Bitte um Unterstützung beim Aufbau eines VLAN

[O_L_L_I]

Hallo liebe Community.
Ich bin neu hier und hoffe auf eure Hilfe, da ich beim Einrichten meiner VLAN's nicht weiter komme. Ich bin ambitionierter Laie, das bedeutet ich bin KEIN hauptberuflicher IT'ler, aber auch niemand der beim WLAN ein Kabel sucht. Nun zu meiner Ausgangslage:
Ich habe eine Fritzbox 7490 an der hängt ein Zyxel GS1920-24. Der Switch soll VLAN's bereitstellen, die einen gemeinsamen Uplingport zur Fritzbox (für das WAN) nutzen, aber untereinander nicht kommunizieren. Nun verlangt der Zyxel aber auch PVID - dort kann ich aber jedem Port nur einen PVID zuweisen, was gegen die gemeinsame Nutzung eines Uplinkports spricht. Verbinde ich mehrere Uplinkports mit der Fritzbox, kann ich quasi durch die Fritzbox in das andere VLAN kommen - auch nicht hilfreich. Dann habe ich noch einen Netgear GS108E und habe gehofft, diesen mit der Fritzbox zu verbinden und von dort dann das WAN auf verschiedene Ports vom Zyxel zu bringen - auch ohne Erfolg.
Die Fritzbox ist DHCP-Master - falls die Info noch hilft.

PS: das Gast-LAN der Fritzbox hilft nicht weiter (bzw. läuft schon als ein VLAN auf dem Zyxel), da ich über das Gast-Lan nicht die nötige VPN-Verbindung aufbauen kann.

Daher nun meine Frage(n), was ich am Zylxel einstellen muss, um mit mehreren VLAN's eine Internetverbindung zu nutzen (802.1Q oder Post based), ob das überhaut möglich ist oder wie ich den Netgear anschließen muss. Denn auch tagged Ports im Zyxel habe ich bisher nicht hinbekommen. Wenn nur Zyxel und Neatgear zusammen waren konnte ich auch der Ping einwandfrei funktioniert, sobald ich an den Netgear die Fritbox angeschlossen habe war das Netzwerk "tot".

Ich hoffe auf eure Unterstützung und danke im Voraus.

 

[snakesh1t]

Da haste aber Glück, dass ich genau den Switch mit VLAN betreibe.
Bei ZyXEL lässt du VLAN ID 1 für default, nicht ändern oder sonst was.
Du erstellst 2 neue VLANs mit ID, z.B. 10 & 20.
Den Uplinkport lässt du im Reiter "Port" dann auch mit PVID 1, die anderen Ports versehst du mit 10 und 20.
Beim Reiter "VLAN-Ports" muss der Uplinkport "tagged" sein und zwar in VLAN 1, 10 und 20.
Er muss ja in allen 3 VLANs sein.

Die Fritzbox an sich kann aber kein VLAN!
Da wird es schon scheitern.
Du kannst aber theoretisch 2 Uplinks von der Fritzbox zum Switch leiten, 1x in den VLAN-Bereich 10 und 20.
Dafür musst du Port 4 an der FB mit dem Gast-LAN konfigurieren.

 

[spcqike]

Mir wäre auch neu, dass die FB mit VLAN umgehen kann. der Port zur FB kann am Switch zwar getagged werden, sodass alle Pakete in dieses VLAN gehen, aber die FB kann nicht mit mehreren VLANs arbeiten. für die FB ist es immer untagged / VLAN1.

Die FB kann ja auch nur 2 Netzwerke erstellen. das interne LAN und das Gast LAN (beide inkl. zugehöriger WLAN). Gast LAN liegt dann aber physisch nur an LAN4, wie @snakesh1t schrieb.

Was ist denn das Ziel deines Vorhabens? mehrere VLAN ohne einen VLAN fähigen Router/Firewall? Das ergibt für mich nicht viel Sinn. Die FB kann ja schlecht DHCP Server und Gateway in drei Netzen sein, aber nur 1 Netzwerk dafür erstellen...

 

[O_L_L_I]

Was ist denn das Ziel deines Vorhabens? mehrere VLAN ohne einen VLAN fähigen Router/Firewall? Das ergibt für mich nicht viel Sinn. Die FB kann ja schlecht DHCP Server und Gateway in drei Netzen sein, aber nur 1 Netzwerk dafür erstellen...

Mein Ziel ist es, VLAN's zu erstellen mit denen verschiedenen PC's per LAN ins Internet kommen, aber untereinander keinen Zugriff haben. Die Fritzbox ist dabei als Internetzugang alternativlos, alles andere danach kann ich ändern. Das Gast-Lan vom Port 4 der FB läuft schon auf dem Zyxel als ein VLAN, reicht aber leider nicht, da die benötiggte VPN Verbindung sich aus dem Gast (W)Lan nicht aufbauen lässt.

