Re: Aufbau Heimnetzwerk mittels VLAN Netgear-Switch (Internetzugang über Fritzbox)

Hallo @tirunculus,

herzlich willkommen in der Community! 🙂

In unserer Community können Sie durch weitere Nutzer Hilfestellung erhalten. Ansonsten haben Sie die Option direkt unsere Berater zum Design Ihres Netzwerkes zu kontaktieren.

Die GS300er Serie ist neuer, d.h. der GS308E ist die neuere Version des GS108E.

Wenn Sie nach dem erwerben Ihres Switches Anliegen/Hilfe benötigen sollten, haben Sie auch bei einem Neuprodukt anrecht auf kostenfreien Support.

Mit freundlichen Grüßen,

Ioannis

NETGEAR Team

Hallo Ioannis,

herzlichen Dank für die Antwort.

Verstehe ich die Antwort richtig, dass der GS308E der empfohlene Switch für mein Vorhaben und dieses damit wie skizziert umsetzbar ist?

Wenn dem so ist, wäre meine Hauptfrage beantwortet.

Dann würde ich den GS308E erwerben, mich mit der Konfiguration vertraut machen und könnte mich dann, wenn Fragen oder Unterstützungsbedarf auftreten, an den Support wenden?

Gibt es Nutzer, die aus Ihrem Wissen einschätzen können, dass der Weg so funktionieren müsste?

Tirunculus

Nach eingehender Beschäftigung mit den Handbüchern der beiden Switches GS308E und GS308T habe ich den Eindruck, dass VLAN-übergreifende Zugriffe in eine Richtung (d. h. vom skizzierten VLAN 03 soll in das VLAN 01 zugegriffen werden können, aber nicht umgekehrt) nicht mit dem Switch GS308E möglich sind, sondern nur mit dem Switch GS308T (und über ACL zu erlauben bzw. zu verhindern sind).

Somit wäre das Switch GS308T der zu verwendende Switch!?

Oder habe ich etwas übersehen?

Hallo @tirunculus,

wir melden uns bei Dir, nachdem wir Deine Anfrage analysiert haben.

Ich bitte Dich um ein wennig Geduld. 

Freundliche Grüße,
DamianM
NETGEAR Team 

Hallo @tirunculus,

ich möchte Dich bitten, sich mit diesem Anliegen direkt an den NETGEAR Support zu wenden, wo er gründlich analysiert werden kann. Der Support hat alle Instrumente dafür. Hier die Links:

https://www.netgear.de/home/contact-us/
https://www.netgear.de/support/

Freundliche Grüße,
DamianM
NETGEAR Team 

Mal so ganz auf die Schnelle ... die FB kann nur zwei Netzwerke auf dedizierten Ports, dh. das normale LAN und das Gast Netzwerk (WiFi und Port 4). 

Weder ein einfacher Smart Managed Plus (GS/XSnnnE[xx] - kein VLAN Routing, kein DHCP Server, usw.) noch ein Smart Managed Pro switch (GS/XSnnnT[xx], auch wenn VLAN Routing vorhanden ist)  helfen da weiter, auch die grosse Managed Switches können kein NAT Routing.

Wenn die Idee ist x verschiedene, dedizierte Netzwerke (VLANs, IP Subnetzwerke, ...) zu betreiben, so kommst Du nicht um einen Router mit mehrfach-VLAN und Many2one NAT Support herum.  Aber auch dann - und sorry wenn das die Weihnachtsgeschichte so ziemlich zerstört - z.B. banales "Drucken" in en anderes Subnetz ist durchus möglich wenn man weiss was man tut und soweit sich die Drucker auf den verschiedenen Systemen konfigurieren lassen und man dann so mal z.B. auf die Drucker-Adresse mit dem LPT Port etwas PDF oder HP-PCL Daten schiessen kann und dann das Papier rauskommt. Realitätstauglich ist das heute nicht mehr - denn die Menscheit baut heute auf Drucker welche mal eben schnell gefunden werden können, was eben zwischen verschiedene IP Subnetzen nicht funktioniert (mangels einem Multicast Proxy) der eben UPnP SSDP Netzwerk-übergreifend sichtbar machen kann, mit Bonjour ist schon gar nix los - denn all die Pracht ist eben für ein flaches Netzwerk gemacht.

Ja, auch schwirrt noch immer die akademische Idee herum, dass man IoJ in ein eigenes Netwerk verbannen soll. Kommt aber darauf an was das für IoJ ist ... denn die App auf dem Mobilgerät im Heimnetz kann dann eben nicht mal schnell mit den Smart Home Gateway quasseln der die ZigBee 3.0 Geräte bedient (weil da der Umweg über die Cloud etwas schwierig ist wenn das Internet tot und das Haus dunkel ist), ebenso nicht der Homematic Gateway (ich spreche nicht von Homematic IP) finden, oder dann die WiFi LED Lampen welche stark von wireless und IP broadcast abhängig sind - was wiederum schlecht (lies: nicht) über die Broadcast-Domain des einzelnen IP Subnets hinausgehen.

Ich bin sehr gespannt, welchen Vorschlag der Netgear Support da aus dem Hut zaubert. Denn der einzige (BR500/BR200) Netgear Router kann das wohl auch nicht... 

Hallo schumaku,

ganz herzlichen Dank für Deine ausführliche Antwort, die Gedanken in verschiedene Richtungen und Deine Einschätzungen.

Ich glaube inzwischen, dass es keine gute Idee war, als Laie in Bezug auf Netzwerktechnik gleich eine recht technische Lösung skizzieren zu wollen und dass mein Bild vermutlich irreführend ist in Bezug auf das, was meine Gedanken sind und waren.

Ich versuche im Folgenden, das Ganze aus verschiedenen Blickwinkeln zu beleuchten. In der Hoffnung, dass verständlicher wird, was ich möchte, wie ich denke und wie ich zu diesen Gedanken kam. Um dann zu einer - vielleicht auch eine ganz anderen - Lösung zu kommen.

1. Ausgangspunkt - Wie kam ich auf das Thema VLAN und auf Netgear?

Über folgenden Artikel und die zugehörige Grafik bin ich auf das Thema VLAN gestoßen:

https://www.darmstadt-pc.de/netzwerk/vlan-mit-dem-gs105e-von-netgear-installieren/

https://www.darmstadt-pc.de/wp-content/uploads/2014/04/VLAN-Switch-GS105E-von-Netgear.png

Ich nahm davon mit:

• Ein Netgear-Switch baut mehrere VLANs auf.
• PCs aus manchen VLANs können nur auf den Router zugreifen und ins Internet,
• PCs aus anderen VLANs können zusätzlich noch auf wieder andere VLANs zugreifen,
• und diese Zugriffe können so gesteuert werden, dass sie in eine Richtung möglich, in die andere nicht möglich sind.

Dann sah ich noch folgenden Artikel, bei dem ein managed switch 3 VLANs (1, 20, 30) aufbaut, die alle auf die Fritzbox und das Internet zugreifen können - zwischen Fritzbox und Endgeräten (PC, NAS, AccessPoint etc.) hängt lediglich ein VLAN-Switch:

https://www.router-forum.de/router-faq-how-to/gaeste-netzwerk-gaeste-wlan-lan-erweitern-ueber-manage...

• Dieser Artikel schien zu bestätigen, dass ein VLAN-Switch zwischen FritzBox und meinen Endgeräten das Mittel der Wahl für mein Netzwerk wäre.

2. Persönlicher Ausgangspunkt - Voraussetzungen und Ideen (inhaltlich/fachlich):

Derzeit habe ich eine Fritzbox und ein Heimnetzwerk wie folgt:

• Fritzbox-LAN als (gedanklich geschützteres) Netzwerk für einen "sensibleren" PC und NAS, Zugriff auf das Internet
• Fritzbox-Gäste-LAN für die normalen PCs
• Fritzrepeater verbunden mit dem Gäste-LAN als WLAN-Accesspoint nur für das Gäste-LAN

Wünsche für das zukünftige Netzwerk:

• Beibehaltung der Trennung von (sensibler PC und sensibles NAS) und (normale PCs und Drucker)
• Einrichung des NAS an der Fritzbox (über USB-Datenträger) als normales NAS
• Idealerweise Zugriffsmöglichkeit von (sensibler PC) auf (normale PCs und Drucker und Fritz-NAS), nicht aber umgekehrt
• Als dritte Gruppe (neben "sensibles Heimnetz" und "normales Heimnetz") zusätzlich "Gästenetz" (ohne Zugriff auf Fritz-NAS, sondern nur Internetzugriff und im Idealfall (kein Muss) Zugriff auf den Drucker).

Das scheint wohl über eine Routerkaskade machbar zu sein. Mit dem, wie ich mir das aufgrund oben genannter Artikel vorstellte, schien mir das mit VLAN und einem Netgear-VLAN-Switch (z. B. GS308E oder GS308T) jedoch flexibler, kostengünstiger und performanter zu sein.

3. Cloud, SmartHome etc:

Einige Begriffe und Abkürzungen aus Deinem Post musste ich erst googlen.

IoJ habe ich nicht gefunden, und Dingen wie IoT stehe ich sehr skeptisch gegenüber und habe das nicht auf der Agenda.

Ich habe weder einen Medienserver noch internetfähige Fernseher oder Musikanlagen oder Küchenmaschinen etc.,

und brauche Stand heute auch keine SmartHome-Geräte. Insbesondere kann ich mir nicht vorstellen, mein Licht oder meinen Herd oder die Waschmaschine über das Internet steuern zu wollen, genauso wenig wie ich Apps nutze, um über das Internet die Heizung meines Pkws an- oder auszuschalten oder den Batterieladestand meines Fahrzeugs abzufragen. Das Smartphone als Fernbedienung für meinen Fernseher zu benutzen käme also auch nicht in Frage.

Hier bin ich konservativ und werde es wohl bleiben: Die deutsche Übersetzung von Cloud bedeutet für mich "Computer eines Fremden", so die Cloud für mich nur für unumgängliche Services in Frage kommt (z. B. Domainhosting, E-Mail-Provider, Datenaustausch mit anderen) und die Zugriffe immer aus dem Netzwerk auf die Cloud gesteuert werden sollen und nicht umgekehrt die Cloud (oder dortige Services) in mein Netzwerk eingreifen.

Sollte ich tatsächlich irgendwann mal SmartHome-Anwendungen wollen, dann nur so, dass dies alles abgeschottet in einem separierten Heimnetz passiert und ein Internetzugriff lediglich zu Updatezwecken erfolgt.

4. Was meinte der Support?

Zwischenzeitlich hatte ich Kontakt mit dem Netgear-Support.

Ich hatte den Eindruck, dass dieser die Fritzbox an sich nicht kennt, mir als Lösung empfahl, die Fritzbox nur als Internetmodem zu verwenden und als Router dann den VLAN-fähigen Router BR200 empfahl. Allerdings mit der Einschränkung, dass er nur 4 VLANs aufbauen könne, auch wenn ich dahinger noch das Switch GS308E oder GS308T hänge.

Hierzu folgende Fragen:

• Du schreibst "Denn der einzige (BR500/BR200) Netgear Router kann das wohl auch nicht...".
  Meintest Du damit mehr als 4 VLANs?
  Oder was anderes, d. h. dass meine Ideen damit grundlegend nicht umsetzbar sind?
  Was genau wäre hier problematisch?
  Bzw. anders gefragt: was ginge damit nicht?
• Im Netgear-Datenblatt steht "Maximum Number of VLANs: 256".
  Wie ist das zu verstehen bzw. wie passt das zu der Aussage des Netgear-Supports?
• Wie sieht es mit der Sicherheit aus, wenn ich die Fritzbox nur noch als Modem einsetze und der BR200 dann mein Router wäre?
• Ließe sich in dieser Konstellation dann die NAS-Funktionalität der Fritzbox überhaupt nutzen?
• Oder wäre folgendes eine Möglichkeit:
  Fritzbox-Gäste-LAN wird künftig genutzt als Gästenetzwerk,
  der Router BR200 wird an das normale LAN der Fritzbox gehängt und spannt dann (als kaskadierter Router hinter der Fritzbox die verschiedenen VLANs auf)?

Eine Antwort auf folgende Frage würde mein Verständnis der Netzwerkzusammenhänge (VLAN, DHCP, NAT) sicher deutlich erhöhen:

Was ist der technische Hintergrund, dass die unter Punkt 1 verlinkten Berichte entweder gar nicht oder nicht im Zusammenhang mit meinen Anforderungen funktionieren?

Ich hoffe, dass ich etwas klarer darstellen konnte, was meine Anliegen und Gedanken sind.

Vielleicht ist eine klassische Routerkaskade doch besser als die VLAN-Variante?

Ich bin für alle Hinweise, offene Rückmeldungen und Einschätzungen sehr dankbar.

Lieber eine im Vorfeld "zerstörte Weihnachtsgeschichte" als eine Illusion, die dann irgendwann in sich zusammenfällt.

Herzliche Grüße

tirunculus

Der Post ist jetz schon eine weile her, aber vielleicht hift es trotzdem.

Ich denke das du einen layer 3 switch mit inter-vlan funktion sucht wo du dann die einzelnen vlan Netzwerke konfigurieren kannst. Ein normaler switch kann nur Layer2 (Mac adressen) da du aber mit verschiedenen netzwerken abrbeiten willst (Layer3 bzw. verschiedene IP-Adressbereiche Bsp. 192.168.10.1 ober 192.168.20.1) und nicht mit einem WAN oder das Internet verbinden willst (das macht dann denke ich die Fritzbox) ist für diesen fall wir gesagt der Layer3 Switch geeignet.

Kurze erklärung was ein Layer3 switch genau ist wir hier kurz erklärt:

https://www.computerweekly.com/de/tipp/Layer-3-Switches-kurz-erklaert

Besser spät als nie - hoffe das ist OK für Dich @tirunculus 

Was der Darmstädter Kollege da erklärt ist technsch eine asymmetrische VLAN Konfiguration, ausgeführt über die Konfigurationsvariante Erweitertes Port-basierendes VLAN. Hierbei wird effektiv ein flaches IP Subnetz über die mit der Hilfe verschiedener Netzwerke (ich versuche den Begriff VLAN hier zu vermeiden - denn das hat mit 802.1q VLAN eigentlich nichts zu zun) in verschiedene L2 "Zonen" aufgeteilt.

Das ist etwas was man im klassischen Sinn von 802.1Q VLAN - hier ist jedes VLAN ein eigenes L2 Netzwerk (mit einer klitzekleinen Ausnahme von STP [Spanning Tree] und RSTP [Rapid Spanning Tree]) - im sagen wir Business- oder Enterprise-Umfleld nicht macht. Denn schon die wenig grösseren Switch-Klassen erlauben keine solche Konfiguration mehr, das heisst kein Port-basierendes bzw. erweiterte Port-basierende VLAN Möglichkeit, aber auch keine explizite Einstellung um ein asymmetrische VLAN Konfiguration zu erlauben. 

In einem "richtigen" 802.1Q VLAN Umfeld sind die ein- und ausgehenden Frames auf dem Switch getaggt und nur ein VLAN benutzt ungetaggte Frames. Netgear verwendet zusätzlich die PVID Konfiguration, welche beschreibt in welches VLAN ungetaggte Frames gesendet werden müssen - effektiv ein Überbleibsel aus einer manuellen asymmetrischen VLAN Konfiguration - obwohl diese meines Wissens von Netgear nie explizit oder implizit erlaubt oder dokumentiert wurde. Daher stammen auch die verschiedenen Treads in der Community wo die Leute fragen wie man mehrere Ports untagged in VLAN(s) konfigurieren kann.

Wenn wir jetzt von L3 Routing zwischen Netzwerken sprechen - sein dies als "short cut" IP Routing zwischen zwei Subnetzen auf dem selben Switch, oder einem Router wie dem BR200 und Security Appliances anderer Hersteller - so funktioniert das so lange gut als man eben reinen IP Datenverkehr hat, und die Adressen kennt. Sobald aber eine benutzerfreundliche "Suche" oder "Erkennung" von Geräten gefragt ist (auf dem selben LAN klassisch per Broadcast, oder eben auch per Multicast [lies beispielsweise Bonjour oder UPnP SSDP] ab PC, Mac oder Mobilgerät, aber auch zwischen IoTs reicht normales IP Routing nicht mehr. Broadcast-Methoden gehen sowieso nicht durch, und für Multicast braucht es L3 Support eines Gerätes oder einer zusätzlichen Software welche zwischen den Subnetzwerken vermittelt. Netgear hat küzlich Beta-Versionen für die Orbi Pro und Orbi Pro AX Serien veröffentlicht, bei der jetzt eben der Durcker oder der Chromecast-Dongle im anderen Subnetz "gefunden" werden kann.

IoJ kannst Du lange suchen  - das ist meine Definition von IoT so lange man nicht weiss wie die Dinge effektiv funktionieren, welche Verbindungen nötig sind usw. Internet of Junk eben. Der Punkt ist eben dass "klassisches" IoT eben _nur_ vom Internet Abhängig ist, jede Verbindung oder Kommunikation erfolgt nur über die Cloud. Sinnigerweise mag das für die Waschmaschine oder den Geschirrtrockner in Ordnung sein (ohne Internet kann man ja vor Ort schauen), aber wenn wir jetzt mit IoT eben Licht oder gar Licht-Szenen schalten wollen, oder gar noch eine App auf dem Mobilgerät dazu kommt ist es natürlich fatal wenn die Geräte eben ach so toll abgeschottet sind. Und hier beginnt sich die akademische Idee der Abschottung einzelner Geräteklassen eben zu beissen. Das trifft auch auf Dein NAS zu, welches Du ja gerne etwas abschotten möchtest. Und morgen kommen einige lokale IP Kameras dazu, welche dann aj wieder auf dem selben Gerät aufzeichnen sollen. Oder dann eben die "NAS Funktion" auf Deinem Router, welche eben aus anderen Netzwerken schlechter oder mühseliger erreicht werden kann. Ein Schelm wie ich dankt aber darüber nach was so eine Funktion auf einem Router weche ja ziemlich exponiert im Netzwerk (und im Internet) hängt wirklich verloren hat. 

Alle Klarheiten beseitigt?

Oh da ist ja noch die Geschichte mit dem BR200 (und BR500) mit 256 bzw. nur vier VLANs. Auch hier erklärt ich das eigentlich aus dem oben beschriebenen Fakten: Nur ein VLAN kann eben untagged auf einem Port liegen - daher kann (oder konnte?) das Insight Cloud Management nur vier VLANs (eines pro Port) einrichten. Im lokalen Web UI sind es aber die erwähnten 256 VLANs (und IP Subnetze). Das Leidige an der BR Geschichte: Das Pferd ist leider tot, Netgear macht keine Weiterentwicklungen am BR500 und BR200 mehr. Darum halte ich mich stark zurück diese Geräte zu propagieren. Schade, Netgear hat es verpasst eine Serie von BRs zu bauen, zukunftssicher, ausbaubar, wie es ander populäre Hersteller seit Jahren anbieten.

Grüsse ais der Schweiz,

-Kurt