Gelöst Netzwerkhardware Routerkaskade oder VLAN

Dieses Thema im Forum "Kaufentscheidung" wurde erstellt von tirunculus, 10. Januar 2021.

  1. tirunculus

    tirunculus Starter

    Registriert seit:
    8. Januar 2021
    Beiträge:
    6
    Punkte für Erfolge:
    3
    Hallo zusammen,
    ich benötige Euren Rat bzgl. grundsätzlicher Kaufentscheidung für Netzwerkgeräte zur Erweiterung und Segmentierung meines Heimnetzwerks. Da es etwas mehr als ein einfaches Standardnetzwerk werden soll, im Folgenden ein paar ausführlichere Informationen:

    Seit einigen Wochen lese ich mich intensiv ein und habe grundsätzlich zwei Varianten vor Augen, wie ich das Ganze evtl. realisieren könnte: Routerkaskade oder VLAN.
    An und für sich bin ich jedoch Netzwerk-Laie, dem aufgrund langjähriger Softwareentwicklung strukturiertes Denken jedoch nicht fremd ist.

    Vorab:
    Ich werde auf jeden Fall zusätzliche Hardware kaufen müssen (Router und/oder L3-Switch), da nichts Gebrauchtes rumliegt.
    Dafür muss ich vor dem Kauf wissen, was für mich die richtige Lösung ist und mit welchen Produkten dies realisierbar ist.
    Meine Hauptfragen beziehen sich vor allem auf die VLAN-Lösung (s. u., Punkt 2.).
    Aber auch für die Variante Routerkaskade (s. u., Punkt 1.) wäre ich für Hinweise auf Router-Empfehlungen dankbar.


    Im Detail:

    Ziel:
    - mehrere logisch oder physisch getrennte Netzwerke,
    - bei denen die Kommunikation untereinander z. T. möglich sein soll (immer nur in eine Richtung würde ausreichen),
    - z. B. Zugriff auf einen gemeinsamen Drucker oder das gemeinsame Fritz!NAS

    Grundsätzliche Ideen:
    1. entweder über eine Routerkaskade
    2. oder per VLAN
    3. es könnte auch darauf hinauslaufen, dass es eine Kombination daraus wird, d. h. DMZ und Gästenetz über Fritzbox, dahinter dann ein Router (oder L3-Switch?) für VLANs

    Ausgangssituation: verfügbare Hardware:
    - Internetzugang über FRITZBOX
    - LAN-Netz über LAN-Ports 1 bis 3 (=> künftig DMZ?)
    - Gästenetz über LAN-Port 4,
    - an welchem noch ein FRITZ-REPEATER als Accesspoint hängt, um ein WLAN für das Gästenetz zur Verfügung zu stellen.
    - ein paar billige unmanaged Switches vorhanden
    - keine weitere Hardware vorhanden (den Uraltrouter (ca. 15 Jahre alt) möchte ich auch nicht in einer Routerkaskade verwenden)


    Ich habe mir schon einige Gedanken gemacht, mich mit VLAN und ACL in der Theorie beschäftigt (auch über die sephi-TV-Videos), mich grob über verschiedene Hardware informiert.
    Einiges ist klar, manches auch noch nicht.

    Konzeptionellen Gedanken zur Umsetzung:
    1. Eine 3er-Routerkaskade aufbauen (DMZ und Gästenetz <-- Heimnetz (und 2. Gästenetz?) <-- Privatnetz)
    - benötigt:
    - 2 zusätzliche Router (z. B. Fritzboxen 4020 oder 4040?)
    - 1 zusätzlicher Accesspoint für das Heimnetz (z. B. weiterer Fritz-Repeater)
    - Fragen:
    - Ist ein Zugriff auf einen Drucker und das Fritz!NAS in der DMZ durch Geräte im Heim- und Privatnetz einfach einrichtbar?
    - Ist eine Performanceeinbuße spürbar (dadurch, dass vom Privatnetz nun über 3 Router ins Internet gegangen werden muss?)

    Variante a) Fritzboxen als Router, Fritz-Repeater als Accesspoint
    > Vorteile:
    - nur Router/Repeater/APs von Fritz im Einsatz, künftig andere Szenarien mit WLAN-MESH denkbar
    - ein Fritz-Repeater kann 2 WLANS (Heim und 2. Gästenetz) zur Verfügung stellen
    - auch an der 2. Fritzbox kann ein Fritz!NAS eingerichtet werden
    (mein Haupt-NAS kann im Privatnetz hängenbleiben)
    > Nachteil:
    - VLAN-Aufbau damit ausgeschlossen
    > Frage:
    - ist mit einer kaskadierten Fritzbox überhaupt ein 2. Gästenetz möglich?

    Variante b) VLAN-fähige Router, ggf. auch VLAN-fähiger Accesspoint
    > Vorteile:
    - VLAN kann in Zukunft eingerichtet werden (da Hardware vorhanden)
    > Nachteile:
    - zweiter Router bietet ggf. keine NAS-Funktionalität
    - zweiter Router bietet keine Funktionalität für ein 2. Gästenetz

    2. VLAN aufbauen
    - Historie: Durch verschiedene Internetbeiträge bin ich zunächst auf die Netgear-Switches GS308E und GS308T gestoßen und dachte zunächst, dass ich damit mein Vorhaben mit VLAN umsetzen kann.
    (siehe https://community.netgear.com/t5/Sm...Fritzbox-und-Netgear-Switch/m-p/2026730#M1281)
    - Inzwischen habe ich zwar ein klareres Bild von VLANs, jedoch Unsicherheit, mit welchen Produkten dies umsetzbar ist.
    - Sehr interessant fand ich folgende Beiträge von CapFloor (vielen Dank, CapFloor!!!):
    https://www.router-forum.de/router-...an-lan-erweitern-ueber-managed-switch.t65398/
    https://www.router-forum.de/netgear/vlan-mit-gs116.t70066/#post-305196
    - Allerdings habe ich den Eindruck, dass ich bei beiden Varianten zu große Kompromisse eingehen würde?

    Fazit:
    Mir fehlt noch genau der Weg, was die beste Variante wäre.
    Einerseits lese/höre ich, man benötige auf jeden Fall einen VLAN-fähigen Router (z. B. Netgear BR200),
    andererseits höre ich (z. B. in einem der Videos von sephiTV (), die auch CapFloor empfahl), dass ein Layer3-Switch statt eines Routers (besser) verwendet werden könnte.

    Wenn ich es richtig verstehe,

    Variante a) Netgear-Router BR200 und Netgear-Switch GS308E oder GS308T
    > kann ich hier per ACL Zugriffe in EINE Richtung erlauben und in die andere verhindern (d. h. monodirektionales Inter-VLAN-Routing)?
    (im Handbuch zum GS308T sehe ich bei IPv4-ACL nur, dass man eine Quell-IP angeben kann, aber keine Ziel-IP)
    Variante b) Cisco SG250-08 oder ein anderes Cisco-Switch
    > benötige ich hier einen VLAN-Router, oder reicht die Fritzbox?
    > lässt sich monodirektionales VLAN-Routing (d. h. auf IP-Ebene einrichten, z. B. per ACL)?

    VARIANTE C) Welchen Weg würdet Ihr mir empfehlen, d. h. reicht ein L3-Switch? Welches?
    Oder noch zusätzlich oder alternativ ein Router? Welcher?

    Anmerkung:
    Ich bin bereit, mich mit ICL näher zu beschäftigen und Zeit aufzuwenden, ggf. auch über den Cisco Packet Tracer, wenn es für meine Zwecke hilfreich ist.

    Was mir jedoch noch sehr unklar ist, wie ich in der Fülle der auf dem Markt befindlichen Router und L3-Switches herausfinde,
    was für mich die beste Lösung (Funktionalität und Preis-/Leistungsverhältnis) ist.
    Welche L3-Switches können monodirektionales Inter-VLAN-Routing? (oder bin ich bei diesem Ansatz ganz auf dem Holzweg?),
    welche L3-Switches können einen VLAN-Router überflüssig machen,
    oder ist es preislich sinnvoller, einen VLAN-Router (und ggf. ein VLAN-Switch) zu besorgen.

    Was ich nicht möchte, sind Router/Switches im mittleren dreistelligen Euro-Bereich oder höher,
    was ebenfalls nicht geht, sind 19"-Komponenten, da ich nur einen 10"-Schrank habe, in den ich aber auch ein Tischgerät stellen könnte.


    Es geht mir also um folgende Komponenten:
    * Vorschläge/Hinweise bzgl. VLAN-Router
    * Vorschläge/Hinweise bzgl. VLAN-L3-Switch
    * ggf. Vorschläge/Hinweise bzgl. WLAN-Accesspoints (ggf. mit VLAN)


    Bitte entschuldigt den nun doch sehr langen Thread. Ich hoffe, er ist verständlich und übersichtlich genug!
     
  2. frank.td

    frank.td Moderator

    Registriert seit:
    30. Dezember 2006
    Beiträge:
    39.731
    Punkte für Erfolge:
    1.778
    Hallo,

    willkommen im Forum.

    Dein Ansprechpartner könnte unser Mod. @CapFloor werden.
    Er favorisiert Komponenten von Mikrotik.
    Sicher hast du schon diverse Beiträge darüber gefunden, ansonsten mal bitte selber suchen.

    Ich persönlich kann dir da nicht weiter helfen.

    Gruß Frank
     
  3. tirunculus

    tirunculus Starter

    Registriert seit:
    8. Januar 2021
    Beiträge:
    6
    Punkte für Erfolge:
    3
    Hallo Frank,

    vielen Dank für das freundliche Willkommen!

    Ja, ich habe mir schon verschiedene Mikrotik-Beiträge von CapFloor angeschaut. Finde ich wirklich toll, was und wie @CapFloor das alles beschrieben hat und viele verschiedene Aspekte einbezieht. Irgendwo anders im Internet habe ich allerdings gelesen, dass Mikrotik von der Konfiguration her nichts für Anfänger wäre. Grundsätzlich habe ich keine Angst, mich irgendwo einzuarbeiten. Andererseits möchte ich natürlich vermeiden, mir aus Unwissenheit große Sicherheitslücken einzuhandeln.

    Für die generelle Vorgehensweise könnte ich mir sehr gut vorstellen, mir mal ein Gerät zu kaufen, um mich per Learning-by-Doing schrittweise ein- bzw. vorzuarbeiten. Vielleicht hat hier jemand Tipps, wie ich das am besten beginne:

    Macht es Sinn, mit einem kleinen Mikrotik-HAP anzufangen?
    Oder lieber mit einem VLAN-fähigen Layer-3-Switch?
    Was wäre hierfür zu empfehlen?

    Ich möchte vermeiden, mir Hardware zu kaufen, die mich bei der Einarbeitung nicht viel weiter bringt und später nur rumliegt und Platz verschwendet und der Umwelt schadet.

    Aber wenn ich eine Strategie hätte, Stück für Stück vorzugehen, wäre das ein möglicher Ansatz.
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.652
    Punkte für Erfolge:
    218
    Hi,

    ich denke, deine gewünschte Konfiguration könnte mit einem L3-Switch umgesetzt werden - allerdings nicht mit den genannten Einfachgeräten von Netgear. Ich habe mir z.B. einen - TP-Link T17000-28TQ - hinsichtlich der L3-Fähigkeiten angeschaut und finde, dass die ganz ordentlich sind. Schau dir mal dessen L3-Fähigkeiten an, dann kannst du eventuell auch einen L3-Switch eines anderen Herstellers auswählen.

    Ein L3-Switch kann üblicherweise nicht NATten und hat keine Firewall-Funktionalität. Damit kann z.B. nicht umgesetzt werden, dass die Kommunikation von Geräte in unterschiedlichen Subnetze nur von einer Seite aus initiiert werden kann - jedenfalls nicht, wenn UDP im Spiel ist.

    Es wird auf jeden Fall ein VLAN-fähiger DHCP-Server benötigt, der in den verschiedenen VLANs die passende IP-Konfiguration verteilt. Das können L3-Switche in dieser Preisklasse nicht. Dazu ist zusätzlich entweder ein kleiner Server (Windows / Linux), ein VLAN-fähiges NAS mit DHCP-Server oder eben ein kleiner VLAN-fähiger Router notwendig.

    Die FB dient in deinem Szenario primär als Zugangsrouter für den Internetzugriff. Wenn du unbedingt eine DMZ aus dem LAN der FB machen willst, dann achte darauf, dass dort nur Geräte stehen, die nicht auf Geräte in anderen Subnetzen hinter dem L3-Switch zugreifen müssen. Damit würde ansonsten das Sicherheitskonzept, das hinter einer DMZ steckt, durchlöchert.

    Wie schnell ist denn dein Internet-Zugang? Bis ca. 100Mbit würde ein kleiner Mikrotik Router plus einem VLAN-fähigen L2-Switch - zusammen ca. 100 Euro - ausreichen, um dein Netzwerk angemessen zu segmentieren und die Kommunikation zwischen den Subnetzen zu steuern.

    VG
     
    tirunculus hat sich bedankt.
  5. tirunculus

    tirunculus Starter

    Registriert seit:
    8. Januar 2021
    Beiträge:
    6
    Punkte für Erfolge:
    3
    Hallo CapFloor,

    ganz herzlichen Dank für Deine ausführliche Antwort und die wertvollen Tipps.

    Nun bist Du mir zuvor gekommen :)

    Gerade wollte ich posten, dass es mir leid tut, andere mit meinem Post zu beschäftigen, während ich nach weiterem Stöbern im router-forum gemerkt habe, dass ich mir vieles hätte noch selbst anschauen können vor dem Posten. Z. B. mit Deinem für mich sehr interessanten Artikel (https://www.router-forum.de/router-...troller-wlan-roaming-im-heimnetz-soho.t65815/), den ich mir genauer anschauen und vor allem in seiner Tiefe verstehen möchte.

    Ich bin froh, dass Du mir zuvor gekommen bist :)
    Denn mit Deinem Post hast Du mir einerseits nochmals einige Ansätze aufgezeigt und Gedanken angestoßen, sowohl konzeptionell als auch konkret in Bezug auf mögliche Hardware. Ganz ganz herzlichen Dank!
    Ich werde mir den genannten TP-Link-Switch hinsichtlich seiner L3-Fähigkeiten genauer anschauen, insbesondere aber auch nochmals Deine Mikrotik-Beiträge und die Ideen dahinter!


    Kurze Antworten auf Deine Fragen/Anmerkungen:
    • Mein Internet-Zugang hat 6 MBit (lt. Vertrag, vielleicht bekomme ich mittlerweile etwas mehr, ich hab' es nicht geprüft), auf jeden Fall deutlich weniger als 100MBit.
    • Ob bei mir irgendwo UDP im Spiel ist, kann ich noch nicht sagen (weil ich mich noch zu wenig bzgl. Netzwerktechnik auskenne und daher noch nicht weiß, wo das in meinem Szenario ggf. verwendet wird).
    • Wenn ich eine DMZ einrichte, dann stehen dort tatsächlich nur Geräte, die nicht auf andere Subnetze zugreifen müssen. Ob und wie ich eine DMZ einrichten werde, ist Stand jetzt wieder offen, weil ich gemerkt habe, dass mir einfach noch das manches Wissen fehlt, um dies konzeptionell entscheiden zu können. Dies wird sicher klarer, wenn ich mich weiter eingelesen und mich intensiv gedanklich mit den verschiedenen Ansätzen beschäftigt habe.
    • Ich habe zwar ein NAS (Synology), das ich aber recht abgeschottet in "geschützter Umgebung" betreiben möchte (ohne Zugriff von außen etc.), so dass ich es (falls es überhaupt VLAN-fähig ist) nicht dafür nutzen möchte (falls im künftigen Szenario nutzbar, habe ich als Datenspeichermöglichkeit zwecks Datenaustausch das Fritz!NAS meiner Fritzbox im Auge).
      Ein eigener kleiner Server erscheint mir momentan zu aufwändig (da ich mich mit Linux noch zu wenig auskenne, mich von Windows nicht weiter abhängig machen möchte).
      Ich denke, dass ein kleiner VLAN-fähiger Router für mich die in dieser Hinsicht einfachste, günstigste und bequemste Lösung sein wird. Die Hinweise auf MikroTik hören sich sehr gut an.
    Nochmals ganz ganz herzlichen Dank für Deine Infos - sie werden mich auf positive (und hoffentlich produktive) Weise beschäftigen, motiviert bin ich jedenfalls! Gemäß Deinem Motto in abgewandelten Worten: you did explain, now I will try to understand it!

    Viele Grüße
    tirunculus
     
    frank.td hat sich bedankt.
  6. tirunculus

    tirunculus Starter

    Registriert seit:
    8. Januar 2021
    Beiträge:
    6
    Punkte für Erfolge:
    3
    Ich setze den Beitrag auf gelöst.
    Meine nächsten Schritte sind nun klar und nun ist es meine Aufgabe, aus den Anregungen eine konkrete Kaufentscheidung zu treffen. Bei Fragen, zu denen ich keine Antwort im umfangreichen Forum finde, würde ich mich nochmals melden - an der Stelle, wo es thematisch dann passt.

    Nochmals ganz herzlichen Dank,
    tirunculus
     
    frank.td hat sich bedankt.
  7. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.652
    Punkte für Erfolge:
    218
    Zum Konfigurationsbeitrag geht es - hier -.