ComputerBase Menü
Aktuelles

VLAN im gleichen LAN

DFFVB

DFFVB

Rear Admiral
Registriert
Dez. 2015
Beiträge
5.367
Hallo zusammen,

ich nutze (wie mancher weiß ;-) ) eine Fritzbox und dahinter einer weiterer Router mit dem Hauptnetz (doppeltes NAT ist hier kein Problem). An der Fritzbox sind verschiedene Dienste die per Portwarding / VPN erreichbar sind. Nun ist das Problem, wird ein Server infiziert, wäre davon auszugehen, dass dem kompletten Netz nicht mehr getraut werden kann.

Nun will mein ISP Geld für die FB, da dachte ich selber ein Modem zu kaufen. Weil ein Draytek Vigor 2765 Modem router gleichviel kostet, dachte ich dem mal eine Chance zu geben. Was verspreche ich mir davon? Der kann VLAN, ergo könnte ich jeden Dienst in ein eigenes VLAN packen und isolieren. Während dem Versuch mich dazu zu belesen, bin ich öfter darauf gestoßen, dass das nicht per se sicher sei, und man hier auf eine strenge Isolierung achten soll (Stichwort Layer 2 / Layer 3). In der Doku vom Draytek steht, dass er nur zwei LANs unterstützt, und separierte VLANS einfach in Subnetze getrennt werden. Sprich nicht:

VLAN0 = 192.168.1.x
VLAN 1 = 192.168.2.x

sondern

VLAN0 = 192.168.1.1-10
VLAN 1 = 192.168.1.11-20
etc.

Freilich ist der Schalter, dass die VLANs miteinander reden dürfen deaktiviert, ich frage mcih aber aus Sicherheitsgründen, wie sinnvoll das Ganze dann noch ist, und ob ich nicht doch ne Fritte hole und hinter diese einen günstigen / gebrauchten managed Cisco klemme, mit welchem ich die Netze sauber(er) getrennt bekommen. Müsste dann ein Layer 3 Switch sein, wenn ich das richtig sehe.


Im weiteren stellt sich natürlich generell die Frage, wie gut man mit Draytek fährt. Im Werkszustand waren ein paar Ports offen, admin / admin als Login und Login aus dem Web aktiviert. Finde das ehrlich gesagt nicht so cool, wenn ein Gerät per se unsicher ausgeliefert wird. Andererseits hat man damit sehr granulare Einstellmöglichkeiten und Site-to-Site VPN ist auch was feines...
 
DFFVB schrieb:
und separierte VLANS einfach in Subnetze getrennt werden. Sprich nicht:

VLAN0 = 192.168.1.x
VLAN 1 = 192.168.2.x

sondern

VLAN0 = 192.168.1.1-10
VLAN 1 = 192.168.1.11-20
etc.
Zum Vergrößern anklicken....
Wo liest du das in der Doku?

Ich sehe in der Doku, dass das Gerät bis zu 15 VLANs unterstützt, die du munter auf den Ports verteilen kannst (auch tagged)
 
Ja, aber es lässt sich immer nur LAN 1 oder LAN 2 auswählen... Das bedeutet ja nur zwei LAN der Rest Subnetze?
 
  • Gefällt mir
Reaktionen: DFFVB
VLAN hat mit LAN gar nichts zu tun. Das ist eine virtuelle (V) Segmentierung.

Wenn Du jetzt ein lokales LAN hast sagen wir 192.168.178.0/24 (typisch FB), und Du implementierst VLAN,
dann kommen neue Segmente dazu, OBWOHL die physikalisch gar nicht da sind.

Sprich, das bisherige LAN kriegt VLAN ID=0 und bleibt ..178.0/24. Wenn man gar nichts macht, bleibt das dabei.
Dazu kommt VLAN ID=1, wenn man das anlegt. Da hat man die freie Wahl. Das kann ...168.0/24 sein. Es kann aber auch 10.0.0.0/8 sein. Völlig wumpe. Aus dem privaten Bereich muß es sein und Kollisionen darf es nicht geben, aber das wars.

Die logischen(!) Segmente bleiben aber erhalten. 192.168.0.1 - 10 und dann 11 - 20 kann nicht funktionieren, nicht im LAN und auch nicht im VLAN.
 
  • Gefällt mir
Reaktionen: DFFVB
Warum Draytek? und nicht Ubiquiti zb. ER-4
der kann Vlans, DPI und beherrscht allerlei Regeln in verbindung mit einem L3 Switch hast du jede Menge was du an Sicherheit aufdrehen kannst.
 
