Gastnetz durch VLAN ersetzen

[frosch006]

Hallo.
Ich hatte bisher für meinen Untermieter das Gastnetz in der FB aktiviert, so dass wir beide den Internetzugang gemeinsam nutzen konnten, aber eben jeder sein eigenes Netz hat.
Da ich aktuell eine neue Sprechanlage einbaue und die mit IP Gateway arbeitet, funktioniert das mit dem Gastnetz nichtmehr, da alle im selben Netz sein müssen um auf das Gatway zugreifen zu können. Ein weites Gatway das auch von allen angesteuert werden soll ist für die Garagentore verbaut.
Wie muss ich das VLAN Netz richtig aufbauen?
Es ist von 3 Wohneinheiten auszugehen. Die Einliegerwohnung Wohnung 1 und Wohnung 2 sollen jeweils über LAN und WLAN angebunden werden.
Wohnung 3 ist eigen genutzt wird vom EG aus von der FB 7390 per WLAN und LAN Kabel zum Switch im OG versorgt.
Im EG hängt neben der FB7390 ein Netgear GS116E Switch der VLAN kann.
Ich hab schon einiges über solche VLAN Netze gelesen, aber richtig schlau wurde ich daraus nicht.
z.B. da wurde ein kleines VLAN Netz mit 4 Rechnern aufgebaut, jeder Rechner hat eine eigene VLAN Kennung bekommen
VLAN 10, IP 192.168.10.100
VLAN 20, IP 192.168.20.100
VLAN 30, IP 192.168.30.100
VLAN 40, IP 192.168.40.100
kann ich das so bei mir pro Wohnung in dem Fall umsetzen? ist dann die Gemeinsam genutzte Hardware (Gateway) z.B. das VLAN 40 Netz?
Kann ich dann den Adressbereich eingeben, 192.168.10.100 bis 192.168.10.200 usw.
Ist es möglich bei der FB den WLAN Adressbereich einzutragen, da ich im WLAN nichts gefunden habe?

ma

 

[leipziger1979]

Da ich aktuell eine neue Sprechanlage einbaue und die mit IP Gateway arbeitet, funktioniert das mit dem Gastnetz nichtmehr, da alle im selben Netz sein müssen um auf das Gatway zugreifen zu können. Ein weites Gatway das auch von allen angesteuert werden soll ist für die Garagentore verbaut.

Wie bitte was ?

Bitte mal eine grafische Übersicht erstellen über die Netzwerke und wie alles verbunden ist/sein soll.

Im EG hängt neben der FB7390 ein Netgear GS116E Switch der VLAN kann.

Nützt bloß nichts weil die FB mit VLAN's nichts anfangen kann.

 

[waldpilzsuppe]

Wie mein Vorredner bereits sagte - mit deiner Hardware überhaupt nicht umsetzbar.

Ich würde keinen Einsatz von VLANs empfehlen, wenn nicht gewisse Kenntnisse bezüglich der Netzwerktechnologie vorhanden sind.

 

[leipziger1979]

z.B. da wurde ein kleines VLAN Netz mit 4 Rechnern aufgebaut, jeder Rechner hat eine eigene VLAN Kennung bekommen

Gibts dazu ein Link ?

VLAN 10, IP 192.168.10.100
VLAN 20, IP 192.168.20.100
VLAN 30, IP 192.168.30.100
VLAN 40, IP 192.168.40.100

Tja, das wären 4 VLANs und jeweils einer IP.
Die ist aber uninteressant, interessanter wäre das Netz/Netz-ID, zb. 192.168.10.0/24.

Das Problem wäre nur, wenn du 4 VLANs hast und der Switch, diese kabelgebunden an je einem Port kennt, was dann ?
Vom Switch müsste dann eine Trunk-Leitung zu einem Router, der Trunking beherrscht, gehen der den 4 Netzen jeweils einen Gateway gibt. Dort müssten auch ACLs eingerichtet werden wie diese 4 Netzwerke untereinander kommunizieren dürfen und wie nicht.
Und dann müsste es weiter zur, zb. Fritzbox gehen, für Internet.

