Netzwerk aufteilen mit VLAN

[Christian1297]

Moin,

bei meiner Recherche zur Anwendung von VLAN und managebaren Switch bin ich auf folgende Darstellung gestoßen. Ich bin mir aber unsicher ob das so überhaupt funktionieren kann.

Die Situation in der Darstellung ist dass ein Heimnetz und ein Gastnetz verkabelt sind. Die FRITZ!Box versorgt dabei über LAN 1 einen Switch der mittels VLAN jeweils Heim- und Gastclients anbindet.

Aufgrund der Tatsache dass die FRITZ!Box aber als gemeinsames Gateway/Switch über den trunk erreichbar ist verbindet dies doch die beiden VLAN wieder miteinander oder nicht?

Anders ausgedrückt kann Gastclient 1 zwar nicht direkt über den Switch auf Heimclient 1 zugreifen da diese Ports ja über die VLANs getrennt sind aber die FRITZ!Box dient doch dann als Brücke oder verstehe ich da etwas falsch?

 

[Raijin]

Ganz so einfach ist das nicht. Es fehlt ein entscheidendes Detail in der Skizze.

LAN4 muss in der Fritzbox als Gast-LAN konfiguriert werden. Anschließend muss von hier ein zweiter Uplink zum GS105E verbunden werden, und zwar auf einen Port mit VLAN 100 untagged.

Aktuell ist der GS105E nur in zwei Teilswitches aufgeteilt, die untereinander keinerlei Verbindung haben. Die Verbindung von Haupt- und Gastnetzwerk erfolgt aber in der Fritzbox und da diese keine VLAN-Tags beherrscht (802.3Q) müssen beide Netzwerke physische über jeweils einen eigenen Uplink verteilt werden.

Fritzbox
+- (LAN1) -----> (Port1 @ VLAN 100 ) GS105E =======> VLAN 100 Ports für Hauptnetz
+- (LAN4) -----> (Port2 @ VLAN 200 ) GS105E =======> VLAN 200 Ports für Gastnetz

 

[spcqike]

oder verstehe ich da etwas falsch?

Prinzipiell verstehst du es nicht falsch, aber im Zusammenspiel mit einer (dummen) Fritz!Box schon.

die FB kann/kennt keine VLANs. Ergo gibt es auch keinen "Trunk". Und, die FB routet nicht zwischen Gast und Intern.

Du müsstest LAN4 der FB als Gast-LAN definieren und zwei LAN-Kabel von der FB zum Switch. die Ports am Switch auf VLAN100 bzw VLAN200 stellen. Wenn deine Endgeräte kein VLAN können, musst du auch die zwei hinteren Switche als managed Switch haben und auf jedem Port das entsprechende VLAN einstellen.

Ob das mit den Fritz Repeatern so funktioniert, weiß ich auch nicht. Bei "richtigen" AccessPoints müsstest du VLAN100 und VLAN200 bis zum AP "führen".


Bevor ich bei der FritzBox mit VLANs experimentiere, würde ich glaube wirklich den Gast-Switch einfach mit LAN4 an der FB verbinden.

 

[.DeluXer]

Häng doch ein Switch ans Gast Lan und eins so und spar dir ein Switch ein?

 

[Christian1297]

Die Möglichkeit mit dem Gastzugang auf LAN 4 und zwei Uplinks ist mir bekannt. Das Problem in diesem Fall ist, dass die FRITZ!Box 5530 keinen Gastzugang über LAN zur Verfügung stellen kann.

Der User vom dem die Skizze stammt versucht daher trotz fehlenden Gastzugang an der FRITZ!Box das LAN in zwei Bereiche zu segmentieren. Dafür nutzt er eben die beiden VLAN. Beide VLAN verwenden aber der gleichen Uplink Port zur FRITZ!Box.

Meines Verständnis nach führt das aber das ganze Konstrukt ad absurdum da die FRITZ!Box als obergeordneter Switch ja wieder einen Übergriff von VLAN 100 nach 200 ermöglicht oder liege ich da falsch?

Die Verbindung von Haupt- und Gastnetzwerk erfolgt aber in der Fritzbox

So habe ich mir das schon gedacht. Also funktioniert das ganze so tatsächlich nicht.

