Netgear GS724Tv3 drei VLAN ein Internetzugang möglich?

[lukass2000]

Hallo,
ich nutze derzeit den Managed Switch Netgear GS724Tv3.
Derzeit gibt es ein VLAN100 (Hauptlan) und ein VLAN300 (Gast-Lan).
Das VLAN100 hängt an dem Port1 der Fritzbox.
Das VLAN300 hängt an dem GAST-LAN der Fritzbox.
So haben nun beide Ihren eigenen Bereich.

Nun gibt es noch ein VLAN200.
Ich hätte nun gerne, das die Geräte im VLAN200 auch das Internet übder den GAST-LAN Zugang der Fritzbox nutzen, welchen das VLAN300 derzeit nutzt.

Von der Fritzbox kommt das GAST-Internet auf Port 12 des Netgear GS724Tv3.
Die Ports 2,4,6,8,10,12 sind dem VLAN300 als untagged zugewiesen.

VLAN200 hat die Ports 14,16,18,20,22,24 auch als untagged zugewiesen.
Ich dachte mir, wenn ich nun dem VLAN200 das Port12 als untagged hinzufüge, dann übernimmt mir das das Internet vom VLAN300.
So habe ich das auch in einigen Beiträgen gelesen.
Das klappt aber nicht
Irgendwie kommt in keiner Konfiguration am VLAN200 eine Internetverbindung zustande.

Wie kann ich das konfigurieren?
Ich gehe mal grundsätzlich davon aus, das das mit diesem Switch so überhaupt klappt, oder?
Danke

 

[Twostone]

Ganz so einfach ist das auch nicht. Deine VLANs sind voneinander getrennte Netze, die auch jeweils einen eigenen Adressbereich haben sollten. Du brauchst dann aber auch für jedes dieser Netze einen Gateway, der Dir die Verbindung in die Weltweite Wundertüte stellt.

Diene F*box kann zwei verschiedene Netze ins www routen, mehr kann die nicht. Das dritte VLAN fällt, ohne weiteren Gateway, heraus.


Dürfte auch nicht möglich sein, zwei verschiedene Tags dem gleichen Port zuzufügen. Das wird chaotisch, da der switch nicht wissen kann, welchem der beiden VLAN das Packet zugestellt werden soll. Wenn der Switch die Tags hinzufügen soll, darf es nur eines sein.

Damit bist Du zusammen mit Deiner f*box auf zwei getrennte Netze mit Verbindung nach außen festgelegt.

 

[lukass2000]

Hi @Twostone ,
ich haben einen GS724Tv3, vielleicht klappt es nur mit dem v4, aber so wie z.B. HIER beschrieben, sollte das klappen, oder lese ich das falsch?
LG

 

[Twostone]

Das ist eigentlich keine geeignete config. Wenn Du per Switch VLAN-tags vergibst, darf der Port selber nur untagged empfangen dürfen. Der Gateway muß selber mit VLAN-tags umgehen können und diese müssen vom Switch auch weiter geleitet statt entfernt werden. Der Gateway-Port darf also nur Packete mit VLAN-tag empfangen dürfen. Willst Du filtern, musst Du für jedes VLAN eine virtuelle NIC mit der entsprechenden VLAN-ID erstellen und damit ein eigenes Subnetz aufspannen.

Alles andere führt zu einer unsicheren Konfiguration.

 

[Christian1297]

Man könnte am Gast-LAN der FRITZ!Box einen VLAN fähigen Router anschließen. Dieser kann dann mit mehreren VLAN umgehen und die verschiedenen Gast-Netzwerke trennen und entsprechend dem Switch bereitstellen. Allerdings hat man dann aber wieder doppeltes NAT - was beim Gast-Netzwerk aber nicht tragisch sein dürfte.

 

[lukass2000]

Könnte ein Layer3 Switch das lösen?
Lese immer, das der Layer3 auch IP-Adressen "zur Verfügung stellt" ?

 

[Christian1297]

Google sagt folgendes:

Ein Layer-3-Switch ist also simpel gesagt ein Router.

Du möchtest doch das Gastnetzwerk der FRITZ!Box in zwei Segmente aufteilen. Die FRITZ!Box kann ab Werk aber nur ein Segment bereitstellen. Daher musst du einen weiteren Router in das Gastnetzwerk der FRITZ!Box packen. Dieser kann dann mehrere getrennte Segmente über entsprechende VLAN bereitstellen.

 

[lukass2000]

Wenn der Layer3 Switch auch Routerfunktionen hat, kann er dann nicht das Internet an ein zusätzliches VLAN mit eigenem IP-Bereich übergeben bzw zur Verfügung stellen?

 

[lukass2000]

Man könnte am Gast-LAN der FRITZ!Box einen VLAN fähigen Router anschließen. Dieser kann dann mit mehreren VLAN umgehen und die verschiedenen Gast-Netzwerke trennen und entsprechend dem Switch bereitstellen. Allerdings hat man dann aber wieder doppeltes NAT - was beim Gast-Netzwerk aber nicht tragisch sein dürfte.

Ich würde dann den WAN Port des zusätzlichen Routers mit dem Gast-Lan verbinden, richtig?
VLAN300 hätte dann die IP des Gast-LAN (z.B. 192.168.179.XXX) die auch am WAN Port des zusätzlichen Routers anliegt.
VALN200 wäre mit einem LAN-Port des zweiten Routers verbunden bekäme die im zweiten Router konfigurierte IP, z.B. 192.168.222.XXX, richtig?
Verstehe ich das soweit richtig?

Für das VLAN300 müsste ja alles bleiben wie es derzeit ist, oder?
Welche Auswirkungen hat denn das "doppelte NAT" auf das VLAN200?

 

[Christian1297]

Ich würde dann den WAN Port des zusätzlichen Routers mit dem Gast-Lan verbinden, richtig?

Ja.

VLAN300 hätte dann die IP des Gast-LAN (z.B. 192.168.179.XXX) die auch am WAN Port des zusätzlichen Routers anliegt.
VALN200 wäre mit einem LAN-Port des zweiten Routers verbunden bekäme die im zweiten Router konfigurierte IP, z.B. 192.168.222.XXX, richtig?
Verstehe ich das soweit richtig?

Nein nicht ganz. Sowohl VLAN 200 als auch VLAN 300 müssen einen IP-Bereich vom Zusatz-Router zugewiesen bekommen da dieser für die Trennung der Netzwerke verantwortlich ist. Im Gastnetzwerk der FRITZ!Box befindet sich dann ausschließlich der Zusatz-Router.

Welche Auswirkungen hat denn das "doppelte NAT" auf das VLAN200?

Die WAN IP des Zusatz-Router unterscheidet sich von der tatsächlichen öffentlichen IP-Adresse (WAN IP der FRITZ!Box). Das erschwert bspw. den Fernzugriff auf die Clients hinter dem Zusatz-Router. Alle normalen Anwendungen wo die Verbindung von Clients von innen nach außen initiiert wird funktionieren aber problemlos. Je nach dem was dein Internetanbieter so treibt hast du aufgrund der IPv4 Knappheit aber sowieso schon Carrier-grade NAT was doppeltem NAT gleich kommt. In dem Fall würden sich bei IPv4 keine weiteren Nachteile ergeben da sowieso keine Verbindung von außen nach innen über die öffentliche IPv4 möglich ist.

 

[lukass2000]

Nein nicht ganz. Sowohl VLAN 200 als auch VLAN 300 müssen einen IP-Bereich vom Zusatz-Router zugewiesen bekommen da dieser für die Trennung der Netzwerke verantwortlich ist. Im Gastnetzwerk der FRITZ!Box befindet sich dann ausschließlich der Zusatz-Router.

Das ist auch wieder doof
Sozusagen hätte dann das GAST-Lan (wäre dann VLAN300) und das Gast-WLan der Fritzbox auch wieder unterschiedliche IP-Adresse, wodurch vermutlich kein Zugriff zwischen Gast-Lan und Gast-Wlan möglich ist. Ist insofernd doof, da ich das teilweise benötige für z.B. mein drei Sonos Boxen (eine im Gast-Lan, zwei im Gast-WLan). Linux-Sat-Receiver wäre das Gleiche Problem, Receiver hängt im Gast-Lan, Bedienung/Steuerung dann über Smartphone per Gast-WLan...

Irgendwie ist das alles extreeeem kompliziert.
Dachte mir da ahst du einen managed Switch, da erstellt man mal entsprechend VLANs und schon kann man alles perfekt getrennt nutzen, aber so wie das jetzt aussieht, bin ich da wohl auf das Haupt-Lan und das Gast-Lan der Fritzbox festgelegt, mehr geht nicht
LG

 

[Christian1297]

Der Switch ist eben nur der Handlanger des Routers. Letztlich ist der Switch darauf angewiesen dass der Router ihm auch die entsprechenden Netzwerke zur Verfügung stellt.

