Heim Netzwerk mit Gastnetz und sep. Netz für Freund mit VLAN ohne Firewall möglich?

[whispet]

Hi Zusammen,

ich zerbreche mir die ganze Zeit schon den Kopf darüber, wie ich das am Besten umsetze.

Ich würde gerne Folgendes umsetzen.

Ein Heim-Netzwerk aufbauen mit:

• fritz.box als Router (dort hängt noch Telefon dran usw.)
• dahinter einen Switch, an dem ich ein paar Access Points hänge
• zusätzlich einen Gastzugang für Gäste
• und 'die Herausforderung' einen separaten Zugang (VLAN?) für einen Freund im Haus, der via Kabel ein Netz von mir bekommt

Die Überlegung ist, ob man das wie folgt umsetzen kann:

• fritz.box bleibt > stellt als Router das Internet zur Verfügung > DHCP aber aus
• Switch macht DHCP und Netze (VLANs)
• an den APs dann mein normales Netz und mein Gastnetz
• Switch macht ein separates Netz (VLAN) für den Freund auf

Kann man das alles so umsetzen, oder muss/sollte man eine Firewall dazwischen setzen?

Klar könnte ich auch die fritz.box als DHCP laufen lassen und dann über den Gastzugang gehen und diesen dann auch an den Freund das Netz geben > jedoch kann die Kabel-fritz.box keine Bandbreitenbeschränkung.

Die Frage ist halt, ob es ausreicht einen VLAN fähigen Switch zu haben, der dann auch DHCP macht. Oder bringt mir das alles nix, da ich die Netze nicht voneinander schützen/trennen kann, dass der Freund im Haus quasi ein komplett autarkes Netz hat?

Ich freue mich auf eure Mithilfe.

 

[Nilson]

Du musst ja vom "Freund-VLAN" ins "Haupt-VLAN" routen, sonst kommt dein Freund ja nicht ins Internet. Ein Swicht, selbst wenn er smart ist, reicht hier nicht mehr. Da braucht es einen passenden Router. Was kleinen wie ein Ubiquiti EdgeRouter X (ER-X) oder MikroTik RouterBOARD hEX sollte da passen. Da kannst du dann auch Firewall etc. einstellen (Freund kommt auf dein NAS, aber sonst nichts etc.).

 

[meph!sto]

Hat die Fritzbox (welches Modell?) nicht auch einen Gastzugang auf Lanport 4 ?
Den könntest du doch einfach zu deinem Kumpel durchschalten.
Was er dann da dranhängt ist ja sein Thema.
Endet alles in deinem Gästenetz.

 

[whispet]

Hat die Fritzbox (welches Modell?) nicht auch einen Gastzugang auf Lanport 4 ?

Ja - hat sie (6660 aktuell - Bald wohl 4060). Jedoch hat die 6660 zumindest keine Bandbreitenbeschränkung. Das geht mit den Kabelboxen wohl (noch) nicht.

Ergänzung (9. Februar 2022)

Du musst ja vom "Freund-VLAN" ins "Haupt-VLAN" routen, sonst kommt dein Freund ja nicht ins Internet.

Stimmt - dachte, ich kann das irgendwie umgehen.
Wollte da irgendetwas einfaches holen. Mikrotik und Edge Router ist mir zu komplex.

 

[meph!sto]

Spannend...
bei meiner FB7590 gibt es den Eintrag "Geschwindigkeit im Heimnetz".
Die Suche nach "Geschwindigkeit im Heimnetz" im Handbuch der FB6660 ergibt einen Treffer (angeblich Seite 91).
Auf Seite 91 ist aber davon überhaupt keine Rede.

Letztlich ist das aber auch nur eine Art Pseudo-Bandbreitenbeschränkung, denn dort kann man X% für das Heimnetz reservieren (z.B. 90%).
Bedeutet aber im Umkehrschluss: wird die Bandbreite von dir (Heimnetz) 0 genutzt, hat das Gastnetz Zugriff auf 100% der Bandbreite.

 

[paccoderpster]

Ich würde da gar nicht anfangen mit VLANs und VLAN-Routing. Weil das muss man dann auch richtig machen, ansonsten kann man sich das auch gleich sparen.

Wollte da irgendetwas einfaches holen. Mikrotik und Edge Router ist mir zu komplex.

Im Grunde sehe ich drei Möglichkeiten, das einfach zu machen:

1. Ihr holt euch einen weiteren Router* und schließt diesen an die bisherige 6660 an. Der neue Router steht dann sinnigerweise bei deinem Kumpel, damit er auch gleich WLAN hat.
   1. Vorteil: Es wird nur ein weiteres Gerät benötigt
   2. Nachteil: Dein Kumpel wird in das Netz der 6660 kommen und daher deine Geräte sehen.
2. Wie 1., aber der neue Router an das Gastnetz der 6660.
   1. Vorteil: Es wird auch hier nur ein weiteres Gerät benötigt und dein Kumpel kann dein Netz nicht sehen.
   2. Nachteil: Dir fehlt die Möglichkeit für das Gastnetz.
3. Ihr holt euch zwei weitere Router, die an das normale Netz der 6660 angeschlossen werden. Das WLAN der 6660 wird dann deaktiviert.
   1. Vorteil: Jeder von euch hat ein eigenes LAN + WLAN + je nach Modell auch Gastnetz, dass der jeweils andere nicht sehen kann.
   2. Nachteil: Ihr braucht zwei Geräte.

Mein alter TP-Link Archer VR200v konnte auch bestimmten Geräten eine garantierte Bandbreite zur Verfügung stellen. Das hat auch funktioniert, allerdings kamen dann von ca. 80Mb/s VDSL2 nur noch 40 bis 50Mb/s überhaupt durch, da der Router einfach zu langsam dafür war. Bei meiner 7530 habe ich das nie ausprobiert.

*mit Router meine ich sowas wie eine Fritz!Box, die ja weit mehr kann als nur Routing

 

[Raijin]

Ich rate dringend zu Variante 2 oder 3 von @paccoderpster !

Das Teilen eines Internetzugangs hat mehrere Fallstricke. Zum einen muss man zunächst abklären ob das in den AGB des Providers ggfs untersagt ist und zum anderen MUSS man sicherstellen, dass die jeweiligen Wohnungsnetze durch eine Firewall gesichert sind. Tut man dies nicht, sind Konflikte, Streit und schlimmstenfalls auch das Ende der Freundschaft die Folge.

Fremde lässt man nie in sein eigenes Netzwerk, egal ob es der Nachbar, ein Kumpel oder gar die Schwester ist, die nebenan wohnt. Das geht nämlich nur solange gut bis irgendwas passiert. Viren/Malware, geleakte Fotos im Internet oder was auch immer.

Also entweder den Freund über das Gastnetzwerk anbinden oder eine parallele Routerkaskade nach folgendem Prinzip:


Internetrouter
(LAN)
|
| <----- DMZ = gemeinsam genutztes Netzwerk
|
+--- (WAN) Wohnungsrouter-1 (WLAN+LAN) --- Heimnetzwerk-1
|
+--- (WAN) Wohnungsrouter-2 (WLAN+LAN) --- Heimnetzwerk-2

Die beiden Heimnetzwerke sind durch die WAN-Ports der Wohnungsrouter gegeneinander gesichert. Das Netzwerk des Internetrouters ist von beiden Wohnungen aus zugreifbar und dort sollten deswegen keine privaten Geräte angeschlossen werden.
So ein Setup wird mit 08/15 WLAN-Routern zusammengesteckt, ohne tiefergehende Konfiguration.

 

[whispet]

Danke für die Mithilfe.

Das mit den ganzen Routern (und wohl auch Double NAT usw.) wollte ich mir eigentlich sparen und entsprechend das über ein gesamtes System lösen.

Aber ich verstehe, was Ihr meint. Das muss dann schon gescheit eingerichtet sein, dass es auch wirklich sicher ist.

Ergänzung (9. Februar 2022)

Fremde lässt man nie in sein eigenes Netzwerk, egal ob es der Nachbar, ein Kumpel oder gar die Schwester ist, die nebenan wohnt. Das geht nämlich nur solange gut bis irgendwas passiert. Viren/Malware, geleakte Fotos im Internet oder was auch immer.

Ja - genau darum geht es mir und das will ich auch nicht.

Ist auch nur vorübergehend und nicht für die Ewigkeit. Aber ich will da schon gut abgesichert sein bzw. getrennt von allem.

Evtl. kann man da ja auch mit einem Freifunk-Router (System) was erreichen?

Ergänzung (9. Februar 2022)

Wie 1., aber der neue Router an das Gastnetz der 6660.

1. Vorteil: Es wird auch hier nur ein weiteres Gerät benötigt und dein Kumpel kann dein Netz nicht sehen.
2. Nachteil: Dir fehlt die Möglichkeit für das Gastnetz.

Da könnte ich doch einen Switch ans Gastnetz der 6660 machen und an den Switch meine "Gäste" und an einen weiteren Port dann den Router des "Kumpels", oder?

 

[paccoderpster]

Da könnte ich doch einen Switch ans Gastnetz der 6660 machen und an den Switch meine "Gäste" und an einen weiteren Port dann den Router des "Kumpels", oder?

Das wird auch gehen. Nur der Hinweis: Dein Kumpel kann die Geräte im Gastnetz sehen. Was für Gäste hast du, die einen LAN-Anschluss brauchen? Meine Gäste "brauchen" in aller Regel nur WLAN für das Smartphone

 

[Raijin]

Da könnte ich doch einen Switch ans Gastnetz der 6660 machen und an den Switch meine "Gäste" und an einen weiteren Port dann den Router des "Kumpels", oder?

