Projekt Konzeption Heimnetzwerk VPN Firewall Erweiterung der Fritzbox

[Big Ed]

Hallo zusammen,

unser Heimnetzwerk soll nun etwas erweitert werden, Ziel ist es flächendecken WLAN für Heimnetz und Gäste unnd IOT Devices zu haben. Eine eigen Firewall als OPNsense virtualiseriert und eine kleine Server Infrastruktuer basierend auf Unraid und Proxmox und virtuellen Maschinen. Dazu sollen die Server auch von außen erreichbar sein (DMZ VPN).

Kabelgebundenes Internet (Business Tarif mit Dual Stack) und TV Vodafone Provider

aktueller Status:
Endgeräte LAN
3x PC
2x Server
TV
Bluray
SkyQ
AppleTV

Endgeräte WLAN:
~bis zu 40 Client in Heimnetz und Gastnetz

Eine Fritzbox mit aktivierten Gast LAN und WLAN ein abgesetzter Router (Asus RT-56U) als Accespoint im Gast LAN und WLAN.
Dadurch wird im Haus EG, OG1 und DG mit WLAN versorgt mit bis zu 40 WLAN Clients insgesamt. LAN gebundene Clients 9
Die 4 LAN Ports der Fritzbox sind nicht mehr ausreichend und wurden mit einfachen 4 Port TP-Link Switchen LAN 2& 4 erweitert.

Ziel:
das Heimnetzwek neu aufbauen und mittels VLAN trennen und WLAN erweitern mit vorhanderner Hardware.

Konzept:
IOT VLAN für Geräte wie Tigerbox, TV, getrennt und separiert keine Kommunikation untereinander via WLAN und LAN.
Heimnetz (VLAN)
Gästenetz (VLAN)
Managementnetz VLAN
Smathome VLAN erweiterbar (Zukunft)
DMZ für Server Unraid und Proxmox (VLAN)
Public IP nutzen über Bridgeport der Fritzbox
Firewall OPNsense virtuell
VPN OpenVPN
WLAN und LAN in der Garage zusätzlich erweitern
WLAN im Haus mit weiterem Router als AP erweitern.
Neue Kabelwege ziehen, Verlegekabel vorhanden.
Zentraler Server und Netzwerk Raum vorhanden


Vorhanden Hardware Netzwerkseitig:
Managed Switche HP Procurve 1x 2510-24G, 2x 1810-24G, Fritzbox 6951, Asus Router RT-N56U (Openwrt fähig), Cisco TP-Link Router (OpenWRT fähig), Verlegekabel CAT 7, Patchpanel.


Wenn benötigt ein bis zwei weitere Router die OpenWRT tauglich sind TP-Link Asus etc. Budget ca. 100-200€

Es soll eine öffentliche IP genutzt werden über die Fritzbox, dort sollen alle Homeoffice und IOT Geräte evtl auch DMZ/VPN laufen.
Im Heimnetzwerk sollen die privaten Endgeräte angeschlossen sein an der Fritzbox und dort auch ein VPN angelegt werden.

Ein server wird 24/7 laufen (unraid mit OPNsense) der zweite (proxmox) soll via Wake on LAN gestartet werden bei Bedarf.
Die IOT Devices sind nur im OG1 notwendig und werden dort mit einem handelsüblichen Router versorgt.
Die Fritz box wird mit einem HP 1810 Switch erweitert und mit einem Bridgeport ausgestattet, ein Trunk soll zum EDV Raum alle VLANs transportieren zum HP 2510. Die HP Switche hätten eine einheitliche Port konfig.
je zwei bis drei Ports für ein VLAN (5x3=15 Ports) die dann via LAN oder einem handelsüblichen Router (Flash auf OpenWRT) erweitert werden.

es wird versucht das ganze so simple wie möglich aufzubauen, doch benötigen wir eben eine Überarbeitung und Erweiterung.

Habe ich das ganze verständlich dargestellt?
Hilfe wird bei der Konzeption und späterer Einrichtung der Opensne, VPN, DMZ, mananged Switch etc. benötigt.
Parallel lese ich mich weiter ein in die Thematik und arbeite diese Woche sehr intensiv daran.
Ziel wäre es diese Woche es nebenher aufzubauen.

Ride On und Danke für Eure Zeit.

 

[Raijin]

IOT VLAN für Geräte wie Tigerbox, TV, getrennt und separiert keine Kommunikation untereinander via WLAN und LAN.
Heimnetz (VLAN)
Gästenetz (VLAN)
Managementnetz VLAN
Smathome VLAN erweiterbar (Zukunft)
DMZ für Server Unraid und Proxmox (VLAN)

Bedenke, dass viele IoT-/SmartHome-Geräte nur sehr bedingt in komplexen Netzwerken einsetzbar sind. Viele Apps arbeiten mit Broadcasts und funktionieren daher nicht, wenn sich das steuernde Gerät (zB Tablet) nicht im selben Netzwerk befindet wie die IoT-Komponente. Dies gilt es zuvor zu prüfen. Man kann natürlich auch mit einem dedizierten Steuergerät arbeiten, also zB ein Tablet, das einzig und allein der Steuerung von SmartHome dient - oder man muss schlimmstenfalls das eigene Smartphone regelmäßig von einem WLAN ins andere umloggen.

Generell sind das schon 6 VLANs und somit ziemlich komplex, wenn es um Firewall, etc. geht. In der IT gibt es das KISS-Prinzip. Keep it simple, stupid. So viele VLANs wie nötig, aber so wenig wie möglich. Daher stellt sich beispielsweise die Frage in wiefern es sinnvoll ist, IoT und SmartHome zu trennen, ganz abgesehen vom obigen Einwand bezüglich der Steuerung.

VPN OpenVPN

OpenVPN ist gut, wenn man es auch aus restriktiven Netzwerken heraus nutzen möchte, da man den Port nach Wunsch ändern kann, zB TCP 443 oder UDP 53. Von der Geschwindigkeit her wäre jedoch WireGuard eher zu empfehlen. Um mit OpenVPN vernünftige Geschwindigkeiten zu erreichen, ist eine relativ potente CPU vonnöten, da OpenVPN nicht multi-core-fähig ist.

WLAN im Haus mit weiterem Router als AP erweitern.

Du musst dir eine grundsätzliche Frage stellen: Willst du es einmal richtig machen oder eine ewige Frickelei haben?

WLAN-Router mit OpenWRT bietet zwar meistens mehr Möglichkeiten als dasselbe Gerät mit originaler Firmware, aber es bleibt eine Bastelei. Hinzu kommt gegebenenfalls noch ein Gerätemix und auch solche Geräte, die nur mäßige Unterstützung für OpenWRT bieten. Dein Plan sieht nach einem komplexen Netzwerk aus und da sollte man meiner Meinung nach auch auf Hardware zurückgreifen, die die gewünschten Funktionen bereits herstellerseitig bietet. Wenn man sich Geräte kauft, von denen man schon vor dem Kauf weiß, dass sie out-of-the-box nicht für den vorgesehenen Einsatzzweck (zB VLANs) geeignet sind, hat man sich in meinen Augen "verkauft". Alternative Firmware ist gut, um älteren Geräten ein zweites Leben zu schenken, aber bei einem kompletten Netzwerkumbau darf es dann auch geeignete Hardware sein...
Das heißt also VLAN-fähige Access Points von Ubiquiti (Unifi), TP-Link (Omada) oder auch Modelle von Zyxel, o.ä. und dort, wo sie gebraucht werden, weitere Switches mit VLAN-Unterstützung, nicht aber gefrickelte Kombigeräte aus Consumer-Hardware von Media Markt umme Ecke...

Cisco TP-Link Router

Was für eine Ausgeburt der Hölle soll das denn sein?

Die Fritz box wird mit einem HP 1810 Switch erweitert und mit einem Bridgeport ausgestattet, ein Trunk soll zum EDV Raum alle VLANs transportieren zum HP 2510. Die HP Switche hätten eine einheitliche Port konfig.

Da du schon 6 VLANs aufzählst, wäre es sinnvoll, den Uplink zwischen den Switches auf breitere Beine zu stellen, zB durch LAG. Sonst baust du dir von Anfang an einen Flaschenhals ins Netzwerk, wenn doch unerwartet viel Traffic zwischen den VLANs läuft. Schließlich fehlt in deiner Auflistung noch das WAN, das also entweder über ein 7. VLAN oder über eine separate Schnittstelle am Router.

Firewall OPNsense virtuell

Da scheiden sich die Geister. Virtualisierte Firewalls sind nicht ganz unumstritten. Es kommt nicht zuletzt darauf an welche Ressourcen die VM zur Verfügung hat und wie viel Traffic sie damit handhaben muss. Das solltest du in der Testphase des Umbaus mittels iperf ausgiebig testen und falls nötig eben doch auf Hardware setzen.