Wenn ich euch richtig verstehe, scheitert es also bislang daran, dass die Fritzbox kein VLAN beherrscht und die entsprechenden Tags fehlen, so dass der switch beim eingehenden Traffic der Fritzbox nicht weiß in welches VLAN das gehört?!

 

[T00L]

Du kannst aber theoretisch 2 Uplinks von der Fritzbox zum Switch leiten, 1x in den VLAN-Bereich 10 und 20.
Dafür musst du Port 4 an der FB mit dem Gast-LAN konfigurieren.

Das funktioniert jedenfalls. Hab hier 3 Smart Switches von Netgear und lasse - mehr aus Neugierde zum testen - meine (verkabelten) IoT Geräte über das Gäste-WLAN bzw. Gast Port LAN4 der FB laufen und packe das ganze in zwei unterschiedliche VLANs.
Aber ja, getaggte VLAN unterstützung seitens der Fritzbox wäre wunderbar.

 

[snakesh1t]

Richtig, die FB kann stock kein VLAN.
Sie kann nur zwischen dem "normalen" Netz und dem "Gast-Netz" differenzieren.
(Das wird bestimmt intern mit VLAN gelöst).

 

[T00L]

Welche VPN Verbindung wird benötigt?
Auf alle Fälle gibt es Einschränkungen im Gäste (W)LAN der Fritte, Multicast funktioniert z.B. auch nicht.

 

[spcqike]

VLANs sind, wie der Name sagt, virtuelle LANs. Damit die LAN keine eigenen Switche / Hubs brauchen, wurde VLAN erfunden. Jedes LAN braucht ein Gateway, das sich im IP Bereich der Teilnehmer befindet. dank DHCP und co ist das bei jedem Router heute drin, dennoch könnten es unterschiedliche Geräte sein.

Du kannst also auch "einfach" ein weiteres Gateway erzeugen, was VLAN kann. bspw ein Raspberry oder ein OpenWRT Router oder eine andere Firewall (ER-X, kostet ~50€)

der Möglichkeiten gibt es da sehr viele, aber eine FB alleine wird das so nicht machen.

 

[O_L_L_I]

Das mit dem weiteren Gateway hatte ich ja mit dem Netgear GS108E gehofft, aber dann bleibt als Internetzugang immer noch die Fritzbox die die VLAN Tags "entfernt".
Ich werde mal versuchen, den Netgear an den LAN Port 2 der FB zu hängen. Allerdings befürchte ich, dass ich dann auch wieder "durch die FB" über den LAN Port 1 auf den Zyxel komme. Und unterschiedliche IP Bereiche werden doch auch nicht klappen, da der Zyxel an Lan1 und der Netgear an Lan2 ja auch die gleiche FB mit der identischen IP zugreifen, oder kann der Netgear als DHCP seinen Geräten andere IP zuweisen aber diese auf den Standargateway der Fritzbox leiten - und zurück?

 

[snakesh1t]

LAN1-3 der FB sind normal miteinander verbunden, da hilft auch kein VLAN!
Nur LAN4 kann man an der FB ins Gast-LAN bringen.

 

[O_L_L_I]

Okay. Dann gebt mir doch bitte mal Tipps, was ich brauche um den Internetzugang so bereitzustellen, dass ich aus verschiedenen (V)Lan's auf den einen Internetzugang zugreifen kann. Habt ihr eine Routerempfehlung, am Besten auch mit WLAN? Oder eine andere Idee, die Fritzbox könne für das WLAN ja bleiben aber eben mit einem vorgeschalteten Router/Modem.

 

[T00L]

Also das Gast (W)LAN bekommt automatisch einen anderes Subnetz, daß nicht ins normale Netz geroutet wird. Damit hast du ja eine Trennung. Du mußt dann eben noch LAN4 über deine Smart Switches an die jeweiligen Ports per VLAN weiterleiten.

 

[O_L_L_I]

Danke, aber siehe weiter oben. Das GastLan läuft schon, reicht aber nicht aus, da die benötigten VPN Verbindungen darüber nicht laufen.

 

[T00L]

Siehe oben meine Frage dazu.

 

[O_L_L_I]

Weiß ich leider nicht. Ist vom Arbeitgeber und auch nicht zu ändern. Wieso fragst du? Gibt es Möglichkeiten das zu beabreiten?

 

[T00L]

Also dein AG VPN läßt sich nicht über den Gäste-Zugang der Fritz-Box herstellen? Wenn das ein KO-Kriterium ist, dann mußt du wohl die FritzBox ersetzen oder einen VLAN-fähigen Router vorschalten.

