25.12.2024, aktualisiert um 17:52:20 Uhr

4280

Zwei VLANs mit Fritzbox und Zyxel Switches und Access Points

Servus.

Ich hoffe, ich kann hier Hilfe bekommen zur Einrichtung meines o.a. Vorhabens: mein Heimnetzwerk soll über VLAN Technik aufgeteilt werden in ein Haupt-Netz sowie ein Gast-Netz. Beide Netze sollen LAN und WLAN Verbindungen leisten können.
Ich verdiene zwar mit IT mein Geld, aber nicht auf der Netzwerk-Ebene und habe bisher nie VLAN's eingerichtet. Im Haupt-Netz habe ich PC, Laptop, NAS, Raspis, WLAN-fähige Geräte wie Smartphones, IoT (zB Staubsauger) und Smarthome Komponenten.

Die Suche und Google habe ich auch schon eine Weile bemüht, und bin zumindest so weit damit gekommen, dass mein Vorhaben zusammen mit meiner vorhandenen Technik realisierbar sein sollte. Zwar wären noch weitere VLAN's noch besser zur Netztrennung, doch dann müßte ich die Fritzbox austauschen bzw. eine VLAN-fähige Firewall anschaffen und dazwischen schalten. Den Schritt möchte ich derzeit nicht gehen.

Wie nun genau das Vorhaben zu konfigurieren ist, und wie ich dorthin umstelle, das habe ich damit noch nicht wirklich herausfinden können.

Meine vorhandene Umgebung:

Fritzbox 7590 an Telekom VDSL für Internet und LAN
Zyxel Switch GS-1900-24
Zyxel Switch GS-1900-8HP PoE
2x Zyxel Access Points über PoE
DHCP über Fritzbox
eigener DNS Server auf Raspi, der das DNS der Fritz als Forwarder nutzt
Zeitsignal über Fritz

Zielkonfiguration:

Ein WLAN sowie ein paar LAN Ports sollen für das Gastnetzwerk genutzt werden: Gast Netz ID: 100
Ein anderes WLAN sowie die restlichen LAN Ports sollen für das Hausnetzwerk genutzt werden: ID: 10
Beide Access Points sollen beide WLANs bedienen können.
Das Gast VLAN soll über Port 4 der Fritzbox ins Internet gehen.

Mir ist nicht ganz klar, wie die beiden Switche zu verkabeln sind und die Port-Zuweisungen zu machen sind.
Kann das physisch so bleiben wie es derzeit ist, und nur die Client Geräte muss ich umstöpseln und umkonfigurieren?
Wie regelt man hier DHCP für beide Netze?

Und kann man das Ganze so gestalten, dass ich nicht alles in einem Rutsch umstellen muss, sondern zB zuerst die VLAN's einrichte, dann das Gastnetz fertig stelle, und dann Schritt für Schritt die restlichen Geräte ins Haus VLAN umziehe?
(Hintergrund: ich habe etliche IP Geräte in Betrieb, darunter viele IoT und Smarthome Devices, deren Umstellung alles einzeln manuell zu erfolgen hat).

Danke für hilfreiche Tipps zum grundlegenden Vorgehen und gerne im Speziellen !

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 670357

Url: https://administrator.de/forum/zwei-vlans-mit-fritzbox-und-zyxel-switches-und-access-points-670357.html

Ausgedruckt am: 27.01.2025 um 16:01 Uhr

60 Kommentare

Neuester Kommentar

Nabend.

Fritzboxen unterstützen per Se kein VLAN Tagging.

Im nachstehenden Thread wurde dein Vorhaben ähnlich (nicht identisch) "besprochen".

VLAN für Gäste WLAN einrichten über FritzBox und Switch

Du kannst den Port vier der Fritte als Gast-Netz konfigurieren. Auf den, der Fritte nächstgelegenden, Switch (GS1900-24) müssen zwei Kabel von der Fritte führen.

Eines von Port eins, zwei oder drei und eines von Port vier der Fritzbox.

Auf den Switches müssen dann zwei VLANs angelegt werden.

Die Ports, welche direkt an die Fritte gehen müssen als untagged / access konfiguriert werden.

Die beiden Switches müssen mit einem Trunk / Uplink Port beide VLANs als tagged konfiguriert bekommen.

Beispiel:

Port eins auf GS1900-24 geht an Port eins der Fritzbox: untagged / access VLAN 100

Port zwei auf GS1900-24 geht an Port vier der Fritzbox: untagged / access VLAN 200

Port 24 auf GS1900-24 geht an Port 8 auf GS1900-8HP: tagged VLAN 100 + 200 / trunk

Port 8 auf GS1900-8HP geht auf Port 24 auf GS1900-24: tagged VLAN 100 + 200 / trunk

Die Ports des Switches, wo die AP hängen, sollten dann ebenfalls tagged VLAN 100 + 200 / trunk bekommen.

Das mit dem WLAN ist allerdings außerhalb meines Wissens, was die Fritzbox anbelangt.
Keine Ahnung, ob deine AP sich richtig mit der Fritzbox "unterhalten".

Sobald VLAN im Spiel war habe ich die Fritten immer sofort gegen andere Hardware ersetzt.

Gruß
Marc

Die Thematik ist auch hier besprochen:
VLAN einrichten an Zyxel Switch
FritzBox Powerline Gastnetz

Sofern nicht zwischen den VLANs geroutet wird bleibt es bei dem einfachen Szenario von oben.
Soll aber geroutet werden dann muss das entweder mit einem externen Router passieren wie u.a. HIER beschrieben. Dieses Tutorial beinhaltet auch ein Praxisbeispiel mit MSSID WLAN APs in Verbindung mit VLANs. Ebenso in den weiterführenden Links am Schluß.
Zu mindestens mit der Fritzbox entfällt diese Option weil sie als einfacher Plaste Router keine VLAN bzw. mehrfache, routingfähige LAN Interfaces supportet.
Alternativ sofern einer der 2 Switches L3 (Routing) fähig ist hat man die Option ein L3 VLAN Design umsetzen. So ein Setup beschreibt dieser Thread und ein Tutorial bezogen auf Mikrotik Hardware.
Etwas VLAN Grundwissen vermittelt auch die VLAN Schnellschulung. Wie immer: Lesen und verstehen...

Es gibt viele Lösungen für so eine recht einfache Anforderung.

Zunächst mal vielen Dank Euch beiden für die Hilfestellungen, ich werde mir das durchlesen und versuchen umzusetzen.

Wenn ich das bisher richtig verstanden habe, dann kann ich meinen eingangs beschriebenen relativ einfachen Setup-Wunsch mit der Fritz umsetzen. Zwischen Gast Netz und Haus Netz will ich kein Routing und Datenaustausch haben.

Allerdings - und das ist mir bewußt - habe ich dann im Grunde immer noch alle meine Haus IP Geräte innerhalb eines einzigen Netzes, so wie bisher auch. Besser wäre natürlich, das ebenfalls weiter aufzutrennen, um zB Smarthome vom Rest zu separieren.

Meine Bedenken zu so einer IT-mäßig „perfekteren“ Lösung sind neben den Kosten für eine neue Firewall vor allem die Punkte a) steigende Komplexität und b) langfristig stabiler, möglichst wartungsarmer Betrieb.
Vor allem b) ist mit der Fritzbox gegeben: ich habe über sehr viele Jahre ein solides Vertrauen in die Sicherheit und Stabilität bekommen, und das gleichzeitig nahezu wartungsfrei.

Daher möchte ich an so zentraler Infrastrukturstelle keinesfalls eine „Bastellösung“ mit irgendwelcher Hardware und Linux und „Gedöns“ - mit derlei Lösungen bin ich in den letzten zwanzig Jahren meist nicht über längere Zeiträume gut gefahren.

Tatsächlich hatte ich mir - auch durchs forschen und lesen zu meiner Anforderung entstanden - schon mal überlegt, ob eine Zyxel USGFLEX50 eine brauchbare Alternative bzw Ergänzung wäre. Oder so ein Mikrotik Ding, was ich allerdings noch weniger kenne.
Bei diesen Komponeten ist mir auch noch unklar, ob dadurch noch irgendwelche regelmäßigen Lizenz/Wartungskosten auf mich zu kämen?
Und wie das mit dem Thema VPN dann zu lösen ist. Bisher nutze ich das VPN der Fritz, was seit Wireguard wirklich gut und einfach funktioniert.

Da meine Fritz im Keller steht, benötige ich deren WLAN überhaupt nicht.

Die Variante Fritz bleibt wegen Modem stehen und eine VLAN fähige Firewall kommt dazwischen, wäre ja durchaus möglich.

An die Zywall habe ich gedacht, weil meine sämtlichen anderen Komponenten bereits auch von Zyxel sind, und ich die Hoffnung hätte, dass die Usability dann auch ähnlich ist. Und es im Grunde durch den Hersteller auch ein Aufbau ist, der „supportet“ sein sollte.

Was meint ihr zu meinen Punkten?

Zitat von @VlanNewbie:
Wenn ich das bisher richtig verstanden habe, dann kann ich meinen eingangs beschriebenen relativ einfachen Setup-Wunsch mit der Fritz umsetzen. Zwischen Gast Netz und Haus Netz will ich kein Routing und Datenaustausch haben.

Wie geschrieben, weiß ich nicht wie und ob das mit Gäste-WLAN der Fritzbox so noch klappt. Am besten ausprobieren. Du hast ja alles da und kannst das in knappen 15 Minuten abschließend getestet haben.

Allerdings - und das ist mir bewußt - habe ich dann im Grunde immer noch alle meine Haus IP Geräte innerhalb eines einzigen Netzes, so wie bisher auch. Besser wäre natürlich, das ebenfalls weiter aufzutrennen, um zB Smarthome vom Rest zu separieren.

Meine Bedenken zu so einer IT-mäßig „perfekteren“ Lösung sind neben den Kosten für eine neue Firewall vor allem die Punkte a) steigende Komplexität und b) langfristig stabiler, möglichst wartungsarmer Betrieb.
Vor allem b) ist mit der Fritzbox gegeben: ich habe über sehr viele Jahre ein solides Vertrauen in die Sicherheit und Stabilität bekommen, und das gleichzeitig nahezu wartungsfrei.

Eine kleine IPU Box mit Opn-/PFsense oder OpenWRT auszustatten ist kein Hexenwerk und bietet viele Vorteile. Allerdings empfiehlt es sich dann auch ein richtiges Modem (Draytek Vigor 167 oder Zyxel VMG3006) anzuschaffen. Die Fritzbox kann zwar ein Gerät als Exposed Host definieren, das ist aber nicht dasselbe und bietet Raum für Verluste.

Daher möchte ich an so zentraler Infrastrukturstelle keinesfalls eine „Bastellösung“ mit irgendwelcher Hardware und Linux und „Gedöns“ - mit derlei Lösungen bin ich in den letzten zwanzig Jahren meist nicht über längere Zeiträume gut gefahren.

Das muss keine Bastellösung sein. Die oben erwähnten Opensource Produkte sind über Jahre gereift und haben eine große Unterstützung seitens deren Communities.

Tatsächlich hatte ich mir - auch durchs forschen und lesen zu meiner Anforderung entstanden - schon mal überlegt, ob eine Zyxel USGFLEX50 eine brauchbare Alternative bzw Ergänzung wäre. Oder so ein Mikrotik Ding, was ich allerdings noch weniger kenne.

Mikrotik ist nicht für jeden. Aber wenn es einmal läuft und das richtige Gerät ausgewählt wurde, dann passt das. Gerade preislich sind die Teile sehr interessant. Egal ob Switches oder Router.

Bei diesen Komponeten ist mir auch noch unklar, ob dadurch noch irgendwelche regelmäßigen Lizenz/Wartungskosten auf mich zu kämen?

Gibt keine Lizenzkosten für die genannten Produkte.

Und wie das mit dem Thema VPN dann zu lösen ist. Bisher nutze ich das VPN der Fritz, was seit Wireguard wirklich gut und einfach funktioniert.

Das können alle und wenn die Hardware darunter stimmt, auf jeden Fall "besser" (schneller) als die Fritte

Da meine Fritz im Keller steht, benötige ich deren WLAN überhaupt nicht.

Die Variante Fritz bleibt wegen Modem stehen und eine VLAN fähige Firewall kommt dazwischen, wäre ja durchaus möglich.

Dann musst du mit dem doppelten NAT leben, was durchaus immer unschön ist. Klar geht das, aber wer baut schon gerne eine Garage unter einen Carport

An die Zywall habe ich gedacht, weil meine sämtlichen anderen Komponenten bereits auch von Zyxel sind, und ich die Hoffnung hätte, dass die Usability dann auch ähnlich ist. Und es im Grunde durch den Hersteller auch ein Aufbau ist, der „supportet“ sein sollte.

Kannst dir ja genügend Tutorials anschauen, da wirst du dann schnell sehen, ob das deinen Vorstellungen entspricht.

Gruß
Marc

relativ einfachen Setup-Wunsch mit der Fritz umsetzen.

Ja, das ist problemlos möglich. Dann gilt das bereits Gezeigte:

Lan und LAN 4 (Gast) in das jeweilige VLAN am Switch stecken
Trunk konfigurieren um beide Switches zu verbinden
MSSID am AP einrichten
Fertisch

Vielleicht zum Warmwerden mit VLANs einmal damit starten...?!

habe ich dann im Grunde immer noch alle meine Haus IP Geräte innerhalb eines einzigen Netzes,

Ja, da sist so. Wenn dein Ziel eine weitere Segmentierung deines Heimnetzes ist dann benötigst du einen weiteren VLAN fähigen Switch oder Router, da die Fritte sowas nicht supportet.
Die Tutorials oben erklären dir ja wie das dann im Handumdrehen umzusetzen ist.

sind neben den Kosten für eine neue Firewall

Das ist, wie immer, Unsinn, denn mit einem popeligen 25€ Mikrotik kannst du sowas in 30 Minuten mit Taschengeldbudget lösen ohne das du groß was anfassen musst und dein bestehendes
Netzwerk verändern musst. Kollege @radiogugu hat ja oben schon alles dazu gesagt.
Der Mikrotik löst dir dann auch gleich alle deine VPN Optionen, da er alle gängingen VPN Protokoll supportet wie z.B. HIER beschrieben.
Oder ne pfSense/OPNsense auf einer preiswerten China Appliance oder auch Zyxel. Du hast ja die freie Wahl. Du musst nur machen...!

meine Fritz im Keller steht, benötige ich deren WLAN überhaupt nicht.

Umso besser!

„Damit starten“

Ja, das werde ich wohl versuchen. Bzgl Mikrotik: deren Produktpalette habe ich nicht durchblickt und kann explizite Ratschläge da sehr gebrauchen. Dass es für mich passende Geräte für so kleines Geld gibt, verwundert mich gerade. Ist das ein altes Gebrauchtgerät, was eben noch ausreichend für mich wäre?

Bzgl. dediziertem Modem, was ich dann bräuchte: der o.g. Draytek 167 ist deutlich günstiger als die Zyxel VMG3006, welche wohl wg dem integrierten Router noch teurer ist, den ich aber nicht brauchen würde.

Bzgl der Mikrotik Firewall: wie ist das bei denen, wird man da ebenso regelmäßig und zuverlässig über längere Zeiträume mit Security Patches versorgt, wie das zB bei AVM der Fall ist?

Zitat von @VlanNewbie:
Ja, das werde ich wohl versuchen. Bzgl Mikrotik: deren Produktpalette habe ich nicht durchblickt und kann explizite Ratschläge da sehr gebrauchen. Dass es für mich passende Geräte für so kleines Geld gibt, verwundert mich gerade. Ist das ein altes Gebrauchtgerät, was eben noch ausreichend für mich wäre?

Es kommt schwer darauf an, was das Ziel sein soll.

Der von @aqui verlinkte hAP Lite ist ein Einsteiger-Gerät und neu. Die Kosten für die Mikrotik Hardware halten sich sehr stark in Grenzen.

Man hat nicht die gleiche Güte bei der Verarbeitung wie bei Cisco oder HPE, aber für die meisten Einsatzzwecke allemal ausreichend.

Die Switches CSS326 oder auch CRS326 sind absolut klasse für den ambitionierten, aber auch preisbewussten Homelabber oder kleine Unternehmen.

Bzgl der Mikrotik Firewall: wie ist das bei denen, wird man da ebenso regelmäßig und zuverlässig über längere Zeiträume mit Security Patches versorgt, wie das zB bei AVM der Fall ist?

Es gibt auch dort Produktzyklen. Updates kommen bei allen Herstellern mal weniger häufig und mal mehr.

RouterOS ist etwas gewöhnungsbedürftig am Anfang. Hat man aber einmal kapiert, wie es geht, dann ist das eine grundsolide Geschichte.

Für richtige Routing Aufgaben sind die Mikrotik Geräte aber weniger zu empfehlen. Die Hardware ist dafür einfach zu schwach. Vor allem, wenn noch eine Latte an Regelwerk dazugestellt wird.

Als Access Switches auf jeden Fall empfehlenswert. Der große Funktionsumfang bei den Geräten aus Lettland ist in jedem Fall klasse für die aufgerufenen Kurse.

Gruß
Marc

deren Produktpalette habe ich nicht durchblickt

https://mikrotik.com/products
Ist doch wunderbar alles nach Produktkategorien sortiert. Router, Switches, APs usw. Was ist da so schwer zu durchschauen? 🤔

wird man da ebenso regelmäßig und zuverlässig über längere Zeiträume mit Security Patches versorgt

Ja, in allen 3 Release Trains: https://mikrotik.com/download

Für richtige Routing Aufgaben sind die Mikrotik Geräte aber weniger zu empfehlen.

Das ist so pauschal gesagt nicht ganz richtig! Dedizierte Router HW wie die CCR Modelle können das schon aber dann landet man auch in anderen Budget Kategorien. Ein moderner RB5009 steckt auch eine Fritte x-fach in die Tasche bei einem deutlich anderen Featureset wenn man einmal in der gleichen Range bleibt. Ein Großteil der osteuropäischen und asiatischen Internet Infrastruktur basiert auf dieser Hardware.
Solche Aussagen sind deshalb oft relativ!

Tja, es hätte so schön einfach sein können...

Habe jetzt einige Stunden probiert, das einzurichten. Bei meinen Zyxel Komponenten alles kein Problem. Jedoch scheint die Fritzbox 7590 bzw das FritzOS einen Bug zu haben.
Das Gastnetz funktioniert GAR NICHT. Kein Stück, da scheint es einen kräftigen Bug zu haben.
Weder über WLAN noch über LAN Port 4 gehts. Sch....

Wenn ich reines Gast WLAN einrichte (welches ich zu Testzwecken separat zu den Access Points eingestellt habe) und mich mit einem Gerät (zB Laptop) damit verbinde, dann bekomme ich zwar eine IP aus dem von der Fritzbox automatisch dafür vorgesehenen Gastnetz-Bereich. Aber Internet Zugang blockiert, es wird eine Fritzbox Fehlermeldung im Browser anzeigt.

Versuche ich das ganze alternativ über den LAN4 per Kabel, dann bekomme ich ebenfalls diese Fehlermeldung, UND sehe, dass mein Laptop noch nicht einmal eine IP aus dem Gastnetz erhalten hat, sondern aus dem Hausnetz.

Ich habe sämtliche Einstellungen der Fritte überprüft, auch mal gesetzt und wieder raus, rebootet, usw, hilft alles nichts. Die Symptome bleiben gleich.

Es sind für Gastnetz und Gerät (hier: mein Laptop) keine Filter einstellt, keine sonsten Beschränkungen, nichts dergleichen. Bin auch nach Troubleshooting Info von AVM vorgegangen, hilft alles nichts.

Gastnetz und Zugang funzen nicht. FritzOS 7.57 ist drin, also ganz aktuell.

Da muss ich das Teil wohl doch gegen Firewall mit separatem Modem austauschen.

Das Gastnetz funktioniert GAR NICHT.

Lässt sich zu mindestens auf einer 7490 mit latest Firmware NICHT nachvollziehen!
Im IP Setup das Gastnetz auf LAN 4 setzen und dort mal direkt an den LAN 4 Port einen Test PC anschliessen. Das rennt fehlerlos!
Da ist wohl ziemlich etwas generell im Argen bei deinem FritzBox Setup. Eigentlich hat AVM das relativ dau-sicher gestaltet in der Gast Konfiguration.

Das solltest du also zuallererst einmal fixen bevor du überhaupt weitermachst.

Zitat von @aqui:
Ist doch wunderbar alles nach Produktkategorien sortiert. Router, Switches, APs usw. Was ist da so schwer zu durchschauen? 🤔
dann landet man auch in anderen Budget Kategorien. Ein moderner RB5009 steckt auch eine Fritte x-fach in die Tasche

Sorry, aber deren Produktpalette überfordert mich. Könntest du mir dabei helfen?

Mein Wunsch wäre am liebsten ein direkter Ersatz der Fritz durch ein neues Gerät, das Modem (VDSL2) und Firewall drin hat und VLAN und VPN kann, sowie die üblichen Netzdienste wie NTP, DHCP und DNS. Gleiche Performance etwa. Habe hier 200MBit Telekom im Downstream.

Daber hier aber in den nächsten 1-3 Jahren durchaus auch Glasfaser kommen könnte (sofern die Deutsche Glasfaser ihr Versprechen hält, allerdings schätze ich die Chancen eher wackelig ein), wäre es vielleicht nicht verkehrt, auf dedizierte Geräte zu gehen.

Daraus resultierend also dann eine Firewall, welche eine Leistung mindestens vergleichbar zur Fritz 7590 kann, und im Idealfall auch mit 1000 Downstream klar kommt. Lokale User hier nicht mehr als 5.

Als Modem bräuchte ich dann wohl sowas hier: Zyxel VDSL2 17a Bonding and 35b Bridge Modem [VMG4005-B50A-EU01V1F] https://amzn.eu/d/eJPST5E

Zitat von @aqui:

Das Gastnetz funktioniert GAR NICHT.

Das solltest du also zuallererst einmal fixen bevor du überhaupt weitermachst.

Habe ich doch oben beschrieben. Genau das habe ich auch probiert. Laptop per Kabel am LAN4 Port, und entsprechende Einstellungen im FritzOS. Mal mit WLAN Gastnetz aktiv, und auch mal ohne das ausprobiert.
Mein Laptop erhält dann immer eine IP aus dem Hausnetz, und das ist grottenfalsch.
Mein ursprüngliches Setup seit Einrichtung (3 Jahre her) war LAN4 ist intern, ebenso wie WAN Port. Gastnetz war deaktiviert.

