VLANs im Heimnetzwerk erstellen

[pulsar1]

Hallo,

ich bitte um Hilfe beim Verständnis von VLANs im Heimnetzwerk. Nach dem Lesen einer Grundlagen und dem Anschauen verschiedener Videos bekomme ich die Fachbegriffe tagged /untagged VLAN, Trunk-Ports noch nicht ganz zusortiert und weiß sie nicht auf meinen Fall anzuwenden.

In meinem Fall ist am Router (Fritzbox 7590) an entfernter Stelle per Kabel ein Switch (TP-LINK SG105E v4) angeschlossen.

An diesem sind fünf verschiedene Geräte angeschlossen, wie im Bild unten skizziert.

Ich möchte gerne erreichen, dass (wie farbig skizziert)

• Port 1 nur Zugriff auf die Ports 2, 3, 5 besitzt (PC mit Drucker, NAS und Internet verknüpfen)
• Port 2 nur Zugriff auf die Ports 1, 4 besitzt (Drucker mit PC und Access Point verknüpfen)
• Port 3 nur Zugriff auf Port 1 besitzt (NAS nur mit PC verknüpfen).
• Port 4 nur Zugriff auf die Ports 2, 5 besitzt (Access Point mit Drucker und Internet verknüpfen).

Ziel ist es, nur notwendigen Geräten Zugriff auf "das Internet" zu erlauben. NAS und Drucker benötigen keinen Internetzugriff.

Wie muss meine VLAN-Konfiguration aussehen? Bitte um Hilfe, möglicherweise denke ich einfach in die falsche Richtung oder suche eine richtige Lösung auf das falsche Problem ;-)

 

[fendle]

Wenn sie nur kein Internet benötigen, dann brauchst du kein VLAN. Ich weiß nicht ob man bei der Fritzbox bei einzelnen Clients das Internet blocken kann. Ansonsten feste IP vergeben ohne gateway

 

[Lawnmower]

Hmmm weder deine Fritzbox noch der TP-Link Switch kann mit VLANs umgehen soweit ich das sehe.
PC an Port 1 einfach Gateway entfernen, Problem gelöst. Port 2 halte ich so für nicht sinnvoll bzw bringt nicht so viel da was einzuschränken. Port 3 NAS kannst ggf am NAS selber Zugriffsbeschränkung (IP Filter, Benutzer Login, etc.) konfigurieren, Problem gelöst.

 

[pulsar1]

Hallo,

der TP-LINK SG105e kann mit VLANs umgehen (siehe Bild aus dem Webinterface)

. Wieso sind VLANs bei der Fritzbox relevant?

 

[leipziger1979]

Das was du machen willst hat mit VLAN auch nichts zu tun.
Scheinst irgendwie irgendwas gelesen zu haben und hast alles in einen Topf geworfen und das Ergebnis ist das Bild.

Für das was du machen möchtest brauchst ACLs und einen Router mit dem du das konfigurieren kannst.
Ein FB kann das nicht.

 

[Lawnmower]

Hmm auf der Webseite (https://www.tp-link.com/de/business-networking/easy-smart-switch/tl-sg105e/) steht der ist unmanaged. Aber gut, habe im letzten Post noch Alternativ Lösungen hingeschrieben.

 

[blablub1212]

Ziel ist es, nur notwendigen Geräten Zugriff auf "das Internet" zu erlauben. NAS und Drucker benötigen keinen Internetzugriff.

Du kannst in der Fritzbox im Reiter Internet -> Filter jedem Gerät den Zugang zum Internet verweigern.

 

[TriceO]

Nur wofür das ganze?

Kein Internetzugang für NAS und Drucker:
Die Fritzbox hat angeblich die Möglichkeit, per einfachem Klick in der Oberfläche, Geräten den Internetzugang zu sperren (Internet - Zugangskontrolle/Filter).

Damit kannst du schonmal Drucker und NAS den Zugang verwehren. Alternativ einfach bei beiden eine falsche Gateway-Adresse eintragen.

Der PC soll keinen Zugriff auf den Access Point haben:
Einfach ein Passwort am Access Point vergeben oder den PC per MAC-Filter am Access Point den Zugriff verweigern.

Der Access Point soll keinen Zugriff auf das NAS haben:
Genau das gleiche, entweder Passwort vergeben oder den AP am NAS per MAC-Filter ausschließen.

 

[Twostone]

Ziel ist es, nur notwendigen Geräten Zugriff auf "das Internet" zu erlauben.

Äh. Nicht mit VLANs. Sowas löst man klassisch über die Firewall.

Wenn Du PC und AP voneinander trennen willst, ja, das kannst Du per VLAN machen, wenn Du mit dem AP ein anderes Subnetz aufspannst. Dazu müßte aber auch Deine f*Box VLAN verstehen können, oder aber der AP mit den bescheidenen Möglichkeiten des "Gästezugangs" eingerichtet werden. Imho Blödsinn. Die f*Box ist nicht für mehrere Subnetze (sinnvoll) ausgelegt. Punkt. Marketing-Blabla zum Trotz. Die Software gibt das nicht her.

 

[Aristotle]

@blablub1212 , wäre für mich auch die schnellste und einfachste Lösung. Einfach MAC-Adresse rein und gut ist.

 

[derdau.]

Was bringt das VLAN für den Drucker im Heimnetz? Ich verstehe dein ganzen Plan nicht!

 

[pulsar1]

Hallo,

ihr habt mir geholfen, indem ihr mir aufgezeigt habt, dass VLANs hierzu nicht erforderlich / sinnstiftend sind, und dass ich z.B. per MAC ACL den Zugriff auf den Internet gezielt verhindern kann.

Alternativ kann ich gezielt einigen Geräten den Zugriff auf das Internet verweigern, indem ich bei den betreffenden den Gateway entferne. Irgendwie dachte ich, mit VLANs gäbe eine Lösung hierzu

Danke.

 

[Aristotle]

Was bringt das VLAN für den Drucker im Heimnetz?

Zum lernen ist das sicher hilfreich, ansonsten sieht der Plan aus wie ein Stich in den Rücken durch die Brust ins Aug. Wenn der TE mehr wissen möchte über "Fachbegriffe tagged /untagged VLAN, Trunk-Ports" wird er hier und hier fündig.

 

[Twostone]

Irgendwie dachte ich, mit VLANs gäbe eine Lösung hierzu

Die gibt es auch, ist nur in Deinem Setup nicht sonderlich sinnbringend, da die Grundvorraussetzungen nur zu einem geringen Teil vorhanden und das zu verwaltende Netz schlicht zu klein ist. Da sind andere Möglichkeiten sinnvoller und schneller (und für Dir auch seitens des Herstellers gestattet).

 

[Merle]

Das ist ... schwer zu erklären. Ein VLAN ist ein separiertes Netzsegment. Port 1 soll Mitglied in 3 VLANs sein. Wenn man das so konfigurieren möchte (das geht durchaus), Muss das Gerät an Port 1 3 IP Adressen haben und für mindestens 2 IP Adressen von den 3 die Ethernetframes taggen mit einem VLAN. Dann ist das Gerät auf Port 1 in 3 VLANs mit UNTERSCHIEDLICHEN IPs erreichbar. Die Anbindung erfolgt per Trunk, wobei das native/untagged VLAN im Switch das VLAN sein muss, welches vom Device nicht getaggt wird. Zudem, um dann ins Internet zu kommen, brauchst du einen Routingprozess/-gerät, welches Trunks versteht und dadurch Inter-VLAN routen kann.
Die Erklärung ist wirr, das liegt an deinem Vorhaben. Technisch ist meine Beschreibung nicht falsch. Das sollte dir was über die Komplexität deines Vorhabens sagen. Ich helfe dir gerne im Skillaufbau (wenn was ist frag einfach), aber das ist schon verhältnismäßig komplex.

 

[Ilsan]

Ob man NAS/Server von seinen PCs trennt sollte man sich überlegen. Dann müssen sämtliche Datenströme geroutet werden, ergo braucht entsprechend Leistung. Von daher würde ich PC und NAS eher im selben VLAN lassen. Die Trennung steht meist in keinem Verhältnis zum Nutzen.

 

[Merle]

Einfacher (und Standard) wäre, den Zugriff untereinander NICHT über mehrere VLANs pro Port zu regeln, sondern Geräte in definierte Zonen in jeweils ein VLAN zu packen (typisch sind zB Trennung in untrusted (Gästenetz/-wlan), trusted (deine PCs), management (Switch-/Firewall-/Routermanagementadressen), devices (Multifunktionsdrucker, NAS, blabla) und eventuell noch DMZ wenn es von außen erreichbare Services gibt.) Dann hat der Switch einen Trunk für alle VLANs an einen VLAN Router/Firewall und DORT werden die Regeln für den Übergang gesetzt.
Ein Unifi Security Gateway kann hier helfen; ich hab das daheim so aus... Gründen. (Spielerei und beruflich)
*edit: Beachte das Kommentar über mir auch! Denn korrekt ist es; Netztrennung verursacht Einbußen in der Geschwindigkeit, einmalige Kosten und auch zusätzliche laufende Kosten (Strom).
Bis Gigabit ist das USG brauchbar, mehr Durchsatz kann es nicht leisten; je nach aktiven Optionen auch deutlich weniger! Das darf nicht ignoriert werden.