Extra Fritzbox Netze HINTER VLANs (Zugangsart "Anderer Internetanbieter) - (smart) managed Switch

[HRX-XRH]

Hallo,
das folgende Szenario hat mit einem älteren "smart managed switch" funktioniert und mit einem neuen managed switch (TP-Link TL-SG3428) nicht mehr. Vielleicht kann mir jemand einen Tipp geben.

Ich habe 5 Zimmer zur Untermiete in denen Mieter das gemeinsame Netzwerk nutzen dürfen.
Die Zimmer sind per VLAN voneinander getrennt,
untagged, portbasiert, funktioniert grundsätzlich wunderbar.

Damit die Mieter in den Zimmer selbst ein kleines WLAN bzw Netzwerk nach eigenen Wünschen realisieren können, standen dort je eine Fritzbox mit der Internet Konfiguration "Anderer Internetanbieter - Gemeinsamer Zugang über LAN" / Erweiterte Einstellung "Fritzbox arbeitet als Router(!)"

Wie gesagt, das hat funktioniert.

Nun geht es nicht mehr,
im "als Router" Modus hat die Fritzbox keinen Internetzugang.
Das geht nur wenn ich die Fritzbox als CLIENT arbeiten lassen.
Dann wären dort aber keine individuellen IP Ranges mehr möglich.

An der VLAN Einstellung alleine kann es also wohl nicht liegen.
Ich bin aber verwirrt, als natürlich hat der neue Manged Switch viel mehr Funktionen,
als der alte DLINK Smart Managed switch nach gleichem Schema (untagged, PVID, 1 Port = 1 Zimmer = 1 VLAN)


Hier kurz das die Rohdaten:
Internetzugang via smartbox, 192.168.1.1., DHCP
|
Managed Switch mit 5 VLANs, keine DHCP Funktion
|
diverse Fritzboxen als "Zimmerrouter" je über LAN Port 1 via Patchfeld mit dem jeweiligen Switch Port verbunden,
die haben dann z.B. 192.168.191.1 im eigenen Netz.
Bislang konnte der zentrale Router unter 192.168.1.1 erreicht werden.

Freue mich über Hinweise

 

[Raijin]

Das klingt schlicht und ergreifend nach einem unvollständigen Netzwerk.

VLANs in einem Switch bedeuten erstmal nur, dass der Switch in mehrere Teilswitches gesplittet ist. zB ein 24er Switch, der in 3 VLANs mit jeweils 8 Ports effektiv in 3 8er Switches geteilt wird. Diese Teilswitches agieren dabei komplett autark, so als hätte man tatsächlich 3 separate Switches nebeneinanderstehen. Sie haben keine Verbindung untereinander und sie routen auch nix oder so, einfach nur drei 8er Switches, die sich lediglich ein physisches Gehäuse teilen.
Das heißt auch, dass jeder dieser Teilswitches einen eigenen Uplink zum Router benötigt oder man muss den Uplink über einen getaggten Trunk-Port zum Router führen und dann muss der Router wiederum ebenfalls VLAN-fähig sein, um die getaggten VLANs wieder auseinanderzudröseln.

Wenn du nun aber eh je Zimmer eine Fritzbox als Untermieterbox stehen hast und diese in einer Routerkaskade betreibst, sind VLANs überhaupt nicht notwendig.

www
|
(WAN)
InternetRouter
(LAN)
|
(Port1)
Switch ohne VLANs
|
+(Port2)--- (WAN) Zimmer-Fritzbox1 ----- ZimmerNetzwerk1
+(Port3)--- (WAN) Zimmer-Fritzbox2 ----- ZimmerNetzwerk2
+(PortX)--- (WAN) Zimmer-FritzboxX ----- ZimmerNetzwerkX

Ich weiß nicht genau wo du da VLANs einbauen möchtest. Sie sind schlichtweg unnötig.

Sofern das lokale Netzwerk direkt am InternetRouter von dir selbst genutzt wird, sollten die Zimmer-Router bzw. der Switch mit dem Gastnetzwerk verbunden werden, weil die Untermieter in dieser Konstellation Zugriff auf das Netzwerk des InternetRouters hätten.

 

[HRX-XRH]

Danke für deine ausführliche Antwort.

