Switch oder Web Smart Switch bzw. Kombination beider?

[Tanzmusikus]

Hallo liebe Computerbase'ler*innen,

ich überlege, wie ich unser Heimnetzwerk (1 Gb/s) umbauen könnte.
Demnächst werde ich die Verbindung von FB2 zur FB1 mittels Switch 5 (Sw 5) verkabeln.

Ersetzt werden sollen die 4 bereits vorhandenen billigen TP-Link LS1000 LiteWave Switche durch andere.
Der Switch 5 soll noch angeschafft werden. Da finde ich diesen Smart Switch Zyxel GS1200-5v3 sehr interessant.
Er bietet u.a. QoS, VLAN, IGMP Snooping & Link Aggregation. Ggf. käme ein 2.er Zyxel für Server in Frage (für z.B. VLAN).

1. Frage:
Wäre es möglich mit o.g. Zyxel Smart Switch, einige VLANs für Server zu erstellen & diese über das Gast-LAN ins Netz zu bringen?
Oder funktioniert das mit FritzBoxen (beides FB 7590) nicht?

Nutzung ist z.B.:

• ein Video-Stream wird von 2 PCs empfangen,
• gleichzeitige unterschiedliche Video-Konferenzen

2. Frage
Welche Layer 2 Switche kämen dazu passend in Frage?
Oder einfach 5x den Zyxel kaufen?


FB 1 ist Master & FB 2 soll als WLAN-Mesh-Repeater eingesetzt werden.
Das DSL ist momentan mit "TAE 1" verbunden. "TAE 2" ist nicht belegt.
Zukünftig könnte die "TAE 2" (statt TAE 1) für DSL genutzt werden. Das würde Kabel, Platz & ggf. Switch 1 einsparen.
Einen genauen Platz für die Server (z.B. Nextcloud, NAS, Docker/Podman) habe ich noch nicht.
Allerdings wäre ein Platz nahe der "TAE 2" bzw. FB 2 von Vorteil.

Was denkt ihr?
Bin offen für Tipps und Ideen.


P.S.
Diese Netgear-Switche sollen EoS sein, also keine Updates mehr erhalten.

 

[Jawohl]

Die FRITZ!Boxen können/nutzen keine VLANs. Das Gastnetz ist anders realisiert, wenn es z.B. zu Accesspoints durchgereicht werden soll, wird eine VPN Verbindung aufgebaut, denn sollten Switche, die keine VLANs unterstützen dazwischen sitzen, gingen die Pakete verloren.

 

[Tanzmusikus]

Die FRITZ!Boxen können/nutzen keine VLANs.

Das ist mir grundsätzlich klar.
Wie der Übergang von einem VLAN (Switch) über das Gast-LAN in das Internet ist, aber nicht.

VLAN wäre mir nur dann wichtig, wenn die Server aus Sicherheitsgründen vom Rest getrennt werden müssen.

denn sollten Switche, die keine VLANs unterstützen dazwischen sitzen, gingen die Pakete verloren.

Das ist mir klar. In dem Falle würde ich den DSL-Anschluss zur TAE 2 wechseln.
Dann wären die Server gleich in der Nähe des Hauptrouters.

Access-Points würde ich durch die Fritzboxen realisieren (auf jeder Etage eine).

 

[norKoeri]

Kannst Du mir (und vielleicht uns Allen) einen Gefallen tun und das ganze eine Stufe abstrakter erklären, also ohne das Stichwort VLAN? VLAN ist erstmal nur ein Werkzeug, um ein Konzept umzusetzen. Oder anders gefragt: Wer soll mit wem (nicht) sprechen können? Dauerhaft oder fallweise wann?

Gast-LAN

FRITZ!OS bietet als zweites Netzsegment den LAN-Gastzugang. Den kannst Du über Dein Netz verteilen, indem der erste Switch hinter der FRITZ!Box konfigurierbar ist, also LAN4 z.B. auf VLAN4 umlenkt. Vor dem Server hättest Du dann wieder einen konfigurierbaren Switch, der VLAN4 z.B. den LAN-Port mit dem Server umlenkt. So wäre der Server im Gast-Netz. Die Switche dazwischen müssen nix können.

Nachteil: FRITZ!OS erlaubt keine Port-Freigaben im Gast-Netz, folglich wäre das dann kein öffentlich erreichbarer Server mehr, sondern nur (alle) Gäste könnten den Server erreichen. Daher stehe ich gerade irgendwie auf dem Schlauch, was Du überhaupt vor hast.

Diese Netgear-Switche sollen EoS sein, also keine Updates mehr erhalten.

Beim GS105Ev2 irgendwie merkwürdig, denn der wird noch beworben und verkauft. Auch steht das „Last Sale Date“ auf dem 1/1/1970. Dürfte irgendein Fehler seitens Netgears sein.

 

[Tanzmusikus]

Oder anders gefragt: Wer soll mit wem (nicht) sprechen können? Dauerhaft oder fallweise wann?

Zuerst geht's mir um's Eruieren, wie wir unser Heimnetzwerk mit (momentan) DSL 75/15 effizient nutzen können. Mein PC im 1.OG (mit FB 2) soll per Verlegekabel mit dem 2.OG verbunden werden.

Dieses Kabel (Cat 7/6a Buchse) kommt an ein Switch, um gleichzeitig die 2 PCs im 2.OG (inkl. Drucker) zu verbinden. Eine weitere Idee ist, das DSL-Anschlusskabel auf die TAE 2 (statt TAE 1) zu wechseln.

Erst dann macht es Sinn für mich, Server, die ich teste (z.B. Debian, Rocky Linux, Docker/Podman) und ggf. auch mit der Familie nutze (z.B. NextCloud) mit einem VLAN o.a. Methoden vom Heimnetz isoliere*.

*Ob das überhaupt mit einer FritzBox geht, k.A. - vermutlich nur sehr eingeschränkt oder mit einem anderen bzw. weiteren(?) Router (was natürlich mit zusätzlichen Kosten verbunden ist). Dies ist kein "muss" - oder doch?

Mir ist das schon ein bisschen klar, bin aber noch IT-Anfänger im Server-Bereich.
Viel mehr habe ich im Moment noch nicht geplant bzw. bedacht. Ich möchte lieber vorher fragen. 😁👍

Den Zyxel finde ich vom Papier her klasse. In einem YT-Video kam er gut an.
Bei den Netgear ist der Preis höher, weniger Umfang & diese EoS-Warnung wurde auf mehreren Webseiten gezeigt. Es hätten wohl einige Besitzer keine Rückgabe (Garantie) wegen Defekt machen können mit dem Hinweis seitens Netgear -> EoS.

Ist das verständlicher?

 

[norKoeri]

Um ehrlich zu sein, nicht wirklich:

Server, die ich teste (z.B. Debian, Rocky Linux, Docker/Podman) und ggf. auch mit der Familie nutze (z.B. NextCloud) mit einem VLAN o.a. Methoden vom Heimnetz isoliere

Was bzw. warum willst Du isolieren, als von wem? Machen wir es anders herum: Welche Gefahren bzw. Ängste siehst Du? Ein Heim-Server ist erstmal was, worauf alle zugreifen können sollten. Ein Internet-Server braucht Port-Freigaben. Hast Du irgendwie Angst durch diesen Test-Server was daheim kaputt zu machen und willst den deswegen nicht auf den Rest daheim zugreifen lassen?

Den Zyxel finde ich vom Papier her klasse. In einem YT-Video kam er gut an.

Vermutlich dieses … das war Version 1 bzw. 2, keine Ahnung ob Version 3 gleich ist. Ist aber auch egal, günstig und gut sind Teile auf jeden Fall. Ob man einen konfigurierbaren Switch braucht, hatten wir hier …

 

[RedPanda05]

Erst dann macht es Sinn für mich, Server, die ich teste (z.B. Debian, Rocky Linux, Docker/Podman) und ggf. auch mit der Familie nutze (z.B. NextCloud) mit einem VLAN o.a. Methoden vom Heimnetz isoliere*.

Ich vermute mal, dass es dir darum geht, dass man auf den Server auch von Unterwegs zugreifen können soll und aus dem Prinzip der Netzsegmentierung du ihn deswegen von deinen restlichen Geräten abkapseln willst? Liege ich damit richtig?

Falls ja, würde ich eher davon abraten Ports zu öffnen und stattdessen einen VPN oder sogar noch besser eine Lösung wie Tailscale oder Netbird verwenden.

 

[chrigu]

Mit einer fritz kannst du nur mittels Gast lan/wan (mit diversen Einschränkungen) vom restnetzwerk trennen. Punkt. Auch wenn du vlan fähige superswitch einbindest, spätestens bei der fritzbox wird alles wieder alles zusammengeführt (ausser Gast lan/wlan.
Willst du vlan vom Server bis ins Internet musst du ein Router kaufen der vlan kann und die fritzbox als Switch oder ap nutzen.

 

[Tanzmusikus]

Ein Heim-Server ist erstmal was, worauf alle zugreifen können sollten. Ein Internet-Server braucht Port-Freigaben.

... und ein IP-"Management" (z.B.: fest, dynamisch, MyFRITZ!). Das ist mir beides klar.

Hast Du irgendwie Angst durch diesen Test-Server was daheim kaputt zu machen und willst den deswegen nicht auf den Rest daheim zugreifen lassen?

Nein - das nicht. Eher umgekehrt, dass bei (m)einem Fehler in der Sicherheit eines Servers das Heimnetzwerk befallen werden kann. Bei der NextCloud & einem NAS ist beides möglich. Mir reicht da das LAN, denke ich.

Bei diversen Server-Tests mit z.B. Debian/Ubuntu (Docker) und AlmaLinux/RockyLinux (Podman) wäre es wohl gut für den Lerneffekt einen Zugriff von außen möglich zu machen.

Vermutlich dieses … das war Version 1 bzw. 2, keine Ahnung ob Version 3 gleich ist. Ist aber auch egal, günstig und gut sind Teile auf jeden Fall.

Ja genau. Das YT-Video und weitere Threads hatte ich mir zuvor angeschaut.
Danke!

Auf dem Markt geistern einige un-managed Switches umher, die doch Layer-2+Switche sind, aber denen keine Web-Oberfläche zur Konfiguration spendiert worden ist. Solche Switche machen dann LLDP und/oder IGMPv3-Snooping und/oder blockieren STP. Kurz sie sind falsch konfiguriert, machen die falsche Protokoll-Unterversion oder bieten Dienste, von denen man gar nichts weiß.

Wäre der Zyxel dann ein brauchbarer Layer2+ bzw. Layer3Lite Switch für meine (bescheidenen) Zwecke?
Es besitzt ja eine WebOberfläche & eine Menge an Extra-Funktionen (z.B. Link-Aggrgation).

Bis jetzt hatte ich billige TP-Link Switche genutzt, die noch nichtmal IGMP-Snooping usw. beherrschen.
Da gibt's doch bisher 'ne Menge unnötigen Kreuzverkehrs.

Ich vermute mal, dass es dir darum geht, dass man auf den Server auch von Unterwegs zugreifen können soll und aus dem Prinzip der Netzsegmentierung du ihn deswegen von deinen restlichen Geräten abkapseln willst? Liege ich damit richtig?

Ja, das wäre auch eine gute Testmöglichkeit.
Geht mir grundsätzlich erstmal um's Testen von Servern & verschiedenen Szenarien. Lokal natürlich für den Anfang. 😉

Falls ja, würde ich eher davon abraten Ports zu öffnen und stattdessen einen VPN oder sogar noch besser eine Lösung wie Tailscale oder Netbird verwenden.

Schaue ich mir bei Gelegenheit mal an ...
Danke!

