(AVM) LAN-Brücke via VPN?

[FJK]

Moin,

Ich habe einen AVM 2400 Repeater, den ich derzeit als WLAN-Brücke verwende. Zur Performanceverbesserung würde ich diese gerne als LAN-Brücke verwenden. Ein LAN-Kabel ist am Standort des 2400 vorhanden, jedoch liegt hier ein "anderes Netz" an, als das, was ich über WLAN verteilen möchte. Ein OpenVPN-Zugriff auf das "richtige" Netz ist aber möglich. Kann man in AVM-Repeater nun den Zugriff auf das LAN via OpenVPN/IPSec konfigurieren?
Gibt es andere Möglichkeiten ausser dem Verlegen eines zweiten LAN-Kabels zur Verbesserung der WLAN-Performance? Ok, man kann noch einen 2. Repeater "auf dem Weg" stellen.

Kurzform:
Internet => Fritzbox1 192.168.1.0-Netz => Fritzbox2 192.168.2.0-Netzwerk. (Quasi kaskadierende Firewall)
Der 2400 ist im 192.168.1.0-Netz und soll nun das 192.168.2.0 per WLAN verteilen. OpenVPN von 192.168.1.0 zu 192.168.2.0 ist möglich.

Besten Dank!
Gruß FJK

 

[Borderland555]

Du kannst doch zwischen den 2 Fritzboxen direkt eine VPN Verbindung aufbauen.

Sogar so, dass diese nur ein einem bestimmten Port an der Fritzbox anliegt.
An der stöpselst du dann deinen W-Lan Repeater an.

Schon ist nur der W-Lan Repeater per VPN im Netz der anderen Fritzbox.

 

[till69]

Kurzform: Nein

Über VPN wird es dermaßen langsam, dass Du die Idee schnell wieder vergisst.

 

[FJK]

Der Ort an dem der Repeater steht ist natürlich ein anderer als der Ort der Fritzbox. Zu diesem Ort gibt es aber nur ein LAN-Kabel der Fritzbox1 oder eben "ein wenig WLAN" der Fritzbox2. Ein direktes Anstöpseln des Repeaters an die Fritzbox 2 wäre genau das Verlegen eines 2. LAN-Kabels, was ich vermeiden möchte.

Ergänzung (13. Februar 2021)

till69: Danke für Deine pauschale Behauptung, dass es Dir zu langsam scheint.
Mir reicht mein VPN über dieses LAN-Kabel an einem Laptop vollkommen aus, so dass ich da leider anderer Meinung bin - aber dennoch danke für Deine Mühe mir zu antworten.

 

[till69]

Mit FritzOS geht sowas definitiv nicht.

Mit OpenWRT (oder evtl. auch DDWRT) ließe sich evtl. was basteln.

 

[h00bi]

Zur Performanceverbesserung würde ich diese gerne als LAN-Brücke verwenden.

Wie wärs einfach mit einem zusätzlichen WLAN Node dazwischen statt den Traffic kompliziert über ne Routerkaskade durch ein VPN zu routen?
Ansonsten: Mal drüber nachgedacht die Netze über VLAN zu trennen statt über eine Routerkaskade?

 

[FJK]

Danke für die Tipps!

Die Routerkaskade sollte bewußt der Sicherheit dienen: Im Netz1 habe sind unkritische Geräte wie z.B. Chromecasts, FireTV, Alexas, und Tablets der Kids. Im "darunterliegenden" Netz2 sind dann die kritischen Geräte NAS, SmartHomeSteuerung, Arbeitslaptop,.... . WLAN und LAN im Netz1 ist im ganzen Haus per Orbi-Router vorhanden. WLAN für das "kritische" Netz2 ist bewußt minimiert von der Reichweite auf einen Raum (Büro in dem die Fritzbox2 steht) und nun soll halt ein zweiter weiter abgelegener Raum (Wohnzimmer) hinzu. Bislang klappt das durchaus, wenn ich z.B. mit dem Smartphone im WLAN1 bin und dann per OpenVPN auf TinyMatic/Homematic zugreife.

VLAN habe ich zumindest mal angedacht und mit rumgespielt, aber da bin ich leider nicht so den richtigen Ansatz zu finden, dass es für mein Szenario passt.

OpenWrt wäre in der Tat dann der nächste Schritt gewesen, wobei ich dafür nicht den 2400, sondern einen einen älteren 450E nehmen würde. Alternativ habe ich auch über einen Raspberry PI als "VPN-Gateway" nachgedacht.

Die Hoffnung war halt, dass AVM evtl. schon eine Laborversion o.ä. hätte und es damit weniger Stolperfallen gibt.

Jetzt die klare Aussage, dass FritzOS das nicht unterstützt hilft mir dann wirklich weiter, denn nun kann ich die anderen "Bastelösungen" angehen ohne mich zu ärgern, dass ich vielleicht etwas übersehen hätte.

Beste Grüße
FJK

 

[benneq]

Evtl. ginge auch noch was mit zwei VLAN-fähigen Switches. Falls die FritzBox 802.1q kann (?), könnte man sich vermutlich einen Switch sparen.

 

[till69]

OpenWrt wäre in der Tat dann der nächste Schritt gewesen, wobei ich dafür nicht den 2400, sondern einen einen älteren 450E nehmen würde.

Der 2400er geht eh nicht und der 450e ist saulahm.

Gute AVM Hardware für OpenWRT: Klick

 

[FJK]

till69: Danke für den Hinweis: Der 450 lag halt noch bei mir rum, aber dann versuche ich das erst gar nicht und nehme direkt den PI.

Ergänzung (13. Februar 2021)

Evtl. ginge auch noch was mit zwei VLAN-fähigen Switches. Falls die FritzBox 802.1q kann (?), könnte man sich vermutlich einen Switch sparen.

Jetzt fühle ich mich hinter mehrere kaskadierenden Systemen mit einem ERLite-3 direkt am Glasfaseranschluss, dahinter einem Orbi RBR40 als Mesh für das gesamte Haus und dahinter eine FB 7590 sehr sicher und auch ausreichend performant über die jeweiligen 1GB-Ports.

Wie gesagt bin ich bei VLANs nicht so fit: Wo würdest Du jetzt genau VLANs empfehlen?

PS: Bei der Eingangsfrage hatte ich lediglich zur Vereinfachung von 2x FB gesprochen

 

[benneq]

Wie gesagt bin ich bei VLANs nicht so fit: Wo würdest Du jetzt genau VLANs empfehlen?

VLAN bedeutet nicht, dass man das gesamte Netzwerk damit ausstatten muss.

Dein Problem ist ja, dass du nur ein Kabel hast, aus dem du lieber zwei Kabel machen würdest - bzw. 2 getrennte Netzwerke laufen lassen willst. Also könnte man ausschließlich über dieses Kabel 2 VLANs laufen lassen: Vor dem Kabel kommen die 2 physikalisch getrennten Netzwerke an, werden von einem VLAN Switch "gebündelt" (eigentlich eher: getaggt) und über das Kabel geschickt, und am anderen Ende des Kabels nimmt ein zweiter VLAN Switch die Netzwerkpakete entgegen und macht daraus wieder 2 getrennte Netzwerke.

 

[till69]

Dein Problem ist ja, dass du nur ein Kabel hast, aus dem du lieber zwei Kabel machen würdest

Wenn 100 MBit/s reichen, geht das auch hiermit: https://www.amazon.de/dp/B01N7YWMMG

 

[FJK]

VLAN bedeutet nicht, dass man das gesamte Netzwerk damit ausstatten muss.

Dein Problem ist ja, dass du nur ein Kabel hast, aus dem du lieber zwei Kabel machen würdest - bzw. 2 getrennte Netzwerke laufen lassen willst. Also könnte man ausschließlich über dieses Kabel 2 VLANs laufen lassen: Vor dem Kabel kommen die 2 physikalisch getrennten Netzwerke an, werden von einem VLAN Switch "gebündelt" (eigentlich eher: getaggt) und über das Kabel geschickt, und am anderen Ende des Kabels nimmt ein zweiter VLAN Switch die Netzwerkpakete entgegen und macht daraus wieder 2 getrennte Netzwerke.

richtig, es geht nur um das eine Kabel. d.h. "vor" dem Kabel müssen beide Netze "anliegen" und werden dann "hinter" dem Kabel wieder "aufgeteilt". d.h. -2- Netz <=> -1- Kabel <=> -2- Netze.
Aber wie setzt man das in der Praxis um?

Bei meinen Experimenten mit zugegebenermassen einfachen, weil billigen Komponten (TP-Link TL-SG100) habe ich ein 802.1Q(?)VLAN genutzt um Geräte aus einem(!) Netz an unterschiedlichen Ports z.B. entweder uneingeschränkt ans Internet zu lassen oder erst über PI-HOLE bekannte Werbeadressen (Smart-TV) ausfilltern zu lassen. d.h. aus -1- Netz => -1- Kabel => -2- Netze

Ich habe gerade ein Brett vor dem Kopf, wie das mein "Ein-Kabel-Problem" in je 2 (vorher und nach) unterschiedlichen Netzen löst ...

Ergänzung (13. Februar 2021)

Wenn 100 MBit/s reichen, geht das auch hiermit: https://www.amazon.de/dp/B01N7YWMMG

Wow, auf den ersten Blick sah es aus wie ein "elektrischer" Anschlusssplitter, also quasi ein 2-Port-Hub, aber das sind ja dann wirklich 2 physikalisch getrennte Netze und für 100MBit/s dann wirklich die günstigste Lösung ... Besten Dank!

Ergänzung (13. Februar 2021)

till69: Ich bin gerade echt begeistert von dem Teil!

 

[till69]

aber das sind ja dann wirklich 2 physikalisch getrennte Netze und für 100MBit/s dann wirklich die günstigste Lösung

Geht noch besser (nur mit Buchsen) und günstiger:
https://www.amazon.de/dp/B08GKGRLR8

 

[Raijin]

Kannst du bitte mal eine Skizze von der Infrastruktur (Router, Switches, Access Points, Repeater) machen? Was ist womit verbunden, was mit Kabel, was mit WLAN, etc.. Am besten noch die IP-Adressen dazuschreiben. Es ist nämlich sehr anstrengend, sich sowas aus einem Text heraus vorzustellen. Dein Netzwerk ist nämlich voll von Routern, wenn du 2 Fritzboxxen, einen EdgeRouter und dann auch noch ein Orbi-Mesh hast - der Master ist nämlich ab Werk ebenfalls ein Router. Da sind dermaßen viele Konfigurationen mit WAN-Ports, NAT, Firewalls und Co möglich, dass es schwierig ist, deine Sitiation 100%ig zu interpretieren.

 

[FJK]

Das Problem ist mit dem o.g. Splitter (schon bestellt ;-) eigentlich schon gelöst, aber für gute Ideen vor allem zum Thema VLAN oder generell Sicherheit bin ich immer offen

Grundsätzlich sind es 3 kaskadierende "Firewalls" bzw. eher NAT/Router die mein Heimnetz sicher machen sollen. Es sind keine professionellen Router, sondern "günstige Internetrouter", die also im Wesentlichen nur ein "inneres Netz" nur zum "bösen Internet" absichern.
Die Performance reicht aus, da alle diese "Router" 1GB-Ports haben und momentan ausreichend schnell (70-80% von GBit/s) auch Routing/NAT übernehmen. Klassische DSL-Router waren damals viel zu langsam, da diese lediglich auf altem DSL-Niveau (16-50 MBit/s) arbeiten mußten.

Im roten Netz gibt es LAN und WAN in gesamten Haus für alle "eher unkritischen" Geräte.

Im grünen Netz sind die "kritischen" Geräte wie z.B. Smarthome-Zentrale und NAS. WLAN gibt es hier nur in einem Raum. Ein zweiter - etwas weit entfernter - Raum soll nun ebenfalls "grünes" WLAN erhalten. Für eine WLAN-Brücke ist ziemlich weit weg, dafür liegt ein "rotes" LAN-Kabel dort. Zudem möchte ich keinen langen Korridor mit z.B. weiteren Repeatern aufbauen, sondern das grüne WLAN soweit wie möglich auf den notwendigen Raum beschränken und z.B. auch die entsprechende Leistung minimal halten.

Meine ursprüngliche Idee war nun ein VPN über das rote Netz. Dies geht mit FritzOS nicht. Die Alternative mit dem Splitter ist eine gute Lösung, da an der Stelle 100MBit/s ausreicht.

Wenn ich hier etwas mit VLAN optimieren kann - gerne Vorschläge oder auch Kommentare zur anderen Verbesserungen.