Privates Netzwerk mit vielen umfangreichen Gegebenheiten & Umständen..

skorpion1800

Lt. Junior Grade
Registriert
Feb. 2013
Beiträge
262
Hallo liebe Forengemeinde,

ich habe nun endlich beim Vermieter seine alte Homebox gegen eine Fritzbox 7490 von mir austauschen dürfen,
und nun muss ich dringend noch "nebenbei" das einrichten, verwalten bzw. administrieren erlernen, damit ich meinem Ausbildungsberuf auch gerecht werde....

Wie im Bild zu sehen, soll das alles als Gesamtaufbau "werden"

1. Das Internet oben ( BLAU ) kommt in die 1.Fritzbox 7490 rein. ( hier ist noch alles relativ "unwichtig" )

2. jetzt geht es in den mittleren 2. Bereich ( grüner Kreis ) "ins Herz"... zum NetgearGS308 und/oder der Fritzbox 7390
2.1 Hier möchte ein Freund und Arbeitskollege ( LILA ) seinen Mini-PC als "Knoten" einrichten. Hier sind Kameras und Mikrokontroller installiert, was er als VPN von außen als "Zugriffsknotenpunkt" hernehmen möchte, weil wir gemeinsam an Mikrokontrollern arbeiten,
damit aber auch ich von unterwegs sehe, ob der 3D Druck über Relais abgebrochen werden soll etc.

3. der blaue Rahmen unten ist der Admin-Bereich. Hier würde ich gern einen ThinClient ( proxmox, Pi-hole ) etc. integrieren, sowie ggf. noch eine Hardwarefirewall ( nur zum üben mit Ports, Protokolle, etc. für Thema Internetsecurity )

Jetzt erstmal 2 Fragen:
4. Den lila-Bereich links ( VPN Knoten ) über den Switch mit einem Vlan komplett vom blauen Bereich trennen, oder über die Fritzbox7390 ausreichend oder zusätzlich wie am besten aufstellen / konzipieren?

5. Wie wäre es in der Fritzbox zu konfigurieren, das da einfach "Portforwarding" ausreicht.
-> Sprich von Fritzbox 1 auf Fritzbox 2 damit der "MSI Mini PC" als VPN Knoten agieren kann, damit man auch von außerhalb auf Kameras, Relais etc. zugreifen kann?

Grüße
Patrick
 

Anhänge

  • Screenshot 2023-11-24 095913.png
    Screenshot 2023-11-24 095913.png
    288,1 KB · Aufrufe: 237
Ich lese 7390, 7490, ... machst du da ein Museum auf? Die Dinger können keine VLANs, der Switch kann VLANs? Wer soll denn zwischen den VLANs routen?
 
Also EIN Vlan meine ich mal irgendwo über die Fritzbox7490 im Netz oder Routermenü aufgeschnappt zu haben... ( ich rede aber jetzt nicht mal vom Gast-Wlan... )
und ansonsten ist es hier ( siehe Bilder ) an sich möglich dies so zu unterteilen...:
 

Anhänge

  • Screenshot 2023-11-24 110552.png
    Screenshot 2023-11-24 110552.png
    42,7 KB · Aufrufe: 151
  • Screenshot 2023-11-24 110535.png
    Screenshot 2023-11-24 110535.png
    530,7 KB · Aufrufe: 172
skorpion1800 schrieb:
4. Den lila-Bereich links ( VPN Knoten ) über den Switch mit einem Vlan komplett vom blauen Bereich trennen, oder über die Fritzbox7390 ausreichend oder zusätzlich wie am besten aufstellen / konzipieren?
Das kannst du in der Form gar nicht tun. Die 2. 7490 hat nur 2 Schnittstellen (die mehrere Ports und/oder WLAN umfassen können), Hauptnetzwerk und Gastnetzwerk. Währens das Hauptnetzwerk standardmäßig via WLAN und LAN1-4 verteilt wird, kann das Gastnetzwerk entweder WLAN-only oder optional auf LAN4 konfiguriert werden. Ein drittes Netzwerk ist mit einer Fritzbox allein nicht möglich.

Um das Hauptnetzwerk weiter aufzuteilen in lila vs blau, benötigst du an dieser Stelle zwingend einen zweiten Router bzw. die Hardwarefirewall, die du ja unter 3. bereits im blauen Netzwerksegment erwähnt hast. Sie wird aber nicht "gegebenenfalls", sondern "in jedem Fall" benötigt. Sie könnte sogar an die Stelle der 2. Fritzbox rücken und diese vollständig ablösen, wenn sie über genug Schnittstellen und/oder VLAN-Funktionalität verfügt. Das WLAN könnte man dann über einen VLAN-fähigen AP mit mehreren SSIDs realisieren.


skorpion1800 schrieb:
5. Wie wäre es in der Fritzbox zu konfigurieren, das da einfach "Portforwarding" ausreicht.
-> Sprich von Fritzbox 1 auf Fritzbox 2 damit der "MSI Mini PC" als VPN Knoten agieren kann, damit man auch von außerhalb auf Kameras, Relais etc. zugreifen kann?
Portweiterleitungen gehen stets auf das nächste IP-Gerät in der Kette. Normalerweise ist dies natürlich direkt das Ziel, aber bei einer Routerkaskade wie in deinem Fall muss man eben in der 1. Fritzbox auf die (WAN-)IP der 2. Fritzbox weiterleiten und in der 2. Fritzbox letztendlich auf den MiniPC.
www ---> FB1 -----PWaufFB2----> FB2 ----PWaufPC---> PC

Sofern die 1. Fritzbox kein VPN konfiguriert hat, könnte man natürlich auch den VPN-Server in der 2. Fritzbox aktivieren und müsste lediglich den/die VPN-Port(s) in der 1. Fritzbox an die 2. Fritzbox weiterleiten. Damit wäre man via VPN im Netz der 2. Fritzbox und hätte ebenfalls Zugriff auf die Kameras - der MiniPC wäre in dem Fall für das VPN an sich nicht notwendig.

Übrigens: Um pihole innerhalb des blauen "Admin-Bereichs" auch aus den anderen Teilen des Netzwerks nutzen zu können, müsste die HW-Firewall, die diesen Bereich isoliert, entweder ebenfalls NAT betreiben, es wird also eine Portweiterleitung für pihole benötigt, oder aber sie muss ohne NAT routen und DNS-Kommunikation erlauben. Dazu muss der Rest des Netzwerks natürlich auch gültige Routen zum pihole haben.

skorpion1800 schrieb:
Also EIN Vlan meine ich mal irgendwo über die Fritzbox7490 im Netz oder Routermenü aufgeschnappt zu haben...
Nein. Fritzboxxen unterstützen keine VLANs, gar nicht, 0, nada, niente. Intern verwendet sie mit Sicherheit VLANs, um zB LAN4 als Gastnetzwerk von LAN1-3 zu trennen, aber das sind untagged VLANs, die folglich nicht nach außen geführt und somit auch nicht individuell genutzt werden können. Wenn man von VLAN-Unterstützung spricht, dann ist gemeint, dass das Gerät 802.1Q unterstützt, also VLAN-IDs lesen, bearbeiten kann.


skorpion1800 schrieb:
ansonsten ist es hier ( siehe Bilder ) an sich möglich dies so zu unterteilen...:
Die Fritzbox kann auch in diesem Szenario 0,garnicht mit VLANs umgehen, weil sie die VLANs des GS108E auch gar nicht zu Gesicht bekommt. Die Ports 4 und 8 am GS108E sind - hier zwar nicht zu sehen - als untagged konfiguriert. Das heißt, dass dort angeschlossene Geräte gar nicht mitbekommen, dass sie sich in einem VLAN befinden, weil untagged Ports nach außen hin 08/15 Standard-Ports ohne jedwede VLAN-ID sind. Die VLAN-ID existiert daher ausschließlich im GS108E.

Im dargestellten Setup wird der GS108E effektiv in 3 Teile zersägt, 3 VLANs. Port 1-4 sind der erste Teilswitch, der das Hauptnetzwerk der Fritzbox verteilt und Port 6-8 stellen einen 3-Port-Switch für das Gastnetzwerk dar. Port 5 nimmt eine Sonderrolle ein, weil er augenscheinlich keinem der beiden anderen VLANs zugeordnet ist. Daher "Sondernetz", weil dieses keinerlei Verbindung zu den anderen Ports hat, 0, nix. Erst dann, wenn man diesen Port eben dem VLAN für 1-4 oder 6-8 zuordnen würde, hätte das dortige Gerät Zugriff auf das jeweilige Netzwerk.

