VLAN Planung mit Fritzbox und TP-Link

[nucmanni]

Hallo in die Runde,

ich habe mich von VLANs bisher fern gehalten. Gab keinen Bedarf. Keine IoT WiFi Devices. Und meine Arbeitsrechner sind hier per WiFi bzw. einem eigenen alten Internet Router in eigenen Netzen.

Nun habe ich folgendes Gedankenspiel, von dem ich gar nicht weiß, ob ich es generell - oder mit dieser Hardware umsetzen kann:

• Internet Zugang erfolgt über eine Fritzbox Cable
• die hat 4 LAN Ports, die das Fritzbox IP Netz an Heimserver, Synology und in einen anderen Raum weitergeben. (bis hier hin alles gut)
• Der letzte belegte LAN Port wandert in TP Link ER605.
• Von diesem aus soll ein Netz für Arbeitsrechner aufgespannt werden (soweit kein Problem, als Router kann der das ja machen)
• Es soll aber auch ein Port für den Gaming PC bereitgestellt werden, der sich im Heimnetz wiederfinden soll.
• Außerdem geht vom ER605 ein Port ab Richtung Apple TV, Playstation (ebenfalls im Heimnetz, zwekcks Zugriff auf Synology) und Drucker (der soll aus beiden Netzen erreichbar sein)

Frage 1: Geht das überhaupt mit den o.g. Komponenten?
Ich erstelle im TP Link Router beide VLANs, tagge den Trunk Port zwischen beiden Switches, verteile die VLANs auf die Ports und nehme am TP Links ebenfall die passende Zuweisung vor. So der Gedanke. Nach erstem Rumspielen mit den beiden TP Links erscheint das aber als nicht so trivial.

Frage 2: Wie geh ich am Besten vor?

Vielen Dank , freue mich auf Denkanstöße.

 

[DarkAngel2401]

Um die Netze sauber zu trennen, musst du alles von der Fritzbox in die VLAN-fähigen Router / Switche verlegen. Sonst kommen entweder Geräte in Netze, wo sie nicht hinsollen - oder Geräte kommen nicht auf den Router, obwohl sie dürfen.

Alle Heimnetz-Geräte kommen in ein Heimnetz-VLAN, alle Arbeitsnetz-Geräte in ein Arbeitsnetz-VLAN und der Drucker in ein drittes VLAN.
Dann kannst du sauber definieren, welches VLAN wohin darf (alle ins Internet, Heimnetz und Arbeitsnetz zum Drucker).

Die Fritzbox ist hier nur noch Router vor einem zweiten Router (und macht maximal noch Telefonie)

 

[nucmanni]

Danke dir @DarkAngel2401 !
Ich hatte es befürchtet. Das ist verlegungstechnisch leider nicht drin. :-/

 

[DarkAngel2401]

Dann muss eben direkt an die FritzBox der VLAN-fähige Router gehängt werden, daran dann die Geräte, die bisher an der Fritze waren und "hinten raus" noch managebare Switche.

 

[Flossen_Gaming]

Ich klinke mich mal in diesen Thread mit ein und beobachte mal, ich habe nämlich ähnliches, bzw. gleiches vor.

Daher ist das für mich ebenfalls interessant, da ich für mich und die Familie das Netzwerk entsprechend aufbauen will, das alle ihr eigenes VLAN bekommen.

Gedacht hatte ich das auch so, dass hinter die Fritzbox ein TP-Link Router kommt und dann mit entsprechenden Switchen etc.., das ganze in VLANs unterteilt.

Den Omada Controller kann man ja wunderbar in einer VM oder auf einem Raspberry laufen lassen.

 

[chrigu]

FRITZ!Box kann kein vlan. Tp-link hat glaube ich vlan fähige Router. Vigor auch, zyxell auch.

 

[norKoeri]

Internet Zugang erfolgt über eine Fritzbox Cable

Ideal wäre, Du würdest die als reines Cable-Modem konfigurieren; je nach Bundesland geht das einfach, einfacher oder nicht – liegt nicht an Gesetzen sondern an der migrierten Verwaltungsstruktur bei Vodafone. Dann hast Du nur den ER605 als Internet-Router.

Das ist verlegungstechnisch leider nicht drin.

Wie DarkAngel2401 schon schrieb, ER605 direkt an die FRITZ!Box.

Ich erstelle im TP Link Router beide VLANs, tagge den Trunk Port zwischen beiden Switches, verteile die VLANs auf die Ports und nehme am TP Links ebenfall die passende Zuweisung vor.

Du brauchst nur dann VLANs, wenn Du ein LAN-Kabel mit mehrere Subnetze bespielen willst. Ansonsten legst Du die Subnetze im ER605 „einfach“ an. Wobei der ER605 dafür intern VLANs nutzt …

folgendes Gedankenspiel

Leider habe ich die Beschreibung und Zeichnung noch nicht verstanden. Daher anders herum: Wieviele Subnetze brauchst Du genau? Wenn Du lediglich ein Heimnetz und (mehrere) Gastnetze brauchst, in denen kein Gerät mit dem anderen quatschen muss, dann ist der ER605 oder weitere Router gar nicht nötig. Du müsstest dann „nur“ die Switche richtig einrichten. Dabei helfen wir gerne.

ich habe nämlich ähnliches, bzw. gleiches vor.

Auch ein TP-Link Omada Gateway wie den ER605? Was genau ist Dein übergeordnetes Ziel?

 

[Flossen_Gaming]

Auch ein TP-Link Omada Gateway wie den ER605? Was genau ist Dein übergeordnetes Ziel?

Welcher ER bin ich mir noch unsicher.

Das übergeordnete Ziel ist für jeden in der Familie sein eigenes VLAN aufzubauen, bzw. die Netze zu trennen, da in der Familie einige unbedingt eine Alexa haben wollen, würde ich das gerne etwas separieren.

Dazu möchte ich mit dem Thema Vlan auch Erfahrung sammeln.

 

[Raijin]

@Flossen_Gaming : Es ist ja ok, wenn du ein ähnliches Vorhaben hast und hier mitliest. Aber einen fremden Thread binnen weniger Stunden zu hijacken, ist ziemlich daneben. In diesem Thread soll es zunächst einmal um das Setup von @nucmanni gehen und nicht um deins. Wenn du ebenfalls Unterstützung benötigst, dann lies doch bitte erstmal passiv mit oder mache einen eigenen Thread auf. Es ist aber für die Helfer echt besch...eiden, wenn im selben Thread zeitgleich zwei ähnliche Beratungen durchgeführt werden, weil man dann von A nach B und wieder nach A zurückspringt und am Ende alles durcheinanderbringt.


So, und nun zum eigentlichen Thema des Threads:

@nucmanni : Deine Skizze ist leider wenig aufschlussreich. Verbindungen kreuz und quer. Daraus wird man nicht wirklich schlau. Die ArbeitsPCs scheinen beispielsweise im Gastnetzwerk der Fritzbox zu sein, sind aber am ER605 angeschlossen, der wiederum laut deiner Beschreibung an LAN4 der Fritzbox hängt. Ob dieser Port im Standard- oder Gast-Modus läuft, wird nicht klar.


Was mich an deiner Skizze irritiert ist, dass du drei Subnetze aufzeigst, von denen das "10.0.0.x VLAN" keinen Sinn ergibt. Du hast zur Zeit das Haupt- und das Gastnetzwerk, die bedingt durch die Firewall der Fritzbox nicht miteinander kommunizieren können. So ganz verstehe ich nicht was der ER605 jetzt überhaupt tun soll. Den einzigen .. ... Zweck .. .. sehe ich darin, dass der Drucker wohl in beiden Netzwerken erreichbar sein soll und das geht mit Haupt- und Gastnetzwerk der Fritzbox nicht. Klar kannst du jetzt den ER605 mit einem Bein ins Haupt- und mit dem anderen Bein ins Gastnetzwerk stellen und die ArbeitsPCs greifen dann über den ER605 auf den Drucker zu, aber das führt das Konzept der Trennung von Haupt- und Gastnetzwerk ad absurdum, weil es plötzlich einen zweiten Übergang zwischen ihnen gibt, der weniger restriktiv ist als der eigentliche Übergang in der Fritzbox.

Je nachdem welche Möglichkeiten der Drucker bietet kann man die parallele Nutzung aber auch anders lösen, zB mittels USB in die eine und Wifi in die andere Richtung. In einem anderen Thread hat sogar jemand eine VPN-Verbindung vom Gastnetzwerk aus ins Hauptnetzwerk hergestellt und den VPN-User entsprechend limitiert. So könnte man komplett ohne zusätzliche Hardware oder Verkabelung den Drucker beidseitig nutzen. Ausprobiert habe ich das aber nicht, weil ich schlicht und ergreifend keine Fritzbox habe. In deinem Falle könnte das ggfs durch den Kabelanschluss torpediert werden.

 

[norKoeri]

da in der Familie einige unbedingt eine Alexa haben wollen

Dafür besser einen neuen Thread aufmachen. Amazon hat dafür einige Tricks.

Was Du aktuell möchtest sind auch eigentlich erstmal keine VLANs – das ist nur ein mögliches Werkzeug – sondern mehrere Heimnetze, LAN-Subnetze. Ja, das ginge mit einem Multi-LAN-Router wie die Omada ER-Serie. Aber Du brauchst dann auch WLAN-Access-Points die Multi-SSID fähig sind … Das wird eine Komplett-Beratung, weil es auch darum geht, wie Du die Access-Points aufhängen kannst/möchtest (Decke, Wand, Regal oder Sockelleiste). Und im Detail ist das dann bei jedem gekauften System anders, weil die Bedienung kaum übertragbar ist. Also bitte, neuer Thread … wir beißen nicht.

 

[Flossen_Gaming]

Es ist ja ok, wenn du ein ähnliches Vorhaben hast und hier mitliest. Aber einen fremden Thread binnen weniger Stunden zu hijacken, ist ziemlich daneben.

Das war so auch nicht beabsichtigt, daher entschuldige ich mich auch dafür und lese einfach nur mit

Also bitte, neuer Thread … wir beißen nicht.

Werde ich zu gegebenem Zeitpunkt machen.

 

[nucmanni]

Aktuell habe ich eine Router Kaskade. Fritz Box LAN mit allein Heimgeräten - Switch mit weiteren Heimdevices und Router 2 für Arbeit (sowie Gäste WiFi für Arbeit).

Ich werde die Anforderungen nun runterskalieren und lediglich aus der Doppelkombi Switch - Router ein Gerät machen, dass mir als Router 2 weitere Netze für Heim 2 und Arbeit zur Verfügung stellt. Ohne Zugriff aufs Heimnetz.

Also:
FB LAN mit HeimDevices -->
Router2 -->
Router2/LAN#1 mit weiteren Heimdevices / -->
Router2/LAN#2 mit Arbeitsdevices
Das sollte im einfachsten Falle mit einer 2. Fritzbox und deren Gäste LAN klappen

Ergänzung (28. November 2023)

@Flossen_Gaming nur zu mit dem Thread Hijacken, mir hilft das immer, wenn ich Threads durchlese, die dann nicht ganz meine Frage beinhalten und jemand das Thema erweitert und ich mich dann darin wiederfinden kann

Ergänzung (28. November 2023)

Zur Klärung der aufgekommenen Fragen:
In einer idealen Welt hätte ich natürlich ein Level 3 Device direkt an der Fritzbox, dass mir 3 VLANs aufspannt.

Ich will aber nicht noch ein Device always on laufen haben. Weder habe ich Platz an der USV, keine weitere Steckdose am Standort, will kein weiteres Devices always on laufen lassen. Und auch keine weiteren Kabel ziehen.

Daher brauche ich etwas, was mir nach der Fritzbox getrennte Netze liefert. Daher aktuell die Router Kaskade.

 

[norKoeri]

Ein USV für das Cable-Modem halte ich für fraglich; wenn bei Dir der Strom weg ist, dann wird der auch auf der Straße weg sein. Die FRITZ!Box Cable ersetzt Du durch ein Cable-Modem oder schaltest diese zu einem Cable-Modem. Neue LAN-Kabel musst Du keine ziehen. Genau dafür sind VLANs ja da.

Router2 […] 2. Fritzbox

1. Wozu dann der TP-Link Omada ER?

2. Fritzbox und deren Gäste LAN klappen

2. Du könntest auch den LAN-Gastzugang des ersten Internet-Routers nutzen.

[ER605 soll] ein Port für den Gaming PC bereitgestell[en], der sich im Heimnetz wiederfinden soll.

Das ginge nur,

a) wenn Du zwei LAN-Kabel vom ersten Internet-Router zum ER605 legst oder​

b) wenn Du einen konfigurierbaren Switch vor den ER605 schaltest, der zwei LAN-Kabel erzeugt.​

Weil der ER605 nicht auf ein und demselben Port sowohl WAN als auch LAN kann.

3. Was ich immer noch nicht verstanden habe, warum Du drei Subnetze brauchst: (1) Heimnetz (2) Gast. Ergibt sich das dritte Netz, weil manche „Gäste“ doch auch auf den Drucker zugreifen können sollen?