ComputerBase Menü
Aktuelles

Anleitung für komplexes WLAN mit VLAN zuhause gesucht

D

djdf

Cadet 4th Year
Registriert
Juli 2017
Beiträge
75
Hallo,

ich habe hier ein paar gehobenere Anforderungen und hoffe mir kann jemand ein paar Tipps geben. Uch habe hier zuhause möglichst viel mit LAN-Dosen gearbeitet. Alles läuft im Technikraum an einem D-Link DGS1210-24 zusammen. U.a. hängen dran SAT-Receiver, Dolby-Receiver, NAS und mehr. Im Technikraum hängt eine Fritzbox 7490, welche ein normales WLAN und Gast-WLAN aufspannen, aber der Empfang überall ist nicht gut.
Meine Idee war jetzt das WLAN zu deaktivieren und im Haus einen guten Access Point (der aber nicht gleich 200 EUR und mehr kosten sollte) aufzubauen, der 3 WLANs aufspannt und mit VLANs arbeitet. Wofür diese nun?

- Die Fritzbox wird per 2x LAN an den D-Link angebunden und der 4. LAN-Anschluss in der Fritzbox als Gast-Zugang aktiviert
- Gast-WLAN soll dieselbe VLAN im AP erhalten, wie der Port am D-Link, so dass Gast-WLAN-Client automatisch nur über den Gast-LAN-Port der Fritzbox ins Netz können
- Ein "Admin"-WLAN soll mir selbst ermöglichen alle Web-Oberflächen der Heimtechnik etc. zu verstecken, welche i.d.R. nicht abschaltbar sind, so dass niemand der Familie auch nur aus Versehen was kaputt machen kann; so dass das Admin-WLAN eine VLAN erhält, welches auch an den D-Link-Ports der Heimtechnik anliegt
- Zudem muss der Heimtechnik aber auch gewährleistet sein, dass sie über die die Fritzbox ins Netz kann
- Dann gibt es noch das "Standard"-WLAN für den Rest der Familie, über welches man ins Netz kommt und ggf. noch auf das NAS zugreifen kann.

Da ich leider noch nicht so viel von VLAN verstehe, aber hoffe, dass ich mit dem D-Link eine gute Basis habe, hoffe ich, dass mir jemand etwas ausführlicher beschreiben kann, ob und wie das funktioniert, was ich vorhabe!?
Und vllt. hat noch jemand einen Tipp für einen guten Access Point, der auch 5GHz unterstützt, eben bis zu 3 WLANs aufspannen kann und 800-1000 MBit Bandbreite bietet.
 
Die Fritzbox kann kein Link Aggregation soweit mir bekannt ist. Damit fällt 2x Lan zwischen Firtzbox und Switch flach.
Das getrennte Netz für die Weboberflächen ist ne nette Idee. Sofern die betroffenen Geräte aber nicht nur für die Weboberflächen im Netzwerk hängen, müssen die es selbst ermöglichen, das Webfrontend unter einer anderen IP anzubieten. Oder sie bieten einen eigenen Netzwerkport für die Weboberfläche, der sich gesondert konfigurieren läßt.

Und wenn sich Geräte aus verschiedenen VLans unterhalten sollen, brauchst du noch einen Router, der die Netze verbindet. Im Idealfall kann das der Switch, wenn das ein Layer3 Gerät ist.

Ansonsten kann ich nur sagen, wenn du dich nicht auskennst, machs dir nicht zu kompliziert. Ansonsten aber viel Spaß und Erfolg :)
 
Gehobene technische Anforderungen verlangen auch gehobene Hardware

LANCOM L-322 agn kann mehere WLANs aufspannen, ist Dual Band mit 2,4 und 5 GHz und hat sehr gute Reichweiten.

Die Einrichtung der WLAN-abhängigen VLAN Trennung gibts hier

https://www2.lancom.de/kb.nsf/1275/60D780371297F0DCC12579C9004DDE16?OpenDocument

alles ab Punkt 2. ist für dein Szenario nicht mehr interressant.

Darüber hinaus muss natürlich dein Switch VLAN-technisch noch entsprechend konfiguriert werden:

- Der Port des Accesspoints muss alle VLANs getagged übertragen.
- Der Port fürs Gastnetz der Fritzbox ist dann ein untagged Port im entsprechenden VLAN (zB. VLAN 2)
- Die Anschlusse an denen deine Webinterfaces erreichbar sind mussen am Switch entsprechend in ein drittes VLAN untagged
- Der ganze Rest bleibt untagged im Default VLAN

Die Fritzbox kann kein Link Aggregation soweit mir bekannt ist. Damit fällt 2x Lan zwischen Firtzbox und Switch flach.
Zum Vergrößern anklicken....

sobald dahinter eine VLAN Trennung betrieben wird ist das der Fritzbox doch egal...

so long
nubi
 
Zuletzt bearbeitet:
Man man man, du machst es dir kompliziert ... Jede Weboberfläche hat doch eine Authentifizierung und so lange die keiner kennt, kann da keiner was kaputt machen :D.

