Managed Switch für isolierte Geräte im Netz
- Ersteller Ambrosius
- Erstellt am
laptopheaven
Rather active member
- Registriert
- 10 Juni 2008
- Beiträge
- 8.011
Der Parameter nennt sich VLAN.
Allerdings musst Du Dir dann schon vorher Gedanken über den grundsätzlichen internen Aufbau des Netzes machen, denn ich gehe mal davon aus, dass diese isolierten Geräte trotzdem irgendwie einen Weg ins Internet finden sollen ?
- Registriert
- 23 Juni 2022
- Beiträge
- 1.296
Richtig, das wäre bestenfalls schon ootb der Fall. VLAN macht natürlich Sinn. Muss aber wie ich es verstanden habe über die Weboberfläche konfiguriert werden, Stichwort "logische VLANs"..
mtu
Active member
- Registriert
- 11 Jan. 2009
- Beiträge
- 483
Manche Fritzboxen bieten die Möglichkeit, eine ihrer LAN-Buchsen ins Gästenetz zu führen, wo (wenn man das so konfiguriert) die angeschlossenen Geräte auch nicht miteinander sprechen können. Mit einem Switch dran dürfte das auch mit mehreren Geräten gehen (habe ich aber selbst noch nicht benutzt).
Das Gast-LAN der Fritz!Box kann Geräte untereinander nicht trennen, das geht nur im Gast-WLAN, weil da der Traffic erst über die Box geht. Im Gast-LAN mit einem nachgeschalteten Switch geht der Traffic gar nicht durch die Box, daher kann sie den auch nicht blockieren. Aber die Geräte sind natürlich vom internen Netz an den restlichen Ports der Fritz!Box getrennt.
Zum Switch: Ja genau, es sollte managebar sein, möglichst per Webinterface, notfalls auch per proprietärer Software und VLANs unterstützen. Das sind - nach den dumb-Switches ohne jegliche Konfiguration - aber so mit die absoluten Grundfeatures. Wird schwer sein, ein VLAN-fähiges Switch zu finden, dass man nicht konfigurieren kann. Ebenso wird es schwer, ein konfigurierbares Switch zu finden, welches keine VLANs kann.
Aber wichtig ist auch der Gedanke von laptopheaven: Wenn du die Geräte vom Rest des Netzes trennst, trennst du sie auch von deinem Router. Damit kommen sie auch nicht mehr ins Internet. Das kann gewollt sein, aber wenn nicht, brauchst du einen Router, der sich entsprechend auch in das zweite VLAN hängen lässt. Das ist mit den Standard-SOHO-Routern bzw. Heimnetzgeräten in der Regel nicht der Fall! Fritz!Box und Co. können das also nicht - abgesehen vom Gastnetz, welches zwar eher für andere Zwecke gedacht ist, sich aber für ein zweites VLAN missbrauchen lässt. Wenn man noch genauer konfigurieren will, als es das Gastnetz kann oder mehr als zwei VLANs möchte, muss dann schon auf andere Lösungen zurückgreifen. Z.B. mit OpenWRT (Achtung! Das kann einiges an CPU fressen - nicht jedes OpenWRT-Gerät macht das also performant mit) oder pfSense/OPNsense. Letztere beiden kann man sich entweder in Software z.B. in einer VM oder auf ausrangierter PC-Hardware installieren oder eine Hardware-Appliance kaufen. Beispiele:
shop.opnsense.com
shop.netgate.com
oder abgespeckt: https://shop.netgate.com/products/1100-pfsense
Das Switch ist dann dagegen der deutlich günstigere Part. Je nach Anzahl der Ports und weiterer Anforderungen schon für unter 50€ machbar.
Zum Switch: Ja genau, es sollte managebar sein, möglichst per Webinterface, notfalls auch per proprietärer Software und VLANs unterstützen. Das sind - nach den dumb-Switches ohne jegliche Konfiguration - aber so mit die absoluten Grundfeatures. Wird schwer sein, ein VLAN-fähiges Switch zu finden, dass man nicht konfigurieren kann. Ebenso wird es schwer, ein konfigurierbares Switch zu finden, welches keine VLANs kann.