 

[conf_t]

Ja! genauso ist es, die Skizze ist Humbug vom feinsten. So nicht realisierbar, bzw. da braucht man auch keine VLAN Trennung, der Link von der FB 5530 zum Switch hebt die Trennung auf. Vor allem VLAN 200 und 100 mit jeweils eigner SSID geht nicht. Und der FB wird man ohne den Kniff mit dem Gast-LAN nicht beibringen können 2 getrennte Subnetze bereitzustellen. Bzw. geht vielleicht schon, aber dann mit einem OpenWRT Image oder so - nicht so ohne weiteres mit FritzOS.

 

[Sykehouse]

Meines Verständnis nach führt das aber das ganze Konstrukt ad absurdum da die FRITZ!Box als obergeordneter Switch ja wieder einen Übergriff von VLAN 100 nach 200 ermöglicht

Korrekt, insbesondere da der DHCP Server der Fritzbox ja IPs in beide VLANs vergibt. Somit erreicht man bloss, dass der Traffic zwischen VLAN 100 und 200 nicht schon am Switch "geswitcht", sondern zuerst zur Fritzbox und dann wieder zurück fliesst.

 

[Zero_Official]

Also das mit der fritze und Port 4 als gast ist nur eine Krücke, und ja die Fritze würde zwischen Vlans/Subnetzen routen.
Wenn du tatsächlich mit Vlans was machen willst brauchst du anderes equipment, zb. Ubiquiti Router,
Layer 2+ oder 3 Switch und AP Tplink oder Ubiquiti.
Es gibt Preisgünstige Varianten besonders von TP-Link, Router aber definitiv von Ubiquiti.

 

[Christian1297]

Wie schon geschrieben ist das nicht mein Vorhaben. Ich habe die Skizze in einem anderen Forum entdeckt und mir schon ziemlich genau das gedacht was ihr mir hier bestätigt habt. Die dort zu lesenden Aussagen habe nur teilweise gegenteiliges behauptet und mich etwas verunsichert weshalb ich mir hier mal Gewissheit holen wollte.

 

[conf_t]

So rein theoretisch, als akademische Diskussion: Ich weiß nicht ob das ginge, aber vielleicht könnte man sowas vergleichbares bauen, wenn man für das WLAN Fritz-Mesh nimmt, weiß nicht, ob das Gast-WLAN auch auf den Mesh-Slaves ausgesendet wird. Wenn ja, könnte man so wenigstens überall GastWLAN haben. Für Gast-LAN bräuchte man eine Gast-LAN fähige FB und zwei Patchungen zum VLAN fähigen Switch.

 

[Knighty]

Die "Krücke" würde dennoch je nach Anwendungsfall funktionieren, habe ich so auch schon umgesetzt. Wenn es wirklich nur darum geht, irgendwo am anderen Ende des Netzes 2-3 Gast-LAN-Ports zu haben, ist das mit dem doppelten Uplink die günstigste Variante, sofern man zumindest SmartManaged Switches besitzt.

 

[Christian1297]

Die Mesh-Slaves, also die AVM Repeater senden auch das Gast-WLAN aus. Das hat AVM schon so gelöst dass das intern durchgeschliffen wird.

Das Problem hier ist einfach dass die 5530 kein Gast-LAN unterstützt und nur Gast-WLAN anbietet. Daher bekommt der TE im anderen Forum seine LAN Dosen nicht mit dem Gastnetzwerk der FRITZ!Box verbunden.

 

[conf_t]

@Knighty Ohne VLAN Trennung braucht man aber auf kein Gast-LAN. Auch wenn auf den ersten Blick die meisten Anwendungen im zugeteilten IP-Range bleiben, so muss man ja nur am Endgerät die IP ändern und ist schon im anderen IP-Netz. Da würde ich glaube ich gleich auf Gast-LAN verzichten, weil es eine nicht vorhandene Sicherheit vorgauketl

@Christian1297 Ist schon klar, drum habe ich das ja oben eingeschränkt.

 

[Christian1297]

@conf_t Ich bin mir nicht sicher wie genau AVM das Gastnetzwerk technisch umgesetzt hat aber ein simples ändern der IP reicht hier auf jeden Fall nicht aus.

