Günstiges Heimnetz mit VLANs

[fragwuerdig]

Moin,

ich würde gerne zuhause mehrere VLANs einrichten. Eins für internes, privates Netz, eins für Geräte, die eine reine Cloudverbindung benötigen, ein IoT- und ein Gastnetzwerk.

Fritzboxkaskade wäre möglich, allerdings stört mich hier das doppelte NAT.

Was wäre die einfachste, aber bezahlbare Variante, ohne vorher Netzwerktechnik studieren zu müssen? 😀

Ich habe bei einem Bekannten mit Unifi gearbeitet, dort war es im Prinzip ein Kinderspiel, aber halt auch entsprechend kostspielig. (So eine Dream machine wäre schon was schönes...)

Sollte Unifi tatsächlich am einfachstesn zu konfigurieren sein, müsste ich halt in den sauren Apfel beißen und etwas Geld ausgeben. Sollte es deutlich günstigere aber etwas komplexere Möglichkeit geben, bin ich aber auch gewillt, mich entsprechend damit zu befassen.

Vielleicht hätte jemand Empfehlungen für Modem, Router und Switch oder ggf. ein Allroundgerät, das alles kann? Access points und Repeater sollten dann wohl aus dem gleichen Hause kommen?

Ich habe selbst schon versucht, hier eine Lösung zu finden, aber so richtig schlau bin ich nicht daraus geworden.

Aber eins weiß ich: Eine Fritzbox ist nicht für VLANs geeignet, außer es reichen einem 2 VLANs wobei eines davon das Gastnetzwerk der Fritzbox nutzt und damit z. B. auch keine Portfreigaben möglich wären.

Mein Hauptziel wäre, isolierte Netzwerke zu haben, für die aber jeweils auch Portfreigaben möglich sind und nach Bedarf auch eine geregelte Kommunikation zwischen den VLANs.

Danke im Voraus für eure Vorschläge

 

[madmax2010]

Schau dich mal bei Miktrotik um. Die haben Switches / Router die gut bedienbar sind und das koennen. Nur Modems fehlen da.

 

[DJKno]

Die günstige Alternative zu Unify wäre TP Link Omada. Hat eine vergleichbare Software, die man sowohl als Gerät, als auch als Docker Container betreiben kann.
Davon gibt es entsprechend auch AccessPoint und VLAN fähige Switchen.

Nutze es selbst auch, insgesamt 4 Access Points und einen ER605 als Gateway/Router, welcher hinter einer Fritzbox hängt, die nur noch die Internetverbindung herstellt.

 

[fragwuerdig]

Nutze es selbst auch, insgesamt 4 Access Points und einen ER605 als Gateway/Router, welcher hinter einer Fritzbox hängt, die nur noch die Internetverbindung herstellt.

Klingt gut, aber hast du dann nicht auch Double NAT? Habe keine Möglichkeit gefunden, eine Fritzbox auf Bridge Mode umzustellen, außer bei den Kabel-Modellen 🤔😀

 

[DJKno]

Ja habe ich, macht aber absolut null Probleme. Ich betreibe sogar verschiedene Systeme, welche aus dem Internet erreichbar sind dahinter.
Zusätzlich habe ich sogar 2 Fritzboxen mit 2 getrennten DSL Anschlüssen, die ich darüber bündele. Der ER605 kann mittlerweile auch Wireshark und ich habe verschiedene DynDNS Dienste angebunden und nutze diese parallel.

 

[DLMttH]

Nicht jeder Router kann mit jedem Provider und das passende Modem zur Zugangstechnik wirst du wahrscheinlich auch nicht vom gewünschten Hersteller bekommen. Für das konfigurieren von VLANs auf einem Switch braucht man auch nicht unbedingt eine ulta clevere Softwarelösung eines bestimmten Herstellers, der sich mit dem Rest der Hardware deckt, VLAN ist standardisiert.

Also vielleicht fängst du mal damit an, deinen Anschlusstyp und Provider zu nennen und der Rest ergibt sich dann irgendwie.

@DJKno mit funktionierendem IPv6 in allen Subnetzen?

 

[fragwuerdig]

Ja habe ich, macht aber absolut null Probleme. Ich betreibe sogar verschiedene Systeme, welche aus dem Internet erreichbar sind dahinter.
Zusätzlich habe ich sogar 2 Fritzboxen mit 2 getrennten DSL Anschlüssen, die ich darüber bündele. Der ER605 kann mittlerweile auch Wireshark und ich habe verschiedene DynDNS Dienste angebunden und nutze diese parallel.

Hast du den ER605 dann in der fritzbox als exposed host oder mit PPPoe-Passtrough konfiguriert?

Also vielleicht fängst du mal damit an, deinen Anschlusstyp und Provider zu nennen und der Rest ergibt sich dann irgendwie.

Bisher Telekom DSL 250k. In ferner Zukunft damm Glasfaser. Habe bisher aber absolut keinen Bedarf gesehen, auf Glasfaser umzustellen.

 

[DLMttH]

Wenn du die Möglichkeit hättest und warum auch immer die Telekom für einen brauchbaren Provider hältst, wäre es Quatsch, nicht zu Glasfaser zu wechseln, da sich dein Modemproblem damit erledigt hätte und die Tarife derzeit sogar günstiger als DSL sind.

 

[fragwuerdig]

Weil ich dort das Modem dazu bekomme, meinst du?

Mir fällt aber grade ein, dass ich noch eine Speed port von der Telekom rumliegen habe, der damals dabei war und der müsste meines Wissens auf reines Modem umgestellt werden können.

