Wie funktioniert das Gast LAN 4 auf einer Fritzbox?

[Eduardo77]

Guten Tag,

ich habe im Internet nur nach lesen können, wie man das LAN Gastnetzwerk einrichten kann. Wie es funktioniert, wurde jedoch nicht auf der offiziellen Webseite erklärt. Also wäre meine Frage:

Wie funktioniert das Gast-Lan, wenn es nicht mit VLANs arbeiten kann?

 

[thealex]

Es arbeitet intern schon mit VLANs/Segmentierung, nur kannst du die eben nicht editieren/einsehen/anpassen.

das Gastnetz ist am Ende genau das gleiche wie es im Gast-WLAN umgesetzt wird. Nur eben auf Ethernet-Basis.

 

[Baya]

Es ist einfach ein anderer IP-Adressbereich. Standard ist für dein Netz das 192.168.178.er
Das Gast-LAN hat dann 192.168.179.xxx

 

[Hardwarenator]

Ist das wirklich so?

Wenn es nur ein anderer Adressbereich ohne VLAN wäre, würde es ja bedeuten, dass ich mit einer angepasst Subnetzmaske von einem ins andere Netz kommen würde.

Das wäre schon ziemlich bitter..

 

[drago1401]

ich würde sagen testen, wenn du an dem port nur ein bestimmtes lan zulässt, wie sollst du dann ins andere netz kommen? das du dieses netzt, nicht auf den selben switch, wie dein normales lan leiten darfst und weiter verteilen darfst, sollte sich von selbst verstehen. weil es keine VLans sind.

 

[norKoeri]

Wie funktioniert das Gast-Lan

Um ehrlich zu sein, verstehe ich die Frage nicht. Du steckst das LAN-Kabel in die Buchse, und es tut. Das Gast-LAN ist ein alternativer Zugang zu Deiner FRITZ!Box.

Was genau möchtest Du erreichen: Willst Du die Gast-LAN-Buchse vermehren, also mehr als eine Buchse? Dann, eigener Switch nur für Gast-LAN-Geräte. Und/oder willst Du die Gast-LAN-Buchse entfernt bereitstellen, also am anderen Ende der Wohnung? Dann, eigenes Kabel ziehen.

Wenn Du keine separate Kabel ziehen kannst, also Gast und Heim auf ein Kabel legen müsstest, dann musst Du über einen konfigurierbaren Switch das Gast-LAN auf ein VLAN umlenken.

Wenn es nur ein anderer Adressbereich ohne VLAN wäre, würde es ja bedeuten, dass ich mit einer angepasst Subnetzmaske von einem ins andere Netz kommen würde.

Hat drago1401 schon probiert zu erklären, nochmal anders herum: Das Gast-LAN steht ausschließlich an einem LAN-Port zur Verfügung (LAN4, FRITZ!Boxen ohne LAN4, dann LAN3). Das Heimnetz ist dann (nur) an allen anderen Ports. Also nicht mittels Software sondern Hardware-seitig getrennt.

 

[Baya]

Ist das wirklich so?

Schon, man kommt ja auch per 192.168.179.1 auf die Anmeldeseite der FB.

 

[Eduardo77]

Es arbeitet intern schon mit VLANs/Segmentierung, nur kannst du die eben nicht editieren/einsehen/anpassen.

Laut meinem Ausbilder kann die FRITZ!Box gar keine VLANs erstellen und arbeitet dementsprechend anders. Im Internet habe ich nichts zu gefunden, weswegen ich hier die Frage gestellt habe.

Ergänzung (21. Februar 2024)

Es ist einfach ein anderer IP-Adressbereich.

Damit meinst du den IP-Pool, richtig? Sprich, es hat nichts mit VLANs zu tun?

Ergänzung (21. Februar 2024)

Um ehrlich zu sein, verstehe ich die Frage nicht.

Was genau verstehst du an der Frage nicht? Ich habe nach dem Verfahren gefragt, wie die Netzwerke von einander getrennt werden, also z.B. per VLAN.

 

[thealex]

Schon, man kommt ja auch per 192.168.179.1 auf die Anmeldeseite der FB.

Genau das sollte eigentlich nicht gehen. Und aus meinem Gastnetz geht das auch nicht.

PS: Zugegeben, mit IP noch nicht getestet. Das werde ich nachher mal tun.

 

[norKoeri]

[W]ie [werden] die Netzwerke von einander getrennt[?]

Per LAN-Buchse. Nachdem Du den LAN-Gastzugang in der Web-Oberfläche eingeschaltet hast, steckst Du an LAN4 Deinen Computer und bist im Gastnetz. Du steckst an LAN2 Deinen Computer und bist im Heimnetz. Also Hardware. Daher verstehe ich die Frage leider immer noch nicht. Meinst Du vielleicht, wie das AVM im FRITZ!OS intern gelöst hat, also Software? Zauberei, denn das kann alles Unmögliche sein. Oder meinst Du, ob man irgendwie ins andere Netz kommen kann? Durch Umstecken des LAN-Steckers.

 

[Raijin]

Was genau verstehst du an der Frage nicht? Ich habe nach dem Verfahren gefragt, wie die Netzwerke von einander getrennt werden, also z.B. per VLAN.

Der 4er Switch der Fritzbox wird intern mit untagged bzw. portbased VLANs getrennt. Das heißt die Fritzbox erstellt intern zwei VLANs und weist eben LAN1-3 das eine und LAN4 das andere zu. Wenn man einen herkömmlichen Layer2+ VLAN Switch nimmt, kann man bei dem die Ports auch beliebig unterteilen und Teilswitches erstellen, also zB ein 8er Switch, bei dem Port 1-4 zu VLAN A und Port 5-8 zu VLAN B gehören. Nichts anderes tut die Fritzbox, eben nur mit einem 4er Switch und 3+1 Konfiguration.

Es geht sogar noch einen Schritt weiter. Auch die WAN-Ports vieler Router sind intern häufig nur ein VLAN-Port im Switch, der dann streng genommen ein 5-Port-Switch ist. Da sind also nicht mehrere NICs verbaut, sondern einfach nur ein kleiner Switch mit Switch-Controller, der VLAN-Funktionalität bietet, je nachdem wie weit der Hersteller dessen Konfiguration in der GUI zugreifbar macht.

Fritzboxxen unterstützen insofern offiziell keine VLANs, weil man abgesehen vom Haken "LAN4 als Gast" eben keine Einstellungsmöglichkeiten hat und auch kein 802.1Q unterstützt wird. Man kann also keine tagged VLANs verwenden. Möchte man also Haupt- und Gastnetzwerk einer Fritzbox per Switch weiterverteilen, muss man sowohl ein Kabel in LAN1/2/3 stecken als auch ein Kabel in LAN4. Mit 802.1Q Unterstützung könnte man das mit einem einzelnen Kabel lösen, durch tagged VLANs.

Ergänzung (21. Februar 2024)

Schon, man kommt ja auch per 192.168.179.1 auf die Anmeldeseite der FB.

Wenn das funktioniert, ist das lediglich dem Routing geschuldet, weil die Fritzbox nun mal das Standardgateway auf beiden Seiten ist und sie merkt, wenn sie selbst das Ziel ist - auch wenn es womöglich die IP auf der anderen Seite ist. Ein Ping aus dem Hauptnetz auf die Gast-IP der Fritzbox mag funktionieren, ebenso wie ein Ping auf die Haupt-IP aus dem Gastnetz heraus, aber Zugriffe auf andere Geräte werden mit tödlicher Sicherheit von der Firewall blockiert. Es ist ein Unterschied ob der Router selbst angesprochen wird oder ob er etwas weiterleiten soll, zwei Paar Schuhe.

 

[Eduardo77]

Per LAN-Buchse. Nachdem Du den LAN-Gastzugang in der Web-Oberfläche eingeschaltet hast, steckst Du an LAN4 Deinen Computer und bist im Gastnetz. Du steckst an LAN2 Deinen Computer und bist im Heimnetz. Also Hardware. Daher verstehe ich die Frage leider immer noch nicht. Meinst Du vielleicht, wie das AVM im FRITZ!OS intern gelöst hat, also Software? Zauberei, denn das kann alles Unmögliche sein. Oder meinst Du, ob man irgendwie ins andere Netz kommen kann? Durch Umstecken des LAN-Steckers.

Nein, ich meinte nur, was im Hintergrund passiert. Also wie diese Trennung eigentlich stattfindet. Weil LAN4 auf demselben Switch ist, jedoch trotzdem ein eigens Gast-LAN ist. Also muss das ja irgendetwas passieren, wenn keine VLANs angewendet werden.

 

[rezzler]

Also muss das ja irgendetwas passieren, wenn keine VLANs angewendet werden.

Nur weil man das von außen nicht sieht muss es ja nicht heißen, das keine VLANs angewendet werden.

 

[norKoeri]

wie diese Trennung eigentlich stattfindet

Das ist wie geschildert Zauberei, eine Black-Box. Kann sein, dass es so läuft wie Raijin und thealex schrieben. Ist sogar wahrscheinlich. Aber theoretisch könnte AVM auch die Firmware des Switch gehakt haben und kleine Drachen implementiert haben. Man könnte FRITZ!OS auseinandernehmen, wie das Einige im IP-Phone-Forum tun. Vielleicht findet sich das Software-Modul. Nur wie das konkret umgesetzt ist, hat keinerlei Relevanz für irgendwen. Spannender finde ich den WLAN-Gastzugang und dessen L2TPv3-Tunnel …

 

[Raijin]

Weil LAN4 auf demselben Switch ist, jedoch trotzdem ein eigens Gast-LAN ist. Also muss das ja irgendetwas passieren, wenn keine VLANs angewendet werden.

Nur weil es in der GUI keine Einstellung gibt, heißt das noch lange nicht, dass die Hardware das nicht trotzdem kann und die Firmware es hinter den Kulissen nicht auch trotzdem nutzt.

Ob die Hardware eines Routers VLANs unterstützt, merkt man zB wenn man OpenWRT, o.ä. auf dem Router installiert. Plötzlich kann man VLANs konfigurieren. Warum? Weil die Hardware es grundsätzlich kann, aber die Original-GUI es einfach ausgeblendet hat.

Bei vielen Routern läuft das so, wenngleich die wenigsten Consumer-Router das Gastnetzwerk per LAN anbieten. Dafür haben sie aber alle auch einen WAN-Port und der ist meistens genau so per VLAN getrennt. Ist das der Fall, kann man ihn je nach Firmware als 5. Switch-Port konfigurieren und hat dort volle 1 Gbit/s. Wenn der WAN-Port jedoch eine autarke Schnittstelle ist, kann man das zwar auch machen, aber dann wird der Port in Software auf den Switch gebridged und ist furzlahm, weil alles durch die CPU muss.

Hier beschriebt AVM beispielsweise bei einer 4060, dass man WAN als 5. LAN nutzen kann. Nutzerberichten zufolge gibt es dabei keinerlei Geschwindigkeitseinbußen an diesem Port, er ist ein voller Switch-Port. Warum? Weil er es von Anfang an war und der Haken in der GUI lediglich das VLAN vom Port nimmt...

Natürlich kann AVM auch kleine Drachen in die Fritzbox gesperrt haben wie @norKoeri so schön formuliert, aber es gibt einfach keinen Grund dafür. VLANs sind genau für solche Zwecke gedacht und wozu sollte AVM das Rad neu erfinden, wenn sie doch einfach nur in ihrer GUI-Entwicklung ein paar Haken und (unsichtbare) VLAN-IDs einbauen müssten. Frei nach dem Prinzip von Ockhams Rasiermesser, die einfachste Erklärung ist allen anderen vorzuziehen.

Wenn man wirklich danach suchen will, könnte man eine Fritzbox aufschrauben, den Switch-Controller identifizieren (oder ggfs das SoC, in dem der Controller drinsitzt) und die Datenblätter danach durchsuchen, wenn man sie denn findet. Ich hab zwar ein paar Infos zu den Chips gefunden, aber leider keine Datenblätter und mehr Zeit und Energie möchte ich dafür jetzt auch nicht mehr aufwenden

 

[cartridge_case]

weswegen ich hier die Frage gestellt habe.

Wäre es nicht schlauer den Hersteller zu fragen? Der Support ist wirklich sehr gut.

 

[norKoeri]

Nur wie das konkret umgesetzt ist, hat keinerlei Relevanz für irgendwen.

Daher verstehe ich die Frage immer noch nicht. Machen wir es mal anders herum: @Eduardo77 warum fragst Du dies, welche Erkenntnis bzw. Vorteil hättest Du (oder jemand anders) von der (korrekten) Antwort?