ComputerBase Menü
Aktuelles

2 Netzwerke in einem Haushalt aufziehen

R

RukainMA

Cadet 1st Year
Registriert
Dez. 2016
Beiträge
14
Hallo zusammen,

ich habe vor in Zukunft unseren Haushalt mit 2 verschiedenen Netzwerken zu versehen, welche sowohl im LAN als auch im WLAN nach Bedürfnis ausgewählt werden können.

Hintergrund ist folgender;
Netzwerk a. (hier bspw. SSID= RukainMA) soll eine normale Verbindung zwischen Endgerät -> über Switch -> Router -> Modem = Internet zur Verfügung stellen.

Netzwerk b. (hier bspw. SSID= RukainMA_VPN) soll eine über einen VPN-Dienst getunnelte Verbindung zwischen Endgerät -> Switch -> Router (VPN Zugang bspw. über OpenVPN) -> Modem = Internet herstellen.

Der Endnutzer (in dem Fall Familie) soll bei Bedarf und auf Wunsch zwischen beiden Netzwerken wechseln können in dem sie einfach die entsprechende SSID auswählen.

Welche Lösungsansätze in Sachen Hard- und Software könnt ihr mir bei diesem Vorhaben mit auf den Weg geben.

P.s. der VPN-Dienst Anbieter ist schon geklärt, es geht tatsächlich nur um die lokale Umsetzung der 2 verschiedenen Netzwerke in einem Netzwerk.


RukainMa
 
was genau ist das ziel mit einem "vpn anbieter"?
"anonym" ins internet oder "serien" schauen, die länderspezifisch gesperrt sind?
 
Meine spontane Idee wäre:
Einen zweiten WLAN-Router kaufen, der dein VPN-Anbieter überstützt. Den dann mit dem WAN-Port mit deinem "Primären" Router verbinden, sodass er ein neues Sub-Netz aufmacht. Ich hab mal meine Paint-Skills ausgepackt ;)
vpn.png

Dann hast du zwei getrennte Netze und weil der Router zwei Automatisch ein VPN aufbaut sind alle, die im WLAN: RukainMA_VPN sind automatisch im VPN.
Einziger Nachteil an der Lösung: Die meisten Router sind recht schwach auf der Brust, weshalb der Druchsatz mit aktiven VPN in den Keller geht.

Eine andere Lösung wäre: Wenn dein Router 2,4 und 5 GHz WLAN hat, beiden eine eigene SSID zu geben und dann über die Windows-Aufgabenplanug lokal den VPN-Client zu starten bzw. zu beenden. Umgeht das Bandbreitenproblem, muss aber auf jedem Rechner manuell eingerichtet werden.
 
Zuletzt bearbeitet:
So anonym wie möglich, so transparent als nötig.

Ich sehe es auch ein klein wenig als Leidenschaft an, mal mit mal ohne VPN das Internet zu besuchen.
Sei es zum einfachen Surfen, zum streamen von Länderspezifischen Serien oder ähnliches.

Mir ist bewusst dass es keine absolut Anonymität gibt, aber mir ist auch bewusst dass ein paar Abzweigungen nicht schaden können. ;)
Ergänzung ()

@ Nilson, so habe ich es in der Tat mal getestet und auf einem Openwrt fähigen Router in Verbindung mit OpenVPN den Dienst eingerichtet,
aber leider hat das nicht so hingehauen wie vorgestellt.
Ob es an meiner Config oder an der Umsetzung lag kann ich noch nicht sagen, da ich damals nicht vollen Zugriff auf Route 1 hatte.
Problem war wohl, dass nicht beide Router DHCP machen durften/konnten und bei der funktionierenden Lösung der VPN Dienst aus Router 2 in Router 1 konterkariert wurde.

P.s. danke für die Skills :)
 
Zuletzt bearbeitet:
War Router2 über den WAN Port mit dem Router1 verbunden? Denn über den Port sollte kein DHCP laufen.
 
Ja, war er Problem an der Sache war oder ist, dass dann evtl. 2 Wlan Netzwerke aufgespannt werden, aber nicht 2 LAN Netzwerke zur Verfügung stehen zwischen denen geswitch werden kann.
DHCP macht dann doch nur Router 1 in dem Fall mit 172.168.1.xxx, aber alles was mit VPN laufen müsste, sollte ja dann im 172.168.2.xxx laufen und dort gibt es dann ja kein DHCP.
 
Wenn alles richtig eingestellt ist, macht Router 1 das DHCP für 172.168.1.XXX und Router 2 für sein Netz in 172.168.2.XXX, ohne das sie sich stören. Wichtig ist da nur, dass Router2 mit dem WAN-Port mit Router1 vebunden ist.
Hab eine ähnliche Konstellation bei mir am laufen. läuft ohne Probleme.
 
Alternativ (wäre meine bevorzugte Variante) einmal etwas Geld in die Hand nehmen und "richtiges" Equipment kaufen. Sprich eine richtige Firewall mit Accesspoints, bei denen man mittels VLAN getrennte Netzwerke erstellen und Firewallregeln definieren kann.

die Unifi-Serie von Ubiquiti ist aktuell in aller Munde. Damit sollte man dein Vorhaben gut umsetzen können. (~300€ für Firewall, Switch und Accesspoint in der kleinsten Ausführung)
Der aktuelle Router wird als "reines Modem" betrieben und hängt bei der Firewall am WAN Port. Den Rest erledigst du im Unifi-Controler.

@Nilson
Das Problem ist, dass du dann das Netzwerkkabel von Router 1 in Router 2 stecken musst, wenn dein LAN Gerät (PC/TV/...) per VPN online gehen soll. Deine Variante geht zwar bei reiner WLAN Nutzung super, beim LAN wird es aber "Handarbeit" :)

Zugegeben, auch bei der Ubiquitilösung kann nur der Admin die LAN-Zuordnung der Geräte ändern, da diese am Port des Switches geändert werden muss, aber kein neues "Verkabeln" notwendig macht.
 
Zuletzt bearbeitet:
nur um nicht so transparent zu sein, reicht einfache surfregeln und entsprechende plugins und eventuell noch eine kleine raspi-firewall.
um gesperrte filme zu schauen reicht ein plugin im browser eines vpn anbieters...

bedenke... der vpn anbieter kann mit deinen daten machen was er will. du schickst alles zu ihm. bei der abwägung provider oder vpn anbieter vertraue ich dem provider mehr. der ist in deinem land, hat sich an diese gesetze zu halten, inkl. datenschutzrichtlinien. der vpn anbieter ist irgendwo mit irgendwelchen gesetzen und anderer finanzpolitik (werbefinanziert, datensammeln und verkaufen, surfverhalten aufzeichnen usw.).
 
Nur mal so am rande...wenn beide Netzwerke aktiv sind wechselt WIN doch automatisch in das stärkere!?
 
honky-tonk schrieb:
Nur mal so am rande...wenn beide Netzwerke aktiv sind wechselt WIN doch automatisch in das stärkere!?
Zum Vergrößern anklicken....

Nur beim Starten. Danach kannst du es manuell wechseln. Der Client verlässt sein WLAN nur, wenn das Signal zu schwach wird und sucht erst dann ein neues (und nimmt natürlich dann das Stärkste)
Zumindest bin ich noch nie aus meinem Test-WLAN geflogen und war im normalen WLAN, wenn ich keinen Verbindungsabbruch provoziere und neu verbunden werden muss. (sei es durch wechsel das Raumes oder Deaktivieren der Netzwerkkarte)
 
Da du "sowohl im LAN als auch im WLAN nach Bedürfnis" mit/ohne VPN surfen willst, ist eine simple Lösung über einen zweiten Router nur bedingt sinnvoll.

1) Router#2 ist als AP eingerichtet (WAN=>leer). Client muss aktiv das Standard-Gateway vom Router#1 auf Router#2 umstellen (zB 192.168.1.1 --> 192.168.1.2)
2) Router#2 als Router einrichten (WAN=>Router#1). Client muss im WLAN#2 sein oder physikalisch am LAN-Port von Router#2 (Stichwort: Umstöpseln)
3) VLANs. Router mit VLAN, Switch mit VLAN. Nun kann praktisch jeder Port in der Wohnung für VPN bzw. normal eingerichtet werden. Fortgeschrittene Access Points können ebenfalls VLANs und somit 2 WLANs aufspannen, eins für VPN, eins für normal.
 
Hallo RukainMa,

für dieses Konzept würde ich Hardware von Ubiquiti empfehlen.
Als Router würde sich hierfür der Edge Router X in Kombination mit Access Points von Ubiquiti empfehlen.
(Achtung: Der Edge Router X schafft CPU bedingt nur ca. 10 MBit VPN Durchsatz, da OpenVPN nicht von der TCP Offload Engine genutzt werden kann.)

Wenn hier mehr gewünscht wird, brauchst du dementsprechend bessere Hardware, eventuell würde sich auch ein selbstgebauter Router mit PFSense anbieten.

