uwoerl
Goto Top

Trennung von Netzwerkbereichen via V-Lan

Hallo,
in einem Mehrfamilienhaus soll die Internetverbindung gemeinsam genutzt werden.

Allerdings sollen die Netzwerkbereiche der einzelnen Familien voneinander getrennt sein.


Da keine Leerrohre existieren, soll auf die vorhandene und etwas dürftig gestaltete Kabel-Infrastruktur zurückgegriffen werden.


Mein erster Gedanke war die Anschaffung eines Managed Switches. Die Verkabel / Schaltung müsste dann vermutlich wie folgt aussehen:


netzwerk

Ist dies mit einem Managed Switch möglich?

Content-ID: 318556

Url: https://administrator.de/forum/trennung-von-netzwerkbereichen-via-v-lan-318556.html

Ausgedruckt am: 24.01.2025 um 19:01 Uhr

Pjordorf
Pjordorf 20.10.2016 um 17:11:01 Uhr
Goto Top
Hallo,

Zitat von @Uwoerl:
Mein erster Gedanke war die Anschaffung eines Managed Switches. Die Verkabel / Schaltung müsste dann vermutlich wie folgt aussehen:
Die Pfeile unterhalb vom Switch köschen. Jeder Port kann mit jeden Port
Reine APs haben kein DHCP
Reine APs haben keine Firewall
Ein AP hat eine Bridge (Brücke) zwischen seinem LAN Anschluß und sein WLAN Modul
Kann ein AP VLAN dann kommt noch dessen VLAN Trennung per SSID hinzu. Jede SSID wird dann auf das entsprechende VLAN gebridged.
Ein AP hat nur eine IP zur Verwaltung - zu mehr dient die nicht.
Da ein AP kein DHCP kann wird an dessen LAN Port somit niemals ein DHCP IP rausgegeben für daran angeschlossene Geräte (dann funktioniert der AP nicht mehr ordentlich - Noix Radio hören.
Warum 2 APs für die gleichen Endgeräte? Der WLAN Ausleuchtungsbereich so gross (Fußballfelder?)?
Deine Fritte kann ebenfalls kein VLAN
Dein Managed Switch muss dann mindestens Port Basierendes VLAN können oder du nutzt rein das Gastnetz auf LAN 4 der Fritte als 2tes Netz.
Besser aber ein L3 Switch...

Deine APs sind reine APs, Ethernet und WLAN und Router (in ein Gehäuse) oder DSL und WLAN und Router(in ein Gehäuse)?

Gruß,
Peter
chiefteddy
Lösung chiefteddy 20.10.2016 um 17:17:13 Uhr
Goto Top
Hallo,

mit VLANs kannst Du Netzwerke separieren, so dass sie nicht aufeinander zugreifen können. Stell Dir einfach jedes VLAN als separaten Switch vor, an dem nur die Geräte angeschlossen sind, die untereinander direkt kommunizieren.

Wenn Du nun alles getrennt hast und die eigenständigen Subnetze nun wieder eine gemeinsame Ressource (Internetzugang, Fritzbox) nutzen sollen, mußt Du die getrennten Subnetze/VLANs wieder zusammen führen. Um über Subnetz-Grenzen hinweg zu kommunizieren braucht man einen Router.

Da meines Wissens die FritzBox keine VLANs unterstützt, brauchst Du keinen VLAN-fähigen, managebaren L2-Switch sondern einen routingfähigen Layer3-Switch (der natürlich VLANs unterstützt und managebar ist). In Deinem Fall würde auch ein Layer2+ -Switch reichen, der nur seine eigenen VLANs routen kann.

Ein einfacher VLAN-fähiger L2-Switch bringt Dich in Deinem Szenario nicht zum Ziel.


Jürgen
Uwoerl
Uwoerl 20.10.2016 aktualisiert um 17:40:32 Uhr
Goto Top
Hallo,
vielen Dank für deine Antwort.


  • Warum 2 APs für die gleichen Endgeräte? Der WLAN Ausleuchtungsbereich so gross (Fußballfelder?)?

Die zwei AP's werden auf verschiedenen Etagen eingesetzt. So verbinden sich die Geräte (z.B. Smartphones) immer automatisch zum stärkeren AP und haben überall guten W-Lan Empfang. Die Decken im Haus schirmen sehr gut ab.


  • Deine APs sind reine APs, Ethernet und WLAN und Router (in ein Gehäuse) oder DSL und WLAN und Router(in ein Gehäuse)?

