3 Vlans mit 2 Internetzugriffen

[nutrix]

Die AGB des ISP haben strafrechtlich NULL Relevanz.

Ja, aber das ist ja nicht das Hauptproblem. Ich wollte hier nur darauf hinweisen, daß alle mir bekannten und akutell gängigen Provider das Teilen eines Anschlußes auf mehrere Haushalte explizit in deren AGBs verbieten. Und meines Wissens nach ist das zulässig. Ob es dann bei Verstoß tatsächlich zu einer Anzeige kommt, dazu habe ich noch keine Erfahrungen. Aber wenn die das schon bei Mülleimern und Teilen scharf verfolgen...

Wenn der ISP ihm wegen einem AGB Verstoß den Anschluss kündigen würde, wäre das vermutlich das kleinste Problem.

Natürlich, da hast Du recht. Aber wenn dann die Kripo bei Dir im Hause steht und das Haus wegen Terrorverdacht oder Verbreitung von KiPo durchsucht, wird das wirklich das geringste Problem sein. Die nehmen die zur Zeit aktive IP im Hauptrouter, und dann ist es denen egal, ob dieser dann noch weiter intern an andere Haushalte durchroutet, es ist der Eigentümer dieses Anschlußes dran.

 

[Raijin]

würde das Konstrukt verhindern, daß eine etwas kundige Person dann trotzdem Zugriff von P3 auf das LAN1 erhält

Da bereits von Fritzbox und Gastnetzwerk die Rede ist, soll LAN4 in diesem Falle natürlich als Gast konfiguriert sein. Normalerweise kennzeichne ich das tatsächlich nochmal explizit, habe ich hier aber versäumt.

Wenn LAN4 als Gast konfiguriert ist, verhindert die Firewall der Fritzbox den Zugriff auf das Hauptnetzwerk und die Firewalls der Wohnungsrouter - so sie denn mittels WAN-Port angeschlossen sind - verhindern den Zugriff von anderen Gastnutzern auf das Wohnungsnetz.

Im Prinzip ist das eine simple Routerkaskade, die am Gastport der Fritzbox hängt, eben nur mit mehreren parallelen (Wohnungs)Routern in der zweiten Ebene.

Natürlich ist das nur eine Möglichkeit, aber ich bezweifle, dass der TE mit einem komplexen Router wie einem MikroTik, EdgeRouter oder gar einer HW-Firewall mit pfSense, o.ä. klarkäme, denn dazu fehlt augenscheinlich ein Großteil des nötigen Wissens, wenn sich schon ein VLAN-Switch als Problem entpuppt.

 

[balbes]

Wow, vielen Dank für die zahlreichen Antworten . Echt TOP. Also zum rechtlichen, da droht mir gar nichts, ich muss nur im Worstcase die Mitnutzer bennen und am besten mit denenen Vertraglich regeln, was sie dürfen und was nicht, was ich auch gemacht habe. Das einzige was passieren kann, ist dass mein Provider mir meinen Anschluss kündigt hier. Klar nicht so toll, wenn man sich unnötige Probleme ins Haus holt, aber man kann ja nicht immer so misstrauisch im Leben sein.

Zum technischen, da bin ich tatsächlich nicht so fit Habe aber vor langer Zeit mal ein sehr teuren Cisco Kurs besucht und sogar ein Zertifikat erhalten (CCNA). Habe damals tatsächlich sogar kompliziertere Netzwerke erstellen müssen. Dachte ich frische mein Wissen auf und experementiere zu Hause etwas rum.

So wie ich es aktuell verstanden habe, ist die Lösung mit den Routerkaskaden wohl die beste. Habe tatsählich sogar noch zwei sehr gute da, die mir als Accespoints gedient haben .

 

[HighTech-Freak]

Das Teilen der Leitung is nur insofern ein praktisches Problem, als dass Du im Fall des Falles nicht bennen kannst wer illegalen Content gezogen hat. Dafür müsste jeder Mieter seine eigene externe IP haben. Zumindest ist das die einfachst Lösung. Wenn du das Risiko einer einzlenen IP eingehen willst, ist das natürlich deine Sache und sollte hier nicht weiter diskutiert werden.
Dein Anbieter ist natürlich jederzeit berechtigt deinen Vertrag zu terminieren da Teilen des Accounts idR nicht gestattet ist.

Back2Topic - the right tool for the job:
Ich würde in dem Fall einen Unifi Dream Router nehmen. Der hat 4 LAN Ports die alle individuell konfiguriert werden können. 2 Ports mit PoE erlauben gute Erweiterbarkeit zB mit einem kleinen 5 Port Switch den man direkt über PoE versorgt.
zB Port1 => Mieter 1, Port2 => Mieter 2, Port 3+4 => eigene Verwendung

Weiters hat UniFi hier den erheblichen Vorteil dass du direkte Insights ins Netzwerk bekommst, Speed-Limits einstellen kannst und im Problemfall idR schnell feststellen kannst wo's hakt. Außerdem lässt sich das System auch gut erweitern mit weiteren Access Points (keine verkorksten Repeater).

Als Bonus kann man mit der Deep Paket Inspection eventuellen illegalen Traffic im Fall des Falles einem Gerät zuordnen.

 

[norKoeri]

Routerkaskade

Irgendwie häuft sich die Anfrage in letzter Zeit: 1, 2, 3.

Demnach benötige ich 3 VLAN´s richtig?

Du brauchst drei Heimnetze. Wenn Du das über Gast-Netze löst, haben Deine Untermieter das Problem, dass sich die Geräte untereinander nicht sehen, also nicht mal ein WLAN-Drucker lokal funktioniert. Außer der Untermieter holt sich einen Router, macht eine Routerkaskade. Und dann klappt vieles nicht (IPv6 nach Zwangstrennung oder Spiele-Konsolen, die kein Doppel-NAT mögen). Mein Tipp: Finger weg von Router-Kaskaden. Das war ein Konzept von vor 12 Jahren, das damals schon ein Workaround war und was heute mit IPv6 und UPnP-IGD/PCP nur noch Mist ist.

Die AGB des ISP haben […]

Abgesehen davon, dass Du zu Recht andeutest, dass das vermutlich das kleinste Problem ist. Trotzdem mutwillig Verträge brechen … Leute, wenn das so weiter geht, bekommen wir noch Auskunftsdateien, die sich auch um so sowas kümmern müssen … … und dann bekommt Ihr einmal auf der Liste halt nie mehr irgendwas freiwillig.

extra informiert

Bei wem?

FRITZ!Box 6660

Das bedeutet, Du hast einen Vodafone Cable, DOCSIS-basierten Internet-Anschluss. In dem Fall dann das Cable-Modem in den Bridge-Modus umstellen (lassen) – je nach Bundesland andere Vorgehensweise. Und dann kannst Du einen Multi-LAN-Router holen, Kosten siehe meine verlinkten Threads.

[Cable/DOCSIS]

Hier kann sich wirklich jeder selbst was holen, also Eazy. Wenn genug DSL-Leitungen, dann 1&1 über Drillisch.

 

[balbes]

Wahrscheinlich werde ich das lassen. Ich wollte jetzt noch mit dem Gastnetzwerk experementieren und mir ist dabei aufgefallen, dass wenn ich bei der Fritzbox Gast auf Lan5 aktiviere, bei dem Port nur noch 100 mbit möglich sind. Filter und Priorisierungen gibt es nicht?

 

[riversource]

Ich wollte jetzt noch mit dem Gastnetzwerk experementieren und mir ist dabei aufgefallen, dass wenn ich bei der Fritzbox Gast auf Lan5 aktiviere, bei dem Port nur noch 100 mbit möglich sind.

Nein, das stimmt definitiv nicht. Da ist nach wie vor 1 GBit/s möglich.

Filter und Priorisierungen gibt es nicht?

Ja, das ist natürlich so. Portweiterleitungen sind auch nicht möglich. Das meinte ich oben mit "stark eingeschränktem Zugang".

 

[balbes]

Hab es nochmal probiert, sobald ich den Gaszugang über Lan5 deaktiviere, messe ich bei einem speedtest 900Mbit-1000Mbit. Aktiviere ich den Gastzugang über Lan5, messe ich maxomal 80-90 Mbit.

 

[riversource]

Und das liegt an der Reduktion der Ethernet-Geschwindigkeit? Hast du das überprüft? Oder liegt es nicht eher an Einschränkungen des Gast Zugangs, die du aktiviert hast?

 

[balbes]

Ich habe keine Einschränkung für den Gastzugang. Alle ports sind im Power-Modus. Ich messe auch überall die gleiche Geschwindigkeit, außer an Port5, wenn der Gastzugang aktiviert ist :?

 

[riversource]

Was ist so schwierig daran, zu kontrollieren, ob der physikalische Link auf 1 GBit/s ist? Ist er das, dann bleibt nur die Einschränkung des Gastzugangs. Der Gastzugang ist ja grundsätzlich in einem eigenen Zugangsprofil.

 

[syhm]

Die sauberste Lösung wäre ein VLAN fähiger Router. Wenn du bei Vodafone West bist und eine Provider FRITZ!Box hast, kannst du die FRITZ!Box in den Bridge Modus versetzen und dann einen Router dahinter klemmen.

Wenn das nicht geht, dann wäre die einfachste Lösung einen VLAN fähiger Router an den Gastport deiner FRITZ!Box zu hängen. Eine 7530/7520 mit OpenWRT würde sich hier anbieten, dort kannst du den Gast Zugang als Uplink konfigurieren und dann 2 VLANs mit eigenen Subnetzen erstellen.

 

[AB´solut SiD]

@syhm wäre jedoch immernoch eingeschränkt da am Gastport keine portfreigaben etc eingerichtet werden können. Sauber ist einzig, jeder der die Einschränkungen nicht hinnehmen möchte/kann muss sich einen eigenen Zugang beschaffen.

 

[syhm]

Die Wahrscheinlichkeit das es sich bei DOCSIS um einen DS-Lite Anschluss handelt, ist sehr hoch, daher sind Portfreigaben sowieso nicht möglich. Für IPv6 kann man Prefix Delegation verwenden, dies wird von der FRITZ!Box auch unterstützt.