147048
Dec 21, 2020, updated at 20:53:03 (UTC)
1990
11
0
Netzwerk: Umsetzbarkeit
Hallo zusammen,
für den Anfang mache ich es kurz und bündig: Ich bin zum einen neu in diesem Forum und auch (hoffentlich: noch) kein besonders großer Experte in Sachen Netzwerke.
Dennoch finde ich, es ist immer einen Versuch Wert, die eigenen Ideen und/oder Pläne umzusetzen.
Nun zum eigentlichen Thema:
Gerne würde ich mein Heimnetzwerk ein wenig umbauen und um einen Outdoor AP erweitern.
Als Hauptrouter würde ich die FritzBox, auch wegen des hohen Bedienkomfortsund und DECT, allerdings eher ungern missen, was mich leider vor einige Herausforderungen stellt.
Denn: Zum einen kann die Fritzbox keine VLANs, was angesichts der eher "suboptimalen" Leerrohrsituation unerlässlich ist, um den AP per LAN mit Privat- und Gastnetz zu verbinden.
Zum anderen halte ich es Sicherheitstechnisch (Outdoormontage) für unerlässlich, dass der AP sich via 802.1X am Router bzw. Switch authentifiziert.
Soweit so gut.
Ausgemalt habe ich mir dafür einen hAP ac von Mikrotik hinter die FritzBox zu hängen und mit diesem das Gast- und private LAN, als VLAN-Trunk, an den AP (wAP ac) zu bekommen, welcher entsprechende WLANs umsetzt.
Bzgl. 802.1X bin ich allerdings sehr unsicher...
Nach meinem Verständnis müsste es mit dem neuen RouterOS möglich sein, einen eigenen Radiusserver auf dem hAP ac einzurichten, welcher dann dazu genutzt werden kann, dass nur der von mir angedachte Mikrotik wAP ac sich ins LAN "einwählen" kann; alles andere bekommt keinen Zugriff.
Auch für Iot suche ich natürlich eine nachhaltige Lösung - was die FB nicht gerade einfacher macht.
Ich möchte nämlich IoT-Geräte von sowohl Gast und Privatnetz möglichst trennen.
Faktisch kann die FB aber nur Privat und Gastnetz trennen.
Die Frage ist dabei also, ob es irgendwie möglich ist, mittels hAP ac ein WLAN zu errichten, in dem Internetzugriff herrscht, aber das isoliert von allen anderen Geräten fungiert. Wenn das klappen sollte stellt sich leider noch eine Frage: Gäbe es dann noch eine Möglichkeit weiterhin (aus u.U. anderen Subnetzen) bspw. Chromecast- oder DLNA-Streams auf einen Fernseher zu bringen?
Ob das alles so überhaupt umsetzbar wäre versuche ich jetzt herauszufinden. Vorgestellt habe ich mir das aber in etwa wie folgt:
Beste Grüße.
für den Anfang mache ich es kurz und bündig: Ich bin zum einen neu in diesem Forum und auch (hoffentlich: noch) kein besonders großer Experte in Sachen Netzwerke.
Dennoch finde ich, es ist immer einen Versuch Wert, die eigenen Ideen und/oder Pläne umzusetzen.
Nun zum eigentlichen Thema:
Gerne würde ich mein Heimnetzwerk ein wenig umbauen und um einen Outdoor AP erweitern.
Als Hauptrouter würde ich die FritzBox, auch wegen des hohen Bedienkomfortsund und DECT, allerdings eher ungern missen, was mich leider vor einige Herausforderungen stellt.
Denn: Zum einen kann die Fritzbox keine VLANs, was angesichts der eher "suboptimalen" Leerrohrsituation unerlässlich ist, um den AP per LAN mit Privat- und Gastnetz zu verbinden.
Zum anderen halte ich es Sicherheitstechnisch (Outdoormontage) für unerlässlich, dass der AP sich via 802.1X am Router bzw. Switch authentifiziert.
Soweit so gut.
Ausgemalt habe ich mir dafür einen hAP ac von Mikrotik hinter die FritzBox zu hängen und mit diesem das Gast- und private LAN, als VLAN-Trunk, an den AP (wAP ac) zu bekommen, welcher entsprechende WLANs umsetzt.
Bzgl. 802.1X bin ich allerdings sehr unsicher...
Nach meinem Verständnis müsste es mit dem neuen RouterOS möglich sein, einen eigenen Radiusserver auf dem hAP ac einzurichten, welcher dann dazu genutzt werden kann, dass nur der von mir angedachte Mikrotik wAP ac sich ins LAN "einwählen" kann; alles andere bekommt keinen Zugriff.
Auch für Iot suche ich natürlich eine nachhaltige Lösung - was die FB nicht gerade einfacher macht.
Ich möchte nämlich IoT-Geräte von sowohl Gast und Privatnetz möglichst trennen.
Faktisch kann die FB aber nur Privat und Gastnetz trennen.
Die Frage ist dabei also, ob es irgendwie möglich ist, mittels hAP ac ein WLAN zu errichten, in dem Internetzugriff herrscht, aber das isoliert von allen anderen Geräten fungiert. Wenn das klappen sollte stellt sich leider noch eine Frage: Gäbe es dann noch eine Möglichkeit weiterhin (aus u.U. anderen Subnetzen) bspw. Chromecast- oder DLNA-Streams auf einen Fernseher zu bringen?
Ob das alles so überhaupt umsetzbar wäre versuche ich jetzt herauszufinden. Vorgestellt habe ich mir das aber in etwa wie folgt:
Beste Grüße.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 634218
Url: https://administrator.de/contentid/634218
Printed on: April 26, 2024 at 07:04 o'clock
11 Comments
Latest comment
Moin,
Du solltest das Gastnetz (und das WLAN) der Fritte ganz außen vor lassen.
Der hAP kann mehrere WLANs auf verschiedene VLANs mappen und damit auch Gastnetze einrichten.
das Router-OS bietet sogar die Möglichkeit ein Captive-Portal einzurichten.
Mit den entssprechenden Firewall-regeln auf dem hAP kannst Du dann bestimmen, wer mit wem reden darf.
lks
Du solltest das Gastnetz (und das WLAN) der Fritte ganz außen vor lassen.
Der hAP kann mehrere WLANs auf verschiedene VLANs mappen und damit auch Gastnetze einrichten.
das Router-OS bietet sogar die Möglichkeit ein Captive-Portal einzurichten.
Mit den entssprechenden Firewall-regeln auf dem hAP kannst Du dann bestimmen, wer mit wem reden darf.
lks
Hallo.
Das Vorhaben an sich ist absolut nichts ungewöhnliches und auch genau so abbildbar.
Mit den Anleitungen von @aqui kannst du dir das Netzwerk sehr gut zusammenschustern:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
MikroTik Router bzw. AP richtig einstellen
Gibt es einen ONT vor Fritzbox oder wird die Modem-Funktion genutzt (VDSL)?
Falls es ein FTTH Anschluss beispielsweise wäre, könnte man die Fritzbox hinter den Mikrotik Router hängen und die integrierte Telefonanlage weiterhin nutzen und das doppelte NAT eliminieren. Ist nicht zwingend erforderlich, aber etwas "sauberer".
Gruß
Radiogugu
Das Vorhaben an sich ist absolut nichts ungewöhnliches und auch genau so abbildbar.
Mit den Anleitungen von @aqui kannst du dir das Netzwerk sehr gut zusammenschustern:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
MikroTik Router bzw. AP richtig einstellen
Gibt es einen ONT vor Fritzbox oder wird die Modem-Funktion genutzt (VDSL)?
Falls es ein FTTH Anschluss beispielsweise wäre, könnte man die Fritzbox hinter den Mikrotik Router hängen und die integrierte Telefonanlage weiterhin nutzen und das doppelte NAT eliminieren. Ist nicht zwingend erforderlich, aber etwas "sauberer".