 

[norKoeri]

Ich denke, @RedPanda05 Einwurf ist das Sinnvollste, also dass Du auf den Server per VPN zugreifst. Oder der Server in das Gast-Netz geschoben wird und selbst ein VPN zu einem öffentlichen Knoten aufmacht.

Da gibt's doch bisher 'ne Menge unnötigen Kreuzverkehrs.

Generell? Nein. IGMPv3-Snooping wäre nur für spezielle Anwendungen, die Multicast nutzen.

Wäre der Zyxel dann ein brauchbarer […] Switch für meine (bescheidenen) Zwecke?

Wenn Du den Server mit dem LAN-Gastzugang verbinden kannst, also direkt (oder über einen eigenen Switch), dann brauchst Du nicht einmal einen konfigurierbaren Switch.

 

[Tanzmusikus]

Auch wenn du vlan fähige superswitch einbindest, spätestens bei der fritzbox wird alles wieder alles zusammengeführt (ausser Gast lan/wlan.

"Super-Switch" muss nicht. Erscheint mir aber besser als ungeregelte L2-Switche ... oder gibt's da was?

Willst du vlan vom Server bis ins Internet musst du ein Router kaufen der vlan kann und die fritzbox als Switch oder ap nutzen.

Ja, das wäre in semi-ferner Zukunft eine trifftige Möglichkeit. Danke!

Ergänzung (Samstag um 19:16)

IGMPv3-Snooping wäre nur für spezielle Anwendungen, die Multicast nutzen.

Mehrmals die Woche läuft ein bestimmtes Streaming-Angebot zur selben Zeit am TV-PC im 2.OG ... und bei mir im 1.OG. Das wäre doch so ein Fall ... oder gibt es da bestimmte Umstände (wenn ja, welche)?

Wenn Du den Server mit dem LAN-Gastzugang verbinden kannst, also direkt (oder über einen eigenen Switch), dann brauchst Du nicht einmal einen konfigurierbaren Switch.

Stimmt !! 🤩👍

Da würde/könnte/sollte/müsste theoretisch ein guter L2-Switch ausreichen.
Wäre da der Zyxel bereits zu overkill (also zu langsam wie bei einem L3-Switch)?

Oder vereint dieser L2-Switch mit Routing/VLAN usw. - ggf. sogar abschaltbar & damit "Downgrade" to L2-Switch?

Gibt's andere gute / schnelle / preiswerte L2-Switches mit IGMP-Snooping & ggf. QoS?

 

[norKoeri]

Mehrmals die Woche läuft ein bestimmtes Streaming-Angebot zur selben Zeit am TV-PC im 2.OG ... und bei mir im 1.OG. Das wäre doch so ein Fall ... oder gibt es da bestimmte Umstände (wenn ja, welche)?

Nur wenn der Streaming-Dienst auch Multicast nutzen würde. Was in Deutschland keiner mehr macht, wüsste jedenfalls keinen Internet-Anbieter mehr. Die Telekom Deutschland hat das bei ihren Receivern früher gemacht, bei den heutigen auch nicht mehr.

das wäre in semi-ferner Zukunft eine trifftige Möglichkeit.

Kostet nicht die Welt, gebraucht mit vielen Jahren Security-Updates für rund ~70 €. Hast Du noch DSL, dann brauchst Du noch ein Modem, kostet gebraucht nur den Versand. Hast Du einen Server, kannst Du dem eine zweite Ethernet-Schnittstelle verpassen und dann direkt als Router verwenden, also mit Open-Source Software wie OpenWrt oder OPNsense.

Wäre da der Zyxel bereits zu overkill (also zu langsam wie bei einem L3-Switch)?

Du wirst so einen Switch nie so konfiguriert bekommen, dass Du Schwächen im Durchsatz sehen wirst. Daher kannst Du irgendeinen Switch nehmen, konfigurierbar oder nicht, bei Dir völlig egal.

vereint dieser L2-Switch

Steht alles in dem verlinkten Post … Du kannst den ganz stupide nutzen, solltest dann nur die Energiespar-Optionen überprüfen bzw. einschalten.