Aufbau Netzwerk im Haus

[diwo]

Hallo zusammen

Ich bräuchte mal Eure Beratung.

Ich möchte mir aktuellere Netzwerkgeräte zulegen, und überlege in dem Fall ob der bisherige Aufbau sinnvoll ist/war bzw. ich möchte das vielleicht sinnvoller gestalten.

Bisheriger Aufbau:

An einer Fritzbox im EG kommt das DSL an.
An dieser Fritzbox ist
1. Ein WLAN für Benutzerkreis 1
2. per Mesh eine Powerline mit WLAN am Empfänger und genutzten LAN-Anschlüssen auch für Benutzerkreis 1

Von dieser Fritzbox geht es per LAN-Kabel zu einem OPENWRT-Router im 1.OG

An diesem Router im 1.OG ist LAN und WLAN genutzt für Benutzerkreis 2 und dieser Router stellt die Verbindung zu einem weiteren OPENWRT Router im 2.OG zur Verfügung der auch WLAN und LAN für Benutzerkreis 2 zur Verfügung stellt.

Also beide OPENWRT-Router sind für Benutzerkreis 2 (WLAN und LAN).

Die OPENWRT-Geräte sollen jetzt weg (1 weil sie sehr alt sind und 2. weil im 2.OG mehr LAN-Anschlüsse benötigt werden), Fritz und Fritz-PowerLine im EG soll aber so bleiben wie es ist.

Ich möchte Die WLAN von Benutzerkreis 1 und 2 weiterhin getrennt haben. Das WLAN für Benutzerkreis 2 soll im 1.OG sowie im 2.OG die gleiche SSID haben. Die Endgeräte sollen automatisch wechseln.

Es liegt ein LAN-Kabel von der Fritzbox im EG zum OPENWRT im 1.OG und es liegt ein LAN-Kabel vom 1.OG zum 2.OG.

Jetzt habe ich mir überlegt, ich stelle im 1. OG eine weitere Fritzbox hin, nutze dort WLAN und LAN für Benutzerkreis 2 im 1.OG und stelle per LAN eine Verbindung zum 2.OG her (das Kabel welches vorher die beiden OPENWRT-Router miteinander verbunden hat).

Im 2.OG stelle ich ein 8 Port Switch auf, das direkt mit der Fritzbox vom 1.OG verbunden ist und für die Geräte die im 2.OG per LAN angeschlossen werden sollen. Zusätzlich hänge ich an den Switch noch einen Fritz Repeater, der das WLAN für das 2. OG für Benutzerkreis 2 zur Verfügung stellt.

Ist das so halbwegs sinnvoll?

Ich hoffe ich habe es nicht zu kompliziert beschrieben und male noch ein kleines Bildchen dazu (nicht um noch mehr zu verwirren, eher das Gegenteil )

Vielen Dank für Eure Meinung

 

[cuco]

Wie stark müssen Benutzerkreis 1 und 2 voneinander getrennt sein? Darf z.B. Benutzerkreis 2 auf Geräte von Benutzerkreis 1 Zugriff haben? Und umgekehrt?

 

[diwo]

Es muss jetzt nicht gegeneinander streng verriegelt sein, wäre aber schön wenn das mit wenig oder ohne Mehraufwand möglich wäre.

 

[cuco]

Okay. Also die saubere Lösung wäre es dann nämlich, die beiden Netze voneinander zu trennen, zum Beispiel per VLANs (Layer 2). Oder wenn ich mir die Topologie so anschaue, dann braucht man ggf. gar keine VLANs, da die Netze eh schon physisch voneinander getrennt sind (Layer 1). Auch Layer 3 (IP-Netze) sollte damit voneinander getrennt sein.
Aktuell werden beide Netze an der Fritz!Box im EG miteinander verbunden. Hier müsste eigentlich eine Trennung erfolgen - nicht physisch, dann hätte mindestens eines der beiden Netzsegmente kein Internet mehr, aber durch eine Firewall. Das kann die Fritz!Box aber leider nicht, sofern man nicht das Gastnetz dafür missbraucht.

Möglichkeit 1: Dein DSL geht in ein eigenes DSL-Modem bzw. einen eigenen DSL-Router (zusätzlich), dahinter folgt dann eine "richtige" Firewall/Router (z.B. ein kleiner Server mit OPNsense oder pfSense, alternativ ein Router mit OpenWRT), von da aus geht es in getrennten Netzen weiter, einmal zur jetzigen EG-Fritz!Box für Benutzerkreis 1 und einmal zur Fritz!Box im 1.OG für Benutzerkreis 2.
Sauberste/beste Lösung, aber auch die mit dem meisten zusätzlichen Hardwareaufwand. Allerdings ggf. doppeltes NAT für alle Benutzer, was etwas unschön ist, aber man merkt davon in der Regel nichts, außer bei Portfreigaben, wenn von außen auf interne Server zugegriffen werden soll. Ist aber lösbar. Nutze ich selbst so. Flexibelste Lösung, jegliche Zugriffsrechte zwischen den Benutzerkreisen oder vom Internet auf eines der Geräte in einem der beiden Benutzerkreisen lassen sich frei in die Firewall konfigurieren.

Möglichkeit 2: Du konfigurierst die Fritz!Box im 1. OG so, dass sie nicht als zusätzlicher Accesspoint arbeitet, sondern sich selbst ihr Internet von der Fritz!Box im EG holt, das auch als Internet ansieht und nochmal NATet. Über die Firewall in der Fritz!Box im 1. OG müsstest du dann möglichst den Zugriff auf das Netz von Benutzerkreis 1 verhindern.
Etwas frickelig, aber Vorteil: Keine neue Hardware nötig, doppeltes NAT nur für Benutzerkreis 2 (Benutzerkreis 1 hat nur 1x NAT), Benutzerkreis 1 kann nicht auf Benutzerkreis 2 zugreifen, umgekehrt aber schon, wenn du es nicht sauber konfigurierst - was bei den begrenzten Möglichkeiten der Fritz!Box-Firewall etwas unschön sein kann, aber möglich sein müsste. Zugriffe zwischen den Netzen lassen sich konfigurieren, aber ggf. über hässliche Workarounds.

Möglichkeit 3: Du schließt die Fritz!Box im 1. OG so an, dass sie im Gastnetz von der Fritz!Box im EG hängt.
Vorteil: Keine neue Hardware nötig, kein doppeltes NAT für beide Benutzerkreise, Zugriffe zwischen den Benutzerkreisen sind direkt gesperrt. Ist daher schön einfach. Nachteil: Zugriffe von außen lassen sich - trotz nur noch einfachem NAT - nicht für Benutzerkreis 2 (Gastnetz) konfigurieren. Auch Zugriffe zwischen den Netzen lassen sich bei Bedarf nicht einrichten. Und ggf. muss das Gastnetz richtig konfiguriert werden, damit Zugriffe nicht auf einzelne Dienste beschränkt werden oder "hübsche" Vorschaltseiten erst den Zugriff blockieren.

 

[sl500]

Möglichkeit 3 klingt für mich nach den Anforderungen des TE am sinnvollsten und hätte ich auch so vorgeschlagen...

 

[diwo]

Danke erstmal für Eure Tips und Hinweise

Aktuell tendiere ich eher zu der Möglichkeit 2.
Die scheint meiner bisherigen Konfiguration am nächsten zu kommen. Zudem möchte ich von beiden Benutzerkreisen auf die Konfiguration der 1. (schon vorhandenen) Fritzbox Zugriff haben. Ich vermute mal das das mit der Möglichkeit 3 nicht funktioniert.?

Was hat es denn mit den doppelten NAT auf sich?

Ich dachte im übrigen für die Fritzbox im 2.OG an eine 4040. Die sollte ja günstig zu bekommen sein.

 

[Pommbaer]

Ich habe bei mir im Haus einfach alles mit Fritzboxen aufgebaut.
War 7490 + 2 x 4040.
Vorteile: Mesh (funktioniert hier einwandfrei) und die fritzbox erlaubt ein Gast-WLAN mit eigener ssid was dann problemlos auch im Mesh läuft.
Mehr Trennung brauche ich privat nicht - soviele Hacker habe ich nicht zu Gast, dass ich da Angst haben müsste.

Jetzt ist es eine 7530 wg. des Anschlusses + 7490 mit DECT-Hotspot mittig im Haus + 4040 im Arbeitszimmer.
Backup der Geräte ist über GBit Lan an einem Netgear 305 im Keller.

 

[sl500]

Danke erstmal für Eure Tips und Hinweise

Aktuell tendiere ich eher zu der Möglichkeit 2.
Die scheint meiner bisherigen Konfiguration am nächsten zu kommen. Zudem möchte ich von beiden Benutzerkreisen auf die Konfiguration der 1. (schon vorhandenen) Fritzbox Zugriff haben. Ich vermute mal das das mit der Möglichkeit 3 nicht funktioniert.?

Was hat es denn mit den doppelten NAT auf sich?

Ich dachte im übrigen für die Fritzbox im 2.OG an eine 4040. Die sollte ja günstig zu bekommen sein.

Mir ist noch ein wenig unklar was du mit Benutzerkreisen genau meinst?
Haben die eigenen Adressbereich, sind die logisch getrennt?
Wozu die Trennung?

Doppeltes NAT ist immer problematischer wenn du aus dem Internet oder aus dem ersten (NAT)-Netz erreichbar machen möchtest...

 

[diwo]

Benutzerkreis 1 sind meine Eltern und ihre Geräte. Die hatten auch einen anderen IP-Bereich. Benutzerkreis 2 ist dann mein "Bereich"

 

[sl500]

Und welche Box steht im Keller?
Kann die schon Gast (W)LAN?
Dann würde ich schauen, dass ich deine Eltern ins Gastnetz packe und deinen Bereich ins normale LAN der ersten Box...

Es ist wirklich ein wenig verwirrend mit dem ganzen 1. 2./OG und Benutzerkreis zu lesen...

Daher ist es vielleicht die beste Idee, deine Eltern in das Gastnetz einer entsprechenden FritzBox aus dem EG zu packen - GastWLAN und Port 4 als Gastport an der der Powerline-Adpater kommt.

Von der Box im EG gehst du dann mit dem normalen internen LAN in dein 1. OG und dort beliebig weiter

So sind beide Netze logisch und ohne viel Gefrickel getrennt...

Ist auch im Endeffekt Möglichkeit 3 von @cuco, nur das deine Eltern im Gastnetz sind und du im normalen internen LAN der Fritzbox.
Deine Eltern benötigen vermutlich auch einfach nur Internetzugriff aus ihrem "Benutzerkreis" oder?

Alternative Fragen:

Wobei mir der Sinn der Trennung noch nicht ergibt? Ist es von deinen Eltern so gewollt, willst du es?
Gibt es Sicherheitsbedenken?
Spricht was gegen ein gemeinsames Netz ohne Gefrickel?
Solange alle Geräte abgesichert sind (Kennwörter, deaktivierte Freigaben) sehe ich dort keine Probleme...

 

[diwo]

Nein das ganze ist auf meinem Mist gewachsen.

Ich benötige ja sowieso mehrere Geräte um über die 3 Etagen zu kommen.
Dann war der Gedanke da, nicht diverse Handys, Tablets, Notebooks, etc. (Es kommen ja noch Nichten und Enkel dazu) nur über ein WLAN laufen zu lassen.
Daraus ist die bisherige Konstruktion mit der Fritze am DSL im EG und zwei weiteren Routern mit DD-WRT im 1.OG und 2.OG entstanden (übrigens nicht OpenWRT wie ich im ersten Post geschrieben habe)

Sicherheitsbedenken habe ich eher weniger. Und ein bischen Spaß macht das Gefrickel ja manchmal auch-so es denn irgendwann läuft.

Dazu laufen bei mir diverse Microcontroller mit WLAN und die dürfen dann gerne in "meinem" WLAN bleiben

 

[sl500]

Dann sollte ja nichts gegen Möglichkeit 3 mit Gastnetz für die Eltern sprechen oder?

 

[diwo]

Kommt man aus dem Gast-Netz denn in die Konfiguration der Box? Denn der alter Herr guckt da schon mal rein um ggf. ein Update anzustossen.
Oder anders gefragt: Welche Einschränkungen hat der Nutzer im Gast Netzwerk?

 

[sl500]

Ich bin mir nicht mehr sicher, teste das eben mal hier im Gastnetz, Gast-WLAN fix anschalten...

Edit: Ging hier eben mit der 7590 nicht - kein Respone auf 192.168.179.1

Verstehe dann die Trennung aber noch weniger, wenn der alte Herr da die Zugangsdaten für die FritzBox hat - dann kannst du sie auch ins gleiche LAN lassen...

Wie schon geschrieben, das Gastnetz ist logisch getrennt vom internen Netz - ansonsten bestehen in dem Sinne erstmal keine Einschränkungen was den Internetzugriff angeht...

 

[diwo]

Ich möchte ihn da halt irgendwie nicht aussperren.
Denn wenn das Internet nicht funktioniert kann er schauen, ob das DSL nicht verfügbar ist oder es andere Probleme gibt. Und er schaut da, wie gesagt, gerne mal nach Updates.

Ich werde mir das aber mal durch den Kopf gehen lassen.

Wie schaut es denn mit dem Rest meines Plans aus bezüglich Switch und Repeater? Ist das halbwegs sinnvoll?

 

[sl500]

Kann ich in gewisserweise nachvollziehen....

Trotzdem würde ich mir da nicht dieses Aufwand machen und für dieses Szenario was ganz einfaches "bauen":

Für den alten Herren dein WLAN auf seinem Gerät als zweites WLAN (ohne automatische Verbindung) einrichten, oder direkt Zugriff via LAN mit Laptop oder so...

Weitere Möglichkeiten bei entsprechender FritzBox (du hast noch nicht verraten welche):

1. Infoleuchte leuchtet bei bestehender Internetverbindung (habe ich so bei allen Boxen immer eingerichtet, so genügt ein kurzer Blick zur Box
2. ebenso blinkt ja die Power/DSL Leuchte wenn die DSL-Verbindung weg ist...

Hoheit über die Updates würde ich als Hauptverantwortlicher (bist ja scheinbar du) aber haben wollen - Thema Backup...

Über Updates etc. kann man sich auch direkt via Mail benachrichtigen lassen, bzw. kann man falls nötig auch via Smartphone und VPN von extern alles steuern (die 7590 bietet seit heute mit der Laborfirmware WireGuard Unterstützung, damit ist eine VPN Verbindung in 10 Sekunden erstellt)

Einfach wird es intern und extern vom Handy dann noch via BoxToGo - nutze hier seit Jahren die Pro-Version - Geld ist die App definitiv wert!

 

[cuco]

Also wenn ich mir das so durchlese, komme ich an den Punkt, mich zu fragen, was überhaupt gelöst werden soll. Das wirkt ein wenig so, als wenn du versuchst ein Problem zu lösen, ohne zu wissen, was eigentlich das Problem ist. Also: was genau möchtest du lösen? Warum genau brauchst du die zwei getrennten Netze?

Sicherheitsbedenken? Dann haben nicht beide Netze was auf dem Haupt-Router bzw der Haut-Firewall zu suchen.
Performance-Probleme? Die lassen sich auch anders lösen bzw müssen erst einmal eingegrenzt werden.
Oder einfach Spieltrieb? Dann vielleicht doch Möglichkeit 1, damit lässt sich jede noch so absurde Variante bauen, auch wenn sie nicht im geringsten sinnvoll ist. Auch für Freigaben durch 2x NAT gibt's Lösungen

 

[diwo]

Guten Morgen

Nein ich habe keine Sicherheitsbedenken. Es ist insgesamt vielleicht auch ein bischen Spieltrieb dabei, das will ich gar nicht abstreiten.

Die zwei getrennten Netze habe ich damals hier so eingerichtet weil ich gelesen habe, das zuviele mobile Geräte auf einem WLAN schlecht für die Performance ist. Also war meine Lösung die Variante mit den DD-WRT Routern.

Zugriff von Aussen benötige ich nicht. Das habe ich alles abgeschaltet. Also sollte das mit dem 2xNAT in keinem Fall ein Problem für mich sein?

Die Variante mit dem Gastnetz schein wirklich gut zu sein. Ich werde mir mal das Gast-Netzwerk einrichten und schauen wie das aussieht.

Mail-Benachrichtigungen habe ich für verschiedene Ereignisse bereits eingerichtet.

Die bereits vorhandene Fritze ist eine 7490

Schönen Tag

 

[sl500]

Guten Morgen

Jetzt würde mich mal interessieren wo du das mit der schlechten Performance bei zu vielen Geräten auf einem WLAN gelesen hast?

Das mag vielleicht in größeren Unternehmensumgebungen SoHo Geräten der Fall sein, aber für eine SoHo Umgebungen eher nicht.
Zumal es ja auch immer darauf ankommt was via WLAN abgedeckt werden soll, bei den meisten ist es vermutlich nur den Zugang zum Internet bereitstellen, da braucht es dann theoretisch nicht die Geschwindigkeit eines WLAN AC geschweige denn AX....

DoppelNAT ist dann kein Problem in deinem Szenario...

 

[elensar]

Oder um dem Spieltrieb zu frönen, eine ganz andere Lösung, die unabhängig mehrere WLAN SSIDs inkl. VLAN kann.

Dann kannste die Netze sauber trennen und hast natürlich auch noch die Möglichkeit ein drittes Netz für die wirklichen Gäste zu machen. Und alle SSIDs sind dann an allen APs verfügbar.