VoIP und getrennte Netze im Heimnetzwerk mit welcher Hardware
Hallo und guten Abend zusammen!
Ich bin ganz frisch hier im Forum und hoffe, dass Ihr mir weiterhelfen könnt.
Vielen Dank schon mal vorab.
Leider habe ich bisher nichts (für mich) passendes im Netz zu meinem Problem finden können.
Da ich ein Netzwerk-Anfänger bin, ist mir vielleicht ein Lösungsansatz untergegangen.
Kurz zur bestehenden Hardware:
- FritzBox 7490 => darüber läuft die Telefonie und natürlich das Internet. An den LAN Anschlüssen betreibe ich zwei PCs.
- Powerline von AVM => dient der Vernetzung in der Wohnung (LAN & WLAN) für TV, PS4, Smartphone etc.
Alles über einen IP Adressbereich. Normal halt.
Jetzt möchte ich gerne die Netze trennen. D.h. mit bis zu vier verschiedenen IP Adressbereichen arbeiten (z.B. 192.168.10.0 | 192.168.20.0 | 192.168.30.0 und 192.168.40.0).
Dies soll für nachfolgendes Szenario gelten:
- .10.0: Beruf (LAN + WLAN)
- .20.0: Privat (Smartphone / Tablet / Notebook etc.) (LAN + WLAN)
- .30.0: IoT (TV / PS4 / Blueray etc.) (LAN + WLAN)
- .40.0: IP-Kamera (LAN + WLAN)
Eine Routerkaskade wollte ich nicht, da man recht häufig "nicht sicher" dazu liest. Und ich möchte diese Geräte (Bereiche oder Zonen) wirklich strikt voneinander getrennt haben.
Mein laienhafter Gedanke dazu war bisher:
Multi-Lan Router oder eine Firewall (Black Dwarf?). Reicht das dann schon oder muss dahinter ein managed Switch (Layer 2 oder 3?)? Und wie verhackstücke ich meine FritzBox über die ja die Telefonie laufen muss?
Jede Zone soll sowohl LAN als auch WLAN bereitstellen.
Und die Frage aller Fragen: Welche Hardware könnt Ihr mir empfehlen? Bitte nichts zum selber bauen.
Vielen Dank schon mal an Euch und einen schönen Abend!
Ich bin ganz frisch hier im Forum und hoffe, dass Ihr mir weiterhelfen könnt.
Vielen Dank schon mal vorab.
Leider habe ich bisher nichts (für mich) passendes im Netz zu meinem Problem finden können.
Da ich ein Netzwerk-Anfänger bin, ist mir vielleicht ein Lösungsansatz untergegangen.
Kurz zur bestehenden Hardware:
- FritzBox 7490 => darüber läuft die Telefonie und natürlich das Internet. An den LAN Anschlüssen betreibe ich zwei PCs.
- Powerline von AVM => dient der Vernetzung in der Wohnung (LAN & WLAN) für TV, PS4, Smartphone etc.
Alles über einen IP Adressbereich. Normal halt.
Jetzt möchte ich gerne die Netze trennen. D.h. mit bis zu vier verschiedenen IP Adressbereichen arbeiten (z.B. 192.168.10.0 | 192.168.20.0 | 192.168.30.0 und 192.168.40.0).
Dies soll für nachfolgendes Szenario gelten:
- .10.0: Beruf (LAN + WLAN)
- .20.0: Privat (Smartphone / Tablet / Notebook etc.) (LAN + WLAN)
- .30.0: IoT (TV / PS4 / Blueray etc.) (LAN + WLAN)
- .40.0: IP-Kamera (LAN + WLAN)
Eine Routerkaskade wollte ich nicht, da man recht häufig "nicht sicher" dazu liest. Und ich möchte diese Geräte (Bereiche oder Zonen) wirklich strikt voneinander getrennt haben.
Mein laienhafter Gedanke dazu war bisher:
Multi-Lan Router oder eine Firewall (Black Dwarf?). Reicht das dann schon oder muss dahinter ein managed Switch (Layer 2 oder 3?)? Und wie verhackstücke ich meine FritzBox über die ja die Telefonie laufen muss?
Jede Zone soll sowohl LAN als auch WLAN bereitstellen.
Und die Frage aller Fragen: Welche Hardware könnt Ihr mir empfehlen? Bitte nichts zum selber bauen.
Vielen Dank schon mal an Euch und einen schönen Abend!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397404
Url: https://administrator.de/forum/voip-und-getrennte-netze-im-heimnetzwerk-mit-welcher-hardware-397404.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
28 Kommentare
Neuester Kommentar
Hi,
wenn Du die Fritte behalten willst, degradier die zur reinen Telefinbasis.
Als Modem ein draytek Vigor oder ein zyxel.
Firewall pfsense oder opnsense auf nem APU Board. Als Switch ein Layer 2 Switch, bei Bedarf mit PoE.
Fürs Wlan würde ich Unify nehmen.
Das ganze wird aber Kein Sonderangebot und aufwändig in der Einrichtung. Wenn Du das noch nie gemacht hast hol Dir Hilfe oder beiss Dich da durch
Gruß
Looser
wenn Du die Fritte behalten willst, degradier die zur reinen Telefinbasis.
Als Modem ein draytek Vigor oder ein zyxel.
Firewall pfsense oder opnsense auf nem APU Board. Als Switch ein Layer 2 Switch, bei Bedarf mit PoE.
Fürs Wlan würde ich Unify nehmen.
Das ganze wird aber Kein Sonderangebot und aufwändig in der Einrichtung. Wenn Du das noch nie gemacht hast hol Dir Hilfe oder beiss Dich da durch
Gruß
Looser
Empfehlen kann man vieles, frag zwei Leute und Du bekommst 3 Meinungen.
Ich fange mal an:
Unifi Switche (Layer 2 reicht) mit PoE für die Accesspoints oder Kameras (bis zu 8 Ports sind sie auch passiv gekühlt).
Als Firewall: Sophos UTM Home free (10 Stk Endpoint Protection Lizenzen dabei) installiert auf einem Sophos SG 105 Rev.2 - gibt es günstig in der Bucht. Wenn Du Glück hast ergatterst Du einen SG105w mit WLAN. (Black Dwarf ist auch recht beliebt, gibt da auch eine freie Version?)
Sophos oder Unifi Access Points, je nach dem mit welchem Tool Du die WLANs managen willst. Beide erfüllen quasi Enterprise Funktionalitäten. Auch ein Gäste-WLAN mit Voucher ist dabei.
Jeden IP Adressbereich kannst Du in ein eigenes VLAN packen.
Fritzbox wird trotzdem gerne weiter verwendet, damit die VoIP und DECT Telefonie direkt nach außen geht. Auch ihre Home Automation wird gerne weiter verwendet. Die Fritzbox stellst Du auf Exposed Host, damit alles zur Firewall geleitet wird und dort zentral gemanaged wird. Damit entfällt auch das doppelte NAT. Oder Du ersetzt sie durch ein reines DSL Modem und kümmerst Dich um eine eigene VoIP Struktur und Konfiguration auf der Firewall.
Ich fange mal an:
Unifi Switche (Layer 2 reicht) mit PoE für die Accesspoints oder Kameras (bis zu 8 Ports sind sie auch passiv gekühlt).
Als Firewall: Sophos UTM Home free (10 Stk Endpoint Protection Lizenzen dabei) installiert auf einem Sophos SG 105 Rev.2 - gibt es günstig in der Bucht. Wenn Du Glück hast ergatterst Du einen SG105w mit WLAN. (Black Dwarf ist auch recht beliebt, gibt da auch eine freie Version?)
Sophos oder Unifi Access Points, je nach dem mit welchem Tool Du die WLANs managen willst. Beide erfüllen quasi Enterprise Funktionalitäten. Auch ein Gäste-WLAN mit Voucher ist dabei.
Jeden IP Adressbereich kannst Du in ein eigenes VLAN packen.
Fritzbox wird trotzdem gerne weiter verwendet, damit die VoIP und DECT Telefonie direkt nach außen geht. Auch ihre Home Automation wird gerne weiter verwendet. Die Fritzbox stellst Du auf Exposed Host, damit alles zur Firewall geleitet wird und dort zentral gemanaged wird. Damit entfällt auch das doppelte NAT. Oder Du ersetzt sie durch ein reines DSL Modem und kümmerst Dich um eine eigene VoIP Struktur und Konfiguration auf der Firewall.
Zitat von @DeDe-76:
Das Vigor wird mit der DSL Leitung aus der Dose verbunden. Am Vigor hängt die Unify USG Firewall. An dieser Wiederum der Switch. Und an dem dann die Fritzbox....
Kommt das Signal für die Telefonie eigentlich noch "vernünftig" an? Bei den ganzen vorgeschalteten Geräten?
Warum sollte es nicht? Dieses Konstrukt ist quasi Standard, egal ob mit diesen Komponenten oder anderen. Wichtig ist nur eine vernünftige Verkabelung der Komponenten untereinander.Zitat von @Looser27:
Alternative wäre noch Unify USG Firewall, Unifi Switch mit PoE und die Unify APs.
Perfekt. Alles aus einer Hand! Das heißt, es wäre nur ein Switch nötig?Alternative wäre noch Unify USG Firewall, Unifi Switch mit PoE und die Unify APs.
Das Ganze kann über eine (!) Gui mittels Cloudkey administriert werden.
Das hört sich gut an!Die Fritzbox hängt dann nur noch am Switch als Voip und DECT Basis. Als Modem davor das Vigor.
Noch mal zum Verständnis:Das Vigor wird mit der DSL Leitung aus der Dose verbunden. Am Vigor hängt die Unify USG Firewall. An dieser Wiederum der Switch. Und an dem dann die Fritzbox....
Kommt das Signal für die Telefonie eigentlich noch "vernünftig" an? Bei den ganzen vorgeschalteten Geräten?
Gruß Looser
Mensch. Vielen Dank für Deine Geduld.
Grüße DeDe
Modem: DrayTek Vigor 130 (alternativ Zyxel vmg1312-b30a; Preise aber in etwa identisch)
Firewall: Unifi Security Gateway
Switch: Kommt drauf an wieviele Ports (wieviele davon mit PoE?) Du brauchst.
APs: UniFi AP AC Pro
Cloudkey Gen2 oder Gen2Plus (wenn Du auch noch die Unifi IP Cams verwenden willst)
Alles hier zu finden.
Da gibt es in den einzelnen Produkten auch reichlich Anleitungen, die Du schon mal lesen kannst, bevor Du was bestellst.
Schließlich muss man mit dem Kram auch klar kommen.
Firewall: Unifi Security Gateway
Switch: Kommt drauf an wieviele Ports (wieviele davon mit PoE?) Du brauchst.
APs: UniFi AP AC Pro
Cloudkey Gen2 oder Gen2Plus (wenn Du auch noch die Unifi IP Cams verwenden willst)
Alles hier zu finden.
Da gibt es in den einzelnen Produkten auch reichlich Anleitungen, die Du schon mal lesen kannst, bevor Du was bestellst.
Schließlich muss man mit dem Kram auch klar kommen.
Du benötigst keine 4 Switche und auch keine 4 Accesspoints, um 4 getrennte Netzwerke zu machen. Das alles erledigt V-LAN. Das ist ein größerer Switch, der virtuelle LANs zur Verfügung stellt. Diese VLANs stören und sehen sich nicht gegenseitig. Dem Switch musst Du dann sagen welches Gerät an welchem Switchport zu welchem virtuellen Netzwerk gehören soll. Nachdem der Accesspoint auch mit nur einem Kabel am Switch hängt, musst Du dem Switch sagen, dass dieser Switchport zu allen 4 Netzwerken gehört.
Dem Accesspoint musst Du dann sagen welche SSID zu welchem V-LAN zugeordnet werden soll. Und schon kann der Accesspoint 4 verschiedene WLANs aussenden.
Falls die Reichweite eines Accesspoints nicht das gesamte Haus abdeckt, kannst Du auch einen zweiten dazu kaufen. Dieser wird vom Controller automatisch mit den gleichen Netzwerken versehen und die Endgeräte können dann auch ein unterbrechungsfreies Roaming machen, wenn sie vom Sendebereich des einen Accesspoints in den anderen wandern.
Dem Accesspoint musst Du dann sagen welche SSID zu welchem V-LAN zugeordnet werden soll. Und schon kann der Accesspoint 4 verschiedene WLANs aussenden.
Falls die Reichweite eines Accesspoints nicht das gesamte Haus abdeckt, kannst Du auch einen zweiten dazu kaufen. Dieser wird vom Controller automatisch mit den gleichen Netzwerken versehen und die Endgeräte können dann auch ein unterbrechungsfreies Roaming machen, wenn sie vom Sendebereich des einen Accesspoints in den anderen wandern.
Jetzt möchte ich gerne die Netze trennen.
Hier findest du alle Grundlagen zu dem Thema:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Sinvoll ist es diese Segmente mit VLANs zu trennen. Auch dafür gibt es ein Tutorial hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Eine Kaskade muss nicht per se schlecht sein. Kunden mit sog. "Zwangsroutern" haben oft keine andere Wahl. Das Netz vom eigenen Segmentierungsrouter zum Internet Router ist ja nur ein Punkt zu Punkt Netz. Wenn man das frei von Endgeräten hält ist auch eine Kaskade sehr sicher.
Eine gute Wahl ist für die Segmentierung eine Firewall wenn man Wert auf erhöhte Sicherheit legt:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Oder wenn man sehr flexibel bleiben will was Interfaces und Features anbetrifft einen kleinen preiswerten Router mit Firewall Funktion. Mikrotik ist dann eine gute Wahl. Diese Systeme bekommst du mit WLAN schon für unter 25 Euro:
https://varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941-2nd- ...
Es lohnt sich also in jedem Falle das Geld mal zu investieren und mit IP Netzsegmentierung Erfahrungen zu machen.
Der kleine 20 Euro Router deckt alles ab was auch ein großer 200 Euro Router kann !
Eintsprechende Designs und Lösungen damit zeigt dir dieses Tutorial:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Wie würdest Du den Schwierigkeitsgrad zur Bedienung der pfsense einschätzen?
Die hat ja ein DAU kompatibels Klicki Bunti Interface und ist damit auch für Laien sehr gut handhabbar. Das sollte kein Problem sein.Mit der entsprechenden Unifi Hardware natürlich.
Controller für die WLAN Komponenten ??Das kann ein Raspberry Pi besser:
https://community.ubnt.com/t5/UniFi-Routing-Switching/Step-By-Step-Tutor ...
Was würdest Du bevorzugen?
Aus technischer Sicht wenn immer möglich die Variante mit einem Modem (NUR Modem!) Das erspart die Frickelei und Einschränkungen mit doppeltem NAT.Aber das kommt auch auf den Provider an ob das realisierbar. Viele schielen bei der Providerauswahl auf den letzten Cent statt auf Freiheit und Sicherheit und das bezahlt man dann häufig mit einem Zwangs- und Schnüffelrouter der einen gängelt.
In dem Fall bleibt dann nur die Kaskade.
Scheint mir, mit Anfänger-Augen betrachtet, deutlich komplizierter als die Unifi Lösung zu sein.
Nein.VLAN Einrichtungen sind immer gleich. Lass dich da vom Marketing nicht blenden als Laie. Egal ob via Controller oder Klicki Bunti GUI.
Zudem hast du mit einem Controller noch eine überflüssige Komponente die sinnlos Strom frisst und man nicht braucht für sowas. Router und Switches haben sowas ja per se alles an Bord. Wozu also einen Controller der alles dann wirklich kompliziert macht ??!
Die Mikrotiks bringen mit der WinBox ein GUI Tool mit, was die Handhabung einfach macht. Klar Lernkurve ist ein klein wenig steiler als mit der pfSense aber es lohnt sich. Zumal im Hinblick auf den geringen Preis bei einem Heimnetzwerk.
Von der geistigen Anregung und der Erfahrung die man dabei sammelt jetzt mal gar nicht zu reden...
Definitiv. Reizt mich schon länger.
Also...! Go for it. Auch wenn du wider Erwarten doch völlig damit überfordert wärest tun 20 Euro nicht weh.Aber mal ehrlich. Für dich gilt ja nur die Basiskonfig aus dem Tutorial und die kannst du auch als Laie einfach abtippen und hast ein Erfolgserlebnis
Wie sieht es mit der "Datensicherheit" der Router aus?
Router und Firewall sind immer so sicher wie der Mensch der sie konfiguriert. Ist eine FritzBox sicher ?!Wenn du ein paar wenige Grunddinge beachtest dann ja !
Sofern du ein Kaskaden Design hast ist das so oder so egal, denn dann hängt alle Sicherheit ja am davor kaskadierten Router und NICHT am danach folgenden VLAN Router, logisch !
In einem Kaskaden Design hast du also quasi doppelte Sicherheit.
Ist der VLAN Router oder Firewall direkt im Internet mit Modem ist aber auch deren Default Konfig schon zu 99,8% wasserdicht. Da droht also keine Gefahr.
Viel Erfolg !
》》Das kann ein Raspberry Pi besse
Ich habe schon oft überlegt mir einen Rasp hin zu stellen, ich habe nur keine Vorteile gefunden. Könntest Du mal definieren was Du mit "besser" meinst?
Ich habe schon oft überlegt mir einen Rasp hin zu stellen, ich habe nur keine Vorteile gefunden. Könntest Du mal definieren was Du mit "besser" meinst?
Nun hast Du mir doch wieder Mut zur Wahl anderer Hardware gemacht.
Den sollte man IMMER haben wenn einem Privatsphäre und Sicherheit etwas wert ist. Niemals sollte man die in der Regel schlechte und schwachbrüstige Standard Hardware der Provider nutzen. Schon gerade nicht wenn man sein Netzwerk etwas intelligenter machen will wie du es planst.Könntest Du mal definieren
Bezog sich darauf das viele das auf einem stromfressenden Winblows Rechner laufen lassen. Was Unsinn ist.Mit dem RasPi kann man nebenbei auch noch andere sinnvolle Dinge im Netz machen zur Sicherheit und Stabilität machen:
https://www.heise.de/select/ct/2018/11/1526783668168592
Netzwerk Management Server mit Raspberry Pi