 

[n8mahr]

starker beitrag von @Raijin , dem ich so komplett zustimmen möchte.

vor allem die kombination aus fritze, tp-link, älterem asus..
openWRT ist eine schöne sache, aber nicht immmer einfach zu konfigurieren. und hör auf, bei so einem aufwendigen projekt an der hardware zu geizen und stückwerk zu betreiben. nimm alles von einem hersteller, am besten gleiches modell für gleiche funktionen, mit ausreichend cpu-leistung, sonst wird das trotz openWRT nur ein flickenteppich aus "das gerät kann dies nicht gut, das gerät kann das nicht, weil anderer chipsatz" etc..
wenn es openWRT sein soll: es gibt auch hersteller, die ihre hardware danach ausrichten, und nicht umgekehrt. da sind dann oft weniger probleme zu erwarten, aber natürlich nie auszuschließen (beispiel: turris omnia / mox).

 

[Big Ed]

@Raijin THX for all bisher, spitze.
Made by Cisco allerdings nicht TP-Link sondern ...? habe es falsch abgespeichert im Kopf. Irgendein Subprodukt von CISCO.

Ich habe mir auch grundlegend darüber Gedanken gemacht, neue Hardware vs bereits vorhanden.
ist wohl besser die Zeit diese Woche in etwas anderes zu vergraben. Und Stück für Stück den Warenkorb befüllen und dann entsprechend angehen wenn alles da ist.

Allgemein noch die Frage:
Wie oft sollten die Netzwerkkomponenten gewechselt werden?
Wenn ich aktuelle Produkte kaufe, die etwa 2 Jahre oder jünger sind, kann ich diese solange es funktioniert auch wenn diese den End of Support Status erreicht haben?

Wenn ich es mir etwas ansehe, ist es im nur meist 5-7 Jahre nutzbar, bzw. danch ohne Support mehr.

 

[Raijin]

Wie oft sollten die Netzwerkkomponenten gewechselt werden?
Wenn ich aktuelle Produkte kaufe, die etwa 2 Jahre oder jünger sind, kann ich diese solange es funktioniert auch wenn diese den End of Support Status erreicht haben?

Wenn ich es mir etwas ansehe, ist es im nur meist 5-7 Jahre nutzbar, bzw. danch ohne Support mehr.

Wir reden hier von einem privaten Heimnetzwerk. Natürlich spielt Sicherheit auch da eine Rolle, aber wir wollen mal nicht päpstlicher sein als der Papst.

Das Gerät, das für 99% der Sicherheit verantwortlich ist, ist der Router. Dieser steht mit einem Bein im Internet und wird von dort aus nahezu ununterbrochen angegriffen, mit Portscannern und anschließenden Wörterbuchattacken, o.ä. - voll automatisiert. Ist die Firmware des Routers aktuell, kann man den Router weitestgehend als sicher ansehen. Wobei "aktuell" durchaus dehnbar ist. Nur weil die Firmware 1 Jahr oder älter ist, heißt das noch lange nicht, dass sie per Definition unsicher ist. Updates gibt's, wenn eine der Komponenten der Firmware eine Sicherheitslücke oder einen Bug enthält. Sind weder Lücken noch Bugs bekannt, gibt es prinzipiell auch keinen zwingenden Grund für ein Update.

Bei Internetroutern sind Portweiterleitungen daher die größte Gefahrenquelle, wobei sie streng genommen nichts mit dem Router selbst zu tun haben, sondern mit dem Ziel der Weiterleitung, dem Server. Erstellt man ein Dutzend Portweiterleitungen, baut man sich auch ein Dutzend potentielle Sicherheitslücken ins Netzwerk ein. Genau das ist der Grund für VPN, da man dadurch die Angriffsfläche auf den/die VPN-Port(s) beschränkt.

Ein weiteres potentielles Einfallstor für Angreifer von außen ist zB das WLAN. Hierbei kommt es darauf an, dass man mindestens WPA2 und einen ausreichend komplexen Schlüssel verwendet - und diesen auch nicht jedem Besucher auf die Nase bindet. Dinge wie SSID verstecken oder MAC-Filter sind hingegen kein Hindernis.

Hat man im Außenbereich eine zugängliche LAN-Dose (zB für eine IP-Kamera), ist diese offensichtlich ebenfalls ein Sicherheitsrisiko.

Switches oder andere rein lokale Netzwerkkomponenten spielen zumindest im Heimbereich eine eher untergeordnete Rolle was die Sicherheit angeht. Ausnahme: Bei besagten frei zugänglichen LAN-Dosen könnte ein Switch mit Port-Security nützlich sein.
Natürlich kann ein VLAN-Switch auch selbst zum Angriffsziel werden, wenn sich ein Eindringling darüber Zugriff auf ein anderes VLAN verschaffen will. Allerdings muss er dazu überhaupt erstmal irgendwie allgemeinen Zugriff auf das Netzwerk erlangen und da sind wir wieder bei den zuvor genannten Punkten, dem Internetrouter und der WLAN-Verschlüsselung.

Ja, ein Angriff kann auch von innerhalb des Netzwerks erfolgen, zum Beispiel durch Malware. Solche Angriffe sind allerdings naturgemäß am ehesten durch die Disziplin der Nutzer zu bekämpfen. Keine Downloads von zweifelhaften Seiten, nicht blind auf irgendwelche Links klicken, keine Anhänge in merkwürdigen Mails öffnen, keine Werbe-USB-Sticks einstecken, etc.



Wenn du dir jedoch solche Gedanken um die Sicherheit in deinem Netzwerk machst, hoffe ich, dass du über ausreichende Kenntnisse verfügst, um eine Firewall wie OPNsense in einem Multi-(V)LAN-Szenario zu konfigurieren. Die Bedienung ist dabei Nebensache, es geht einzig und allein um die fachgerechte Konfiguration, denn nur diese entscheidet über die Sicherheit. Eine nach Youtube konfigurierte OPNsense ist beliebig unsicher.

 

[Big Ed]

Darum Frage ich ja auch nach.
Folgender Kompromiss wird umgesetzt, dass sollte erst mal passen.

Da mir eben die Netzwerk Ports ausgehen, wird die Fritzbox mit dem HP 1810 switch erweitert.
Einmal das Heimnetz an der fritzbox angeschlossen port 1&2
Port 3 wird gebridged um die opnsense mal zu testen und versuchsweise mal anzugehen.
Port 4 bleibt Gastnetz.

Das würde dann heißen:
Am switch setze ich Port 1&2 der Fritzbox auf einen Taged Port vland ID 111 am HP switch Port 1 und 2 für Heimnetz und gebe dann entsprechend an mehreren Ports am HP switch sagen wir mal 12 ports untagged vlan 111 aus.

Mit dem gästenetz an der Fritzbox port 4 gehe ich genauso vor tagged Port VLAN ID 222 am HP switch und gehe dort untagged VALN 222 entsprechend raus mit den benötigen Anzahl Ports.

Dann würde ich eben eine Verbindung mit netzwerkkabel zum EDV Raum einmal trunkport mit den beiden vlan 111 und 222 und diese im EDV Raum Wieder splitten in entsprechende vlan untagged ports am hp switch im EDV Raum.

Der lan port 3 von der Fritz Box (bridge Modus) könnte auch über die trunk Verbindung laufen?
Da ich dort eben einen tagged Port VLAN 333 auch am switch einrichten kann und diesen dan via trunk zum EDV Raum transportieren.
Der EDV Raum ist mit 2x cat 7 gigabit Verkabelung angebunden so könnte ich auch vom HP switch 1810 (Fritzbox) zum HP switch 2510 (EDV) eine LAG Verbund mit 2x 1gbit Stellen. Ist das ansatzweise so richtig?
Somit wären es nur drei VLANs die zu managen sind über die Switche, das Management LAN der Switche würde ich vorerst über das Heimnetz mit aufbauen und kein separates LAN dafür verwenden, vorerst.

So habe ich eine Trennung von heimnetz und gäste

Im heimnetz laufen nur die Geräte, die privat sind und das Management der Switche und im Gast Netz Gäste, iot und Homeoffice...
Die iot Geräte wären zwar noch isoliert untereinander aber eben getrennt vom heimnetz.
Fritzbox ist weiterhin Router Firewall und DHCP gateway dns

Das VPN schaue ich mir an wireguard z.B.
Und versuche dann die Opnsense erst mal flugbereit zu bekommen mit dem VLAN 333 und dem letzten HP switch 1810 Den ich noch habe.


Dann hätte ich ein teilergebnis kiss weitestgehend eingehalten kann opnsense mal lernen und mir weiterhin Gedanken über den Warenkorb machen der für das Netzwerk Upgrade @Home ansteht.
Wie denkt ihr darüber?
Ride On

 

[Raijin]

Da mir eben die Netzwerk Ports ausgehen, wird die Fritzbox mit dem HP 1810 switch erweitert.
Einmal das Heimnetz an der fritzbox angeschlossen port 1&2
Port 3 wird gebridged um die opnsense mal zu testen und versuchsweise mal anzugehen.
Port 4 bleibt Gastnetz.

[..]

Der lan port 3 von der Fritz Box (bridge Modus) könnte auch über die trunk Verbindung laufen?

Was willst du mit Port 3 an der Fritzbox machen? Das einzige was man meines Wissens nach einstellen kann, ist LAN4 als Gast. Die übrigen 3 LAN-Ports bleiben ein 08/15 Switch im Hauptnetzwerk.
Natürlich kannst du trotzdem OPNsense an LAN3 anschließen und dort mit deinen Tests starten, aber das ginge genausogut an LAN1 oder LAN2, weil das fritzboxseitig keinen Unterschied macht - ebensowenig wie wenn du die OPNsense Firewall am HP1810 anschließt, der letztendlich ja nur den dann 3-Port-Switch der Fritzbox erweitert.

Am switch setze ich Port 1&2 der Fritzbox auf einen Taged Port vland ID 111 am HP switch Port 1 und 2 für Heimnetz und gebe dann entsprechend an mehreren Ports am HP switch sagen wir mal 12 ports untagged vlan 111 aus.

Ich empfehle, die VLAN-IDs so zu wählen, dass sie sich im darin laufenden Subnetz widerspiegeln bzw. umgekehrt. Zum Beispiel so:

VLAN 10 = 192.168.10.0/24
VLAN 20 = 192.168.20.0/24
VLAN 30 = 192.168.30.0/24

Diese Vorgehensweise erleichtert später den Umgang damit, weil anhand der IP-Adresse sofort ersichtlich ist um welches VLAN es sich handelt. Sonst musst du immer kurz drüber nachdenken ob zB 192.168.20.123 nu in VLAN 111 oder 333 liegt, oder war's doch 222? Klar stellt sich diese Frage nicht andauernd, aber wenn sie sich mal stellt, ist sie einfacher zu beantworten, weil offensichtlich. Und da man VLAN-IDs beliebig von 1 bis 4094 frei wählen kann, besteht also kein Grund, sich da durch eine mäßige Entscheidung einzuschränken.

Gerne darf und sollte man natürlich auch den Subnetzbereich generell überdenken. RFC1918 bietet drei Bereiche, in denen man sich in privaten Netzwerken austoben kann und tendenziell auch sollte, insbesondere, wenn VPN mit im Spiel ist. In allen Bereichen kann man obiges ID-vs-IP-Spielchen treiben.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Der EDV Raum ist mit 2x cat 7 gigabit Verkabelung angebunden so könnte ich auch vom HP switch 1810 (Fritzbox) zum HP switch 2510 (EDV) eine LAG Verbund mit 2x 1gbit Stellen.

Jein. LAG muss auf beiden Seiten eingerichtet werden. Fritzbox <> HP1810 wirst du also nicht als LAG auslegen können, egal mit wie vielen LAN-Kabeln du sie verbindest. Das ist auch gar nicht nötig, da Verbindungen in einem geswitchten Netzwerk stets den kürzesten Weg nehmen. Der 1810 wird ja effektiv die Funktion als zentraler Switch übernehmen und die Fritzbox ist dabei ein Client wie jeder andere auch. Über den Uplink zur Fritzbox wird daher ausschließlich der DHCP-, DNS- und Internetverkehr gehen, sofern du die ersten Beiden nicht ggfs auslagerst (zB pihole).

Zwei 1810er oder generell (smart) managed Switches könnte man jedoch mittels LAG verbinden, auch inkl Trunk. Das würde auch für ein drittes VLAN gelten, das beispielsweise das lokale LAN der Test-OPNsense enthält.

Somit wären es nur drei VLANs die zu managen sind über die Switche, das Management LAN der Switche würde ich vorerst über das Heimnetz mit aufbauen und kein separates LAN dafür verwenden, vorerst.

Für den Anfang ist das schon mal grundsätzlich ein guter Plan. Erweitern kann man später immer noch, zB IoT/SmartHome auslagern. Schon im Setup mit IoT @ Gastnetzwerk wird man ja mit den Steuerungsproblemen aus dem Hauptnetz heraus konfrontiert - oder eben auch nicht.

Dein Testsetup könnte in etwa so aussehen:

P01-12 @ VLAN 10 (Hauptnetzwerk) <--- Hier wird u.a. der OPNsense_WAN angeschlossen
P13-16 @ VLAN 20 (Gastnetzwerk) <--- Hier werden IoT, HomeOffice, etc untergebracht
P17-20 @ VLAN 30 (OPNsense-LAN) <--- Hier werden OPNsense_LAN sowie Testgeräte angeschlossen
P21-24 reserviert für Uplinks zu weiteren Switches, mit oder ohne LAG


Die Bezeichnungen OPNsense_WAN und _LAN sind natürlich nur beispielhaft. Der Uplink ins Hauptnetzwerk muss nicht zwingend als WAN im eigentlichen Sinne ausgelegt sein. In der Regel wird am WAN-Port nämlich geNATtet und das ist erstmal nicht notwendig - insbesondere, wenn man Erfahrung mit Routing und Firewall machen möchte. Entweder du richtest dir dann eine statische Route ins LAN der OPNsense in der Fritzbox über die "WAN-IP" der OPNsense ein oder du erstellst diese Route nur lokal an deinem Admin-PC für die Tests.

 

[Big Ed]

@Raijin kurz mal überflogen
Fritzbox hat die Option bridged mode für LAN 1-3 so kann ich eben an LAN 3 eine öffentliche IP abrufen die der wan der opnsense wird.

Melde mich später wieder und great job

 

[Raijin]

DY

Fritzbox hat die Option bridged mode für LAN 1-3 so kann ich eben an LAN 3 eine öffentliche IP abrufen die der wan der opnsense wird.

Ok, das ist mir in der Tat neu.

Ich rate jedoch davon ab. Man spielt nicht mit einem Router rum, der aus dem Internet erreichbar ist. Wenn du die Funktionalitäten ausprobieren und Erfahrung mit Routing, Firewall und ggfs auch NAT sammeln willst, tu dies bitte O F F L I N E. Sobald ein Router online geht und über eine WAN-IP verfügt, steht er unter Dauerbeschuss von Portscannern mit anschließenden Wörterbuchattacken. Man kann das schön sehen, wenn man beispielsweise ssh von außen zugreifbar macht und die (fehlerhaften) Logins protokolliert. Je nachdem ob gerade ein Portscanner in deiner IP-Range unterwegs ist, kann es nur wenige Sekunden dauern bis im Log ein geblockter Loginversuch mit admin/admin, root/root, o.ä. auftaucht.

Wenn du also Dinge ausprobieren willst, tu dies ohne dich vom Internet aus angreifbar zu machen. Ein Hirnchirurg fängt auch nicht direkt an, am lebenden Patienten rumzuoperieren. Erst gibt es Trockenübungen. Da kann man nämlich auch mal Fehler machen und daraus lernen, ohne dass gleich jemand dabei draufgeht.


Alles was du mit einer öffentlichen WAN-IP an OPNsense testen möchtest, kannst du genausogut netzwerkintern tun. Ich hab im Keller ein ganzes Netzwerklabor mit mittlerweile fast 10 Routern verschiedenster Hersteller und Betriebssysteme. Da kann ich alles testen was ich will, ohne Gefahr zu laufen, dass ich bei einer Fehlkonfiguration sofort ungebetene Gäste im Netzwerk habe. Wenn man die Konfiguration fertig hat, kann man den Router in den Produktivbetrieb übernehmen, aber nicht vorher.

 

[Big Ed]

@Raijin
ok THX für die Warnung
ich werde es beherzigen.
aktuell bin ich bei VLAN und Trunk Ports etc. und das ist auch irgendwie nervig.

 

[Big Ed]

also hier hänge ich nun:
Fritzbox Port 2-> HP 1810 Port 1
HP hat auf Port 1-12 folgende Einstellungen:
VLAN aware: enabled Ingres Filtering: Disabled Packettype: All PVID: 10
die Geräte auf dem 1810 Switch bekommen richtige IP Adressen aus dem Heimnetz.

Dann gehe ich mit einem Kabel runter zum HP Switch 2510 jewiels auf Port 23 und bekomme dort eben keine Heimnetz IP Adresse.

habe auf dem HP 2510 Switch eine Konsolen Verbindung und via CLI VLAN angelegt VLAN ID 10 und über das VLAN Menu einen Port fürs Heimnetz auf tagged gesetzt.

 

[Raijin]

Tagged muss immer (*) mit tagged verbunden werden, weil es sonst schlicht und ergreifend keine Tags gibt.

HP1810
+-- P1 (untagged 10) --- Fritzbox_LAN2
+-- P3 (untagged 10) --- Endgerät im LAN der Fritzbox
+-- P23 (tagged 10) --- (tagged 10) P23 HP2510

HP2510
+-- P1 (untagged 10) -- Endgerät im LAN der Fritzbox
+-- P23 (tagged 10) -- (tagged 10) P23 HP1810


In diesem Fall könnte man natürlich das VLAN am 2510 komplett weglassen und P2e auf untagged 10 stellen. Kommen aber weitere VLANs hinzu, müssen sie natürlich mit Tags in den Uplink aka Trunk.


(*) Stimmt nicht ganz, es gibt ja noch die PVID.

 

[Big Ed]

ja die PVID ... denke habe den fehler
PVID no das ist es jetzt habe ich mal nen Ansatz.

Also das ganze ist doch recht aufwendig!

Aktuell hänge ich an den Basis Konfigurationen der Switche.

Also am 1810 switch mit tagged ports im heimnetz und PVID 10 (Heimnetz) bekomme ich es mit Fritzbox und 1810 allein hin.

Habe die ports am 1810 entsprechend für das gästenetz auch angepasst. Es läuft.

Wenn ich über Port 23 die Verbindung zum 2510 switch aufbauen bekomme ich nichts an den Ports.

Ich konnte noch den 1810 über den 2510 erreichen, das geht nun auch nicht mehr.

Also alles Wieder redeten und von vorn.

Ich stimme Deiner @Raijin Port Konfiguration zu, meines Wissens müssen die Endgeräte auf einem untagged Port sein und die Switche untereinander eben tagged, doch da habe ich mir irgendwie den Konfiguration-Wurm eingefangen.

Sobald ich den uplink der Fritzbox auf untagged setze geht's nicht mehr auch am 1810.
Dazu wundert mich das das LLDP am 1810 nur die Fritzbox sieht und den 2510 alle anderen Geräte schlafen Netzwerk technisch oder sonstwas.

Das prüfe ich noch und melde mich wieder.

 

[Big Ed]

Hallo zusammen, hallo @Raijin
Urzustand wieder hergestellt sehe nach ob ich noch firmware updates finde und habe zwei netzwerkkable vor mir liegen.
Kabel eins Heimnetz VLAN 10 (eins geht nicht wegen der default VLAN ID, noch)
Kabel zwei gästenetz VLAN 179
Direkt aus der Fritzbox am Patchpanel.

Drittes Netz public wird noch noch geschalten, nur vorbereitet IOT, home automation...

Dann sind Stift und Papier bereit, konzeptioniere die port Verteilung auf den Switchen und lege wieder los.

 

[Big Ed]

Ein kleiner Teilerfolg ist da:
fritzbox und HP 1810 funktionieren und der uplink zum 2510 steht und das Heimnetz kommt auch durch.

Allerdings das Gast Netz will keine IP via DHCP (Fritzbox) ziehen versuche es noch mit statischer IP adress Vergabe, sollte es nicht gehen bleibt es erstmal so und es wird der Asus Router dazwischen geschalten:
Fritzbox Port 4 Gast -> Asus Router Port 1 mit WLAN Gast -> 2510 uplink Port 23

Das DEFAULT_VLAN habe ich auf den HP Switchen entsprechend mit der IP Heimnetz statisch vergeben. Und ich bekomme am abgesetzten switch auch das Heimnetz an allen konfigurierten Ports.
Allerdings habe ich beim prüfen festgestellt, dass der 2510 nicht überall 1Gbit liefert, teste es Aktuell zwei Ports sind bisher nur mit 100 MBit angebunden, vielleicht hat der nen hau und dieser ließ sich nicht via TFTP updaten, also die Firmware.

Den 1810 werde ich jetzt noch updaten. Sollte hoffe ich via webOberfläche gehen.

Fürs erste erstmal ein kleiner Meilenstein, leider ist der dritte switch nur ein HP 1400 sieht dem 1810 echt ähnlich, ist aber unmanaged.

So bleibt es bei der aktuellen Situation morgen oder heute Nacht noch wird es aufgebaut und endverkabelt, dass sollte dann so mal eine Weile laufen.

Warum das gästenetz auf dem 2510 nicht durchdringt an den Ports bleibt mir ein Rätsel, werde nochmals einen Beispiel port konfigurieren mit den verschiedenen Optionen, tagged untagged no forbidden Usw. Im uplink zu 2510 wird das gästenetz als VLAN mit transportiert.

Mal sehen


Ride On

 

[Raijin]

Inklusive Gastnetzwerk sollte es in etwa so aussehen:

HP1810
+-- P1 (untagged 10) --- Fritzbox_LAN2
+-- P2 (untagged 10) --- Endgerät im LAN der Fritzbox
+-- P13 (untagged 179) --- Fritzbox_LAN4
+-- P14 (untagged 179) --- Endgerät im Gastnetzwerk der Fritzbox
+-- P23 (tagged 10+179) --- (tagged 10+179) P23 HP2510

HP2510
+-- P1 (untagged 10) --- Endgerät im LAN der Fritzbox
+-- P13 (untagged 179) --- Endgerät im Gastnetzwerk der Fritzbox
+-- P23 (tagged 10+179) -- (tagged 10+179) P23 HP1810


Da ich noch nie einen Switch von HP in der Hand hatte, kann ich leider auch keine Hilfestellung bei der Umsetzung leisten. Ich kann daher nur das grundsätzliche Konstrukt darstellen. Wenn das nicht klappt, musst du entweder einen Blick ins Handbuch werfen oder den Support von HP bemühen. Eventuell gibt es aber auch andere Quellen, zB youtube Videos, in denen die VLAN-Konfiguration bei HP-Switches gezeigt wird. Mit Glück liest hier auch jemand mit, der Erfahrung mit diesen Geräten hat.

Allerdings das Gast Netz will keine IP via DHCP (Fritzbox) ziehen versuche es noch mit statischer IP adress Vergabe, sollte es nicht gehen bleibt es erstmal so und es wird der Asus Router dazwischen geschalten:

Das funktioniert vielleicht, aber selbst wenn du am 2510 den DHCP-Server in der Fritzbox nicht zu erreichen scheinst, ist er da. Hängst du nun einen weiteren Router mit aktivem DHCP-Server in dieses Netzwerk, konkurrieren zwei DHCP-Server miteinander. Wenn beide nicht penibel aufeinander abgestimmt sind, hagelt es IP-Konflikte. Soweit ich weiß gibt es in der Fritzbox aber keine Einstellungen für den Gast-DHCP oder irre ich mich da?

So oder so ist ein derartiger Workaround auch der Inbegriff einer Frickelei. DHCP basiert u.a. auf Broadcasts und wenn diese irgendwo auf dem Weg durch die Switches verloren gehen, gibt es ein grundsätzliches Problem mit der Konfiguration. Symptombekämpfung ist da nicht hilfreich und es gilt, den ursächlichen Fehler zu finden. Wie? Naja, so wie man Fehler im Netzwerk nun mal sucht, mit Tools wie WireShark, tcpdump, o.ä., also Analyse der Datenpakete an ddn relevanten Stellen, um ihren Weg zu verfolgen und die Ursache der Blockade zu finden.

 

[Big Ed]

OK die HP 1800/2510/1400 sind jetzt nicht mehr ein Teil meines Vorhabens.

Aktuell löse ich die port Problematik wie davor ein 5-port to link switch an der Fritzbox erweitert eben um 4 ports das Heimnetz wird mit einem Kabel zum EDV Raum geführt und dort über den gleichen tp link 5 Port switch lanseitig erweitert.
Das gästenetz wird via Port 4 Fritzbox gastLAN eben nach unten geführt und endet im Asus Router so habe ich Gästeports und WLAN.

Ich schaue mich mal um was so 3-6 APs kosten inkl. Managed POE Switch usw. Und auch wieviele ich benötige.

Pläne werden erstellt und dann sieht man weiter.

Das gefrickel lasse ich ab sofort mit der vorhandenen HP Hardware ist quasi eine Zeitverschiebungsmaschine... 😂

Aktuell kann ich es nicht abschätzen wann der finale Umbau kommt, halte Euch auf dem laufenden.

Ride On

 

[Raijin]

Ich denke jetzt ist klargeworden was ich damit meinte, als ich die Komplexität eines Netzwerks mit vielen VLANs angesprochen habe. Bisher scheiterst du gewissermaßen bereits bei Schritt 2, während Schritt 1 lediglich das Anklemmen der LAN-Kabel war. Das heißt nicht, dass du nicht trotzdem zum Ziel kommen kannst, aber es zeigt eben auch, dass der Weg lang und steinig sein kann und sein wird

 

[Bob.Dig]

Zumal solche alten Switche vermutlich auch massig Strom ziehen? Dazu sind sie wenig verständlich. Bin froh, dass ich mir VLANs mit einem Consumer-Switch "beigebracht" habe.