Netztrennung mit VLAN Router

[Toooby]

Ein Geschäfts-Computer soll von anderen Geräten (Computer der Freundin etc.) getrennt werden. Ein Drucker und ein NAS soll von beiden Bereichen her erreichbar sein, das NAS und IoT Geräte auch von extern.
Beide Bereiche sollen auch WLAN bieten. Das Internet kommt über einen Router des Providers ins Haus.
Ein VLAN fähiger Router kann es richten, doch:

• Welche Router sind überhaupt VLAN fähig? Könnt ihr mir ein preiswertes Gerät empfehlen?
• Gibt es Geräte, welche ich als Programmierer, aber mit überschaubaren Netzwerk-Kenntnissen selbst konfigurieren kann?
• Wie kann die Topologie der Geräte aussehen, was wird zum Router noch gebraucht?
• Den Router des Providers muss ich dann im Bridge Modus betreiben, oder?

Danke vielmals!

 

[Jasmin83]

was hast du denn für einen router? soweit ich informiert bin, sind die fritzboxen vlan fähig

 

[d2boxSteve]

Erstmal, nein, Fritzboxen sind nicht VLAN-fähig.

Router die VLAN's können entsprechen u.a. der Norm IEEE 802.1Q (siehe: https://de.wikipedia.org/wiki/IEEE_802.1Q) und sind als solche dann auch gekennzeichnet.
Zusätzlich muss dein Switch/deine Switche managebar sein, sprich auch 802.1Q können, die VLAN's die geroutet werden müssen ja auch über den Switch zum Endgerät transportieret werden.

Wenn man sich mit IEE 802.1Q ausewinandersetzt dann kann man quasi alle Router/Switche konfigurieren, die Menüpunkte können von der Namensgebung je nach Hersteller abweichen, im Grunde meinen aber alle das gleiche und sind auch untereinander kompatibel, eben Norm IEEE 802.1Q.

Den Router des Betreibers kannst du auch als Router vor dem neuen Router oder der neuen Firewall (mit sowas kann man auch routen und VLAN's betreiben), dem müssen nur alle Netze dahinter per Routingeintrag bekannt gemacht werden, dass die eben über dein neues Gerät erreichbar sind.

Ergänzung (20. Dezember 2019)

Geräte ... man nimmt üblicherweise eine Firewall (die können fast alle auch routen).
Man hat die Wahl zwischen einer kostenlosen Selbstbaulösung (ein PC mit 2 Netzwerkkarten und dann eine Distribution wie IPFire, PfSense oder die kostenlose Sophos Version) oder einem professionellen Gerät welches dann aber ein paar Euro kostet.
Ich selbst habe PfSense und Sophos im Einsatz, aber auch eine professionelle Firewall von Cisco. Liegt daran, ich arbeite in dem Bereich und Mann braucht Spielzeuge daheim :=)

 

[derchris]

was hast du denn für einen router? soweit ich informiert bin, sind die fritzboxen vlan fähig

Erstmal, nein, Fritzboxen sind nicht VLAN-fähig.

Jein. Das Gäste-Netz wird über VLAN gergelt - ist allerdings nicht konfigurierbar.

 

[up.whatever]

Wenn es günstig sein soll: https://mikrotik.com/product/hap_ac2
Um so ein Gerät richtig konfigurieren zu können, benötigst du aber ordentliche Netzwerkkenntnisse und musst dich in RouterOS einlesen. Und für die Config der Firewall solltest du iptables beherrschen.

 

[Toooby]

Der Router ist vom Provider UPC, in der Schweiz. Im DAU-Menu kann man kaum mehr als die WLAN SSID und PWD configurieren, sowie in den Router Modus wechseln...

 

[sikarr]

Dann kauf einen anständigen und häng den dahinter. Die Providerbüchse setzt du dann z.B. in einen Bridge-Modus. So hab ich das auch bei mir gelöst.

 

[honky-tonk]

für dein vorhaben brauchst du lediglich einen vlan fähigen switch welchen du an den UPC router klemmst. in der VLAN config kannst du dann vlans auf verschiedene ports/MACs legen und je nach gerät auch routen einrichten. Alternativ machst du das routen über die firewall. aber sowas einzurichen kostet zeit und kenntnisse.

Andererseits würde ich mir überlegen ob es wirklich nötig ist, oder ob es nicht genügt den Arbeitsrechner abzusichern...keine netzwerkfreigaben offen etc. und dann tut's das auch. Eseidenn du hast angst von deiner Freundin gehackt zu werden!?

 

[Toooby]

Danke! Ich hab' mal gelesen, dass sich gewisse Viren übers LAN verbreiten können.
Ist das wirklich sicher, wenn auch mein kleiner Bruder und andere im gleichen Netz sind?
Falls ein VLAN doch etwas bringt: Welchen Router könnt ihr mir empfehlen? Ich wäre froh, wenn die Konfiguration nicht allzu kryptisch wäre.