Und ja, sehe ich auch so, eigentlich ist das in der GUI ziemlich idiotensicher. Bin alles mehrfach durchgegangen, habe ich ja auch beschrieben. Getestet mit verschiedenen Endgeräten (zwei Laptops, ein iPhone, ein Androide).

"Ich sollte zuallererst mal fixen..." das ist nice.... heißt hier wohl, ganze Fritz komplett platt machen und zurück auf Werkseinstellungen und von vorne einrichten... UFF. Ich habe hier so etwa 60 IP Devices im Haus, vieles davon mit eigenen Settings (ist halt so in heutigen Smarthomes). Das Zeugs muss ich zwar auch alles umbauen, wenn ich die Fritz rauswerfe, aber so hätte ich ein Fallback auf die Fritz, wenn das andere nicht klappen sollte...

So. Habe die Fritz auf Werkseinstellungen zurück gesetzt und neu eingerichtet. JETZT funktionieren LAN Port 4 und Gäste-WLAN tatsächlich! Krass.

Werde noch bisserl Arbeit haben, alle meine Devices wieder richtig zu setzen. Ich hatte viel mit quasi-statischen IP per DHCP gearbeitet...egal.

Mikrotik führt generell keine Routermodelle mit integriertem VDSL Modem!
Wie wäre es mit einem Cisco Router??

Wie man den zum Fliegen bringt kannst du HIER nachlesen.
Aber ist ja nun auch obsolet wo alles wie gewünscht funktioniert! 👏👍

"alles funktioniert" kann ich leider noch gar nicht sagen. Ich bin jetzt erst mal an einer geprüften Ausgangssituation, um das VLAN Setup ans Laufen zu bekommen:

Die Fritz kann jetzt ein Gastnetz aufspannen über Gast-WLAN und LAN4. Das habe ich mit Laptop geprüft, indem ich den einmal aus 2m Entfernung ins Gast-WLAN eingebucht und gesurft habe, sowie IP Scan gemacht, dass in dem Netz tatsächlich nichts anderes existiert. Und dasselbe nochmal alternativ per Kabel auf LAN Port 4, mit demselben Ergebnis.

Nun will ich den nächsten Step testen: den Laptop an Port 4 vom GS1900-24, der müßte ja dann per VLAN ins Fritz-Gastnetz auf Port 4 und dann ins Internet. Also habe ich mit Patchkabel den Port 2 vom großen Switch mit Port 4 der Fritz verbunden.

Klappt aber leider nicht. Also stimmt da noch was in der VLAN Config nicht.

In dem 24er Switch habe ich unter VLAN das Default mit ID 1 gelassen, das soll mein Hausnetz sein.
Und ein weiteres angelegt mit der ID 100 - fürs Gastnetz.

Dann habe ich, dem Vorschlag von @radiogugu oben folgend, folgende VLAN Konfiguration eingestellt:

Für VLAN 1 (Hausnetz):

Port 2 Forbidden
Port 3 Forbidden (der ist ja für LAN Port am 100er)
Port 4 Forbidden (der ist ja für LAN Port am 100er)
Port 24 Tagged (das soll an den kleinen 8er Switch gehen, vergessen wir jetzt erst mal in diesem Test-Szenario)
alle anderen Ports auf Untagged

Für VLAN 100 (Gastnetz):

Port 1 Forbidden (der ist ja für Port 1 der Fritz gepatcht (Hausnetz)
Port 2 Untagged (darüber soll der Gast Traffic ja zur Fritz gehen)
Port 3 Tagged (für einen LAN PC im Gastnetz)
Port 4 Tagged (für einen LAN PC im Gastnetz)
Port 24 Tagged (für den 8er Switch, vergessen wir jetzt erst mal in diesem Test-Szenario)
alle anderen Forbidden (denn die sind ja für ID 1 Hausnetz gedacht)

Das müßte doch nun dem o.a. Vorschlag von radiogugu entsprechen, oder?

Klappt aber nicht. Interessanterweise bekommt mein Laptop, wenn ich den nun am GA1900-24 in Port 4 stöpsele, eine 192.168.0.10 IP Adresse - keine Ahnung wo die herkommt!! Das Hausnetz hat eine andere Netzadresse aus dem 192.168er Bereich, und das Gastnetz erhält von der Fritz automatisch etwas aus 192.168.179.x

Da weiß ich jetzt erst mal nicht mehr weiter und könnte Hilfe gebrauchen.

Soweit ist dein Vorgehen generell schon richtig! Allerdings hast du am 24er Switch gravierende Fehler im Setup gemacht. Die dir oben gepostete [Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet VLAN Schnellschulung hast du nicht gelesen und verinnerlicht, oder?!

Port 3 Tagged (für einen LAN PC im Gastnetz) Port 4 Tagged (für einen LAN PC im Gastnetz)

Das ist natürlich völlig unsinnig! Welches Endgerät supportet denn ein Tagging bzw. kann getaggte Frames lesen und senden??
Kein Endgerät bzw. Access Port kann das, die sind bekanntlich immer untagged! Hier machst du vermutlich einen grundsätzlichen Denkfehler, denn untagged Access Ports muss man ja immer fest einem VLAN zuordnen. Das macht man bei einfachen Switches über die PVID bzw. das Port PVID Setting. Bei etwas intelligenteren passiert das automatisch wenn man sie untagged einer VLAN ID zuordnet.
Kein PC oder Drucker "versteht" Netzwerk Pakete mit einem VLAN Tag! Die wandern bei Eingang direkt in deren Datenmülleimer.

Bedenke auch das an Trunk Ports das Default VLAN immer UNtagged übertragen wird. Die Port PVID an deinem Port 24 zum anderen Switch (Port 8) ist dort also 1.

Gehe zum Testen immer strategisch vor.

Teste den Gastport mit einem Test PC direkt an der Fritte. Checke dort die IP Adressierung und den Internet Zugang.
Klappt das alles wie konfiguriert dann schliesst du den 24er Switch über den UNtagged Access Port 2 dort an. PVID ist dort 100
Die falsch konfigurierten VLAN 100 Access Ports 3 und 4 dort korrigierst du auf untagged und setzt die PVID auf 100.
Dann nimmst du den Gast PC und steckst den auf 3 oder 4. Hier sollte nun die Adressierung und Verhalten identisch zum Fritten Gastnetz Port LAN 4 sein.

Ergänzung. Mit meinem zweiten, moderneren Win Laptop gehts auch nicht, nur dass der eine 169er IP bekommt - das ist ja aus dem Default Bereich von Windows, wenn es zwar eine Netzwerk Verbindung erkennt, aber keine IP bekommen kann und sich selbst was vergibt.

Also Fazit: die Verbindung zwischen Switch Port 4 und dem LAN4 der Fritz scheint nicht zu funktionieren bzw. bekommt keine IP von der Fritz.

Und nun?

nur dass der eine 169er IP bekommt

Nein, das ist, wie immer, keine Winblows Errungenschaft sondern machen auch Apple Mac und Linux und der Rest der Welt!

Nennt sich Zeroconf IP
https://de.wikipedia.org/wiki/Zeroconf#Automatische_IP-Zuweisung
Lesen und verstehen!

Gehe genau so vor wie oben beschrieben und korrigiere deine Konfig Fehler auf dem Switch! Und...natürlich auch deine Denkfehler.

Zitat von @aqui:
Nein, das ist, wie immer, keine Winblows Errungenschaft sondern machen auch Apple Mac und Linux und der Rest der Welt!

