Oct 01, 2023, updated at Oct 13, 2023 (UTC)

4357

Vlan Vorüberlegungen im Heimnetz

Habe ein Heimnetz mit zu vielen Unbekannten oder besser unzurechenbaren Teilnehmern. Deshalb möchte ich ein Vlan aufbauen. Hardware müsste schon passen. Habe mal 3 Gruppen erstellt, wobei die 3. für mich nicht einzuordnen ist. Sicherlich könnte man einiges noch über zusätzliche Firewalls steuern. Aber soweit bin ich noch nicht. Sind meine Überlegungen zur Aufteilung so richtig ?
Das 2. Netz muss eigentlich nur zu Updates ins Netz. Oder kann ich die immer rein lassen, da es nichts mit meinem vollen Netz zu tun hat.
Danke für Eure Unterstützung!

Voller Zugriff:

QNAP-NAS 1x
mobile devices 4x
Laptop 4x
PC -Lan 2x
Proxmox cluster 2x
q-device 1x

2 Netz:

ecowitt 1x
ESP32 6x
shelly 9x
tuya geräte 16x
tasmota 1x
Drucker 1x

3. ) unklar da wohl zugriff in beide Netze notwendig ist

Alexa 6x
Mediaserver4x
Home Assistant (proxmox VM)
PI Hole (Proxmox VM)
Nextcloud (Proxmox) planunung

Please also mark the comments that contributed to the solution of the article

Content-Key: 33760412230

Url: https://administrator.de/contentid/33760412230

Printed on: April 27, 2024 at 13:04 o'clock

60 Comments

Latest comment

Moin,

wenn die Nextcloud vom Internet her zugänglich sein soll. würde ich die in eine DMZ stecken.

Gruß

Uwe

Hallo Uwe, oh jeh ... Nextcloud ist erst eine Winterbaustelle ... Dann werde ich auch mal recherchieren wie DMZ funktioniert und wie der Zusammenhang mit Vlan ist und .... wie ich das auf dem proxmox realisiere. Jetzt erst mal Vlan ;)
Danke !

noch über zusätzliche Firewalls steuern.

Wieso "zusätzlich"?? 🤔
Verwende einen preiswerten Mikrotik VLAN Switch, da hast du die Firewall für alle deine VLANs schon integriert und alles in einem einzigen Gerät! 😉

wie ich das auf dem proxmox realisiere.

Vielleicht so...?!

@aqui
Dachte ich könnte das mit einer Fritzbox und mehreren GS1900-8 realisieren.
Mit der Firewall wollte ich mich später beschäftigen, wenn Vlan läuft. Oder macht
Vlan in der o.g. setting kein Sinn, da ich keine gute Firewall habe ?

habe gerade das Bild gefunden. So ungefähr dachte ich mir das. Und die 2 Netzt mit Fritzbox und Gastnetz aufbauen.

Zitat von @sat-fan:

@aqui
Dachte ich könnte das mit einer Fritzbox und mehreren GS1900-8 realisieren.
Mit der Firewall wollte ich mich später beschäftigen, wenn Vlan läuft. Oder macht
Vlan in der o.g. setting kein Sinn, da ich keine gute Firewall habe ?

habe gerade das Bild gefunden. So ungefähr dachte ich mir das. Das 2. Netz mit Fritzbox und Gastnetz aufbauen.

Zitat von @sat-fan:
[...] Dachte ich könnte das mit einer Fritzbox und mehreren GS1900-8 realisieren.

Sofern in deinem Setup nicht die "Firewall VM" (welches Produkt?) das Routing zwischen den VLANs übernimmt, fehlt dir ein Baustein. Sollte sie einfach nur NAT machen (quasi "Router-Kaskade" mit doppeltem NAT) und VLAN 10 vor der Fritzbox verstecken, funktioniert es zwar, ist aber sehr unschön gelöst.
Die Fritzbox selbst kann mit VLANs nicht umgehen. Sobald du mehr als zwei Netze brauchst (z. B. deine dritte Gruppe an Geräten oder eine DMZ), kommst du ins Schleudern. Mal abgesehen davon, dass man das Gastnetz einer Fritzbox nicht für diese Art Segmentierung nutzen sollte ;)

VLAN-ID 1 sollte man nach Möglichkeit nicht verwenden, da es als Default-VLAN vorgesehen ist. Die Korrelation zwischen VLAN-ID und "passendem" Subnetz hast du schon eingebaut und macht es dir später einfacher.

Eine DMZ kannst du dir theoretisch wie ein weiteres VLAN vorstellen, wobei die Zugriffe dort etwas stärker beschränkt werden (technisch nicht ganz richtig, hilft aber dem ersten Verständnis).

ok ...
im Moment gibt es noch keine FW als VM. War nur so eine Idee.
Also ein Tausch vom G1900-8 gegen einen MikroTik Cloud Smart Switch - CSS610-8G-2S+IN
Dann mit einem Kabel von der FB zum MikroTik und dann dort die Aufteilung in verschiedene Netze machen.
Macht aufteilung in 3 Sinn wie oben beschrieben ?
Denke das Wlan in der FB muß ich dann abschalten
und Air-AP28021-E-K9 günstig erwerben.

Wie ist das dann mit meinen repeatern 3 x FritzRepeater600 ?