 

[Knighty]

@conf_t Wenn ich mein Netz durchgehend in 2 VLANs aufteile und mit dem einen das normale und mit dem anderen das Gast-LAN verbinde? Dann habe ich doch meine Trennung. Klar, wenn ich die Möglichkeit habe mich in einen anderen Port zu stecken, dann isses vorbei, aber physikalischen Zugriff mal ausgeschlossen komme ich doch mit einem Endgerät an einem untagged port in VLAN20 nicht einfach so in VLAN10? Auch nicht über die Fritz, weil die ja nicht zwischen normal und Gast routet. Oder was hab ich jetzt übersehen?

 

[conf_t]

@Knighty Nee, darauf habe ich mich nicht bezogen, sondern darauf, dass du geschrieben hast, die Krücke würde so mit einem Link und ohne Gast-Patchung im Notfall funkiotnieren.

Die "Krücke" würde dennoch je nach Anwendungsfall funktionieren, habe ich so auch schon umgesetzt.

Mit 2 Links ist das bei der FB weniger das Thema.
Wobei man auch wieder das Thema hat, wie will man am VLAN fähigen Switch dann zwischen beiden VLANs unterscheiden, wenn alles untagged an einem Port reinkommt? -> gar nicht (oder mit einer Monströsität einer ACL vielleicht? Kann dann aber kein 0815 Smart-Managed-Switch) also braucht's dann auch keine VLANs und man hat nur 2 IP Netze ohne getrennte Infrastruktur. Und das habe ich oben moniert. Das kann man dann weglassen. Auch die Trennung von DHCP wäre so nicht möglich. Also man könnte dann nicht ohne weitere Krücken, wie Dauerhafte-DHCP-Leases, nicht die Netze richtig zuweisen (z.B. dauerhafte Leases + Scope so groß wie die Anzahl der Geräte = Heimnetz und Rest Gast. Daher ist es einfach nicht gut zwei Netze, die man trennen möchte ohne VLAN mit allem Drum und Dran laufen zu lassen.

 

[Knighty]

@conf_t Das hatte ich ja nicht geschrieben. Ich sagte ja, mit Gast-LAN und durchgehend VLAN kann man das so machen. Die "Krücke" in meinem ersten Post bezog sich auf die Aussage von @Ichtiander , der wiederum die Gast-LAN Lösung im allgemeinen schlechtgeredet hatte.

edit: was heißt alles an einem untagged Port reinkommt? Das VLAN muss natürlich zwischen den Switches ordentlich aufgebaut sein. Dann auch mit entsprechenden tagged Ports dort wo es nötig ist. Nach wie vor gilt natürlich, dass physischer Zugriff ausgeschlossen sein muss.

 

[conf_t]

Achos, dann ist ja gut.

Ergänzung (25. März 2021)

was heißt alles an einem untagged Port reinkommt?

Wenn man nur eine Patchung von der FB zum Switch hat, darüber Gast-Netz und Heim-Netz gleichzeitig reinlaufen lässt, kann man es ohne weiteres nicht trennen, was was ist, wenn beides untagged in den Switch läuft, mangels VLAN fähigkeit der FB. Das war noch für den Fall, das nicht eine extra Gast-LAN Patchung genutzt wird. Aber das ist ja geklärt, wie du das gemeint hattest.

 

[Skysnake]

Mit 2 Links ist das bei der FB weniger das Thema.
Wobei man auch wieder das Thema hat, wie will man am VLAN fähigen Switch dann zwischen beiden VLANs unterscheiden, wenn alles untagged an einem Port reinkommt? -> gar nicht

So wie man das immer in so Fällen macht. 2 links die als untagged VLAN rein kommen und vom managed Switch dann eben mit dem VLAN Tag versehen werden. Dann kann man das auf den anderen Ports beide als tages VLAN bereitstellen, oder eins als tages und das andere als untagged.

Nach wie vor gilt natürlich, dass physischer Zugriff ausgeschlossen sein muss.

Na dafür gibt es auch Lösungen. Port sperren wenn er abgesteckt wird, oder ne MAC Sperre,wobei man das bei Kenntnis der MAC natürlich leicht umgehen kann. Das Umstecken des Kabels blockieren ist meines Wissens nach nicht umgehbar.

 

[conf_t]

@Skysnake Ja, so aus dem Kontext gerissen, mach meine Text keinen Sinn🙄 und damit auch deiner nicht, nicht inhaltlich, sondern vom Kontext her. Was du schreibst ist Basiswissen ICND1. 😉