Das ist mir momentan völlig wurscht, wer das Zeroconf erfunden hat, tut hier nichts zur Sache ;)

Das andere mit dem Untagged für Client Geräte habe ich verstanden und versuche das jetzt mal zu testen.

Das hier ist mein allererster Gehversuch mit VLAN - auch wenn ich in der IT Welt durchaus schon länger unterwegs bin. Aber eben nicht als Netzwerk Admin ;)

Also bis nachher

völlig wurscht, wer das Zeroconf erfunden hat, tut hier nichts zur Sache

DU bist damit angefangen nicht relevante Wurschtsachen zu erwähnen!

Zitat von @aqui:
Gehe zum Testen immer strategisch vor.

Teste den Gastport mit einem Test PC direkt an der Fritte. Checke dort die IP Adressierung und den Internet Zugang.
Klappt das alles wie konfiguriert dann schliesst du den 24er Switch über den UNtagged Access Port 2 dort an. PVID ist dort 100
Die falsch konfigurierten VLAN 100 Access Ports 3 und 4 dort korrigierst du auf untagged und setzt die PVID auf 100.
Dann nimmst du den Gast PC und steckst den auf 3 oder 4. Hier sollte nun die Adressierung und Verhalten identisch zum Fritten Gastnetz Port LAN 4 sein.

Das erste hatte ich ja schon zu vor gemacht.
Nun habe ich mir das Tutorial Video von Zyxel (Video) ein drittes Mal angeschaut und das fehlende Setting in meinem Switch gefunden - die Menüstruktur und angebotenen Punkte sind bei mir weniger und etwas anders als dort.

Nun klappt es!!! Mein Laptop auf Switch Port 4 bekommt eine Gast-Netz IP und kann ins Internet. Und aus dem Hausnetz funktioniert auch und getrennt davon

sehr cool

Jetzt kommt der 8er Switch mit Trunk an die Reihe

Glückwunsch! 👏🥳👍

Und jetzt läuft es auch über den Access Point

Dann bleibt dir ja nur noch deinen Thread auf gelöst zu setzen!

Wie kann ich einen Beitrag als gelöst markieren?

Danke, das werde ich machen, aber momentan bin ich noch nicht so weit.

Zunächst steht noch komplettes verproben meiner Konfiguration an, das war gestern Abend nur rudimentär.

Und als nächstes, gebe ich gerne zu, bin ich auf den Geschmack gekommen. Und vielleicht sollte ich es jetzt gleich RICHTIG machen, und keine halben Sachen.
Will sagen: die Fritz gegen ein Modem und ne richtige Firewall austauschen. Allerdings erscheint mir Mikrotik für mich ein bisschen zu "deep level" zu sein, ich versuche mich derzeit zu informieren.

Und denke da eher an ein Modem und eine Zyxel USG Flex 50, das erscheint mir auch konsistent mit meinem existierenden "Hardware-Kram".
Eine Cisco Büchse ist ja anscheinend preislich nochmal ein Stück oben drüber, wie erstes Googlen mir zeigte.
Eine Frage auch, ob eine gebrauchte Firewall (Zywall oder Cisco) eine Alternative wäre, oder ob das Security-seitig keine gute Idee ist... Fragen über Fragen...

Eine Cisco Büchse ist ja anscheinend preislich nochmal ein Stück oben drüber

Meinst du das im Ernst mit 50 Euronen??
Wäre ja sehr gut angelegtes Budget wenn man wirklich auf den Geschmack gekommen ist und einmal mit Premium Hardware arbeiten möchte. Jedenfalls ist eine vollständige, Zonen basierte Firewall onboard?!

Die Firmware wird weiterhin supportet also spräche technsch nichts dagegen und das VDSL Modem ist auch gleich an Bord.
Alternative wäre z.B. eine der üblichen China Appliances und eine OPNsense oder pfSense drauf.
Oder man recycelt damit Premium Hardware von Sophos. Oder viellcht doch einen RB Mikrotik Router wie den 5009er?! Its your choice!
Es gibt bekanntlich viele Wege nach Rom.

Habe den Thread nun als Gelöst markiert. Vielen Dank an @radiogugu und @aqui für die freundliche, schnelle und kompetente Hilfestellung!

Im Grund enthielt die erste Antwort von radiogugu bereits das taugliche Konzept zur Lösung.

Im weiteren Verlauf habe ich dann einen schwerwiegenden Fehler in meiner Fritzbox 7590 gefunden, welchen ich durch deren Reset auf Werkseinstellungen und komplette Neukonfiguration beheben konnte (Gast Netz funktionierte nicht).

Und zweitens mußte ich dann noch heraus finden, wie man das Lösungskonzept in den Zyxel Geräten im Einzelnen konfiguriert. Dann klappte es

Jetzt muss ich mir das noch vernünftig dokumentieren, denn das habe ich in einem Jahr garantiert vergessen ;)

Zitat von @aqui:

Eine Cisco Büchse ist ja anscheinend preislich nochmal ein Stück oben drüber

Die Firmware wird weiterhin supportet also spräche technsch nichts dagegen und das VDSL Modem ist auch gleich an Bord.

Oh!! das hat sich überschnitten! Mein Problem ist halt, dass ich nicht so weit vom Fach bin, dass ich die riesige Auswahl an gebrauchten und neuen Produkten richtig einordnen und das für mich passende auswählen kann, wenn ich da nicht Tage oder Wochenlang Recherche betreiben will oder kann.

Danke für den Tipp, das schaue ich mir an und preislich sehr attraktiv!

Frage: wie alt ist das Teil schätzungsweise, und wenn das noch aktuell mit Firmware und Patches supported wird, und neu um die 1000 Euronen neu kostet, was ist dann von einem Gebrauchtartikel zu 50 Euro zu halten, zumal gewerblicher Verkäufer, der sollte ja wissen, das der Wert seiner Artikel ist.

Wo ist hier der Haken?

Und: wie wird das Teil konfiguriert? Auf YT habe ich nichts zu diesem Modell finden können. Muss ich dafür erst mal einen Cisco Admin Kurs besuchen und das auf der Kommandozeile machen? So viel Zeit habe ich nicht, und kann das auch beruflich nicht wirklich gebrauchen, das lohnt von daher auch weniger...

Wo ist hier der Haken?

Gibt keinen Haken. Das sind Refurbisher die zig von den Dingen bei großen Firmen zur Verwertung aufkaufen und die im Heimbereich verkaufen wo es nur über den Preis geht. Sofern du dir das zutraust und als Herausforderung ansiehst kannst du da beruhigt zuschlagen.

Und: wie wird das Teil konfiguriert?

Auch das wurde dir oben doch schon alles gepostet! 🙄
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Mehr Silbertablett geht nicht! 😉

Muss ich dafür erst mal einen Cisco Admin Kurs besuchen

Nein, nur das abtippen oder en Bloc rein cut and pasten was im Tutorial steht... KlickiBunti übers GUI geht natürlich auch.

Wenn dich das alles trotz Geschmack überfordert und nun doch Muffen vor der Lernkurve hast, hast du ja oben die Alternativen gelesen! As said: Its always your own choice!

Ich habe das Teil gekauft und will es versuchen. Teaser Warnung: werde mich bestimmt noch mal hier melden mit Fragen zur Konfiguration.

Keine Sorge, wir bekommen das Teil schon zum Fliegen mit dir! 😉
Nur damit du gleich startbereit bist: Ein serielles RS-232 Terminalkabel für die Konsole hast du?
Für einen auf den Geschmack gekommenen Netzwerker ein Muß, weil so gut wie alle professionellen Geräte damit ausgerüstet sind für die Erstkonfiguration.

Oh Gott! Worauf habe ich mich da eingelassen! Sowas habe ich das letzte Mal vor 20 Jahren benutzt! Ob ich das noch in meiner Wühlkiste habe…?

Deiner Empfehlung folgend habe ich den oben genannten Cisco C896VA-K9 gekauft. Und angefangen, mich damit zu beschäftigen.

Diesem Cisco Dokument zufolge war „the last day of support“ der 31. Juli 2024. Seitdem gibt es keine Updates und Security Patches mehr dafür.

Aber oben hast du geschrieben, die Firmware wird weiterhin supported?

Deswegen kostet das Teil nur 50€. Bin ich nun einem völlig veralteten Produkt aufgesessen, welches keinerlei Patches mehr erhält? Ist ja an der Sicherheitsgrenze zum Internet nicht unbedingt so empfehlenswert, heutzutage. Oder wie soll/kann ich das bewerten?

der 31. Juli 2024.

Dann stimmt wohl deine Recherche nicht, denn das latest Release ist vom August 24!
https://software.cisco.com/download/home/286259496/type/280805680/releas ...

Spannend. Na umso besser

Der Cisco ist da. Aber das Serial Kabel ist noch unterwegs. Und muss schauen ob ich RJ11 Kabel fürs DSL habe.

Es bleibt spannend...

Wenn eine Default Konfig drauf ist dann rennt das LAN Interface im DHCP Client Mode. Wenn du also einen Port des integrierten 8-Port Switches in dein Heimnetz steckst sollte er sich eine IP ziehen und du kannst per Telnet (PuTTY) drauf.

So. Und da gehts auch schon los. Habe den Cisco an Strom angeschlossen. Ein grünes Lämpchen auf der Frontseite leuchtet dauerhaft: "OK"

Ich habe mir dieses USB-Serial-Kabel gekauft und anhand dieser Anleitung versucht, mit meinem Windows und Putty auf die Konsole zu kommen. Das Serial-Kabel habe ich in den Console Port des Cisco und in einen freien USB meines Windows PC gesteckt. COM3 wird dafür angezeigt. Jedoch:

Fehlanzeige. Kein Prompt. Das Putty Fenster bleibt komplett schwarz ohne Reaktion.

Was jetzt?

muss ich was anders machen?
USB-Serial Kabel nicht das richtige oder defekt?
muss der Router zuvor irgendwie präpariert werden? (Firmware drauf oder was auch immer?)
Router defekt?
...?

COM3 wird dafür angezeigt.

Hast du im Winblows Gerätemanager gesehen, oder?? Wenn ja ist das korrekt und richtig!

Das Putty Fenster bleibt komplett schwarz ohne Reaktion.

Das passiert wenn das serielle Setup des PuTTY nicht auf COM3 konfiguriert ist.
Das musst du vorab einstellen!
Der Cisco verlangt die folgenden seriellen Parameter: 9600, N81. Bedeutet:

9600 Baud
Keine Parity
8 Bit
1 Stopbit
Keine Flusskontrolle weder Hardware noch Software (xon, xoff)!
Profil danach in PuTTY sichern so das man es nicht immer neu eingeben muss.

Auch lesenswert dazu:
PuTTY Settings serielle Konsole
Serial Console Kabel - Rollover Console Kabel - Adapter
Keine serielle Verbindung zu Cisco 886W

Das Pinout des Kabels ist hier beschrieben:
https://www.cisco.com/c/de_de/support/docs/routers/7000-series-routers/1 ...
Du kannst die RJ45 Pins 2 und 3 (RX und TX Daten) einmal mit einer Büroklammer oder Schraubendreher kurzschliessen und auf dem PuTTY Terminal irgendwas tippen. Damit sendet PuTTY dann serielle Daten an sich selber zurück. Wenn Baudrate und die anderen Parameter stimmen kannst du die Zeichen im Terminal sehen.
Das das Terminalkabel natürlich auch an der taubenblau gekennzeichneten Buchse "CONSOLE" angeschlossen wird sollte klar sein!
Wenn du den Router mit angeschlossenem Seriell Kabel und korrekten Parametern bootest solltest du nach ca. 20 Sekunden auch eine Menge Boot Messages sehen.

Alternativ kannst du auch mal ein anderes Terminal Programm nehmen wie ¹!

Habe ich alles so gemacht gehabt.

Das Kabel muss ich wohl mal prüfen.

nada, nichts. Nicht gut. Kein guter Start mit Cisco.

Das USB-RS232 Kabel (siehe mein Link oben) habe ich mit Büroklammer und Putty getestet. Wenn ich Kontakte 3 und 6 brücke, kann ich im Putty tippen, und der Cursor geht weiter und zeigt mir die getippten Buchstaben an. Brücke weg = Cursor-Move und Buchstabenanzeige weg, dann "friert es ein".
Das Kabel sollte also wohl funktionieren.

Wenn ich das Kabel an den Console Port des Cisco stecke (es ist nichts weiteres ausser Netzteil angeschlossen) und dann einschalte, während Putty läuft: es zeigt nur den "eingefrorenen Zustand" mit Cursorblock links oben in der Ecke an, nichts weiter während der ganzen Zeit des Blinkens der OK LED, und bis diese dauerhaft leuchtet. Und auch ab dann kein anderes Ergebnis.

Testweise habe ich den Router mal mit Switchport 0 an einen der Switchports der Fritz gehängt, aber in dessen Netzwerk-IP-Liste nichts gefunden, also meldet sich das Teil wohl nicht mit DHCP dort an

Was tun?

Was du noch machen kannst ist den WAN RJ-45 Port mal in ein DHCP Netz zu hängen in der Hoffnung das da was kommt aber das wird sehr wahrscheinlich nicht der Fall sein, weil die DHCP Client Funktion dort erst explizit konfiguriert werden muss.
3 und 6 ist korrekt wie man an der Doku zum Pinout sehen kann. Sehr wahrscheinlich ist also das Kabel selbst nicht der Fehler.
Solltest du noch ein weiteres serielles Kabel haben, idealerweise mit einem klassischen DB-9 Stecker könnte man dort die Pins 2 (TX-Daten) und 3 (RX-Daten) und Masse (5) einmal provisorisch auf einem abgekniffenes RJ-45 Patchkabel Pins 3 und 6 sowie 4,5 (Masse) legen.
Mit dieser Minimalkonfig kann man nichts falsch machen und auch einmal genau testen ob man kein "gedrehtes" Terminal Kabel erwischt hat wo RX und TX Daten vertauscht sind.
Ideal dafür ist auch ein universeller, steckbarer Adapter den man entsprechend passend selber customizen kann.
Bei den mit "Cisco" titulierten Kabeln ist das aber so gut wie nie der Fall allerdings sind diese "gedrehten" sog. Nullmodem Kabel ein häufiger Grund für das Nichtfunktionieren des seriellen Konsolports.
So ein fertiges passives Kabel sieht so aus. Dazu ist aber, wie schon gesagt, ein klassischer 9 poliger DB-9 USB-Seriell Adapter wie dieser erforderlich.
Prolific Chipsätze sollte man wegen der Fälschungsproblematik besser meiden und eher auf FTDI oder CH340 setzen.
Hast du alternativ einmal das o.a. TeraTerm versucht?
Wenn alle Stricke reissen bleibt nur ein defekter Consol Port am Router. Zwar extrem selten weil die Spannungen zw. -15 V und +15 V abkönnen aber ausschliessen kann man es nicht.

Zitat von @aqui:
Prolific Chipsätze sollte man wegen der Fälschungsproblematik besser meiden und eher auf FTDI oder CH340 setzen.
Hast du alternativ einmal das o.a. TeraTerm versucht?

Hm, im gesamten Thread finde ich nichts zu "TeraTerm". Was mein neu beschafftes Kabel betrifft, meine verlinkten URL schaust du aber auch nicht, oder? der Satz gilt wohl nicht nur für mich

Ich habe das weiter oben verlinkte Kabel gekauft, welches einen FTDI hat. Hier nochmal der Link zu meinem Kabel: https://amzn.eu/d/5wqx8lg

Einen derart alten PC, der noch eine klassische serielle Schnittstelle (DB-9) hat, habe ich schon lange nicht mehr.

Ich habe keine Zeit für längere Basteleien, und werde das Teil retour senden.

Status Update. Sehr spannend. Ich werde es doch mit dem Cisco versuchen.

Was ist passiert?

Bevor ich den Tipp zum Cisco bekam, hatte ich bereits eine Zyxel USGFlex50 bestellt gehabt, aber noch nicht ausgepackt. Wo ich nun wechseln wollte, habe ich das gemacht und dabei gesehen, dass die Zyxel auch einen Console Port hat. Dort hat mein Kabel auch nicht funktioniert. Und es lag der Verpackung so ein DB9-Seriell Kabel bei und auch mal so einen USB-DB9 Adapter bestellt, der kommt Freitag. Vielleicht brauche ich den nicht mehr. Denn.

Beim erneuten Durchlesen und Recherchieren hier und woanders habe ich erst verstanden, dass mit TeraTerm eine Putty Alternative gemeint war. Und diese nun auch mal mit meinem Kabel am Cisco versucht.

Und zack, es funktionierte auf Anhieb! Also war Putty das Problem!

Sofern mir die Cisco Config gelingt, geht die Zyxel dann wieder zurück.

Bei mir ist noch die Firmware von 2014 drauf: c800-universalk9-mz.SPA.152-4.M6.bin

Wie komme ich denn an die aktuelle Firmware (aus deinem Link oben) heran? Cisco will einen Support Vertrag haben?
In dem ganzen schönen Riesenbeitrag zur Cisco Router Konfiguration habe ich nichts zu IOS Upgrade gefunden.

Habe mich jetzt bei Cisco registriert, aber das ändert nichts daran, dass mir der Firmware Download verweigert wird. Was tun?

Ich probiere gerade ein erstes Mal die Konfiguration via CLI gemäß der verlinkten Anleitung.
Verständnisfrage: muss ich da JEDES Kommando dieser langen Liste EINZELN eingeben? Ein Gesamt-Copy-Paste scheint nicht funktioniert zu haben...

Und zack, es funktionierte auf Anhieb! Also war Putty das Problem!

Tadaa...!! Glückwunsch! 🥳👍👏
Zeigt aber auch das mit deinem PuTTY Seriell Setting irgendwo noch was im Argen ist. Eigentlich sollte das damit auch klappen. Oftmals ist es das Software oder Hardware Handshaking was das Senden der Daten dort verhindert.
Achte bei TeraTerm auf die latest und greatest Version 5.3
https://github.com/TeraTermProject/teraterm/releases
Dann kanns ja nun ans Eingemachte gehen!

muss ich da JEDES Kommando dieser langen Liste EINZELN eingeben?

Kann man machen muss man aber nicht.

Die Konfig Datei ist eine einfache Text Datei. Das was du bei show run ausgegeben bekommst. Das kann man auch genau so wieder in den Router rein cut and pasten. Zeilenweise, blockweise oder als ganze Datei...je nach Geschmack.
Was auch geht ist alles via Texteditor anzupassen und die Datei dann per USB Stick aufs Flash zu kopieren und dann einfach nur configure replace nvram:<config.filename> sagen, das wechselt dann die Konfig im ganzen.
Alte Kommandos oder solche die man weghaben will negiert man mit einem no vor dem Kommando.
Das Cisco Tutorial hat ein paar Tips zur Syntax in den Links am Ende.

Ich benötige Unterstützung für die Konfiguration.
Insbesondere zu den Punkten Firewall und Telekom DSL.

Aber sicherlich mal zuerst IOS Upgrade fällig, oder? Das im Router ist von 2014

Gehe in Ruhe Schritt für Schritt vor und konfiguriere z.B. zuallererst mal den LAN Zugang mit IP, DHCP Server usw. User, Passwort, SSH Telnet Zugang.
Klemme den 2ten RJ45 WAN Port in dein bestehendes Netz als DHCP Client. So kannst du den Router schritt für Schritt konfigurieren und wasserdicht vorab testen und in aller Ruhe mit dem CLI Interface und der Cisco Welt warm werden.

Aber sicherlich mal zuerst IOS Upgrade fällig, oder?

Richtig! Das ist die Basis von allem und der allererste Schritt. Die 2014er FW ist uralt.

Ok. Also dann Firmware Upgrade. Wie geht das genau?

1. siehe oben. Cisco verweigert mir den Download.
2. welche Steps muss ich Schritt für Schritt ausführen, wenn ich das File habe?

Zu deinem Vorschlag "klemme den 2ten WAN Port in dein bestehendes Netz"

Was ist der zweite WAN Port? Der mit "SEP" ?

Mein Gerät hat genau diese Anschlüsse hier:

Wie geht das genau?

Firmware Images auf einen FAT-32 USB Stick kopieren und den im vertikalen USB A Stecker (Bild oben) einstecken. Message "%USBFLASH-5-CHANGE: usbflash0 has been inserted!" erscheint im Terminal
Ein dir usbflash0 zeigt dir seinen Inhalt im Terminal
Dann gehst du mit ena In den Administrator Modus. Erkennbar an einem # im Prompt statt eines ">".
Dann kopierst du mit copy usbflash0:c900-universalk9-mz.SPA.15 flash: das neue Image vom USB Stick auf den Router Flash. Ist Menü geführt und DAU sicher.
Ein dir flash: zeigt dir ob das Image sauber kopiert wurde
⚠️ Nun musst du dem Router sagen das er das neue Image booten soll und nicht das olle 2014er.

Dazu gehst du mit conf t in den Konfigurations Modus. Siehst du immer am "config" im Prompt. (Interface spezifische Kommandos haben dann noch ein "if" ik Prompt ala cisco896(config-if)#
Dann gibst du das erforderliche Kommando dazu ein: cisco896(config)#boot system flash c800-universalk9-mz.SPA.158-3.M9.bin und die Eingabetaste.
Mit <ctrl z> beendest du den Konfig Mode und sicherst das Kommando mit write mem damit es den nächsten Reboot überlebt der nun folgt.
Letzter Check der Konfig mit sh run dort sollte das o.a. Kommando nun zu sehen sein.

Nun rebootest du den Router in sein neues Image mit reload und siehst ihm dabei zu.
Wenn er fertig ist zeigt dir ein show version die Version und ein del flash:<altes.image> löschte die olle FW von 2014

Damit hast du dann deine erste Cisco Lektion ruhmreich bestanden!

Nochwas zum Bild:

Die 8 Gig Ports sind ein embeddeter 1 Gig VLAN Switch auf dem Router. (Gig Ports 0 bis 7). Das entspricht bei deiner Fritzbox den Ports LAN 1 bis 4.
Links oben die RJ11 Buchse ist das VDSL2 Modem
Dadrunter von links nach rechts

ISDN
2ter WAN Port (Gig 8). Dieser kommt als sog. Dual Mode Port daher und kann entweder mit einem Kupferanschluss RJ45 bestückt werden oder wenn du mal Glasfaser ins Haus bekommst, mit einer handelsüblichen SFP Glasfaser Optik. Alternativ kann man da auch einen Switch mit Glasfaser usw. anschliessen. Alles was Glasfaser Netzwerk ist.

Den Consolen Port kennst du ja nun auch genau.

Eine einfache Grundkonfig zum Kaskadenbetrieb in deinem Netz sähe dann so z.B. aus:

Lokales LAN = 192.168.88.0 /24 (Ggf. anpassen auf eigenes IP Netz)
DHCP Pool = .10 bis .200
<user> und <password> muss du mit deinem persönlichen Usernamen und Passwort ersetzen. Z.B. "admin" und "GeheiM123!"
Wenn du mal mit einem Kommando nicht weiterweisst gib immer ein ? ein, der Cisco sagt dir dann was er von dir will!
Client PC in Interface Gig 0 stecken und den RJ45 WAN Port Gig 8 in dein bestehendes Netz. Ggf. beide Interfaces auf no shut setzen sollten sie im Shutdown Modus sein und keine Verbindung zum Netz haben. Das zeigt dir ein show ip int brief
Nicht vergessen die geänderte Konfig immer mit wr mem im Flash zu sichern!

service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime show-timezone year
!
hostname cisco896
!
aaa new-model
!
aaa authentication login default local
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
username <user> privilege 15 algorithm-type scrypt secret <password>
!
ip dhcp binding cleanup interval 180
ip dhcp excluded-address 192.168.88.1 192.168.88.9
ip dhcp excluded-address 192.168.88.201 192.168.88.254
!
ip dhcp pool LAN
 network 192.168.88.0 255.255.255.0
 default-router 192.168.88.1
 dns-server 192.168.88.1
 domain-name cisco.internal
 option 42 ip 192.168.88.1
!
ip domain lookup source-interface GigabitEthernet8
ip domain name cisco.internal
!
interface GigabitEthernet0
 description Lokales LAN
 switchport mode access
 switchport nonegotiate
 no ip address
!
interface GigabitEthernet8
 description WAN Port Internet
 ip dhcp client broadcast-flag clear
 ip address dhcp
 ip nat outside
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 media-type rj45
!
interface Vlan1
 description Lokales LAN
 ip address 192.168.88.1 255.255.255.0
 ip nat inside
!
ip dns server
!
ip nat inside source list NAT interface GigabitEthernet8 overload
!
ip access-list extended NAT
 permit ip 192.168.88.0 0.0.0.255 any
!
banner exec #
You are connected to line $(line) at router $(hostname)
#
banner motd #
 ____                                       __       __     ____
/\  _`\    __                             /'_ `\   /'_ `\  /'___\
\ \ \/\_\ /\_\    ____    ___    ___     /\ \L\ \ /\ \L\ \/\ \__/
 \ \ \/_/_\/\ \  /',__\  /'___\ / __`\   \/_> _ <_\ \___, \ \  _``\
  \ \ \L\ \\ \ \/\__, `\/\ \__//\ \L\ \    /\ \L\ \\/__,/\ \ \ \L\ \
   \ \____/ \ \_\/\____/\ \____\ \____/    \ \____/     \ \_\ \____/
    \/___/   \/_/\/___/  \/____/\/___/      \/___/       \/_/\/___/
#
!
ntp source GigabitEthernet8
ntp server de.pool.ntp.org
!
end 

Hab das Update auftreiben können und wir können weitermachen

Einspielen hat funktioniert und läuft :D

Was ich noch nicht verstanden habe ist ein Basic: WIE muss ich das machen, dass ich so eine ganze Konfiguration in einem Zug rein bekommen, und nicht jede Zeile einzeln tippen muss?

Zitat von @VlanNewbie:

Was ich noch nicht verstanden habe ist ein Basic: WIE muss ich das machen, dass ich so eine ganze Konfiguration in einem Zug rein bekommen, und nicht jede Zeile einzeln tippen muss?

Gefunden. In TeraTerm kann ich nach "conf t" am Prompt über Copy Paste die ganzen Zeilen zB aus einem Texteditor einfügen. Kommt nochmal ein Bestätigungsfenster, das mit OK und dann werden die ganzen Zeilen automatisch eingegeben. Zum Schluß tippe ich ein Ctrl-Z ein und bin wieder aus dem Config Mode raus.
Prima

So. Steps abgearbeitet, das Teil hängt jetzt an Port8 mit DHCP an meinem Hausnetz. Inzwischen stellen sich mir Fragen dazu, wie und mit welchen Befehlen ich das Teil nun für meine Bedürfnisse konfigurieren muss.

Weitere Fragen stellen sich mir:

reicht weiterhin ein einziger DNS (ein Raspi) für alle VLAN's und wo sollte der dann stehen?
das Gastnetz soll DNS und Zeitquelle einfach über den Cisco aus/zum Internet nutzen.
NTP für alle LANs und Devices von der Cisco?
Die Verbindung zwischen Cisco und großem Switch geht ja dann - im Unterschied zur Fritz - künftig über EIN Kabel und tagged für alle VLANs, richtig?
Den Geräteumbau vom bisherigen Hausnetz (Default) in die künftigen Ziel-VLANs kann ich ja dann schrittweise vornehmen, richtig?
und dann natürlich den DSL Anschluß korrekt konfigurieren
und die ganze Firewall vernünftig sicher konfigurieren.

Hier mein Plan, wie die Netzstruktur aussehen soll:

In TeraTerm kann ich nach "conf t" am Prompt über Copy Paste die ganzen Zeilen zB aus einem Texteditor einfügen

Hast du intuitiv richtig gemacht! 👍 Es klappt aber auch indem man z.B. die Konfig aufs Flash kopiert und ein config replace nvram:<config.filename> angibt.

Zu deinen Fragen:

Das kommt drauf an. Grundlegend benötigst du erstmal gar kein DNS, denn der Cisco ist ja selber (Caching) DNS Server für alle VLANs! (Siehe Kommando ip dns server) Wenn du einen externen DNS Server betreiben willst oder musst z.B. mit einem Filter wie Pi-Hole oder besser Adguard-Home dann musst du ihn in einem deiner VLANs platzieren. In welchem ist netztechnisch grundsätzlich erstmal egal und hängt dann von deinem Design und Security Anforderungen ab zu denen du noch keine Angaben gemacht hast. Ein externer DNS arbeitet ja dann völlig autark zum Cisco bzw. generell einem Internet Router. Welchen DNS du mit den Endgeräten benutzt bestimmst du ja einzig und allein dann nur mit der (DNS) IP Adressvergabe an den jeweiligen Clients.
Das Gastnetz nutzt dann schlicht und einfach den Cisco als DNS und NTP Server, das ist ja auch immer der Default.
Wenn du im Cisco einen NTP konfigurierst hast dann ist der Cisco auch immer gleich (Proxy) NTP für alle VLANs. Steht auch im Tutorial.
Ja das ist richtig, geht über einen Trunk! Siehe Abschnitt "VLAN" im Tutorial.
Auch das ist richtig. Das kannst du schrittweise während des laufenden Betriebes machen. Das bestehende Netz lässt du z.B. im VLAN 1 laufen und richtest dann sukzessive deine weiteren VLANs ein und steckst dann Endgeräte einfach in diese VLANs um. So kannst du nacheinander Schritt für Schritt segmentieren und bei Bedarf auch Troubleshooten sollte wider Erwarten einmal etwas nicht klappen.
DSL machst du dann am Schluss wenn du migrierst. Erst dann schaltet man auch die Firewall scharf. Bei möglichen Fehlern weisst du dann sofort das es die Netzinfrastruktur selber nicht sein kann da du die vorher fehlerfrei geprüft hast. Es kann dann nur ein Regelfehler sein.