Aufbau Heimnetzwerk mittels VLAN mit Fritzbox und Netgear-Switch

Hallo zusammen,

im Forum konnte ich nicht alle Antworten auf meine Fragen finden, ich spüre noch große Unsicherheit mit dem Thema. Daher habe ich ein eigenes Thema erstellt und hoffe, dass das so okay ist. Nun zu meinem Anliegen:

Bis vor Kurzem wusste ich noch nichts über VLAN, doch schon seit Längerem mache ich mir Gedanken über den strukturierten Aufbau eines Heimnetzwerks (bisher nur Heimnetz-LAN mit Fritzbox und Gäste-WLAN mit FritzRepeater als Accesspoint). Ich habe schon Verschiedenes im Internet gelesen und mir selbst Gedanken gemacht, habe allerdings nur sehr wenig Netzwerkerfahrung, so dass ich mir als Anfänger Hilfe von dem einen oder der anderen hier erhoffe. IT-Themen generell sind mir aufgrund langjähriger Erfahrung im Softwareumfeld (Konzeption, Architektur, Entwicklung) nicht unbekannt.

Wie Ihr der Grafik im Anhang entnehmen könnt, habe ich meine Wünsche in einen ersten Entwurf gepackt, in der Hoffnung, dass ich auf diese Weise einige meiner Wünsche umsetzen kann.

Hauptfrage:

Lässt sich das Ganze mit meiner vorhandenen Fritzbox sowie einem zu kaufenden managed switch (z. B. GS108E, GS308E oder GS308T) realisieren?

Wünsche:

Aufbau eines Heimnetzwerks, bei dem nicht jedes Gerät auf jedes andere Gerät zugreifen kann, sondern das Ganze etwas strukturierter und abgegrenzter funktioniert. So bin ich auf das Thema VLAN gestoßen, mit dem ich mir erhoffe, mein Netzwerk in logische Teilnetzwerke zu unterteilen mit jeweils definierten Zugriffsrechten. Ich gehe davon aus, dass Port-VLAN das Mittel der Wahl sit.

Im Detail:

• Internetzugang über eine Fritzbox
• Multifunktionsdrucker, der aus verschiedenen Teilnetzwerken (VLANs) erreichbar ist
• Allgemeines Heimnetzwerk, per LAN und WLAN verbunden, mit Zugriff auf den Drucker und die NAS-Funktion der Fritzbox
• "Gesicherteres" Teilnetzwerk, in welchem das Synology-NAS, ein PC sowie ggf. ein Backupserver steht, nur per LAN verbunden
• Gästenetzwerk, per LAN und WLAN verbunden, aus welchem nur auf das Internet zugegriffen werden kann

Erster Entwurf

In der angehängten Grafik habe ich meinen ersten Entwurf skizziert. Die Ideen dazu basieren auf dem, was ich mir im Internet angelesen habe, z. T. sind Ideen aus dem ein oder anderen Beispiel eingeflossen:

• Internetverbindung über die vorhandene Fritzbox, die 3 Ports für das Heimnetz (LAN) und 1 Port für das Gästenetz (LAN, eigener IP-Adressbereich) zur Verfügung stellt. WLAN der Fritzbox ist deaktiviert. Die NAS-Funktion soll aktiviert und über ein angeschlossenes USB-Speichermedium realisiert werden.
• Ein Multifunktionsdrucker, auf den aus verschiedenen Teilnetzwerken (VLANs) zugegriffen werden kann, soll per WLAN an die Fritzbox angeschlossen werden (Heimnetz, z. B. Port 1). Zugleich sollen über die Scanfunktion Netzwerkscans auf das NAS der Fritzbox möglich sein.
• Herzstück des Netzwerks soll der zu kaufende Switch werden (z. B. Netgear GS108E?), über den VLANs für die einzelnen Ports definiert werden sollen. Da sowohl VLANs für das Heimnetz als auch für das Gästenetz erzeugt werden sollen, die Fritzbox nicht VLAN-fähig ist, muss der Switch sowohl an das Heimnetz der Fritzbox (z. B. Port 2) als auch an das Gästenetz (Port 4) angeschlossen werden.
  Folgende Teilnetze sind vorgesehen:
  * VLAN 01: allgemeines Heimnetz, das sowohl per LAN als auch per WLAN erreicht werden kann, und von dem aus auf das Internet, auf den Multifunktionsdrucker und das Fritz-NAS zugegriffen werden soll.
  * VLAN 03: geschütztes Heimnetz, das nur per LAN erreicht werden kann. In diesem Teilnetz soll neben einem PC das Synology-NAS sowie ggf. ein Backupserver stehen. Geräte in diesem Teilnetz sollen ebenfalls Zugriff auf das Internet, den Multifunktionsdrucker und das Fritz-NAS haben, zusätzlich nach Möglichkeit auch Zugriff aus Geräte aus VLAN 01.
  * VLAN 21: Gästenetzwerk, auf das per WLAN zugegriffen werden kann. Von diesem Teilnetz soll nur auf das Internet zugegriffen werden können
  * VLAN 22: Gästenetzwerk, auf das per LAN zugegriffen wird. Von diesem Teilnetz soll nur auf das Internet zugegriffen werden können. Es dient der Verbindung aus dem HomeOffice per VPN auf die Infrastruktur des Arbeitgebers. Auch denkbar, dass VLAN 21 und VLAN 22 nur ein gemeinsames Teilnetz sind.
  * ggf. ein Heim-VLAN 02, das auf VLAN 01 zugreifen kann, aber nicht umgekehrt
  * ggf. ein Heim-VLAN 11 (oder Gäste-VLAN 11?), das i. d. R. keinen Internetzugriff hat (nur temporär für Updates) und für Experimente mit einem Raspberry genutzt werden kann

Folgende Fragen

Dabei stellen sich mir folgende Fragen:

Allgemein:

• Eure Einschätzungen und Meinungen dazu?

Im Detail:

• Lässt sich der vorhandene, bereits als Accesspoint genutzte Fritz-Repeater evtl. als WLAN-Accesspoint sowohl für das VLAN 01 als auch für das VLAN 21 nutzen?
• Oder wäre hier ein VLAN-fähiger Accesspoint notwendig oder besser?
• Würde das prinzipiell so funktionieren mit den gewünschten Zugriffen (insbesondere Drucker und Fritz-NAS sowie Zugriff aus VLAN 03 auf Geräte von VLAN 01, z. B. zwecks Backups)?
• Gäbe es in diesem Szenario Vorteile des GS308T gegenüber GS108E bzw. GS308E?
• Eine der wichtigsten Fragen: Gibt es bei einem solchen Aufbau ggf. Sicherheitslücken bzw. -risiken?
• Wenn diese Fragen alle mit ja (oder ja mit Einschränkungen) beantwortet sind, wäre natürlich anschließend die wichtigste Frage: Wie wäre das VLAN zu konfigurieren? Auf was wäre zu achten?

Herzliche Grüße

tirunculus