LAN Ressource von Internet mit Switch trennen

[cbtaste420]

Nur damit kein Missverständnis entstand: Falls das bei MikroTik wirklich so geht, müssten alle Geräte im LAN mit dem Switch direkt verbunden sein; also alle Geräte, die mit dem NAS kommunizieren können sollen.

Nicht ganz, es müssen alle Ports so gruppiert werden, dass eine Steuerung über die Isolierung möglich wird. Alle Clients vom grünen Switch können mit dem NAS reden, der Router nicht. In diesem Fall sind nur 3 der Ports in Nutzung, das Ergebnis bleibt gleich.
In dem vom TE erstellten Beispiel werden vermutlich alle WiFi-Clients vom Zugriff ausgeschlossen, vorausgesetzt diese kommen über den Router/Gateway in das LAN. Alternativ müsste ein AP an den grünen oder blauen Switch (managed) gehängt werden.

Zyxel nennt die Funktion in den 1920ern übrigens VLAN Isolation, funktioniert IMHO analog zu dem was Mikrotik im Angebot hat.
PS: SwOS oder RouterOS spielt keine Rolle, geht mit beiden.

 

[Fastfingerfredd]

Dann werd ichs auf jeden Fall mal mit dem 1920er 8 Port Zyxel probieren, ich melde mich ggf. hier zurück wenn ich weiter bin!
Danke für die tolle Unterstützung!

 

[Nilson]

müssten alle Geräte im LAN mit dem Switch direkt verbunden sein

Warum?

werden vermutlich alle WiFi-Clients vom Zugriff ausgeschlossen, vorausgesetzt diese kommen über den Router/Gateway in das LAN

Sie müssen nicht direkt am Switch hängen, dürften nur nicht (per LAN/WLAN) am Router hängen.

Deswegen: eine Firewall (dediziert oder per Software auf dem NAS) bietet dir deutlich mehr Möglicjkeiten und weniger Einschränkungen als die Lösung über den Switch.

 

[norKoeri]

@Nilson Edit: Hat sich überschnitten. Ja, wir haben uns verstanden. Hier noch mein alter Text: Du hast MikroTik SwOS (Lite) gesagt, dass das NAS mit dem Router-Port nicht sprechen darf/kann. Nennen wir den Port im Folgenden Uplink. Wenn jetzt am Uplink-Port nicht nur der Router sondern zwischen Switch und Router weitere Geräte hängen, dann können die nicht mit dem NAS sprechen.

@Fastfingerfredd Dein Aufbau ginge, denn Du hast keine weiteren Geräte im Uplink, sondern auf den anderen LAN-Ports, also quasi im Downlink. Vorausgesetzt MikroTik SwOS (Lite) erlaubt das so.

 

[cbtaste420]

1920er 8 Port Zyxel

Bei den v2 nennt sich das Feature "VLAN Isolation" bzw. "Promiscuous Ports", bei den älteren einfach nur Isolation.
Auszug aus der v1-Doku:
Select this to allows this port to communicate only with the CPU management port and
the ports on which the isolation feature is not enabled.

Genau wie im Screenshot von @Nilson , aktivieren für die Ports an denen Router und NAS hängen.

 

[norKoeri]

VLAN Isolation

OK? Und welches VLAN nimmst Du dann? Was nimmst Du als Promiscuous-Port(s)? Habe selbst einen Zyxel GS1920v2 hier, wüsste nämlich nicht wie das geht.

RouterOS spielt keine Rolle, geht mit beiden.

Mhm. Bei mir nicht, jedenfalls auf meinem RouterBOARD, dass ich hier habe. Oder ich finde den Menüpunkt nicht. Geht das vielleicht nur bei MikroTik Switchen, bei denen man zwischen SwOS und RouterOS wählen kann?

1920er 8 Port Zyxel

Zyxel hat nur einen 8er mit PoE, den GS1920-8HPv2. Aber MikroTik hat auch 8er-Switche wie den CSS610-8G-2S+IN. Den bekommt man gebraucht leider selten, aktuell eine Kunden-Retoure bei Jacob.de, bei mir für 98,50 €.

 

[norKoeri]

Nochmal nachgeschaut, D-Link bietet das auch; aber nicht gestestet, ob das stabil läuft. Mein Tipp: ab Hardware-Version F, dann ginge auch der zentrale Software-Controller für Nuclias Connect. Gebraucht: Klick, Klack, Kluck.

 

[cbtaste420]

OK? Und welches VLAN nimmst Du dann? Was nimmst Du als Promiscuous-Port(s)? Habe selbst einen Zyxel GS1920v2 hier, wüsste nämlich nicht wie das geht.

Eigentlich ist das VLAN egal, von mir aus das Native-VLAN bzw. 1. Man kann natürlich auch ein Dummy-VLAN vollständig aus Access-Ports erstellen. Promiscuous Ports werden alle ausser NAS und Router.

Mhm. Bei mir nicht, jedenfalls auf meinem RouterBOARD, dass ich hier habe. Oder ich finde den Menüpunkt nicht. Geht das vielleicht nur bei MikroTik Switchen, bei denen man zwischen SwOS und RouterOS wählen kann?

Im Winbox unter Switch->Port Isolation. Siehe Screenshots von meinem Mikrotik Geräten. Der kleine Switch ist ein hEX PoE, der größere ist ein CRS326.

 

[norKoeri]

Mein hAP ax lite kann es nicht, nur ein-dimensionales Port-Isolation.
Liegt wohl an dessen Chipsatz von MediaTek. Deiner ist Qualcomm bzw. Qualcomm + Marvell. Die Frage wäre jetzt, ob das irgendwelche zusätzliche Geräte-Modelle für unseren Thread-Ersteller erschließt: Dein hex PoE und vielleicht der hEX refresh? Aktuell, neu bzw. so klein wie möglich sehe ich bisher nur:

• D-Link DGS-1210-10
• MikroTik CSS610-8G-2S+IN
• Zyxel GS1920-8HPv2

Promiscuous Ports werden alle ausser NAS und Router.

OK, ja so könnte das gehen. Muss man testen. Wäre ich jedenfalls nicht drauf gekommen.

 

[Fastfingerfredd]

Mensch herzlichen Dank nochmal fuer all die Mühen!
Der verlinkte Zyxel is ja ganz schoen teuer, der preis weicht von dem Modell das ich weiter oben gepostet hatte (hier nochmal: https://www.amazon.de/Zyxel-Gigabit...2&ref_=pd_hp_d_atf_ci_mcx_mr_ca_hp_atf_d&th=1 )

Sowas wie PoE (Power over Ethernet oder?) brauch ich nicht, also wenns nur an dem Spaß liegt da kann ich geld sparen ^^ wenn natuerlich das management bei meinem verlinkten nicht umfangreich genug ist dann weich ich gerne auf die Empfehlungen von @norKoeri aus.
Hab schon auf Kleinanzeigen den einen Verkäufer angeschrieben, ob der D-Link Hardwareversion F oder höher ist, bin gespannt was zurückkommt ^^

 

[cbtaste420]

Liegt wohl an dessen Chipsatz von MediaTek.

Habe hier noch einen hEX RB750Gr3 mit MT7621, der kann das auch. 🤷‍♂️

@Fastfingerfredd ob die GS1900 das können, müsste man erstmal testen. Die Doku ist leider Müll. Vermutlich tut das Feature genau dasselbe wie bei den neueren Modellen. Alle isolierten Ports können mit den nicht isolierten Ports kommunizieren aber nicht die isolierten Ports untereinander.

EDIT: Habs schnell getestet, Port 1 Laptop, Port 2 Mule. Stelle ich Port 2 auf isoliert, kann der Laptop weiterhin mit dem isolierten Port kommunizieren. 2. Versuch, Port 1 und Port 2 beide isoliert: Laptop kann Device an Port 2 nicht mehr erreichen.

 

[norKoeri]

von dem Modell das ich weiter oben gepostet hatte

Welcher Post genau? Irgendwie hat mein Web-Browser heute einen Schluck-Auf. Die GS1900-Serie kann das jedenfalls nicht. Ich hatte den Günstigsten bei Zyxel verlinkt, der das kann. Alternative wäre einer aus jener Serie gebraucht, dann den GS1920-24v2, denn der ist gebraucht günstiger zu haben als der 8er gebraucht. Richtig eingestellt – also EEE und so weiter aktiviert – braucht der ähnlich wenig Strom wie der 8er mit PoE. Aber halt mehr Platz.

Sowas wie PoE (Power over Ethernet oder?) brauch ich nicht, also wenns nur an dem Spaß liegt da kann ich geld sparen ^^

Ging mir mehr darum, dass man PoE vermeiden sollte, weil die Netzteile größer dimensioniert sind und selbst dann mehr Strom saugen, wenn kein PoE-Verbraucher angeschlossen ist, ja selbst dann mehr Strom saugen wenn auf allen Ports manuell PoE abgeschaltet ist. Also die Folgekosten sind von so einem PoE-Switch zu bedenken.

Hab schon auf Kleinanzeigen den einen Verkäufer angeschrieben, ob der D-Link Hardwareversion F oder höher ist, bin gespannt was zurückkommt ^^

Meine verlinkten D-Links „sind“ alle Fx; das sieht man an der Anordnung der LEDs und Ports über die Datenblätter. Aber Fragen ist besser, nicht das der Verkäufer die Bilder irgendwoher hat. Der Aufkleber mit der Hardware-Version ist an der Seite angebracht. Dort steht dann F1, F2 und so weiter.

Vermutlich tut das Feature genau dasselbe wie bei den neueren Modellen.

Jetzt stehe ich wirklich auf dem Schlauch. Du brauchst schon zwei-dimensionale Port-Isolation, einfache Port-Isolation reicht in diesem Fall nicht aus. Oder ich weiß (schon) wieder nicht, wie man das konfiguriert.

 

[norKoeri]

Habe hier noch einen hEX RB750Gr3 mit MT7621, der kann das auch. 🤷‍♂️

Jetzt habe auch ich es. Das User-Interface ist inzwischen anders. Man hat keine Checkboxen mehr sondern einen Schalter, z. B. unter WebFig → Advanced → Switch → Port Isolation → Port mit NAS → Forwarding Override. Dort würde man dann alle übrigen Ports auswählen, außer dem Port zum Router. Genauso beim Port mit dem Router, dort nur umgekehrt, also alle Port außer dem Port mit dem NAS angeben.

 

[cbtaste420]

@norKoeri jawollo, genau so. 🍻

 

[Fastfingerfredd]

Da ich noch keinen managed switch beschaffen konnte konnt ich eure Anleitung noch nicht nachbauen, ABER meine fritzbox, eine AVM FRITZ!Box 6591 Cable , ist schonmal nicht besonders gut in der Gerätesperre

Aus irgendwelchen Gründen kann ich bspw. youtube wunderbar weiternutzen.

Wenn ich versuche auf fritz.box zu gehen sagt es mir großspurig "Dieses Gerät ist für den internetzugang gesperrt!" xD

Kp wie das sein kann.
Aber das unterstreicht für mich auf jeden Fall das Bestreben, so weit wie möglich eine physische Trennung zwischen Internet und zu isolierendem Element herzustellen.

EGÄNZUNG:

Den managed switch hab ich ez geordert, melde mich ggf. falls ich fragen habe Aber das mit der mangelhaften Gerätesperrung nehm ich meiner Box übel xD

 

[norKoeri]

Welcher Switch ist es geworden?
Wie geschildert, bei der Zyxel GS1900- bzw. GS1915-Serie sehe ich keine Lösung. Das müsste @cbtaste420 dann nochmal erklären, wie das dort gehen sollte.

ist schonmal nicht besonders gut in der Gerätesperre

Schon daran gedacht, dass das vielleicht an Dir liegt? Wäre hilfreich zu wissen, wie Du bei der Sperre vorgegangen bist. Der Fehler statt einer Geräte-White-Liste eine Black-Liste genommen zu haben und dann nicht auf die zufällige Hardwareadresse (Private MAC) zu achten … passiert bei Windows glaube ich nur bei WLAN.

 

[Fastfingerfredd]

@norKoeri Das Gerät hängt per Kabel am Heimnetz. Durchgängig, da ist nirgends ein WLAN Kabel drin
Ich bin halt ins UI meiner Fritzbox gegangen und hab da unter Heimnetz -> Netzwerk das Gerät fürs Internet gesperrt.

Ich hab den D-Link DGS-1210-08P genommen.

 

[norKoeri]

Ich bin halt ins UI meiner Fritzbox gegangen und hab da unter Heimnetz -> Netzwerk das Gerät fürs Internet gesperrt.

Das heißt fritz.box → Heimnetz → Netzwerk → (Reiter) Netzwerkverbindungen → beim Gerät dann die (Taste) Bearbeiten → (Internetnutzung) kein Zugangsprofil sondern direkt „Internetnutzung gesperrt“?

 

[Fastfingerfredd]

@norKoeri exakt

 

[Fastfingerfredd]

Melde mich zurück.

Habe mittlerweile einen D-Link DGS-1210-08P


Er ist an der Stelle eingesetzt wo vorher mein einfacher switch dran war, siehe meine Grafik meiner Netzwerktopologie.

Der Switch funktioniert soweit.
Allerdings bin ich noch nicht in die Einstellungen gekommen.

Ich hab mir die smartconsole utility von D Link heruntergeladen und ebenso die Anleitung:
https://www.manualslib.com/download/3495860/D-Link-Dgs-1210-08p.html

Soweit ich verstanden habe kann man sich im LAN mit dem Gerät verbinden.
Ich habe sowohl einen Rechner mit direkter Verbindung zum Gerät als auch einen, der über nen weiteren Switch "indirekt" mit dem Gerät verbunden ist.

Mit der smartconsole utility kann ich kein Gerät finden.

In meiner FritzBox Übersicht taucht der switch auch nicht auf.

Der Versuch, mich mit der default IP (lt. Anleitung PDF Seite 26 der blaue Kasten oben)
10.90.90.90 zu verbinden schlägt fehl.


Die Anleitung ist allgemein nicht besonders Endverbraucherfreundlich xD Merkt man, dass das meist eher im Gewerbe eingesetzt ist...

Ich könnte jedenfalls eure Hilfe gebrauchen, um mich wenigstens erstmal mit dem Gerät zu verbinden und so überhaupt in die Einstellungen zu kommen.

Danke!

​