Konfiguration Layer2 Switch VLAN/Router

[itdummy]

Hallo Zusammen,

ich habe vor kurzem günstig ein Layer-2 Switch (TP-Link SG-3216) ergattert, welches ich nun in meinem Haus einrichten will.

Geplanter Aufbau sind zwei getrennte VLANS und eine Fritzbox, welche die Internetverbindung für beide VLANS bereitstellt.

Port 1 : Fritzbox
Port 2-8: VLAN 10
Port 9-16: VLAN 20

VLAN 10 und VLAN 20 kommunizieren nicht miteinander. Es gibt jedoch einen Netzwerkdrucker welcher von beiden VLANS erreichbar sein muss.
Alle Geräte(außer Drucker) in beiden VLANS erhalten ihre IP aus dem jeweiligen Adressbereich per DHCP von der Fritzbox.

Nach meinem Wissen müsste ich an der Fritzbox die zwei Adressbereiche für die IP-Vergabe an die VLANS einrichten und anschließend den Port am Switch von der Fritzbox taggen, damit es funktioniert.

Habe ich hier einen Denkfehler oder muss ich noch andere Einstellungen beachten?
Wie ich den Drucker für beide VLANS freigebe ist mir auch noch nicht ganz klar.

Im Voraus schon mal ein großes Dankeschön

Gruß Michael

 

[alexx_pcfreak]

Bin da auch nicht so versiert, aber müsstest du nicht 2 Ports von der FB zum Switch haben?

P 1 --> Fritzbox VLAN 10
P 2 --> Fritzbox VLAN 20
P 3-9 --> VLAN 10
P 10-16 --> VLAN 20

(je 7 Ports pro VLAN)

 

[LoveBunnyHunter]

Das wird leider nichts, da die Fritzbox meines Wissens nach keine Routingfunktionalität zwischen VLANs bietet.
Da musst Du Dir einen Router besorgen, oder Layer3-Switch. der dies unterstützt.

 

[MetalForLive]

Das wird leider nichts, da die Fritzbox meines Wissens nach keine Routingfunktionalität zwischen VLANs bietet.

So ist es, die Fritzbox kann nicht zwischen zwei VLANs routen, hier brauchst du wie schon erwähnt einen Layer 3 fähigen Switch, welcher dir die VLANs routet oder eben einen Router der das kann.

 

[itdummy]

Danke für die schnellen Antworten.
Wäre es auch denkbar wenn ich von der Fritzbox zwei Kabel am Switch anschließe (1x Heimnetz, 1x Gast -->konfiguriert in Fritzbox) und sich die beiden VLANS darüber ihre Internetverbindung holen?

 

[Raijin]

Du kannst an der Fritzbox das Gast-Netzwerk auf LAN4 aktivieren und dieses dann in eines der VLANs am Switch einspeisen, während du zB LAN1 in das andere VLAN am Switch einspeist. So hast du in VLAN#1 quasi das Gast-LAN und in VLAN#2 das Haupt-LAN. Allerdings sind die Konfigurationsmöglichkeiten bei Gast-Netzwerken in der Regel eingeschränkt, weil sie eben explizit als Gast-Netzwerk und nicht als gleichwertiges (V)LAN konzipiert sind.

Im worst case wirst du den Netzwerkdrucker im Haupt- oder Gast-LAN aus dem jeweils anderen Netzwerk nicht erreichen können, weil die Gast-Funktion grundsätzlich den Zugriff unterbindet bzw. unterbinden sollte. Du musst mal schauen ob die Fritzbox es erlaubt, den gegenseitigen Zugriff für das Gast-WLAN zu aktivieren oder zumindest einzelne IPs freizuschalten. Geht das nicht, wirst du um einen VLAN-Router nicht drumherum kommen, weil der doch deutlich günstiger ist als den Switch gegen ein L3-Modell zu tauschen.

Als VLAN-Router bietet sich zB ein EdgeRouter von Ubiquiti oder ein MikroTik an. Der ER-X kostet beispielsweise ~50€.

 

[itdummy]

Der Ansatz mit einem EdgeRouter gefällt mir.
Verstehe ich das richtig dass ich dann neben von der Fritzbox in den EdgeRouter gehe und anschließend von dem EdgeRouter auf das Switch?

Oder fällt die Fritzbox weg und ich hinterlege meine Zugangsdaten dann auf dem EdgeRouter?

Preislich sind die EdgeRouter auf jeden Fall im Rahmen

 

[Harrdy]

Wenn du vor der Fritzbox noch ein Modem hast und auf DECT Telefonie verzichten kannst. Dann kann die Fritzbox entfallen. Wenn du kein extra Modem hast müsstest du dies ggf. entweder auch besorgen oder die Fritzbox weiter als "Modem" betreiben. Wenn du sowieso die Telefoniefunktion der Fritzbox nutzt muss diese bleiben da der EdgeRouter keinerlei Telefoniefunktionen bietet.

