19
Netzwerk verbessern
Hi @ll,
ich habe eine / mehrere Fragen an die Netzwerkspezialisten unter euch.
Mittlerweile ist mein Netzwerk ziemlich angewachsen und ich möchte wissen, ob / wie ich es besser machen kann.
Hier mal ein Übersicht:
Info:
Der WRT54 und Archer C8 laufen mit DD-WRT
Fritte ist eine 7490 mit original FW - Wifi deaktiviert, weil zu instabil.
Kamera / Video braucht schnelles WLan.
Meine Vorgaben:
SmartHome muss stabil laufen. Daher auch der Separate WRT54.
Kommunikation von Arbeitsplatz muss überall hin gegeben sein.
Meine Idee:
Netztrennung von "Smart Home" und "Normal" durch separate IP Bereiche mit separaten DNS Servern - auf Raspi (für Smart Home) und Dellbook (für Normales Netz). - Sinnvoll?
Was meint ihr?
Ideen sind Willkommen - Erwünscht ;)
Grüße BassT23
EDIT:
Wünschenswert ist noch eine Schnittstelle zur Überwachung und gezieltem Steuern des Netzwerktraffic. Ich möchte zb den Traffic der Kids begrenzen können, wenn andere Geräte ihn brauchen.
Dazu hatte ich schon ein Raspi4 (2GB) mit ntopng im Netz. Bin aber noch nicht sehr schlau draus geworden. Dieser sollte wenn dann wohl auch zentral dahin, wo aller Traffic durchläuft. Es soll aber kein Flaschenhals entstehen, ... Zudem sollte die Software kein vermögen kosten ;)
ich habe eine / mehrere Fragen an die Netzwerkspezialisten unter euch.
Mittlerweile ist mein Netzwerk ziemlich angewachsen und ich möchte wissen, ob / wie ich es besser machen kann.
Hier mal ein Übersicht:
Info:
Der WRT54 und Archer C8 laufen mit DD-WRT
Fritte ist eine 7490 mit original FW - Wifi deaktiviert, weil zu instabil.
Kamera / Video braucht schnelles WLan.
Meine Vorgaben:
SmartHome muss stabil laufen. Daher auch der Separate WRT54.
Kommunikation von Arbeitsplatz muss überall hin gegeben sein.
Meine Idee:
Netztrennung von "Smart Home" und "Normal" durch separate IP Bereiche mit separaten DNS Servern - auf Raspi (für Smart Home) und Dellbook (für Normales Netz). - Sinnvoll?
Was meint ihr?
Ideen sind Willkommen - Erwünscht ;)
Grüße BassT23
EDIT:
Wünschenswert ist noch eine Schnittstelle zur Überwachung und gezieltem Steuern des Netzwerktraffic. Ich möchte zb den Traffic der Kids begrenzen können, wenn andere Geräte ihn brauchen.
Dazu hatte ich schon ein Raspi4 (2GB) mit ntopng im Netz. Bin aber noch nicht sehr schlau draus geworden. Dieser sollte wenn dann wohl auch zentral dahin, wo aller Traffic durchläuft. Es soll aber kein Flaschenhals entstehen, ... Zudem sollte die Software kein vermögen kosten ;)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3563379809
Url: https://administrator.de/contentid/3563379809
Ausgedruckt am: 19.11.2024 um 17:11 Uhr
19 Kommentare
Neuester Kommentar
Hallo,
Dobby
Was meint ihr?
Ideen sind Willkommen - Erwünscht ;)
Einen Router oder eine Firewall und ein VLAN fähiger Switch und den Rest als WLAN AP im Netzlassen.Ideen sind Willkommen - Erwünscht ;)
Dobby
Zitat von @108012:
Einen Router oder eine Firewall und ein VLAN fähiger Switch und den Rest als WLAN AP im Netzlassen.
Dobby
Einen Router oder eine Firewall und ein VLAN fähiger Switch und den Rest als WLAN AP im Netzlassen.
Dobby
Wieso neue Hardware kaufen, ... Die 2 Routen (Linksys und Archer-C8 mit DD-WRT Firmware) sind jeweils 4 Port Switches mit VLAN.
Bringt mich aber trotzdem schon weiter.
Bedeutet wenn ich das VLAN richtig konfiguriere, erhalte ich eine Trennung.
Muss mich da mal genauer reinlesen - wie gesagt, bin kein Netzwerk spezi ;)
Grüße BassT23
Daher auch der Separate WRT54.
Was bewirkt der in puncto Stabilität? Qualität steht ja nicht bei dir primär im Vordergrund.Du missbrauchst ihn ja auch nur als dummen 100 Mbit Switch. Dein Netzwerk ist ja nur ein dummes, flaches L2 Netz ohne Segmentierung oder andere Dinge.
Verbessern könnte man da viel. Fragt sich nur wo DU den Schwerpunkt für solche Massnahmen definierst?!
Zitat von @148523:
Du missbrauchst ihn ja auch nur als dummen 100 Mbit Switch. Dein Netzwerk ist ja nur ein dummes, flaches L2 Netz ohne Segmentierung oder andere Dinge.
Verbessern könnte man da viel. Fragt sich nur wo DU den Schwerpunkt für solche Massnahmen definierst?!
Daher auch der Separate WRT54.
Was bewirkt der in puncto Stabilität? Qualität steht ja nicht bei dir primär im Vordergrund.Du missbrauchst ihn ja auch nur als dummen 100 Mbit Switch. Dein Netzwerk ist ja nur ein dummes, flaches L2 Netz ohne Segmentierung oder andere Dinge.
Verbessern könnte man da viel. Fragt sich nur wo DU den Schwerpunkt für solche Massnahmen definierst?!
Da hast du zum Teil recht, aber ich bin gelernter Elektriker, kein ITler.
Mein wissen basiert auf 20 Jahren hobby, alles selbst bei gebracht, per google und viel lesen.
Angefangen hat mein Netzwerk hier mit nur einer Fritte. Dann kamen die ganzen ESP8266 (Tasmota) Module. Die Fritte war dafür einfach zu instabil und es gab ständig Probleme. Daher habe ich dann meinen alten WRT54 wieder flott gemacht (dieser läuft extrem stabil). ESP8266 kann auch nur 2,4GHz. Daher ist der Leistungs technisch absolut ausreichend. Klar die 100Mbit sind wenig, aber auch hier ausreichend. Seit dem ich auf Ihn aufgebaut habe läuft auch der Teil sehr stabil. Daher Qualität hier überaus perfekt, ...
Die Router missbrauche ich tatsächlich als Wifi switches, aber sie sind günstig, mit DD-WRT kompatibel und daher sehr robust.
Die Fritte war dann auch zu instabil für mein 5GHz Wifi. Deshalb habe ich günstig den Archer bei ebay Kleinanzeigen erstanden (35€ mit 2 Repeatern). Auch hier war es eine gute Entscheidung. 5GHz läuft seither auch gut.
Qualität, welche du vermutlich meinst würde mich mehrere 100€ kosten. Das kann auch günstig.
Zurück zum eigentlichen Thema.
Ich bin kein Netzwerk Spezialist. Daher wende ich mich ja hier an euch.
Der erste Tipp mit VLAN war schon mal ganz gut. DD-WRT mit den Routern ist dafür ausgelegt, aber da muss ich mich noch reinlesen. Bin seit heute morgen dran die Router richtig zu konfigurieren. Somit bekomme ich dann auch eine segmentierung *hoff*
Wie Könnte ich denn richtig segmentierung? Vorschlage - weblinks?
Vielen Dank und Grüße
BassT23
WiFi Repeater sind niemals eine gute Entscheidung, da begehst du einen Denkfehler. Jeder Repeater Hop halbiert die Bandbreite und Hidden Station Probleme geben dem WLAN dann den Rest.
Zum Segmentieren sieh dir die Routing und VLAN Tutorials hier im Forum an!
Zum Segmentieren sieh dir die Routing und VLAN Tutorials hier im Forum an!
Zitat von @148523:
WiFi Repeater sind niemals eine gute Entscheidung, da begehst du einen Denkfehler. Jeder Repeater Hop halbiert die Bandbreite und Hidden Station Probleme geben dem WLAN dann den Rest.
Zum Segmentieren sieh dir die Routing und VLAN Tutorials hier im Forum an!
WiFi Repeater sind niemals eine gute Entscheidung, da begehst du einen Denkfehler. Jeder Repeater Hop halbiert die Bandbreite und Hidden Station Probleme geben dem WLAN dann den Rest.
Zum Segmentieren sieh dir die Routing und VLAN Tutorials hier im Forum an!
Danke für die Info.
An dem Repeater ist lediglich ein entfernter ESP Verbunden, welcher sonst nur scheinbar schlechtes Signal hat. Dieser liefert mit aber meine Licht Daten für die Automatische Lichtsteuerung.
Habe jetzt mal mit eurer Hilfe umgeplant. Bisher ist aber nur der Raspi an den Linksys direkt angeklemmt. Für den rest muss ich später noch LAN Kabel organisieren.
Das VLAN ist bisher auch nur Planung. Habe mich die Tage viel reingelesen und bin der meinung es könnte so klappen.
Was meint ihr dazu?
Grüße BassT23
Es wäre übersichtlicher und hilfreicher für alle du würdest wirklich nur deine Netzwerk Infrastruktur darstellen statt jedes popelige Endgerät in die Zeichnung zu übernehmen was alles nur unübersichtlich macht.
Und wo ist da jetzt eine Veränderung zu oben? Ist ja weiterhin genau das gleiche flache, dumme Layer 2 Netz geblieben was es auch vorher war.
Und weiterhin bleibt die Frage offen was DU für dich einen Verbesserungsschwerpunkt siehst. Segmentierung, Security usw. usw. All das ist weiterhin völlig unklar.
Und wo ist da jetzt eine Veränderung zu oben? Ist ja weiterhin genau das gleiche flache, dumme Layer 2 Netz geblieben was es auch vorher war.
Und weiterhin bleibt die Frage offen was DU für dich einen Verbesserungsschwerpunkt siehst. Segmentierung, Security usw. usw. All das ist weiterhin völlig unklar.
ok, danke für den wink ;)
Die Zeichnung werde ich überarbeiten.
Eine Segmentierung würde ich mit den 3 VLAN Netzen erreichen, oder nicht? Sind 3 Überhaupt sinnvoll - oder zuviel für die Netzgrösse? Dachte die Dienste nochmal zu separieren wäre sicherheitstechnisch ratsam, ...
Sicherheit wird natürlich auch immer wichtiger, vor allem auch weil ich die Nextcloud Online habe.
Bisher setze ich noch auf das NAT der FritzBox, was mir aber langsam zu unsicher wird. Habe gedacht ich sichere die Server (Dellbook und Raspi) jeweils mit einer SW Firewall ab.
Wie könnte ich denn das Netz schlauer machen, ohne mich in umkosten zu stürzen, oder den Stromverbrauch mit weiteren Endgeräten in die höhe zu treiben? Stichworte würden reichen, ich kann mich dann reinlesen ;)
Grüße BassT23
EDIT:
jetzt noch mit Firewall, aber scheint mir etwas viel, ... was wäre sinniger? Muss ja auch verwaltet werden
Die Zeichnung werde ich überarbeiten.
Eine Segmentierung würde ich mit den 3 VLAN Netzen erreichen, oder nicht? Sind 3 Überhaupt sinnvoll - oder zuviel für die Netzgrösse? Dachte die Dienste nochmal zu separieren wäre sicherheitstechnisch ratsam, ...
Sicherheit wird natürlich auch immer wichtiger, vor allem auch weil ich die Nextcloud Online habe.
Bisher setze ich noch auf das NAT der FritzBox, was mir aber langsam zu unsicher wird. Habe gedacht ich sichere die Server (Dellbook und Raspi) jeweils mit einer SW Firewall ab.
Wie könnte ich denn das Netz schlauer machen, ohne mich in umkosten zu stürzen, oder den Stromverbrauch mit weiteren Endgeräten in die höhe zu treiben? Stichworte würden reichen, ich kann mich dann reinlesen ;)
Grüße BassT23
EDIT:
jetzt noch mit Firewall, aber scheint mir etwas viel, ... was wäre sinniger? Muss ja auch verwaltet werden
sry vorab für doppelpost.
Gehe jetzt gleich shoppen.
Was würde ich noch brauchen, um die Hardware parat zu haben? Aber die kosten bitte im Rahmen lassen. Habe hier "nur" ein Home Netz. Keine Automatisierungs Industrie
EDIT:
- was würde ich an Hardware brauchen, um ein Layer 3 zu erreichen?
- Kann ich auf VLAN Switch verzichten? Wenn nicht, Switch Layer 2 oder 3 kaufen?
Gehe jetzt gleich shoppen.
Was würde ich noch brauchen, um die Hardware parat zu haben? Aber die kosten bitte im Rahmen lassen. Habe hier "nur" ein Home Netz. Keine Automatisierungs Industrie
EDIT:
- was würde ich an Hardware brauchen, um ein Layer 3 zu erreichen?
- Kann ich auf VLAN Switch verzichten? Wenn nicht, Switch Layer 2 oder 3 kaufen?
Zumindestens die Haustechnik und Gastnetze solltest du immer separieren.
Tutorials zum Lesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Oder mit einem Layer 3 Switch
Verständnissproblem Routing mit SG300-28
Ein einfacher, preiswerter Mikrotik sollte bei dir reichen.
Tutorials zum Lesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Oder mit einem Layer 3 Switch
Verständnissproblem Routing mit SG300-28
Ein einfacher, preiswerter Mikrotik sollte bei dir reichen.
Gehe jetzt gleich shoppen.
Immer erst einmal eine Nacht drüber schlafen und/oder alles in Bertracht ziehen.- was würde ich an Hardware brauchen, um ein Layer 3 zu erreichen?
Einer muss die VLAN doch routen können, oder? Die AVM FB kann das nicht.- Kann ich auf VLAN Switch verzichten? Wenn nicht, Switch Layer 2 oder 3 kaufen?
Nimmst DU die AVM FB dann bitte mit einem L3 Switch, nimmst DU dafür keinenLayer3 Switch dann eventuell mit einem zweiten Router der VLAN kann!
Entscheide Dich. (Oder einen anderen Weg gehen)
Dobby
So, war jetzt beim Elektronik Dealer meines Vertrauens, der hatte aber nix auf lager, und wenn dann eh erst ab 80€, ...
Was genau muss der Mikrotik können? Habe bei Amazon sowas günstiges gefunden. Aber muss der WLan können?
Für mein Verständniss brauche ich einen VLAN fähigen switch. Wäre da sowas oder sowas auch eine Wahl?
Ich sag mal bis 50€ bin ich bereit mitzugehen, wenn es das System Verbessert ;)
Hast du mir vielleicht konkrete kauf vorschläge?
Vielen Dank
BassT23
EDIT:
Neue LAN Kabel musste ich eh kaufen ;)
EDIT2:
EDIT3:
So jetzt aber mal eine (vielleicht) blöde Frage: Meine DD-WRT können VLAN und haben einen 4-Port switch integriert. Da die Anzahl der Ports für mich ausreicht, kann ich da nicht auf zusätliche Switches verzichten? Wenn nein, wieso nicht?
Das Routing der VLANs findet doch auch erst nach den DD-WRT Routern statt. Diese übernehmen doch dann das Managen. Mit einer Tagged Trunk Link untereinander müsste das doch dann funktioniern, oder wo ist da mein denkfehler?
Kann sich mal jemand meinem Plan annehmen, und den soweit verändern, dass das ein sicheres und sinniges Netz ergibt? Bitte!
Vielen Dank
Grüße
BassT23
Was genau muss der Mikrotik können? Habe bei Amazon sowas günstiges gefunden. Aber muss der WLan können?
Für mein Verständniss brauche ich einen VLAN fähigen switch. Wäre da sowas oder sowas auch eine Wahl?
Ich sag mal bis 50€ bin ich bereit mitzugehen, wenn es das System Verbessert ;)
Hast du mir vielleicht konkrete kauf vorschläge?
Vielen Dank
BassT23
EDIT:
Neue LAN Kabel musste ich eh kaufen ;)
EDIT2:
Zitat von @108012:
Nimmst DU die AVM FB dann bitte mit einem L3 Switch, nimmst DU dafür keinen
Layer3 Switch dann eventuell mit einem zweiten Router der VLAN kann!
Die DD-WRT können doch VLAN Nimmst DU die AVM FB dann bitte mit einem L3 Switch, nimmst DU dafür keinen
Layer3 Switch dann eventuell mit einem zweiten Router der VLAN kann!
EDIT3:
So jetzt aber mal eine (vielleicht) blöde Frage: Meine DD-WRT können VLAN und haben einen 4-Port switch integriert. Da die Anzahl der Ports für mich ausreicht, kann ich da nicht auf zusätliche Switches verzichten? Wenn nein, wieso nicht?
Das Routing der VLANs findet doch auch erst nach den DD-WRT Routern statt. Diese übernehmen doch dann das Managen. Mit einer Tagged Trunk Link untereinander müsste das doch dann funktioniern, oder wo ist da mein denkfehler?
Kann sich mal jemand meinem Plan annehmen, und den soweit verändern, dass das ein sicheres und sinniges Netz ergibt? Bitte!
Vielen Dank
Grüße
BassT23
So, eine Nacht ist vergangen und ich habe mir auch weiter gedanken gemacht.
Von meinem Verständniss, was ich bisher gelernt habe;
Bei meiner FB würden nur noch die 2 DD-WRT Router mit Internet Versorgt werden (über den LAN1 am Archer-C8).
Die beiden (WRT54GL und Archer C8) - beides Router im Router Mode - übernehmen das Routing der jeweiligen VLANS. Beide mit eigenständigem DHCP.
Über die WAN Ports, welche als Trunk Link eingestellt werden, werden die Netze verbunden.
Somit habe ich doch dann ein Layer3 mit Segmentierung. Oder stimmt da was gedanklich nicht?
Zusätzliche Switche benötige ich erst, wenn noch ein Kabelgebundenes Gerät zusätzlich an den Archer muss. Da sind nämlich jetzt alle Ports belegt.
Jetzt müssten dann nur noch Firewalls eingerichtet werden, um die Sicherheit zu erhöhen und könnte dann auch mein SmartHome online zugänglich machen (bisher nur per VPN - FB) erreichbar.
Grüße
BassT23
Von meinem Verständniss, was ich bisher gelernt habe;
Bei meiner FB würden nur noch die 2 DD-WRT Router mit Internet Versorgt werden (über den LAN1 am Archer-C8).
Die beiden (WRT54GL und Archer C8) - beides Router im Router Mode - übernehmen das Routing der jeweiligen VLANS. Beide mit eigenständigem DHCP.
Über die WAN Ports, welche als Trunk Link eingestellt werden, werden die Netze verbunden.
Somit habe ich doch dann ein Layer3 mit Segmentierung. Oder stimmt da was gedanklich nicht?
Zusätzliche Switche benötige ich erst, wenn noch ein Kabelgebundenes Gerät zusätzlich an den Archer muss. Da sind nämlich jetzt alle Ports belegt.
Jetzt müssten dann nur noch Firewalls eingerichtet werden, um die Sicherheit zu erhöhen und könnte dann auch mein SmartHome online zugänglich machen (bisher nur per VPN - FB) erreichbar.
Grüße
BassT23
AVM FB am WAN macht Internet und dahinter ist ein weiterer Router von Nöten der dann die VLANs routet,
entweder einer Deiner jetzigen beiden Router (WRT & Archer) oder aber ein Layer3 Switch wie ein Cisco SG3
oder ein kleiner MikroTik.
Dobby
entweder einer Deiner jetzigen beiden Router (WRT & Archer) oder aber ein Layer3 Switch wie ein Cisco SG3
oder ein kleiner MikroTik.
Dobby
OK , habe mit den neuen Kabeln schonmal neu gepatched.
FB ist natürlich mit Wan verbunden, weil die das Modem hat und die Verbindung herstellt. An der FB ist jetzt nur noch der Archer Router verbunden (LAN1 -> LAN1). Der Archer Routet dann (Zukünftig) den VLAN Bereich 1 + 3.
Am Archer hängt dann der WRT (WAN -> WAN). Diese Verbindung soll der Trunked Link werden. WAN ist dem internen Switch zugeordnet und hat keine WAN Funktion damit mehr.
Der WRT ist auch als Router konfiguriert und soll dann das SmartHome VLAN (2) Routen.
So könnte das doch klappen, oder? Die Netze (VLANs) können auch untereinander kommunizieren?
Dann bin ich schonmal auf dem richtigen weg
Grüße
BassT23
FB ist natürlich mit Wan verbunden, weil die das Modem hat und die Verbindung herstellt. An der FB ist jetzt nur noch der Archer Router verbunden (LAN1 -> LAN1). Der Archer Routet dann (Zukünftig) den VLAN Bereich 1 + 3.
Am Archer hängt dann der WRT (WAN -> WAN). Diese Verbindung soll der Trunked Link werden. WAN ist dem internen Switch zugeordnet und hat keine WAN Funktion damit mehr.
Der WRT ist auch als Router konfiguriert und soll dann das SmartHome VLAN (2) Routen.
So könnte das doch klappen, oder? Die Netze (VLANs) können auch untereinander kommunizieren?
Dann bin ich schonmal auf dem richtigen weg
Grüße
BassT23
Das sieht schon besser aus...
1Zitat von @148523:
Das sieht schon besser aus...
Das sieht schon besser aus...
Vielen Dank für das Feedback! auch an @108012
Wie ich gerade nachgelesen habe kann ich wohl die IP Adressen nur innerhalb der 3 Zulässigen Klassen vergeben. Da bei mir Klasse C ausreicht, werde ich wohl da bleiben. Ist das soweit richtig? Oder könnte ich doch meinen Wunsch bereich 123.121.x.x nehmen?
Werde mir jetzt mal Gedanken machen wie ich das Netz SW Technisch umbaue, da dann erstmal alles lahm liegt
Hoffe das klappt alles *daumendrück*Zum Glück habe ich noch eine alte Fritte, mit der ich ein Ersatz Netz zum Teil Fahren kann.
Grüße
BassT23
Klassen gibt es schon seit 25 Jahren nicht mehr. Du lebst scheinbar in der Netzwerk Steinzeit als Neandertaler... 😉
https://de.m.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Wird langsam Zeit das du mal in der Neuzeit ankommst!!
Deine „Wunschbereiche“ sind ebenso ein NoGo, denn das sind weltweit zugeteilte IP Netze die dir nicht gehören.
Halte dich also an den allseits bekannten RFC 1918!!
https://de.m.wikipedia.org/wiki/Private_IP-Adresse
Noch viel lernen du noch musst...
https://de.m.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Wird langsam Zeit das du mal in der Neuzeit ankommst!!
Deine „Wunschbereiche“ sind ebenso ein NoGo, denn das sind weltweit zugeteilte IP Netze die dir nicht gehören.
Halte dich also an den allseits bekannten RFC 1918!!
https://de.m.wikipedia.org/wiki/Private_IP-Adresse
Noch viel lernen du noch musst...
1 man lernt nie ausGanz vergessen hier mal ein Update zu posten ;)
Die Router habe ich mittlerweile durch 2 Netgear Router ersetzt. Des weiteren habe ich 2 Managed Switches dazu gepackt, da die Ports nicht mehr ausreichend waren und ein Teil der Hardware (NAS und PC) auf den Balkon Verlagert sind.
Hier das aktuelle Setup