Soll doch ein Gast an mein NAS dran kommen, kann er Musik hören und Filme gucken , aber sonst nix. Verstellen oder kaputtmachen kann er nicht. Genauso ist es bei jedem anderen Gerät.

So extrem machen wir es nichtmal in unserer Firma :D

Man kann sich auch kaputtadministieren.
 
  • Gefällt mir
Reaktionen: MattHelm
Hallo zusammen,

Ich stimme Donald24 zu. Habe selbst die Ubiquiti Produkte (24 Port Switch, Security Gateway, AP AC Pro, AP AC Lite) an einem Kabelanschluss 250/25 im Einsatz. Habe auch Guest und Home LAN per VLAN getrennt und eine Webauthentifizierung für Guests. Der Controller läuft bei mir auf einem Raspberry Pi.
Das Handover zwischen den APs passiert ohne jeglichen Ping Verlust. und alles ist sehr stabil.
Es ist nicht gerade günstig, aber es gibt auch sicher sehr viel teurere Lösungen.

Gruss
 
Naesh schrieb:
So extrem machen wir es nichtmal in unserer Firma :D
Zum Vergrößern anklicken....
Autsch.

Naja, ich würde auch ziemlich genau so vorgehen, TE, nur ohne dein drittes Adminnetz.

2 Ports an den managed Switch (Port 4 an Accessport im VLAN 20 zB, Port 1 an Accessport im VLAN 10 zB), 2 VLANs (10,20) per Trunk dann weiter an den AP, eine SSID Gast an VLAN 20, eine SSID WLAN an VLAN 10...
Und dann einfach sichere Zugangsdaten für alle Komponenten, so dass die Leute nichts verstellen können, und granulare Per-User Zugriffsrechte auf die NAS, zumindest bei "sensiblen Daten".
 
Ziemlich genau so werde ich das bei mir Ende das Jahre im eigenen Haus auch umsetzen, nur ohne das zusätzliche Admin Netz. Dafür gibt es keinen Grund, jedes Gerät ist in irgend einer Form Passwort geschützt, sodass da niemand was kaputt macht.
Außerdem kannst du dir dann einen Router der auf der LAN Seite VLANs kann sparen und die Fritzbox weiter nutzen.
Beim W-LAN wirds bei mir auch Ubiquiti werden. Je nachdem wie viel Bandbreite du in der Luft brauchst davon einen aussuchen: https://geizhals.de/?cmp=1325765&cmp=1325749&cmp=1573453
 
Das Problem hier: Er hat gehobene Ansprüche, ist aber nicht bereit dafür zu zahlen....
 
Wärs nicht einfacher einen Router zu kaufen mit 2x 5GHz 1x2.4GHz der schon Gastzugang kann und diesem nur Zugriff aufs Internet erlaubt?

Ein "Admin"-WLAN soll mir selbst ermöglichen alle Web-Oberflächen der Heimtechnik etc. zu verstecken, welche i.d.R. nicht abschaltbar sind, so dass niemand der Familie auch nur aus Versehen was kaputt machen kann
Zum Vergrößern anklicken....
Wie wärs Du benutzt ein Passwort? Oder erlaubst Konfiguration zusätzlich nicht per WLAN? Oder nur von Deiner MAC-Adresse, oder
stellst einfach den Standard-Port weg von 80 oder oder oder? ;)
 
Wärs nicht einfacher einen Router zu kaufen mit 2x 5GHz 1x2.4GHz der schon Gastzugang kann und diesem nur Zugriff aufs Internet erlaubt?
Zum Vergrößern anklicken....
In der Regel nicht. Den Router müsstest du genau so mittig aufstellen das der Empfang überall im Haus zufriedenstellend ist. Das geht in den meisten Fällen nicht.
Mit extra Access Points kann man alles so ausleuchten wie man es braucht.
 
Auch Deine Access Points musst Du sinnvoll aufstellen zumindest im 2.4G Bereich sonst bremsen die sich gegenseitig. Er hat auch nur etwas von 1 Access Point geschrieben daher hab ich nicht ganz verstanden wieso er es unnötig kompliziert haben möchte.
 
Wieso nicht bereit zu investieren? Er will keine controllerbasierte, sauber roamende Lösung. Er will einen einzigen VLAN-fähigen AP.
Da sind doch 200 nicht zu niedrig gegriffen, nehme ich an, oder? Praxis fehlt mir in dem Thema zwar (v.a. bei Beschaffung), aber das sollte doch so hinkommen...
Den VLAN-fähigen Switch hat er doch...
 
bei den erwähnten Unifi Produkten muss man mit den VLANs aufpassen. Eine saubere Trennung per VLAN funktioniert dort nur in Zusammenarbeit mit der Firewall, oder irre ich mich?
Ansonsten sind die APs natürlich sehr empfehlenswert. (habe aktuell den AP AC Pro mit einem US-8-60W und der USG, ebenfalls mehrere VLANs für intern, Gäste, VPN, aber eben alles über die USG gemanaged)
 
spcqike schrieb:
bei den erwähnten Unifi Produkten muss man mit den VLANs aufpassen. Eine saubere Trennung per VLAN funktioniert dort nur in Zusammenarbeit mit der Firewall, oder irre ich mich?
Zum Vergrößern anklicken....
Das funktioniert auch mit sämtlicher anderen VLAN fähigen Hardware. Deswegen hat man ja Standards ;)
 
Das meinst du nur, weil die FW/der Switch Trunking kann und ein 8€ Switch halt nicht; aber jeglicher (smart) managed Switch kann VLANs und auch ohne Trunking wäre ein Smart Switch praktisch sinn- und nutzlos.
 
Die Fritzbox kann kein Link Aggregation soweit mir bekannt ist. Damit fällt 2x Lan zwischen Firtzbox und Switch flach.
Zum Vergrößern anklicken....

Das war auch gar nicht gefordert. Es sollen aber die WLAN-Gäste auch nur über den Gast-Port (=LAN4) der Fritzbox ins Netz können, alle anderen sollen normal raus, daher brauche ich die 2 Connections.

- Der Port des Accesspoints muss alle VLANs getagged übertragen.
- Der Port fürs Gastnetz der Fritzbox ist dann ein untagged Port im entsprechenden VLAN (zB. VLAN 2)
- Die Anschlusse an denen deine Webinterfaces erreichbar sind mussen am Switch entsprechend in ein drittes VLAN untagged
- Der ganze Rest bleibt untagged im Default VLAN
Zum Vergrößern anklicken....

So als "Pseudo"-Szenario hatte ich das ungefähr so angedacht, nur das mit dem tagged/untagged war mir noch nicht so klar, aber Du scheinst den Nagel auf den Kopf getroffen zu haben. Den Lancom schaue ich mir dann mal an.

Jede Weboberfläche hat doch eine Authentifizierung und so lange die keiner kennt, kann da keiner was kaputt machen .
Zum Vergrößern anklicken....

Eben nicht! Mein Denon mit einer aktuellen Firmware vom Frühjahr dieses Jahres z.B. stellt zwangsweise eine Weboberfläche ohne Auth und nicht-abschaltbar bereit!

Wärs nicht einfacher einen Router zu kaufen mit 2x 5GHz 1x2.4GHz der schon Gastzugang kann und diesem nur Zugriff aufs Internet erlaubt?

In der Regel nicht. Den Router müsstest du genau so mittig aufstellen das der Empfang überall im Haus zufriedenstellend ist. Das geht in den meisten Fällen nicht.
Mit extra Access Points kann man alles so ausleuchten wie man es braucht.
Zum Vergrößern anklicken....

Genau das ist der Grund.

Er hat auch nur etwas von 1 Access Point geschrieben daher hab ich nicht ganz verstanden wieso er es unnötig kompliziert haben möchte.
Zum Vergrößern anklicken....

Die Fritzbox steht im Technikraum und muss da bleiben, kann aber nicht alles ausleuchten. Hatte die Fritzbox testweise mal an ner anderen Stelle im Haus, wo ich fast alles abdecken konnte, daher sollte 1 AP reichen.

Das Problem hier: Er hat gehobene Ansprüche, ist aber nicht bereit dafür zu zahlen....
Zum Vergrößern anklicken....

Mir ist klar, dass mein DGS1210 nun keine Oberklasse ist, aber m.M.n. wohl ein mehr als ausreichendes Modell für den Heimgebrauch und gleich recht für meine Zwecke. Mir ging es um nen passenden AP, mehr werde ich wohl nicht brauchen für mein Vorhaben, der Rest ist lediglich Setup. Und wenn ein AP, der das kann nur für wesentlich mehr als der schon großzügig dimensionierten 200 EUR zu haben ist, dann muss ich mir was anderes überlegen. Aber vermutlich bist Du nur ein Troll.
 
Ich verstehs immer noch nicht ganz das Szenario, häng den Denon und Co in ein zweites Subnetz ohne DHCP dann kommt da bestimmt keiner Deiner Bekannten aus Versehen drauf.
Und Du schreibst nach wie vor 1 AP da würds meiner Meinung nach wie vor reichen einen Router im AP-Modus zu betreiben. Beides würdest Du ja an die gleiche Stelle montieren oder nicht?
Natürlich ist er ein Troll gehobene Ansprüche und dann nur 200€ x)
Bei mir ist das alles etwas einfacher, habe 2 Router parallel im Betrieb, eine Media Bridge und nur 1 AP zur Vergrößerung des Radius. Gäste und Familie laufen alle über Router 1 der nur b/g/n 400mbit max kann und der schnellere 1800mbit ist für Media Bridge, PCs und Geräte (TVs, HomeTheatre, FireTV)

Eben nicht! Mein Denon mit einer aktuellen Firmware vom Frühjahr dieses Jahres z.B. stellt zwangsweise eine Weboberfläche ohne Auth und nicht-abschaltbar bereit!
Zum Vergrößern anklicken....
Na das wäre wohl simpel zu lösen mittels fester IP und per Forwarding ins Nirvana oder explizite Firewall-Regeln.

Wünsche Dir auf jeden Fall viel Erfolg mit Deinem Projekt.
 
Ein neuer Router ala LANCOM L-322 ist quatsch und auch nicht nötig. In einem solchen Fall ist ein AccessPoint sicher die bessere Wahl.

djdf schrieb:
Das war auch gar nicht gefordert. Es sollen aber die WLAN-Gäste auch nur über den Gast-Port (=LAN4) der Fritzbox ins Netz können, alle anderen sollen normal raus, daher brauche ich die 2 Connections.
Zum Vergrößern anklicken....

Die Anleitung wie das ganze auch mit der Fritzbox umgesetzt werden kann wurde ja schon gepostet. Dies funktioniert perfekt wie dort beschrieben. Ein ähnliches Setup habe ich selbst seit 3 Jahren am laufen.


djdf schrieb:
Die Fritzbox steht im Technikraum und muss da bleiben, kann aber nicht alles ausleuchten. Hatte die Fritzbox testweise mal an ner anderen Stelle im Haus, wo ich fast alles abdecken konnte, daher sollte 1 AP reichen.


Mir ist klar, dass mein DGS1210 nun keine Oberklasse ist, aber m.M.n. wohl ein mehr als ausreichendes Modell für den Heimgebrauch und gleich recht für meine Zwecke. Mir ging es um nen passenden AP, mehr werde ich wohl nicht brauchen für mein Vorhaben, der Rest ist lediglich Setup. Und wenn ein AP, der das kann nur für wesentlich mehr als der schon großzügig dimensionierten 200 EUR zu haben ist, dann muss ich mir was anderes überlegen. Aber vermutlich bist Du nur ein Troll.
Zum Vergrößern anklicken....

Ein preiswerter AP der alle von dir gewünschten Funktionen abdeckt wäre unter anderem ein UniFI AC Lite. Er ist VLAN Fähig, kann bis zu 4 SSIDs ausstrahlen und bricht auch bei multiplen Clients nicht sofort ein. Meiner Meinung nach ein Gerät mit einer hervorragenden Preis/Leistung. Zusätzlich ist das UniFi System sehr gut skalierbar. Wenn du später feststellen solltest das 1 AP nicht reicht. Häng einfach einen zweiten dazu. Das Roaming zwischen den UniFi AccessPoints funktioniert beiweitem besser als vom billigen 0-8-15 Router mit int. AccessPoint.

Zur Konfiguration wird ein Controller gebraucht. Diesen kannst du entweder dauerhaft auf einem bei dir laufenden Server installieren. Oder einfach temporär auf einem deiner PCs. Alternativ kann man zu den AccessPoints auch einen Cloud-Key kaufen (quasi ein Hardware Controller)
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
Cisco Netzwerkkonfiguration Gast-WLAN
Antworten
13
Aufrufe
396
tim1980
T
Nero Atreides
FritzBox 7590 + TP-Link Omada AX1800 AP (EAP610)
Antworten
11
Aufrufe
503
Engaged
Engaged
S
Suche jemand, der sich mit Digitalisierungsbox Premium gut auskennt zwecks Gast-LAN
Antworten
8
Aufrufe
917
norKoeri
N
coolcriz
Omada - Keine IP Adresse an einem AP
2
Antworten
26
Aufrufe
988
coolcriz
coolcriz
X
  • Gesperrt
Wie kann ich ein VPN Netzwerk neben den Heimnetzwerk realisieren?
2
Antworten
24
Aufrufe
1.291
Markchen
Markchen
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz