Zwei Netzwerke mit einem Glasfaseranschluss betreiben

[Netz2019]

Im Keller kommt der Glasfaseranschluss ins Haus. Ich möchte mit diesem mit möglichst wenig Hardware Wohnung A und Wohnung B mit Internet versorgen. Die beiden Netzwerke sollen getrennt voneinander laufen. Vom Keller aus ist in beide Wohnungen ein Cat.6 Kabel verlegt.
Bereits vorhandene Hardware: für jede Wohnung jeweils AP EAP225 und Switch Netgear GS105E smart managed.
Im Keller Router technicolor tg1100 (kann ev. durch einen anderen ausgetauscht werden)

 

[Twostone]

Na ja, die Antwort hast Du ja schon im Sinn: Zwei separate Netze aufspannen, die auf dem Gateway zusammenlaufen und nur nach draußen, aber nicht untereinander telefonieren können.

Im einfachsten Falle: einen stromsparenden kleinen rechner mit drei NICs hinstellen, je einer pro Netz (outbound als drittes) und entsprechende Firewall-Regeln erstellen.

Komfortable Distris wären hier OpenWRT, OPNSense, IPfire, IPcop, pfsense, m0n0wall...

Die SuFu wird auch einiges ausspucken, ist recht beliebt, das Thema.

 

[Olunixus]

Stichwort Routerkaskade

 

[Netz2019]

Danke für die Antworten, werde mich schlau machen

 

[Raijin]

In der für unerfahrene Nutzer einfachsten Variante ginge das so:

Modem-Router im Keller ----LAN---- WAN-Port von Router-WohnungA
|
LAN
|
WAN-Port von Router-WohnungB


Dafür kann man im Prinzip jeden beliebigen Router (ohne Modem) benutzen, je nach Ausstattung und Geldbeutel. Als Beispiel sei die Archer-Serie von TP-Link genannt, da ist für jedes Budget ein passendes Modell dabei.


Die fortgeschrittene Variante würde ein semiprofessioneller Router in der Mitte darstellen. Dieser hat im Gegensatz zu einem 08/15 Technicolor, etc. separate LAN-Interfaces und kann so auch mehrere individuelle Netzwerke verwalten. Das erfordert jedoch ein wenig KnowHow, da man dann auch die Firewall in diesem Router entsprechend konfigurieren muss, um den gegenseitigen Zugriff zu blockieren.

 

[Twostone]

Das erfordert jedoch ein wenig KnowHow, da man dann auch die Firewall in diesem Router entsprechend konfigurieren muss, um den gegenseitigen Zugriff zu blockieren.

Eigentlich nicht, der gegenseitige Zugriff ist meistens schon per default unterbunden, sofern man unterschiedliche Subnetze nutzt. Dennoch braucht man schon ein wenig Wissen um die Funktion einer Firewall und Netzwerkkommunikation im Allgemeinen, denn sonst gibt es trotzdem noch ein völliges Chaos und nichts funktioniert oder alles unkontrolliert.

Schlimmer wird's bei IPv6, da hast Du tatsächlich Recht. Allerdings braucht man im Heimnetz imho eigentlich kein IPv6...

 

[Raijin]

Eigentlich nicht, der gegenseitige Zugriff ist meistens schon per default unterbunden, sofern man unterschiedliche Subnetze nutzt.

Da verwendest du offenbar andere Router als ich. So oder so muss man sich mit der Thematik Firewall auseinandersetzen, wenn man einen fortgeschrittenen Router wie EdgeRouter, MikroTik oder dergleichen einsetzt. Ein EdgeRouter tut nämlich genau das was der Name sagt, wenn man einfach nur zwei LAN-Schnittstellen in zwei Subnetzen konfiguriert: Er routet und blockt nix. Dafür muss man erst die Firewall konfigurieren oder ggfs einen der Wizards verwenden.

Wie auch immer, ich halte die Variante mit 08/15 Routern für besser geeignet, weil so jede Wohnung ihr Netzwerk selbstverwalten kann (DHCP, etc). Bei einem zentralen Router läge das ja in der Hand des Hauptnutzers, weil der bzw. die DHCP-Server dann in der Regel auf dem zentralen Router laufen.

Einen potentiellen Nachteil des Setups sollte man jedoch noch erwähnen: Doppel-NAT. Wenn in einem der Netzwerke ein Serverdienst gehostet werden soll (VPN, TeamSpeak, o.ä.) muss man zwei Portweiterleitungen einrichten, einmal im Modem-Router und einmal im entsprechenden Wohnungsrouter.

 

[Twostone]

So oder so muss man sich mit der Thematik Firewall auseinandersetzen

Definitiv. Das ist zwar, gewisses Grundwissen vorausgesetzt, nicht allzu schwierig und man kann als Laie noch recht viel und schnell lernen, kann aber auch gehörig nach hinten losgehen und auch oft mit viel Frust verbunden sein, hat man sich zum zwölften Male selber ausgesperrt.

Ich habe auch mit nur grundlegenden Netzwerkkenntnissen angefangen (vor knapp zwanzig Jahren), mittlerweile habe ich hier vier verschiedene Netze (einmal "normal" für Workstations, Laptops, etc, einmal WLAN (ja, im eigenen, getrennten Subnetz mit eigenem Filter, Proxy und RADIUS), einmal Server und einmal Steuerungstechnik. Nach außen hin zwei WAN, einmal LTE, einmal DSL). Und ja, auch ich habe am Anfang mehrfach das gesamte Netz lahmgelegt (ARP floods dank falsch konfiguriertem LAGG, Syntaxfehler bei firewall-Regeln, NAT nicht richtig konfiguriert, QOS sabotiert, etc...), aber letztlich auch jede Menge gelernt dabei. Mittlerweile möchte ich auf mein Setup nicht mehr verzichten, auch wenn der Aufbau streckenweise wirklich frustrierend war (später war dies auch der miserablen Netz-Infrastruktur in Deutschland geschuldet).