Ansonsten siehst du das Richtig. Es wird von wenn so verkabelt:

Fritzbox <-> EdgeRouter <-> Switch
Modem <-> Fritzbox <-> EdgeRouter <-> Switch
Modem <-> EdgeRouter <-> Switch

 

[Raijin]

Der EdgeRouter hat kein Modem. Wenn man die Fritzbox als Modem nutzen könnte könnte der EdgeRouter über PPPoE die Einwahl beim Provider übernehmen. Ich meine mich aber zu erinnern, dass das bei den Fritzen seit geraumer Zeit nicht mehr geht.

Wenn die Fritzbox bestehen bleibt, installiert man den EdgeRouter als reinen Netzwerk-Router ohne NAT. D.h. man richtet ihn so ein, dass zB an eth0 das Kabel zur Fritzbox hängt - der WAN-Port - und an eth1 bzw. eth2 jeweils der Uplink zum Switch. VLANs benötigt man an dieser Stelle nur, wenn man vom ER zum Switch nur ein Kabel als Uplink hat und dort entsprechend tagged VLAN rüberschickt. Da der ER-X aber 5 LAN-Schnittstellen hat, kann man sie auch ganz einfach als standard LAN-Interfaces konfigurieren ohne VLAN (Port am Switch = untagged) betreiben.

Die Firewall des ER konfiguriert man dann so, dass Zugriff zwischen Subnetz#1 (=VLANx) und Subnetz#2 (VLANy) erlaubt bzw. verboten ist. Für zB NAS oder Drucker fügt man Ausnahmen hinzu, um den Zugriff zu erlauben.

NAT wird am ER nicht benötigt, da man in der Fritzbox jeweils eine statische Route in die beiden Subnetze hinterm ER einrichtet damit zB die Antwort von computerbase.de auch korrekt an PC#3 in VLANy hinterm ER weitergeleitet werden kann.

 

[itdummy]

Merci beaucoup

 

[itdummy]

Hallo nochmal,

ich spiele mittlerweile mit dem Gedanken das L2 Switch wieder zu verkaufen und mir ein L3 Switch anzulegen.

Mein Gedanke:

Fritzbox Router + L3 Switch

Fritzbox an Switch verbinden und den Internet Gateway an beide VLANs zu routen.
IP-Vergabe per DHCP für 2 Subnetze ist mit der Fritzbox wohl nicht möglich außer mit dem obigen Ansatz das Gastnetz zu missbrauchen was ich jedoch als unschön empfinde.

Welche L3 Switche ab 16-Port könnt ihr mir empfehlen und in welchem preislichen Rahmen befinden wir uns hier?
Habt ihr Ansätze zur Lösung des DHCP Problems für beide Subnetze oder sollte ich hier auf einen Edgerouter zurückgreifen?
Einen eigenen DHCP Server wollte ich eigentlich nicht aufsetzen.

Danke im Voraus

Ergänzung (27. September 2017)

Aufbau ist wie folgt jetzt gedacht:

Fritzbox wählt sich im Provider ein.

Fritzbox -> IP Vergabe Subnetz A(VLAN A)
zweiter Router -> IP Vergabe Subnetz B (VLAN B)
den zweiten Router schließe ich an der Fritzbox an und an einem L3 Switch Port von Subnetz B(VLAN B).
Und ein Kabel von der Fritzbox an einen L3 Switch Port von Subnetz A(VLAN A).
Drucker wird in einem von beiden VLANs eingerichtet und per Routing für das andere VLAN erreichbar gemacht.

Bei den L3 Switchen bin ich noch etwas verwirrt:

Hier gibt es L2+ Switches mit L3 Funktionalitäten, L3 Lite Switches und Full Layer 3 Switches !?!?!

 

[Raijin]

Hm.. Das klingt etwas konfus. Wenn du einen zweiten Router hast, brauchst du keinen L3-Switch. Ein L3-Switch ist banal ausgedrückt ein L2-Switch mit VLAN, Management, etc und eben auch Routing-Funktionalität. Wenn du aber eh einen weiteren Router hast, kann der Switch auch dumm (L2) bleiben und lediglich VLANs bereitstellen.

Und wenn man eh einen zweiten Router hat (zB einen EdgeRouter), kann man ihm auch volle Kontrolle über beide Netzwerke geben. Das heißt der ER macht DHCP für VLANa und VLANb. Die Fritzbox selbst wird lediglich als WAN-Uplink angeklemmt und macht im Prinzip nix weiter, außer die Internetverbindung herzustellen und für Portweiterleitungen zu sorgen.

 

[itdummy]

Mein zweiter Router ist leider kein Edge Router, daher werde ich wohl sowohl von der Fritzbox als auch vom zweiten Router DHCP betreiben für beide Subnetze müssen...

 

[Raijin]

Ach so, ich ging davon aus, dass du (noch) keinen zweiten Router hast. Hab ich was überlesen? Was ist das denn für ein Router?

Klar kann man sowas auch mit 08/15 Routern machen und dann quasi die Aufgaben aufteilen und zwei VLANs am Switch jeweils mit einem eigenen Router befeuern. Durch das NAT am 2. Router kann man aber beim gegenseitigen Zugriff in Schwierigkeiten geraten, da man zwar vom 2. LAN aus auf's erste zugreifen könnte (da wird ja geNATtet wie Richtung www), aber andersherum geht's nur mit Portweiterleitungen. Bei einem 08/15 Router kann man das NAT am WAN-Port nicht abschalten und Portweiterleitungen sind somit Pflicht für den Zugriff von "außen" (=LAN1) nach "innen" (=LAN2).

Sofern der gegenseitige Zugriff sich wirklich nur auf Drucker und ggfs ein NAS beschränkt, kann man das aber durchaus so machen. Ports für den Drucker und das NAS weiterleiten und in LAN1 dann beides mit der IP vom Router2 anbinden. Sind Drucker und NAS gar in LAN1, sollte es auch ohne Konfiguration funktionieren, weil der Router2 ja ausgehenden Traffic mit seiner WAN-IP (aus LAN1) maskiert.

Zum Thema Switches: Die Grenzen verschwimmen zusehends. Früher gab es quasi nur die voll gemanageten Switches (VLAN, Routing, DHCP, Firewall, etc) und die dummen ungemanageten (nix VLAN, etc). Mittlerweile gibt es viele Abstufungen, die sich teilweise von Hersteller zu Hersteller unterscheiden. Beispielsweise die "Smart Managed", "Web Managed" oder "Managed Plus" Varianten, die zB VLAN, QoS, Multicast und vereinzelt noch weitere Funktionen bieten. Man muss bei der Auswahl des Switches explizit auf die Anforderungen achten und die Datenblätter studieren. Rein nach der Bezeichnung kann man leider nicht gehen.

Wie ich aber bereits schrieb, ist es in meinen Augen wenig sinnvoll, den Switch gegen ein L3-Modell auszutauschen. Die Investition wird deutlich höher ausfallen als zB einen ER-X für 50€ zu kaufen und den bestehenden Switch so zu belassen wie er ist. Mag sein, dass es Schnäppchen gibt (zB ebay), aber als ich das letzte Mal vor einigen Jahren nach L3-Switches geguckt habe, lagen die bei mehreren Hundert Euro...

 

[itdummy]

So habe nun ein L3 Switch( HP 1920-24G) geholt. Ich verstehe dass es auch mit dem L2-Switch funktionieren würde, aber das L3-Switch brauche ich vielleicht in naher Zukunft.

Im VLAN 1 sollen die IP's von der Fritzbox vergeben werden.
Im VLAN 2 sollen die IP's vom zweiten Router(angeschlossen an FritzBox) vergeben werden.

Der Drucker und das NAS befinden sich im VLAN1 in welchem auch die Fritzbox ist, die den Internetzugang für beide VLANs bereitstellt.

Somit müsste ich eigentlich bei der Konfiguration nicht viel machen.
Alle Ports für VLAN 1 und VLAN2 bleiben untagged.
An Routing bräuchte ich nichts einrichten, da ja Drucker & NAS sich im LAN1 befinden und durch den zweiten Router auch erreichbar sein müssten.

Stimmt das so ?

 

[razzy]

und wieder so ein Fall mit Ideen aber von den Begriffen der Netzwerktechnik wenig Ahnung.

Ok fangen wir klein an.

Du möchtest verschiedene VLANs erstellen, VLANs sind eigene Broadcast-Domains, heißt dass ein Broadcast nur innerhalb eines VLANs bleibt.
Ein DHCP-Request ist auch zunächst ein Broadcast. Heißt du brauchst in jedem Netz einen DHCP-Server, oder 1 Server für alle Netzwerke.
Bei der 2. Variante müssen die Broadcast vom Gateway in einen Unicast umgewandelt werden (Stichwort "ip helper").

Auch wurde dir erklärt, dass du die Fritzbox als Gateway hast. Soweit so gut.

Du solltest die Fritzbox in ein eigenes VLAN am L3-Switch anbinden damit du auf dem L3 Switch eine default route zur Fritzbox setzen kannst.
Damit werden alle "Nicht-konfigurierten" Routing-Anfragen der Clients an die Fritzbox geleitet (default route 0.0.0.0 -> auch das Internet)

Und der L3 Switch ist auch jetzt schon von nöten da du von verschiedenen Vlans kommunizieren möchtest