Ich glaube aber das sprengt den Rahmen und ohne Netzwerk Know-How nicht umsetzbar.

 

[frosch006]

Hallo,
Ich hab mal eine Skizze gemacht, bitte entschuldigt meine schlechten Zeichenkünste.

Von der FB 7390 geht ein LAN Kabel zum Switch GS116E
Vom Switch im EG geht ein LAN Kabel in das OG zur selbst genutzten Wohnung, dort hängt eine FB 3390 an einem Switch. Daran sind weite Hardware Komponenten angeschlossen.
Vom Switch im EG, geht jeweils eine LAN Verbindung in Wohnung 1 und Wohnung 2.
Vom Switch im EG, geht jeweils ein LAN Kabel zu den IP Kameras, $ Stück gesamt
Weiterhin geht vom Switch im EG ein LAN Kabel in den Keller zur Unterverteilung, darin ist ein Sitch GS105E, an dem die Insgesamt 4 IP- Gateway angeschlossen sind.
Ich hab hier noch einige Screnshout angehängt vom Switch





Zur Zeit hab ich nur Freigaben eingerichtet welcher Port mit welchem Kommunizieren darf. Genau da war der Gedanke, ob man das ganze noch verfeinern kann. Ich hoffe es euch einigermaßen verständlich erklärt zu haben.


ma

 

[waldpilzsuppe]

Was willst du eigentlich mit VLAN? In #1 schreibst du selbst, dass bei dir alle Clients im selben Netzwerk sein müssen. -> Mit VLAN trennst du aber Netzwerke.

Dein Switch ist Managed, da kannst du rumspielen wie du möchtest -> es bringt nichts, da dein Gateway die FB ist.

Deine zwei Fritzboxen können mit VLANs nicht umgehen, du kannst Sie also immer nur in ein Netzwerk einbinden, bzw. maximal in zwei durch das Gastnetz. -> VLANs über den Switch also völlig sinnlos.

DHCP läuft bei dir wohl auch über die Fritzboxen...

Du bräuchtest für dein Vorhaben andere Hardware und mehr Kenntnisse...

 

[razzy]

zunächst einmal ist die VLAN Trennung eine sogenannte Layer2 (Broadcast) Trennung.
Hier spaltest du deine Netze in einzelne Bereiche. Können also ohne Layer 3 nicht mit anderen kommunizieren.
Wie auch schon gesagt wurden ist, unterstützt die Fritzbox (ich sage jetzt bewusst) von der Software kein 802.1q, somit kannst du den sogenannten "router on a stick" nicht bauen.
Mal abgesehen davon würde ich sowas eh nicht mehr bauen, WENN ! dann mach es richtig, kauf einen Layer 3 switch, der das routing zwischen den VLANs übernimmt, + ACLs + default route -> internet gateway.

Mal abgesehen davon schreibst du, dass alle Geräte in einem Netz sein müssen, bzw. in einer Broadcast-Domain. Das hättest du mit VLANs natürlich ausgehebelt, genauso wie Multicast-Traffic, der (falls kein IGMP Proxy) in Broadcast umgewandelt wird, der wiederum nur pro Broadcast-Domäne gilt.

unterm Strich, so wie du es vorhast, was ich mir gut vorstellen kann, ist es NICHT mit deiner Hardware umsetzbar.
Und ich persönlich würde sowas auch nicht mit 0815 TP/Netgear/.../ Hardware machen wollen.

Nachtrag:

Und ein Gerät kann nur pro Interface im Access-Bereich in einem Netz sein. Sprich wenn PC1 im VLAN10 ist, kann er nicht gleichzeitig im VLAN20 sein, außer du würdest trunk/tagged ports benutzen und deinem PC virtuell umstellen und alles (aber vergiss das mal wieder).

Also entweder hast du jedes Gerät / Wohnung in einem anderem VLAN oder alle in einem.

Jedes VLAN kannst du dann als "eigenständiges" Netz ansehen. Deinen Adress-Bereich legst du dann auf dem entsprechenden DHCP - Dienst fest.
Dieser kann u.A. durch "ip-helper" - Kommandos (z.B. bei Cisco L3-VLan interfacen) angesprochen werden.
Hierdurch werden die DHCP - Broadcast in einen Unicast umgewandelt und zum entsprechenden DHCP Server geschickt, da dieser ja "nur" in einem Netz hängen kann und wir haben ja gelernt das jedes Netz eine eigene "Broadcast-Domäne" ist.


Aber um deine eigentliche Topic-Frage zu beantworten. Ja es ist möglich ein Gäste-WLAN durch ein VLAN zu ersetzen, bzw. es ist schon ein eigenes "VLAN".
zu Zeiten der ersten APs wurde ein Gästenetz durch ein sep. VLAN erzeugt, dies wurde durch einen Trunk zwischen AP und Switch zugänglich gemacht und schon hatte man "MultiSSID" mit verschiedenen VLANs.
Die Rechte der einzelnen Geräte im GästeVLAN wurde dann durch ACLs oder andere policy-based rules erledigt.

In der heutigen Zeit hat man eigentlich nur noch Controller, die die Konfiguration etc von Accesspoints übernehmen und darüber geht auch der ganze Traffic, hier wird sozusagen ein Tunnel zwischen AP -> Controller hergestellt.
Der Controller trennt dann das normale WLAN vom Gästenetz, hintenrum aber auch wieder über VLANs

 

[waldpilzsuppe]

Ich denke nicht, dass Ihm OSI geläufig ist.

 

[frosch006]

Hallo,
dankeschön für die Antworten,
@Waldpilzsuppe:
-> es bringt nichts, da dein Gateway die FB ist.
Wiso ist mein Gatway die FB?
Meine Fritzbox ist doch der Router und daran sind die Gateway für die Haussteuerung angeschlossen.
@In #1 schreibst du selbst, dass bei dir alle Clients im selben Netzwerk sein müssen. -> Mit VLAN trennst du aber Netzwerke.
Ok, das hab ich bemerkt bei euren erklärungen, dass es so nicht funktioniert.

@razzy:
Mal abgesehen davon schreibst du, dass alle Geräte in einem Netz sein müssen, bzw. in einer Broadcast-Domain. Das hättest du mit VLANs natürlich ausgehebelt, genauso wie Multicast-Traffic, der (falls kein IGMP Proxy) in Broadcast umgewandelt wird, der wiederum nur pro Broadcast-Domäne gilt.
Also entweder hast du jedes Gerät / Wohnung in einem anderem VLAN oder alle in einem.

Also, heißt das für mich alle im selben Netz und dem selben Adressbereich. Ich wollte das ganze dann über Portfreigabe handeln, ist es den so möglich? Ist wahrscheinlich nicht die sicherste Lösung, aber was ist sicher.

Der Internetzugang über die FB ist an Port 16 angeschlossen.
Die Einliegerwohnung ist an den Ports 14 und 15 angeschlossen.
Die Gateway sind an Port 3 angeschlossen. Ich hab soweit die die Freigaben für das Internet und die Gateway gemacht. Ich weiß nur nicht ob ich bei den Ports 14 und 15 dann auch die freigabe für Port 3 mit anlegen muss, vermutlich schon, oder?
An Port 1 und 2 ist meine Wohnung angeschlossen. Zur Zeit habe ich noch die freigabe der Ports 14 und 15 bei mir eingerichtet um Konfigurationen der dort angeschlossenen FB vorzunehmen. Im Realbetrieb werde ich die Portfreigabe 14 und 15 von meinen Ports entfernen.
Kann das ganze so funktionieren? Ich strebe eine einfache Lösung an.

ma

 

[razzy]

ok, du verstehst mich nicht.