Also ein Tausch vom G1900-8 gegen einen MikroTik Cloud Smart Switch - CSS610-8G-2S+IN

Nein, wie oben bereits steht, brauchst Du Routing. Es gibt Switche von Mikrotik, die können routen. Die CSS-Serie aber nicht. Besser ist es ohnehin, einen kleinen Router einzusetzen, z.B. einen Mikrotik hAP ac2 oder ax2.

Denke das Wlan in der FB muß ich dann abschalten

Fritzbox und Repeater könnten bleiben, wenn gewünscht. Dann muss sie aber hinter den Router. Und vor diesen dann noch ein Modem. Technisch sinnvoll ist das Fritz-Zeugs natürlich nicht. Aber für zuhause reichts ja.
Wenn Du einen hAP a... nimmst, ist WLAN mit drin. Über den kannst Du auch weitere Mikrotik APs gleicher Klasse steuern. Das ist sehr angenehm.
Bei Mikrotik aber immer beachten: Steile Lernkurve! Geht nur mit Lust und Zeit, um sich solide Grundkenntnisse anzueignen.

Viele Grüße, commodity

die Fritzbox muß als modem bleiben, da meine Telefonanlage darüber läuft. Habe mich entschlossen 4 x AIR-CAP2702I-E-K9 zu nutzen. entsprechnde Kabel habe ich liegen. Stellt sich die Frage ob ich 4 Netzteile kaufen soll oder stattdessen einen switch mit poe. Hatte mir den TP-Link TL-SG108PE ausgekuckt, der nicht mehr als 4 Netzteile kostet dann aber gesehen, das der kein Vlan kann. Was wäre eine brauchbare Alternative um sie neben den CSS610-8G-2S+IN zu hängen ?
Danke !

Nachtrag... wie wäre es mit dem ?
MikroTik RouterBOARD RB260GSP

Fritzbox muß als modem bleiben, da meine Telefonanlage darüber läuft.

nein. Lesen und verstehen.

4 Netzteile kaufen soll oder

nachdenken und selbst beantworten (Nur Du kennst die baulichen Verhältnisse)

AIR-CAP2702I-E-K9
TP-Link TL-SG108PE

ausgelaufene bzw. Hardware ohne Updates? Dein Netz...
Im Übrigen kann der TP-Link VLAN. Genauer lesen.

Was wäre eine brauchbare Alternative

CSS610-8P-2S+IN. Aber wieso neben? Du brauchst keinen CSS als Hauptswitch, wenn Du einen Router und einen oder mehrere GS1900-8 hast. Auch wenn das natürlich Welten sind, zwischen den Geräten.

RB260GSP

In Ordung für zuhause und zum Einstieg prima, aber kein Router. hEX oder hAP a.. ist Dein Freund.

Viele Grüße, commodity

@commodity
zu 1
Vlan und Firewall aufbauen ist für mich schwierig genug. Meine 50 mbit Verbindung zu Netcom Kassel läuft gut und die konfiguration einer Firewall vor der FB mit der Telefonanlage ist mir im moment ne Baustelle zu viel. Bringt meines erachtens ja auch nicht viel, wenn die FB nur noch als GW und für die Telefone funktioniert. Mit anderem Modem wird es auch nicht schneller denke ich.

zu 2 & 3
Baulich beides möglcih. Geht nur um die Anschaffungsosten und die effizienz von 4 Netzteilen bzw einem Poe Switch
Habe 4 AIR-CAP2702I-E-K9 erworben für 12€ . Die sind auf jeden Fall besser als die FB600 repeater. Updates werde ich wahrscheinlich nicht brauchen.

zu 4

@aqui hat im Post 3 einen Mikrotik VLAN Switch empfohlen um vlans aufzubauen, da die FB das ja nicht kann. Dachte er meint einen CSS610-8G-2S+IN

In der Grphik zum link sehe ich jetzt aber ein anderes Modell. Welches ist das ?

zu 5

neben meinte ich pysisch. Dachte daran einen GS1900-8 gegegen einen RB260GSP auszutauschen, da der ja poe ports hat. wobei mir auch nicht klar ist ob ich damit die Stromversorgung der APs sicher stellen kann.

Die Grafik des Netzes gefällt mir. Die Frage ist nur welches teil soll da rein also ein MikroTik hAP ac, MikroTik hAP ac2 oder ein MikroTik hAP ax² . Welcher macht mehr Sinn bei mir ?

Dachte wenigstens die HW auswahl ist einfach ;)

Das 2. Netz mit Fritzbox und Gastnetz aufbauen...

Wenn dir 2 VLANs reichen, dann ist es damit lösbar. Siehe auch HIER.
Bei mehr ist die Fritzbox dann die falsche Hardware, denn mehr kann sie nicht. Bzw. du musst dann einen Router oder Layer 3 Switch hinter der FB kaskadieren.
Weitere Grundlageninfos hat, wie immer, das hiesige VLAN Tutorial 😉

Welcher macht mehr Sinn bei mir

Kommt drauf an... der hAP hat nur 100Mbit Kupferports. Wenn dir das reicht go for it. Wenn du doch lieber 1Gig haben willst dann hEX (RB750G) bzw. eben etwas (Switch / Router) mit Gig Ports.

die konfiguration einer Firewall vor der FB mit der Telefonanlage

Prinzip nicht verstanden. Die Reihenfolge der Router ist vom Aufwand her völlig gleich. Ist ja beides Router hinter Router

Technisch ist es nur sinnvoller, die Fritze nach hinten zu legen.
Erst überlegen, dann entscheiden.