AP 1 = Fritzbox 7362
AP 2 = Fritzbox 7312
AP 3 = Fritz Repeater 300E (im Bridge Modus)

Alternativ steht auch noch ein TP-Link WR841ND im Inventar.


  • Dein Managed Switch muss dann mindestens Port Basierendes VLAN können oder du nutzt rein das Gastnetz auf LAN 4 der Fritte als 2tes Netz.

An die Lösung mit dem Gastnetz auf Lan 4 habe ich auch schon gedacht, halte dies aber für eine der weniger "sauberen" Lösungen.
chiefteddy
Lösung chiefteddy 20.10.2016 um 17:52:32 Uhr
Goto Top
Hallo,

die Firewall in einer FritzBox filtert doch zwischen WAN- und LAN-Ports. Da Du ja sicher die FritzBox-APs mit einem LAN-Port an den Switch anschließt, hat die Firewall in der FritzBox keinen Einfluß auf den Datenverkehr.

Und noch einmal: Wenn Geräte aus dem Subnetz 192.168.1.xxx über die FritzBox im Subnetz 192.168.0.xxx ins Internet wollen, muß zwischen den 2 Subnetzen geroutet werden! Dazu muß bei Deiner Netzwerkstruktur laut Zeichnung der Switch Layer3-fähig sein.

Das gleiche gilt natürlich auch für die Geräte im Subnetz 192.168.2.xxx.

Natürlich kannst Du jeweils eine FritzBox in jedem Subnetz/VLAN zum DHCP-Server im jeweiligen Adressbereich machen.


Jürgen
aqui
Lösung aqui 20.10.2016 aktualisiert um 19:00:52 Uhr
Goto Top
Ein einfacher VLAN-fähiger L2-Switch bringt Dich in Deinem Szenario nicht zum Ziel.
Das kommt darauf an...
Es würde schon gehen wenn eine Firewall oder ein Router dazukommt der VLAN fähig ist, sprich auf tagged Uplinks routen kann.
Diese Szenarios sind hier alle beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der Router kann keine FB sein die kann das nicht aber sie kann an die Firewall kaskadiert sein.
Damit wäre es technisch problemlos möglich das umzusetzen. Ob es sinning ist mit externer FW ist eine andere Frage.
Es kann wenn man es besonders sicher machen will.

Die zusätzliche Firewall wäre aber überflüssig wenn man gleich einem VLAN fähigen L3 Switch nimmt.
Damit separiert man alle Wohnungen in einzelne VLANs wie der TO es ja auch richtigerweise plant.
Setzt ein gemeinsames VLAN zur Anbindung der FritzBox auf und schliesst die dort an.
Schottet die Wohnungs VLANs mit entsprechenden Accesslisten untereinander wasserdicht ab.
Et voila hat man eine allumfassende und einfache Lösung um das schnell und effizient umzusetzen.

Dieser kürzliche Thread hat übrigens ein- und dasselbe Thema:
Routing Gebäudevisu und Videosprech im Mehrfamilienhaus
Einfach mal die Suchfunktion nutzen... face-wink
chiefteddy
chiefteddy 20.10.2016 um 21:54:44 Uhr
Goto Top
Hallo @aqui,

meine Aussage bezog sich auf die Netzwerkstruktur aus der Zeichnung des TO. Wo und womit man routet ist egal, hauptsache "irgendwo" wird geroutet.

Jürgen
aqui
aqui 20.10.2016 um 22:13:08 Uhr
Goto Top
Hi Jürgen !
Hatte ich auch so verstanden. War nur um dem TO etwas den Mechanismus dahinter transparent zu machen face-wink
Uwoerl
Uwoerl 21.10.2016 aktualisiert um 15:05:13 Uhr
Goto Top
Vielen dank für all die hilfreichen Antworten bisher! Ihr seid wirklich eine große Hilfe!

Eine weitere Frage beschäftigt mich derzeit noch:

Angenommen, sämtliche Endgeräte werden im gleichen IP-Bereich (192.168.0.XXX) angesiedelt, der von der Fritzbox (Modem + Router) verwaltet wird. Ist es in diesem Fall dann möglich die einzelnen "Netze" der Familien durch einen einfachen Smart-Switch (Layer 2?) wie z.B. dem TP-Link TL-SG108E voneinander zu trennen, sodass Familie A nicht auf das NAS von Familie B zugreifen kann?

Hier noch einmal eine Skizze:
netzwerk
chiefteddy
Lösung chiefteddy 21.10.2016 um 18:08:55 Uhr
Goto Top
Hallo,

theoretisch geht alles. Die Frage ist, welcher Aufwand und welche Kosten entstehen.

Für jedes Problem gibt es eine einfache, bewährte und kosteneffiziente Lösung. Die sieht bei Dir so aus, dass Du für Familie A und B jeweils ein VLAN/Subnetz definierst, einen VLAN-fähigen Switch einsetzt und als Internet-Router einen VLAN-fähigen Router bzw einen Router mit mind. 2 routing-fähigen LAN-Ports neben dem WAN-Port (Stichwort MikroTik http://www.mikrotik.com/ ) nutzt. Oder eben einen L3-Switch und Deine FritzBox.

Alles andere ist Krampf.


Jürgen
aqui
Lösung aqui 21.10.2016 um 21:08:59 Uhr
Goto Top
Ja, das ist möglich, denn wie oben schon mehrfach gesagt ist ein VLAN ein völlig, in sich abgeschottetes Netz.
Trennst du also die Familiennetze so in VLANs ist es unmöglich das sie miteinander kommunizieren können.

Durch die absolut gleiche IP Adressierung in den VLANs ist aber damit auch gleichzeitig eine Kopplung oder Teilweise Kopplung z.B. wenn Oma Grete mal auf das Fotoverzeichnis von Sohnimans NAS sehen will um die Enkel zu bewundern, vollkommen ausgeschlossen.
Eine gemeinsame Internet Nutzung wäre so möglich würde aber bedeuten das zusätzlich jede Familie einen eigenen Breitbandrouter mit NAT betreiben müsste.
Der technische und Geräte Aufwand wäre durch das gleiche IP Design also ungleich höher.
Kollege chiefteddy hat ja schon alles zu dem Thema gesagt.
So sähe sowas aus:

gastvlan
Uwoerl
Uwoerl 24.10.2016 um 04:10:12 Uhr
Goto Top
Vielen, vielen Dank!

Abschließend noch eine letzte Frage: Gibt es empfehlenswerte "günstige" Geräte für den Privatanwender? Nach Möglichkeit mit Gigabit Geschwindigkeit.
Pjordorf
Pjordorf 24.10.2016 um 10:21:44 Uhr
Goto Top
Hallo,

Zitat von @Uwoerl:
Gibt es empfehlenswerte "günstige" Geräte für den Privatanwender? Nach Möglichkeit mit Gigabit Geschwindigkeit.
Wurden hier chon genannt. Mikrotik, PFSense, RaspBerry, CISCO SMB z.B. SG...., Netgear, D-Link usw. Der Markt ist voll davon. Nur musst du zuerst entscheiden was du willst. L3 Switch oder Router... Was fürn Auto soll es sein? Mittelgroß, Verbrauch nicht über 2 Liter/100 km, 5,6 Liter Hubraum, 300 PS, Anhängerkupplung, Klimaanlage, SoundSystem, Lederausstattung, Navi, aber nicht mehr als 3.000,00 EURO. Wie immer halt....

Gruß,
Peter
Uwoerl
Uwoerl 24.10.2016 aktualisiert um 17:43:04 Uhr
Goto Top
Also, es sollte eher ein Fiat und kein Porsche werden.

Hier noch ein paar Informationen:
Das Patchpanel umfasst derzeit lediglich 8 Ports, da ein großer Teil der Geräte mangels Leerrohre momentan schnurlos angebunden ist. Zurzeit wird das Netzwerk im wesentlichen fürs Internet und zum Drucken benutzt. In naher Zukunft werden vermutlich noch die vorhandenen Telefone per DECT mit den vorhandenen Fritzboxen verbunden, um eine alte Telefonanlage loszuwerden. Weitere Kabel werden vermutlich erst in etwa 3 Jahren verlegt.

Am wichtigsten ist mir aktuell die Trennung der einzelnen Familien-Netzwerke. Sodass A nicht auf den Drucker oder die Dateien von B zugreifen, aber beide auf das Internet zugreifen können.

Ich würde einen Layer 3 Switch mit Gigabit-Geschwindigkeit vorziehen. Es sollte fürs erste ausreichen sein, wenn dieser auch nur etwa 8 Ports hat. QoS wird benötigt. Bandbreitenkontrolle (Minimum + Maximum) wäre nett, aber nicht zwingend erforderlich. POE wird nicht benötigt. Möglichkeit der Wandmontage wäre super ;).