Wenn du mit VLANs deine Netze trennen möchtest, brauchst du ein Layer-3 (IP-Layer) Gerät, z.B. L3-Switch oder einen Router, der den Standard von 802.1q unterstützt und für jedes VLAN auch ein Gateway bereitstellt.

Sonst hast du das Problem, dass z.B. das Netz 1 nicht mit Netz 2 kommunizieren kannst.

Beispiel:
Wohnung 1 bekommt VLAN1
Wohnung 2 bekommt VLAN2

Internetgateway ist in VLAN3 oder auch in VLAN 2.

Wie kommen die Geräte von VLAN1 in VLAN2 oder 3 ? richtig mit routing, z.B. InterVLANrouting (https://networklessons.com/switching/intervlan-routing/)

und DAS kann die Fritzbox nicht.
Sie kennt nur 1 Netz.

Heißt du brauchst ein Gerät, welches dass unterstützt z.B. einen Layer3-Switch dazwischen

 

[frosch006]

ok, du verstehst mich nicht.

Wenn du mit VLANs deine Netze trennen möchtest, brauchst du ein Layer-3 (IP-Layer) Gerät, z.B. L3-Switch oder einen Router, der den Standard von 802.1q unterstützt und für jedes VLAN auch ein Gateway bereitstellt.

Sonst hast du das Problem, dass z.B. das Netz 1 nicht mit Netz 2 kommunizieren kannst.

Beispiel:
Wohnung 1 bekommt VLAN1
Wohnung 2 bekommt VLAN2

Internetgateway ist in VLAN3 oder auch in VLAN 2.

Wie kommen die Geräte von VLAN1 in VLAN2 oder 3 ? richtig mit routing, z.B. InterVLANrouting (https://networklessons.com/switching/intervlan-routing/)

und DAS kann die Fritzbox nicht.
Sie kennt nur 1 Netz.

Heißt du brauchst ein Gerät, welches dass unterstützt z.B. einen Layer3-Switch dazwischen

Hallo razzy,
Ich habe es schon verstanden, dass es mit den getrennten Netzwerken nicht funktioniert.
Also lassen wir mal den Begriff VLAN ausen vor.
Geh davon aus, dass alle im selben Netz im selben Adressbereich sind. Somit können doch alle miteinander kommunizieren, oder?
Da ist mein Gedanke, die Kommunikation per Port freigaben zu regeln. Denn die Funktion bietet doch der verwendete Switch. Was meinst du?

ma

 

[Raijin]

Wenn alle im selben (Sub)Netz sind, dann kann auch jeder mit jedem kommunizieren. Heißt: Wenn du ein NAS bei dir stehen hast, kann dein Untermieter ebenfalls darauf zugreifen - mal vom Login abgesehen.

VLANs nutzt man, wenn man über ein und dieselbe Infrastruktur (Switch/Kabel) mehrere (getrennte) Netzwerke laufen lässt. Wie bereits mehrfach erwähnt, braucht es stets ein Gerät, dass diese Routen kann. Das kann entweder ein L3-Switch sein oder ein "richtiger" Router, also kein 08/15 Consumer-Gerät wie eine Fritzbox. 08/15 "Router" sind AllInOne-Geräte, die von allem etwas, aber eben nichts richtig gut können. Sie sind für einen ganz bestimmten Zweck entwickelt bzw. vorkonfiguriert: 1x Internet + 1x LAN + 1x WLAN + 1x Gast-(W)LAN (optional). VLANs bzw. allgemein mehr als ein Subnetz sind in der Regel nicht möglich, weil sie dafür schlicht und ergreifend nicht gebaut sind.