RB260GSP auszutauschen, da der ja poe ports

Lesen: Passive PoE vs PoE af/at

MikroTik hAP ac2 oder ein MikroTik hAP ax²

beide haben Gigabit-Ports, nur unterschiedliche Wifi-Version. Beide sind gut.

Vlan und Firewall aufbauen ist für mich schwierig genug.

Ich rate Dir daher von Mikrotik ab. Wie oben schon geschrieben, muss man dafür bereit sein. Wenn schon die Reihenfolge der Router ein Problem ist, wirst Du mit RouterOS nicht glücklich.

Viele Grüße, commodity

Hab mich bischen eingelesen. In Frage kommen wohl:
hEX
hEX PoE
hAP ac³

Denk Der haP AC3 sollte der richtige sein.
Folgendes sollte damit gehen.
mindestens 3 Vlans
Verbindung zu CSS610-8P-2S+IN
Modem von FB7580 nutzen
Nutzung der GS1900-8 als Vlan switch
aufbau der Netze siehe Post 1

Gehe davon aus das ich das Wlan unterschiedlichen Vlans zuordnen kann.

Kann ich damit 3 Stück von den APs CSS610-8P-2S+IN mit Strom versorgen ?
Iwi ist das schwierig mit den Leistungsangaben.
den 4. Ausgang würde ich dann zum GS1900 legen.

Danke !

Die Fritzbox ist nicht mehr als reines Modem zu nutzen. Das hat AVM in der Firmware deaktiviert. Da wäre dann bei xDSL ein Vigor 167/167 oder Zyxel VMG3006 die bessere Wahl.
Was bei der FB geht geht ist die Router Kaskade mit doppeltem NAT und doppeltem Firewalling oder eben PPPoE Passthrough. Letzteres auch nur bei einem xDSL Anschluss.

Die Auswahl der MTs oben ist soweit (fast) korrekt. Wenn du auf dem Gerät nicht zwingend zusätzlich auch WLAN benötigst kannst du es auf den heX oder heX PoE eindampfen.

Kann ich damit 3 Stück von den APs CSS610-8P-2S+IN mit Strom versorgen ?

Eine etwas wirre Frage ohne Bezug.

Du meinst 3 APs an dem CSS PoE Switch betreiben? Und wenn ja welche APs meinst du ??
Der hAP ac3 ist kein reiner AP sondern ein kompletter WLAN Router. Den als AP zu vergewaltigen wäre Unsinn und HW Overkill.

Reine APs wäre z.B. der cAP ax
Wenn du in der Grundschule beim kleinen Einmaleins aufgepasst hast dann musst du auch diese Frage zum Anschluss 3er APs gar nicht stellen.

Der o.a. cAP ax ist z.B. ein 802.3af PoE Klasse 4 Gerät also mit PoE 30W. 3 Stück von denen ergibt 90 Watt. Der Blick ins Datenblatt des CSS Switches besagt das dieser 162 Watt kann.
Der Rest ist eine einfache Addition.

Bei 802.3at APs mit Powerklasse 1 bis 3 und max. 15,4 Watt PoE kannst du die doppelte Anzahl betreiben.
Datenblätter lesen hilft wirklich! 🧐

Vielen Dank für die Ausführliche Erklärung. Kommt leider zu Missverständnissen wenn der Laie den Profi fragt, sorry.

Die Materie ist noch sehr unübersichtlich für mich.

Hab mich mit copy und paste vertan. CSS610-8P-2S+IN ist komplett raus aus meinen Überlegungen.
Hier nochmal ohne schöne Graphik, aber hoffentlich Sinvoll

Fritz 7530 AX (10.0.0.1)

hAP ac³ od. hEX Poe

| ...................... | ...................................................... | .......................................... |
GS1900-8(1) AIR-CAP2702I-E-K9 (1) AIR-CAP2702I-E-K9(2) (AIR-CAP2702I-E-K9(3)

|
GS1900-8(2)

|
AIR-CAP2702I-E-K9(4) ext Power

Denke so hat meine Frage mehr Sinn gemacht ;)

Nachtrag: Im Vergleich der beiden Poe Router ergibt sich, das
Max out per port output (input 18-30 V) HexPoe 1 A AC3 0.5 A
Max out per port output (input 30-57 V) HexPo 450 mA AC3 N/A

Der wlan router AC3 ist scheinbar nicht geeignet ist, da er wohl nur 0,5A bei 18-30V macht.
Im Datenblatt steht aber was von 48V !
https://www.cisco.com/c/en/us/products/collateral/wireless/aironet-2700- ...

werde wohl doch den Ac3 nehmen und einzelne Netzteile für die APs
Alternative wäre eine der AIR-CAP2702I-E-K9 in der Nähe vom HexPoe zu platzieren und schauen das dieses Gerät irgendwo lieferbar ist . (Bei OMG erst an Weihnachten)

Bitte schaut mal drüber ob das geschriebene so Sinn macht. Danke

Vielleicht magst Du Deine Überlegungen zum PoE nochmal mit meiner vorherigen Aussage

Zitat von @commodity:

RB260GSP auszutauschen, da der ja poe ports

Lesen: Passive PoE vs PoE af/at

abgleichen.

Viele Grüße, commodity

Danke für deine Geduld !
Habe zwar Nachrichtentechnik studiert, aber zu Zeiten von Fortran und Lochkarten ;)
Also ist mein Grundlagenwissen nicht das neuste ... Habe erst jetzt wieder Zeit mich in die Materie einzulesen und rum zu spielen.

Habe jetzt mal das hier gelesen um PoE zu verstehen.
https://docs.sewio.net/docs/poe-power-over-ethernet-14221344.html
Mir ist dennoch nicht ganz klar was du mir mit deiner letzten Nachricht sagen möchtest.
Sind folgende Schlussfolgerufen richtig ?
- pasives Poe sollte reichen, da die APs ja immer Strom brauchen.
- Ac3 hat nicht genug Ausgangsleistung um die Cisco APs zu versorgen

Weis jetzt auch warum ich dachte FB muß als primärer Router bleiben. Hatte vor 3 Jahren hier mal versucht eine Lösung mit 2 DSL Anschlüssen und load balancing zu finden, was nicht so ganz einfach war. Egal .. jetzt hab ich eine stabile 50 MBit Leitung und bin also theoretisch offen.

Zitat von @commodity:

die konfiguration einer Firewall vor der FB mit der Telefonanlage

Prinzip nicht verstanden. Die Reihenfolge der Router ist vom Aufwand her völlig gleich. Ist ja beides Router hinter Router

Technisch ist es nur sinnvoller, die Fritze nach hinten zu legen.
Erst überlegen, dann entscheiden.

Das Prinzip ist klar. Nur wollte ich die Kosten eines zusätzlichen Modems sparen und sah keine Nachteile darin die Fritte nur als Sip-Anlage zu nutzen und den Netzwerkverkehr an einen richtigen router mit Firewall durchzureichen.

Habe gerade das hier gefunden ... sollte gehen, oder ?
https://www.kleinanzeigen.de/s-anzeige/zyxel-vmg3925-b10b-vdsl-ac-wifi-m ...

Zitat von @commodity:
Wie oben schon geschrieben, muss man dafür bereit sein. Wenn schon die Reihenfolge der Router ein Problem ist, wirst Du mit RouterOS nicht glücklich.

Ich liebe die Herausforderung und steile Lernkurven. Bin halt nur manchmal nicht ganz so schnell und brauch jemand der mich den Berg weiter hochstubst.

Hoffe auf eure Geduld !

Thema PoE, Punkt 1:
Passive PoE zieht dich auf FastEthernet (100 MBit/s) runter. Außerdem muss das angeschlossene Gerät damit klar kommen, denn vier Adern stehen immer unter Spannung. Egal, was das angeschlossene Gerät will / braucht / verträgt.
PoE nach IEEE 802.3 af, at oder gar bt lässt Gigabit zu. Da wird ausgehandelt, ob, wie und wie viel Strom fließen soll.

Warum ist das wichtig? Pinbelegung und Verwendung sowie Adernutzung FastEthernet und Adernutzung GigabitEthernet

Thema PoE, Punkt 2:
Unterscheide beim MikroTik zuerst einmal nach der Spannungsversorgung. Wird er per Passive PoE gespeißt oder kommt da ein Netzteil dran? Elektrotechnik ist zum Glück bei Nachrichtentechnik essentiell

Entsprechend sind dann die Ausgangsleistungen des RB960PGS (hEX PoE) und RBD53iG-5HacD2HnD (hAP ac³) zu verstehen. Beispiel hEX PoE:

Thema PoE, Punkt 3:
Legst du nun die Anforderungen des (Cisco AIR-CAP2702I-E-K9) daneben:

und schaust dir die (elektrischen Spezifikationen von 802.3 af / at) an, kannst du zum Taschenrechner greifen.

Thema PoE, Punkt 4:
Ob du die APs per PoE oder Netzteil versorgst, ist ein reines Rechenexempel, sofern du baulich keine Einschränkungen hast:
Anschaffung: Was kostet ein PoE-fähiger Switch mehr als ein nicht PoE-fähiger? Was kosten die Netzteile oder PoE-Injektoren?
Betrieb: Wie viel Strom fressen die Netzteile oder PoE-Injektoren? Wie viel Strom braucht der Switch (zusätzlich)?
Das musst du für dich entscheiden. Berücksichtige dabei mögliches Wachstum wie z. B. Überwachungskameras, die man auch per PoE versogen kann.

@benadi
danke für die ausführlicher Erklärung. Denke jetzt ist es angekommen ;)
Netzteile oder PoE-Injektoren kosten wohl jeweils um die 15-20€
Bei 3 Stück ist das auf jeden Fall mehr als der POe aufpreis beim Router.

