Netzwerkaufbau / Verkabelung und Hardware

[Chibi88]

Moin,

ich ziehe nächsten Monat in ein Haus, was in den meisten Räumen mit einer Patchdose ausgestattet ist, die zentral zu den HWR (Hardwareraum) führt, wo ein Patchpanel ist. Ich habe bereits folgendes Setup bei uns in unserer Wohnung: Switch, AP, Connect Box und Opnsense. Derzeit habe ich echt Probleme mich für eine Verkabelung bzw für ein Setup zu entscheiden, denn ich habe folgendes Problem: Ich habe im Wohnzimmer 2-3 devices, die ich anschließen möchte, aber nur eine Patchdose, die in den HWR führt.

Meine Gedanken zur Verkabelung sind derzeit diese:

WAN DSL - Speedporort - Speedport LAN in die Patchdose zum HWR - vom HWR in Port 1 der Opnsense für WAN. Die Opnsense konfiguriere ich dann so, dass ich ein Transfernetz zur Speedport (Anbieterwechsel) konfiguriere oder den Bridge Modus nutze, falls verfügbar.

Bei dem Setup kann ich die anderen Geräte im Wohnzimmer nicht anschließen. Wie löse ich das am besten? Ein Switch an die Speedport und von dort in die Patchdose zum HWR und dort ebenfalls einen Switch platzieren?

Die Zeichnung beschäftigt sich oben mit zwei Switches. Einen im Wohnzimmer, einem im HWR. Die sind dann via Trunk verbunden und ich nutze für den Uplink VLAN Tagging. Im unteren Bild wäre die "optimale" Verkabelung, wenn ich nicht 2-3 weitere Geräte hätte.

Wie ist eure Meinung bzw wie würdet ihr es machen?

Grüße

 

[Nordwind2000]

Die Geräte die WLAN haben mit WLAN nutzen. Oder halt zusätzliche Switches nutzen. Vielleicht ist in dem Kabelkanal genügend Platz um ein zweites Kabel einzuziehen und du kannst zwei Anschlüsse nutzen.

 

[Chibi88]

Dann wäre bei einem Switch der AP aber im HWR. Wenn der Switch im Wohnzimmer verbliebe, könnte ich dann nichts aus dem 1 OG anschließen, da im HWR kein Switch ist.

 

[derchris]

einer Patchdose

Simplex oder Duplex Dosen? Keine TAE im HWR oder zumindest die Kabel die da durch gehen?

 

[floTTes]

DSL kommt im Wohnzimmer an? Sehe ich das richtig? Da kannst du doch einen DSL-Router mit 4 Ports hinstellen. Was ist das aktuelle Speedport-Modell?

Wie sieht es mit Kabel oder Glasfaser aus? Lohnt sich ein Umstieg?

 

[ReeseyRemsedo]

Deine grundlegenden Gedanken zum Aufbau sind schon absoluter Käse. Bevor man mit der Einrichtung beginnt, sollte man erst einmal physisch arbeiten und alles vorbereiten. 1.) Wenn du einen "Hardwareraum" hast, nennen wir es einfach mal Serverraum, kauf dir für 20€ einen kleinen Mini-Netzwerk- oder Serverschrank. 2.) Kabelmanagement: Sehe zu, dass du das TAE DSL VDSL2 Gerummel eben in diesen Raum und in das Schränkchen umlegst, so dass du eine saubere kleine DSL Dose in deinem "Hardwareraum" hast. 3.) DSL Signal, Aufbau Netzwerk etc. Wenn es schon VDSL ist und du Opnsense einsetzt, dann schnapp dir ein DrayTek Vigor und bau da nicht irgendeine Doppel Nat verseuchte "wird schon irgendwie funktionieren" Konfiguration. Das hat man früher als Jugendlicher gemacht um Sachen auszuprobieren und mit Netzwerk rumzuspielen. 4.) Wie betreibst du Opnsense? In einer VM auf einem Server oder Mini-PC? Hast du da einen Protectli Vault FW4B oder eine kleinere Ausführung? Wichtig ist, dass das Ding auf jeden Fall genügend Lan-Ports hat.

Zusammengefasst: Wenn du schon einen Hardware- bzw. Serverraum hast, dann bau auch von da auf und versuche nicht über ein verzweigten Kurven Parkour irgendwas irgendwie am laufen zu bekommen.