Gruß
Radiogugu
Kollege @lks hat Recht mit dem Argument das Gast- und WLAN der FB komplett außen vor zu lassen und diese nur als reinen Internet Router und für die Telefonie zu nutzen. Besser dann für das WLAN an FB statt einen zusätzlichen cAP ac zu verwenden.
Ansonsten ist das ein gutes und rundes Konzept für eine Heimnetz Restrukturierung. Alles richtig gemacht und die obigen Tutorials geben eine Hilfestellung bei der Umsetzung.
Ansonsten ist das ein gutes und rundes Konzept für eine Heimnetz Restrukturierung. Alles richtig gemacht und die obigen Tutorials geben eine Hilfestellung bei der Umsetzung.
Hallo nochmal und vielen Dank für die Antworten.
Mich beruhigt ja schonmal, dass ich nichts grundsätzlich falsch gemacht habe.
Die FB wird zurzeit als (DSL) Modem, für WLAN und Telefonie genutzt.
Das ich besser nur die Modem und DECT-Funktion nutzen sollte, leuchtet mir soweit ein, allerdings hängen hier in diversen Räumen auch noch einige Fritz-Mesh-Repeater, was es eher unpraktisch macht das WLAN aufzugeben.
Angenommen ich würde das WLAN (bzw. beide SSIDs) der FB weiterhin nutzen wollen, bin ich mir leider sehr unsicher, ob ich das IoT-Netz überhaupt so realisieren kann, wie ich mir das vorgestellt habe.
Denn, ich möchte ja zum einen das Privat- und Gastnetz der FB über den Mikrotik zum AP weiterreichen, auf der anderen Seite aber auch ein weiteres Netz mit Inet Zugriff errichten, das auf diese beiden keinen Zugriff hat (umgekehrt, also DLNA, Chromecast vom Handy, usw. aus dem Privatnetz wäre allerdings schön).
Mir fehlt leider wirklich das tiefergehende Verständnis, um zu beurteilen ob das (ich hoffe mal alles war so verständlich) überhaupt machbar ist.
Evtl. kann man mir das ja beantworten.
Beste Grüße.
Mich beruhigt ja schonmal, dass ich nichts grundsätzlich falsch gemacht habe.
Die FB wird zurzeit als (DSL) Modem, für WLAN und Telefonie genutzt.
Das ich besser nur die Modem und DECT-Funktion nutzen sollte, leuchtet mir soweit ein, allerdings hängen hier in diversen Räumen auch noch einige Fritz-Mesh-Repeater, was es eher unpraktisch macht das WLAN aufzugeben.
Angenommen ich würde das WLAN (bzw. beide SSIDs) der FB weiterhin nutzen wollen, bin ich mir leider sehr unsicher, ob ich das IoT-Netz überhaupt so realisieren kann, wie ich mir das vorgestellt habe.
Denn, ich möchte ja zum einen das Privat- und Gastnetz der FB über den Mikrotik zum AP weiterreichen, auf der anderen Seite aber auch ein weiteres Netz mit Inet Zugriff errichten, das auf diese beiden keinen Zugriff hat (umgekehrt, also DLNA, Chromecast vom Handy, usw. aus dem Privatnetz wäre allerdings schön).
Mir fehlt leider wirklich das tiefergehende Verständnis, um zu beurteilen ob das (ich hoffe mal alles war so verständlich) überhaupt machbar ist.
Evtl. kann man mir das ja beantworten.
Beste Grüße.
Die FB wird zurzeit als (DSL) Modem, für WLAN und Telefonie genutzt.
Das geht gar nicht weil die FB sich schon seit langem nicht mehr als reines nur Modem konfigurieren lässt. Kann es sein das du hier laienhaft den Begriff "Modem" und "Router" leichtfertig durcheinanderbringst ? Du meinst vermutlich das er als Router arbeitet, oder ?bin ich mir leider sehr unsicher, ob ich das IoT-Netz überhaupt so realisieren kann
Geht, aber nur mit etlichen Klimmzügen und dem Nachteil das das WLAN dann nicht auf der FB terminiert sondern auf dem MT. WLAN technsiich ein schlechtes Quick and Dirty Design. Ideal wäre es sauber und durchgehend mit MSSIDs zu arbeiten, was sich dann so nicht machen lässt.Mesh oder Repeater Netze sind so oder so immer der schlechteste Weg aus Performance Sicht, da man wieder über Bandbreiten abhängige Backbomnes arbeitet. Immer schlecht...
