports)
Hier habe ich den TP Link TL-SG108E (8 Ports), im Büro wollte ich den TP-Link TL-SG3428 (24 Ports) verwenden.
Auf jeden Fall ist dieses Thema super spannend und wenn ich Zeit finde werde ich mich mehr damit beschäftigen.
Aber erstmal bau ich das zum testen auf.
Ne, ich werde das nicht zu komplex machen. Hintergrund des ganzen ist, dies sollte eigentlich hier und im Büro identisch aufgebaut werden, dort nur mit anderen Switch (Mehr Ports)
Hier habe ich den TP Link TL-SG108E (8 Ports), im Büro wollte ich den TP-Link TL-SG3428 (24 Ports) verwenden.
Auf jeden Fall ist dieses Thema super spannend und wenn ich Zeit finde werde ich mich mehr damit beschäftigen.
Aber erstmal bau ich das zum testen auf.
Moin,
um hier wirklich zu einem korrekten Vorgehen raten zu können, muss erst einmal bekannt sein, was das Ziel des Ganzen sein soll. Was willst Du wirklich warum erreichen? Willst Du eine DMZ aufbauen oder willst Du wirklich zwei vollständig voneinander getrennte Netze. Im zweiten Fall wirst Du mir den beiden Fritten keinen Erfolg haben. Im ersten Fall wird es zwar auch nicht wirklich gut, aber nicht unmöglich. Definiere doch bitte mal genauer das Ziel.
Aus dem Bauch heraus: Schaffe einen Router an, der das kann.
Liebe Grüße
Erik
um hier wirklich zu einem korrekten Vorgehen raten zu können, muss erst einmal bekannt sein, was das Ziel des Ganzen sein soll. Was willst Du wirklich warum erreichen? Willst Du eine DMZ aufbauen oder willst Du wirklich zwei vollständig voneinander getrennte Netze. Im zweiten Fall wirst Du mir den beiden Fritten keinen Erfolg haben. Im ersten Fall wird es zwar auch nicht wirklich gut, aber nicht unmöglich. Definiere doch bitte mal genauer das Ziel.
Aus dem Bauch heraus: Schaffe einen Router an, der das kann.
Liebe Grüße
Erik
Dein Vorhaben ist trivial mit den vorhandenen Geräten zu lösen, die Diskussion hier geht in eine viel zu komplizierte Richtung.
Fritzbox 1 betreibst Du "ganz normal" am Internetanschluss. Alle Geräte von Netzwerk 1 daran anschließen, damit ist Netz 1 fertig.
Fritzbox 2 schließt Du mit ihrem Port 1 (oder WAN-Port, je nach Modell) an einen beliebigen Port der Fritzbox 1. Dann konfigurierst Du den Internetzugang von Fritzbox 2 als "Anschluss an externes Modem oder Router". Ganz wichtig: Im zweiten Schritt dann "Internetverbindung selbst aufbauen" wählen und NICHT den IP-Client-Modus.
Dann konfigurierst Du den (LAN-)IP-Adressbereich in einen anderen als bei Fritzbox 1, hängst alle übrigen Geräte an Fritzbox 2 und bist fertig.
Fritzbox 1 betreibst Du "ganz normal" am Internetanschluss. Alle Geräte von Netzwerk 1 daran anschließen, damit ist Netz 1 fertig.
Fritzbox 2 schließt Du mit ihrem Port 1 (oder WAN-Port, je nach Modell) an einen beliebigen Port der Fritzbox 1. Dann konfigurierst Du den Internetzugang von Fritzbox 2 als "Anschluss an externes Modem oder Router". Ganz wichtig: Im zweiten Schritt dann "Internetverbindung selbst aufbauen" wählen und NICHT den IP-Client-Modus.
Dann konfigurierst Du den (LAN-)IP-Adressbereich in einen anderen als bei Fritzbox 1, hängst alle übrigen Geräte an Fritzbox 2 und bist fertig.
Moin,
Dann braucht er aber auch andere Zugangsdaten für die zweite Box.
Liebe Grüße
Erik
Zitat von @Datenreise:
Fritzbox 2 schließt Du mit ihrem Port 1 (oder WAN-Port, je nach Modell) an einen beliebigen Port der Fritzbox 1. Dann konfigurierst Du den Internetzugang von Fritzbox 2 als "Anschluss an externes Modem oder Router". Ganz wichtig: Im zweiten Schritt dann "Internetverbindung selbst aufbauen" wählen und NICHT den IP-Client-Modus.
Fritzbox 2 schließt Du mit ihrem Port 1 (oder WAN-Port, je nach Modell) an einen beliebigen Port der Fritzbox 1. Dann konfigurierst Du den Internetzugang von Fritzbox 2 als "Anschluss an externes Modem oder Router". Ganz wichtig: Im zweiten Schritt dann "Internetverbindung selbst aufbauen" wählen und NICHT den IP-Client-Modus.
Dann braucht er aber auch andere Zugangsdaten für die zweite Box.
Liebe Grüße
Erik
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Lesen und verstehen! 😉
Lesen und verstehen! 😉
Zitat von @Datenreise:
Dein Vorhaben ist trivial mit den vorhandenen Geräten zu lösen, die Diskussion hier geht in eine viel zu komplizierte Richtung.
Fritzbox 1 betreibst Du "ganz normal" am Internetanschluss. Alle Geräte von Netzwerk 1 daran anschließen, damit ist Netz 1 fertig.
Fritzbox 2 schließt Du mit ihrem Port 1 (oder WAN-Port, je nach Modell) an einen beliebigen Port der Fritzbox 1. Dann konfigurierst Du den Internetzugang von Fritzbox 2 als "Anschluss an externes Modem oder Router". Ganz wichtig: Im zweiten Schritt dann "Internetverbindung selbst aufbauen" wählen und NICHT den IP-Client-Modus.
Dann konfigurierst Du den (LAN-)IP-Adressbereich in einen anderen als bei Fritzbox 1, hängst alle übrigen Geräte an Fritzbox 2 und bist fertig.
Dein Vorhaben ist trivial mit den vorhandenen Geräten zu lösen, die Diskussion hier geht in eine viel zu komplizierte Richtung.
Fritzbox 1 betreibst Du "ganz normal" am Internetanschluss. Alle Geräte von Netzwerk 1 daran anschließen, damit ist Netz 1 fertig.
Fritzbox 2 schließt Du mit ihrem Port 1 (oder WAN-Port, je nach Modell) an einen beliebigen Port der Fritzbox 1. Dann konfigurierst Du den Internetzugang von Fritzbox 2 als "Anschluss an externes Modem oder Router". Ganz wichtig: Im zweiten Schritt dann "Internetverbindung selbst aufbauen" wählen und NICHT den IP-Client-Modus.
Dann konfigurierst Du den (LAN-)IP-Adressbereich in einen anderen als bei Fritzbox 1, hängst alle übrigen Geräte an Fritzbox 2 und bist fertig.
Die Geräte aus FB 1 könnten dann nicht in das Netz der FB2. Aber die FB2 könnte sehr wohl in das Netz der FB1 zugreifen.
Trommel
1Dann braucht er aber auch andere Zugangsdaten für die zweite Box.
Liebe Grüße
Erik
Liebe Grüße
Erik
Quatsch, das würde doch sowieso nicht funktionieren mit einer 2. PPPoE-Anwahl über dieselbe Leitung.
Fritzbox 2 bekommt in der von mir beschriebenen Konfiguration WAN-seitig eine IP-Adresse aus dem Netz von Fritzbox 1 und spielt auf der anderen Seite der Firewall ihr eigenes LAN aus. Eine ganz ordinäre Router-Kaskade halt.
Zitat von @Trommel:
Die Geräte aus FB 1 könnten dann nicht in das Netz der FB2. Aber die FB2 könnte sehr wohl in das Netz der FB1 zugreifen.
Trommel
Trommel
Auch das stimmt leider nicht. Die Firewall in Fritzbox 2 trennt die beiden LANs.
Sie trennt sie nicht aber das NAT macht die Lösung nur bedingt nutzbar.
Ist also dann halt eine routingtechnische Einbahnstasse weil bekanntlich das NAT (IP Adresstranslation) am WAN Port der FB nicht abschaltbar ist. Die FB supportet diese Funktion nicht. (Siehe o.a. Tutorial)
Ein transparenter Zugriff aus beiden Netzen ist somit NICHT möglich. Routingtechnisch also eine Krücke aber wenn es dem TO so reicht ist es ok. Ansonsten wäre der TO mit einem 25€ Router wie z.B. Mikrotik oder OpenWRT, DD-WRT usw. Modelle, wo dies konfigurierbar ist, besser bedient.
Ist also dann halt eine routingtechnische Einbahnstasse weil bekanntlich das NAT (IP Adresstranslation) am WAN Port der FB nicht abschaltbar ist. Die FB supportet diese Funktion nicht. (Siehe o.a. Tutorial)
Ein transparenter Zugriff aus beiden Netzen ist somit NICHT möglich. Routingtechnisch also eine Krücke aber wenn es dem TO so reicht ist es ok. Ansonsten wäre der TO mit einem 25€ Router wie z.B. Mikrotik oder OpenWRT, DD-WRT usw. Modelle, wo dies konfigurierbar ist, besser bedient.
Hat ja auch niemand behauptet, dass es eine fexible Lösung wäre. Aber der TE erreicht mit der bereits vorhandenen Hardware genau das, was er erreichen möchte. Sogar ohne VLANs konfigurieren zu müssen.
Nach mehr war ja nicht gefragt und dass man mit zwei Fritzboxen kein professionelles Networking betreiben kann, weiß er sicherlich selber. Auch wenn er nur Entwickler ist. ;-P
Nach mehr war ja nicht gefragt und dass man mit zwei Fritzboxen kein professionelles Networking betreiben kann, weiß er sicherlich selber. Auch wenn er nur Entwickler ist. ;-P
1
Oh was hab ich mit meiner Frage angestellt... 
Also zumindest hier im Haus war der Hintergrund das zu trennen um ein nennen wir es "privates Netzwerk" mit Smart-TV, Überwachungskameras, etc zu haben, und ein weiteres Netzwerk für meine Firma, da wären dann die beiden NAS, und die Arbeitsrechner angebunden.
Ohne das die Geräte aus Netz 1 in Netz 2 rein können und umgekehrt.
In der Firma (also nicht die Firma in meinem Haus) auf 2 Etagen wollte ich so die beiden Netzwerke (mit der mehr oder weniger selben Technik) trennen weil auf den 2 Etagen jetzt 2 Unterschiedliche Firmen sind (früher 1 Firma) und die beiden Firmen sollen getrennte Netze haben aber 1 Glasfaseranschluss nutzen können.
Wollte das machen, weil, naja bleiben wir mal ehrlich, um kosten zu sparen. Wird aber wohl (zumindest in der anderen Firma) ein Techniker das machen.
Also zumindest hier im Haus war der Hintergrund das zu trennen um ein nennen wir es "privates Netzwerk" mit Smart-TV, Überwachungskameras, etc zu haben, und ein weiteres Netzwerk für meine Firma, da wären dann die beiden NAS, und die Arbeitsrechner angebunden.
Ohne das die Geräte aus Netz 1 in Netz 2 rein können und umgekehrt.
In der Firma (also nicht die Firma in meinem Haus) auf 2 Etagen wollte ich so die beiden Netzwerke (mit der mehr oder weniger selben Technik) trennen weil auf den 2 Etagen jetzt 2 Unterschiedliche Firmen sind (früher 1 Firma) und die beiden Firmen sollen getrennte Netze haben aber 1 Glasfaseranschluss nutzen können.
Wollte das machen, weil, naja bleiben wir mal ehrlich, um kosten zu sparen. Wird aber wohl (zumindest in der anderen Firma) ein Techniker das machen.
Ist ja auch ein legitimer Ansatz @NetzwerkNull. Solange man sich in Netz 2 darauf verlassen kann, dass in Netz 1 niemand durchdreht und einem den Internetzugang kappt, passt dieses Szenario für sehr kleine Installationen vollkommen.
Man *kann* dies alles mit VLANs und entsprechend fähigen Netzwerk-Komponenten auch schöner und mit zusätzlichen Möglichkeiten bauen. Aber eine technische Lösung "darf" ja auch dem Problem angepasst sein und nicht jeder Bedarf erfordert eine Goldrand-Umsetzung.
Man *kann* dies alles mit VLANs und entsprechend fähigen Netzwerk-Komponenten auch schöner und mit zusätzlichen Möglichkeiten bauen. Aber eine technische Lösung "darf" ja auch dem Problem angepasst sein und nicht jeder Bedarf erfordert eine Goldrand-Umsetzung.
2
Hallo,
als günstigen Router kann ich Dir den mikrotik hEX lite empfehlen
https://mikrotik.com/product/RB750r2
als günstigen Router kann ich Dir den mikrotik hEX lite empfehlen
https://mikrotik.com/product/RB750r2
1Zitat von @Datenreise:
Auch das stimmt leider nicht. Die Firewall in Fritzbox 2 trennt die beiden LANs.
Zitat von @Trommel:
Die Geräte aus FB 1 könnten dann nicht in das Netz der FB2. Aber die FB2 könnte sehr wohl in das Netz der FB1 zugreifen.
Trommel
Trommel
Auch das stimmt leider nicht. Die Firewall in Fritzbox 2 trennt die beiden LANs.
Na dann hoffe ich mal nicht, dass Du solche "sicheren" Netzwerke einrichtest. Denn durch das nicht abschaltbare NAT kann die untere FritzBox sehr wohl in das übergeordnete Netz zugreifen. Die Firewall trennt nur FB1 zu FB2, nicht umgekehrt.
Trommel
1
Ich verstehe Deinen Kommentar nicht wirklich.
Ja, den WAN-Port der Fritzbox 2 ist Teil von LAN1. Und natürlich landet man, wenn man den Uplink-Port bzw. den Betriebsmodus der Fritzbox 2 umkonfiguriert, mit allen Geräten in LAN 1 und LAN 1 kann auch nichts dagegen unternehmen. Alternativ könnte man auch die Fritzbox 2 einfach wegwerfen und sich direkt ans das Kabel hängen, welches von Fritzbox 1 kommt - selbstverständlich.
Wie sollte es auch anders sein ohne VLANs?
Solange man Fritzbox 2 nicht umkonfiguriert, kann man aus dem LAN der Fritzbox 2 aber auch nicht auf LAN 1 zugreifen.
In diesem Szenario geht es darum, wie man zwei Netze mit gegebener Hardware trennt und der Weg, den ich beschrieben habe, funktioniert. Die Prämisse war nicht, dass man an irgendeiner Stelle einen Admin hat, dem man nicht vertraut weswegen man das ganze "Manipulationssicher" bauen müsste.
Sollte ich an irgendeiner Stelle etwas übersehen, bitte ich um einen konkreten Hinweis, nicht immer nur pauschale, unbelegte Aussagen.
Ja, den WAN-Port der Fritzbox 2 ist Teil von LAN1. Und natürlich landet man, wenn man den Uplink-Port bzw. den Betriebsmodus der Fritzbox 2 umkonfiguriert, mit allen Geräten in LAN 1 und LAN 1 kann auch nichts dagegen unternehmen. Alternativ könnte man auch die Fritzbox 2 einfach wegwerfen und sich direkt ans das Kabel hängen, welches von Fritzbox 1 kommt - selbstverständlich.
Wie sollte es auch anders sein ohne VLANs?
Solange man Fritzbox 2 nicht umkonfiguriert, kann man aus dem LAN der Fritzbox 2 aber auch nicht auf LAN 1 zugreifen.
In diesem Szenario geht es darum, wie man zwei Netze mit gegebener Hardware trennt und der Weg, den ich beschrieben habe, funktioniert. Die Prämisse war nicht, dass man an irgendeiner Stelle einen Admin hat, dem man nicht vertraut weswegen man das ganze "Manipulationssicher" bauen müsste.
Sollte ich an irgendeiner Stelle etwas übersehen, bitte ich um einen konkreten Hinweis, nicht immer nur pauschale, unbelegte Aussagen.
So wie ich es ursprünglich geschrieben habe: ein Zugriff aus dem Netz FB2 zu FB1 ist möglich. Daher ist das nur eine einseitige Trennung.
Zitat von @Datenreise:
Ja, den WAN-Port der Fritzbox 2 ist Teil von LAN1. Und natürlich landet man, wenn man den Uplink-Port bzw. den Betriebsmodus der Fritzbox 2 umkonfiguriert, mit allen Geräten in LAN 1 und LAN 1 kann auch nichts dagegen unternehmen. Alternativ könnte man auch die Fritzbox 2 einfach wegwerfen und sich direkt ans das Kabel hängen, welches von Fritzbox 1 kommt - selbstverständlich.