Eigentlich ist das auch nicht so kompliziert. Du stößt nur leider an die Grenzen des Funktionsumfangs einer FRITZ!Box. Das was du da versuchst aufzubauen übersteigt eben den Anwendungsbereich normaler Endkunden deutlich. Die FRITZ!Box ist darauf ausgelegt dass alles super einfach und nachvollziehbar funktioniert. Ein Heim- und ein Gastnetzwerk, dass sowohl an FRITZ!Box als auch FRITZ!Repeatern zur Verfügung steht, genügt den allermeisten Heimanwendern wohl.

 

[lukass2000]

Ja, hab schon mitbekommen, das das mit der Fritzbox so eine Sache ist.
Da ich aber auch noch drei Repeater (per-Lan Kabel angebunden) für die WLan-Mesh-Versorgung und eine 7490 für die DECT Erweiterung in Verwendung habe ist da auch ein Wechsel nicht ganz so einfach, oder sagen wir mal ziemlich preis-intensiv
Das andere Problem ist, das ich so oder so seitens Internet-Provider (hier bei uns in AT) auf die 5530 als Modem angewiesen bin, was anderes ist nicht möglich.
So klärt sich meine VLAN Wunschkonfiguration wohl mangels Fritzbox Alternative so oder so, dann muss halt erstmal alles was im Haupt-Lan nichts verloren hat ins Gast-Lan
LG

 

[Raijin]

Wenn du drei Netzwerke benötigst, ist die Fritzbox an dieser Stelle nicht der geeignete Router. Selbst wenn du einen L3-Switch hinzufügst und über diesen das 3. Netzwerk realisierst, bleibt es innerhalb der Fritzbox bei zwei Netzwerken. Wenn, dann müsste man den L3-Switch als Router für alle 3 Netze benutzen und die beiden Uplinks zu LAN1 bzw LAN4 der Fritzbox werden lediglich als WAN benutzt.

Die Problematik bei L3-Switches als Router ist, dass ihr Einsatzzweck das Routen von lokalen Netzwerken ist. Stichwort: Inter-VLAN-Routing. Multi-WAN wie es bei 2 Uplinks Richtung Internet der Fall wäre, ist nicht Aufgabe eines Switches. Die Rouerfunktion ist daher sehr rudimentär ausgestaltet.

Mein Tipp wäre ein Multi-WAN-fähiger Router wie zB ein EdgeRouter, MikroTik oder gar eine pfSense, Sophos, etc. Diese kleine Kiste wird als Multi-WAN zwischen Haupt- und Gast-LAN der Fritzbox geklemmt und wird anschließend mit 3 separaten LANs konfiguriert. Der Switch bleibt wie er ist und verteilt diese 3 Netze nur wie er es bisher bei den beiden Netzwerken der Fritzbox getan hat.
Nachteil: Für WLAN wird ein VLAN-fähiger AP benötigt, weil das WLAN der Fritzbox effektiv außer Betrieb ist.

+--------------+
|   Fritzbox   |
+--------------+
(LAN1)    (LAN4)
  |         |
  | WAN1    | WAN2
  |         |
(eth0)     (eth1)
+------------------------+
|     EdgeRouter-X       |
+------------------------+
(eth2)    (eth3)    (eth4)
  |         |         |
  | Haupt   | Gast1   | Gast2
  |         |         |
+------------------------+
|      VLAN-Switch       | ----- VLAN-AP
+------------------------+
  |         |         |
Endgeräte Endgeräte Endgeräte

Irgendwie ist das alles extreeeem kompliziert.
Dachte mir da ahst du einen managed Switch, da erstellt man mal entsprechend VLANs und schon kann man alles perfekt getrennt nutzen

Nein, ist es nicht. Consumer-Router wie Fritzboxxen sind für solche Szenarien nicht ausgelegt, so einfach ist das. Schon dass die Fritzbox das Gastnetzwerk auf LAN4 ausgeben kann, ist als Bonus zu sehen. Übersteigt das Netzwerk die Fähigkeiten der Fritzbox, sollte man sie ausschließlich als Internet-Lieferant sehen und die lokalen Netze von einem fähigeren Router verwalten lassen wie oben zu sehen..

Ich möchte aber grundsätzlich auf das KISS-Prinzip verweisen. Gestalte dein Netzwerk nicht unnötig komplex. Obiges Szenario würde funktionieren und sollte gleich jemand "Doppel-NAT" schreien wollen, dem sei gesagt, dass NAT bei einem fortgeschrittenen Router eine Frage der Konfiguration ist. Mit passenden statischen Routen in der Fritzbox ist NAT gar nicht nötig.