 

[norKoeri]

Speedport

Was genau ist das, ein Telekom Speedport? Wenn Du eine OPNsense hast, dann willst Du die maximal als DSL-Modem nutzen, richtig? Also hast Du eigentlich das Problem, dass der DSL-Anschluss irgendwo im Haus ist (Wohnzimmer?), aber nicht im HWR, richtig? Aber Du hast im Wohnzimmer noch weitere verkabelte Geräte und nur ein LAN-Kabel zwischen Wohnzimmer und HWR. Das hatten wir in diesem Thread …

Die Opnsense konfiguriere ich dann so, dass ich ein Transfernetz zur Speedport (Anbieterwechsel) konfiguriere oder den Bridge Modus nutze, falls verfügbar.

Oder meinst Du was ganz anderes? Dann jenen Satz nochmal ausführlicher bitte.

 

[ReeseyRemsedo]

dann willst Du die maximal als DSL-Modem nutzen, richtig?

Das ist ja schon ein grundlegendes Problem. Die meisten Speedport-Modelle unterstützen keinen echten Bridge-Modus, bei dem der Router nur als DSL-Modem fungiert und die PPPoE-Einwahl einem anderen Gerät (z. B. einer Fritzbox oder einer Firewall, in diesem Fall Opnsense) überlassen wird. Das maximale was möglich wäre, wäre ein PPPoE Passthrough. Also quasi Wan Interface in Opnsense erstellen und dort dann eben die Zugangsdaten eingeben. Probleme sind da vorprogrammiert: Der Speedport bleibt aktiv im Netzwerk, auch wenn er „nur durchreicht“. Er kann weiterhin Pakete filtern oder NAT anwenden (je nach Modell und Firmware). Schlimmer geht es kaum. Bei Verbindungsproblemen, und die werden immer kommen, hat er quasi immer zwei Baustellen die er überprüfen muss (Router & Firewall). Selbst wenn es dann irgendwie halbwegs funktioniert, ist die Performance absolut mies, weil die Speedports schlichtweg Plastikmüll sind und bei PPPoE Passthrough richtig schlecht performen. Daher ist wie bereits gesagt der grundlegende Aufbau völlig sinnlos.

Ergänzung (21. September 2025)

Oder halt zusätzliche Switches nutzen.

Das macht alles nur noch schlimmer. Grundlegend erklärt....

Speedport im Wohnzimmer
VLAN-Trunk vom Wohnzimmer-Switch in den HWR
Firewall (OpnSense) im HWR, die über den Trunk das PPPoE macht
Multigeräte-Setup im Wohnzimmer

Speedport als halbgares "Modem"
Kein echter Bridge-Modus → Mist
PPPoE-Passthrough ist Krücke → instabil

VLAN-Trunk für WAN-Zugang? WAN gehört nicht getaggt durchs halbe Haus.
Sicherheitsrisiko: PPPoE über getaggtes VLAN kann durch Fehlkonfiguration kompromittiert werden.
VLANs sollten intern für Segmentierung da sein, nicht um WAN quer durchs Netz zu schieben.
3–4 Geräte im Wohnzimmer reichen nicht aus, um solche Konstruktionen zu rechtfertigen.
Mehr Switches = mehr Fehlerquellen
Mehr VLANs = mehr Pflegeaufwand. Crasht eine Config, crashen alle.

 

[Chibi88]

Wenn die Speedport von der Telekom kein Bridge kann ist es wirklich Käse, ja. Ich war vorher bei der Vodafone und da ist es kein Problem gewesen. Da liegt meine Public IP auch direkt auf meiner Hardware FW mit Opnsense auf untrust. Das geht also bei der Speedport nicht? Spitze....

Wäre DrayTek 167 dann das richtige Gerät? 250mbit sind von der Telekom gebucht.

Zwecks Verkabelung und Aufbau schau ich mir das später noch mal im Haus an. Serverschrank war eine Überlegung wert aber wir wohnen dort in Zukunft zur Miete und es ist nicht abzusehen, wie viele Jahre das sein wird, deshalb will ich da keinen allzu großen Aufwand betreiben.

@ReeseyRemsedo der von dir skizzierte Aufbau ist wünschenswert, aber wie gesagt macht der DSL Anschluss mir da Kopfschmerzen und ich würde gerne alles zentralisiert stehen haben.

DSL -> Speedport (Bridge falls nötig) / DrayTek -> Opnsense -> Switch -> LAN mit verschiedenen VLAN zum segmentieren.