Wie sollte es auch anders sein ohne VLANs?
Ja, den WAN-Port der Fritzbox 2 ist Teil von LAN1. Und natürlich landet man, wenn man den Uplink-Port bzw. den Betriebsmodus der Fritzbox 2 umkonfiguriert, mit allen Geräten in LAN 1 und LAN 1 kann auch nichts dagegen unternehmen. Alternativ könnte man auch die Fritzbox 2 einfach wegwerfen und sich direkt ans das Kabel hängen, welches von Fritzbox 1 kommt - selbstverständlich.
Wie sollte es auch anders sein ohne VLANs?
Das meinte ich nicht und das habe ich auch nie so erwähnt. Meine Aussage bezieht sich auf das Szenario, wie von Dir beschrieben, ohne irgendwelche Änderungen an den Geräten.
Wobei das natürlich trotzdem ein Risiko sein könnte.
FB1 Netz könnte den Endpunkt von FB2 sehen und FB2 könnte seine Zugangsart ändern um gleich Mitglied des Netzwerkes zu sein.
Aber bleiben wir mal dabei, dass niemand an die FritzBox oder irgendwelche Kabel rankommt.
Zitat von @Datenreise:
Solange man Fritzbox 2 nicht umkonfiguriert, kann man aus dem LAN der Fritzbox 2 aber auch nicht auf LAN 1 zugreifen.
Solange man Fritzbox 2 nicht umkonfiguriert, kann man aus dem LAN der Fritzbox 2 aber auch nicht auf LAN 1 zugreifen.
Doch.
Zitat von @Datenreise:
In diesem Szenario geht es darum, wie man zwei Netze mit gegebener Hardware trennt und der Weg, den ich beschrieben habe, funktioniert. Die Prämisse war nicht, dass man an irgendeiner Stelle einen Admin hat, dem man nicht vertraut weswegen man das ganze "Manipulationssicher" bauen müsste.
In diesem Szenario geht es darum, wie man zwei Netze mit gegebener Hardware trennt und der Weg, den ich beschrieben habe, funktioniert. Die Prämisse war nicht, dass man an irgendeiner Stelle einen Admin hat, dem man nicht vertraut weswegen man das ganze "Manipulationssicher" bauen müsste.
Das wurde auch nie behauptet, siehe oben.
Zitat von @Datenreise:
Sollte ich an irgendeiner Stelle etwas übersehen, bitte ich um einen konkreten Hinweis, nicht immer nur pauschale, unbelegte Aussagen.
Sollte ich an irgendeiner Stelle etwas übersehen, bitte ich um einen konkreten Hinweis, nicht immer nur pauschale, unbelegte Aussagen.
Tja was soll ich sagen. Probiere es doch aus. Ich könnte es genauso sagen; du belegst Deine Aussagen ja auch nicht !?
Ich sitze gerade hinter einem kaskadierten Router und komme via NAT in das Netz davor. Ist aber in diesem Fall keine FritzBox.
Habe gerade mal gegoogelt:
https://www.connect-living.de/ratgeber/router-kaskade-einrichten-zonieru ...
Zitat von connect-living.de
Trotzdem setzt Router 2 das von Router 1 aufgespannte lokale Netzwerk 1 mit dem Internet gleich. Die Folge: Router 2 blockt alle Zugriffsversuche aus dem Netzwerk 1 durch seine integrierte Firewall ab und schützt damit alle an ihn angeschlossenen Clients im Netzwerk 2. Eine Verbindung von Netzwerk 2 in Netzwerk 1 (respektive Internet) ist jedoch problemlos möglich.
Trotzdem setzt Router 2 das von Router 1 aufgespannte lokale Netzwerk 1 mit dem Internet gleich. Die Folge: Router 2 blockt alle Zugriffsversuche aus dem Netzwerk 1 durch seine integrierte Firewall ab und schützt damit alle an ihn angeschlossenen Clients im Netzwerk 2. Eine Verbindung von Netzwerk 2 in Netzwerk 1 (respektive Internet) ist jedoch problemlos möglich.
Schönes WE.
Trommel
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
1