Ist der ZYXEL VMG3925-B10B als ModemBridge für den hEX PoE brauchbar ? Habe nur einen 50Mbit DSL Anschluss

Passives PoE ist nicht Standard konform!! Da macht jeder Hersteller was er will. Solche Verfahren funktionieren ausschliesslich nur mit Produkten EINES Herstellers, bei anderen bergen sie immer ein latentes Zerstörungspotential bei Endgeräten.
Genau aus dem Grunde sollte man möglichst immer vermeiden das proprietäre passive PoE einzusetzen und nur Komponenten verwenden die zum IEEE PoE Standard 802.3af oder 802.3at kompatibel sind.
Diesen wichtigen Fakt hattest du wohl im Eifer des Gefechts nicht auf dem Radar.
Hier stehen alle Details zu den PoE Verfahren:
https://de.wikipedia.org/wiki/Power_over_Ethernet

Der Rest deiner Aufzeichnung ist soweit absolut OK und klappt so.

Ist der ZYXEL VMG3925-B10B als ModemBridge für den hEX PoE brauchbar ?

Jein.
Der o.a. Zyxel ist ein vollständiger Router und primär kein reines xDSL Modem!
Bei einem reinen Modem bist du mit einem Zyxel VMG3006 technisch besser bedient.
Alternative im reinen Modembereich wäre dann das Draytek Vigor 165 oder 167.
Ein Ersatz deines derzeitigen Routers ist nicht zwingend. Du kannst den L3 Router/Switch auch in einer üblichen [ Router Kaskade] mit deinem jetzigen Router betreiben.
Ein reiner Modembetrieb ist zwar technisch besser aber eben nicht zwingend und da man auf dem Mikrotik das NAT deaktivieren kann im Heimnetz durchaus tolerabel.

danke,
dann lass ich erst mal die FB . Bei 10€ Einsatz hätte ich mir ne Alternative gegönnt. Die reinen von dir genannten Modems sind teurer.

Für um 20-30 EUR bekommt man in der Bucht auch ein Zyxel VMG1312-B30A, das für 50 Mbit locker reicht.

Viele Grüße, commodity

Habe mir jetzt mal die Routersoftware runter geladen und in einer VM installiert. Komme eigentlich ganz gut zurecht. Habe aber 2 prinzipielle fragen.
Kann ich z.B. die Firewall und Interface Regeln schon in der VM machen und dann über Backup und Restore in den RB960PGS (hEX PoE) schieben?

Ist es zwingend nötig ipv6 zu nutzen ? Bekomme eine feste IPV4 von meinem Provider. Macht es wesentlich einfachen zu konfigurieren.
Danke

~~1. Der hEX PoE macht Deine Geräte u.U. kaputt~~ (Kollege @aqui hat sich hierzu bereits geäußert).
2. Restore: Nein. Das geht nur für baugleiche Geräte. Es braucht einen Export und zumindest händisch begleitete Übertragung.
3. Nein.

Viele Grüße, commodity

Was das PoE beim hEX anbetrifft ist das so leider nicht richtig!
Sieht man ins Datenblatt des hEX PoE oder den o.a. Screenshot davon
https://mikrotik.com/product/RB960PGS
Erkennt man das die Ports 2 bis 5 standardkonformes 802.3af / at supporten.

Macht es wesentlich einfachen zu konfigurieren.

Na ja...ein etwas unsinniger Einwand. Wenn du einen Dual Stack vom Provider bekommst sollte man den dann auch nutzen.
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Fürs Auffrischen des IPv6 KnowHows hilft vielleicht etwas kostenlose Lektüre:
https://danrl.com/ipv6/

da hex poe nicht wirklich lieferbar ist, habe ich mich für den normalen hex und Poe Inj. entschieden. Dann bin ich auch flexibler. Mein Ip6 Know how geht gegen 0 ... und das wollte ich eigentlich mit ins Grab nehmen ;).

Was das PoE beim hEX anbetrifft ist das so leider nicht richtig!

Stimmt. Danke! Mikrotik hat sehr wenige af/at - Geräte. Aber dies ist tatsächlich eines.

Viele Grüße, commodity

Mein Ip6 Know how geht gegen 0

Ziemlich traurig denn Lernen gilt bekanntlich lebenslang...

Und damit es nicht so bleibt ist genau dafür die sehr leicht verständliche o.a. Workshop Lektüre gedacht! Zumal v6 genau das gleiche wie v4 ist, eben nur mit etwas längeren Adressen...

Zitat von @commodity:
Stimmt. Danke! Mikrotik hat sehr wenige af/at - Geräte. Aber dies ist tatsächlich eines.

... von ...
https://mikrotik.com/product/crs354_48p_4s_2q_rm
https://mikrotik.com/product/netpower_16p
https://mikrotik.com/product/css610_8p_2s_in
https://mikrotik.com/product/crs112_8p_4s_in
https://mikrotik.com/product/rb5009upr_s_in
https://mikrotik.com/product/RB960PGS-PB
https://mikrotik.com/product/RB960PGS
https://mikrotik.com/product/rb5009_out

Gruß sid

Zitat von @aqui:

Mein Ip6 Know how geht gegen 0

Ziemlich traurig denn Lernen gilt bekanntlich lebenslang...

Und damit es nicht so bleibt ist genau dafür die sehr leicht verständliche o.a. Workshop Lektüre gedacht! Zumal v6 genau das gleiche wie v4 ist, eben nur mit etwas längeren Adressen...