Denn, ich möchte ja zum einen das Privat- und Gastnetz der FB über den Mikrotik zum AP weiterreichen
Das kann man so machen über einfache VLANs.aber auch ein weiteres Netz mit Inet Zugriff errichten
Das geht natürlich auch aber dieses WLAN ist dann einzig nur über den MT AP erreichbar, weil du es ja auf dem FB AP wegen dessen fehlender MSSID Features nicht einrichten kannst. Wenn du mit dem Nachteil leben kannst geht das alles.Zitat von @aqui:
Die FB wird zurzeit als (DSL) Modem, für WLAN und Telefonie genutzt.
Das geht gar nicht weil die FB sich schon seit langem nicht mehr als reines nur Modem konfigurieren lässt. Kann es sein das du hier laienhaft den Begriff "Modem" und "Router" leichtfertig durcheinanderbringst ? Du meinst vermutlich das er als Router arbeitet, oder ?Ja, das ist korrekt. Manchmal schlägt dann eben doch meine fehlende Erfahrung durch:
Bzgl. Mesh ist es leider so, dass es im Haus im Grunde keine - zumindest effektiv nutzbaren - Leerrohre gibt, mit denen ich APs einbinden könnte. Daher auch die Repeater-Lösung.
Zitat von @aqui:
Geht, aber nur mit etlichen Klimmzügen und dem Nachteil das das WLAN dann nicht auf der FB terminiert sondern auf dem MT. WLAN technsiich ein schlechtes Quick and Dirty Design. Ideal wäre es sauber und durchgehend mit MSSIDs zu arbeiten, was sich dann so nicht machen lässt.
Geht, aber nur mit etlichen Klimmzügen und dem Nachteil das das WLAN dann nicht auf der FB terminiert sondern auf dem MT. WLAN technsiich ein schlechtes Quick and Dirty Design. Ideal wäre es sauber und durchgehend mit MSSIDs zu arbeiten, was sich dann so nicht machen lässt.
Das geht natürlich auch aber dieses WLAN ist dann einzig nur über den MT AP erreichbar, weil du es ja auf dem FB AP wegen dessen fehlender MSSID Features nicht einrichten kannst. Wenn du mit dem Nachteil leben kannst geht das alles.
Also nochmal zum Verständnis: Ich könnte, wenn auch mit großem Aufwand, ein IoT-Netz mit Internet bereitstellen, das aber "sauber" von Privat- und Gastgeräten getrennt ist?
Aber z.B. DLNA-Streams wären dann vom NAS auf TV nicht möglich?
Als Grafik war meine Vorstellung eben etwa so (alle Wlans mit Internetzugriff):
dass es im Haus im Grunde keine - zumindest effektiv nutzbaren - Leerrohre gibt, mit denen ich APs einbinden könnte
Dann nimmt man als Alternative immer Power LAN / dLAN oder ggf. alten Klingel oder Telefondraht sofern das 4 Adern sind. Immer besser als Funk.Alternativ Flachkabel was man bequem hinter Fussleisten, Parketritzen usw. verlegen kann:
https://www.amazon.de/15m-CAT-Netzwerkkabel-Flach-Flachbandkabel-wei&szl ...
Alles besser als unzuverlässiger Funk.
Und ja....
Das alles ist problemlos umsetzbar. Es ist eine simple VLAN zu MSSID Konfig. Dein IoT Netzwerk wird aber ausschliesslich nur vom MT AP ausgestrahlt, weil es ja an den FB APs und Mesh Repeatern nicht als zusätzliche SSID konfiguriert werden kann, denn die supporten ja kein MSSID.
Wenn du damit leben kannst ist das alles problemlos möglich.
Hallo nochmal zusammen,
danke für eure Antworten. Die Kommentare habe ich zum Anlass genommen, nocheinmal über das Setup nachzudenken und dieses ein klein wenig zu verändern (Bild unten).
Allerdings habe ich, obwohl schon mehrmals mehr oder weniger gefragt, immernoch zwei Fragen:
1) Eigentlich hatte ich bei den dLan-Adaptern mit devolo dLAN® pro 1200+ WiFi ac geplant, die MSSID und VLANs unterstützen. Leider habe ich festgestellt, dass diese scheinbar nicht mehr vertrieben werden. Sollte hier jemand VLAN und MSSID-fähige Powerline Adapter kennen, wäre ich dankbar um den Tipp, da ich ansonsten noch einen weiteren AP einbinden müsste.
2) Ich habe aufgrund meiner Unwissenheit leider noch nicht herausfinden können, wie genau ich das IoT WLAN & LAN von den restlichen Netzen abschotten kann. Da der hp ac ja als AP / Switch (zumindest nicht als exposed host o.ä.) arbeiten soll und die FB keine VLANs unterstützt, müsste ich ja den Traffic der IoT-Geräte irgendwie über den Privat- oder Gastport der FB ins Internet tunneln, ohne, dass die Geräte untereinander kommunizieren können?
Mir fällt da spontan nur Client Isolation ein?
PS: Die FB möchte ich auch weiterhin als WLAN und LAN-Router nutzen
danke für eure Antworten. Die Kommentare habe ich zum Anlass genommen, nocheinmal über das Setup nachzudenken und dieses ein klein wenig zu verändern (Bild unten).
Allerdings habe ich, obwohl schon mehrmals mehr oder weniger gefragt, immernoch zwei Fragen:
1) Eigentlich hatte ich bei den dLan-Adaptern mit devolo dLAN® pro 1200+ WiFi ac geplant, die MSSID und VLANs unterstützen. Leider habe ich festgestellt, dass diese scheinbar nicht mehr vertrieben werden. Sollte hier jemand VLAN und MSSID-fähige Powerline Adapter kennen, wäre ich dankbar um den Tipp, da ich ansonsten noch einen weiteren AP einbinden müsste.
2) Ich habe aufgrund meiner Unwissenheit leider noch nicht herausfinden können, wie genau ich das IoT WLAN & LAN von den restlichen Netzen abschotten kann. Da der hp ac ja als AP / Switch (zumindest nicht als exposed host o.ä.) arbeiten soll und die FB keine VLANs unterstützt, müsste ich ja den Traffic der IoT-Geräte irgendwie über den Privat- oder Gastport der FB ins Internet tunneln, ohne, dass die Geräte untereinander kommunizieren können?
Mir fällt da spontan nur Client Isolation ein?
PS: Die FB möchte ich auch weiterhin als WLAN und LAN-Router nutzen
wie genau ich das IoT WLAN & LAN von den restlichen Netzen abschotten kann.
Der Mikrotik hat eine Firewall an Bord. Damit schottest du das ab. Guckst du hier für die Grundlagen dazu:Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Super, danke @aqui 
Bzgl. der Powerline Problematik habe ich mir noch einmal Gedanken gemacht...
Liege ich richtig damit, dass es per VLAN Hybrid Port möglich sein müsste, einen Fritz 1260e Powerline-Adapter an den hap ac2 anzubinden, welcher dann Privat- und Gastnetz als WLAN bereitstellt, aber auch die tagged VLANs an einen Smart-Managed-Switch durchreicht (und umgekehrt)?
Bzgl. der Powerline Problematik habe ich mir noch einmal Gedanken gemacht...
Liege ich richtig damit, dass es per VLAN Hybrid Port möglich sein müsste, einen Fritz 1260e Powerline-Adapter an den hap ac2 anzubinden, welcher dann Privat- und Gastnetz als WLAN bereitstellt, aber auch die tagged VLANs an einen Smart-Managed-Switch durchreicht (und umgekehrt)?
Ja, das funktioniert. Powerline Adapter übertragen durch die Bank alle das 802.1q VLAN Tag mit.