VLan im Heimnetz: Welche der folgenden Hardware-Konstellationen ist am sinnvollsten bzw funktioniert?

Hallo!
Erstmal danke für die Antworten, das hilft schon mal weiter.
Ich habe heute von Kollegen einen Linksys WRT3200 bekommen, muss ich erstmal gar nix dafür zahlen, ein Mikrotik Routerboard habe ich bestellt für kleines geld, sollte morgen kommen.
Ich schwanke jetzt zwischen

1.) Fritzbox durch wrt3200 ersetzen und daran DGS1100-16 Vlan-Switch

2.) Fritzbox lassen, daran den Mikrotik und daran dann den DGS1100

3.) Fritzbox lassen ,daran den wrt3200 und daran den DGS1100

Die Hardware für obige Konstellationen wäre vorhanden, was ist nun die beste Variante und warum?

lg pixi

Hallo.
Weil kuemmel schreibt, dass der wrt kein xdsl modem hat... Brauche ich ja nicht, weil vor dem Router sowieso das Kabelmodem vom ISP ist.
Ihr sagt also, fritzbox mit nachgeschaltetem mikrotik ist die bessere lösung als ein dd-wrt-router, der das in einem gerät erledigt?ich dachte eigentlich, dass der wrt besser wäre als die FB und alles in einem gerät auch besser...
Lg pixi

kapier die Baumstruktur bei den Antworten nicht hier im Forum, aber egal.
hardware vorhganden ist:
kabelmodem
fritzbox 7490
linksys wrt 3200
mikrotik RB961G-2HnD
D-Link DGS 1100-16 L2 Switch

Alle Router werde ich natürlich nicht brauchen, um eine suabere Vlan-Struktur aufzubauen.
Könnt ihr mir bitte sagen, was jetzt die beste Variante ist, und warum:

1.) Kabelmodem -- Fritzbox -- Mikrotik -- L2 Swich
2.) Kabelmodem --- WRT3200 --- L2 Switch
3.) Kabelmodem -- Mikortik -- L2 Switch
theoretisch ginge das wahrscheinlich auch:
4.) Kabelmodem --- WRT300 --- Mikrotik -- L2 Switch
5.) Kabelmodem -- Fritzbox -- WRT3200 -- L2 Switch

Ich tendiere rein gefühlsmäßig im Moment zu Varianten 2.) oder 1.)
Wobei ich aber denke, ich sollte es mal ohne Fritzbox versuchen, einfach um mich mal wieterzuentwickeln und was neues zu lernen. Da kommt dann Variante 5.) ins Spiel. Da könnt eich die Fritzbox solange lassen, bis alles eingerichtet ist, und dann die Firtz weg und Nat auf dne WRT legen und ich wäre bei Variante 2.)

ich bin da echt überfragt, welche vor-/nachteile die einzelnen varianten haben und ob man ganz generell so weinige komponenten wie möglich nimmt oder besser die auf mehrere aufteilt.

Abegsehen von der Hardware ist mir auch die Aufteilung der VLans (welches gerät in wleches VLAn und wie den Zugriff zwichen den VLans regeln) nicht ganz klar.
Es soll fogendes unterteilt werden:
1 PC
2 Noteboooks
Nas 1 (Qnap: Fileserver)
Nas 2 (Qnap,: Surveillance Station, ISCSI-Luns)
2 IP-Kameras (vebrundne mit Surveillance Station)
Proliant Server (ESXi mit VM "Server 2016 Essentials" und VM "Windiws 8.1 Pro)
1 Fire TV
1 Fire TV Stick
diverse BD-Player, Internet Radio etc.
Playstation
diverse Smartphones, Tablets
etc.

