Devolos dLAN 500 AVtriple+ ohne Router möglich? hilft Switch?

[CaptainJaneway]

huuhuu

Ich bräuchte kurz eure Hilfe, google liefert dafür leider keine klaren Ergebnisse:

Ich nutze seit Jahren 3 Devolos dLAN 500 AVtriple+ , von denen einer mit dem Router zwecks Internet verbunden ist.
Da gab es nie Probleme, bin sehr zufrieden.

Nun möchte ich mir zwei separate Netzwerke aufbauen, von denen eines Internet hat und das zweite nicht.

Also habe ich einen PC direkt mit dem Router (Internet) verbunden und alle anderen Geräte, die kein Internet haben sollen mit den Dvolos.
Die Dvolos also nicht mehr mit dem Router verbunden.
In diesem Netzwerk sind PCs, Fernseher, Radio, Drucker, Scanner usw.... auch als privates Media-Streaming Netzwerk genutzt.

Und jetzt funktioniert nichts mehr. Also die Devolos können offenbar die Geräte ohne Router nicht "ansprechen".
Ist das normal?

Brauche ich zwingend einen Router zu den Dvolos?
Würde mir ein Switch helfen? z.B.

• Netgear GS105E-200PES 5-Port Smart Managed Plus Gigabit Switch
• TP-Link TL-SG105 5-Port Gigabit Netzwerk Switch

Danke bin da etwas überrascht, weil ich nicht damit gerechnet habe, dass es ohne Router mit den Devolos Probleme gibt.

Haben das Problem die neueren devolos auch noch?
Möchte mir nämlich noch ein paar holen
2x den da Devolo dLAN 1200 triple+ Powerline Adapter

 

[arvan]

Welchen tiefen Sinn soll das bitte haben?
Da ist es einfacher den Geräten das Internet im Router zu sperren. (Welchen auch immer du hast)
Und nein ein Switch bringt da nichts.
Du hast den Geräten das Gateway weggenommen, du müsstest ihn erstmal wieder eine IP geben, da sie keine mehr beziehen können, da sie kein DHCP mehr haben.

 

[CaptainJaneway]

Ich korrigiere meinen Beitrag:

1. Der Router von Kabel Deutschland lässt leider keine getrennte Einstellung von Internet- und Netzwerkzugriff zu.
Ich kann Geräte offenbar nur komplett sperren oder erlauben. Es ist ein CVE-30360. Oder weiß ich nicht, wie es geht?

2. war die Überlegung, dass 2 physisch getrennte Netzwerke am sichersten sein müssten.
sprich nicht hackbar.

3. Ich möchte vorallem verhindern, dass Fernseher, BD-Player und co. Internet haben, sie aber über den PC mit Inhalten von der Festplatte per Netzwerk bespielen.

Also brauche ich einen Router.
Gibt es da eine Empfehlung, worauf ich achten muss?

Ergänzung (16. April 2019)

Korrektur meines Beitrages

 

[martinallnet]

Selbstverständlich kann man IPs auch statisch setzen, ein Router ist also nicht erforderlich.

 

[leipziger1979]

3. Ich möchte vorallem verhindern, dass Fernseher, BD-Player und co. Internet haben, sie aber über den PC mit Inhalten von der Festplatte per Netzwerk bespielen.

Dann vergib den Geräten doch statische IP Adresse und Subnetmaske und lasse DNS und Gateway weg.
Dann können sie deinen PC im LAN erreichen und kommen nicht ins Internet.

Ganz einfach.

 

[Raijin]

keine getrennte Einstellung von Internet- und Netzwerkzugriff

Wie auch? Auf der Seite des privaten Netzwerks ist ein klassischer Heimrouter nur ein banaler Switch. Es ist ihm gar nicht möglich, am Switch irgendwelchen Datenverkehr zu blockieren - zumal der Router in einem geswichten Netzwerk noch nicht mal den konpletten Traffic sehen muss, weil nicht zwingend jedes Datenpaket am Router vorbeikommt.
Die Blockierfunktionen alias Firewall kann der Router nur zwischen Netzwerk und Internet nutzen, weil der Router dann ja quasi der Türsteher vor dem Eingang des Clubs ist und eine Zugangskontrolle durchführen kann. Um bei der Analogie des Clubs zu bleiben: Ob die Gäste im Club (Netzwerk) nu von Tisch zu Tisch gehen, kann der Türsteher nicht verhindern.

war die Überlegung, dass 2 physisch getrennte Netzwerke am sichersten sein müssten.
sprich nicht hackbar.

Aha. Nichts ist per Definition sicher bzw. unhackbar. Du kannst zwar schon den Uplink vom PowerLAN zum Router weglassen und dann allen Geräten eine manuelle IP verpassen wie @martinallnet schreibt, aber du kannst dann natürlich nicht erwarten, dass der PC, der ja mit dem Router und somit nicht mehr mit dem PowerLAN verbunden ist, noch irgendwie Zugriff auf die Geräte im PowerLAN hat. Wie auch?

Daher pflichte ich @leipziger1979 bei, dass du einfach ganz banal den fraglichen Geräten das Standardgateway wegnimmst und sie somit nicht mehr wissen wo es denn ins Internet geht. Dazu muss man an den Geräten selbst die IP manuell einstellen, da sie bei automatischer IP (=DHCP) das Gatway stets vom DHCP-Server übernehmen.

Wenn du wirklich zwei Netzwerke aufbauen willst, musst du einen fortgeschrittenen Router einsetzen, der mit mehreren Netzwerken umgehen kann. Das kann zB ein EdgeRouter-X für 50€ sein. Die Sicherheit kommt aber auch da von der Konfiguration und nicht von der bloßen Existenz zweier Netzwerke. Als workaround kann man auch das Gastnetzwerk eines Routers als reglementiertes Netzwerk einsetzen. Ob bzw. wie man da aber vom Hauptnetzwerk aus (PC) überhaupt auf das Gastnetzwerk zugreifen kann, hängt vom Router bzw. dessen Einstellungen für das Gastnetzwerk ab. In den meisten Fällen ist das Gastnetzwerk aber hart kodiert vom Hauptnetzwerk getrennt.

 

[CaptainJaneway]

Und wie mache ich das?
hat sich mit der letzten Antwort überschnitten, sorry

Auf jeden Fall schonmal danke für die bisherigen Antworten

 

[Merle]

Naja, in deinem Szenario hast du entweder einen PC fürs Netwerkstreaming zu haben UND einen Anderen fürs Internet ODER aber einen PC mit 2 Netzwerkkarten.
Bei getrennten PCs ist dein internes Netz unhackbar, sofern kein Devolo auch WLAN bietet. Das würde schon stimmen. Es gibt dann ja keine Verbindung nach außen.
Aber spätestens, wenn ein Gerät beide Netze nutzen soll (also vermutlich der PC, in dem Szenario mit 2 Netzwerkkarten) musst du ja mit diesem Gerät in beiden Netzen sein. Das verhindert schon, dass Fernseher und co. nach außen kommunizieren. Aber ist der PC kompromittiert kommt man auch nach innen auf die Netze.

Also, was willst du? Soll der PC in beiden Netzen hängen?
Dann braucht er 2 Netzwerkkarten. Eine in den Router, eine an den Devolo.
Im gesamten Devolo-Netzwerk müssen dann die IPs händisch gesetzt werden. Ein Gateway braucht man innerhalb eines Subnetzes nicht. (Also können wir z.B. 10.0.0.1-10.0.0.255 nehmen mit der Subnetzmaske 255.255.255.0)
Die Namensauflösung funktioniert natürlich ohne DNS dann auch nicht, also musst du alles über IP Adressen verbinden, z.B. auch Mediaserver vom Fernseher aus (wenn es das Protokoll nicht anders abfängt).
Der Zweck deiner Idee erschließt sich mir. Aber es ist unpraktisch.
Besser wäre eine richtige Firewall, die IPs können dann auch im selben Subnetz sein, dort kann man richtige Regeln pro Hostkommunikation von/nach außen setzen. Aber das muss man können, es ist genau so wie @Raijin sagt. Denn die beste Firewall hilft nichts, wenn der User am Ende einen exposed Host einrichtet weil die Portfreigaben zu anstrengend zum recherchieren waren.
Zudem legt man damit ja auch viele Funktionen lahm.
Updates der Geräte? HbbTV? Streaming von Netflix? Sicher, alles optional. Aber irgendwie ist das kaum verwendbar heutzutage.