Du könntest zum Beispiel einen EdgeRouter-X einsetzen. Dieser wird zwischen Fritzbox und Switch geklemmt und übernimmt das Routing untereinander bzw. Richtung Fritzbox. Allerdings ist für so eine Konfiguration im Allgemeinen bzw. einen fortgeschrittenen Router wie den ER-X im Speziellen wie schon von meinen Vorrednern angesprochen ein gewisses KnowHow notwendig. Das ist keine 08/15 Heimkonfiguration und wird aus diesem Grunde von Consumer-Hardware nicht abgedeckt. Reinstecken, Setup klicken, loslegen gibt es da also nicht. Man muss sich intensiv mit dem Thema auseinandersetzen, da man viel falsch machen kann.

Inwiefern so ein Setup aber überhaupt mit Türsprechanlage und Co funktioniert, kann ich nicht beurteilen. Vorher müssten wir überhaupt wissen was für eine Anlage das ist. In einem gerouteten Netzwerk via ER-X/L3-Switch kann man per Routing bzw. Firewall, etc. reglementieren wer in welchem Netzwerk was darf, aber wenn die Anlage zB mit Broadcasts arbeitet, wird das nix. Broadcasts enden stets am Router und werden nicht in andere Netzwerke weitergeleitet.

 

[frosch006]

Hallo,
OK, bin auf der suche nach einem Layer 3 Switch
kann ich folgenden Switch dafür verwenden, ist der noch Zeitgemäss, oder schon veraltet? Denn auf der HP Seite hab ich dazu nichtsmehr gefunden.
Es ist ein: HP Enterprise 1920-16G Switch
Kann man den ebenfalls wie den Netgear über den Browser konfigurieren? Er hat jedenfalls auch lebenslange Garantie.

ma

 

[razzy]

kannst du benutzen, ja.
Ich würde mich aber erstmal mit der Netzwerktechnik beschäftigen, als direkt sowas zu bauen.

Da gehört schon ein wenig "Ahnung" dazu. Sonst stehst du nacher aufm Schlauch.
Denk aber auch bitte daran, dass du die statischen Routen in der Fritzbox setzen musst; Für jedes Netz !

 

[frosch006]

kannst du benutzen, ja.
Ich würde mich aber erstmal mit der Netzwerktechnik beschäftigen, als direkt sowas zu bauen.

Da gehört schon ein wenig "Ahnung" dazu. Sonst stehst du nacher aufm Schlauch.
Denk aber auch bitte daran, dass du die statischen Routen in der Fritzbox setzen musst; Für jedes Netz !

Hallo Razzy,
Jetzt bin ich ganz verwirrt. Ich dachte die FB kann nur eine statische Route und die Netze werden im Switch dann gebildet?

ma

 

[waldpilzsuppe]

Ganz ehrlich, lass es lieber bleiben...

 

[Raijin]

Hol dir jemanden ins Boot, der sich damit auskennt. Ich hätte als Mieter mächtig Bauchschmerzen, wenn du das Netzwerk einrichtest.

Das geht nicht gegen dich persönlich, aber Netzwerke sind eben komplex, wenn es über die 08/15 Szenarien wie einzelnes LAN hinter Standard-Router hinausgeht.

 

[razzy]

Hallo Razzy,
Jetzt bin ich ganz verwirrt. Ich dachte die FB kann nur eine statische Route und die Netze werden im Switch dann gebildet?

ma

Und wie verläuft der Rückweg z.B. von Internet zum Client im Netz ?
Wenn Routing dann von beiden Seiten.

Wie gesagt, nicht persönlich nehmen, aber meiner Meinung nach hast du von dieser Materie nicht so viel Ahnung. Lass es lieber bleiben, bzw. Hol dir jemanden zur Seite der davon Ahnung hat.
Bringt ja nicht nur das Netz in Betrieb zu nehmen sondern es muss auch "gewartet" werden, Troubleshooting etc pp.

Und aus den Threads herrausgelesen, hast du meiner Meinung nach nicht mal Ahnung von den Basics (Funktionen der einzelnen OSI Layer, verbindung zwischen diesen etc).