  • Gefällt mir
Reaktionen: DFFVB
VLAN-Tags stehen im Ethernet-Frame, also in Layer2. Sie haben also erstmal nichts mit IP-Adressen am Hut bzw sitzen eben unter den IPs (Layer3). Das heißt, dass ein LAN-Port (zB eth1) mit 3 tagged VLANs (10, 20, 30) im übertragenen Sinne 3 Interfaces bietet, eth1.10, eth1.20, eth1.30. Jedes Interface bedient dann ein anderes Subnetz, das man der Einfachheit halber häufig an die VLAN-ID anlehnt bzw die ID ans Subnetz, zB 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24.

Ist ein Port so konfiguriert, dass dort nur VLAN 20 und 30 drauflegen, kann sich ein angeschlossenes Gerät auch maximal in diesen VLANs bzw Subnetzen bewegen. Ein potentieller Eindringling kann an einem solchen Port also nicht mit wenigen Handgriffen plötzlich ins VLAN10. Dazu müsste er das Gateway zu VLAN10 bzw dessen Firewall angreifen.

Man kann mit VLANs also durchaus sicher arbeiten, aber der Teufel steckt im Detail. Legt man stur auf alle Ports alle VLANs, ist es auch für einen Angreifer nur eine Frage des VLAN-Tags, weil dann eben doch an jedem Port alles verfügbar ist. Es kommt also wie so oft auf die saubere Konfiguration der Ports und vor allem des Gateways bzw dessen Firewall an wie sicher das ganze ist.

Ob es sinnvoll ist, jeden Dienst in ein eigenes VLAN zu packen, wage ich mal zu bezweifeln. Gestalte das VLAN-Setup so komplex wie nötig, aber so simpel wie möglich. Mit jedem zusätzlichen VLAN steigt die Komplexität der verwaltenden Firewall, weil du alle Richtungen zwischen allen VLANs berücksichtigen musst. In der Regel reicht ein separates Netz für Server, eine DMZ. Diese wird dann so abgesichert, dass vom Hauptnetz die Dienste in der DMZ bedient werden und die Dienste ins Hauptnetzwerk antworten dürfen, aber von sich aus darf von der DMZ aus keine Verbindung ins Hauptnetzwerk initiiert werden.


*edit
Einen Layer3-Switch braucht man im Prinzip nur, wenn sehr viel Traffic zwischen den VLANs zu erwarten ist, weil der L3-Switch dann mit Hilfe von Inter-VLAN-Routing ähnlich wie ein dummer Switch direkt von Port zu Port switchen kann, auch über VLANs hinweg. Mit einem L2-Switch ginge das nicht, d.h. der Traffic müsste immer erst über den VLAN-Uplink zum Gateway/Router gehen, um von dort dann wieder über den VLAN-Uplink zum Switch zurückzukommen und zum Ziel-Port geswitcht zu werden.
 
  • Gefällt mir
Reaktionen: emulbetsup und DFFVB
@Raijin
Stimme ich zum teil zu... man kann den Vlans diverse acl und regeln und routen zuweisen....
ich zb. habe mehrere Vlans.. einer davon ist für externe geräte die über ddns auf interne dienste zugreifen wie IOT oder Cameras oder smartphones etc...
aber wie du sagst so komplex wie nötig und einfach wie möglich.
 
Ichtiander schrieb:
Warum Draytek? und nicht Ubiquiti zb. ER-4
der kann Vlans, DPI und beherrscht allerlei Regeln in verbindung mit einem L3 Switch hast du jede Menge was du an Sicherheit aufdrehen kannst.
Zum Vergrößern anklicken....
Gegenfrage: Warum Ubiquiti? - Empfinde den DrayTek von seinen Netzwerkfeatures und der tieferen Konfiguration her als besser. Zusätzlich kommt noch das integrierte Supervectoring Modem, welches der TE zwingend benötigt. (Eine Kombination aus DrayTek Vigor165 Modem + Ubiquiti Router ist teurer und bringt keinen Mehrwert im Vergleich zu einem DrayTek Vigor2765, welcher alles dann in einem Case abbildet und gleichzeitig auch noch günstiger in der Anschaffung ist. Natürlich wäre ein größeres DrayTek Modell, bsp. 2865 der wohl im Februar kommen soll, noch besser. Die kleinen Modelle sind immer etwas "beschnitten" im Bezug auf Beispielsweise die Anzahl der VPN Tunnel usw. Für die gewünschten Funktionen: VLAN, sehe ich da aber auch kein Muss ein höheres Modell zu wählen.)

