Switch Auswahl

[Floriaugs]

Hallo zusammen,

Ich möchte meinen vorhandenen Grandstream Acces Point (7440) an einen 8 Port POE Switch hängen der auch VLAN kann und die anderen Geräte über VLAN separieren kann. Dabei möchte ich auf ein vernünftiges Produkt setzen. Da es sein kann dass ich in den nächsten 2 Jahren von Vodafone Kabel weggehe, sollte der Switch die wichtigsten Funktionen für TV zb Magenta oder M-net TV bereitstellen.

Welcher Switch Managed L2 Switch mit POE wäre denn Eure Empfehlung ? Mikrotik kommt für mich nicht in Frage, ich suche was Pflegeleichteres ;-)

angesehen habe ich mir

Aruba 1830 mit POE
Zyxel GS1900-8HP mit POE



Geräte die über LAN versorgt werden sollen sind TV, Festplatten Recorder, Xbox, Mac, Nas Server, Drucker. Via WLAN alles was WiFi kann (ca 8 bis 10 Geräte).

 

[Fujiyama]

Vlt solltest du auch das vernünftige Budget nennen. Da gibt es günstigeres, aber auch sehr teures.

 

[conf_t]

VLAN

Wie willst du das mit VLAN Implementieren? Was willst du erreichen?Für das genannte Szenario gewinnst du damit nichts außer Arbeit. Im Heimumfeld gibt es kaum Szenarien für eine sinnvolle Netztrennung. Und spätestens mit dem 2. oder 3. VLAN hat man alles abgedeckt. Damit VLAN eine echte Separierung ermöglicht und nicht nur die Broadcastdomäne verkleinert brauchst sowas wie z.B. eine Firewall zwischen den VLANs.
So wie du das bisher beschreibst habe ich den Eindurck, dass du "mal was davon gehört" gehört hast, aber nicht weißt, sonst kämst du von selbst auf die Idee, dass es mit einem VLAN-fähigen Switch alleine nicht getan ist. VLAN ist nur ein Teil der Netztrennung und alleine taugt es nicht viel.

Magenta oder M-net TV bereitstellen.

IGMPv3 ist was du suchst.

 

[Floriaugs]

Also bis zu ca 200 Euro plus minus kann ich schon ausgeben.

Vlan soll WLAN (u.a auch Gastnetz) vom Lan Netzwerk trennen . Mit vlan habe ich noch keine Erfahrung. Würde evtl auch PC / Nas von den Multimedia Geräten trennen. (Um auch Mal erfahren zu sammeln)

Die als Router ist eine Fritz Box vorhanden. Ich weiß die hat keinen Firewall ..
Ich habe einen Raspberry rumliegen, könnte man damit eine Firewalls aufbauen?

 

[Fujiyama]

Zumindest durch deine FritzBox hast du ja schon eine Ausplittung des Netztes, du kannst einen LAN Anschluss + WLAN als Gästentez betreiben und alles andere wie sonst auch.

 

[F31v3l]

Vlan soll WLAN (u.a auch Gastnetz) vom Lan Netzwerk trennen . Mit vlan habe ich noch keine Erfahrung. Würde evtl auch PC / Nas von den Multimedia Geräten trennen. (Um auch Mal erfahren zu sammeln)

Dann brauchst du eine Firewall/Router, die das trennen kann. Ein FritzBox kann Netze trennen, aber maximal zwei Netze (Haupt und Gast) und auch nicht zwischen diesen routen.
Das LAN- und WLAN-Hauptnetz der Fritzbox sind das gleiche Netz. Nur die Verteilung ist eine andere. Es macht erstmal auch keinen Sinn, wenn deine privaten Geräte (PC, Notebook, Handy, NAS) in anderen Netzen hängen nur weil die über ein anderes Medium kommunizieren.
Anders sieht es aus, wenn du Gäste mit ihren Handys hast oder mit deinem Firmen-Notebook im Home Office bist.

Die als Router ist eine Fritz Box vorhanden. Ich weiß die hat keinen Firewall .

Eine Fritzbox hat eine Firewall. Allerdings kannst du da (fast) nichts einstellen.

 

[axi]

Also von den beiden genannten würde ich immer zum Zyxel greifen, hab bisher keine guten Erfahrungen mit Aruba...

Aber fürs Heim und die Anzahl der Klienten würde ich eher die Fritzbox rausschmeißen und einen Router auf OpenWRT basis + 2 non managed switches dahinter einsetzen, da hast du VLan config und Firewall verfügbar und kannst einiges mehr konfigurieren.

Das Argument von @conf_t bleibt valide am ende eine menge mehr Aufwand für fragwürdigem Nutzen.

 

[Raijin]

Das was @conf_t sagt!

VLANs muss man sich so vorstellen:


Man nehme einen 24-Port-Switch (lässt sich besser erklären) und definiere darauf 3 VLANs. Port 1-8, Port 9-16 und Port 17-24 bilden jeweils ein VLAN. Nun hat man den 24-Port-Switch effektiv in 3 separate 8-Port-Switches aufgeteilt. Das heißt man hat exakt dieselbe Situation wie wenn man tatsächlich 3 physische 8er-Switches vor sich liegen hat, man hat den 24er Switch also in 3 Teile zersägt. Daraus werden aber noch lange keine 3 separaten Netzwerke. Die kommen erst dadurch zustande, dass man einen Router hat, der in jedem dieser Teil-Switches ein Bein hat, zB jeweils an Port 1, 9, 17.