Wenn du mal über 60 bist, hast du durchaus die Option nicht mehr alles zu lernen zu wollen. Das ich mich jetzt mit Vlan, VMs, und Firewalls beschäftige reicht meinen grauen Zellen gerade ;)
Aber es geht weniger um das nicht lernen wollen, sondern um die Notwendigkeit, z.B: alle Firewall regeln doppelt zu machen. Wenn Ipv4 geht, warum dann Ipv6. Aber wenn es sein muß .. Wird halt bis Weihnachten dauern bis mein Netz dann steht ;)

Zitat von @aqui:
Fürs Auffrischen des IPv6 KnowHows hilft vielleicht etwas kostenlose Lektüre:
https://danrl.com/ipv6/

ok .. muß zugeben interessante Literatur. Bis meine Hardware geliefert wird, hänge ich mich mal rein

... von ...
...

Was ist das? Besserwissermodus?

Stell das mal in Relation zu den passive PoE-Geräten. Dann sind das wahrscheinlich 10 %.
Aber eine schöne Übersicht, jedenfalls.

Wenn du mal über 60 bist, hast du durchaus die Option nicht mehr alles zu lernen zu wollen.

Bei dem Fachkräftemangel wäre das aber dringend geboten!

Spaß beiseite: Du hast meinen verdienten Respekt für VLANs, VMs, Firewall u.ä.
Wichtiger, als alles zu lernen (das macht hier keiner) finde ich, ist es, das was man lernen möchte, auch wirklich zu lernen. Und nicht nur so dass es irgendwie läuft.

Viele Grüße, commodity

z.B: alle Firewall Regeln doppelt zu machen.

Wäre auch Unsinn, denn im allgemeinen gelten die IP Regelwerke bekanntlich immer für v4 und v6 gemeinsam! 😉

Zitat von @aqui:

z.B: alle Firewall Regeln doppelt zu machen.

Wäre auch Unsinn, denn im allgemeinen gelten die IP Regelwerke bekanntlich immer für v4 und v6 gemeinsam! 😉

Echt jetzt ... Nur Ip6 Regeln und dann geht auch Ip4 ? Habe mir nur virtuell das Interface angeschaut und ein kurzes Tutorial gesehen. Da wurden nur IPv4 Regeln erstellt und zum schluss gesagt, das man das gleiche jetzt noch mal für Ipv6 machen muß. Wie gesagt ist noch Neuland und ich habe diese info genutzt.

denn im allgemeinen gelten die IP Regelwerke bekanntlich immer für v4 und v6 gemeinsam!

Verstehe ich auch nicht. Das schreit doch förmlich nach einem Tutorial!

Nach meinem bisherigen Verständnis sind v4 und v6 zwei Paar Schuhe - mit ziemlich unterschiedlichen Konzepten. Hier ein guter Beitrag aus einer Debatte im OPNsense-Forum:
https://forum.opnsense.org/index.php?topic=28447.msg138207#msg138207
Das Thema liegt bei mir auch immer noch auf der ToDo-Liste.

Viele Grüße, commodity

Ich mag nicht über den Sinn von IPv6 diskutieren, Gutes, sichereres Konzept. Dennoch habe ich für meine Anwendung zu Hause nicht wirklich einen Vorteil gefunden und alleine die Nomenklatur ist für mich schwierig. Habe ca. 100 Nodes die alle feste IPv4 haben und würde gerne erst mal auf die Ursprüngliche Frage zurück kommen, da die HW Konfiguration jetzt klar ist.

Nach heutigem Stand würde ich folgende VLan unterscheiden und dann mit entsprechenden Regeln in der Firewall belegen.

Vlan 10 (15) voller zugriff (PC/Mobile/Switches)
Vlan 20 (12) Media (Alexa ect.)
Vlan 30 (40) Kein Zugriff (Steckdosen, Lampen ect) / evtl. updates
Vlan 40 (20) (ESP32 und ähnliche Mess- und Steuerungen)
Vlan 50 (5) interne Anwendungen
1 x Graphana
1 x mariadb
1 x pi-hole
1 x Q.Device
1 x Drucker
Vlan 60 (5) spezial Anwendungen mit ext. Zugriff
1 x Homeassistant
2x Proxmox
1x Qnap
1x Nextcloud (Planung)

Macht die Aufteilung so Sinn ? Mir wird Angst und Bange, dafür Firewall Regeln zu schreiben ... Danke!

Zitat von @commodity:

denn im allgemeinen gelten die IP Regelwerke bekanntlich immer für v4 und v6 gemeinsam!

Verstehe ich auch nicht. Das schreit doch förmlich nach einem Tutorial!

Aquí meint hiermit wohl die nftables Firewall mit ihrer inet table die sowohl IPv4 als auch IPv6 gleichzeitig abarbeitet bis auf ein paar Ausnahmen wie ICMPv6 das man noch separat zusätzlich konfiguriert.
Hier erstellt man das Regelwerk zentral nur einmal für v4 und v6.

Macht die Aufteilung so Sinn ?

Ja, macht Sinn und kann man so machen.

dafür Firewall Regeln zu schreiben

Das ist natürlich Unsinn und völlig unbegründet. Das sind 2 bis max 3 Zeilen in der FW Konfig pro VLAN was auch ein Laie problemlos hinbekommt. Beachte das du in der MT FW Konfig mit Aliases arbeiten kannst was die Konfig dann deutlich vereinfacht!
Eine kurzen Überblick wie simpel das ist findest zu u.a. hier.

