3 Vlans mit 2 Internetzugriffen

[balbes]

Guten Tag,

ich suche seit Wochen nach einer Lösung für mein Problem, bis jetzt bin ich nicht fündig geworden, obwohl es eigentlich ganz einfach ist

Also ich habe 3 Wohnungen in meinem Haus. Ich möchte, dass jede Wohnung Zugriff aufs Internet hat, aber nicht gegenseitig aufs Netzwerk. Ich nutze den LAN1 Port meiner Fritzbox6660 für mich. Meine Mieter sollen den LANPort 5 (Gastzugang) nutzen.
Jetzt habe ich mehrmals gelesen, dass die Fritzbox damit wohl Probleme hat, aber wieso eigentlich?

Und wenn es nicht klappt, dass die Mieter den Gastzugang meiner Fritzbox als Internetzugang nutzen können, so möchte ich zumindest verhindern, dass die Mieter in mein Netzwerk können.

Demnach benötige ich 3 VLAN´s richtig?

Als Switch nutze ich ein smart managed TP-Link TL-SG1024DE.

 

[nutrix]

Warum bekommen Deine Mieter keinen eigenen Provider? Du haftest dann für alle, wenn die damit z.B. Urheberrechtsverletzungen oder schlimmeres begehen usw. Allein aus diesen Haftungsgründen würde ich keinen anderen an meinen Anschluß lassen.

 

[HighTech-Freak]

Nachdem der Anschluss eh schon geteilt wird und da hoffentlich 3 Parteien zahlen:
Kauf bitte den Firmentarif von deinem Anbieter samt einem 8er IP Subnetz. Damit hast Du dann 5 nutzbare öffentlichen IP Adressen.
Jeder Mieter bekommt dann eine eigene öffentliche IP Adresse. D.h. Wenn man den Mietern direkt das LAN zur verfügung stellen will müsste die Fritzbox das entsprechend routen (d.h. LAN-IP Netz von Mieter 1 auf WAN-IP 1, LAN-IP Netz von Mieter 2 auf WAN-IP2 usw.) Nicht sicher ob FritzOS das so kann. Das Setup is kein klassisches Heimnetzwerk...

Falls Du da AirBnB oder so machst: In dem Fall würde ich Geld in die Hand nehmen und das in dem Konstrukt auch erst recht einmal vernünftig machen... ohne Internet kein Netflix und Co => schlechte Bewertungen.

Wie man's dreht und wendet... die Sparlösung ist hier eher fehl am Platz außer die "Mieter" sind die eigenen Kinder...

 

[balbes]

Das sind ganz normale Mieter, also kein AirBnB. Ich habe mich zu dem Thema extra informiert. Der Anschluss darf geteilt werden, solange das Vertraglich geregelt ist. Solange ich einen Vertrag extra für den Internet Zugang habe, bin ich auch nicht für Fehltritte im Internet haltbar. Teilen tu ich den Anschluss nur. Weil ich einen Gigabit Anschluss habe, der schon so oder so "teuer" ist. Und so profitieren alle, vom schnellen Anschluss und "günstigen" Konditionen.
Soweit ich weiß kann die Fritzbox nicht mehrere IP Adressen verwalten, das ist wahrscheinlich auch jetzt schon mein Problem, weil Sie nur einen Anschluss am Gastport verwalten kann.
Und neues Equipment bzw. Firmenanschluss zu holen, würde die Sache so teuer machen, dass das teilen der Kosten es uninteressant macht.

 

[BlubbsDE]

Ich habe mich zu dem Thema extra informiert. Der Anschluss darf geteilt werden, solange das Vertraglich geregelt ist.

Wo hast Du Dich da informiert? Nicht bei Deinem Provider. Ein Konsumer Kabel Anschluss darf auf diese Art und Weise nicht geteilt werden.

Und zum Problem. Über welche Probleme hast Du beim Gastzugang gelesen? Der funktioniert einfach. Ist halt nen zweites Netz, was die FB da bereit stellt.

 

[Tzk]

Der Anschluss darf geteilt werden, solange das Vertraglich geregelt ist.

Und wenn du einen Tarif bei deinem Provider abgeschlossen hast, der eine Untervermietung erlaubt. Ich kann mir irgendwie nicht vorstellen, dass das bei einem normalen Endkundentarif erlaubt ist. Dafür wirst du einen Businusstarif benötigen, der schweineteuer ist.

Davon abgesehen ist Störerhaftung immer ein Thema. Wie stellst du sicher, dass im Fall der Fälle du einen Nachweis führen kannst aus welchem VLAN der Zugriff kam? Dafür müsstest du die Zugriffe protokollieren, was dich in die DSGVO Vorhölle bringt.

Exemplarisch mal ein Zitat aus den 1&1 AGB zum VDSL Vertrag, ich tippe bei anderen Anbietern sieht es ähnlich aus:

Der Kunde ist nur berechtigt, die Nutzung der von 1&1 erbrachten Dienste dritten
Personen zu überlassen, soweit diese mit ihm in einem Haushalt leben und/ oder
die Nutzung in ähnlicher Weise sozial adäquat ist (beispielsweise unter Familien-
mitgliedern) und/ oder es sich um eine vorübergehende Überlassung an Gäste im
Rahmen des „Hausgebrauchs“ handelt. Der Kunde darf den Dienst im Übrigen
Dritten nicht zum alleinigen Gebrauch zur privaten oder gewerblichen Nutzung
oder in sonstiger Weise überlassen oder weitervermieten.

 

[balbes]

Wäre cool, wenn man das technische Problem beim dem Thema lösen könnte . Der Rest soll bitte meine Sorge sein.

 

[Incanus]

Leider hast Du Dein Problem ja noch gar nicht beschrieben.

Was mit

Jetzt habe ich mehrmals gelesen, dass die Fritzbox damit wohl Probleme hat, aber wieso eigentlich?

oder

Soweit ich weiß kann die Fritzbox nicht mehrere IP Adressen verwalten, das ist wahrscheinlich auch jetzt schon mein Problem, weil Sie nur einen Anschluss am Gastport verwalten kann.

gemeint sein soll, weiß ich beim besten Willen nicht.

Aber was sagen eigentlich Deine Mieter dazu, dass sie keine Möglichkeit haben irgendwas an ihrem Internetzugang zu konfigurieren? Portfreigaben für Spiele vorzunehmen z.B.

 

[balbes]

Also ich möchte einfach mein Netzwerk so aufteilen, dass jede Partei sein eigenes Netzwerk hat. Und wenn möglich über eine eigene IP über den Gastzugang der Fritzbox aufs Internet zugreifen kann. Leider klappt das bei mir nicht. Die Netzwerke sind zwar so getrennt, aber haben keinen Internetzugriff.

Die Miter sind auf mich zugegangen, da es teilweise Rentner sind bzw. Ein Servicetechniker, der nie zu Hause ist und eigentlich keinen Anschluss wirklich benötigt. Aber nennen wir es doch einfach Kind1 und Kind2 im eigenen Haushalt kann und darf ich mein Internet nutzen wie ich will .

 

[Incanus]

Auch da werden Dir die Kinder aufs Dach steigen, wenn einiges nicht so funktioniert, wie sie es von einem Internetanschluss erwarten.

Aber was hast Du denn nun schon konfiguriert? Was meinst Du mit ‚eigener IP‘? Extern oder intern?

 

[BlubbsDE]

Du brauchst andere Hardware hinter der FritzBox. Mit der FritzBox alleine hast Du nur ein VLAN / Gastnetz. Das wird nix.

 

[balbes]

Ich glaub da habe ich einen Denkfehler. Ich habe ja nur eine IP-Adresse nach außen. Dann macht der Gastzugang keinen Sinn oder, wenn mein Switch die Anschlüsse schon trennen kann :? @BlubbsDE mein Switch kann das doch? Demnach muss ich nur meine tagged und untagged Ports richtig zuordnen? Und benötige ich PVID, damit die Ports untereinander nicht kommunizieren?

 

[riversource]

Der Gastzugang macht schon Sinn. Er trennt deine Mieter von deinem Netz. Aber es ist eben nur einen Gastzugang: D.h., deine beiden Mietparteien sind dann in einem Netz.

Folglich musst du den Gastzugang weiter aufteilen. Das geht nicht allein mit VLANs, denn dann wären sie auf IP-Ebene wieder im gleichen Netz. Folglich brauchst du 2 Router hinter deiner Fritzbox, für jeden Mieter einen. Wenn die als NAT Router konfiguriert werden, können die Mieter sich nicht gegenseitig erreichen, aber sie können sich den Gastzugang teilen.

Im Gastzugang sind aber keine Portweiterleitungen etc. möglich. Das heißt, der Zugang ist schon eingeschränkt.

 

[balbes]

Ok, also kann ich sie von meinem Netzt trennen, aber untereinander nicht.
Kann ich dann um den Nachteil des Gastzugangs auszugleichen beide Parteien über meinen "normalen" Zugang mittels Switch trennen bzw. jeder partei einen eigenen Router zur Verfügung stellen? Der muss ja keinen besonderen Eigenschaften haben, da nur das "Routing" benötigt wird.

 

[Raijin]

mein Switch kann das doch? Demnach muss ich nur meine tagged und untagged Ports richtig zuordnen

Du missverstehst leider komplett was VLANs sind und was dein VLAN-Switch tut. Wenn du einen herkömmlichen Layer2+ Switch wie den TL-SG1024 in VLANs aufteilst, zersägst du in virtuell in mehrere Teilswitches. Und genau so muss man das auch sehen, aus einem 24er Switch mache 3 8er Switches - vollständig autark. Wie willst du daraus 3 Netzwerke machen? Gar nicht, weil es nicht geht. Wenn du 3 Switches nebeneinander stellst, hast du ebensowenig 3 funktionsfähige Netzwerke wie wenn du einem VLAN-Switch einfach in 3 VLANs teilst, weil es exakt dieselbe Situation ergibt : Dir fehlt die routende Instanz zwischen diesen Netzwerken bzw. ihnen und dem Internet.

Eine Fritzbox ist für genau 2 Netzwerke - das Haupt- und das Gastnetzwerk - und das Internet, nicht mehr und nicht weniger. Fritzboxxen können nicht ein halbes Haus mit individuellen Netzwerken versorgen, weil das nicht ihr Sinn und Zweck ist. Du brauchst entweder anstelle der Fritzbox einen Router, der von sich aus mehr Netzwerke verwalten kann, oder du musst hinter der Fritzbox im Gastnetzwerk einen Router anstöpseln, der das kann. So kanns du das Gastnetzwerk als solches als Internetuplink für eben diesen Router verwenden und die Mieternetze kommen dann von diesem Router.

Alternativ kannst du jedem Mieter ein Kabel zum Gastnetzwerk geben und der Mieter hängt dort seinen eigenen Router mittels WAN-Port dran. Nennt sich Routerkaskade.

Aber um ehrlich zu sein, glaube ich, dass du die Situation maßlos unterschätzt, nicht nur rechtlich, sondern auch technisch. Keine Ahnung wer dir den Floh ins Ohr gesetzt hat, aber solche "ich teile mein Internet" Szenarien können mächtig nach hinten losgehen. Ja, kann man alles blauäugig abwinken, aber man kann auch mit geschlossenen Augen von der Klippe springen und ist hinterher trotzdem Matsch.

 

[h00bi]

Solange ich einen Vertrag extra für den Internet Zugang habe, bin ich auch nicht für Fehltritte im Internet haltbar.

Also mal ausgehend für Deutschland: Wenn du nicht im Gast-/Gaststätten-/Beherbergungsgewerbe bist und (die UND Verknüpfung ist wichtig) dieses Gewerbe keinen entsprechenden Businesstarif hat, dann gilft für dich weiterhin die Störerhaftung, außer du kannst den Schuldigen klar benennen. Das wirst du aber in diesem Konstrukt nicht können. Also bist du (in D) fällig.
Diese Konstellation wurde von der Störerhaftung ausgenommen, damit man seinen Gästen gefahrlos Internetzugang anbieten kann.

Jetzt habe ich mehrmals gelesen, dass die Fritzbox damit wohl Probleme hat, aber wieso eigentlich?

Weil das Gastnetz bereits eine Art VLAN ist, aber leider nicht vollständig standardkonform und auch nicht öffentlich dokumentiert.

Soweit ich weiß kann die Fritzbox nicht mehrere IP Adressen verwalten, das ist wahrscheinlich auch jetzt schon mein Problem, weil Sie nur einen Anschluss am Gastport verwalten kann.

das ist humbug.
Haben deine "Gäste" zusammen mehr als 250 Geräte? Wohl kaum.

aber untereinander nicht.

natürlich geht das.
Aber du hast bisher ja noch nicht mal im Ansatz eine technische Diagnose genannt, was denn genau netzwerktechnisch nicht geht außer "kein Internet".
Insofern würde ich einfach darauf tippen, dass dir schlicht das Wissen fehlt um solch ein Netzwerkkonstrukt zu realisieren.

In den Wohnungen braucht ja aber vermutlich eh jeder WLAN oder eine weitere LAN Unterverteilung.
Von daher soll einfach jeder einen (WLAN-)Router in der Wohnung anschließen und sein Netz somit abkapseln vom restlichen Gastnetz abkapseln. Da brauchst du nicht mal einen VLAN Switch.

 

[chrigu]

deine fritzbox hat genau zwei getrennte Netzwerke, das normale und das gastnetz. Fritzbox sind nicht vlan tauglich. Fazit: FRITZ!Box ist für dein Vorhaben nicht geeignet, wenn schon mit einem Vigor oder asus der höheren Preisklasse, beide haben aber keine Kabelinternet Boxen, und die fritzbox kannst du nicht Mehr als bridge Mode (modembetrieb) schalten

 

[Raijin]

@h00bi
Ich vermute hier wurde einfach auf Hörensagen ein VLAN-Switch gekauft, ein paar VLANs darauf angelegt und angeschlossen - in der Erwartung, dass dieses Konstrukt auf magische Art und Weise ein komplexes Netzwerk für mehrere Parteien ergibt. Zwar bis hierhin noch kein gefährliches Halbwissen, aber dafür eher so Hunderstelwissen.

Der "gefährliche" Teil kommt dann hinzu, wenn ein Brief vom Anwalt in der Post ist oder wenn jemand auf die Idee käme, eine Playstation, o.ä. anzuschließen.

Aber es wurde ja darum gebeten, nicht weiter auf die rechtliche Situation und andere Nachteile einzugehen. Für den einen oder anderen mag das dann "die Lösung" sein, weil ignorierte Probleme ja gar keine mehr sind, aber mehr als davor warnen können wir nicht und jeder ist seines eigenen (Un)Glückes Schmied.


@balbes
So könnte es technisch funktionieren:

www
|
Fritzbox (LAN1-3+WLAN) --- BalbesNetz
(LAN4)
|
(P1)
08/15 Switch OHNE VLAN-Konfiguration
|
+-- (P2) ------ (WAN) Wohnungs-WLAN-Router1
+-- (P3) ------ (WAN) Wohnungs-WLAN-Router2
usw.

Mach damit was du willst, denn du trägst das alleinige Risiko.

 

[nutrix]

Das sind ganz normale Mieter, also kein AirBnB. Ich habe mich zu dem Thema extra informiert.

Sorry, da hast Du Dich aber nicht richtig informiert. Lies mal bitte genauer die AGBs der Provider, und verlaß Dich bloß nicht darauf, was Dir ein Kundeberater oder Verkäufer am Telefon erzählt, die tun alles, nur um Dir den Anschluß zu verkaufen.

Der Anschluss darf geteilt werden, solange das Vertraglich geregelt ist. Solange ich einen Vertrag extra für den Internet Zugang habe, bin ich auch nicht für Fehltritte im Internet haltbar.

Nope, beides falsch, und ich könnte Dir dazu ein paar Horrorstorys erzählen.

Ergänzung (26. Dezember 2023)

@balbes
So könnte es technisch funktionieren:

www
|
Fritzbox (LAN1-3+WLAN) --- BalbesNetz 192.168.1.xxx
(LAN4)
|
(P1)
08/15 Switch OHNE VLAN-Konfiguration
|
+-- (P2) ------ (WAN) Wohnungs-WLAN-Router1 192.168.10.xxx
+-- (P3) ------ (WAN) Wohnungs-WLAN-Router2 192.168.20.xxx
usw.

Mach damit was du willst, denn du trägst das alleinige Risiko.

Ich schätze ja Deine Kenntnisse hier sehr, aber gefragt: Wie würde das Konstrukt verhindern, daß eine etwas kundige Person dann trotzdem Zugriff von P3 auf das LAN1 erhält? Da würde ich als Security Experte für Netzwerke mit Berufsparanoia hier doch einige Bauch- und Kopfschmerzen bekommen. Zudem müßten sich hier die Netzbereiche unbedingt unterscheiden, ich habs mal beispielsweise eingetragen, falls der Hinweis erlaubt ist.

 

[h00bi]

Lies mal bitte genauer die AGBs der Provider,

Die AGB des ISP haben strafrechtlich NULL Relevanz.
Wenn der ISP ihm wegen einem AGB Verstoß den Anschluss kündigen würde, wäre das vermutlich das kleinste Problem.