Alternativ kann man das auch mit einem zusätzlichen 08/15 im Gastnetzwerk einrichten wie @Christian1297 ja schon angedeutet hat. Dabei würde dieser mittels WAN-Port an das Gastnetz angeschlossen werden und alle Geräte hinter diesem Router könnten alle Geräte im Gastnetz erreichen, andersherum ginge es aber nicht.

Fritzbox
(LAN4)
|
+--- Endgeräte "Gast1"
|
(WAN)
08/15 Router
(WLAN+LAN)
|
Endgeräte "Gast2"

Gast2 --> Gast1 funktioniert, weil Gast1 durch das NAT des Routers nur dessen normale Gast-IP sieht.
Gast1 --> Gast2 funktioniert nicht, weil die Firewall am WAN-Port blockiert. Workaround: Portweiterleitung.

Zugriffe zwischen Haupt- und Gastnetzwerk (egal ob Gast1 oder Gast2) sind in diesem Szenario nicht möglich, weil das von der Gastfunktion der Fritzbox blockiert wird und nicht konfigurierbar ist. Im ersten dargestellten Szenario mit dem Multi-WAN-Router hat man vollkommen freie Hand, weil die Firewall vollständig offen ist. Es können nach Belieben Zugriffe unterbunden oder zugelassen werden.

 

[Christian1297]

+--------------+
|   Fritzbox   |
+--------------+
(LAN1)    (LAN4)
  |         |
  | WAN1    | WAN2
  |         |
(eth0)     (eth1)
+------------------------+
|     EdgeRouter-X       |
+------------------------+
(eth2)    (eth3)    (eth4)
  |         |         |
  | Haupt   | Gast1   | Gast2
  |         |         |
+------------------------+
|      VLAN-Switch       | ----- VLAN-AP
+------------------------+
  |         |         |
Endgeräte Endgeräte Endgeräte

Nur für mein eigenes Verständnis. Benötigt es zwischen EdgeRouter-X und VLAN-Switch überhaupt 3 Verbindungen?
Es können doch vom Router mehrere VLAN über eine Schnittstelle an den Switch weitergereicht werden und wenn die Internetverbindung langsamer als 1 Gigabit/s ist profitiert man auch nicht von der breiteren Anbindung über 3x GbE.

 

[Raijin]

Klar kann man das über einen Trunk-Port lösen, aber wieso sollte man? Es stehen am ERX ausreichend physische Schnittstellen zur Verfügung und die sollte man nach Möglichkeit auch nutzen. Trunks mit 1 Gbit/s haben den Nachteil, dass sich alle VLANs diese 1 Gbit/s teilen. Für eine Internetverbindung <1 Gbit/s ist das sicherlich vernachlässigbar, aber sobald auch zwischen den VLANs Traffic zu erwarten ist, kann sich der Uplink zum Flaschenhals entpuppen. Trunks sollte man daher nur dann nutzen, wenn man sich sicher ist, dass der zu erwartende Traffic die 1 Gbit/s nicht übersteigt, und/oder wenn physisch nur 1 Kabel zur Verfügung steht, weil Router und Switch beispielsweise räumlich getrennt sind.

 

[lukass2000]

Hi @Raijin ,
danke für die super Erklärung

Solange die Fritzbox 5530 aber das Modem bleibt, bliebe in jeder Ausführung die Möglichkeit vom WLAN auf Geräte im LAN oder umgekehrt zuzugreifen auf der Strecke, richtig?
Zumindest wenn ich das derzeitige "Fritz Repeater Mesh" Konstrukt behalten möchte, da die Repeater ja immer auf die 5530 angewiesen sind.

Als Alternative hab ich da bisher nur die Unifi-Schiene gefunden (die dann komplett LAN, WLAN und VLANS abdecken würde), damit wären wohl all meine Wünsche machbar, setzt aber einen komplett Austausch aller LAN und WLAN Komponenten voraus und da muss ich Preislich einfach passen

Um deinem angedeuteten "KISS Prinzip" dann zu folgen, wird es also Hauptlan und Gastlan mit 2 VLANs bleiben

 

[Raijin]

Die Fritzbox an der Internetleitung ist bei dem Setup mit Multi-WAN-Router in der Tat nur noch "Modem", wobei das technisch natürlich nicht stimmt, weil sie nach wie vor selbst die Einwahl vornimmt. Fakt ist aber, dass das WLAN der Fritzbox nicht ins Konzept passt. Das Netzwerk an der Fritzbox wird dabei gewissermaßen zu einer DMZ.

Leider ist das das Problem, wenn man auf proprietäre Lösungen von Consumer-Geräten setzt. Sie sind eben nur für 08/15 Szenarien konzipiert und erlauben keinen Millimeter Abweichung.

Es wäre für AVM ein Leichtes, VLAN-Funktion zu implementieren. Genau genommen nutzt die Fritzbox nämlich bereits VLANs, aber ausschließlich intern. Mittels interner VLANs wird zB LAN4 vom internen 4er Switch abgetrennt - mittels untagged VLAN. AVM könnte volle 802.1Q Unterstützung (tagged VLANs) mit einem banalen Firmware Update nachliefern. Warum tun sie es nicht? Weil das über 08/15 hinausgeht und nicht erwünscht ist.
Einerseits ist das verständlich, weil der AVM Support vermutlich jetzt schon genug zu tun hat, da Fritzboxxen wenigstens ein paar Mikrometer über die Minimalausstattung hinausgeht, andererseits disqualifiziert es die Fritzbox für anspruchsvollere Szenarien.

Ich selbst nutze beispielsweise einen Speedport. Die werden ja ständig verrissen, weil sie ja ach so mies sind. Mein Netzwerk ist aber nach obigem Schema aufgebaut, allerdings nochmal deutlich komplexer. Berufskrankheit, ich tue es weil ich es kann

Ein vollwertiges VLAN-Setup bedarf natürlich entsprechender Hardware, nicht nur beim Router. Mein WLAN kommt daher aus Unifi APs.

 

[lukass2000]

Naja, AVM und Support ist ein anderes Thema
Bin jetzt drei Jahre bei meinem Internetprovider und hab die vierte Fritzbox (7490, 7590, 5490, 5530).
Alle Modelle haben die gleichen Krankheiten/Probleme, was funktionell einst bei der 7490 nicht klappte, klappt auch nach wie vor bei der 5530 nicht usw...
Der AMV Support ist klasse, du bekommst innerhalb von wenigen Stunden fast immer eine Antwort auf deine Supportanfrage, schade ist dabei nur, das nach unzähligem hin und her aber selbst nach Wochen nach wie vor keine Lösung in Sicht ist.... Erstaunlich finde ich auch immer, das ich mit meinem "Problem" immer der Erste bin der sowas jemals gemeldet hat...
Aber ist ja jetzt hier nicht Thema und vielleicht ist das wirklich nur meine Erfahrung?

Sind die Unifi WLan AP in der Praxis denn dann wirklich so überragend bei Reichweite und Übertragungsgeschwindigkeit, wie in diversen Beiträgen (theoretisch) hochgelobt?

Würden Unifi WLan APs eigentlich auch einen Unifi Switch voraussetzen, wenn ich dann gerne mehrere WLans sowie VLANs hätte, wo dann aber das jeweilige WLAN auch Zugriff auf das entsprechende VLAN hat?
So ein 24Port Unifi Switch ist ja Preislich der Wahnsinn, kann mir gar nicht vorstellen, was der um den Preis alles leisten müsste
LG

 

[Christian1297]

Sind die Unifi WLan AP in der Praxis denn dann wirklich so überragend bei Reichweite und Übertragungsgeschwindigkeit, wie in diversen Beiträgen (theoretisch) hochgelobt?

Nö, die gehören zwar schon zu den guten Geräten aber andere können das auch. Man darf nicht vergessen dass a) alle Geräte den gleichen gesetzlichen Limitierungen bei der Sendeleistung unterliegen und b) es allein nicht hilft dass der AP sehr stark sendet wenn sich an der Sendeleistung der Clients nichts ändert und deren Daten nicht am AP ankommen.

Dazu muss man Unifi APs aktuell genau hinschauen weil die WiFi 6 teilweise nur auf 5 GHz aber nicht auf 2,4 GHz können. Der U6-LR ist bspw. schlechter wie ein ZyXEL NWA210AX wobei letzterer auch etwas mehr kostet.

Würden Unifi WLan APs eigentlich auch einen Unifi Switch voraussetzen?

Nein. Der Switch muss nur die benötigten Standards wie 802.11Q unterstützen um mit VLAN umgehen zu können. Diese Standards funktionieren herstellerübergreifend.