Trennung von Netzwerkbereichen via V-Lan
Hallo,
in einem Mehrfamilienhaus soll die Internetverbindung gemeinsam genutzt werden.
Allerdings sollen die Netzwerkbereiche der einzelnen Familien voneinander getrennt sein.
Da keine Leerrohre existieren, soll auf die vorhandene und etwas dürftig gestaltete Kabel-Infrastruktur zurückgegriffen werden.
Mein erster Gedanke war die Anschaffung eines Managed Switches. Die Verkabel / Schaltung müsste dann vermutlich wie folgt aussehen:
Ist dies mit einem Managed Switch möglich?
in einem Mehrfamilienhaus soll die Internetverbindung gemeinsam genutzt werden.
Allerdings sollen die Netzwerkbereiche der einzelnen Familien voneinander getrennt sein.
Da keine Leerrohre existieren, soll auf die vorhandene und etwas dürftig gestaltete Kabel-Infrastruktur zurückgegriffen werden.
Mein erster Gedanke war die Anschaffung eines Managed Switches. Die Verkabel / Schaltung müsste dann vermutlich wie folgt aussehen:
Ist dies mit einem Managed Switch möglich?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 318556
Url: https://administrator.de/forum/trennung-von-netzwerkbereichen-via-v-lan-318556.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
19 Kommentare
Neuester Kommentar
Hallo,
Reine APs haben kein DHCP
Reine APs haben keine Firewall
Ein AP hat eine Bridge (Brücke) zwischen seinem LAN Anschluß und sein WLAN Modul
Kann ein AP VLAN dann kommt noch dessen VLAN Trennung per SSID hinzu. Jede SSID wird dann auf das entsprechende VLAN gebridged.
Ein AP hat nur eine IP zur Verwaltung - zu mehr dient die nicht.
Da ein AP kein DHCP kann wird an dessen LAN Port somit niemals ein DHCP IP rausgegeben für daran angeschlossene Geräte (dann funktioniert der AP nicht mehr ordentlich - Noix Radio hören.
Warum 2 APs für die gleichen Endgeräte? Der WLAN Ausleuchtungsbereich so gross (Fußballfelder?)?
Deine Fritte kann ebenfalls kein VLAN
Dein Managed Switch muss dann mindestens Port Basierendes VLAN können oder du nutzt rein das Gastnetz auf LAN 4 der Fritte als 2tes Netz.
Besser aber ein L3 Switch...
Deine APs sind reine APs, Ethernet und WLAN und Router (in ein Gehäuse) oder DSL und WLAN und Router(in ein Gehäuse)?
Gruß,
Peter
Zitat von @Uwoerl:
Mein erster Gedanke war die Anschaffung eines Managed Switches. Die Verkabel / Schaltung müsste dann vermutlich wie folgt aussehen:
Die Pfeile unterhalb vom Switch köschen. Jeder Port kann mit jeden PortMein erster Gedanke war die Anschaffung eines Managed Switches. Die Verkabel / Schaltung müsste dann vermutlich wie folgt aussehen:
Reine APs haben kein DHCP
Reine APs haben keine Firewall
Ein AP hat eine Bridge (Brücke) zwischen seinem LAN Anschluß und sein WLAN Modul
Kann ein AP VLAN dann kommt noch dessen VLAN Trennung per SSID hinzu. Jede SSID wird dann auf das entsprechende VLAN gebridged.
Ein AP hat nur eine IP zur Verwaltung - zu mehr dient die nicht.
Da ein AP kein DHCP kann wird an dessen LAN Port somit niemals ein DHCP IP rausgegeben für daran angeschlossene Geräte (dann funktioniert der AP nicht mehr ordentlich - Noix Radio hören.
Warum 2 APs für die gleichen Endgeräte? Der WLAN Ausleuchtungsbereich so gross (Fußballfelder?)?
Deine Fritte kann ebenfalls kein VLAN
Dein Managed Switch muss dann mindestens Port Basierendes VLAN können oder du nutzt rein das Gastnetz auf LAN 4 der Fritte als 2tes Netz.
Besser aber ein L3 Switch...
Deine APs sind reine APs, Ethernet und WLAN und Router (in ein Gehäuse) oder DSL und WLAN und Router(in ein Gehäuse)?
Gruß,
Peter
Hallo,
mit VLANs kannst Du Netzwerke separieren, so dass sie nicht aufeinander zugreifen können. Stell Dir einfach jedes VLAN als separaten Switch vor, an dem nur die Geräte angeschlossen sind, die untereinander direkt kommunizieren.
