NETGEAR is aware of a growing number of phone and online scams. To learn how to stay safe click here.

Forum Discussion

tirunculus's avatar
tirunculus
Aspirant
Dec 08, 2020

Aufbau Heimnetzwerk mittels VLAN mit Fritzbox und Netgear-Switch

Hallo zusammen,   im Forum konnte ich nicht alle Antworten auf meine Fragen finden, ich spüre noch große Unsicherheit mit dem Thema. Daher habe ich ein eigenes Thema erstellt und hoffe, dass das so...
tirunculus's avatar
tirunculus
Aspirant
Dec 22, 2020

Hallo schumaku,

 

ganz herzlichen Dank für Deine ausführliche Antwort, die Gedanken in verschiedene Richtungen und Deine Einschätzungen.

Ich glaube inzwischen, dass es keine gute Idee war, als Laie in Bezug auf Netzwerktechnik gleich eine recht technische Lösung skizzieren zu wollen und dass mein Bild vermutlich irreführend ist in Bezug auf das, was meine Gedanken sind und waren.

 

Ich versuche im Folgenden, das Ganze aus verschiedenen Blickwinkeln zu beleuchten. In der Hoffnung, dass verständlicher wird, was ich möchte, wie ich denke und wie ich zu diesen Gedanken kam. Um dann zu einer - vielleicht auch eine ganz anderen - Lösung zu kommen.

 

 

1. Ausgangspunkt - Wie kam ich auf das Thema VLAN und auf Netgear?

 

Über folgenden Artikel und die zugehörige Grafik bin ich auf das Thema VLAN gestoßen:

https://www.darmstadt-pc.de/netzwerk/vlan-mit-dem-gs105e-von-netgear-installieren/

https://www.darmstadt-pc.de/wp-content/uploads/2014/04/VLAN-Switch-GS105E-von-Netgear.png

 

Ich nahm davon mit:

  • Ein Netgear-Switch baut mehrere VLANs auf.
  • PCs aus manchen VLANs können nur auf den Router zugreifen und ins Internet,
  • PCs aus anderen VLANs können zusätzlich noch auf wieder andere VLANs zugreifen,
  • und diese Zugriffe können so gesteuert werden, dass sie in eine Richtung möglich, in die andere nicht möglich sind.

 

Dann sah ich noch folgenden Artikel, bei dem ein managed switch 3 VLANs (1, 20, 30) aufbaut, die alle auf die Fritzbox und das Internet zugreifen können - zwischen Fritzbox und Endgeräten (PC, NAS, AccessPoint etc.) hängt lediglich ein VLAN-Switch:

https://www.router-forum.de/router-faq-how-to/gaeste-netzwerk-gaeste-wlan-lan-erweitern-ueber-managed-switch.t65398/#post-277736

 

  • Dieser Artikel schien zu bestätigen, dass ein VLAN-Switch zwischen FritzBox und meinen Endgeräten das Mittel der Wahl für mein Netzwerk wäre.

 

 

2. Persönlicher Ausgangspunkt - Voraussetzungen und Ideen (inhaltlich/fachlich):

 

Derzeit habe ich eine Fritzbox und ein Heimnetzwerk wie folgt:

  • Fritzbox-LAN als (gedanklich geschützteres) Netzwerk für einen "sensibleren" PC und NAS, Zugriff auf das Internet
  • Fritzbox-Gäste-LAN für die normalen PCs
  • Fritzrepeater verbunden mit dem Gäste-LAN als WLAN-Accesspoint nur für das Gäste-LAN

Wünsche für das zukünftige Netzwerk:

  • Beibehaltung der Trennung von (sensibler PC und sensibles NAS) und (normale PCs und Drucker)
  • Einrichung des NAS an der Fritzbox (über USB-Datenträger) als normales NAS
  • Idealerweise Zugriffsmöglichkeit von (sensibler PC) auf (normale PCs und Drucker und Fritz-NAS), nicht aber umgekehrt
  • Als dritte Gruppe (neben "sensibles Heimnetz" und "normales Heimnetz") zusätzlich "Gästenetz" (ohne Zugriff auf Fritz-NAS, sondern nur Internetzugriff und im Idealfall (kein Muss) Zugriff auf den Drucker).

Das scheint wohl über eine Routerkaskade machbar zu sein. Mit dem, wie ich mir das aufgrund oben genannter Artikel vorstellte, schien mir das mit VLAN und einem Netgear-VLAN-Switch (z. B. GS308E oder GS308T) jedoch flexibler, kostengünstiger und performanter zu sein.

 

 

3. Cloud, SmartHome etc:

 

Einige Begriffe und Abkürzungen aus Deinem Post musste ich erst googlen.

IoJ habe ich nicht gefunden, und Dingen wie IoT stehe ich sehr skeptisch gegenüber und habe das nicht auf der Agenda.

Ich habe weder einen Medienserver noch internetfähige Fernseher oder Musikanlagen oder Küchenmaschinen etc.,

und brauche Stand heute auch keine SmartHome-Geräte. Insbesondere kann ich mir nicht vorstellen, mein Licht oder meinen Herd oder die Waschmaschine über das Internet steuern zu wollen, genauso wenig wie ich Apps nutze, um über das Internet die Heizung meines Pkws an- oder auszuschalten oder den Batterieladestand meines Fahrzeugs abzufragen. Das Smartphone als Fernbedienung für meinen Fernseher zu benutzen käme also auch nicht in Frage.

 

Hier bin ich konservativ und werde es wohl bleiben: Die deutsche Übersetzung von Cloud bedeutet für mich "Computer eines Fremden", so die Cloud für mich nur für unumgängliche Services in Frage kommt (z. B. Domainhosting, E-Mail-Provider, Datenaustausch mit anderen) und die Zugriffe immer aus dem Netzwerk auf die Cloud gesteuert werden sollen und nicht umgekehrt die Cloud (oder dortige Services) in mein Netzwerk eingreifen.

 

Sollte ich tatsächlich irgendwann mal SmartHome-Anwendungen wollen, dann nur so, dass dies alles abgeschottet in einem separierten Heimnetz passiert und ein Internetzugriff lediglich zu Updatezwecken erfolgt.

 

 

4. Was meinte der Support?

Zwischenzeitlich hatte ich Kontakt mit dem Netgear-Support.

Ich hatte den Eindruck, dass dieser die Fritzbox an sich nicht kennt, mir als Lösung empfahl, die Fritzbox nur als Internetmodem zu verwenden und als Router dann den VLAN-fähigen Router BR200 empfahl. Allerdings mit der Einschränkung, dass er nur 4 VLANs aufbauen könne, auch wenn ich dahinger noch das Switch GS308E oder GS308T hänge.

 

Hierzu folgende Fragen:

  • Du schreibst "Denn der einzige (BR500/BR200) Netgear Router kann das wohl auch nicht...".
    Meintest Du damit mehr als 4 VLANs?
    Oder was anderes, d. h. dass meine Ideen damit grundlegend nicht umsetzbar sind?
    Was genau wäre hier problematisch?
    Bzw. anders gefragt: was ginge damit nicht?
  • Im Netgear-Datenblatt steht "Maximum Number of VLANs: 256".
    Wie ist das zu verstehen bzw. wie passt das zu der Aussage des Netgear-Supports?
  • Wie sieht es mit der Sicherheit aus, wenn ich die Fritzbox nur noch als Modem einsetze und der BR200 dann mein Router wäre?
  • Ließe sich in dieser Konstellation dann die NAS-Funktionalität der Fritzbox überhaupt nutzen?
  • Oder wäre folgendes eine Möglichkeit:
    Fritzbox-Gäste-LAN wird künftig genutzt als Gästenetzwerk,
    der Router BR200 wird an das normale LAN der Fritzbox gehängt und spannt dann (als kaskadierter Router hinter der Fritzbox die verschiedenen VLANs auf)?

 

Eine Antwort auf folgende Frage würde mein Verständnis der Netzwerkzusammenhänge (VLAN, DHCP, NAT) sicher deutlich erhöhen:

Was ist der technische Hintergrund, dass die unter Punkt 1 verlinkten Berichte entweder gar nicht oder nicht im Zusammenhang mit meinen Anforderungen funktionieren?

 

Ich hoffe, dass ich etwas klarer darstellen konnte, was meine Anliegen und Gedanken sind.

Vielleicht ist eine klassische Routerkaskade doch besser als die VLAN-Variante?

 

Ich bin für alle Hinweise, offene Rückmeldungen und Einschätzungen sehr dankbar.

Lieber eine im Vorfeld "zerstörte Weihnachtsgeschichte" als eine Illusion, die dann irgendwann in sich zusammenfällt.

 

Herzliche Grüße

tirunculus

 

schumaku's avatar
schumaku
Guru - Experienced User
Jul 14, 2021

Besser spät als nie - hoffe das ist OK für Dich tirunculus 

 

Was der Darmstädter Kollege da erklärt ist technsch eine asymmetrische VLAN Konfiguration, ausgeführt über die Konfigurationsvariante Erweitertes Port-basierendes VLAN. Hierbei wird effektiv ein flaches IP Subnetz über die mit der Hilfe verschiedener Netzwerke (ich versuche den Begriff VLAN hier zu vermeiden - denn das hat mit 802.1q VLAN eigentlich nichts zu zun) in verschiedene L2 "Zonen" aufgeteilt.

 

Das ist etwas was man im klassischen Sinn von 802.1Q VLAN - hier ist jedes VLAN ein eigenes L2 Netzwerk (mit einer klitzekleinen Ausnahme von STP [Spanning Tree] und RSTP [Rapid Spanning Tree]) - im sagen wir Business- oder Enterprise-Umfleld nicht macht. Denn schon die wenig grösseren Switch-Klassen erlauben keine solche Konfiguration mehr, das heisst kein Port-basierendes bzw. erweiterte Port-basierende VLAN Möglichkeit, aber auch keine explizite Einstellung um ein asymmetrische VLAN Konfiguration zu erlauben. 

 

In einem "richtigen" 802.1Q VLAN Umfeld sind die ein- und ausgehenden Frames auf dem Switch getaggt und nur ein VLAN benutzt ungetaggte Frames. Netgear verwendet zusätzlich die PVID Konfiguration, welche beschreibt in welches VLAN ungetaggte Frames gesendet werden müssen - effektiv ein Überbleibsel aus einer manuellen asymmetrischen VLAN Konfiguration - obwohl diese meines Wissens von Netgear nie explizit oder implizit erlaubt oder dokumentiert wurde. Daher stammen auch die verschiedenen Treads in der Community wo die Leute fragen wie man mehrere Ports untagged in VLAN(s) konfigurieren kann.

 

Wenn wir jetzt von L3 Routing zwischen Netzwerken sprechen - sein dies als "short cut" IP Routing zwischen zwei Subnetzen auf dem selben Switch, oder einem Router wie dem BR200 und Security Appliances anderer Hersteller - so funktioniert das so lange gut als man eben reinen IP Datenverkehr hat, und die Adressen kennt. Sobald aber eine benutzerfreundliche "Suche" oder "Erkennung" von Geräten gefragt ist (auf dem selben LAN klassisch per Broadcast, oder eben auch per Multicast [lies beispielsweise Bonjour oder UPnP SSDP] ab PC, Mac oder Mobilgerät, aber auch zwischen IoTs reicht normales IP Routing nicht mehr. Broadcast-Methoden gehen sowieso nicht durch, und für Multicast braucht es L3 Support eines Gerätes oder einer zusätzlichen Software welche zwischen den Subnetzwerken vermittelt. Netgear hat küzlich Beta-Versionen für die Orbi Pro und Orbi Pro AX Serien veröffentlicht, bei der jetzt eben der Durcker oder der Chromecast-Dongle im anderen Subnetz "gefunden" werden kann.

 

IoJ kannst Du lange suchen  - das ist meine Definition von IoT so lange man nicht weiss wie die Dinge effektiv funktionieren, welche Verbindungen nötig sind usw. Internet of Junk eben. Der Punkt ist eben dass "klassisches" IoT eben _nur_ vom Internet Abhängig ist, jede Verbindung oder Kommunikation erfolgt nur über die Cloud. Sinnigerweise mag das für die Waschmaschine oder den Geschirrtrockner in Ordnung sein (ohne Internet kann man ja vor Ort schauen), aber wenn wir jetzt mit IoT eben Licht oder gar Licht-Szenen schalten wollen, oder gar noch eine App auf dem Mobilgerät dazu kommt ist es natürlich fatal wenn die Geräte eben ach so toll abgeschottet sind. Und hier beginnt sich die akademische Idee der Abschottung einzelner Geräteklassen eben zu beissen. Das trifft auch auf Dein NAS zu, welches Du ja gerne etwas abschotten möchtest. Und morgen kommen einige lokale IP Kameras dazu, welche dann aj wieder auf dem selben Gerät aufzeichnen sollen. Oder dann eben die "NAS Funktion" auf Deinem Router, welche eben aus anderen Netzwerken schlechter oder mühseliger erreicht werden kann. Ein Schelm wie ich dankt aber darüber nach was so eine Funktion auf einem Router weche ja ziemlich exponiert im Netzwerk (und im Internet) hängt wirklich verloren hat. 

 

Alle Klarheiten beseitigt?

 

Oh da ist ja noch die Geschichte mit dem BR200 (und BR500) mit 256 bzw. nur vier VLANs. Auch hier erklärt ich das eigentlich aus dem oben beschriebenen Fakten: Nur ein VLAN kann eben untagged auf einem Port liegen - daher kann (oder konnte?) das Insight Cloud Management nur vier VLANs (eines pro Port) einrichten. Im lokalen Web UI sind es aber die erwähnten 256 VLANs (und IP Subnetze). Das Leidige an der BR Geschichte: Das Pferd ist leider tot, Netgear macht keine Weiterentwicklungen am BR500 und BR200 mehr. Darum halte ich mich stark zurück diese Geräte zu propagieren. Schade, Netgear hat es verpasst eine Serie von BRs zu bauen, zukunftssicher, ausbaubar, wie es ander populäre Hersteller seit Jahren anbieten.

 

Grüsse ais der Schweiz,

-Kurt

 

 

NETGEAR Academy

Steigern Sie Ihre Fähigkeiten mit der Netgear Academy - Lassen Sie sich schulen, zertifizieren und bleiben Sie mit der neuesten Netgear-Technologie auf dem neuesten Stand!

Machen Sie mit!

ProSupport for Business

Umfassende Supportpläne für maximale Netzwerkverfügbarkeit und geschäftliche Sicherheit

Mehr erfahren