ComputerBase Menü
Aktuelles

LAN/Switch vom Heimnetz separieren

Ja, Internet wird benötigt.

Habe mal noch ein wenig gelesen bzgl. VLANs usw. Würde das Setup denn in dieser Form gehen?

___________________________________________________ -> Switch in Garage (VLAN 2) -> Geräte
Internet -> FritzBox + WLAN -> Zyxel L2 Switch -> Geräte im Keller (VLAN 1)
___________________________________________________ -> Raspberry mit IPFire (VLAN 1)

Sprich ein eigenes VLAN für Garage und Haus und der Raspi hängt im selben VLAN wie das Haus und übernimmt das Routing (von intern nach draußen, aber blockt umgekehrt). Oder muss der Raspi dann zwingend in das VLAN 2?

Stimmt das Setup ansonsten soweit oder habe ich was falsch verstanden? Ich würde mir die doppelte NAT und die Router-Kaskade sparen und das WLAN würde auch funktionieren. Aber kämen dann die WLAN-Geräte nur noch ins Internet und hätten keinen Zugriff mehr auf die Geräte im VLAN 1? Wäre dann aber nur ein temporäres Problem, nächstes Jahr kommt Glasfaser, dann wird die eh zum AP umfunktioniert und wandert einfach hinter den Switch oder wird durch einen AP ersetzt...

EDIT: Habe gerade noch das hier gefunden:
https://eu.store.ui.com/collections/operator-edgemax-routers/products/edgerouter-x

Wenn ich das richtig verstehe, ist das ein Router mit Firewall, der gezieltes Inter VLAN-Routing beherrscht und genau meinen Use Case abdecken würde. So habe ich das zumindest nach Durchlesen dieses Artikels verstanden:
https://help.ui.com/hc/en-us/articles/204959444

Das würde die ganze Sache wesentlich vereinfachen, sobald Glasfaser da ist. Vom EdgeRouter gehts per WAN zum Glasfasermodem, an einem Ethernet-Port hängt das VLAN 1 mit Fritz!Box als AP und den Heimcomputern und an einem anderen Ethernet-Port hängt das VLAN 2 mit der Garage. Korrekt?
 
Zuletzt bearbeitet:
Ich habe deine Aufteilung nicht ganz verstanden. Kannst du evtl. Einfach mal eine kleine Skizze machen?
 
Hab die Skizze überarbeitet, die Leerzeichen waren weg. Jetzt etwas klarer?
 
stna1981 schrieb:
Das würde die ganze Sache wesentlich vereinfachen, sobald Glasfaser da ist. Vom EdgeRouter gehts per WAN zum Glasfasermodem, an einem Ethernet-Port hängt das VLAN 1 mit Fritz!Box als AP und den Heimcomputern und an einem anderen Ethernet-Port hängt das VLAN 2 mit der Garage. Korrekt?
Zum Vergrößern anklicken....
Korrekt. so in etwa hab ich versucht es als "ohne Kaskade mit zentraler Firewall" zu beschreiben. Bedenke aber, dass der ERX nicht grade leistungsfähig ist. Wenn du etwas "mehr" machen möchtest, ist er schnell überfordert. VLAN Routing bspw. ist nicht so schnell. ebenso ist seine VPN Performance nicht ideal. mit aktivem IDS/IPS bricht er auch schnell ein. (ich hatte zu Hause früher die Unifi USG, die ist mehr oder weniger gleich dem ERX, nur aus der Unifi Serie... wie gesagt, ich bin auf eine OPNSense Firewall auf einem alten x86 ITX PC umgestiegen... da gibt es doch weit mehr Möglichkeiten und Performance. Dennoch betreue ich ein paar ERXen im Bekanntenkreis. bis 100MBit sind es gute Geräte, danach wird es ... naja... mau)

Ja, deine Skizze ist so verständlicher. zumindest am PC. Am Handy ergibt es keinen Sinn, was mir da angezeigt wird :D

in deinem aktuellen Setup brauchst du eigentlich kein VLAN1. Deine Fritzbox erstellt dein internes (W)LAN. der Raspberry (oder ERX) ist Teil/Client dessen. Er selbst, hat aber ein internen, virtuellen Switch, und erzeugt ein weiteres Netzwerkinterface, welches dann den VLAN-tag (VLAN2, you name it) hat.
Der Switch spricht auf dem Port zum Pi/ERX alles (musst du so einstellen). Dem ist das egal. Auf dem Port zur Garage hingegen legst du das gleiche VLAN, wie im Pi/ERX. Damit werden alle Geräte/Switche/... dahinter ins VLAN gezwungen, ohne dass sie selber VLAN können müssen.

beim ERX kannst du dir aussuchen, ob du das ganze über 1 Kabel und einem virtuellen vSwitch lösen willst, oder ob du 2 Kabel nimmst und den einen Port VLAN taggest (am Switch oder im ERX), oder aber ob du den Uplink zur Garage direkt in den ERX steckst. Dann brauchst du gar kein VLAN.


Am Ende musst du halt deine Firewall so einstellen, dass die Geräte "hinter" der Firewall (192.168.x.0/24) zwar ins Internet kommen, aber nicht auf die Geräte von 192.168.x.0/24 (deine internen IPs), auf der anderen Seite musst du es einstellen, dass die internen Geräte auf die Geräte hinter der Firewall zugreifen können. und du brauchst ne statische Route in der Fritzbox, dass 192.168.y.0/24 hinter dem Pi/ERX erreichbar ist.
 

Anhänge

  • 1663746356894.png
    1663746356894.png
    79,7 KB · Aufrufe: 168
  • 1663746492958.png
    1663746492958.png
    62 KB · Aufrufe: 163
Wäre dann ein EdgeRouter 4 von der Leistung eher zu bevorzugen? Bzw. würde der reichen, um ein Gigabit-Netzwerk ordentlich zu routen oder bräuchte man dann ein noch schnelleres Gerät?

Oder was ist alternativ vom TP-Link TL-ER7206 zu halten? Die potenteren EdgeRouter sind ja quasi kaum zu bekommen...
 
Zuletzt bearbeitet:
Hallo,

da kann ich dir pauschal nicht viel sagen. ja, der ER-4 ist stärker als der ER-X.
für 0-8-15 Anwendungen reicht wohl auch der ER-X aus. EInzig beim VPN Durchsatz wird er zu langsam für 1GBit und auch, wenn man Funktionien wie DPI/IDS/IPS aktiviert. der ER-4 ist da besser, wie gut genau, kann ich aus eigener Erfahrung nicht sagen. Da müsstest du selbst einfach mal recherchieren, ob dir die Funktionen wichtig sind und wie gut er dann mit oder ohne wäre.

zum TP-Link: das gleiche wie zum ER-4. Ich kenne weder das Gerät noch die Oberfläche/EInstellmöglichkeiten. Das einzige, was ich auf die Schnelle online gefunden habe: er ist EoL. und von WireGuard lese ich auch nichts. beides wäre für mich ein K.O. Kriterium.

Das kann für dich / deine Annwendung aber ganz anders aussehen.


Dazu: bevor ich 150€+ für den TP-Link ausgebe, würde ich mir tatsächlich noch einmal DIY opensource Firewalls wie PFSense/OPNSense angucken. auf meinem mITX Board mit Intel G3260 und 4GB RAM (hatte ich noch im Keller, solche Hardware kostet aber auch nicht die Welt. gebrauchte refurbished Tiny Office PCs gibt es hier und da mal ab 80€) läuft OPNSense perfekt und erfüllt alle meine Anforderungen an eine 1GBit Firewall. würde ich es neu machen, würde es aber mindestens eine Dual NIC bekommen per PCIe
 

Anhänge

  • 1663823819506.png
    1663823819506.png
    173,4 KB · Aufrufe: 162
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Krakadil
2.5G LAN Switch im Vergleich zur 1G - wozu 10G SFP Port?
2
Antworten
23
Aufrufe
1.861
Krakadil
Krakadil
T
LAN-Switch oder anders?
Antworten
15
Aufrufe
1.891
DJKno
DJKno
B
Un-/managed Switch im Heimnetz? -> Anbindung NAS
Antworten
10
Aufrufe
2.673
alexx_pcfreak
alexx_pcfreak
L
LAN Switch aus einem LAN Kabel zwei machen
Antworten
7
Aufrufe
1.347
Lu2000
L
Sandro_1995
LAN-Switch ohne weiteres möglich?
Antworten
5
Aufrufe
2.724
Sandro_1995
Sandro_1995
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz