Vlans und DHCP

[naysayero]

Hi,
ich bin Anfänger was das angeht und lese mich gerade so langsam ein. Ich fürchte ich habe aber noch ein paar grundlegende Verständnisprobleme.

Ich nöchte in einem Zweifamilienhaus die Netze trennen, damit nicht alle Smartgeräte durcheinander geraten und etwas Privatsphäre erhalten bleibt. Dabei geht es vor allem um ein ordentliches Wlan-Setup. Meine Unifi APs sollen zwei Netzwerke ausstrahlen, die werden mittels VLan getrennt, so dass jedes WLan Netz für sich bleibt. Dafür habe ich einen Layer2-POE-Switch konfiguriert. (Oder ich bin dabei zumindest. Die Ports für die APs sind tagged, Der Port zum Kabelmodem ist ebenfalls tagged. Mein Nas als untagged für mein eigenes VLan usw.) Die Unifi APs geben die Möglichkeit den verschiedenen ausgestrahlten SSIDs Vlans zuzuordnen. So weit so gut.)

Mein Problem bezieht sich jetzt auf die Vergabe der IP-Adressen und die Verfügbarkeit von DHCP:
Brauche ich zwei DHCP-Server? Oder kann ich auch alles wie gehabt vom Kabelmodem, welches als Uplink am Switch hängt, verteilen lassen. Dann wären natürlich alle Geräte in einem Subnetz und nicht schön getrennt in zwei verschiedenen, aber sehen können sie sich dennoch nicht, oder? Oder ist es so, dass mit der Nutzung des Vodafone-Kabelmodems die ganze VLan-Konfiguration keinen Sinn mehr ergibt und das Modem einfach beide Netze verbindet?

Ich hoffe ich habe mein Problem halbwegs verständlich ausdrücken können...
LG

 

[Zeroflow]

Ja, du brauchst zwei (logische) DHCP Server und Gateways/Router.

Ein VLAN ist grundsätzlich nicht anders, als ein normales LAN. Es gibt eben nur Router (Unifi, TPLink, pfSense, Mikrotik, Cisco, ...) die direkt mehrere VLANs unterstützen und dann pro VLAN eigene IPs ausgeben.

 

[conf_t]

Brauche ich zwei DHCP-Server?

Ja, bzw. ein Server und Router der mit IP-Helper umgehen kann

Layer2-POE-Switch

Jeder Switch ist mindestens Layer 2, sonst ist es kein Switch.

Der Port zum Kabelmodem ist ebenfalls tagged.

Kann das Kabelmmodem mit VLANs umgehen? Ein Modem (Modulator/Demdulator) ist kein Router.....
Du brauchst einen Router der mit VLANs und deren Trennung umgehen kann.

Dann wären natürlich alle Geräte in einem Subnetz und nicht schön getrennt in zwei verschiedenen, aber sehen können sie sich dennoch nicht, oder?

Doch, sie können sich "sehen".

Oder ist es so, dass mit der Nutzung des Vodafone-Kabelmodems die ganze VLan-Konfiguration keinen Sinn mehr ergibt und das Modem einfach beide Netze verbindet?

Jo, Basic Heim-Netzwerkhardware ist mit sowas i.d.R. mit deinem Vorhaben vollkommen überfordert. Man kann sowas mit einer Router Kaskade evtl. lösen, aber das ist nicht "schön" und manchmal bringt es andere Probleme mit sich, hier beschrieben: (https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html)


Switch -> Layer 2
Router -> Layer 3 (Kopplung von IPs)
Firewall -> Layer 4

Letzlich braucht man für VLANs, die den gleichen Router nutzen einen Layer4 Anteil, der sicherstellt, dass die Netze über die Kopplung durch den Router nicht kommunizieren können. VLAN auf den Switchport zu hauen reicht da nicht.

 

[Dante2000]

Genau wie von meinem Vorposter beschrieben, benötigst du für jedes VLAN einen DHCP-Server. Schaue mal nach, ob hier ggf. der UniFi-Controller die Option anbietet, pro SSID auch einen DHCP zu betreiben. Andernfalls wäre es möglich, eine VM oder alte physische Hardware zu verwenden / zu kaufen und mit pfSense CE zu bespielen - Dort ist das VLAN Management sowie saubere DHCP Vergabe recht problemlos möglich.

 

[Raijin]

Du brauchst grundsätzlich einen Router, der mit den (V)LANs umgehen kann. Ein 08/15 HeimRouter hat nur 1x Heimnetzwerk und maximal noch 1x Gastnetzwerk, nicht aber 2x Heimnetzwerk.

Ein Layer2-Switch mit VLANs hilft da auch nicht weiter. Bildlich gesprochen zersägt sich der Switch einfach nur in zwei Teilswitches, eine Verbindung untereinander haben sie jedoch nicht.