Ich lass den Punkt mit der Fritzbox mal kurz weg,
im wahrsten Sinne des Wortes:

Früher:
Jedes Gerät das sich direkt aus einem der Zimmer mit der LAN Buchse verbindet,
wäre ohne VLANs Teil des Gesamtnetzwerkes. Das muss nicht sein. Daher die VLANs

Ich kenn die alten Fachausdrücke nicht mehr,
PVID, Portbased...also nicht das harte VLAN fähige Geschäft,
aber aktuell hat

VLAN2 als Untagged Member Port 2 und Port 1 (Verbindung zum Router)
VLAN3 als Untagged Member Port 3 und Port 1
VLAN4 .... Port 4 und 1 ...usw...
und das geht ja im Grunde sehr schön.
Und einen Netzwerkdrucker kann es als untagged port pro VLAN auch noch geben, ist aber für das Beispiel nicht wichtig.

Die Idee mit den Fritzboxen ist irgendwann mal als Erweiterung gekommen.
Ich war auch überrascht dass es funktioniert hat(!).
Hat einigen Mietern gefallen, dass sie ihr eigenes kleines Netzwerk nach eigenem Gusto aufbauen konnten.

Die Boxen gehen auch weiterhin, aber nur wenn sie im Client Modus arbeiten. Dann sind sie aber nur auf die Switch und Wifi Access Point Funktion reduziert.

D.h. an einer Stelle haben sich die beiden Switches unterschieden,
der eine war tolerant, der andere nicht mehr, weil mir das Wissen fehlt :-)

 

[Raijin]

Mit toleranten Switches hat das nichts zu tun. Netzwerktechnik ist streng standardisiert. Ich kann nicht beurteilen was wie wo und warum es bei dir vorher funktioniert hat, weil man mit (no offense) schwammigen Setup-Beschreibungen leider wenig anfangen kann. Es gibt dabei für Außenstehende zu viele Unbekannte, um nachvollziehen zu können wie es vorher war.

Daher betrachten wir an dieser Stelle den IST-Zustand. Und der sieht einfach nach einer herkömmlichen Routerkaskade aus, bei der in der 2. Ebene 5 kaskadierte Router parallel angeschlossen sind. Eine VLAN-Konfiguration ist hierbei nicht hilfreich bzw. ich sehe nicht welchen Zweck VLANs hier erfüllen sollten.

VLAN2 als Untagged Member Port 2 und Port 1 (Verbindung zum Router)
VLAN3 als Untagged Member Port 3 und Port 1

Das heißt Port 1 ist für jedes VLAN als untagged konfiguriert und dient als Uplink zum Router? Wie soll das denn gehen? Wie genau ist denn der Port auf Seiten des InternetRouters konfiguriert? Da wo das Kabel vom Switch-Port-1 reinkommt? Wenn du über diesen Uplink mehrere VLANs laufen lassen möchtest, müssen sie als tagged definiert werden und dann nennt man diesen Port im allgemeinen Sprachgebrauch "Trunk". Der InternetRouter müsste wiederum auf seinem Port ebenfalls die VLANs als tagged konfiguriert haben, um für jedes VLAN ein virtuelles Interface bereitzustellen, inkl. IP und allem.


Meines Erachtens kannst du den Switch auf Werkseinstellungen zurücksetzen (nix VLANs), die Zimmerboxxen per WAN an einem beliebigen Port anschließen und den Switch anschließend mit einem Uplink-Kabel an den InternetRouter, dessen Port OHNE VLAN-Konfiguration einfach ein lokales 08/15 Netzwerk bietet. So wie in
#2 dargestellt. Das Netzwerk des InternetRouters dient dabei als Internetlieferant für die Fritzboxxen sowie als gemeinsames Netzwerk, in dem zB ein Drucker stehen könnte.

Wenn du darlegen kannst wozu du meinst, VLANs zu brauchen, können wir uns gerne auch über ein VLAN-Setup unterhalten. Stand jetzt sehe ich keinerlei Vorteil darin, nur unnötigen Konfigurationsaufwand und offensichtlich ja auch eine Fehlerquelle, weil es sonst den Thread ja nicht gäbe

 

[oicfar]

Wenn du darlegen kannst wozu du meinst, VLANs zu brauchen, können wir uns gerne auch über ein VLAN-Setup unterhalten. Stand jetzt sehe ich keinerlei Vorteil darin, nur unnötigen Konfigurationsaufwand und offensichtlich ja auch eine Fehlerquelle, weil es sonst den Thread ja nicht gäbe

Na, wenn man VLANs hat, dann sehen sich die Geräte in den einzelnen Zimmern nicht.

