VLANs über zwei Standorte Fritzbox Cisco
Hallo zusamen,
kurz zu meinem Projekt:
Ich muss an einen zweiten Standort drei bis vier VLANs verteilen (eins für IP-Telefonie, eins fürs WLAN, sowie eins für eine Telefonanlage, eins für ein Gastnetz soll noch folgen)
Aktuell läuft alles an einem Standort. Als Router ist eine Fritzbox 5690 in Betrieb. Dahinter stehen mehrere Fileserver, IP-Cams sowie eine AD und eine WLAN-Umgebung mit Cisco WLC und APs.
Die VLANs bestehen am ersten Standort schon (Cisco), jedoch wäre ich über ein paar Lösungsansätze dankbar, wie ich diese am zweiten Standort verteilt bekomme idealerweise ohne große Geschwindigkeitseinschränkungen.
Meines Wissens nach kann die Fritzbox keine VLANs.
Am zweiten Standort steht bereits ebenfalls eine Fritzbox 7690, die ist verbunden mit VPN zur ersten.
Beide Anschlüsse leufen über Telekom LWL (1000/500 MBit)
Danke und viele Grüße
Marcel
kurz zu meinem Projekt:
Ich muss an einen zweiten Standort drei bis vier VLANs verteilen (eins für IP-Telefonie, eins fürs WLAN, sowie eins für eine Telefonanlage, eins für ein Gastnetz soll noch folgen)
Aktuell läuft alles an einem Standort. Als Router ist eine Fritzbox 5690 in Betrieb. Dahinter stehen mehrere Fileserver, IP-Cams sowie eine AD und eine WLAN-Umgebung mit Cisco WLC und APs.
Die VLANs bestehen am ersten Standort schon (Cisco), jedoch wäre ich über ein paar Lösungsansätze dankbar, wie ich diese am zweiten Standort verteilt bekomme idealerweise ohne große Geschwindigkeitseinschränkungen.
Meines Wissens nach kann die Fritzbox keine VLANs.
Am zweiten Standort steht bereits ebenfalls eine Fritzbox 7690, die ist verbunden mit VPN zur ersten.
Beide Anschlüsse leufen über Telekom LWL (1000/500 MBit)
Danke und viele Grüße
Marcel
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673594
Url: https://administrator.de/forum/vlan-fritzbox-netzwerk-standort-673594.html
Ausgedruckt am: 29.06.2025 um 14:06 Uhr
17 Kommentare
Neuester Kommentar
Moin,
Das sind zu wenig Infos, um da was zu sagen zu können.
Wer routet denn am ersten Standort die VLANs? Die Fritte kann es, wie du schon erkannt hast, nicht.
Was meinst du mit "verteilen"?
Wie willst du die VLANs am zweiten Standort IP-mäßig adressieren?
Die Fritten gegen vernünftige VPN Router wie z.B. ne OpnSense zu ersetzen ist keine Option?
Gruß,
Avoton
Das sind zu wenig Infos, um da was zu sagen zu können.
Wer routet denn am ersten Standort die VLANs? Die Fritte kann es, wie du schon erkannt hast, nicht.
Was meinst du mit "verteilen"?
Wie willst du die VLANs am zweiten Standort IP-mäßig adressieren?
Die Fritten gegen vernünftige VPN Router wie z.B. ne OpnSense zu ersetzen ist keine Option?
Gruß,
Avoton
Am ersten Standort besteht ein zweiter Internetanschluss mit ebenfalls einer zweiten Fritzbox. Die zwei Fritzboxen speisen ihre beiden Netze in einen Cisco Switch, der die VLANs erstellt und dort in house weiter verteilt. Sorry, das hatte ich vergessen mit bei zu schreiben.
Diese VLANs sollen an einem anderen Standort auch vorhanden sein, das war gemeint mit "verteilen". Daher sollen die Clients ihre IPs über den ersten Standort beziehen können.
Grüße
Diese VLANs sollen an einem anderen Standort auch vorhanden sein, das war gemeint mit "verteilen". Daher sollen die Clients ihre IPs über den ersten Standort beziehen können.
Grüße
Moin,
die Vlans kannst du an einem anderen Standort wieder nutzen. Nicht aber die selben Netze!
Auch deine Fritten kommen hier mit mehreren Netzen an die Grenzen. Davor muss jeweils ein separates Gateway.
Gruß
Spirit
die Vlans kannst du an einem anderen Standort wieder nutzen. Nicht aber die selben Netze!
Auch deine Fritten kommen hier mit mehreren Netzen an die Grenzen. Davor muss jeweils ein separates Gateway.
Gruß
Spirit
Selbe Netze ist ein Kann, kein Muss.
Hierfür muss ich sowiseo neue Hardware beschaffen. Daher bin ich hier auf der Suche nach Lösungsansätzen und Empfehlungen.
Grüße Marcel
Hierfür muss ich sowiseo neue Hardware beschaffen. Daher bin ich hier auf der Suche nach Lösungsansätzen und Empfehlungen.
Grüße Marcel
Daher bin ich hier auf der Suche nach Lösungsansätzen und Empfehlungen.
OpnSense an beide Standorte, diese per VPN miteinander verbinden und an beiden Standorten von den Sensen eindeutige IP Kreise vergeben lassen.
An beiden Standorten gleiche Netze geht zwar, würde ich aber nicht machen, da musst du dann gewaltig NATen.
Gruß,
Avoton
1
Moin,
zur besseren Visualisierung erstelkle doch mal eine Skizze vom aktuellen und geplanten Zustand, mit genauen Modellbezeichnungen der beteiligten (Netzwerk-)Hardware.
Die FB 5690 ist ja ein Glasfaser-Router, hat der 2. Standort auch Glasfaser? Ist das ein Firmennetz oder privates Hobby?
Bei welchem Anbieter sind die Anschlüsse?
Aber generell gilt die bereits gestellte Frage: Lassen sich die Frizboxen durch einen anderen Router ersetzen?
Gruß
cykes
zur besseren Visualisierung erstelkle doch mal eine Skizze vom aktuellen und geplanten Zustand, mit genauen Modellbezeichnungen der beteiligten (Netzwerk-)Hardware.
Die FB 5690 ist ja ein Glasfaser-Router, hat der 2. Standort auch Glasfaser? Ist das ein Firmennetz oder privates Hobby?
Bei welchem Anbieter sind die Anschlüsse?
Aber generell gilt die bereits gestellte Frage: Lassen sich die Frizboxen durch einen anderen Router ersetzen?
Gruß
cykes
Die VLANs bestehen am ersten Standort schon (Cisco)
Was ist hierbei mit "Cisco" gemeint?? Ist das ein Cisco Router? Wenn ja würde, das deiner Aussage mit den 2 Fritzboxen widersprechen. 🤔Diesen Widerspruch solltest du also nochmal aufklären.
Vermutlich (geraten) ist es aber ein einfaches Layer 3 Switchdesign wo ein Cisco Switch (und kein Router) die VLANs und deren L3 Kopplung realisiert und die Fritte den Internet Anschluss dafür. Ist das so?
Wie oben schon mehrfach gesagt kann eine kleine Topologieskizze, wie immer, hilfreich sein um Missverständnisse zum Design aufzuklären.
Zu deinem Vorhaben...
Wenn du die VLANs der einen Seite vollkommen transparent, also mit einem Layer 2 Bridging, auf die andere Seite bringen willst ist das mit einem einfachen Plaste Consumerrouter wie der Fritte mit Bordmitteln natürlich nicht machbar, weil sie durch den minimalen Featureset so etwas natürlich nicht supportet. Dazu bräuchtest du Layer 2 Tunneltechniken die eine Layer 2 Kopplung supporten wie z.B. VxLAN usw.
Was aber immer geht ist eine geroutete VPN Kopplung mit der du aus dem Fritten Netz problemlos auf die VLANs auf der Cisco Seite zugreifen kannst.
Ein hiesiges Fritzbox - Cisco VPN Tutorial erklärt dir alle relevanten Schritte dazu wie man die Fritte schnell und einfach mit dem Cisco per VPN verheiratet.
Wenn es lediglich 2 einfache Fritten sind die in den jeweilgen Standorten den Internet Zugang realisieren, dann machst du mit denen eine stinknormale Site-to-Site VPN Kopplung entweder über IPsec oder Wireguard und fertig ist der Lack!
Zitat von @Avoton:
OpnSense an beide Standorte, diese per VPN miteinander verbinden und an beiden Standorten von den Sensen eindeutige IP Kreise vergeben lassen.
An beiden Standorten gleiche Netze geht zwar, würde ich aber nicht machen, da musst du dann gewaltig NATen.
Gruß,
Avoton
Daher bin ich hier auf der Suche nach Lösungsansätzen und Empfehlungen.
OpnSense an beide Standorte, diese per VPN miteinander verbinden und an beiden Standorten von den Sensen eindeutige IP Kreise vergeben lassen.
An beiden Standorten gleiche Netze geht zwar, würde ich aber nicht machen, da musst du dann gewaltig NATen.
Gruß,
Avoton
Die Variante ist auch die von mir bevorzugte.
Dahinter dann L2+ oder L3 Switche und go.
Als Switche empfehle ich Mikrotik.
Die Fritten könntest du auch raus werfen. Es sei denn du kommst mit einem einzigen sauberen WLAN klar.
Mikrotik hätte auch was im Portfolio.
Wenn die Fritte fliegen lernt, dann könnten simple Modems Einzug halten.
Die ganze Logik kann die Sense über nehmen.
Moin,
Wie die Kollegen schon sagten:
Am besten die Fritten gegen VLAN-fähige Router/ Firewalls ersetzen oder die Fritten behalten und alles über L3 Switche erledigen.
Den Tunnel bauen die Fritten dann auf und leiten die Pakete entsprechend zu den L3 - Switchen weiter (stat. Routen)
Dann würde ich die VLAN IDs per se an beiden Standorten identisch halten, aber die IP-Netze über z. B. das zweite Oktett (IP v4) differenzieren:
Wie die Kollegen schon sagten:
Am besten die Fritten gegen VLAN-fähige Router/ Firewalls ersetzen oder die Fritten behalten und alles über L3 Switche erledigen.
Den Tunnel bauen die Fritten dann auf und leiten die Pakete entsprechend zu den L3 - Switchen weiter (stat. Routen)
Dann würde ich die VLAN IDs per se an beiden Standorten identisch halten, aber die IP-Netze über z. B. das zweite Oktett (IP v4) differenzieren:
- VLAN 10 Management:
- Standort A: 172.20.10.0/ 24
- Standort B: 172.21.10.0/ 24
- VLAN 11 Drucker:
- Standort A: 172.20.110/ 24
- Standort B: 172.21.11.0/ 24
- VLAN 12 Kameras:
- Standort A: 172.20.12.0/ 24
- Standort B: 172.21.12.0/ 24
- …
- …
- …
Beide Standorte haben Glasfaser. Die Netzwerke sind am ersten Standort bereits segmentiert, jedoch "nur" mittels Fritzbox-Routern. Dahinter steht ein Cisco SG350-Switch, da gehen die Netze rein, dieser stellt die VLANs, die im Haus weiter über mehrere Cisco Switches verteilt werden. Das Ziel nun, alle Netze an einem zweiten Standort erreichbar zu machen.
Das ganze ist ein privates und ein Firmennetzwerk in einem, unter anderem daher die Segmentierung.
Skizze kann ich morgen kurz zeichnen.
Die Cisco Switches möchte ich belassen falls möglich. Fritzboxen können ausgetauscht werden falls ungeeignet
Das ganze ist ein privates und ein Firmennetzwerk in einem, unter anderem daher die Segmentierung.
Skizze kann ich morgen kurz zeichnen.
Die Cisco Switches möchte ich belassen falls möglich. Fritzboxen können ausgetauscht werden falls ungeeignet
Dann behalt die Cisco Geräte und entscheide dich, wer das Routing übernehmen soll.
Da gehe ich mit.
und entscheide dich, wer das Routing übernehmen soll.
Das müssen beide Ciscos auf beiden Seiten. Du musst ja „vor Ort“ auch zwingend Routen, egal ob es einen VON gibt oder nicht. Sobald du ein Subnetz verlassen willst/ musst, muss geroutet werden…Den Tunnel bauen die Fritten dann auf und leiten die Pakete entsprechend zu den L3 - Switchen weiter (stat. Routen)
Wenn ich mich nicht irre, muss er die Netze aber dann per Config Datei der Fritte beibringen, da die GUI doch immer nur ein entferntes Netz pro VPN kann, oder?
Gruß,
Avoton
Zitat von @em-pie:
Das müssen beide Ciscos auf beiden Seiten. Du musst ja „vor Ort“ auch zwingend Routen, egal ob es einen VON gibt oder nicht. Sobald du ein Subnetz verlassen willst/ musst, muss geroutet werden…
Das müssen beide Ciscos auf beiden Seiten. Du musst ja „vor Ort“ auch zwingend Routen, egal ob es einen VON gibt oder nicht. Sobald du ein Subnetz verlassen willst/ musst, muss geroutet werden…
Oder der TO entscheidet sich für eine OPNsense am besten auf beiden Seiten und ist mit der ganzen Konfig deutlich flexibler.
Aber ja, wenn ein Cisco den Spaß über nimmt ist erstmal kein weiteres Gerät erforderlich.
Andererseits stellt sich die Frage ob das Firmen Netz nicht mit einer richtigen Firewall getrennt sein sollte. Da plediere ich für eine OSense.
Andererseits stellt sich die Frage ob das Firmen Netz nicht mit einer richtigen Firewall getrennt sein sollte. Da plediere ich für eine OSense.
D' Accord@avaton:
Stimmt, da war was 🙈
An beiden Standorten gleiche Netze geht zwar, würde ich aber nicht machen, da musst du dann gewaltig NATen.
Erübrigt sich so oder so weil die Fritten auch das gar nicht supporten!Die Netzwerke sind am ersten Standort bereits segmentiert, jedoch "nur" mittels Fritzbox-Routern.
Das ist Quatsch, denn die Fritten supporten weder multiple IP Interfaces noch VLANs. Mit denen ist eine Netzwerk Segmentierung also technisch völlig unmöglich, weil ihnen all diese Features fehlen.Es ist also aus Netzwerksicht Unsinn wenn du sagst das mit Fritten "segmentiert" wurde. Wie auch...?!
Die Cisco Switches möchte ich belassen falls möglich.
Das wäre auch sinnvoll!!Du solltest erst einmal sicher klären WIE du segmentierst??
Vermutlich machen deine Cisco Switches das in einem Layer 3 Design. Ist dem so?? 🤔
Alles andere würde nicht gehen, denn ein Layer 2 Design kann man nur mit Routern oder Firewalls umsetzen die auch VLANs oder zu mindestens multiple IP Interfaces supporten. Die Fritzbox gehört bekanntlich NICHT dazu, sofern man einmal vom Gastnetz (LAN4) absieht!
Wie so ein Layer 2 VLAN Konzept mit einem Router oder Firewall aussieht erklären dir 2 hiesige Tutorials im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Bevor man ins Eingemachte geht, solltest du erst einmal klären wie deine "Segmentierung" grundsätzlich denn aussieht.
Da die Fritten keinerlei L2 (Bridging) Tunneltechniken via VPN supporten wird dir also nur ein geroutetes VPN Design bleiben wie es der Kollege @em-pie oben schon ansatzweise skizziert hat.
Es sei denn du investierst in neue Router oder Firewall Hardware.
Dir monetäre Investition hält sich ja in Grenzen, wenn es bei einer Umsetzung mittels *Sense Produkten werden soll.
Die investierte Zeit des Lernens und der Konfiguration ist hier womöglich der größere Faktor.
Ebenfalls +1 für den Verbleib der Cisco Switches.
Für Firewalls ist es definitiv besser in andere Hardware zu investieren, da hier die Komplexität zugenommen hat. Die Fritzbox ist hier an ihrer Grenze.
Kannst du eine Firewall direkt mittels Kupfer oder LWL an einen ONT anschließen? Dann fällt die Notwendigkeit von Modems weg.
Die PPPoE-Einwahl würde in dem Fall dann von den neuen Firewalls erledigt.
Gruß
Marc
1
