Gast-Netzwerk bzw. zweites getrenntes Netzwerk über Speedlink Router

[Jim.my]

Hallo zusammen,

Ich bräuchte einmal einen Ratschlag ob und wenn ja, wie ein gewünschtes zweites Netzwerk in einer bestehenden Konfiguration zu realisieren ist.

Aktuell sieht das Netzwerk wie folgt aus:

Der DSL/Internetanschluss geht in einen ZyXEL Speedlink 6501 Router der Telekom.
Dort sind zwei der LAN-Anschlüsse belegt. Zum einen, ein NAS und ein DLINK Managed Switch mit 24 Ports.
Über den Switch sowie das WLAN des Speedlink sind die Clients angeschlossen und haben Zugriff auf den NAS, Netzwerkdrucker und freigegebene Dateien untereinander.
Der DHCP Server läuft über den Speedlink Router.

Nun soll neben diesem bestehenden Netzwerk ein Gast-WLAN erstellt werden, welches den gleichen Internetzugang nutzt. Heißt also nur Internetzugriff, aber weder keinen Zugriff auf NAS, Drucker oder andere Clients.

Wie und mit welchem Gerät kann ich sowas realisieren?
Ich habe im Speedlink schon geschaut ob man ein VLAN für die LAN Ports einrichten kann, das scheint aber nicht zu gehen... Der Router bietet mir lediglich eine Firewall und statisches IP-Routing von LAN Ports...

Wenn ich jetzt einen zweiten Router oder Access Point kaufe und den an den vorhandenen Router oder Switch anschließe, habe ich ja kein getrenntes Netzwerk... Ich bin mir auch nicht sicher ob es etwas bringt, dem Switch ein getrennten VLAN-Port für einen Access Point zuzuweisen, da z.B. der NAS ja VOR dem Switch hängt und der DHCP Server im Router sitzt und nicht im Switch...

Hat vielleicht jemand eine Idee oder einen Gerätetipp, mit dem sich so etwas realisieren lässt?

Ganz lieben Dank im Voraus und viele Grüße

 

[Tiu]

Hmmmmmm.... Also ich würde den Telekomrouter ans Internet angeschlossen lassen.... das WLAN und LAN von dem als Gastnetzwerk nutzen und eine Hardwarefirewall danach schalten der Dein eigenes Netzwerk (LAN / WLAN) vom Gastnetzwerk abtrennt.... Wäre auch noch ein zusätzlicher Schutz für dein NAS etc.https://www.administrator.de/images/c/1/2/a41bef3018e03f1a10c08fb5954bb988.jpg

 

[riff-raff]

Beherrscht der Managed Switch VLAN? Wenn ja, dann Accesspoint da dran und VLAN erstellen.

 

[Jim.my]

Hmmmmmm.... Also ich würde den Telekomrouter ans Internet angeschlossen lassen.... das WLAN und LAN von dem als Gastnetzwerk nutzen und eine Hardwarefirewall danach schalten der Dein eigenes Netzwerk (LAN / WLAN) vom Gastnetzwerk abtrennt.... Wäre auch noch ein zusätzlicher Schutz für dein NAS etc.

Das hatte ich anfangs auch gedacht, aber ehrlich gesagt möchte ich ungern sämtliche Clients neu einrichten. Aktuell läuft es ja so wie es ist. Es geht nur darum für 4-5 Leute ein separates Gastnetzwerk/Gast-WLAN zu haben...

Beherrscht der Managed Switch VLAN? Wenn ja, dann Accesspoint da dran und VLAN erstellen.

Ja der Switch kann VLAN. So würde ich mir das auch am ehesten wünschen. Aber funktioniert die Trennung auch wenn ich im Switch einen getrennten VLAN Port einrichte an den ich den Access Point hänge und die DHCP Vergabe trotzdem noch vom Speedlink Router übernommen wird? Ich war mir jetzt nicht sicher ob VLAN nicht nur dann funktioniert, wenn der Switch die IPs vergibt.

 

[Raijin]

Der Speedlink hat weder eine Gast-Funktion noch bietet er VLANs. Letzteres wirst du bei Consumer-Routern sowieso nicht finden. Nicht einmal Fritzboxxen, die ja wenigstens etwas mehr als die Standardfunktionen bieten, können nicht mit VLANs umgehen. Dafür sind solche Kisten einfach nicht gebaut. Consumer-Router sind ausschließlich für 1x WAN + 1x LAN+WLAN konzipiert, nicht mehr und nicht weniger. Gast-(W)LAN ist optional, hat der Speedlink aber wie gesagt nicht.

Selbst wenn der Switch mit VLANs umgehen kann, bringt das nichts solange es kein L3-Switch ist. Es muss schließlich auch einen Router geben, der zwischen den VLANs routet. Ein dummer L2-Switch mit VLANs kann im Prinzip nur seine LAN-Ports aufteilen, also quasi mit einem virtuellen Hackebeil den Switch in 2, 3 oder beliebig viele VLANs zerhacken. Untereinander haben diese VLANs jedoch keinerlei Verbindung, dazu braucht es eben einen Router, der mit VLANs umgehen kann bzw. entsprechend viele Hardware-LANs hat. L3-Switches haben ebenfalls Routing-Funktionalität und können das Routing daher selbst übernehmen, ohne separaten (VLAN-)Router.

Entweder du ersetzt den Speedlink zB durch eine Fritzbox und lässt dort die Gast-Funktion alles regeln oder du besorgst dir zB einen EdgeRouter (ER-X @ 50€) oder einen MikroTik. Das sind semiprofessionelle Router, die im Falle eines ER-X zB über 5 separate LAN-Schnittstellen verfügen und mit VLANs, etc. umgehen können. Mit so einem Router, der dann hinter dem Speedlink betrieben wird, kannst du anschließend dein Haupt-LAN und das Gast-LAN inkl. etwaiger Access Points voneinander via VLAN trennen. Kann dein AP selbst sogar VLANs, kannst du via Tagged-VLAN auch direkt 2 SSIDs einrichten, einmal Gast, einmal Haupt. Ohne VLAN-AP müsstest du in jedes Subnetz jeweils einen 08/15 AP für das WLAN hängen.

 

[Jim.my]

...
Entweder du ersetzt den Speedlink zB durch eine Fritzbox und lässt dort die Gast-Funktion alles regeln oder du besorgst dir zB einen EdgeRouter (ER-X @ 50€) oder einen MikroTik. Das sind semiprofessionelle Router, die im Falle eines ER-X zB über 5 separate LAN-Schnittstellen verfügen und mit VLANs, etc. umgehen können. Mit so einem Router, der dann hinter dem Speedlink betrieben wird, kannst du anschließend dein Haupt-LAN und das Gast-LAN inkl. etwaiger Access Points voneinander via VLAN trennen. Kann dein AP selbst sogar VLANs, kannst du via Tagged-VLAN auch direkt 2 SSIDs einrichten, einmal Gast, einmal Haupt. Ohne VLAN-AP müsstest du in jedes Subnetz jeweils einen 08/15 AP für das WLAN hängen.

Der vorhandene Switch ist leider nur L2 - Aber das hat mir trotzdem sehr weitergeholfen. Kurz zum Verständnis allerdings nochmal: Wenn ich einen MikroTik Router bestelle (habe gerade gesehen dass es die mit integriertem WLAN gibt - Damit wäre der Access Point ja sowieso hinfällig), den in Speedlink oder den Switch einstecke und darüber per VLAN einstelle, dass alle anderen Geräte die davor hängen nicht zu sehen sind bzw. sämtlichen Traffic zwischen Clients am MikroTik und vorgeschalteter Hardware unterbinde, kann nur jemand "aus" dem Netzwerk raus und auf die anderen Geräte zugreifen, wenn er an die Einrichtung/Webinterface des MikroTik auch ran kommt, oder? Also die Trennung findet praktisch in dem Gerät nach meinen Haupt-LAN statt?

Dann wäre das nämlich die perfekte Lösung... Reicht dafür das günstige MikroTik RouterBoard?

 

[Raijin]

Es gibt diverse verschiedene Szenarien wie man sowas aufbauen kann.

Beispiel 1:

www-Router <--LAN--> VLAN-Router
VLAN-Router <--(V)LAN1--> Home
VLAN-Router <--(V)LAN2--> Gast

Der VLAN-Router - MikroTik oder EdgeRouter, etc. - würde nun in der Firewall Regeln definieren was der Gast darf und was nicht. So kann man einem Gast zB den Zugang zum Netzwerkdrucker im Haupt-LAN gewähren, aber zum NAS verwehren. Den Zugriff auf den www-Router kann man ebenfalls für Gäste blockieren, vom Hauptnetz aber erlauben. Ebenso wie man das www reglementieren kann (zB nur http/https, sprich: surfen only). Das WLAN des www-Routers wäre im Prinzip sinnlos, da das eigentliche Heimnetzwerk ja hinter dem VLAN-Router steckt und somit ein anderes Subnetz hat. Mit Routing auch zu lösen, aber .. naja.. unsauber..


Beispiel 2:

www-Router <--LAN--> Home
www-Router <--LAN--> (VLAN-)Router
(VLAN-)Router <--LAN--> Gast

In dieser Konstellation würde der neue Router ausschließlich vor das Gast-Netzwerk gesetzt und würde auch nur dieses bedienen. Das Haupt-LAN würde weiterhin über den Speedlink laufen und der neue Router würde lediglich den Zugriff auf das www erlauben und zum Haupt-LAN blockieren. So ein Setup könnte man problemlos auch mit einem OpenWRT-/DD-WRT-Router realisieren, da im Prinzip lediglich die Firewall modifiziert werden muss. In einem 08/15 Router mit Hersteller-OS geht das nicht, weil so ein Szenario nicht vorgesehen ist.
VLANs bräuchte man in diesem Fall nur beding bzw. nur, um den Switch zu "teilen". Der Router selbst käme mit VLANs gar nicht in Kontakt.