Wenn Du nun alles getrennt hast und die eigenständigen Subnetze nun wieder eine gemeinsame Ressource (Internetzugang, Fritzbox) nutzen sollen, mußt Du die getrennten Subnetze/VLANs wieder zusammen führen. Um über Subnetz-Grenzen hinweg zu kommunizieren braucht man einen Router.
Da meines Wissens die FritzBox keine VLANs unterstützt, brauchst Du keinen VLAN-fähigen, managebaren L2-Switch sondern einen routingfähigen Layer3-Switch (der natürlich VLANs unterstützt und managebar ist). In Deinem Fall würde auch ein Layer2+ -Switch reichen, der nur seine eigenen VLANs routen kann.
Ein einfacher VLAN-fähiger L2-Switch bringt Dich in Deinem Szenario nicht zum Ziel.
Jürgen
mit VLANs kannst Du Netzwerke separieren, so dass sie nicht aufeinander zugreifen können. Stell Dir einfach jedes VLAN als separaten Switch vor, an dem nur die Geräte angeschlossen sind, die untereinander direkt kommunizieren.
Wenn Du nun alles getrennt hast und die eigenständigen Subnetze nun wieder eine gemeinsame Ressource (Internetzugang, Fritzbox) nutzen sollen, mußt Du die getrennten Subnetze/VLANs wieder zusammen führen. Um über Subnetz-Grenzen hinweg zu kommunizieren braucht man einen Router.
Da meines Wissens die FritzBox keine VLANs unterstützt, brauchst Du keinen VLAN-fähigen, managebaren L2-Switch sondern einen routingfähigen Layer3-Switch (der natürlich VLANs unterstützt und managebar ist). In Deinem Fall würde auch ein Layer2+ -Switch reichen, der nur seine eigenen VLANs routen kann.
Ein einfacher VLAN-fähiger L2-Switch bringt Dich in Deinem Szenario nicht zum Ziel.
Jürgen
Hallo,
die Firewall in einer FritzBox filtert doch zwischen WAN- und LAN-Ports. Da Du ja sicher die FritzBox-APs mit einem LAN-Port an den Switch anschließt, hat die Firewall in der FritzBox keinen Einfluß auf den Datenverkehr.
Und noch einmal: Wenn Geräte aus dem Subnetz 192.168.1.xxx über die FritzBox im Subnetz 192.168.0.xxx ins Internet wollen, muß zwischen den 2 Subnetzen geroutet werden! Dazu muß bei Deiner Netzwerkstruktur laut Zeichnung der Switch Layer3-fähig sein.
Das gleiche gilt natürlich auch für die Geräte im Subnetz 192.168.2.xxx.
Natürlich kannst Du jeweils eine FritzBox in jedem Subnetz/VLAN zum DHCP-Server im jeweiligen Adressbereich machen.
Jürgen
die Firewall in einer FritzBox filtert doch zwischen WAN- und LAN-Ports. Da Du ja sicher die FritzBox-APs mit einem LAN-Port an den Switch anschließt, hat die Firewall in der FritzBox keinen Einfluß auf den Datenverkehr.
Und noch einmal: Wenn Geräte aus dem Subnetz 192.168.1.xxx über die FritzBox im Subnetz 192.168.0.xxx ins Internet wollen, muß zwischen den 2 Subnetzen geroutet werden! Dazu muß bei Deiner Netzwerkstruktur laut Zeichnung der Switch Layer3-fähig sein.
Das gleiche gilt natürlich auch für die Geräte im Subnetz 192.168.2.xxx.
Natürlich kannst Du jeweils eine FritzBox in jedem Subnetz/VLAN zum DHCP-Server im jeweiligen Adressbereich machen.
Jürgen
Ein einfacher VLAN-fähiger L2-Switch bringt Dich in Deinem Szenario nicht zum Ziel.
Das kommt darauf an...Es würde schon gehen wenn eine Firewall oder ein Router dazukommt der VLAN fähig ist, sprich auf tagged Uplinks routen kann.
Diese Szenarios sind hier alle beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der Router kann keine FB sein die kann das nicht aber sie kann an die Firewall kaskadiert sein.
Damit wäre es technisch problemlos möglich das umzusetzen. Ob es sinning ist mit externer FW ist eine andere Frage.
Es kann wenn man es besonders sicher machen will.
Die zusätzliche Firewall wäre aber überflüssig wenn man gleich einem VLAN fähigen L3 Switch nimmt.
Damit separiert man alle Wohnungen in einzelne VLANs wie der TO es ja auch richtigerweise plant.
Setzt ein gemeinsames VLAN zur Anbindung der FritzBox auf und schliesst die dort an.
Schottet die Wohnungs VLANs mit entsprechenden Accesslisten untereinander wasserdicht ab.
Et voila hat man eine allumfassende und einfache Lösung um das schnell und effizient umzusetzen.
Dieser kürzliche Thread hat übrigens ein- und dasselbe Thema:
Routing Gebäudevisu und Videosprech im Mehrfamilienhaus
Einfach mal die Suchfunktion nutzen...
Hallo @aqui,
meine Aussage bezog sich auf die Netzwerkstruktur aus der Zeichnung des TO. Wo und womit man routet ist egal, hauptsache "irgendwo" wird geroutet.
Jürgen
meine Aussage bezog sich auf die Netzwerkstruktur aus der Zeichnung des TO. Wo und womit man routet ist egal, hauptsache "irgendwo" wird geroutet.
Jürgen
Hallo,
theoretisch geht alles. Die Frage ist, welcher Aufwand und welche Kosten entstehen.
Für jedes Problem gibt es eine einfache, bewährte und kosteneffiziente Lösung. Die sieht bei Dir so aus, dass Du für Familie A und B jeweils ein VLAN/Subnetz definierst, einen VLAN-fähigen Switch einsetzt und als Internet-Router einen VLAN-fähigen Router bzw einen Router mit mind. 2 routing-fähigen LAN-Ports neben dem WAN-Port (Stichwort MikroTik http://www.mikrotik.com/ ) nutzt. Oder eben einen L3-Switch und Deine FritzBox.
Alles andere ist Krampf.
Jürgen
theoretisch geht alles. Die Frage ist, welcher Aufwand und welche Kosten entstehen.
Für jedes Problem gibt es eine einfache, bewährte und kosteneffiziente Lösung. Die sieht bei Dir so aus, dass Du für Familie A und B jeweils ein VLAN/Subnetz definierst, einen VLAN-fähigen Switch einsetzt und als Internet-Router einen VLAN-fähigen Router bzw einen Router mit mind. 2 routing-fähigen LAN-Ports neben dem WAN-Port (Stichwort MikroTik http://www.mikrotik.com/ ) nutzt. Oder eben einen L3-Switch und Deine FritzBox.
Alles andere ist Krampf.
Jürgen
Ja, das ist möglich, denn wie oben schon mehrfach gesagt ist ein VLAN ein völlig, in sich abgeschottetes Netz.
Trennst du also die Familiennetze so in VLANs ist es unmöglich das sie miteinander kommunizieren können.
Durch die absolut gleiche IP Adressierung in den VLANs ist aber damit auch gleichzeitig eine Kopplung oder Teilweise Kopplung z.B. wenn Oma Grete mal auf das Fotoverzeichnis von Sohnimans NAS sehen will um die Enkel zu bewundern, vollkommen ausgeschlossen.
Eine gemeinsame Internet Nutzung wäre so möglich würde aber bedeuten das zusätzlich jede Familie einen eigenen Breitbandrouter mit NAT betreiben müsste.
Der technische und Geräte Aufwand wäre durch das gleiche IP Design also ungleich höher.
Kollege chiefteddy hat ja schon alles zu dem Thema gesagt.
So sähe sowas aus:
Trennst du also die Familiennetze so in VLANs ist es unmöglich das sie miteinander kommunizieren können.
Durch die absolut gleiche IP Adressierung in den VLANs ist aber damit auch gleichzeitig eine Kopplung oder Teilweise Kopplung z.B. wenn Oma Grete mal auf das Fotoverzeichnis von Sohnimans NAS sehen will um die Enkel zu bewundern, vollkommen ausgeschlossen.
Eine gemeinsame Internet Nutzung wäre so möglich würde aber bedeuten das zusätzlich jede Familie einen eigenen Breitbandrouter mit NAT betreiben müsste.
Der technische und Geräte Aufwand wäre durch das gleiche IP Design also ungleich höher.
Kollege chiefteddy hat ja schon alles zu dem Thema gesagt.
So sähe sowas aus:
Hallo,
Gruß,
Peter
Zitat von @Uwoerl:
Gibt es empfehlenswerte "günstige" Geräte für den Privatanwender? Nach Möglichkeit mit Gigabit Geschwindigkeit.
Wurden hier chon genannt. Mikrotik, PFSense, RaspBerry, CISCO SMB z.B. SG...., Netgear, D-Link usw. Der Markt ist voll davon. Nur musst du zuerst entscheiden was du willst. L3 Switch oder Router... Was fürn Auto soll es sein? Mittelgroß, Verbrauch nicht über 2 Liter/100 km, 5,6 Liter Hubraum, 300 PS, Anhängerkupplung, Klimaanlage, SoundSystem, Lederausstattung, Navi, aber nicht mehr als 3.000,00 EURO. Wie immer halt....Gibt es empfehlenswerte "günstige" Geräte für den Privatanwender? Nach Möglichkeit mit Gigabit Geschwindigkeit.
Gruß,
Peter
Hallo,
Auch FIAT hat seine Technischen Datenblätter mittlerweile im Internet stehen. Geh zu deinen bevorzugten /favorisierten Herstellern und schau mal in deren Technischen Daten was dir denn so anschaffungswürdig wäre, dann geh und such dir die Typischen Preise raus z.B. http://www.hardwareschotte.de/ und erstell dir eine Liste mit deinen evtl. ins auge gefassten Geräte - daneben dann die Preis und dann entscheide dich. Ich würde bei CISCO anfangen und auch bleiben. Deren SMB sind auch für deine Bedürfnisse geeignet SG Reihe für GigaBit - und L3 wäre SG 300-.... Ansonsten http://www.hardwareschotte.de/hardware/preise/catid_1200208/preis_Gigab ... oder https://www.heise.de/preisvergleich/cisco-300-series-sg300-10-srw2008-k9 ...
Gruß,
Peter
Auch FIAT hat seine Technischen Datenblätter mittlerweile im Internet stehen. Geh zu deinen bevorzugten /favorisierten Herstellern und schau mal in deren Technischen Daten was dir denn so anschaffungswürdig wäre, dann geh und such dir die Typischen Preise raus z.B. http://www.hardwareschotte.de/ und erstell dir eine Liste mit deinen evtl. ins auge gefassten Geräte - daneben dann die Preis und dann entscheide dich. Ich würde bei CISCO anfangen und auch bleiben. Deren SMB sind auch für deine Bedürfnisse geeignet SG Reihe für GigaBit - und L3 wäre SG 300-.... Ansonsten http://www.hardwareschotte.de/hardware/preise/catid_1200208/preis_Gigab ... oder https://www.heise.de/preisvergleich/cisco-300-series-sg300-10-srw2008-k9 ...
Gruß,
Peter
Hallo,
für Deine Zwecke würde auch ein L2+-Switch reichen. L2+ heißt in diesem Fall, dass der Switch nur seine eigenen VLANs routen kann und keine vollwertige Unterstützung für die Routing-Protokolle RIP, OSPF usw. bietet. Also nur statisches Routing.
Bei Deiner überschaubaren Netzwerkstruktur dürfte das reichen. L2+-Switche sind deutlich preiswerter als vollwertige L3-Switche.
Jürgen
für Deine Zwecke würde auch ein L2+-Switch reichen. L2+ heißt in diesem Fall, dass der Switch nur seine eigenen VLANs routen kann und keine vollwertige Unterstützung für die Routing-Protokolle RIP, OSPF usw. bietet. Also nur statisches Routing.
Bei Deiner überschaubaren Netzwerkstruktur dürfte das reichen. L2+-Switche sind deutlich preiswerter als vollwertige L3-Switche.
Jürgen
VLAN Tagging auf dem embeddeten OpenWRT 841N Switch kann man dich nur vor warnen.
Theoretisch alles richtig aber es scheitert an der Praxis weil das VLAN Verhalten da irgendwie nicht standardkonform ist. Sehr einfache Sachen gehen andere nicht.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern und folgende Threads...
Wenn du keine grauen Haare bekommen willst solltest du besser bei größeren Switches die Finger von NG lassen.
Ansonsten ist das Konzept soweit OK.
Theoretisch alles richtig aber es scheitert an der Praxis weil das VLAN Verhalten da irgendwie nicht standardkonform ist. Sehr einfache Sachen gehen andere nicht.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern und folgende Threads...
Wenn du keine grauen Haare bekommen willst solltest du besser bei größeren Switches die Finger von NG lassen.
Ansonsten ist das Konzept soweit OK.