Wenn die Fritzbox VLAN könnte, wäre es möglich, einen VLAN-Switch mit einem einzigen Kabel mit beiden Netzwerken zu versorgen, Haupt- und Gastnetzwerk. Das nennt sich dann Trunk, wenn ein Switch-Port mit mehreren tagged VLANs konfiguriert wird. In den VLAN-Grundlagen bei Thomas-Krenn ist das mit Farben recht anschaulich dargestellt.
 
  • Gefällt mir
Reaktionen: snaxilian und Millkaa
@Raijin ,
Deine Antworten sind schon die besten immer von allen und wirklich bemerkenswert,
jetzt wirds mal wieder böse:
Raijin schrieb:
Das kannst du in der Form gar nicht tun. Die 2. 7490 hat nur 2 Schnittstellen (die mehrere Ports und/oder WLAN umfassen können), Hauptnetzwerk und Gastnetzwerk. Währens das Hauptnetzwerk standardmäßig via WLAN und LAN1-4 verteilt wird, kann das Gastnetzwerk entweder WLAN-only oder optional auf LAN4 konfiguriert werden. Ein drittes Netzwerk ist mit einer Fritzbox allein nicht möglich.
Also die 1. Fritzbox wäre die 7490 und die 2. Fritzbox die ( noch 7390 ) diese wollte ich erst ablösen durch einen Microtic Router ablösen und soweit habe ich alles nachvollziehbar bis hier her verstanden, und war mir schon verständlich und bewusst, vielen Dank, wo wir nun:

Raijin schrieb:
Um das Hauptnetzwerk weiter aufzuteilen in lila vs blau, benötigst du an dieser Stelle zwingend einen zweiten Router bzw. die Hardwarefirewall, die du ja unter 3. bereits im blauen Netzwerksegment erwähnt hast. Sie wird aber nicht "gegebenenfalls", sondern "in jedem Fall" benötigt. Sie könnte sogar an die Stelle der 2. Fritzbox rücken und diese vollständig ablösen, wenn sie über genug Schnittstellen und/oder VLAN-Funktionalität verfügt. Das WLAN könnte man dann über einen VLAN-fähigen AP mit mehreren SSIDs realisieren.

beim 2. bösen Thema wären :) Anstelle eines neuen Microtic Routers könnte man da auch die Hardwarefirewall's hernehmen... ich habe 2 Stück ( Gateprotect GPO 150 mit 4 Ports )
Eine mit Opensense die andere mit Opensense ( meine ich.. )
Nur diese einzurichten 🙆‍♂️🙆‍♂️🙆‍♂️🙆🙆🙆 ( seit 5 Monaten liegen die rum, und noch keinen einzigen Tag Zeit dafür gehabt.. )
Also Vlan dürfte sich damit realisieren lassen... ( Genug Ports vorhanden ( 4 Stück ) und die Software gibts ja auch her normal... )

Raijin schrieb:
Portweiterleitungen gehen stets auf das nächste IP-Gerät in der Kette. Normalerweise ist dies natürlich direkt das Ziel, aber bei einer Routerkaskade wie in deinem Fall muss man eben in der 1. Fritzbox auf die (WAN-)IP der 2. Fritzbox weiterleiten und in der 2. Fritzbox letztendlich auf den MiniPC.
www ---> FB1 -----PWaufFB2----> FB2 ----PWaufPC---> PC

Sofern die 1. Fritzbox kein VPN konfiguriert hat, könnte man natürlich auch den VPN-Server in der 2. Fritzbox aktivieren und müsste lediglich den/die VPN-Port(s) in der 1. Fritzbox an die 2. Fritzbox weiterleiten. Damit wäre man via VPN im Netz der 2. Fritzbox und hätte ebenfalls Zugriff auf die Kameras - der MiniPC wäre in dem Fall für das VPN an sich nicht notwendig.

hmmm.... der MiniPC ist von meinem Bekannten und dient zur "gemeinsamen" Arbeit damit er vollumfänglich auf alles zugreifen kann ( in diesem Bereich des Netzwerks ) nur...
VPN ist an sich schon so "la la" eingerichtet mit der ersten Fritzbox7490 wo man auf die Kameras von außen drauf zugreifen soll, aber ich das ganze gerade nochmal überdenke und das Konzept überarbeite... Weil mit der 2. Fritzbox7390 ( die ja schon "eingerichtet" ist, ist schnell Portforwarding ergänzt.. ) an dem MiniPC ... gute Frage.. Kameras sind über Wlan und k.a....

Raijin schrieb:
Übrigens: Um pihole innerhalb des blauen "Admin-Bereichs" auch aus den anderen Teilen des Netzwerks nutzen zu können, müsste die HW-Firewall, die diesen Bereich isoliert, entweder ebenfalls NAT betreiben, es wird also eine Portweiterleitung für pihole benötigt, oder aber sie muss ohne NAT routen und DNS-Kommunikation erlauben. Dazu muss der Rest des Netzwerks natürlich auch gültige Routen zum pihole haben.
NEIN, Pi-Hole nur im blauen Bereich... sonst wirds echt zu viel, und so ist nur bei mir mal was gesperrt und blockiert und nicht gleich im gesamten Netzwerk.... Das was Du schon erwähnst, würde mich "zusätzlich" massiv überfordern gerade...

Raijin schrieb:
Nein. Fritzboxxen unterstützen keine VLANs, gar nicht, 0, nada, niente. Intern verwendet sie mit Sicherheit VLANs, um zB LAN4 als Gastnetzwerk von LAN1-3 zu trennen, aber das sind untagged VLANs, die folglich nicht nach außen geführt und somit auch nicht individuell genutzt werden können. Wenn man von VLAN-Unterstützung spricht, dann ist gemeint, dass das Gerät 802.1Q unterstützt, also VLAN-IDs lesen, bearbeiten kann.
Ja ok, dann sollte das so klassifiziert auf den Punkt gebracht sein und werden, und danke Dir! Das Bild aber von oben "würde leicht widersprechen" die Ports hinter der Fritzbox mit einem Vlan Switch passend "aufzuteilen und abzugrenzen, aber lasse uns da nicht weiter drauf eingehen, weil da hast Du absolut Recht.

Raijin schrieb:
Die Fritzbox kann auch in diesem Szenario 0,garnicht mit VLANs umgehen, weil sie die VLANs des GS108E auch gar nicht zu Gesicht bekommt. Die Ports 4 und 8 am GS108E sind - hier zwar nicht zu sehen - als untagged konfiguriert. Das heißt, dass dort angeschlossene Geräte gar nicht mitbekommen, dass sie sich in einem VLAN befinden, weil untagged Ports nach außen hin 08/15 Standard-Ports ohne jedwede VLAN-ID sind. Die VLAN-ID existiert daher ausschließlich im GS108E.
Was eigentlich perfekt für den MiniPC gewollt und gedacht wäre, aber das noch einzurichten...

Raijin schrieb:
Im dargestellten Setup wird der GS108E effektiv in 3 Teile zersägt, 3 VLANs. Port 1-4 sind der erste Teilswitch, der das Hauptnetzwerk der Fritzbox verteilt und Port 6-8 stellen einen 3-Port-Switch für das Gastnetzwerk dar. Port 5 nimmt eine Sonderrolle ein, weil er augenscheinlich keinem der beiden anderen VLANs zugeordnet ist. Daher "Sondernetz", weil dieses keinerlei Verbindung zu den anderen Ports hat, 0, nix. Erst dann, wenn man diesen Port eben dem VLAN für 1-4 oder 6-8 zuordnen würde, hätte das dortige Gerät Zugriff auf das jeweilige Netzwerk.

Wenn die Fritzbox VLAN könnte, wäre es möglich, einen VLAN-Switch mit einem einzigen Kabel mit beiden Netzwerken zu versorgen, Haupt- und Gastnetzwerk. Das nennt sich dann Trunk, wenn ein Switch-Port mit mehreren tagged VLANs konfiguriert wird. In den VLAN-Grundlagen bei Thomas-Krenn ist das mit Farben recht anschaulich dargestellt.

Hatte mir das mit Trunk und Tagged schon zu oft während der Ausbildung von Thomas-Krenn durchgelesen. Es ist verstanden, aber habe es noch nie eingerichtet oder damit nur ansatzweise zu tun gehabt...

Also... bevor ich jetzt die Hardwarefirewall hinter Fritzbox1 der 7490 einrichte mit Vlans usw...
würde es mich zeitlich erstmal "günstiger, schneller und besser" kommen, wenn ich die Fritzbox 7390 raushaue, und durch einen Mikrotik Router ersetze,
und den VPN da drauf mit onboard Client terminiere.
Erspart erstmal gruselige Fritzbox Frickelei und doppelte NAT Fallen von oben.
Oder hättest Du einen besseren Ansatz?
 
skorpion1800 schrieb:
Deine Antworten sind schon die besten immer von allen und wirklich bemerkenswert,
Danke, aber das Kompliment gebe ich an die Community weiter, weil ich bei weitem nicht der einzige bin, sondern nur der, der meistens die längsten Beiträge schreibt. :D

skorpion1800 schrieb:
die 2. Fritzbox die ( noch 7390 ) diese wollte ich erst ablösen durch einen Microtic Router ablösen
[..]
Anstelle eines neuen Microtic Routers könnte man da auch die Hardwarefirewall's hernehmen... ich habe 2 Stück ( Gateprotect GPO 150 mit 4 Ports )
Eine mit Opensense die andere mit Opensense ( meine ich.. )
[..]
Also Vlan dürfte sich damit realisieren lassen...
Ja, würde gehen. WLAN muss man dann eben separat machen, wenn der MikroTik bzw. die HW-Firewall kein WLAN bietet.

skorpion1800 schrieb:
Also... bevor ich jetzt die Hardwarefirewall hinter Fritzbox1 der 7490 einrichte mit Vlans usw...
würde es mich zeitlich erstmal "günstiger, schneller und besser" kommen, wenn ich die Fritzbox 7390 raushaue, und durch einen Mikrotik Router ersetze
Es spielt aber keine Rolle ob du nu eine HW-Firewall mit OPNsense, pfSense, IPFire, etc. oder einen MikroTik Router hinstellst. Alle sind im Vergleich zu Fritzboxxen hochkomplex und gehen weit über den Funktionsumfang einer Fritzbox hinaus. Wenn du es dir noch nicht zutraust, eine Firewall mit OPNsense zu konfigurieren, wirst du an einem MikroTik auch keine Freude haben. Ich würde sogar eher das Gegenteil behaupten, weil OPNsense die deutlich modernere GUI hat. Wenn du die 2. Fritzbox also ersetzen willst, kannst du sie gleich gegen eine deiner HW-Firewall tauschen und dir die Kohle für den MikroTik sparen.



Noch ein letzter Kommentar zu Fritzboxxen und VLANs: Es spielt keine Rolle wie die Netzwerke der Fritzbox nach ihr weiterverteilt werden, weil das nichts mehr mit der Fritzbox selbst zu tun hat. Im Prinzip ist das ja nichts anderes als folgendes Beispiel: Ich kann kein Spanisch, aber mein Kollege. Beide können wir Deutsch. Würdest du jetzt sagen, dass ich in Folge dessen auch Spanisch beherrsche, weil ich mit jemandem kommunizieren kann, der neben Deutsch auch Spanisch spricht? Wohl kaum :D
Raijin --deutsch-- Kollege --spanisch-- hotte Latina
vs
Raijin --nixspanisch-- hotte Latina
 
  • Gefällt mir
Reaktionen: skorpion1800
Raijin schrieb:
Danke, aber das Kompliment gebe ich an die Community weiter, weil ich bei weitem nicht der einzige bin, sondern nur der, der meistens die längsten Beiträge schreibt. :D


Ja, würde gehen. WLAN muss man dann eben separat machen, wenn der MikroTik bzw. die HW-Firewall kein WLAN bietet.

Und die Beiträge sind grandios verständlich und so ausführlich, das man dies auch versteht. Manche Member / user hauen auch nur 1-2 Sätze als Antwort rein, was zwar faktisch absolut richtig es auf den Punkt bringt, aber bietet weder gleich nen Lösungsvorschlag oder noch mehr Hintergrundwissen, was dann erst noch weiter in der Materie ausgeholt werden darf, und nur massiv Zeit ( noch mehr ) kostet

Aber gut, die Gateprotect mit OPNsense ist am Start, diese hat natürlich KEIN Wlan, aber habe ja noch neben der 2. Fritzbox noch eine Homebox, die WLAN bieten ( hier ist / wäre doppel Nat nicht so wichtig usw... )

Raijin schrieb:
Es spielt aber keine Rolle ob du nu eine HW-Firewall mit OPNsense, pfSense, IPFire, etc. oder einen MikroTik Router hinstellst. Alle sind im Vergleich zu Fritzboxxen hochkomplex und gehen weit über den Funktionsumfang einer Fritzbox hinaus. Wenn du es dir noch nicht zutraust, eine Firewall mit OPNsense zu konfigurieren, wirst du an einem MikroTik auch keine Freude haben. Ich würde sogar eher das Gegenteil behaupten, weil OPNsense die deutlich modernere GUI hat. Wenn du die 2. Fritzbox also ersetzen willst, kannst du sie gleich gegen eine deiner HW-Firewall tauschen und dir die Kohle für den MikroTik sparen.
Habe ich getan, und OPNsense ist schon böse wenn man davon nicht mal 2% Ahnung hat.. das werden nochmal paar harte Tage / Wochen werden, bis dies dann passend eingerichtet ist usw.
( Auch mit Abstriche usw, aber hauptsache man kann sich sowas mal aufbauen, lernt es, und später bei einem neuem / eigenem Netzwerk kann man dann gleich alles "richtig" machen und für den Job ist es natürlich auch gut / wichtig.

Raijin schrieb:
Noch ein letzter Kommentar zu Fritzboxxen und VLANs: Es spielt keine Rolle wie die Netzwerke der Fritzbox nach ihr weiterverteilt werden, weil das nichts mehr mit der Fritzbox selbst zu tun hat. Im Prinzip ist das ja nichts anderes als folgendes Beispiel: Ich kann kein Spanisch, aber mein Kollege. Beide können wir Deutsch. Würdest du jetzt sagen, dass ich in Folge dessen auch Spanisch beherrsche, weil ich mit jemandem kommunizieren kann, der neben Deutsch auch Spanisch spricht? Wohl kaum :D
Raijin --deutsch-- Kollege --spanisch-- hotte Latina
vs
Raijin --nixspanisch-- hotte Latina

😅😂👍😆😁
 
skorpion1800 schrieb:
Habe ich getan, und OPNsense ist schon böse wenn man davon nicht mal 2% Ahnung hat.. das werden nochmal paar harte Tage / Wochen werden, bis dies dann passend eingerichtet ist usw.
Du kannst ja mal gucken ob dir die altbackene GUI von MikroTik in dieser Demo besser gefällt.

Generell ist es so, dass HW-Firewalls bzw. allgemeiner: fortgeschrittene Router deutlich komplexer sind als man es von Fritzboxxen kennt. Eine Fritzbox bietet dem Anwender <5% der Themenwelt "Netzwerke und Internet" und diese 5% sind zudem noch versteckt hinter Wizards. So wirst du bei einer Fritzbox beispielsweise niemals die Firewall sehen, auch wenn der Menüpunkt in der GUI vielleicht so heißt. Bei OPNsense, MikroTik und Co hat man hingegen volle Kontrolle über die Firewall, bis auf die Kommandozeile hinunter. Das birgt nicht nur ungeahnte Möglichkeiten, sondern auch entsprechende Fallstricke, weil man auch einiges kaputtkonfigurieren kann, was bei Fritzboxxen und Co durch die Wizards abgefangen wird.

Ich rate dir, dich insbesondere mit dem Thema Firewall auseinanderzusetzen. Wie funktionieren Firewalls? Oder noch grundlegender: Wie funktionieren Netzwerkverbindungen? IPs, Ports, SNAT, DNAT, PAT, connection states und dergleichen. Das sind absolute Basics für einen ITler, aber wenn Otto Normal das erste Mal von solchen Begriffen liest, wirft er häufig direkt die Flinte ins Korn, weil Fritzboxxen mit ihren Wizards eben doch ihren Charme haben können :lol:
 
Zurück
Oben