Macht die Aufteilung so Sinn ?

Was bedeuten die "1x" Einträge? Sollen das auch selbständige VLANs werden?
Sinnvoll ist immer auch ein Administrations-Netz, auf das nur der "Administrator" Zugriff hat (nicht auch das VLAN10).

Aquí meint hiermit wohl die nftables Firewall

Danke Dir. Wenn ich das richtig verstehe, gilt die Aussage dann aber nicht allgemein, sondern nur für die Inet-Table und auch nur, solange nicht nach Geräten gefiltert wird. Dann muss ich für bislang (auch) über Adressen definierte Regeln (z.B. Zugriff auf einen spezifischen Server oder spezifisches Ruleset nur für Admin-PCs) entweder eigene Interfaces schaffen oder doch individuelle Regeln schreiben. Alle Firewalls die ich kenne, sehen das auch so vor.
Ich bleibe dabei: Tutorial wäre super. Ich komme drauf zurück. Hier wollen wir aber dem TO seinen Thread belassen

Viele Grüße, commodity

Zitat von @commodity:

Macht die Aufteilung so Sinn ?

Was bedeuten die "1x" Einträge? Sollen das auch selbständige VLANs werden?
Sinnvoll ist immer auch ein Administrations-Netz, auf das nur der "Administrator" Zugriff hat (nicht auch das VLAN10).

ok. Danke. Mit 1x meinte ich nur die Anzahl der Geräte in Vlan60 Das sollte auch das admin Netz sein

macht es Sinn Vlan50 und Vlan60 zusammen zu fassen? sind alle nur für den Admin und ich könnte hosts auch einzeln beschränken. Geht sicherlich beides, aber mag es gleich optimal aufsetzen

Zitat von @commodity:
Danke Dir. Wenn ich das richtig verstehe, gilt die Aussage dann aber nicht allgemein, sondern nur für die Inet-Table und auch nur, solange nicht nach Geräten gefiltert wird. Dann muss ich für bislang (auch) über Adressen definierte Regeln (z.B. Zugriff auf einen spezifischen Server oder spezifisches Ruleset nur für Admin-PCs) entweder eigene Interfaces schaffen oder doch individuelle Regeln schreiben. Alle Firewalls die ich kenne, sehen das auch so vor.

Geräte/VLANs etc. verpackt man natürliche in Variablen und IP-Arrays, und Interfaces in Zonen, so dass einem das ewige neu schreiben erspart bleibt und eine IF-Zuweisung zu Zonen in der Regel ausreicht.
https://wiki.nftables.org/wiki-nftables/index.php/Nftables_families

@7907292512 - ich komme sicher drauf zurück

@sat-fan - ich würde keinen Drucker ins Admin-Netz packen. Und auch keine Server/Dienste, auf die von außen zugegriffen wird.

Viele Grüße, commodity

Zitat von @commodity:

@7907292512 - ich komme sicher drauf zurück

@sat-fan - ich würde keinen Drucker ins Admin-Netz packen. Und auch keine Server/Dienste, auf die von außen zugegriffen wird.

Viele Grüße, commodity

Das würde dann wohl ergeben:
Vlan 50 - Admin

Graphana
mariadb
Q.Device

Vlan 60 - spezial Admin Anwendungen mit ext. Zugriff
Homeassistant
Drucker
Proxmox-1
Proxmox-2
Qnap
PI Hole
Nextcloud (Planung)

Wieso muss man auf Drucker und Pi-hole von außen zugreifen?
Wenn der Home-Assistant von außen zugreifbar sein sollte (grusel), gehört er IMO in eine DMZ.
Die Admin-Interfaces von Switchen, Routern u.ä. würde ich hingegen ins Admin-Netz packen.

Viele Grüße, commodity

hihi .. klar Drucker und pihole müssen nicht raus.
Also pihole ins 50er und auch alle switches, die FB.
Was ist mit dem Hex ? und was mit den Cisco APs ?

HAS geht im Moment über einen ssl port rein und muß dann in ein DMZ . Bedeutet das eine eigene VlanID?
In welchen Netz würdest du den Drucker packen ?

Was ist mit dem Hex ? und was mit den Cisco APs ?

Ich denke, die Frage kannst Du Dir jetzt schon selbst beantworten

DMZ . Bedeutet das eine eigene VlanID?

Ja. Oder ein eigenes physisches Interface.
Drucker ist Geschmackssache. Ich finde sie potentiell gefährlich, ergo kommen sie auch in ein Netz, wo sie keinen Schaden anrichten können. Wenn viel gedruckt wird und der Router schwach, kann das aber langsam werden. Heim- und Büronetze sind da aber ohnehin anders zu betrachten.

Viele Grüße, commodity

Zitat von @commodity:

Was ist mit dem Hex ? und was mit den Cisco APs ?

Ich denke, die Frage kannst Du Dir jetzt schon selbst beantworten

DMZ . Bedeutet das eine eigene VlanID?

Hmm. APs sind wohl wie switches zu behandeln. Jetzt kommt ne böse Frage ...
Hex von außen ??? Bei der Fritzbox gibts ja sowas wie myfritz um rein zu kommen.
Dann wäre das Admin netz Vlan50 das falsche ...

Erschlage mich nicht, weil ich auch von außen den Router administrieren möchte.
(so lange bis alles rennt) ;)

Bei der Fritzbox gibts ja sowas wie myfritz um rein zu kommen.

Hat Mikrotik natürlich auch wenn man es aktiviert.
https://mikrotik-blog.com/dyndns-unter-mikrotik-routeros-einrichten

Zitat von @aqui:

Bei der Fritzbox gibts ja sowas wie myfritz um rein zu kommen.

Hat Mikrotik natürlich auch.
https://mikrotik-blog.com/dyndns-unter-mikrotik-routeros-einrichten

darf er dann dennoch ins sichere admin Netz ?

Das entscheidest DU doch als Admin, nicht der Switch der von DIR konfiguriert wird! 🧐
DynDNS hat ja auch per se nichts mit der Zugangssicherheit zu tun.

ist klar. Aber nachdem ich das erst mal Admin eines richtigen netzes bin verlasse ich mich auf die Erfahrungen der Profis ;)

Nachdem ich noch ne Woche im KH bin, muß ich noch einige trockenübungen machen. Bei meinem Kentnisstand und im allgemeinen sicher nicht schlecht um nichts zu vergessen und Fehler zu vermeiden. Habe mir folgendes Port/Vlan setup überlegt ... Finde den Fehler ;)

-Ethernet 1
WAN

-Ethernet 2
Fritzbox ( SIP )
IP: 192.168.300.1

-Ethernet 3
bridgeZyxcel

VLAN-10-Gast
VLAN ID 10
IP: 192.168.10.0/24

VLAN-20-IoT
VLAN ID 20
IP: 192.168.20.0/24

VLAN-100-LAN
VLAN ID 100
IP: 192.168.100.0/24

VLAN-120-Media
VLAN ID 120
IP: 192.168.120.0/24

VLAN-130-ESP
VLAN ID 130
IP: 192.168.130.0/24

VLAN-140-NAS
VLAN ID 140
IP: 192.168.140.0/24

VLAN-150-HAS
VLAN ID 150
IP: 192.168.150.0/24

VLAN-200-Admin
VLAN ID 200
IP: 192.168.200.0/24

-Ethernet 4
bridgeProxmox
VLAN-140-NAS
IP: 192.168.140.100

-Ethernet 5
bridgeProxmox
VLAN-140-NAS
IP: 192.168.140.200

Zitat von @sat-fan:
Finde den Fehler ;)

-Ethernet 2
Fritzbox ( SIP )
IP: 192.168.300.1

-Ethernet 3
bridgeZyxcel

Bidde 😄

hmmm.
was ist an der FB ip falsch ?
muss ich ein eigenes vlan machen, wenn nur diese sipbox dran hängt ?

was ist an vlan150 falsch. HAS steht für Homeassistent

muss ich keine Brücke erstellen, wenn ich mehrere vlans auf einem Port habe ?

Zitat von @sat-fan:

hmmm.
was ist an der FB ip falsch ?

Echt jetzt?? Du scheinst eine echte Blockade zu haben oder musst nochmal auf die Schulbank 😉, mehr wie 2^8 = 256-1 = 255 geht ned. IPv4 ist immer noch 32bit lang und das änderst auch du nicht ming Padawan...

muss ich keine Brücke erstellen, wenn ich mehrere vlans auf einem Port habe ?

Die VLANs müssen in erster Linie getagged auf dem Port übertragen werden.
Die Brücke kommt natürlich bei Mikrotik ins Spiel, die ist überhaupt Vorraussetzung für VLAN-Filtering wenn man es nicht über die andere Methode des Switch-Chips macht.

muss ich ein eigenes vlan machen, wenn nur diese sipbox dran hängt ?

Nö, kann man, muss man aber nicht, kann man ja Mitglied eines anderen VLANs machen.

###e ... schlaf noch
Danke

weiter gehts .. habe die ersten Vlans auf ether3 gelegt. Kann aber nur 1Dhcp server auf diesen Port legen. Brauch ja pro Vlan einen eigenen. Wo ist mein Denkfehler ?

Habe jetzt probiert eine Bridge mit nur einem Port zu errichten und dann DhCP server auf diese Bridge zu setzen .. logischer weise auch der falsche weg.

Erschlage mich nicht, weil ich auch von außen den Router administrieren möchte.
... verlasse ich mich auf die Erfahrungen der Profis ;)

Ich sehe zwischen den beiden Aussagen einen gewissen Widerspruch. Kein Profi, der noch alle Tassen im Schrank hat, macht seinen Router nach außen auf. Jedenfalls nicht mit der UI. Der nutzt ein VPN.
Haben Dich die Fritzbox-Hacks der Vergangenheit nicht ausreichend abgeschreckt).

Viele Grüße, commodity

Zitat von @commodity:

Erschlage mich nicht, weil ich auch von außen den Router administrieren möchte.
... verlasse ich mich auf die Erfahrungen der Profis ;)

mache ich gerne. Wenn ich weis wie das geht,, hab ja erst noch ein paar andere baustellen

Einen deiner "Vorüberlegungs" Doppelpostings solltest du hier dann aber auch mit einem Verwies als erledigt markieren.
How can I mark a post as solved?

German solved Question VPN Network Management IT Safety tips Networking Basics