V-Lan einrichten (Netgear Switch / Hyper V)

[Nightfly09]

Hallo zusammen,

aktuell habe ich ein Problem mit einem neuen Netzwerk, welches ich am einrichten bin. Ich hoffe bei der Lösung schon auf der Zielgeraden zu sein, bekomme es aber einfach nicht so zum laufen, wie ich es mir vorstelle.

Das Internet wird bereitgestellt durch eine Fritz-Box 7530 und als Switch kommt ein Netgear GS724T zum Einsatz. Da einige Geräte im Netzwerk aus dem Internet nicht erreichbar sein sollen und vorzugsweise einige Geräte auch untereinander nicht komunizieren sollen, würde ich mir gerne das ein oder andere V-Lan einrichten. Leider habe ich von sowas kaum eine Ahnung und bin mit meinem vorhandenen Wissen kläglich gescheitert.

• Die Fritz-Box hängt aktuell an Port 24 vom Switch.
• An Port 20-23 sind diverse Geräte angeschlossen, welche keinen Internet-Zugang haben sollen. (An Port 22 ist noch ein weiterer nicht V-Lan fähiger 4-Port Switch.) Die Geräte sollen von meinem PC aus erreichbar sein und untereinander kommunizieren können.
• Port 6-19 sind vorgesehen für Geräte, welche Internet benötigen, jedoch weder Port 1-5, noch 20-23 erreichen sollen.
• An Port 1-5 ist mein PC, ein W-Lan Repeater und ggf. zeitweise mal ein Laptop angeschlossen.

Meine Idee:
V-Lan 1:
Port 1 (mein PC / Win10) tagged
Port 2-5 (Laptop Mint / Repeater) untagged
Port 24 (Fritz-Box) untagged

V-Lan 10:
Port 6-19 (TV, Konsolen, AV-Receiver) untagged
Port 24 (Fritz-Box) untagged

V-Lan 20:
Port 1 (mein PC) tagged
Port 20-23 (Smarthome) untagged

In V-Lan 1 und V-Lan 10 habe ich alle Geräte so eingestellt, das sie ihre IP automatisch beziehen und die Fritz-Box als DHCP-Server. In V-Lan 20 ist die Fritz-Box ja nicht erreichbar und zudem sind einige Geräte angeschlossen, die nur mit fester IP funktionieren.

Aktuell habe ich erst mal versucht V-Lan 1 und V-Lan 20 zum laufen zu bekommen und V-Lan 10 mal außen vor gelassen. Hier ist bereits das Problem, das mein PC anscheinend nur V-Lan 1 erreichen kann. Mein Netzwerkadapter ist ein Intel I211, welcher mit 0 8 15 Treiber keine Optionen für V-Lan anbietet. Auf diversen Seiten habe ich gelesen, das es einen Intel Treiber gibt der das kann, allerdings in Kombination mit irgend einem Microsoft Treiber bei Windows 10 nicht funktioniert. Nach weiterer Suche bin ich dann bei Hyper-V gelandet, welches ich erfolgreich installiert habe und das anscheinend auch genau das kann, was ich brauche. Ich scheitere nur leider bei Hyper-V daran mir zwei Netzwerkadapter einzurichten, von denen dann einer in V-Lan 1 und einer in V-Lan 20 ist.
Kann mir hier eventuell jemand sagen, wie ich die Adapter richtig konfigurieren muss?

Weis jemand ob das mit der Fritz-Box untagged in V-Lan 1 und V-Lan 10 funktioniert?

Kann/muss ich am Switch noch weitere Einstellungen vornehmen um die Netze möglichst sicher voneinander zu trennen?


Ich hoffe es ist alles einigermaßen verständlich erklärt, wusste aber auch nicht, wie ich das recht komplexe Thema besser rüberbringen sollte. Bei Unklarheiten einfach nachfragen

 

[Raijin]

So wie du dir das vorstellst, klappt das nicht, weil eine Fritzbox maximal 2 Netzwerke bedienen kann, das Hauptnetzwerk und das Gastnetzwerk, welches sich via LAN4 ausgeben lässt. Du kannst den Switch daher maximal in 2 VLANs teilen und eines davon via LAN1-3 mit dem Hauptnetzwerk der Fritzbox verbinden und das zweite mit LAN4.

• Die Fritz-Box hängt aktuell an Port 24 vom Switch.
• An Port 20-23 sind diverse Geräte angeschlossen, welche keinen Internet-Zugang haben sollen. (An Port 22 ist noch ein weiterer nicht V-Lan fähiger 4-Port Switch.) Die Geräte sollen von meinem PC aus erreichbar sein und untereinander kommunizieren können.
• Port 6-19 sind vorgesehen für Geräte, welche Internet benötigen, jedoch weder Port 1-5, noch 20-23 erreichen sollen.
• An Port 1-5 ist mein PC, ein W-Lan Repeater und ggf. zeitweise mal ein Laptop angeschlossen.

Portkonfiguration:
24 (VLAN 10 untagged) - Fritz-LAN1 (Haupt)
20-23 (VLAN 10 untagged) - Geräte
Internet für Geräte blockiert in Fritzbox oder einfach am Gerät das Gateway leer lassen.

19 (VLAN 20 untagged) - Fritz-LAN4 (Gast)
6-18 (VLAN 20 untagged) - Geräte
Geräte mit Internet via Gastnetzwerk und damit auch Isolierung vom Haupnetz.

1-5 (VLAN 10 untagged) - PC und Co im Haupnetz


Eine andere Möglichkeit hast du mit einer Fritzbox nicht. Für ein komplexeres Setup benötigst du entweder eine Routerkaskade, die ein weiteres Netzwerk (mit Gastfunktion ggfs zwei) hinter dem kaskadierten Router hinzugefügt, oder einen fortgeschrittenen Router, der ausreichend Schnittstellen zur Verfügung stellt, seien sie physisch oder mittels VLANs. Das könnte zB ein Router mit OpenWRT sein, ein EdgeRouter von Ubiquiti, ein MikroTik oder auch eine pfSense/OPNsense o.ä.

 

[0-8-15 User]

• Die Fritz-Box hängt aktuell an Port 24 vom Switch.
• An Port 20-23 sind diverse Geräte angeschlossen, welche keinen Internet-Zugang haben sollen. (An Port 22 ist noch ein weiterer nicht V-Lan fähiger 4-Port Switch.) Die Geräte sollen von meinem PC aus erreichbar sein und untereinander kommunizieren können.
• Port 6-19 sind vorgesehen für Geräte, welche Internet benötigen, jedoch weder Port 1-5, noch 20-23 erreichen sollen.
• An Port 1-5 ist mein PC, ein W-Lan Repeater und ggf. zeitweise mal ein Laptop angeschlossen

Nicht optimal, aber vielleicht trotzdem gut genug, könnte folgender Ansatz sein:

• Port 1-5 ins Hauptnetz der FRITZ!Box hängen (VLAN 1)
• Port 6-19 ins Gastnetz der FRITZ!Box hängen (VLAN 10)
• Port 20-23 komplett von der FRITZ!Box isolieren (VLAN 20)
• Deinen PC via zweiter Netzwerkschnittstelle (wahlweise physisch oder virtuell) mit VLAN 20 verbinden

 

[Raijin]

• Port 20-23 komplett von der FRITZ!Box isolieren (VLAN 20)
• Deinen PC via zweiter Netzwerkschnittstelle (wahlweise physisch oder virtuell) mit VLAN 20 verbinden

In der Tat, das wäre eine Variante.

 

[Nightfly09]

Die Idee mit dem Gastzugang der Fritzbox hatte ich auch schon und zwei Netzwerke an der Box würden ja auch reichen, da das dritte V-Lan ja gar keinen Internetzugang und folglich auch keine Verbindung zur Fritz-Box braucht.
Die Konfiguration am Switch scheint auch gut zu funktionieren, Probleme bereitet mir aktuell hauptsächlich die Konfiguration an meinem PC. Ich habe nur einen Netzwerkadapter und bekomme mit Hyper-V die konfiruration nicht hin um Zugriff auf beide V-Lan zu bekommen.
Zwei virtuelle Netzwerkadapter konnte ich problemlos erstellen und eine Verbindung zu V-Lan 1 bekomme ich auch problemlos. (Das funktionierte interessanterweise, obwohl tagged, sogar schon ohne Hyper-V und ohne weitere Konfiguration am PC.) Wenn ich einen zweiten virtuellen Adapter erstelle und dort V-Lan 20 angebe, bekomme ich aber trotzdem keinen Zugriff auf V-Lan 20 bzw. mein IP-Scanner findet zumindest keine Geräte und ich bekomme auch keinen Ping von den Geräten zurück.

Kann mir vielleicht jemand (am besten Schrittweise von Anfang an) erklären, welche Adapter ich mit Hyper-V anlegen muss und wie diese zu konfigurieren sind?

Bisher habe ich immer einen virtuellen Adaper angelegt, den ich auf V-Lan 1 eingestellt habe. IP automatisch (hier kommt eine 192.168.178.x), Subnetz 255.255.255.0, Gateway 192.168.178.1 (Fritz-Box).
Ergebnis: Auf dem physich vorhandenen Netzwerkadapter kommen Daten rein, es gehen aber keine raus. Auf dem virtuellen Adapter gehen Daten raus, es kommen aber keine rein. Daher habe ich dann eine Netzwerkbrücke zwischen beiden eingerichtet und siehe da, Internet geht wieder.

Danach habe ich dann einen zweiten Adapter erstellt. Einstellung: V-Lan 20, IP 192.168.0.10, Subnetz 255.255.255.0, Gateway 192.168.178.39 (Switch).
Aufgrund meiner Erfahrung mit dem ersten Adapter, dass er ohne Brücke nicht geht, dann den zweiten auch mit in die Brücke rein genommen.
Ergebnis: Weiterhin keine Verbindung zu V-Lan 20.

Ich denke ich mache bei der Konfiguration irgendwas falsch und habe auch schon diverse Abwandlungen versucht. Mit und ohne Eintrag beim Gateway, IP im V-Lan 20 auch automatisch beziehen, einen der beiden virtuellen Adapter direkt mit der Netzwerkkarte verbunden und die Brücke dann nur für die beiden virtuellen Adapter usw.

Ps.: Nehme ich am Switch meinen PC untagged mit in das V-Lan 20 auf, werfe ihn aus V-Lan 1 raus und vergebe eine feste IP für meinen PC, bekomme ich eine Verbindung zu allen Geräten in V-Lan 20. Ein Fehler in der Verkabelung, sowie der Konfiguration der angeschlossenen Geräte kann also vermutlich ausgeschlossen werden.