@DFFVB
Bei der Konfiguration könnte dir dieses Video weiterhelfen:
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: gaym0r und DFFVB
Danke erstmal allen fürs schnelle Feedback!

Nizakh schrieb:
Hast du den Router schon?
Zum Vergrößern anklicken....

Jup, muss mir nur überlegen, ob ich ihn zurückschicke ;-)

RalphS schrieb:
Die logischen(!) Segmente bleiben aber erhalten. 192.168.0.1 - 10 und dann 11 - 20 kann nicht funktionieren, nicht im LAN und auch nicht im VLAN.
Zum Vergrößern anklicken....

Naja, wenn ich zwei LAN habe die darunter liegen, und 15 VLAN darauf aufteilen kann, dann muss ich die Bereiche ja aufspalten, da ich ja nicht beliebig IP Adress Bereiche vergeben kann. Zumindest um Draytek gibt es zwei LAN, und die geben mir den Unterbau vor?

Ichtiander schrieb:
Warum Draytek? und nicht Ubiquiti zb. ER-4
Zum Vergrößern anklicken....

Ja an den EdgeRouter habe ich auch schon gedacht, zumal er halt auch P/L Sieger, und vom Kollegen @Raijin häufiger empfohlen wird, leider kommt der per default offen, da müsste ich erstmal richtig lernen. Der Draytek könnte ein Kompromiss sein.

Raijin schrieb:
Ist ein Port so konfiguriert, dass dort nur VLAN 20 und 30 drauflegen, kann sich ein angeschlossenes Gerät auch maximal in diesen VLANs bzw Subnetzen bewegen. Ein potentieller Eindringling kann an einem solchen Port also nicht mit wenigen Handgriffen plötzlich ins VLAN10. Dazu müsste er das Gateway zu VLAN10 bzw dessen Firewall angreifen.
Zum Vergrößern anklicken....

Das klingt erstmal beruhigend. Allerdings ist es bei dem Draytek so, dass es nur zwei Subnetze gibt. Man kann das Inter-LAN Routing unterbinden, aber sofern ich das einsehe, eben nur zwischen den zugrundeliegenden LAN 1 und 2. D.h. eine ganz sichere Trennung hätte ich, wenn ich beide in unterschiedliche LAN packe. Im gleichen Subnetz dürften sie sich ja in unterschiedlichen Gruppen auch nicht sehen. Ich stelle mir das Szenario vor, in welchem man ggf. durch probieren am Rechner selber andere Tags anfügt, und so schaut, was im Netz noch möglich ist...

Ich kopiere mal die Doku:
1578838492095.png


Und dann:
1578838804158.png
 
In einem Subnetz gibt es keine Gruppen. Ein /24er Subnetz umfasst 256 IP-Adressen, abzüglich Subnetz- und Broadcastadresse bleiben 254 Hostadressen. Jede davon kann per Definition mit jeder kommunizieren. In einem geswitchten Netzwerk würde eine Firewall niemals auch nur ein Paket zu Gesicht bekommen, weil alles direkt im Switch von Port zu Port geht.

Mehr dazu später, wenn ich mit meinen beiden Nichten wieder vom Kino zurück bin. (Eiskönigin 2)
 
  • Gefällt mir
Reaktionen: DFFVB
VLAN tut nicht das was Du denkst. Da wird nichts aufgespaltet. Da liegt auch nichts darunter.

Beispiel. Ich hab hier einen Cisco Router. Dual WAN, single LAN, VLAN support, und WLAN.

Was hab ich damit gemacht?
- Eine SSID erstellt für 2.4G Geräte, WPA2/3 Personal. Hier kommt alles rein was anderswo nicht paßt. Bei mir sind das insbesondere irgendwelche Fertigteile ohne LAN-Anschluß oder wenn 802.1x nicht unterstützt wird. Kindle zum Beispiel, auch wenn die das so halb behaupten (evtl bin ich auch nur zu blöd).
Diese SSID hat bei mir die 192.168.1.0/24, ist eine VLAN ID (1) und ist gegen den Rest isoliert.

- Eine weitere SSID für 5G Geräte, ebenfalls WPA2/3 P. Hier kommen alle nicht recht vertrauenswürdigen Geräte rein. Auch diese SSID liegt auf der VLAN ID 1.

- und noch eine SSID, mein "richtiges" WLAN. Das ist ein WPA2/3 Enterprise mit Zertifikaten und Radius. Das ist ein "trusted network" und hat auf alle Ressourcen Zugriff. VLAN ID ist 2 und Netz die 2.0/24.