 

[Raijin]

Das einzige Setup mit VLANs und Fritzbox (zumindest mit Standard-Firmware) sieht so aus (Beispiel):

Fritzbox
LAN1 (MAIN) ------ (untagged VLAN 10) Port1 @ Switch
LAN4 (GAST) ------ (untagged VLAN 20) Port 2 @ Switch

Switch:
Port 1 VLAN 10 untagged
Port 2 VLAN 20 untagged
Port 3-8 zB VLAN 10 untagged (für weitere Clients im MAIN-LAN)
Port 9-15 zB VLAN 20 untagged (für weitere Clients im GAST-LAN)
Port 16 VLAN10+20 tagged (Uplink zu weiterem VLAN-Switch oder einem AP mit VLANs und separaten SSIDs)

Weitere VLANs kannst mit einer Fritzbox nicht handhaben. Willst du weitere Netzwerke, seien es physische LANs oder weitere VLANs, benötigst du entweder anstelle der Fritzbox einen Internetrouter, der dies kann (aber dafür mutmaßlich viele andere Dinge nicht wie Telefon und so), oder aber du besorgst dir einen zusätzlichen Router wie zB einen EdgeRouter-X, einen MikroTik oder auch einen Router mit OpenWRT, o.ä., den du dann zwischen die Fritzbox und die gewünschten VLANs hängst.

Fritzbox (LAN1) ------ ("WAN") EdgeRouter [(V)LAN-Ports] ===== Switch mit VLANs === Clients in VLANs

 

[O_L_L_I]

Danke euch für die Tipps.
Noch eine Ergänzung zum VPN: es handelt sich um OpenVPN, aber ich denke das ist nur die Software (die auch auf den iPhones läuft) und hat nichts mit den verwendeten Protokollen, Ports etc. zu tun?

Telefon etc. spielt keine Rolle nur WAN und (W)Lan. Dann werde ich wohl doch über den Ersatz der Fritzbox nachdenken. Hat jemand Tipps zu einem entsprechenden guten und nicht zu komplex zu konfigurierenden Router - am Bestens mit WLAN. Können die Synology Router sowas oder gibt's da im klassischen Consumers Bereich gar nichts?

 

[spcqike]

Wenn du keine großen Anforderungen hast Google mal nach openWRT.

Gibt genügend günstige wifi Router die das können.

 

[Raijin]

Bedenke bitte, dass solche Router eine andere Zielgruppe haben. Das sind dann semiprofessionelle Geräte, die weit über den Funktionsumfang der Netzwerkeinstellungen einer Fritzbox hinausgehen. Im worst case gibt es keine Wizards und man muss alles zu Fuß machen, unter Umständen auch auf der Kommandozeile.

Ich würde daher die Fritzbox stets als Internetrouter beibehalten, wenn du dich nicht auskennst. Bevor man sich an ein komplexes VLAN-Setup mit einem fortgeschrittenen Router wagt, sollte man eventuell über eine Routerkaskade mit DIY-DMZ nachdenken. Dabei macht man sich die integrierte Firewall inkl. NAT eines 08/15 Routers zunutze und muss nichts weiter konfigurieren:

Internetrouter (Fritzbox)
(LAN1)
|
+---- Gemeinsam genutzte Geräte (zB Drucker)
|
+---- (WAN) Subrouter#1 --- Privates Heimnetzwerk
|
+---- (WAN) Subrouter#2 --- Büronetzwerk

Dabei sind die Netzwerke hinter Subrouter#1 und #2 gegeneinander zugriffsgeschützt (durch den WAN-Port des jeweils anderen Subrouters), aber das Netzwerk der Fritzbox kann als gemeinsames Netzwerk genutzt werden. Dieses Setup lässt sich mit jedem 08/15 Router aufbauen, selbst mit irgendwelchen 10€ Mini-Routern. Voraussetzung ist ein WAN-Port für den Uplink und die Firewall und ein LAN-Port und/oder WLAN für die eigentlichen Geräte.

Das heißt im übrigen nicht, dass man dadurch zwei separate physische Netzwerke aufbauen muss. Man kann die jeweiligen LAN-Ausgänge der Subrouter ihrerseits im Switch als eigenständige VLANs definieren:

Subrouter#1 (LAN) ------- (VLAN 10 untagged) Port 1 @ Switch
Subrouter#2 (LAN) ------- (VLAN 20 untagged) Port 2 @ Switch

Geräte für Privat ------- (VLAN 10 untagged) Port 3-8 @ Switch
Geräte für Büro -------- (VLAN 20 untagged) Port 9-16 @ Switch