+(Port2)--- (WAN) Zimmer-Fritzbox1 ----- ZimmerNetzwerk1
+(Port3)--- (WAN) Zimmer-Fritzbox2 ----- ZimmerNetzwerk2
+(PortX)--- (WAN) Zimmer-FritzboxX ----- ZimmerNetzwerkX

Hätte in dem Setup jede Zimmer-Fritzbox einen eigenen IP-Bereich?

 

[Raijin]

Ja., natürlich?!? Wie zu sehen ist werden die Fritzboxxen ja per WAN-Port angeschlossen. Das ist eine 08/15 Routerkaskade. So wie dein Router bei dir zu Hause per WAN sozusagen am Netzwerk deines Providers hängt und darüber am Internet hängen die ZimmerRouter hier eben per WAN am Hauptnetzwerk und darüber am Internet. Das ist 1:1 dieselbe Situation. Am LAN+WLAN hat jede Fritte ihr eigenes lokales Netzwerk...

Die WAN-Firewalls der ZimmerRouter blocken alles, was WAN-seitig reinkäme, ganz normal. Zimmer-zu-Zimmer-Verbindungen sind also ausgeschlossen.

Ergänzung (28. Januar 2024)

Ich verdeutliche das mal inkl. IP-Adressen:

www
|
(WAN)
InternetRouter
(LAN @ 192.168.1.1)
|
| (gemeinsames Netzwerk, zB inkl. Drucker @ 192.168.1.2)
|
(Port1)
Switch ohne VLANs
|
+(Port2)--- (WAN @ 192.168.1.11) Zimmer-Fritzbox1 ----- ZimmerNetzwerk1 @ 10.0.1.0 /24
+(Port3)--- (WAN @ 192.168.1.12) Zimmer-Fritzbox2 ----- ZimmerNetzwerk2 @ 10.0.2.0 /24
+(PortX)--- (WAN @ 192.168.1.13) Zimmer-FritzboxX ----- ZimmerNetzwerkX @ 10.0.X.0 /24

 

[oicfar]

Danke.

Damit sich dann die Zimmer-Fritzbox1 ... Zimmer-FritzboxX sehen können, müsste man dann ein Managed Switch hinstellen. Oder?

So für mich zum Verständnis. Auch wenn ich nicht der TE bin.

 

[Raijin]

Damit sie sich sehen können? Ne, die sehen sich auch so, zumindest ihre WAN-Ports untereinander. Die WAN-Ports aller Fritzboxxen sind in meinem Beispiel ja Teilnehmer des 192.168.1.0 /24 Netzwerks und könnten sich gegenseitig anpingen, o.ä. - je nachdem was die WAN-Firewall jeweils zuließe.

Wenn du meinst was man tun müsste damit sie sich nicht gegenseitig sehen können, ist das natürlich etwas anderes. In diesem Setup sind sie WAN-seitig wie gesagt ganz normale Teilnehmer eines Netzwerks und lediglich ihre WAN-Firewalls entscheiden worauf sie reagieren und worauf nicht. Standardmäßig wird eine WAN-Firewall maximal auf Pings vom WAN reagieren + etwaige konfigurierte Portweiterleitungen. Das ist ja die Aufgabe der WAN-Firewall, ob der WAN-Port nu direkt mit einem Fuß im www hängt oder in einem übergeordneten Wohnungsnetzwerk.

Möchte man die Zimmerboxxen vollständig voneinander trennen - und ich meine die Fritzboxxen selbst, nicht deren lokale Netzwerke, weil die wie beschrieben bereits isoliert sind -, braucht man in der Tat VLANs oder einen InternetRouter mit ausreichen vielen Hardware-Schnittstellen.

Mit VLANs zB so:

InternetRouter
(eth1 mit 5 vif @ 192.168.11.1 - 192.168.15.1 als Trunk aka tagged VLAN ID 11-15)
|
(Port1 @ Trunk aka tagged VLAN ID 11-15)
Switch
|
+(Port2 @ VID 11 untagged) ---- 192.168.11.0/24
+(Port3 @ VID 12 untagged) ---- 192.168.12.0/24
+(Port4 @ VID 13 untagged) ---- 192.168.13.0/24
+(Port5 @ VID 14 untagged) ---- 192.168.14.0/24
+(Port6 @ VID 15 untagged) ---- 192.168.15.0/24

Damit hätte man 1 physischen Uplink zwischen Switch und Router, über den 5 VLANs liefen. Jedes VLAN hätte im Router ein eigenes (virtuelles) Interface mit eigenem Subnetz. Der Switch verteilt diese VLANs untagged in die Zimmer. Dort kann der Mieter nach Belieben entweder direkt seine Geräte einstöpseln und er hätte ein durch den InternetRouter separiertes eigenes Netzwerk oder er schließt dort trotzdem eine Fritzbox an.

In dieser Konstellation hätten die Fritzboxxen untereinander überhaupt keinen Kontakt, nicht mal über ihre WAN-Ports, weil sie durch den InternetRouter isoliert wären. Ich sehe darin aber keinen nennenswerten Vorteil. Die WAN-Firewalls sind in einer Routerkaskade meiner Meinung nach für den dargelegten Anwendungsfall vollkommen ausreichend und vor allem Plug`n`Play.

 

[oicfar]

Ich muss mir das später in Ruhe reinziehen. Danke für die Erklärung.

 

[cbtaste420]

Das heißt Port 1 ist für jedes VLAN als untagged konfiguriert und dient als Uplink zum Router? Wie soll das denn gehen? Wie genau ist denn der Port auf Seiten des InternetRouters konfiguriert? Da wo das Kabel vom Switch-Port-1 reinkommt? Wenn du über diesen Uplink mehrere VLANs laufen lassen möchtest, müssen sie als tagged definiert werden und dann nennt man diesen Port im allgemeinen Sprachgebrauch "Trunk". Der InternetRouter müsste wiederum auf seinem Port ebenfalls die VLANs als tagged konfiguriert haben, um für jedes VLAN ein virtuelles Interface bereitzustellen, inkl. IP und allem.

Das geht tatsächlich, einige Hersteller (D-Link, Zyxel, Netgear, etc.) nennen das Asymmetric-VLAN. Hatte so ein Setup selber mehrere Jahre, ist aber nicht zu empfehlen.
Dem TE rate ich zu einem Router und VLAN 1 nicht zu benutzen.

 

[norKoeri]

Die Zimmer sind per VLAN voneinander getrennt

Netzwerk nach eigenen Wünschen

Fritzbox [in den jeweiligen Unter-Zimmern] arbeitet als Router

Klingt für mich nicht logisch. Entweder ist das jeweils ein eigenes Heimnetz, getrennt durch Deinen Router, und die FRITZ!Box kann dann ebensogut auch im Modus IP-Client arbeiten, ohne die anderen Untermieter zu sehen. Oder ich sollte mal eine Post-Pause machen, weil gerade mein Weltbild kollabiert.

wäre ohne VLANs Teil des Gesamtnetzwerkes

Meinst Du vielleicht „Port-Isolation“? Dabei entstehen virtuell im Switch dann VLANs.

beiden Switches

Welchen D-Link hattest Du vorher genau? Modell und Hardware-Revision bitte.

Ich vermute, dass Du dort die Port-Isolation genutzt hast. Das hatten deren Programmierer dann als VLANs für Dich visualisiert. War aber keine gute Idee, wegen Router-Kaskade … (erstes und besonders zweites Zitat). Welchen Internet-Router nutzt Du aktuell? Also mein Tipp: Bitte. bitte, bitte endlich einen Multi-LAN-Router holen. Dazu beraten wir Dich hier gerne, gibt es bereits ab 50 € … der hat nur vier LAN-Ports, aber Dank Deinem Omada-fähigen-Switch kannst Du mehr Heimnetze erzeugen. Welchen Internetanschluss hast Du: DOCSIS, DSL oder Fiber?

5 Zimmer zur Untermiete

Aus reiner Neugierde und Nebenschauplatz: Wie hast Du das mit den WLAN-Kanälen geregelt?
2,4 GHz bietet maximal vier überlappungsfreie Kanäle. 5 GHz teilweise noch komplizierter.