Aber wichtig ist auch der Gedanke von laptopheaven: Wenn du die Geräte vom Rest des Netzes trennst, trennst du sie auch von deinem Router. Damit kommen sie auch nicht mehr ins Internet. Das kann gewollt sein, aber wenn nicht, brauchst du einen Router, der sich entsprechend auch in das zweite VLAN hängen lässt. Das ist mit den Standard-SOHO-Routern bzw. Heimnetzgeräten in der Regel nicht der Fall! Fritz!Box und Co. können das also nicht - abgesehen vom Gastnetz, welches zwar eher für andere Zwecke gedacht ist, sich aber für ein zweites VLAN missbrauchen lässt. Wenn man noch genauer konfigurieren will, als es das Gastnetz kann oder mehr als zwei VLANs möchte, muss dann schon auf andere Lösungen zurückgreifen. Z.B. mit OpenWRT (Achtung! Das kann einiges an CPU fressen - nicht jedes OpenWRT-Gerät macht das also performant mit) oder pfSense/OPNsense. Letztere beiden kann man sich entweder in Software z.B. in einer VM oder auf ausrangierter PC-Hardware installieren oder eine Hardware-Appliance kaufen. Beispiele:
DEC675 – OPNsense® Desktop Security Appliance – OPNsense® Shop
shop.opnsense.com
Netgate 4200 BASE pfSense+ Security Gateway
The Netgate 4200 Is The Official pfSense router, pfSense firewall, & pfSense VPN. The Netgate® 4200 with pfSense® Plus software is one of the most versatile security gateways in its class. The 4200 delivers almost 10 Gbps of L3 routing across four independent 2.5 GbE flexible WAN/LAN ports.
shop.netgate.com
Das Switch ist dann dagegen der deutlich günstigere Part. Je nach Anzahl der Ports und weiterer Anforderungen schon für unter 50€ machbar.
- Registriert
- 23 Juni 2022
- Beiträge
- 1.296
Wieder ma was gelert.
Es stimmt LAN 4 kann in den Einstellungen als isolierte LAN_Schnittstelle ausgewählt werden. Leider ist das aber keine Option, aus logistischen Gründen nicht..Und notfalls kann man sich auch über das GAST WLAN behelfen, das ist auch richtig, wenn die Geräte im Gast WLAN untereinander nicht kommunizieren können, wäre das auch eine Option, nur ginge es dann ausschließlich kabellos.
Wäre es eine Option den DHCP Server auf z.b. einen PiHole zu verlagern und die VLANS der Switch auf diese Weise anzusprechen?
Es stimmt LAN 4 kann in den Einstellungen als isolierte LAN_Schnittstelle ausgewählt werden. Leider ist das aber keine Option, aus logistischen Gründen nicht..Und notfalls kann man sich auch über das GAST WLAN behelfen, das ist auch richtig, wenn die Geräte im Gast WLAN untereinander nicht kommunizieren können, wäre das auch eine Option, nur ginge es dann ausschließlich kabellos.
Dieser Punkt scheint mir bis hierher so mit das kniffligste Problem, das es zu lösen gilt, zu sein..Das habe ich allerdings nicht bedacht. Ich dachte zumindest dass man mit den etwas weitergehenden Tools von FritzOS da was zusammenschustern kann.
Wäre es eine Option den DHCP Server auf z.b. einen PiHole zu verlagern und die VLANS der Switch auf diese Weise anzusprechen?
Nein. VLANs kannst du dir so vorstellen wie zwei "echt getrennte" Netze. Der einzige Vorteil: Man muss für diese zwei Netze nicht tatsächlich eigene Kabel ziehen, denn es sind ja nur "virtuelle LANs" (VLANs). Ansonsten verhalten sie sich erst einmal genau so wie zwei physikalisch getrennte Netze. Will man irgendwo wieder eine Verbindung (z.B. über das Internet, oder aber auch irgendwo vorher schon), braucht man eben zwei Router oder einen Router, der mit mehr als einem Heimnetz/LAN umgehen kann. Darüber kann man dann die Netze per Router/Firewall wieder verbinden und dabei eben auch filtern, welche Zugriffe von Netz A in Netz B möglich sein sollen und umgekehrt. Und welche eben nicht erlaubt sein sollen - wenn man alles erlauben würde, bräuchte man schließlich nicht zu trennen.
- Registriert
- 23 Juni 2022
- Beiträge
- 1.296
Das ist alles sehr aufschlussreich und auch nach alledem was ich so recherchiert habe, fällt die Option für mich erstmal flach. Mehr Geld in die Hand zu nehmen für entweder einen zweiten Fritze Router (~Kaskade) oder einen komplett neuen der auch VLAN fähig ist, war nun nicht angedacht und sicher auch nicht im Budget. In dem Fall werde ich fürs Erste mit dem GAST Wlan Vorlieb nehmen müssen und ihn zweckmäßig entfremden ... WLAN nachrüsten ist wohl in dem Fall besser als das Heimnetz upzugraden..
Danke hier auch an die Denkanstöße und rasche Aufklärung
Danke hier auch an die Denkanstöße und rasche Aufklärung