Klar, das geht. Aber alle (kabelgebundenen) Gäste können sich untereinander verbinden. Bei den Gästen im WLAN sieht das unter Umständen anders aus, kommt darauf an ob im Gast-WLAN client isolation aktiv ist oder nicht.

Wenn das nur eine temporäre Geschichte ist, sollte diese Lösung jedoch vertretbar sein. Man muss ja nicht mit Kanonen auf Spatzen schießen, die sowieso bald wegfliegen

 

[whispet]

Das wird auch gehen. Nur der Hinweis: Dein Kumpel kann die Geräte im Gastnetz sehen.

Man kann in der Fritz.Box das aber abstellen, dann dürfte er nichts sehen.

Ergänzung (9. Februar 2022)

Klar, das geht. Aber alle (kabelgebundenen) Gäste können sich untereinander verbinden. Bei den Gästen im WLAN sieht das unter Umständen anders aus, kommt darauf an ob im Gast-WLAN client isolation aktiv ist oder nicht.

Ah - ok. Client Isolation gilt nur für WIFI an der fritz.box, oder wie? Dachte für alle Devices.

 

[Raijin]

Client isolation ist gewissermaßen eine kleine Firewall, die die Kommunikation zwischen den MAC-Adressen der Clients blockiert. Bei WLAN-Geräten bekommt die Fritzbox natürlich alles mit, weil alle Verbindungen über die Fritzbox gehen müssen. Schließt du aber einen Switch an LAN4 an und an diesem Switch hängen zB 4 Geräte, können diese Geräte direkt miteinander kommunizieren ohne dass die Fritzbox das überhaupt mitbekommt - somit kann sie auch nichts blocken.

 

[paccoderpster]

@Raijin edit: Nach dem Senden ist mir aufgefallen, dass das zum vorsätzlichen AGB-Verstoß animiert.

 

[Raijin]

Hm? Was genau animiert zum AGB-Verstoß? Ich habe in #7 darauf hingewiesen, dass @whispet das prüfen muss. Wobei es sich ja augenscheinlich nur um eine zeitlich begrenzte Geschichte handelt und das würde ich so oder so als Grauzone betrachten. Nichtsdestotrotz ist es natürlich wichtig, zu wissen OB der Provider diesbezüglich etwas in den AGB stehen hat. Unter Umständen steht da gar nix und dann kann man auch nicht dagegen vertoßen

 

[paccoderpster]

Was genau animiert zum AGB-Verstoß?

Oh sorry, hätte meinen Edith besser formulieren sollen.
Das was ich in #13 ursprünglich geschrieben habe, hat zum AGB-Verstoß animiert, weil ich darauf eingegangen bin, welche technische Möglichkeiten die Provider überhaupt haben, dies zu kontrollieren.

 

[whispet]

Ich kann euch an der Stelle sagen, dass es keinen AGB Verstoß bedeuten würde. Das habe ich schon geprüft.

Ergänzung (9. Februar 2022)

Wenn man Freifunk einsetzt und dann entspr. das Netz dem Kumpel gibt sollte man aber generell sicher sein, ist das nicht so? Das ist ja dann wirklich komplett separiert wenn ich nicht falsch liege?!

 

[Raijin]

Bei Freifunk bin ich raus, da habe ich keine Ahnung von. Ich meine aber, dass du dafür einen Freifunk-Router benötigst, also dennoch zusätzliche Hardware.

Nutzt du denn dein Gast-(W)LAN überhaupt? Wenn nicht, spricht eigentlich nichts dagegen, dem Kumpel direkten Zugang dazu zu geben, ohne zusätzliche Hardware.

 

[whispet]

Das Gast WLAN könnte ich so anpassen dass ich selbst nur noch WIFI Clients damit nutze.

Oder würde dann der auf dem LAN4 Port im Gastnetz auch die WiFi Clients sehen?

 

[Raijin]

Mangels Fritzbox kann ich das nicht mit Sicherheit sagen.

Ich drücke es mal so aus: Wenn du es deinem Nachbarn nicht zutraust, sich temporär (welchen Zeitraum das auch betreffen mag) in einem Netzwerk mit deinen Gast-Geräten zu befinden, solltest du ihm meiner Ansicht nach gar keinen Zugriff geben. Auf der einen Seite vertraust du ihm genug, um ihm Zugang zu deinem Internetanschluss zu gewähren, aber bei den Geräten im Gastnetzwerk hört es auf? Ich weiß natürlich nicht was bei dir so im Gastnetzwerk rumschwirrt..

 

[meph!sto]

Idee:
an den Gast-Lanport deiner Fritzbox (imo Port 4) einen weiteren Router beim Kumpel hinstellen und diesen per WAN Port anschließen.
FB_Port4 <------> Router_WAN

Damit hättest du (denke ich)

• dein eigenes Gäste WLAN (über deine FB)
• dein Kumpel hat ein eigenes Netz (WLAN/LAN)

Dürfte doch so funktionieren, schätze ich.