Dazu kommt das Kabelnetz, noch mal ein eigenes VLAN.

Das sind drei Segmente. Der Cisco hat gar keine drei LAN-Anschlüsse, auch nicht zwei wie bei Dir.
TROTZDEM geht es.

Was VLAN eigentlich macht, ist, die physische Topologie von der logischen abzutrennen und zu abstrahieren. Normal muß man einen Port haben am Router für jedes Segment, um dann dort eins einschließen zu können.
Mit VLAN kann man das ohne Router haben und das VLAN-fähige Gerät wird zum "Trenner". Einfach VLAN ids zu Ports zuweisen und schon hat auch ein Switch verschiedene Segmente an seinen Ports, auch wenn Switches das netzwerktechnisch gar nicht können.

Was aber erforderlich ist: durch die LOGISCHE Trennung der VLANs muß zwischen ihnen geroutet werden. Das kann das VLAN-fähige Gerät NICHT notwendigerweise selbst.


Kurz: es GIBT kein "darunterliegendes" Irgendwas. VLAN ersetzt vollständig. Es gibt stattdessen eine designierte Standard-ID (0) für "alles". Das ist das normale, ungetaggte Netzwerk ohne jede Zuweisung, so wie es auch ohne VLAN aussehen würde.
Sobald eine ID vergeben wird, kommt sie DAZU. Bei mir kommt zu 192.168.0.0/24 die 1 und die 2 dazu, ich hab dafür keine /22 definieren müssen, und hätte ich das gemacht, wäre mir das Ganze um die Ohren geflogen, da dann der IP-Bereich 1.0/24 und 2.0/24 bereits Teil des 0.0/22 sind und ich sie doppelt vergeben hätte.
 
  • Gefällt mir
Reaktionen: Raijin
Mal ein simples Beispiel zur Verdeutlichung:


Code: 
                     Router ohne VLANs
                  (LAN1)           (LAN2)
                      |             |
                      |             |
                Switch1             Switch2
                      |             |
                      |             |
   Subnetz 192.168.10.x             Subnetz 192.168.20.x

Mit VLANs könnte das so aussehen:

Code: 
                     VLAN-fähiger Router
                           (LAN1)
                   (tagged VLAN10 + 20)
                             |
                             |
                   (tagged VLAN10 + 20)
                          (Port1)
                       VLAN-Switch
            (Ports 2-8)           (Ports 9-16)
      (untagged VLAN10)           (untagged VLAN20)
                     |             |
                     |             |
  Subnetz 192.168.10.x             Subnetz 192.168.20.x

Der Unterschied zwischen beiden Setups ist lediglich, dass die Trennung im ersten Fall rein physisch stattfindet (durch zwei physische LAN1 + LAN2 in verschiedenen Netzen), während sie im letzten Fall virtuell über die VLANs gewährleistet ist. Die Portkonfiguration des Switches lässt sich beliebig ändern, beispielsweise auch abwechselnd alle geraden Ports in VLAN10 und alle ungeraden in VLAN20 oder wie auch immer es einem passt. Man kann mittels eines weiteren Trunk-Ports (der mit allen VLAN-Tags) auch einen weiteren Switch mit einbinden. Die Endgeräte, die an den untagged Ports angeschlossen sind, haben von VLANs keine Ahnung mehr, weil es dort keine VLAN-Tags mehr gibt (daher "un"tagged). Somit kann ein potentieller Eindringling auch nicht einfach so ins andere VLAN eindringen bevor er nicht entweder den Switch oder den darüberliegenden Router gekapert hat.
 
  • Gefällt mir
Reaktionen: DFFVB, Bob.Dig und RalphS
Das ganze Vorhaben ist doch fraglich. Solche Geräte sind auf Profit/Kostenersparnis optimiert und entsprechend billig konzipiert. Inneren Angriffen halten sie meist nicht stand. Was bringen irgendwelche wilden VLAN Experimente, wenn ich den Switch schon mit einem simplen ARP Flood in einen HUB verwandeln kann. Schicht1 besteht meist nur aus CPU-NIC-xPortSwitch. Die besseren Geräte bieten wenigstens dedizierte NICs für jeden Port, damit die CPU handlungsfähig bleibt.
 
RalphS schrieb:
VLAN tut nicht das was Du denkst. Da wird nichts aufgespaltet. Da liegt auch nichts darunter.
Zum Vergrößern anklicken....

RalphS schrieb:
Was VLAN eigentlich macht, ist, die physische Topologie von der logischen abzutrennen und zu abstrahieren.
Zum Vergrößern anklicken....

RalphS schrieb:
Kurz: es GIBT kein "darunterliegendes" Irgendwas. VLAN ersetzt vollständig
Zum Vergrößern anklicken....

Ich tue mich etwas schwer Dir zu folgen. Aufspalten und abstrahieren ist doch das Gleiche? Und ohne (dartunterliegendes) LAN kein VLAN?

RalphS schrieb:
Das sind drei Segmente. Der Cisco hat gar keine drei LAN-Anschlüsse, auch nicht zwei wie bei Dir.
TROTZDEM geht es.
Zum Vergrößern anklicken....

Mein Router hat vier LAN Anschlüsse - Subnetze (mit getrennten IP Adressbereichen) lassen sich allerdings nur zwei zuweisen. Ich habe mal mit den Unifi Controller gespielt, da sieht es aus, als ob man beliebig viele Subnetze erstellen könnte. Ich glaube das Stichwort DHCP-Server kommt hierzu hinzu und könnte helfen die Unklarheit zu beseitigen. Denn auch in einem abstrahierten VLAN muss ich dich mit IP-Adressen arbeiten. Bzw. wie bekommen es die Endgeräte dann mit?

RalphS schrieb:
Einfach VLAN ids zu Ports zuweisen und schon hat auch ein Switch verschiedene Segmente an seinen Ports, auch wenn Switches das netzwerktechnisch gar nicht können.
Zum Vergrößern anklicken....

Kannst Du diese Aussage ertwas näher erklären?


@Raijin

Danke - Du hast es echt nen Orden verdient für Deine Mühen hier im Forum ;-)

Um bei Deinem Beispiel zu bleiben und die Ausgangsfrage zurückzukommen: Selbst mit einem einzigen Subnetz und unterschiedlichen VLAN Gruppen (VLAN 10 / VLAN 20) hätte ich aufgrund des Routings Sicherheit. Ggf. ist es auch eine Draytek Sonderlocke, nach welcher ich keine eigen Subnetze erstellen kann, sondern nur auf die erstellten LAN 1 und 2 zurückgreifen kann. Ich finde bspw. keine Einstellung nach welcher ich noch ein 192.168.30.x Subnetz einrichten könnte. Dieses Modell kann nur zwei LAN Netze verwalten die größeren auch sieben...

@Uridium

Interessante Ansicht - stützt die sich auf konkrete Erfahrung mit der benannten Hardware? Und hast Du eine Lösung für das Problem? Oder wolltest Du ein bisschen flamen?
 
DFFVB schrieb:
Selbst mit einem einzigen Subnetz und unterschiedlichen VLAN Gruppen (VLAN 10 / VLAN 20) hätte ich aufgrund des Routings Sicherheit.
Zum Vergrößern anklicken....
Nein, ich dachte das hätte ich ausreichend erklärt. Ein VLAN stellt ein vollkommen separates "LAN" dar, nur eben virtuell getrennt. Das heißt es läuft ggfs eben auch über dasselbe Kabel, ist aber auf Layer2 durch die VLAN-ID getrennt. Jedes VLAN hat dabei ein eigenes Subnetz. Ein Subnetz mit mehreren VLANs ist sinnfrei.

Du könntest beispielsweise folgende VLANs erstellen:

VLAN10 mit 192.168.10.0/24
VLAN20 mit 192.168.20.0/24
VLAN30 mit 192.168.30.0/24

Für DHCP-Vergabe muss natürlich in jedem VLAN auch ein DHCP-Server vorhanden sein, der eben genau dieses Subnetz bedient. Üblicherweise übernimmt der (VLAN-)Router den Job. Folglich laufen auf dem Router dann 3 DHCP-Server, einer für jedes Subnetz aka VLAN.

Die "Sicherheit" ist bei VLANs nicht anders als bei einem herkömmlichen Netzwerk. Hat ein Eindringling physischen Zugang, ist sowieso alles vorbei. Hat er ein Gerät gekapert, zB einen PC via Trojaner, kann er sich zumindest in diesem Subnetz aka VLAN austoben. Schafft er es in einen VLAN-Switch oder gar durch die Firewall zwischen den VLANs - sofern selbige überhaupt ordentlich konfiguriert ist - kann er sich auch in den anderen Subnetzen aka VLANs austoben.
 
  • Gefällt mir
Reaktionen: DasBombi und DFFVB
Danke für die schnelle Antwort.

Raijin schrieb:
Du könntest beispielsweise folgende VLANs erstellen:

VLAN10 mit 192.168.10.0/24
VLAN20 mit 192.168.20.0/24
VLAN30 mit 192.168.30.0/24
Zum Vergrößern anklicken....
Raijin schrieb:
Folglich laufen auf dem Router dann 3 DHCP-Server, einer für jedes Subnetz aka VLAN.
Zum Vergrößern anklicken....

Ich glaube genau hier liegt das Problem: Ich finde im Router einfach keine Einstellungen dafür. In den Einstellungen für die 8 VLANs (keine Ahnung warum in der Doku 15 steht) kann man bei Subnet lediglich LAN 1 und 2 auswählen. Und man kann auch keine weiteren hinzufügen. D.h. vor dem Hintergrund dieser Aussage:

Raijin schrieb:
Ein Subnetz mit mehreren VLANs ist sinnfrei.
Zum Vergrößern anklicken....


Kann ich hier "de facto" zwei VLAN einrichten
 
Hm.. Ich hatte mit Draytek bisher keinerlei Berührungspunkte, aber ausgehend von der Demo, zwei Tutorials und einem Youtube-Video muss ich ernüchtert feststellen, dass Draytek scheinbar tatsächlich nur zwei Subnetze zulässt, die sie LAN1 und LAN2 nennen. Wie das ganze dann mit bis zu 15 VLANs funktionieren soll, ist mir schleierhaft. Sobald zwei VLANs dasselbe Subnetz nutzen, kann man zwischen ihnen nicht mehr routen.

Diese Limitierung kommt einer netzwerktechnischen Kastration gleich. Als Gegenbeispiel sei ein EdgeRouter genannt, der theoretisch bis zu 4096 VLANs ermöglicht, die aber natürlich irgendwann die CPU in die Knie zwingen würden. Effektiv kann man bei einem ER aber soviele VLANs einrichten - nebst dazugehörigen DHCP - wie man möchte.

Gerade die Beschränkung auf 2 LANs macht mich aber stutzig. Das reicht gerade mal für Haupt- und Gast-Netzwerk, oder Haupt/DMZ, nicht jedoch für Haupt/Gast/DMZ.... Und ich hatte bisher von Erzählungen eigentlich einen guten Eindruck von Draytek, aber das hat meine Meinung nun schlagartig geändert.

Aber vielleicht liest ein erfahrener Draytek-Nutzer mit und kann mit seinem KnowHow dazu beitragen.
 
  • Gefällt mir
Reaktionen: DFFVB
Puh - und ich dachte schon ich wäre komplett bescheuert... 😅 Wie oben geschrieben, die höherwertigen Router bieten mehrere LANs (29xx Serie) so sieben oder acht. Aber ja, kann ich mir jetzt auch nichts von kaufen, und von der Ursprungsfrage ausgehend hab ich halt zwei LANs... wollte aber min drei. Wie @Nizakh schon angemerkt hat, ich brauche halt ein Modem. Und da kosten der Draytek 2765 mit 140, und eine FB 7530 mit 120 EUR fast gleichviel. Vl. also noch einen Switch dahinterklemmen... hmmm
 
Man kann prinzipiell auch ganz banal einen EdgeRouter-X, -Lite oder einen -4 ins Netzwerk einbauen und darüber alle VLANs verwalten. Doppeltes NAT ist dabei kein Thema, weil man am ER gar nicht erst NAT einschalten muss. Stattdessen bekommt der Draytek dann einfach für jedes VLAN-Subnetz eine statische Router über die IP des ER und das war's.
 
  • Gefällt mir
Reaktionen: DFFVB
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
WAN über VLAN an Opn-/pfSense mit nur einem LAN
Antworten
7
Aufrufe
637
GrillSgt
G
M
Asus Router mit Fritzbox im gleichen Netzwerk ?
Antworten
12
Aufrufe
1.060
chrigu
chrigu
FabianX2
Draytec Vigor 165 LAN Port für Webinterface mit VLAN PfSenese
Antworten
9
Aufrufe
933
FabianX2
FabianX2
W
Studentenheim W-LAN mit mehreren Geräten gleichzeitig verbinden bei eingeschränkter Anzahl an IP-Adressen
Antworten
7
Aufrufe
916
gaym0r
G
T
Windows 10 stürzt ab bei Laptop ES1 571 wg. gleichen Fehlers
Antworten
8
Aufrufe
476
Typ
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz