Zwei LAN-Netze trennen - über VLAN - Lancom Switch GS-1326

Das ist auch ganz richtig gedacht !
Das klappt schon mit der FritzBox, hier irrt der Kollege oben. Allerdings musst du 2 separte Strippen ziehen von der FritzBox auf den Switch. Für jedes VLAN eine.
Nicht schön, lässt sich aber nicht ändern weil die FritzBox leider kein VLAN supportet aber mit den 2 Strippen hast du ja einen Workaround um MSSID Accesspoints usw. am Switch zu nutzen.
Die Ports müssen am Switch auf Frame Type = UNtagged und Egress Rule = Access
Leider kann man die Auswahl Optionen oben der Pulldown Menüs auf der Lancom Gurke nicht sehen.
Wichtig ist aber das die Ports alle auf UNtagged (Endgeräte Ports) in den jeweiligen VLANs gestellt werden !

Dann nimmst du jeweils eine Patchkabelstrippe und steckst die in einen der FritzBox LAN Ports und ins VLAN 10 fürs Private Netz.
Und eine weitere Patchkabelstrippe vom LAN-4 Port der FritzBox in einen UNtagged Port des VLAN 200. Das Gastnetz liegt m.W. wenn man es aktiviert auf Port LAN-4 der FritzBox. Kollege @Xaero1982 hat es oben ja schon gesagt.
Fertig ist der Lack !

Du hättest übrigens gar nicht extra ein Privat VLAN (10) einrichten müssen. Du hättest fürs Privatnetz auch das default VLAN 1 weiter nutzen können sofern du nur 2 VLANs hast. Sprich dann 1 für Privat und 200 für die Gäste.
Geht so mit einem separaten VLAN für Privat natürlich aber auch, keine Frage.

Der Lancom ist ein simpler L2 only Switch der keinerlei L3 Funktionen hat. Routing Backdoors gann es also nicht geben zw. den VLANs. Die sind strikt getrennt. Auch wenn das Gastnetz der FB nicht unbedingt sicher ist, verhindert es aber den Zugriff auf das privatnetz. Kannst du ja selber auch mal versuchen wenn du dich als Gast verbindest und dann versuchst auf Privatnetz Endgeräte oder das NAS im Privatnetz zuzugreifen. Dürfte nicht gelingen...

Das hab ich doch beschrieben aqui

Aber eben nicht so wie er das eigentlich haben wollte

Er hat es ja gar nicht beschrieben bzw. eben rein nur das er Gastnetz und Privates trennen will, mehr ja nicht.
Und das kann man dann eben so machen mit den 2 Strippen weil die FB bekanntlich keinen Tagged Trunk supportet.
Da sind wir dann wieder d'accord !
Etwas wirr ist was der TO mit "PiHole als Gateway" meint. Das ist eigentlich Unsinn, denn der PiHole ist niemals ein Gateway (Router) sondern lediglich simpler DNS Server. Der (eigentlich überflüssige) Einwand ist also etwas verwirrend, denn was er für welche Endgeräte im privaten Netz betreibt spielt für die Aufgabenstellung der VLAN Trennung ja keinerlei Rolle.
Aber vielleicht lassen wir das besser mal den TO aufklären....?! Ist ja Freitag und da muss man im Forum immer auf der Hut sein !

Stimmt, ich bin von drei VLANs ausgegangen und nicht von zweien

Wir werden sehen oder es ist einer von vielen der kommentarlos verschwindet

Dann sind die FritzBox und die VLAN 200 Clients auch NICHT alle zusammen im VLAN 200. Sprich im layer 2 sehen sie sich nicht und dann scheitert logischerweise der DHCP Broadcast.
Zeigt klar das noch irgend etwas in deinem VLAN Setup faul ist.
Lass auf dem PC einen Wireshark Sniffer mitlaufen und sehe dir den DHCP Request an. Wenn dort kein Reply eingeht sind die Komponeten Layer 2 technisch nicht verbunden.
Immer ein Indiz eines falschen VLAN Setups bzw. Portzuweisung.

Du hast schon wieder einen Fehler gemacht.
Im ersten Screenshot hast du richtigerweise die Ports 17 bis 20 ins VLAN 200 gesetzt. Das passt soweit.
Der zweite Screenshot zeigt dann aber das die Port PVID der Ports 17 bis 20 weiter auf 1 steht.
Sowas kann logischerweise nicht gehen !!
Der Port Mode der 4 Ports 17 bis 20 muss auf "Access" stehen und wichtig: Die PVID muss natürlich auf PVID 200 eingestellt sein. Logisch, ansonsten forwardet der Port Traffic nicht ins VLAN 200.
Diese Lancom Schrotteile können kein Auto PVID und deshalb reicht nur die Zuweisung ins VLAN 200 nicht aus, man muss immer zusätzlich noch die Port PVID setzen.
Damit sollte es dann klappen.