Damit wäre das Modemproblem schon mal vom Tisch.

Was für ein Budget sollte ich ansetzen für Router, Switch, 2 AccessPoints und zwei Repeatern?

 

[DLMttH]

Weil ich dort das Modem dazu bekomme, meinst du?

Jein, weil es für diese Anschlussart überhaupt ein relativ günstiges, reines Modem gibt.

Wobei mich Speedport und "dabei sein" wundert, nicht dass du dafür nach wie vor Miete zahlst.

 

[Roesi]

Fritzbox als Modem (geht mit DSL und Kabel ohne Probleme) und danach einfach eine OPSense mit passend Switch wäre keine Lösung für Dich?

 

[wildfly]

Die FRITZ!Box kann nicht als einfaches DSL-Modem eingesetzt werden, da der Großteil der Funktionen der FRITZ!Box dann nicht nutzbar wäre. Auch die an vielen DSL-Anschlüssen zusammen mit dem Internetanschluss bereitgestellten Telefonie- und Fernseh-Angebote könnten dann nicht mehr genutzt werden. Richten Sie die FRITZ!Box daher für den Betrieb als DSL-Router ein.

https://fritz.com/service/wissensda...nn-die-FRITZ-Box-als-Modem-eingesetzt-werden/

 

[fragwuerdig]

Hätte noch einen zweiten Nuc rumliegen und ein Kumpel, der sich dem Thema Mal widmen wollte, aber keine Zeit findet, einen TP-Link TL-SG2008P.

Könnte ich mit dieser Kombination schon mal eine Basis schaffen?

Also

• Modem: speedport smart 3
• Switch: TP-LINK TL-SG2008P
• Router: Opsense auf Nuc

Wenn ich jetzt noch keine VLAN-fähigen APs habe, ist es trotzdem möglich, "dumme" APs innerhalb der einzelnen VLANs zu nutzen, oder? Die dann eben nur ein Wifi für das eine VLAN aufbauen in dem sie Sich befinden?

 

[DJKno]

Hast du den ER605 dann in der fritzbox als exposed host oder mit PPPoe-Passtrough konfiguriert?

Als Exposed Host. Der ER605 hat mehrere WAN Ports, die man einzeln konfigurieren kann.

 

[chrigu]

Klingt gut, aber hast du dann nicht auch Double NAT? Habe keine Möglichkeit gefunden, eine Fritzbox auf Bridge Mode umzustellen, außer bei den Kabel-Modellen 🤔😀

Für vlan ist fritzbox komplett untauglich. Auch mit Kaskaden oder der nicht mehr vorhandenen brigde-Mode.
Wie schon andere schrieben, mikrotic oder tp-link oder vigor oder unify und wie die alle heissen kaufen und Freude haben.
Mit fritzbox kannst du nur zwei getrennte Netzwerke machen, dafür istder gastzugang da.

 

[DJKno]

Wenn ich jetzt noch keine VLAN-fähigen APs habe, ist es trotzdem möglich, "dumme" APs innerhalb der einzelnen VLANs zu nutzen, oder

Ja ist es, du kannst sie ja innerhalb des VLANs konfigurieren, wenn sie mir den korrekten Port verbunden sind.

 

[fragwuerdig]

Habe es jetzt mit dem Speedport im Modemmodus, einem Nuc mit OPNsense und einem TP-Link SG2008P erfolgreich zum laufen gebracht.

Habe nun erstmal ein

• LAN-VLAN 10 (das Standard LAN interface des Opsense als Fallback, wenn ich mal was kaputt mache)
• Management-VLAN 20 (Opsense, Switch Management interface und ein Port am switch um dort z. B. einen Laptop anzustecken)
• MODEM-VLAN 7 (Für speedport, schreibt die Telekom so vor)
• TRUSTED-VLAN 30 (Für alle eigenen vertrauenswürdigen Geräte)
• GUEST-VLAN 40
• WORK-VLAN 50 (Für Home Office)

Als nächstes setze ich mich an die Firewall-Regeln, weil bisher noch alles miteinander sprechen kann und sowieso noch das meiste im Trusted VLAN untergebracht ist, dass erstmal wieder alles läuft. (Sonst schimpft die Frau.)

Ich muss sagen, wenn man einmal in dem Thema drin ist, ergibt alles ziemlich schnell Sinn. Bin zwar heute etwas müde, da alles erst um 2:00 Uhr früh lief, aber was solls.


Jetzt stellt sich mir noch eine Frage:

Würdet ihr in Proxmox (mein smarthome Server, auf dem z. B. Home assistant und paperless läuft) VLAN Tagging verwenden oder ihn einfach komplett ins ungetaggte Trusted VLAN werfen?

Ersteres klingt spannend, da man VMs dann ja wahrscheinlich anderen VLANs zuweisen könnte, aber ich glaube auch, dass es das Ganze doch nochmal deutlich komplexer macht, oder wie seht ihr das?

 

[DJKno]

Für Proxmox mit einem Trunkport arbeiten und dort alle gewünschten VLANs bereitstellen. Diese kann man dann in Proxmox einzeln zuweisen.

 

[fragwuerdig]

Trunkport heißt bei Tp-link dann einem Port einfach alle (genutzten) VLANs Tagged zuweisen, korrekt? Eine Einstellung, wie trunk oder access gibt es bei Tp-link nicht.

 

[DJKno]

Ja, alle VLANS zuweisen.