Für die beiden SSID's würde ich eine Unterteilung in 2 VLAN's mit verschiedenen Subnetzen empfehlen, hier ist zu beachten, dass die Access Points als auch dein Switch und Router 802.1q unterstützen.

Anschließend benötigst du eine Policy Based Route für den Tunnel, in dem du dem Router sagst, dass das entsprechende Subnetz/VLAN durch den Tunnel geschickt wird, während das andere ganz normal direkt über deinen ISP in das Internet geht.
 
Zuletzt bearbeitet:
Wie mein Vorposter auch, würde ich die UniFi APs von Ubiquiti empfehlen.
Diese können eine SSID an ein VLAN binden, somit sind die Netze am Router unterschiedlich terminiert.

Als Router würde ich aber einen MikroTik empfehlen.
Die sind meiner Meinung nach deutlich mächtiger und besser zu konfigurieren.

Unterstützt dein VPN Anbieter IPSec mit AES?
Das können manche MikroTik Router in Hardware, da hat man um die 200 MBit/s Durchsatz.
 
Ein EdgeRouter schafft via IPsec auch immerhin ~60-120 Mbit/s. OpenVPN braucht architekturbedingt vergleichsweise viel CPU-Power, weil zB die Verschlüsselung nicht so ohne weiteres auf Hardware ausgelagert werden kann. Bei IPsec ist das deutlich einfacher und daher auch auf schwacher Hardware relativ schnell.

Ich würde nicht sagen, dass MikroTiks mächtiger sind als EdgeRouter. Vom Funktionsumfang geben und nehmen sie sich nicht viel. Die Konfiguration ist anders und der eine oder andere fühlt sich bei MikroTik oder bei EdgeOS mehr zu Hause. Setzt man viel DPI ein bei hohen Datenraten, geht einem ER schnell die Puste aus, aber ich bezweifle, dass sich ein vergleichbarer MikroTik da besser anstellt. DPI frisst Ressourcen und schlanke und vor allem günstige Router haben begrenzte Ressourcen - nicht nur bei den EdgeRoutern..

Wie dem auch sei, MikroTik eignet sich ebenfalls wunderbar als VLAN-Router inkl. VPN.
 
@ chrigu, genau dies ist der Punkt weswegen ich ein paralleles Netzwerk möchte. Ich möchte nicht alles tunnel, aber ich habe hin und wieder den (gefühlten) Bedarf gewissen Traffic zu tunnel. Wieso ich die Plugin oder Anbieter Software nicht nutze möchte bzw werde, ist zum einen die Tatsache dass ich es gerne zentral habe und nicht auf jedem Endgerät bspw. das Plugin warten möchte. Dazu gibt es nicht für jede Endgerät (bspw. PS4) entsprechende Lösungen.
Dann hätte ich entweder die Chance alles bedingungslos über den Router mittels bspw. OpenVPN laufen zu lassen, aber wie bereits erwähnt erachte ich das nicht als sinnvoll und alltagstauglich.

@spcqike, eine Lösung der etwas Geld in die Hand genommen werden muss ist nicht so dramatisch, da es bei dem vorhaben ohnehin um eine komplette Neulösung in einem EFH handelt. Sprich in einem gewissen Kontingent habe ich durchaus die Möglichkeit varieren zu können. Da ich noch in der Planung bin, ist derzeit weder ein Switch noch ein aktueller Router vorhanden, somit würden ohnehin Kosten anfallen. Um diese so sinnvoll wie nötig nutzen zu können, habe ich eben frühzeitig diesen Thread eröffnet.

@Raijin, das heißt aber dass die Port im Haus fest zugewiesen sind? Sprich, "LAN Büro 1" ist immer ohne VPN und "LAN Büro 2" ist immer mit VPN und somit wären beide Netzwerkdosen unterschiedlich belegt und ich müsste bei Bedarf umstecken?

@brainDotExe, ja er unterstützt IPSec mit AES.

@ all, vielen Dank für die Rege Beteiligung, sämtliche Hardware Vorschläge werde ich mir mal näher anschauen, wie gesagt Hardware muss ohnehin angeschafft werden diesbezüglich.
 
Zuletzt bearbeitet:
Raijin schrieb:
Ein EdgeRouter schafft via IPsec auch immerhin ~60-120 Mbit/s.
Zum Vergrößern anklicken....

Der ER kann nativ kein (L2TP/)IPSec im Client Modus, was der TE aber benötigen wird.

Um das zu ermöglichen müssten man ziemlich tief in das OS eingreifen.
 
RukainMA schrieb:
@Raijin, das heißt aber dass die Port im Haus fest zugewiesen sind? Sprich, "LAN Büro 1" ist immer ohne VPN und "LAN Büro 2" ist immer mit VPN und somit wären beide Netzwerkdosen unterschiedlich belegt und ich müsste bei Bedarf umstecken?
Zum Vergrößern anklicken....

jain. Man kann natürlich 2 Netzwerkdosen im Büro vorsehen und umstöpseln. Man kann das Ganze aber auch digital machen, indem man den Port am Switch neu einstellt. Das kann aber nur der Admin ;)
Ich weiß nicht, ob man im LAN am PC sagen kann "nutze VLAN X" bzw "VLAN Y", aber eigentlich sollte das doch irgendwie gehen :eek: solange dem Port kein festes VLAN zugewiesen ist leitet er ja alle entsprechend getaggeten Pakete weiter.
 
Ja, es Tools die das Switchen innerhalb einer Netzwerkkarte ermöglichen.
Vor Jahren hatte ich dies mal im Einsatz, so konnte man am Windows PC per Klick hin und her Switchen.

Mein Problem dabei ist aber, dass es nicht nur um 1 PC geht sondern mehrere Endgeräte mit verschiedenen OS.
iOS, Android, FireOS, OpenElec, Windows.

Ich merke schon, dass ganze wird nicht einfach umzusetzen sein, aber ich dachte in Zeit bei denen mal im WLAN zwischen 2,4 u. 5 GhZ problemlos Switchen kann sollte dies auch möglich sein. Ebenfalls für LAN!
 
Ein 08/15 LAN-Adapter kann in der Regel nicht mit VLANs umgehen. D.h. der Port in der Dose muss am Switch entsprechend auf das VLAN konfiguriert sein. Es gibt aber durchaus auch LAN-Adapter, die auch selbst VLANs nutzen können. Da muss man aber gezielt ins Datenblatt schauen. Mag sein, dass das nur teureren Profi-Adaptern vorbehalten ist (zB für Server). Bin diesbezüglich aber nicht im Markt drin, also einfach mal goggeln ob das auch günstige Adapter können

@Picormorant: Hm.. Da sagste was. Ich selbst nutze nur OpenVPN und das auch nur auf meinem Linux-Server. Hab mich mit IPsec@ER im Detail noch nicht auseinandergesetzt. Wenn dem so ist, ist das in der Tat ein Mangel.


@TE:
Umschalten musst du in jedem Fall, sofern ein Endgerät nach Bedarf sowohl[/I] über den Provider als auch über VPN online gehen soll. Woher sollen PC, Switch, Router, etc bitte sonst wissen ob du heute mal via VPN surfen willst oder nicht?
So wie man via WLAN über eine SSID normal und über die andere via VPN online gehen kann (Stichwort: VLAN@WLAN) und wechselt, muss man das natürlich bei LAN ebenso tun - ob nu durch Umstöpseln in eine andere LAN-Dose, Umschalten auf ein anderes VLAN oder eben das Ändern des Standard-Gateways.

*edit:
Die Tools von denen du redest sind vermutlich eher IP Profiler, die einfach nur ein Set aus IP, Subnetzmaske, Gateway und DNS als Profil abspeichern und per Klick aktivieren können. Das hat grundsätzlich nichts mit VLANs zu tun.
Mit so einem IP Profiler könnte man das Umschalten des Standard-Gateways mit einem Klick erledigen, ginge aber auch mit einer simplen Batch-Datei. Das wäre Variante 1) in Beitrag #12.

Bei VLANs werden die Datenpakete eine Ebene unter der IP-Adresse mit einer ID versehen, die von einem geeigneten VLAN-Gerät ausgelesen und verarbeitet wird. Das ist so als wenn man in einen Gartenschlauch aus 2 Wasserhähnen gelbes und blaues Wasser einleitet (=grünes Mischwasser) und die Gartenspritze am anderen Ende gelbe und blaue Wasserteilchen wieder trennen kann.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
2 Netzwerke als 1 mit Unifi
Antworten
6
Aufrufe
945
Raijin
Raijin
A
  • Frage Frage
2 Netzwerke verbinden
Antworten
11
Aufrufe
1.417
dope69
D
X
2 Netzwerke per VPN verbunden - Nur eingeschränkter Netzwerkzugriff
Antworten
8
Aufrufe
1.230
cumulonimbus8
cumulonimbus8
greate5t
2 Netzwerke realisieren
Antworten
9
Aufrufe
906
Ja_Ge
Ja_Ge
T
  • Gesperrt
Raspberry Pi 2 Model B - 2 Netzwerke einrichten
Antworten
0
Aufrufe
1.818
TheWalkingJoke
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz