VLan im Heimnetz: Welche der folgenden Hardware-Konstellationen ist am sinnvollsten bzw funktioniert?
Hallo liebe IT-Experten!
Ich möchte bei mir daheim gerne ein bzw. mehrere VLan(s) einrichten, erstens weil mich die Thematik interessiert und zweitens, um die Sicherheit/Ordnung zu erhöhen.
Im Moment läuft folgende Hardware:
- (Kabel)modem vom ISP
- Fritzbox 7490 als Router/Firewall
- HP DGS 1100-16 managed Switch (kann VLAn Layer 2) (wird im Moment noch als "dummer" Switch verwendet).
- 2 Fritz 1750e AP`s im Brifge-Modus, 3 unmanaged Switches, 1 Fritz Dect schaltbare Steckdose, etc.
Im Heimnetz befinden sich 3 Windows-Clients, 1 Qnap, 2-IP-Cams (auf Qnap Surveillance Station), etc.
Auf der Fritzbox ist VPN eingerichtet, dyndns von noip.com. Fernzugriff ist nicht aktiviert, ebenso sind keine Ports geöffnet, alles von außen mache ich über das VPN.
Ich würde nun sehr gerne mein Heimnetz in mehrere VLans aufsplitten, und dann wahrscheinlich gleich mit 802.1 und nicht port based, wenn schon, dann gleich richtig. Ich weiss, dass die Fritzbox mit normaler Firmware kein VLan kann, weil alle Ports miteinander geswitched sind. Ich weiss auch, dass ich Port 4 als Gast-Lan konfigurieren kann und daran dann theorietisch eine Art Vlan betreiben kann. Ich würde aber erstens gerne mehrere Vlans haben und zweitens kommt mir das irgendwie sehr unprofessionell vor.
Ich habe mich in den letzten 2 Tagen in die VLan-Thematik eingelesen und habe nun rudimentäre Kenntnisse, worum es eigentlich geht. Von Total-Durchblick kann allerdings keine Rede sein.
Mir schweben erstmal 3 Vlans vor, wobei entweder alle 3 internet haben sollen oder vielleicht 2 Internet und 1 keins (noch nicht sicher).
Wenn ich das bisherige richtig verstanden habe, habe ich folgende Möglichkeiten, mein VLan-Projekt zu realisieren (auf diese 3 Möglicheiten habe ich es für mich jetzt erstmal eingeschränkt):
1.)
FB 7490 mit Freetz flashen, um sie vlan-fähig zu machen: https://freetz.org/wiki/help/howtos/security/switch_config
Bin mir nicht sicher, aber es hört sich auf den link so an, als sei das mit der FB 7490 (noch) nicht möglich (Kernel austauschen oder so geht nicht). Auch steht die 7490 nicht bei den unterstützten Boxen. Vielleicht kann ja jemand hier etwas Licht ins Dunkel bringen.
2.)
Fritzbox gegen anderne Router austauschen, der vlan kann.Ich würde billigst einen Linksys WRT3200 bekommen. Diesen würde ich mit DD-WRT flashen. (Bisher keine Erfahrung mit ddwrt und fast keine Linux-Kenntnisse, aber lernbereit).
3.)
Hinter der Fritzbox einen 2. Router betreiben, der mehr oder weniger nur für Verwaltung/Routing der VLans zuständig ist. An mehreren Stellen im Internet war in so einem Fall von einem Mikrotik Routerboard die Rede, der das machen könnte.
In diese Überlegungen mit einzubeziehen ist auch, dass ich ein 2. Projekt am Start habe, dass ich am liebsten gleich im selben Aufwasch miterledigen will, und zwar einen eigenen Router als openVPN-Client zu betreiben, der mittels Lan und WLan einen VPN-Zugang zu einem VPN-Anbieter für die CLients anbietet. Ich weiss nicht, ob eine der oben genannten Varianten besser als die anderen mit dieser Anforderung harmoniert.
Fragen:
a.)
Die erste Variante mit freetz kommt mir irgendwie am schlechtesten vor. Ich tendiere gefühlsmäßig eher zu variante 2 oder 3.
Auf Grund meiner Unerfahrenheit kann ich aber nicht sagen, was nun die bessere Variante ist und am ehesten der best practise entspricht. Könnt ihr mich bitte beraten?
b.)
Meine Vorstellung zu Variante 3 mit Mikrotik-Router als zusätzlichem Router:
Fritzbox ist auf einem Lan-Port mit Wan des Mikrotik vebunden. An einem Lan des Mikrotik hängt der Trunk Port des VLan-Switch. In Vlan 1 ist das normale Heimnetz, in VLan 2 ist das Gastnetz, in Vlan 3 ist das Managementt-Netz.
(dazu hier auch gleich die frage: ist ein Trunk Port besser als port based vlan mit eigenem uplink aus jedem Vlan zum Mikrotik? Die hardware steht alles an einem Ort, die Verkabelung wäre also kein Problem).
Was mir nicht klar ist, wo in dieser variante der VPN-Router am besten drann soll (quasi Router Nr. 3). An den Vlan-Switch in einem eigenen VLan (glaube eher nicht) oder direkt an den Mikrotik oder an die Fritzbox? Hmm??
Auch habe ich im Moment noch nicht wirklich den Druchblick, was ich routingmäßig an der Fritzbox und am Mikrotik einstellen muss, damit dass funktioniert. Muss der Mikrotik NAten ode rnicht, läuft eine Friewall auf dme Mikrotik oder nicht, etc.
Weiters frage ich mich, wie ich mit dem Fritzbox-VPN dann in die Vlans komme. Das VPN endet ja Netz, in dem sich nur FB und Mikrotik befinden. Ich würde natürlich gerne weiter in dei Vlans.
c.)
Oder soll ich auf die Fritzbox gleich verzichten und den linksys als Router nehmen. Ich gehe davon aus, dass die Fritz AP`s auch ohne fritzbox verwendbar sind, die dect-Steckdose wahrscheinlich eher nicht, wäre aber egal. Also Linksys-lan an trunkport des VLan-Switch. Auch hierr die Fage, wo der VPN-Router am besten drann soll.
Einerseits würde ich die Fritzbox gerne behalten, weil man sich halt dran gewöhnt hat, andererseits reizt es mich auch, meinen Horizont zu erweitern und mal was anderes zu haben. Was ich nicht will ist eine halbstabile Bastellösung.
Ich bin echt ratlos und wäre unendlich dankbar, wenn iihr mir helfen würdet. Danke Leute, ich freue mich schon auf eure Antworten.
lg Pixi
Ich möchte bei mir daheim gerne ein bzw. mehrere VLan(s) einrichten, erstens weil mich die Thematik interessiert und zweitens, um die Sicherheit/Ordnung zu erhöhen.
Im Moment läuft folgende Hardware:
- (Kabel)modem vom ISP
- Fritzbox 7490 als Router/Firewall
- HP DGS 1100-16 managed Switch (kann VLAn Layer 2) (wird im Moment noch als "dummer" Switch verwendet).
- 2 Fritz 1750e AP`s im Brifge-Modus, 3 unmanaged Switches, 1 Fritz Dect schaltbare Steckdose, etc.
Im Heimnetz befinden sich 3 Windows-Clients, 1 Qnap, 2-IP-Cams (auf Qnap Surveillance Station), etc.
Auf der Fritzbox ist VPN eingerichtet, dyndns von noip.com. Fernzugriff ist nicht aktiviert, ebenso sind keine Ports geöffnet, alles von außen mache ich über das VPN.
Ich würde nun sehr gerne mein Heimnetz in mehrere VLans aufsplitten, und dann wahrscheinlich gleich mit 802.1 und nicht port based, wenn schon, dann gleich richtig. Ich weiss, dass die Fritzbox mit normaler Firmware kein VLan kann, weil alle Ports miteinander geswitched sind. Ich weiss auch, dass ich Port 4 als Gast-Lan konfigurieren kann und daran dann theorietisch eine Art Vlan betreiben kann. Ich würde aber erstens gerne mehrere Vlans haben und zweitens kommt mir das irgendwie sehr unprofessionell vor.
Ich habe mich in den letzten 2 Tagen in die VLan-Thematik eingelesen und habe nun rudimentäre Kenntnisse, worum es eigentlich geht. Von Total-Durchblick kann allerdings keine Rede sein.
Mir schweben erstmal 3 Vlans vor, wobei entweder alle 3 internet haben sollen oder vielleicht 2 Internet und 1 keins (noch nicht sicher).
Wenn ich das bisherige richtig verstanden habe, habe ich folgende Möglichkeiten, mein VLan-Projekt zu realisieren (auf diese 3 Möglicheiten habe ich es für mich jetzt erstmal eingeschränkt):
1.)
FB 7490 mit Freetz flashen, um sie vlan-fähig zu machen: https://freetz.org/wiki/help/howtos/security/switch_config
Bin mir nicht sicher, aber es hört sich auf den link so an, als sei das mit der FB 7490 (noch) nicht möglich (Kernel austauschen oder so geht nicht). Auch steht die 7490 nicht bei den unterstützten Boxen. Vielleicht kann ja jemand hier etwas Licht ins Dunkel bringen.
2.)
Fritzbox gegen anderne Router austauschen, der vlan kann.Ich würde billigst einen Linksys WRT3200 bekommen. Diesen würde ich mit DD-WRT flashen. (Bisher keine Erfahrung mit ddwrt und fast keine Linux-Kenntnisse, aber lernbereit).
3.)
Hinter der Fritzbox einen 2. Router betreiben, der mehr oder weniger nur für Verwaltung/Routing der VLans zuständig ist. An mehreren Stellen im Internet war in so einem Fall von einem Mikrotik Routerboard die Rede, der das machen könnte.
In diese Überlegungen mit einzubeziehen ist auch, dass ich ein 2. Projekt am Start habe, dass ich am liebsten gleich im selben Aufwasch miterledigen will, und zwar einen eigenen Router als openVPN-Client zu betreiben, der mittels Lan und WLan einen VPN-Zugang zu einem VPN-Anbieter für die CLients anbietet. Ich weiss nicht, ob eine der oben genannten Varianten besser als die anderen mit dieser Anforderung harmoniert.
Fragen:
a.)
Die erste Variante mit freetz kommt mir irgendwie am schlechtesten vor. Ich tendiere gefühlsmäßig eher zu variante 2 oder 3.
Auf Grund meiner Unerfahrenheit kann ich aber nicht sagen, was nun die bessere Variante ist und am ehesten der best practise entspricht. Könnt ihr mich bitte beraten?
b.)
Meine Vorstellung zu Variante 3 mit Mikrotik-Router als zusätzlichem Router:
Fritzbox ist auf einem Lan-Port mit Wan des Mikrotik vebunden. An einem Lan des Mikrotik hängt der Trunk Port des VLan-Switch. In Vlan 1 ist das normale Heimnetz, in VLan 2 ist das Gastnetz, in Vlan 3 ist das Managementt-Netz.
(dazu hier auch gleich die frage: ist ein Trunk Port besser als port based vlan mit eigenem uplink aus jedem Vlan zum Mikrotik? Die hardware steht alles an einem Ort, die Verkabelung wäre also kein Problem).
Was mir nicht klar ist, wo in dieser variante der VPN-Router am besten drann soll (quasi Router Nr. 3). An den Vlan-Switch in einem eigenen VLan (glaube eher nicht) oder direkt an den Mikrotik oder an die Fritzbox? Hmm??
Auch habe ich im Moment noch nicht wirklich den Druchblick, was ich routingmäßig an der Fritzbox und am Mikrotik einstellen muss, damit dass funktioniert. Muss der Mikrotik NAten ode rnicht, läuft eine Friewall auf dme Mikrotik oder nicht, etc.
Weiters frage ich mich, wie ich mit dem Fritzbox-VPN dann in die Vlans komme. Das VPN endet ja Netz, in dem sich nur FB und Mikrotik befinden. Ich würde natürlich gerne weiter in dei Vlans.
c.)
Oder soll ich auf die Fritzbox gleich verzichten und den linksys als Router nehmen. Ich gehe davon aus, dass die Fritz AP`s auch ohne fritzbox verwendbar sind, die dect-Steckdose wahrscheinlich eher nicht, wäre aber egal. Also Linksys-lan an trunkport des VLan-Switch. Auch hierr die Fage, wo der VPN-Router am besten drann soll.
Einerseits würde ich die Fritzbox gerne behalten, weil man sich halt dran gewöhnt hat, andererseits reizt es mich auch, meinen Horizont zu erweitern und mal was anderes zu haben. Was ich nicht will ist eine halbstabile Bastellösung.
Ich bin echt ratlos und wäre unendlich dankbar, wenn iihr mir helfen würdet. Danke Leute, ich freue mich schon auf eure Antworten.
lg Pixi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 334295
Url: https://administrator.de/forum/vlan-im-heimnetz-welche-der-folgenden-hardware-konstellationen-ist-am-sinnvollsten-bzw-funktioniert-334295.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
29 Kommentare
Neuester Kommentar
Hallo,
lass den AVM FB 7490 Router stehen und kaufe Dir zusätzlich was der Geldbeutel hergibt!
- RaspBerry PI 3.0 mit Linux zum routen
Zusätzlich zu allem was Du hast
- Cisco SG300 oder SG350 Switch zum routen der VLANs
Als Ersatz oder zusätzlich zu den vorhandenen Switchen
- MikroTik Router RB850Gx2, RB2011, RB3011, usw......
Zusätzlich zu dem was Du hast, hat aber eine starke Lernkurve, es gibt aber drei Bücher dazu und ein extra Forum
Gruß
Dobby
lass den AVM FB 7490 Router stehen und kaufe Dir zusätzlich was der Geldbeutel hergibt!
- RaspBerry PI 3.0 mit Linux zum routen
Zusätzlich zu allem was Du hast
- Cisco SG300 oder SG350 Switch zum routen der VLANs
Als Ersatz oder zusätzlich zu den vorhandenen Switchen
- MikroTik Router RB850Gx2, RB2011, RB3011, usw......
Zusätzlich zu dem was Du hast, hat aber eine starke Lernkurve, es gibt aber drei Bücher dazu und ein extra Forum
Gruß
Dobby
Das hiesige VLAN Tutorial sollte alle deine technischen Fragen dazu beantworten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Zu deinen Einzelfragen:
1.)
Kann man so machen. Man kann sich auch die Frickelei sparen und einen guten Router für kleines Geld kaufen der einem das leben erleichtert:
http://www.ebay.de/itm/Cisco-886VA-100-Mbps-4-Port-10-100-CISCO886VA-SE ...
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Mit Mikrotik, Lancom und besonders den Maschinen die sich mit OpenWRT oder DD-WRT flashen lassen sowei den anderen üblichen Verdächtigen ist es einfacher.
Aber Freetz geht natürlich auch obwohl es natürlich noch jede Menge gute Router jenweits des Fritz Horizonts gibt.
2.)
Weise Erkenntnis, siehe 1.)
3.)
Ist auch durchaus ein machbare Lösung die dich von der Freetz Frickelei befreit. Hier wäre ein Mikrotik dann schon die richtige Wahl. Oder du nimmst gleich einen Layer 3 (Routing) fähigen VLAN Switch und sparst dir den 2ten Router komplett (z.B. Cisco SG-300). Siehe auch:
Verständnissproblem Routing mit SG300-28
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...
Netzwerk Management Server mit Raspberry Pi
a.)
Da hast du Recht. Beratung...siehe oben.
b.)
Klar der Favorit bei deinen Vorkenntnissen.
Besser noch, gleich einen L3 Switch verwenden, wird aber teurer.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
c.)
Der Cisco oben ist preiswert und die Königsklasse und für einfache 50 Euro kann man ja mal zum König werden.
Nun hast du die Qual der Wahl....
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und dann wahrscheinlich gleich mit 802.1
Mmmhh 802.1wasdenn ?? .1q ist doch der VLAN Standard und außer .1q Port based gibts nur noch dynamische VLANs per 802.1x. Was willst du denn nun ??Ich habe mich in den letzten 2 Tagen in die VLan-Thematik eingelesen und habe nun rudimentäre Kenntnisse,
Sehr löblich...!!Zu deinen Einzelfragen:
1.)
Kann man so machen. Man kann sich auch die Frickelei sparen und einen guten Router für kleines Geld kaufen der einem das leben erleichtert:
http://www.ebay.de/itm/Cisco-886VA-100-Mbps-4-Port-10-100-CISCO886VA-SE ...
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Mit Mikrotik, Lancom und besonders den Maschinen die sich mit OpenWRT oder DD-WRT flashen lassen sowei den anderen üblichen Verdächtigen ist es einfacher.
Aber Freetz geht natürlich auch obwohl es natürlich noch jede Menge gute Router jenweits des Fritz Horizonts gibt.
2.)
Weise Erkenntnis, siehe 1.)
3.)
Ist auch durchaus ein machbare Lösung die dich von der Freetz Frickelei befreit. Hier wäre ein Mikrotik dann schon die richtige Wahl. Oder du nimmst gleich einen Layer 3 (Routing) fähigen VLAN Switch und sparst dir den 2ten Router komplett (z.B. Cisco SG-300). Siehe auch:
Verständnissproblem Routing mit SG300-28
und zwar einen eigenen Router als openVPN-Client zu betreiben
OK, dann ist DD-WRT, OpenWRT, Raspberry Pi oder eine pfSense_Firewall dein bester Freund !OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...
Netzwerk Management Server mit Raspberry Pi
a.)
Da hast du Recht. Beratung...siehe oben.
b.)
Klar der Favorit bei deinen Vorkenntnissen.
Besser noch, gleich einen L3 Switch verwenden, wird aber teurer.
Muss der Mikrotik NAten
Nein, das macht zentral die FB. Der MT routet nur !Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
c.)
andererseits reizt es mich auch, meinen Horizont zu erweitern und mal was anderes zu haben
Sehr löblich und das solltest du dann auch machen.Der Cisco oben ist preiswert und die Königsklasse und für einfache 50 Euro kann man ja mal zum König werden.
Nun hast du die Qual der Wahl....
Bevor du jetzt zum Cisco 88x greifst (welchen ich normalerweise auch immer lobe und empfehle):
Macht an deiner Stelle nicht wirklich viel Sinn, denn der Cisco 88x hat nur 100MBit/s-Ports und kein Gigabit! Da du aber schreibst, dass du Internet per Kabel beziehst würde ich einfach mal vermuten das deine WAN-Bandbreite über 100 MBit/s liegt und daher würde der Cisco für mich an deiner Stelle flach fallen.
Meine Empfehlung:
Wenn es unbedingt OpenVPN werden soll: pfSense auf einem pcengines APU-Board
Wenn IPsec eine Alternative wäre: MikroTik RB750Gr3
Gruß
Kümmel
Macht an deiner Stelle nicht wirklich viel Sinn, denn der Cisco 88x hat nur 100MBit/s-Ports und kein Gigabit! Da du aber schreibst, dass du Internet per Kabel beziehst würde ich einfach mal vermuten das deine WAN-Bandbreite über 100 MBit/s liegt und daher würde der Cisco für mich an deiner Stelle flach fallen.
Meine Empfehlung:
Wenn es unbedingt OpenVPN werden soll: pfSense auf einem pcengines APU-Board
Wenn IPsec eine Alternative wäre: MikroTik RB750Gr3
Gruß
Kümmel
Welcher Mikrotik ist es denn jetzt genau geworden?
Was du jetzt machst ist deine Sache, ich würde zu Option 2 tendieren, meiner Meinung nach die sauberste Variante.
Option 1 geht ja wohl auch nicht oder? Der Linksys hat ja kein xDSL-Modem wie die Fritzbox.
Option 3 finde ich (persönliche Meinung) nicht gut, da es sich um ein Linksys-Gerät handelt welches nicht von Cisco sondern von BELKIN hergstellt wurde.
Was du jetzt machst ist deine Sache, ich würde zu Option 2 tendieren, meiner Meinung nach die sauberste Variante.
Option 1 geht ja wohl auch nicht oder? Der Linksys hat ja kein xDSL-Modem wie die Fritzbox.
Option 3 finde ich (persönliche Meinung) nicht gut, da es sich um ein Linksys-Gerät handelt welches nicht von Cisco sondern von BELKIN hergstellt wurde.
N'Abend,
wie sieht's eigentlich mit Telefon aus?
Hängt da 'was an der Fritzbox dran oder läuft das unabhängig von der FB ?
Gruß
Holger
Umso besser
Als Anfänger solltest du deine Variante 1. von oben erstmal bevorzugen und damit alles zum Fliegen bringen und entsprechend Erfahrungen sammeln.
Den Rest Finetuning und optimieren ohne FB kannst du später immer noch machen. Also alles erstmal der Reihe nach.
Ziel sollte es also immer sein kein doppeltes NAT zu machen und alles schlank zu gestallten. Optimal wäre es also einen Router oder Firewall zu verwenden die alles macht und das richtig und performant.
P.S.: Deine Shift Taste ist defekt ! Solltest du mal reparieren.
Als Anfänger solltest du deine Variante 1. von oben erstmal bevorzugen und damit alles zum Fliegen bringen und entsprechend Erfahrungen sammeln.
Den Rest Finetuning und optimieren ohne FB kannst du später immer noch machen. Also alles erstmal der Reihe nach.
ich bin da echt überfragt, welche vor-/nachteile die einzelnen varianten haben
Warum ? Das sagt einem dioch schon der gesunde IT Menschenverstand. Eine Router Kaskade ist immer supoptimal, das du doppeltes NAT dort machst was eigentlich überflüssig ist und Performance schluckt und das Netz unnötig kompliziert und aufwändig im Management macht.Ziel sollte es also immer sein kein doppeltes NAT zu machen und alles schlank zu gestallten. Optimal wäre es also einen Router oder Firewall zu verwenden die alles macht und das richtig und performant.
P.S.: Deine Shift Taste ist defekt ! Solltest du mal reparieren.
Hm, ist der mikrotik nicht schwieriger zu handhaben als dd-wrt?
So eine Frage ist ja immer sinnfrei, da relativ. Für einen Netzwerker der weiss was er tut ist das kein Thema und die Antwort lautet NEIN.Für jemand der frickelt und wenig bis kein Know How hat und eher der Klicki Bunti Probieren Fraktion angehört ist die Lernkurve beim MT etwas steiler aber immer machbar.
Dafür bietet der MT aber ne Menge mehr und ein Klicki Bunti GUI hat der ja auch.
Was soll man dir also real auf so eine Frage antworten in einem Administrator Forum...???
Switching ist ja schneller als routing.
Das ist schon seit mindestens 20 Jahren völliger Quatsch und solche Ansichten kommen aus der Netzwerk Steinzeit wo das mal stimmte. Wie gesagt 20 Jahre.... Woher hast du so einen Blödsinn ???Mit aktuellen Chipsätzen passiert Layer 3 Forwarding genau so schnell wie Layer 2 nämlich immer in Wirespeed.
Dann wäre doch die beste Variante...
Letztlich ja....aber vielleicht solltest du deine Lernkurve nicht so steil machen. Ist letztlich aber deine Entscheidung. 1 + 2 sind deine Optionen.dass man bei einer Router Kaskade das doppelte nat damit umgehen kann, indem man auf dem Router, der das nat macht, statische routen
Das ist routingtechnsicher Quatsch ! Sorry..Denk mal selber ein bischen nach, denn dann wird dir das doch schnell selber klar wenn du die Paket Flows der IP Pakete mit ihrern Absender und Zieladressen dir in deinem Netz mal in Ruhe vorstellst.
Beide Router machen doch NAT. Wenn NAT eingestellt ist macht der Router immer NAT. Ob er dann noch sinnlose statische Routen dann hat oder auch nicht ist dem NAT Prozess herzlich egal.
NAT und IP Routing sind 2 völlig unterschiedliche IP Prozesse in einem Router die nichts miteinander zu tun haben.
Da hast du wohl gehörig was verwechselt.
"Hier" in einem Administrator Forum hast du solchen Unsinn sicher nicht gelesen...hoffentlich ?!
erster Router in Kaskade macht nat, zweiter Router hat nat nicht aktiviert.
Ahhhhsoo...ok, sorry das war unklar. Aber dann hast du Recht, dann stimmt es natürlich wieder !Ergebnis ist dass es kein doppeltes nat gibt
Und die Aussage ist dann auch sinnfrei und evident. Denn wenn du auf dem 2ten Router ja gar kein NAT aktivierst (Dein Zitat oben: "zweiter Router hat nat nicht aktiviert.") hast du logischerweise ja auch niemals ein "doppeltes" NAT.Würde es jedenfalls echt gerne mit dem wrt 3200 probieren, weil ich dd-wrt gerne probieren würde
Na dann leg los !Das hiesige Tutorial sagt dir ja wie es geht.
Wenn du mir bitte noch kurz was dazu sagen könntest
Oha...keiner kennt dein Netz so wie DU. DU selber müsstest das doch am besten wissen...?!Normal trennt man wenigstens privates LAN und Gast WLAN oder LAN.
Deine Kameras solltest du ggf. noch separieren und die Kids. Aber das hängt alles von deinen Vorstellungen und Security Anforderungen ab und doch nicht was hier irgendwelche Foren Kommentatoren für gut oder schlecht befinden. Mach das so wie es für dich am meisten Sinn macht.
Dabei bitte auch beachten, dass es eine Windows Domäne geben soll und auch esxi.
Das spielt für ein Netzwerk Infrastruktur Design keinerlei Rolle.und das qnap mit der surveillance Station in ein anderes, wie geht dann der Zugriff.
Na, über IP Routing natürlich. Unterschiedliche IP Netzwerke werden durch den Router zw. den VLANs ganz einfach geroutet.... Wo ist denn da dein Problem ?Muss das qnap dann in beiden vlans sein oder regelt man das mit routing?
Natürlich Letzteres...Wenn du deine Bilder irgendwo "in der Cloud" sichern würdest, meinst du denn wenn der Dienstleister dafür in Holland, USA, China oder sonstwo hängt das eine dedizierte Strippe dahin gelegt wird von die die reines Switching macht ??
Du siehst selber wie unsinnig so ein Gedanke ist. Alles was übers Internet geht wird immer geroutet, so wie auch bei dir. Du ziehst dir ja auch nicht die Hose mit der Kneifzange an, oder ?
Und wie ist das mit esxi? Muss esxi im selben vlan sein wie die gehosteten vm's?
Nein, muss es natürlich nicht. Kannst du auch wieder routen oder auf dem Hypervisor mit einem Tagged Uplink lösen:VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
und die ILO ins management vlan gebe
Natürlich nur das ILO. Das Management Netzwerk soll man immer trennen vom Produktivtraffic aus Sicherheitsgründen wenn man es richtig macht. Kein Muß aber macht Sinn.Mir ist nicht klar, wie die Grundprinzipien sind, nach dem auf die vlan's aufgeteilt wird.
Generell gibts die auch nicht. Du machst das nach deinen eigenen Anforderungen wie du es für richtig hälst. Die Hardware ist nun also:
OK, das sollte klappen !Kabelmodem ISP
Ist das wirklich ein reines NUR Modem ? Also KEIN Router ?1.) Ist die VLan-Aufteilung so in Ordnung oder würdet ihr das anders machen?
Die ist perfekt in Ordnung. Alles korrekt so !1.) Soll ich die 3 L2-Switches alle direkt mit dem Miktrotik verbinden
2mal Frage 1 ???Das kannst du entweder oder machen oder in Kombination. Du soltlest ggf. die performanten VLANs dediziert anbinden und nicht mit einem tagged Uplink, denn bei geroutetem Traffic gehen dann ja mehrere VLANs über einen Draht.
Es hängt etwas von deinen Verkabelungsmöglichkeiten ab. Hast du soviele Kabel. Wenn nicht musst du eh mit einem tagged Uplink arbeiten.
Cam und Server solltest du ggf. direkt machen und den Rest mit einem tagged Link. Musst du sehen.
muss ich ja beim Mikrotik die Default-Config löschen als erstes
Das ist richtig !!dass ich es verkacke und meine RouterOS-Lizenz verliere
Nein, das ist vollkommener Quatsch. Keine Sorge, die ist in einem festen Prom und hat mit dem Konfig Flash rein gar nix zu tun. Den Router kannst du so oft nackig machen wie du lustig bist ! Die Sorge ist vollkommen unbegründet.warum stört dann die Default config?
Die Default Konfig setzt den Router so das ein Port ein zentraler NAT Port ist im DHCP Client Modus und die restlichen Ports alle als Layer 2 Switch arbeiten.Das kannst du nicht gebrauchen und müsstest es alles einzeln löschen was dich ungefähr das 10fache an Zeit kostet im Gegesatz zu einem "jungfräulichen" Router !
müsste ich dieses vlan ja dann auch tagged auf den port legen, oder?
Nein, nicht zwingend !Du könntest am Switch eine andere PVID nehmen:
Warum gibt es PVID bei VLANs?
oder ein anderes native VLAN am Port setzen. Dann wird der untagged Traffic des Endgerätes (vlan 1) am Switchport in ein anderes VLAN geforwardet.
Mach dir aber am Anfang erstmal nicht das Leben so schwer mit mehreren Baustellen. Das ist kosmetisches Finetuning was du immer noch hinterher machen kannst wenn du Erfahrung und Sicherheit hast und dein Setup erstmal grundlegend rennt.
wie das mit dem Switch DGS-1100 am besten zu lösen ist.
Ist das ein managebarer Switch ??Angenommen, ich habe es geschafft, alle Vlans anzulegen:
Das wirst du ganz sicher schaffen Wie ist das Routing im Mikrotik vorab eingestellt
Er ist ein Router und routet immer. Auch ohne Konfig Was du machen musst ist lediglich die Default Route auf die FB definieren...mehr nicht.
Zwischen den Interfaces und VLANs zu routen ist sein grundlegende Aufgabe. Dazu musst du nichts weiter tun.
komme ich von allen VLans ind alle anderen erstmal?
Ja !ist es kein Problem, wenn die Domänen-Clients in einem anderen VLan sind.
Das ist richtig !DNS ist mir noch nicht ganz klar.
Wenn du einen lokalen DNS betreiben willst richtest du dem lediglich eine Weiterleitung auf die LAN IP der Fritzbox ein. Das wars.ich will nur vorab wissen, ob das mit der Windows Domäne und den verschiedenen VLans auch funktionieren wird.
Es WIRD funktionieren. Oder meinst du bei Großunternehmen mit 200 und mehr Subnetzen könnte man dann keinen Winblows server mehr einsetzen ?? Vergiss das also...Und: Ist es sinnvoll, wenn der DHCP- und DNS-Server vom Win-Sevrer für alle VLans zuständig ist,
Schwer zu sagen.... Bei einem Heimnetz ist das eher fraglich. Die gesamte IP Adressierung ist dann vom Server abhängig. Fällt der mal aus oder schlatest du ihn ab da dir 200 Euro sinnsole Stromkosten im Jahr doch zu viel sind ists aus mit deinen lokalen IP.Ggf. macht es also doch mehr Sinn auf dem Router. Dann bist du unabhängig. Musst du aber letztlich selber entscheiden.
ich hoffe, ihr könnt mir helfen und ich bekomme das alles zu Stande.
Kein Thema. Was ist kein Hexenwerk und macht auch ein Azubi in 1-2 Stunden fertig. Das wirst du mit links wuppen.nochmal wegen dem management vlan:
Der Dativ ist dem Genitiv sein Tod.....Lass es erstmal als 1. Ist erstmal weniger Aufwand und damit auch weniger potentielle Fehlerquellen. Wenn du es später ändern willst kannst du das immer noch machen.
ich bin noch etwas schwer von begriff
Nee, nee...ist schon gut. Dein Konzept zeigt ja schon das dem gar nicht so ist. Da sind wir hier noch Schlimmeres gewohnt manchmal Richtet man dann einfach bei allen 3 Mikrotik-Ports die gleichen VLans ein
Nein, es reichen natürlich nur 3 Interfaces mit den IP Adressen dieser VLANs.VLANs musst du auf den MTs nur dann einsetzen wenn du nicht nur dediziert routen willst sondern auch Layer 2 Switchports dort hast.
Nach deinem Plan ist das aber nicht der Fall. Du kannst dann für diese VLANs dedizierte Ports nehmen und musst dann allerdings auch n Strippen ziehen pro VLAN auf den MT.
Nicht schön und macht man normal auch nicht aber wenn du Performance rauskitzeln willst die einzige Option.
Du kannst es auch erstmal mit einem tagged Uplink probieren und sehen wie die Performance aussieht.
Da ist ein bischen testen angesagt. Es gibt da keine Blaupause für den besten Weg, dennd er ist immer auch von den Anwendungen abhängig. Wenn dein Kameras normal SD Bilder machen mit 1-2 Mbit ist das auf einem 1000Mbit Port natürlich insgesamt gesehen eine Lachnummer...
mit jeweils einem Trunk Link auf einem eigenen Port am Mikrotik hängen.
Ahhh, ok ja das hatte ich missverstanden.Das kann man auch machen, bringt aber wenig. Mit 3 parallelen Links hast du ja dann einen Loop im Netzwerk und du musst zwingend Spanning Tree laufen lassen das dir das Looping verhindert.
STP oder RSTP sorgt dann dafür das 2 deiner 3 Links dann so oder so in den Blocking Mode gehen und dann ist das Unterfangen eh sinnlos.
Besser ist dann du realisierst das dann mit einem LAG (Link Aggregation) also jeweils 2 Trunk Links in einen LAG Bündeln, das wäre sinnvoller. Allerdings müsstest du das dann pro Switch machen.
Da du am 2011er aber ja 10 Ports frei hast ist das kein Problem, denn du brauchst ja nur 6 Ports. Performancetechnisch wäre das idealer. Kein Loop, deshalb kein Blocking und beide Links werden durch den LACP LAG aktiv mit beiden Links genutzt.
Aber auch die Lösung mit deinem dedizierten Link pro VLAN was etwas Performance braucht ist so machbar. Du kannst auch einen Mischbetrieb realisieren. Die VLANs die etwas mehr Performance fordern mit dedizierten Links und den Rest in einem tagged Trunk zusammenfassen. Alles ist möglich. Es hängt wie gesagt etwas von deinen Traffic Flows ab.
Routet der Mikrotik automatisch zwischen den nun 3 Ports, auf denen die Uplinks angeschlossen sind
Ja, logo ! Was dachtest du denn ??Der Mikrotik ist doch ein Router !!! Also sollte er ja wohl auch routen.
Mit deinem Auto kannst du ja auch gleich Auto fahren, oder ?? Was für eine Frage....dzzzz
und noch was frage ich mich:
Oha, hoffentlich jetzt eine etwas intelligentere Frage als die obige Ja, du hast Recht. Alle 3 Optionen machen dir den Server in den beiden VLANs für die Clients erreichbar. Du darfst dir die schönste aussuchen. 2 und 3 haben mit Routing aber nichts zu tun, dafür bräuchtest du natürlich dann keinen Router, klar.
Und ja, Option 1 verlangt einen DHCP Relay wenn du wirklich einen zentralen DHCP betreiben willst. Ob das sinnvoll für ein kleines Heimnetz ist steht auf einem anderen Blatt Papier. Der MT wäre da sicher sinnvoller aber das ist Ansichtssache und hängt davon ab was du letztlich vorhast.
Gibts da eine "best practise" wie man das macht?
Nein. Wie du oben sehen kannst anhand deiner ganzen Überlegungen ist das immer ganz individuell vom jeweiligen Netzerk, den Zielen die damit verfolgt werden sollen, Security Konzepten, Management Aufwand usw. usw. abhängig. Eine goldene Allgemeinregel gibt es da nicht. Einen groben Leitfaden aber schon, den hast du ja schon auf dem Papier mit der Segmentierung.und noch eine kleine Frage:
Aber immer doch....Kann ich an eine Port des L2-Switches (untagged in einem VLan) einen weiteren dummen unmanaged Switch anshcließen...
Ja, natürlich geht das !
Irgendwie ist die Shift Taste an deinem Rechner defekt
Der "Dienstleister" ist sicher kein Netzwerker!.... Aber egal wie du es machst, letztlich ja deine Entscheidung
er meinte, dass mansich mit dem dc in einem anderne vlan nur das leben schwer macht.
Normal ist das Unsinn, denn das IP Netz ist völlig unabhängig von der Domänenfunktion und hat damit soviel zu tun wie ein Fisch mit einem Fahrrad. Relay ist ja ausschliesslich nur fürs DHCP.Der "Dienstleister" ist sicher kein Netzwerker!.... Aber egal wie du es machst, letztlich ja deine Entscheidung