Ich hoffe das hilft weiter, da ich die Materie noch nicht komplett durchdrungen habe. Ich freue mich über Modellempfehlungen.
Pjordorf
Lösung Pjordorf 24.10.2016 aktualisiert um 22:27:52 Uhr
Goto Top
Hallo,

Zitat von @Uwoerl:
Also, es sollte eher ein Fiat und kein Porsche werden.
Auch FIAT hat seine Technischen Datenblätter mittlerweile im Internet stehen. Geh zu deinen bevorzugten /favorisierten Herstellern und schau mal in deren Technischen Daten was dir denn so anschaffungswürdig wäre, dann geh und such dir die Typischen Preise raus z.B. http://www.hardwareschotte.de/ und erstell dir eine Liste mit deinen evtl. ins auge gefassten Geräte - daneben dann die Preis und dann entscheide dich. Ich würde bei CISCO anfangen und auch bleiben. Deren SMB sind auch für deine Bedürfnisse geeignet SG Reihe für GigaBit - und L3 wäre SG 300-.... Ansonsten http://www.hardwareschotte.de/hardware/preise/catid_1200208/preis_Gigab ... oder https://www.heise.de/preisvergleich/cisco-300-series-sg300-10-srw2008-k9 ...

Gruß,
Peter
chiefteddy
chiefteddy 24.10.2016 um 21:47:06 Uhr
Goto Top
Hallo,

für Deine Zwecke würde auch ein L2+-Switch reichen. L2+ heißt in diesem Fall, dass der Switch nur seine eigenen VLANs routen kann und keine vollwertige Unterstützung für die Routing-Protokolle RIP, OSPF usw. bietet. Also nur statisches Routing.

Bei Deiner überschaubaren Netzwerkstruktur dürfte das reichen. L2+-Switche sind deutlich preiswerter als vollwertige L3-Switche.

Jürgen
aqui
aqui 25.10.2016 um 11:23:16 Uhr
Goto Top
Und die gibts nicht nur auf Fiat, sondern auch auf Dacia Logan Niveau mit dem NetGear GS105E face-wink
Uwoerl
Uwoerl 27.10.2016 aktualisiert um 17:58:19 Uhr
Goto Top
Ich habe in den letzten Tagen testweise an einem unbenutzten TP-Link WR841ND mit Openwrt etwas "herumgespielt" und für jeden Switch-Port ein Vlan mit eigenem IP-Bereich definiert:

Port 1: Fritzbox (WAN)
Port 2: Familie 1 (192.168.10.XXX)
Port 3: Familie 2 (192.168.20.XXX)
Port 4: Familie 3 (192.168.30.XXX)
Port 5: Reserve

Zwecks Gigabit Lan würde ich einen MikroTik hEX RB750Gr2 anschaffen und das TP-Link Gerät damit ersetzen.

Das Ganze würde dann so aussehen (vollständig, sogar inkl. TAE Dose face-smile ):

v1
(Anmerkung: Das Kabel von Familie 3 geht natürlich erst zum Patchfeld und dann zum Mikrotik. Auf diese Art und Weise sieht es aber meiner Meinung nach übersichtlicher aus face-smile. )

Die Gesamtkosten würden somit bei ca. 60€ liegen.
Was haltet ihr davon?


Wenn in Zukunft ein paar weitere Kabel verlegt werden sollten, würde ich dann einen größeren Managed-Switch (z.B. NETGEAR GS116E-200PES für ca. 100€ oder einen Cisco SG 200-18 ca. 210€) anschaffen und mit dem Mikrotik verbinden.
Wenn das dann nicht mehr reicht, führt kein Weg an einem Leistungsstarken L3 Gerät mit vielen Ports von Cisco vorbei. Bis dahin wird dann aber auch ein großer Teil des Hauses im grund-rennoviert worden und einige Jahre dahin gegangen sein.
Machen meine Gedanken technisch und wirtschaftlich Sinn?
aqui
Lösung aqui 28.10.2016 aktualisiert um 13:37:33 Uhr
Goto Top
VLAN Tagging auf dem embeddeten OpenWRT 841N Switch kann man dich nur vor warnen.
Theoretisch alles richtig aber es scheitert an der Praxis weil das VLAN Verhalten da irgendwie nicht standardkonform ist. Sehr einfache Sachen gehen andere nicht.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern und folgende Threads...
Wenn du keine grauen Haare bekommen willst solltest du besser bei größeren Switches die Finger von NG lassen.
Ansonsten ist das Konzept soweit OK.
Uwoerl
Uwoerl 28.10.2016 um 13:35:36 Uhr
Goto Top
OK. Dann gebe ich gleich die Bestellung des Mikrotik auf. Vielen, vielen Dank!!