Diesen Aufbau habe ich bereits aktuell in unserer Wohnung, da habe ich den Kabelanschluß aber auch im Wohnzimmer und dort eben auch AP, Connect Box, Switch und FW steh....

 

[v3nom]

Die Opensense kann nicht ins Wohnzimmer?

 

[Chibi88]

Doch, könnte sie. Dann wäre der Anschluss von DrayTek direkt an die Opnsense ohne ein Switch dazwischen. Dann könnte ich bei der Opnsense den LAN Port nutzen und dort den Switch anstöpseln. Vom Switch kann ich dann über die Patchdose in den HWR, müsste dort dann aber einen zweiten Switch platzieren. Zwischen den Switches könnte ich dann die VLANs Tagen (während DryTek und Opnsense direkt verbunden sind). Würde aber wieder mehr HW im Wohnzimmer bedeuten plus zweiten Switch. Aber gut, so nen managed Switch kostet halt 25€, passt schon.

Und ihr habt keine guten Erfahrungen mit einer Speedport und nem Transfernetz? Untrust der Opnsense mit ner private IP einrichten und nem /30 suffix zwischen Opnsense und Speedport, dort noch ne Route Richtung Speedport setzen und SNAT auf die private IP Adresse des untrust der Opnsense? Ist das so unperformant?

 

[DLMttH]

Das ist ja schon ein grundlegendes Problem. Die meisten Speedport-Modelle unterstützen keinen echten Bridge-Modus

Ich behaupte das Gegenteil. Die meisten halbwegs aktuellen Speedports haben einen Modem-Modus. DSL-Fritz!Boxen fehlt dieser gänzlich.

 

[Chibi88]

Anbei die Verkabelung im Haus. DSL im Wohnzimmer, müsste die Speedport also dort anschließen. "HWR" sieht so aus. Die Speedport soll laut doku ebenfalls einen Modem mode haben (Speedport Smart 4R). Dann mache ich es wohl ähnlich wie zu Hause. Speedport im Wohnzimmer, daran die Opnsense, dort dann den Switch und den Switch an die Patchdose zum HWR und dort ebenfalls einen Switch für das 1 OG platzieren. 😐

Edit: sorry, aber jo ideal wieso die fotos upside down sind.

 

[norKoeri]

Wäre DrayTek 167 dann das richtige Gerät?

Ja, aber ich würde einen gebrauchten Speedport nehmen, der das kann … die sind günstiger, teilweise schon geschenkt zu haben und im Fehlerfall hast Du Backup WLAN-DSL-Router.

Wenn die Speedport von der Telekom kein Bridge kann ist es wirklich Käse, ja.

Ich hatte je Modelle verlinkt, die DSL-Modem können, Dein Speedport Smart 4R kann es. Aber ist dafür etwas schade. Hast Du den gemietet oder frei gekauft oder gebraucht gekauft?

Das maximale was möglich wäre, wäre ein PPPoE Passthrough.

Wäre mir neu, dass irgendein aktueller Speedport überhaupt PPPoE-Passthrough könnte. Einige können auf DSL-Modem umgeschaltet werden. Die anderen gingen nur in Form einer Router-Kaskade.

PPPoE-Passthrough ist Krücke → instabil

Eigentlich nicht, geht seit FRITZ!OS 8.x ganz gut; jedenfalls wären mir keine Instabilitäten mehr bekannt.

Die Opensense kann nicht ins Wohnzimmer?

Doch, könnte sie.

Dann mach das bitte genau so.

 

[ReeseyRemsedo]

Wäre DrayTek 167 dann das richtige Gerät? 250mbit sind von der Telekom gebucht.

Ja, habe es auch schon ein paar mal verbaut.

Einige können auf DSL-Modem umgeschaltet werden.

Nein Die Telekom-Speedports (z. B. Smart 3, Smart 4, Pro, Pro Plus): haben keinen echten Modem-Bridge-Modus, geben keine öffentliche IP an ein nachgeschaltetes Gerät weiter, können zwar PPPoE-Passthrough teilweise anbieten, aber das ist: nur bei manchen Modellen verfügbar, nicht stabil oder zuverlässig für alle Anwendungsfälle, und oft deaktiviert durch Firmware oder Providerkonfiguration.

Eigentlich nicht, geht seit FRITZ!OS 8.x ganz gut; jedenfalls wären mir keine Instabilitäten mehr bekannt.

1. Ging es speziell um seinen Speedport und 2. Die Fritz!Box unterstützt VLAN-Tagging nur im internen Netzwerk (LAN/VLANs für Gäste, Mesh etc.), nicht für den WAN-Port, wenn sie im PPPoE-Client-Modus (z. B. hinter einem Modem) läuft.

Fritz!Boxen sind nur eingeschränkt VLAN-fähig und reagieren sehr empfindlich auf Paketveränderungen.

Ergänzung (21. September 2025)

Beispiel: Wenn dein Provider VLAN 7 (wie bei Telekom) erfordert, kann die Fritz!Box das VLAN 7 nicht selbst setzen, außer sie ist direkt am DSL-Port und synchronisiert selbst (also als Modem/Router).

Beispiel2: Switches und Trunk-Ports machen es komplizierter. Wenn du PPPoE über einen Switch oder Trunk (z. B. ein VLAN getaggter Uplink) führst: Manche Switches strippen oder verändern die VLAN-Tags oder verwerfen PPPoE-Frames.

Viele Managed Switches (z. B. TP-Link, Netgear) blockieren PPPoE-Discovery-Frames per Default.

PPPoE ist nicht VLAN-aware – es ist ein Layer-2-Protokoll, das nicht gut mit VLAN-Tagging auf Standard-Switchports klarkommt, wenn das nicht richtig konfiguriert ist.

Szenario: Du hast einen DrayTek Vigor167 im Bridge-Modus, der auf VLAN 7 taggen muss (Telekom).
Du möchtest die Verbindung über einen Switch zur Fritz!Box, die PPPoE macht.
Du richtest einen Trunk-Port mit VLAN 7 ein.

Ergebnis: Die Fritz!Box kann das PPPoE nicht korrekt starten, weil:

• Sie kein VLAN 7 setzt, erwartet aber ungetaggte Frames
• Oder der Switch blockiert die PPPoE-PADI/PADO-Negotiation
• Oder das VLAN-Tag bleibt dran, obwohl die Fritz!Box es nicht erwartet.

Ergänzung (21. September 2025)

Das Problem ist, beruflich sehe ich solche Probleme immer und immer wieder. Diese Fehler werden immer wieder gemacht. Habe jetzt gerade erst akut einen Fall mit einem Hotel. Die haben einen Hotspot Anbieter der ein Netzwerk gebaut hat, was schlichtweg nie wirklich funktioniert oder wenn dann nur sehr sehr träge und langsam. Wir arbeiten uns gerade durch den Netzwerkaufbau und uns stehen jetzt schon die Haare zu Berge . Die müssen ständig alle Netzwerkgeräte neu starten und dann hoffen, dass es wieder für ein paar Stunden funktioniert. Wenn überhaupt..... Da wird dann wohl nur einmal alles rausrupfen und komplett neu aufbauen helfen.

Vlans, Trunk und Clustered Networking ist eine tolle Sache, aber eben auch sehr Wartungs- und Supportanfällig.

Trunk-VLANs überall – aber keiner weiß mehr warum

• „Da ist VLAN 7, 10, 20, 30, 40, 100 und noch irgendeins für IPTV.“
• Und keiner kann dir sagen, wo genau was ankommt oder rausgeht.
• Management-VLAN? Klar, aber der Controller ist seit Monaten offline…

PPPoE irgendwo dazwischen
Besonders gefährlich, wenn PPPoE durch Switches mit Trunks läuft. Jeder vergisst, dass:

• PPPoE-Frames keine VLAN-Tags mögen,
• und dass viele Switches Broadcast oder Multicast-PPPoE-Discovery-Frames droppen.

• „Da hängt noch eine Fritz!Box am Gastnetz… die macht irgendwie Internet.“
• Manchmal sogar doppelte NATs, drei DHCP-Server gleichzeitig oder Loopbacks über Layer 2.

Mir ging es da nur ein wenig um die Veranschaulichung . Daher besser einmal vernünftig machen.

 

[ookee]

Nein Die Telekom-Speedports (z. B. Smart 3, Smart 4, Pro, Pro Plus): haben keinen echten Modem-Bridge-Modus

Die Speedport-Pro-Serie unterstützt tatsächlich keinen Bridge-Modus. Aber beim Speedport Smart 1-4 geht das problemlos. Siehe Punkt "Speedport als DSL-Modem nutzen" in der Anleitung.

Die Fritz!Box unterstützt VLAN-Tagging nur im internen Netzwerk (LAN/VLANs für Gäste, Mesh etc.), nicht für den WAN-Port, wenn sie im PPPoE-Client-Modus (z. B. hinter einem Modem) läuft.

Eine Fritzbox unterstützt im internen Netz überhaupt kein VLAN-Tagging. Die LAN-Ports sind immer untagged. (Intern zwischen Switch und CPU wird dabei möglicherweise VLAN-Tagging genutzt, aber das wäre dann nur ein Implementierungsdetail, das nach außen völlig unsichtbar ist.)

Und am im Router-Modus am WAN-Port funktioniert VLAN-Tagging selbstverständlich. Je nach ausgewähltem Provider-Profil wird die Option halt nicht im Web-Interface angezeigt, weil es in dem Profil schon hinterlegt ist.

Eine Ausnahme sind hier nur die Kabel-Fritzboxen, die weder PPPoE noch VLAN unterstützen.

PPPoE ist nicht VLAN-aware – es ist ein Layer-2-Protokoll, das nicht gut mit VLAN-Tagging auf Standard-Switchports klarkommt, wenn das nicht richtig konfiguriert ist.

Es mag Switches geben, die damit nicht klarkommen. Aber das ist dann ein Problem des Switches oder dessen Konfiguration, und keine Eigenschaft des Protokolls.

 

[ReeseyRemsedo]

Aber das ist dann ein Problem des Switches oder dessen Konfiguration

und genau solchen Problemen möchtest du von Anfang an aus dem Weg gehen..... Das Thema war genau darauf ausgelegt. Kurz gesagt: Ein zu großer Aufriss für ein zu kleines Segment. Hoher Wartungs- und Administrationsaufwand für einen viel zu kleinen Bereich. Abgesehen davon, wurde auch nichts anderes behauptet oder geschrieben.

Aber beim Speedport Smart 1-4 geht das problemlos.

Jein, auch nicht zu 100%. VOIP und IPTV sind da leider immer noch ein Thema

Eine Fritzbox unterstützt im internen Netz überhaupt kein VLAN-Tagging.

So war es auch gemeint, dass quasi anhand seines Setups der Switch bzw. die Switches dahinter diese Aufgabe übernehmen. Die Aussage bezog sich direkt auf sein Vorhaben.

Ergänzung (22. September 2025)

Es geht hier ja nicht schlichtweg darum wer Recht oder Unrecht hat und/oder wer wie welches Setup am besten beherrscht, sondern einfach um eine passende Netzwerklösung für die passende Umgebung.

 

[norKoeri]

auch nicht zu 100%. VOIP und IPTV sind da leider immer noch ein Thema

Wenn Du da mehr weißt, bitte verlinken, kann ich so nicht nachvollziehen.

1. Ging es speziell um seinen Speedport [Smart 4R]

Wie geschildert, wäre mir neu, dass der überhaupt PPPoE-Passthrough kann. Hast Du dafür Belege?

Wenn dein Provider VLAN 7 (wie bei Telekom) erfordert, kann die Fritz!Box das VLAN 7 nicht selbst setzen, außer sie ist direkt am DSL-Port und synchronisiert selbst (also als Modem/Router).

Das ist nicht richtig.

Manche Switches strippen oder verändern die VLAN-Tags

Das sind dann falsch-konfigurierte oder fehlerhafte Switche, die zu melden sind.

Viele Managed Switches (z. B. TP-Link, Netgear) blockieren PPPoE-Discovery-Frames per Default.

OK. Ja, und?

einfach um eine passende Netzwerklösung für die passende Umgebung

Der Thread-Ersteller möchte es absichtlich kompliziert und scheint nicht nur die Fach-Kompetenz zu haben, sondern auch den Willen sich einzuarbeiten. Hier sollte man alle Optionen auf den Tisch legen. Wenn irgendwo eine Katze ein LAN-Kabel angekaut hat – können wir gerne auch als Fehlerquelle erwähnen –, aber irgendwann muss es schon Faktenbasiert sein.

 

[Chibi88]

Werde es wie beschrieben über das Wohnzimmer laufen lassen. Bin kein großer Fan zwischen Modem und FW einen Switch zu schalten. Dann verbinden ich das eben direkt mit der FW, so wie es aktuell ist und tagge die VLANs über den trunk, der in den HWR geht und schließe so nen neuen Switch an. So habe ich es mMN recht sauber.

Edit: im hwr hängt doch eine, wie ich sehe.

 

[derchris]

Edit: im hwr hängt doch eine, wie ich sehe.

dann schliess es doch da an? Problem solved.