[..]

Ok, weiter schreibe ich nicht, @conf_t hat eben schon alles vorweggenommen

 

[TheHille]

edit: zu langsam. Siehe oben.

Router muss VLANs beherrschen, dieser als Gateway kann idealerweise auch als DHCP-Server fungieren.
Für jedes VLAN brauchst du dann jeweils einen DHCP-Server. OpnSense/PfSense etc. können das ohne Probleme.
Unifi-Controller sollte dann auch die VLANs kennen, daran kannst du dann die SSIDs verknüpfen.

 

[Fujiyama]

Wär vlt einfacher, billiger und simpler wenn jede Haushälfte sein eigenen Anschluss hätte. Es ergibt dadurch unter umständen auch Vorteile.

 

[wern001]

nimm einen vernünftigen Router.
z.B Lancom
mach dann deine VLan auf dem Router.
LAN Port 1 VLAN 1 -> normaler Switch -> alle Geräte von Haushalt 1
LAN Port 2 VLAN 2 -> normaler Switch -> alle Geräte von Haushalt 2

 

[snaxilian]

Du brauchst einen Router der mit VLANs und deren Trennung umgehen kann.

Du brauchst grundsätzlich einen Router, der mit den (V)LANs umgehen kann.

Router muss VLANs beherrschen

Nein, jain, nein.

Zwingend mit VLANs umgehen können muss der Router nicht. Ein nicht-VLAN-fähiger Router/Firewall würde es auch tun, dieser bräuchte dann nur drei frei konfigurierbare Interfaces. WAN, LAN 1 und LAN 2 und du müsstest dann am Switch pro VLAN einen untagged Port haben, den du mit dem Router/Firewall verbindest.
Der Router/Firewall hat in dem Fall keinerlei Kenntnis von den VLANs da er ja sowieso nicht zwischen VLAN IDs vermittelt sondern zwischen IP Adressen.
Bei einem VLAN-fähigen Gerät brauchst halt nur einen Port am Switch und 2 am Gerät (WAN und alle LANs).

Alternativ die schon erwähnte Routerkaskade aber dann hast ggf. andere Einschränkungen.

Noch etwas: Sind das in deinem Zweifamilienhaus getrennte Wohneinheiten mit eigenen Sicherungen? Dann müsstest du bei deinem Vorhaben explizit noch eine galvanische Trennung einbauen. Ein Thema das schon drölfzigtausendmal allein auf cb diskutiert wurde, also Forensuche bitte verwenden für weitere Infos und Begründungen.

 

[Raijin]

Zwingend mit VLANs umgehen können muss der Router nicht. Ein nicht-VLAN-fähiger Router/Firewall würde es auch tun, dieser bräuchte dann nur drei frei konfigurierbare Interfaces.

Genau aus diesem Grund hatte ich (V)LANs geschrieben - man beachte die Klammern - um damit auszudrücken, dass es nicht zwingend virtuelle Interfaces sein müssen

 

[naysayero]

Jeder Switch ist mindestens Layer 2, sonst ist es kein Switch.

Ok, also ich habe einen managed switch, keinen unmanaged. Ich dachte Layer 2 ist für Managed. Wieder was gelernt.

Und ansonsten auch viel gelernt. Ich behalte die Empfehlung was den Router angeht jetzt mal im Hinterkopf und lasse das Thema ansonsten erstmal etwas liegen. Alles wird in einem Netz angelschlossen und es gibt ein Wlan flächendeckend. Wenn die Kinder irgendwann anfangen Quatsch zu machen und Omas Smart Tv fernbedienen kann ich ja weiter aufrüsten.

Vielen Dank für die vielen (Er-)Klärungen.

 

[xexex]

Ok, also ich habe einen managed switch, keinen unmanaged. Ich dachte Layer 2 ist für Managed. Wieder was gelernt.

https://de.wikipedia.org/wiki/OSI-Modell

Simpel ausgedrückt, ein Hub arbeitet auf Layer 1, ein Switch ist immer mindestens Layer 2, auch wenn er keinerlei Konfigurationsmöglichkeiten bietet, ein Router arbeitet auf Layer 3. Es gibt zwar auch L3/L4/L7
Switche, aber die findet man selten Zuhause.

 

[TheHille]

Nein, jain, nein.

Zwingend mit VLANs umgehen können muss der Router nicht. Ein nicht-VLAN-fähiger Router/Firewall würde es auch tun, dieser bräuchte dann nur drei frei konfigurierbare Interfaces. WAN, LAN 1 und LAN 2 und du müsstest dann am Switch pro VLAN einen untagged Port haben, den du mit dem Router/Firewall verbindest.
Der Router/Firewall hat in dem Fall keinerlei Kenntnis von den VLANs da er ja sowieso nicht zwischen VLAN IDs vermittelt sondern zwischen IP Adressen.
Bei einem VLAN-fähigen Gerät brauchst halt nur einen Port am Switch und 2 am Gerät (WAN und alle LANs).

Okay, "muss" war vielleicht zu streng. Ist halt so best-practice.

Das mit den Interfaces muss man auch etwas relativieren: Ich kann natürlich auch VLANs mit mehreren Interfaces betreiben, brauchen tue ich aber eigentlich nur eines (mit WAN eben zwei).

Einen nicht VLAN-fähigen Router mit mehreren frei konfigurierbaren Interfaces kenne ich ad-hoc nicht.
Ich kenne nur Router ohne frei konfigurierbare Interfaces (Fritzbox, Speedport) oder dann gleich, die auch VLANs beherrschen.


Bin jetzt auch nicht der Nabel der Welt und kenne auch nicht alles. Meine Anmerkung soll auch nicht böse gemeint sein.
Theoretisch kann man so ein Problem mit Subnetting erschlagen, aber das wird heutzutage kaum mehr (vor allem nicht privat) gemacht.

 

[Raijin]

Ok, also ich habe einen managed switch, keinen unmanaged. Ich dachte Layer 2 ist für Managed.

Leider ist das noch etwas komplizierter.

Layer2-Switches mit VLAN-Unterstützung und zB auch rudimentären QoS-Features sowie IGMPv3 werden häufig als "smart managed" oder "web managed" bzeichnet, manchmal auch als "Layer2+". Nichts davon ist ein standardisierter Begriff, sondern reines Marketingsprech der Hersteller.

Dementgegen stehen die Layer3-Switches, die nicht nur quasi als "full managed" gelten, sondern in sich streng genommen auch ein Router sind (Stichwort: Inter-VLAN-Routing). Dadurch kann der L3-Switch direkt von VLAN zu VLAN routen, ohne die Pakete erst aufwändig in den Uplink zum Router zu schieben und auf demselben Weg wieder vom Router zu bekommen, dann für ein anderes VLAN an ein und demselben Switch....

Aufgrund des teils drastischen Preisunterschieds zwischen L2- und L3-Switches, die im privaten Bereich unerschwinglich waren, fingen die Hersteller dann an, abgespeckte "managed" Switches zu bauen, Hybride aus Layer2 und rudimentären Layer3-Funktionen - "smart/web managed" oder eben "Layer2+".

Am besten gibst du daher stets Hersteller und Modell des Switches an damit Helfer besser einschätzen können welche Möglichkeiten du mit der Hardware hast und welche nicht.

Einen nicht VLAN-fähiger Router mit mehreren frei konfigurierbaren Interfaces kenne ich ad-hoc nicht.
Ich kenne nur Router ohne frei konfigurierbare Interfaces (Fritzbox, Speedport) oder dann gleich, die auch VLANs beherrschen.

Das liegt schlicht und ergreifend daran, dass ein Router mit 3 oder mehr autarken Interfaces so oder so zu den fortgeschrittenen Routern zählt und VLAN-Unterstützung gewissermaßen als Nebenprodukt eh immer dabei ist. VLANs (am Router) werden aber nicht benötigt, wenn man ausreichend Interfaces zur Verfügung hat. Das ist sogar der zu bevorzugende Weg, da Routing über VLANs in einem Trunk nämlich immer den faden Beigeschmack eines Flaschenhalses hat, weil sich die VLANs die Bandbreite des Links teilen.
Nicht ohne Grund setzt man im professionellen Bereich ja L3-Switches mit Inter-VLAN-Routing ein, weil man nicht über die Uplinks zum Hauptrouter routen will....



Im übrigen müssen Router mit mehreren Hardware-Interfaces gar nicht teuer sein. EdgeRouter-X, MikroTik hEX (S) und dergleichen kosten 50-70€. Die können dann auch für jedes (V)LAN den DHCP-Server und den DNS stellen sowie mittels Firewall die Zugriffe zwischen den (V)LANs nach Bedarf reglementieren.

 

[TheHille]

Du hast absolut recht @Raijin !

Das mit dem Inter-VLAN-Routing ist mir soweit bekannt. Dies steht für mich in Konkurrenz zum "Firewalling" der Netze, was natürlich den Traffic über einen Trunk zu einer Firewall/Router-Combo benötigt.

Wenn eine Frage in dem Zusammenhang gestattet ist: Mischt du diese beiden Arten oder hältst du es einheitlich?

 

[Raijin]

Was heißt mischen? Inter-VLAN-Routing hat einen ganz speziellen Einsatzzweck: Traffic-intensive Netzwerkverbindungen zwischen VLANs in einem komplexen Netzwerk (in der Regel Firmen-Niveau) abzukürzen.

In großen Netzwerken sprechen wir ja über eine große, teils stark verschachtelte Infrastruktur. Mehrere Stockwerke in einem Gebäude oder gar mehrere Gebäude in einem ganzen Komplex. Da führt es einfach zu massiven Geschwindigkeitsproblemen, wenn zB jedes Gebäude zwar einen eigenen FileShare hat (zB verschiedene Unternehmungen desselben Konzerns), aber trotzdem bei jedem Dateizugriff die Daten erstmal zum Hauptgebäude und wieder zurück gehen müssen. Der L3-Switch mit Inter-VLAN-Routing würde das sozusagen abfangen und im Gebäude halten und quasi direkt von Port 17 (Client in VLAN 10) zu Port 36 (Server in VLAN 20) routen.

Das kommt aber wie gesagt nur dann zum Tragen, wenn man viel Datenverkehr zwischen den VLANs erwartet und die Uplinks zum zentralen Router nicht ausreichend groß dimensioniert sind (zB 10 oder gar 40 Gbit/s). So ein Szenario stellt sich aber eigentlich nur in professionellen Systemen mit vielen Clients dar, die allesamt parallel viel Bandbreite für sich beanspruchen wollen - zB 10 Mitarbeiter, die gleichzeitig an Projekten auf einem Server in einem anderen VLAN arbeiten.

Im privaten Umfeld ist das weit weniger relevant. Zum einen gibt es dort in der Regel sowieso nur eine Handvoll Clients und meistens nur einen richtigen Server (zB NAS), zum anderen beanspruchen die Clients nur in Ausnahmesituationen wirklich parallel viel Bandbreite. Wenn Töchterchen gerade Filme auf das NAS lädt, kocht Papa gerade das Essen und Mama bringt den Müll raus (um mal die Stereotypen etwas aufzubrechen ). Der potentielle Verlust an Übertragungsrate, der durch parallele Verbindungen bei herkömmlichem Routing über einen zentralen Router entsteht, ist einerseits überschaubar und andererseits wie gesagt sowieso nur in Ausnahmefällen überhaupt bemerkbar.


Deswegen sage ich auch ganz klar, dass in meinen Augen niemand in den eigenen 4 Wänden einen L3-Switch benötigt. Klar, manchmal kommt man zB über die Firma günstig an ausrangierte Modelle und das kann man auch machen, wenn man möchte, aber "brauchen" tut man sie nicht. Ausnahmen bestätigen hier natürlich auch die Regel, aber das sind dann Heimnetzwerke, die tatsächlich einem Firmennetzwerk konkurrenz machen könnten, weil derjenige zB intensiv mit Videoschnitten arbeitet oder einfach - wie ich - ein komplexes Netzwerklabor zum Experimentieren im Keller hat

 

[snaxilian]

@TheHille inter-VLAN-routing (ivr) und Firewalls haben unterschiedliche Ziele. Es gibt oft genug Situationen wo man einfach aus Gründen mit VLANs pro Gebäudeteil/Etage arbeitet oder pro Abteilung und einfach die Broadcastdomänen kein halten will und trotzdem dürfen gewisse VLANs frei untereinander kommunizieren, z.B. alle diversen Client-VLANs mit dem Drucker-VLAN ohne Filterung durch eine FW. Da macht dann ivr Sinn weil es eben Wege abkürzen kann. Zur Not kann man auch auf den Switchen mit ACLs eine gewisse Kontrolle einführen. Ob das sinnvoll ist, steht auf einem anderen Blatt^^
Richtig performant wird es dann wenn man statt klassischer Sternstruktur Spine-Leaf nutzt, in Kombination mit virtuellen overlay Netzwerken kann man dann auch sinnvoll Firewalling auf L3 und aufwärts betreiben. Wird der Otto-Normal-Verbraucher aber niemals sehen und auch viele Admins werden damit nicht in Berührung kommen^^

 

[Raijin]

Richtig performant wird es dann wenn man statt klassischer Sternstruktur Spine-Leaf nutzt, in Kombination mit virtuellen overlay Netzwerken kann man dann auch sinnvoll Firewalling auf L3 und aufwärts betreiben. Wird der Otto-Normal-Verbraucher aber niemals sehen und auch viele Admins werden damit nicht in Berührung kommen^^

Hm.. Ok, das übersteigt dann auch meinen Horizont als Software-Entwickler mit nerdigem Netzwerkhobby und Admin.. .. .. "unterstützer" in der Firma

 

[snaxilian]

Spine-Leaf machst auch aufgrund der Kosten eher nur im Datacenter wenn du viel Traffic zwischen den Racks hast (Anwendungen zu DBs zu verteiltem Storage zu anderen Anwendungen usw.) und die ganzen Clients, die ja kaum Traffic haben macht man weiter als Stern/Baum.