Vlan soll WLAN (u.a auch Gastnetz) vom Lan Netzwerk trennen . Mit vlan habe ich noch keine Erfahrung. Würde evtl auch PC / Nas von den Multimedia Geräten trennen. (Um auch Mal erfahren zu sammeln)

Die als Router ist eine Fritz Box vorhanden.

Das einzige VLAN-Setup mit einer Fritzbox sieht zB so aus:

Switch Port 1 (zB VLAN 10 untagged) ------- (LAN1 als Haupt) Fritzbox
Switch Port 2 (zB VLAN 20 untagged) ------- (LAN4 als Gast) Fritzbox
Switch Port 3-7 (VLAN 10 oder 20 untagged) ---- Geräte in Haupt- bzw. Gastnetz
Switch Ports 8 (VLAN 10 und 20 tagged) ---- (VLAN 10 und 20 tagged) Grandstream 7440 mit 2 SSIDs

Wenn du ein drittes Netzwerk haben möchtest, geht das nicht mit der Fritzbox allein, sondern erfordert einen anderen oder zusätzlichen Router. Allerdings möchte ich davor warnen, zu viele VLANs anlegen zu wollen. Keep It Simple, Stupid, das KISS-Prinzip. Je mehr Netze du anlegst, umso komplexer wird das Regelwerk für den gegenseitigen Zugriff - weil "allow all" sinnlos ist und wenn schon mehrere VLANs, dann muss der Zugriff entsprechend reglementiert werden. Ansonsten hat man keinerlei Sicherheitsgewinn und "zum Sortieren" von Geräten sind VLANs das falsche Werkzeug.

 

[Floriaugs]

Erst Mal vielen Dank für Eure Inputs 😁.

Aber fürs Heim und die Anzahl der Klienten würde ich eher die Fritzbox rausschmeißen und einen Router auf OpenWRT basis + 2 non managed switches dahinter einsetzen, da hast du VLan config und Firewall verfügbar und kannst einiges mehr konfigurieren.

Interessehalber - welchen Open wrt Router würdest du hier empfehlen?

Ich wurde mit das mit dem Switch dann überlegen. Die Fritzbox ist an M-net 100 Mbit abgeschlossen (Glasfaser im Keller - bis zur Wohnung mit bisherigen Kupfer Leitungen.). Meine Wissen gibt es kein Modem + Router zusammen mit Open wrt.

 

[Floriaugs]

Ich habe eben Mal gegoogelt und gelesen dass man auf einen Zyxel GS1900-8HPv2 Open wrt installieren könnte. Wäre es für mich eine Lösung ? Switch + Open wrt ?

 

[axi]

Schau dir mal die 3 im Video vorgestellten an. Open Wrt direkt auf dem Switch kann auch ok sein, da kenne ich die Hardware aber zu schlecht, würde spontan sagen, dass das nicht performant ist.

Ich habe einen Futuro S920 als Router im Einsatz.

 

[Floriaugs]

Ich bin nochmals in mich gegangen. Wenn ich im Grandstream Access Point ein normales und ein Gast Netz einrichte und beide über vlan separiere, dann löse ich das über eine Firewall und nicht über einen Managed Switch? Daher reicht hier ein unmanaged Poe Switch der die Grandstream mit Strom versorgt?

 

[Raijin]

Wenn ich im Grandstream Access Point ein normales und ein Gast Netz einrichte und beide über vlan separiere, dann löse ich das über eine Firewall und nicht über einen Managed Switch? Daher reicht hier ein unmanaged Poe Switch der die Grandstream mit Strom versorgt?

Das sind zwei Paar Schuhe. Eine Firewall sitzt zwischen Netzwerken und reglementiert lediglich den gegenseitigen Zugriff.

Ein Switch wiederum ist für die Verteilung des Netzwerks bzw. der Netzwerke zuständig. Unmanaged Switches verteilen ein einzelnes Netzwerk, managed bzw. VLAN-fähige Switches können mehrere Netzwerke parallel verteilen. Wenn man nun einen Access Point mit mehreren Netzwerke füttern möchte, muss man ihn auch mit jedem dieser Netzwerke versorgen. Das passiert üblicherweise über einen sogenannten "Trunk", ein spezieller Port, der mit verschiedenen VLANs konfiguriert wird. Siehe dazu Beitrag #8 und dort speziell den Switchport 8, der im Beispiel VLAN 10 und VLAN 20 als tagged VLAN enthält, was einem Trunk mit 2 VLANs entspricht.
Der AP wird an diesen Port angeschlossen und bekommt seinerseits eine dazu passende Konfiguration, zB VLAN 10 aka Hauptnetzwerk der Fritzbox ---> SSID=MAIN und VLAN 20 aka Gastnetzwerk der Fritzbox ---> SSID=GAST.

Lange Rede, kurzer Sinn: Wenn eine Fritzbox als Router bleibt, braucht man zwingend einen VLAN-Switch, um am AP zwei SSIDs für Haupt- und Gastnetzwerk zu erstellen. Fortgeschrittene Router können je nach Ausstattung gegebenenfalls direkt einen Port als Trunk anbieten, wenn sie genug Schnittstellen haben. Ein separater VLAN-Switch wäre dann optional.