Ich denke, dass ich die Windowes Domäne und ihre Domänenmitglieder in ein VLan 10 packe. Die Qnaps wären auch Domänenmitglieder. Dann die Playstation, Internetradio und BD-DVD-player, Fire TVs in VLan 20. IP-Cameras in Vlan 30. Gäste/Kinder-Netz in Vlan 40. Verwaltung in VLan 50.
Jetzt ist es aber so, dass die Fire TVS auf die Freigane auf Nas2 zugriefen sollen können. Wie geht das, wenn sie in unterschiedlichen VLans sind?
Was das Verwaltungs VLan angeht: da würde ich das ilo und esxi und router, switch reinpacken, aber geht das überhaupt, dass sich esxi in einem anderen vlan befindet als die VMs? und wenn die ip cameras in einem eigenen vlan sind, wie kommt dann die surveillance station der qnap da ran, die sich ja auch in einem anderen vlan befindet?
mir ist das noch nicht klar wie man am besten einteilt.
und wenn ich mit meinem pc in alle vlans will, muss der port, an dem er angeschlossen ist, tagged an die verschiedenen vlans oder muss man da im router eine route eintragen? wie ist das generell mit dem routing zwischen den vlans? oder braucht mein pc dan mehrere nics,die in die unterschieldichen vlans untagged eingebunden sind?

oh mann, je mehr ich über das alles nachdenke, desto unklarer wird mir alles. eure antworten haben mir geholgen bisher, aber auch viele neue fragen aufgeworfen.
lg pixi

Weil gefragt wurde: an der fritzbox werden keine telefone betrieben.

Hm, ist der mikrotik nicht schwieriger zu handhaben als dd-wrt?

Und noch eine allgemeine frage bezüglich des Zugriffs zwischen unterschiedlichen vlans:
Switching ist ja schneller als routing. Heisst das, dass wenn ein gerät auf eine Ressource in einem anderen vlan zugreifen können soll, dass es dann besser ist, wenn dieses gerät (sofern möglich) in beiden vlans Mitglied ist ( tagged in beiden vlans), oder wenn man das über den Router einstellt mit firewallregeln?

Dann wäre doch die beste Variante, die FB durch den wrt 3200 zu ersetzen. Dann habe ich alles in einem gerät ind ich kann den vpn zugang von aussen mit openvpn einrichten. Also modem -- wrt3200 -- L2 switch.

Bezüglich doppeltem nat: ich dachte hier gelesen zu haben, dass man bei einer Router Kaskade das doppelte nat damit umgehen kann, indem man auf dem Router, der das nat macht, statische routen einträgt zum 2 router.

Bezüglich nat meinte ich es so: erster Router in Kaskade macht nat, zweiter Router hat nat nicht aktiviert. Im erstem Router sind statische Routen auf den zweiten Router eingetragen. Ergebnis ist dass es kein doppeltes nat gibt.aber da habe ich wohl was falsch verstanden. Danke für deine Erklärungen.
Würde es jedenfalls echt gerne mit dem wrt 3200 probieren, weil ich dd-wrt gerne probieren würde und dann alles in einem Gerät hätte. Was meinst du?

OK, mach ich. Wenn du mir bitte noch kurz was dazu sagen könntest, wie ich meine Geräte am besten in die unterschiedlichen vlan's verteile. In einem oberen post habe ich bereits aufgezählt, was ich alles habe. Dabei bitte auch beachten, dass es eine Windows Domäne geben soll und auch esxi.
Was mir dabei unklar ist: wenn ich zB die ip-cams in ein eigenes vlan gebe und das qnap mit der surveillance Station in ein anderes, wie geht dann der Zugriff. Muss das qnap dann in beiden vlans sein oder regelt man das mit routing?
Und wie ist das mit esxi? Muss esxi im selben vlan sein wie die gehosteten vm's? Ich dachte mir, dass ich esxi und die ILO ins management vlan gebe, aber die vm's logischerweise ins hautpvlan (Domäne).
Mir ist nicht klar, wie die Grundprinzipien sind, nach dem auf die vlan's aufgeteilt wird.

hallo aqui und alle anderen,

danke für deine bzw. eure Antwort.
ich merke, das Thema ist umfangreicher als ursprünglich angenommen. ich habe mich jetzt doch für die Lösung Fritzbox-Mikrotik-L2Switch entschieden. Als Mikrotik-Router habe ich mir jetzt den RB2011UiAS-IN geholt. In meiner Firma habe ich gestern noch einen alten AP abgestaubt (DLink DWL 8600AP, der kann Multi-SSID)

Die Hardware ist nun also:
Kabelmodem ISP
Fritzbox 7490
Mikrotik RB2011UiAS-IN
D-Link DGS1100-16 (3 Stück)
Fritz AP 1750e (2 Stück)
D-Link DWL 8600 AP

Vlan Aufteilung:

VLan1: Management VLan
iLO, ESXi, alle Switch-Oberflächen, AP-Oberflächen und sonstige Netzwerk-Infrastruktur-Geräte

VLan100: Fritzbox VLan
Vlan für Fritzbox und Mikrotik

VLan200: Server VLan
Qnap-Nas 1, Qnap-Nas 2, Windows-Server-2016-Essentials-VM, HP-Netzwerkdrucker

Vlan300: Client VLan
Alle Client-PC`s, auch die Client-VMs

VLan400: Surveillance VLan --> kein Internet-Zugriff
Alle IP-Kameras

VLan500_ Multimedia VLan
Alle Streaming Player, DVD-Player, Satboxen, Internetradios, etc.

VLan600: VLan Tochter
isoliertes Vlan für Internet Tochter

VLan700: Gast VLan
isoliertes VLan für Gäste

Der DWL-8600AP soll jeweils ein 2,4 und ein 5 ghz-Wlan für VLan300, 600 und 700 bereitstellen.
Ein Fritz AP soll 2,4 und 5 ghz für Vlan300 bereitstellen.
Ein weiter Fritz soll für eine IP-Cam 2,4 GHZ Wlan zur Verfügung stellen.

Ich werde das alles noch aufzeichnen.
Ich stehe im Moment noch in der Planung/Theorie, will ich ein paar Dinge einfach noch nicht kapiere. Wenn es Dir und den anderen Profis hier nichts ausmacht, würde ich mich sehr freuen, wenn ihr mir diese Fragen beantworten könntet, und bitte seid nicht zu streng mit mir, wenn ich blöde Fragen stelle.
Folgende Fragen habe ich im Moment:

1.) Ist die VLan-Aufteilung so in Ordnung oder würdet ihr das anders machen?

1.) Soll ich die 3 L2-Switches alle direkt mit dem Miktrotik verbinden (also jeder hat seinen eigenen Trunk direkt in den Mikrotik), oder soll besser nur ein Trunk auf den Mikrotik gehen von einem Switch und die 2 Switches anderen hängen an diesem Switch ? auf den 3 switches sind teilweise auch die gleichen vlans aktiv, sprich ein vlan würde dann auf mehreren trunk ports im mikrotik ankommen. geht das? wie sieht da die Einstellung im mikrotik aus, wie müssen die 3 ports konfiguriert sein?
in allen anleitungen hier wird immer nur von einem trunk ausgegangen.

2.) Laut den Anleitungen hier muss ich ja beim Mikrotik die Default-Config löschen als erstes, wenn ich VLans anlegen will, will in der default config alle Ports geswitched sind, mit folgendem Befehl: system reset-configuration skip-backup=yes no-default=yes
Kann ich da auch skip-backup=no machen, damit ich die Default-Einstellungen gesichert habe. Ich habe irgendwie Angst, dass ich es verkacke und meine RouterOS-Lizenz verliere. Wohin speichert der Mikrotik dann das backup? Auf was muss ich da achten??
edi
und eine ganz blöde Frage:
Angenommen, ich verwende nur einen Trunk, der von einem Switch in den Mikrotik geht, warum stört dann die Default config? Dann kann es mir doch egal sein, ob die 4 Lan-Ports geswitched sind, oder? Ist wahrscheinlich Blödsinn...

3.) Ich kapiere das mit dem Default vlan nicht! Mir ist klar, das ein nicht eingerichteter managebarer Switch alle Ports im Default vlan1 hat, so als ob er ein dummer Switch wäre, und dieses vlan1 liegt auf allen ports untagged an. Wenn ich nun zb den D-Link AP als Beispiel nehme: Ich würde dann dort die Vlan`s 300, 600 und 700 als tagged auf den Port nehmen, Vlan1 als untagged (für die Oberfläche des AP fürs Management). An verschiedenen Stellen steht, dass man das Default vlan als Management vlan nehmen soll/kann, woanders steht wiede,r dass das keine gute Idee ist, da alle nicht zugewiesenen Ports automisch in dieses Default vlan leiten. Ich kann, soweit ich das verstehe, nur 1 vlan untagged auf den port legen. Wenn ich nun also ein anders als das vlan1 als Management vlan nehmen wollte, müsste ich dieses vlan ja dann auch tagged auf den port legen, oder? Wie soll ich das am besten machen? Ich kapiers nicht. Sorry,dass ich so dumm bin, aber bitte erklärt mir das, wie das mit dem Switch DGS-1100 am besten zu lösen ist.

4.) Angenommen, ich habe es geschafft, alle Vlans anzulegen: Wie ist das Routing im Mikrotik vorab eingestellt, wenn ich ihn wie oben beschrieben, resettet habe? Sind erstmal alle VLans mit allen anderen VLans geroutet, sprich, komme ich von allen VLans ind alle anderen erstmal?
Ich hoffe, die Antwort ist ja. Dann müsste ich ja nur für das Tochter und das Gast-Vlan in der Firewall das Routing zu den anderen VLans unterbinden, um sie zu isolieren, oder?

5.) Ich habe (auch von der Arbeit, eine alten HP Proliant ML310e Gen8 Server bekommen. Darauf will ich ESxi installieren und darin eine VM Windows Server 2016 essentials. Die Server Lizenz habe ich mir gekauft. Der Win-Server soll DC, DHCP und DNS Server für meine neu zu schaffende Domäne daheim sein. Soweit ich bisher gelesen habe, ist es kein Problem, wenn die Domänen-Clients in einem anderen VLan sind. Was DHCP betrifft, muss ich nur eigene Bereiche für die VLans einrichten. DNS ist mir noch nicht ganz klar. Mit dem Server-Thema werde ich mich näher befassen, wenn die Vlans erstmal stehen, ich will nur vorab wissen, ob das mit der Windows Domäne und den verschiedenen VLans auch funktionieren wird. Und: Ist es sinnvoll, wenn der DHCP- und DNS-Server vom Win-Sevrer für alle VLans zuständig ist, oder sollte man (zumindest für VLAN Tochter und Gast) DHCp im Mikrotik machen und DNS einen öffentlichen?

OH Mann, ich hoffe, ihr könnt mir helfen und ich bekomme das alles zu Stande. Danke jedenfalls, ohne euch wäre ich sowieso zum scheitern verurteilt.
lg pixi

hallo aqui,

zu deinen fragen:

ja, das kabelmodem ist sicher ein reines modem.
ja, der switch d-link dgs-1100 kann vlan (layer2)

zu dem Hardwareafbau (Kabel), stell dir da so vor:
modem, Frritzbox, mikrotik und 2 Switche stehen direkt an einem Platz zusammen (Auch die Qnaps und der Proliant stehen an diesem Platz) (es sind nur aus dem grund 2 Switche an der Stelle, weil der DGS1100 nur 16 Ports hat und ich mehr brauche). Der 3. Switch steht in einem anderen Raum. Es macht also verkabelungstechnisch keinen Mehraufwand, die 3 Switches jeweils direkt an den mikrotik anzuschließen. Da die Ports auf dem mikrotik eh sschon vorhanden sind, ist es wahrscheinlich besser, die Switches alle direkt anzuschließen, wobei das auch alles trunks wären, da ja auf jedem der 3 Switches mindesntens 2 verschiedene Vlans sein werden.
Wenn ich dich richtig verstanden habe, würdest du den performanten VLans nicht über den trunk zum mikrotik führen sondern direkt. Wäre das etwa so:
VLan 100 hat auf Switch 1 ports 1-4 untagged und port 5 tagged. Port 5 geht auf eigenen port auf mikrotik (auf dem vlan100 eingerichtet ist). Oder muss ,wenn über den uplink zum router eh nur 1 vlan übertragen wird, dieser port auch untagged sein? bei mir ist de rknopf noch nicht richtig aufgegangen...
edit:
ich glaube, es müssen in dem fall alle ports, also auch port 5 untagged sein, nachdem ich jetzt nochmal nachgedacht habe. aber sicher bin ich mir nicht...

nochmal wegen dem management vlan:
soll ich jetzt also das default vlan1 als management vlan nehmen oder ein eigenes machen?

danke und sorry, ich bin noch etwas schwer von begriff, was das vlan thema angeht, aber ich bin fest entschlossen,d as zu lernen.

ok, aber bitte beantworte mir noch diese Frage:

Wenn ich die 3 Switche jeweils direkt an einen Port des Mikrotik anschließe, und die verschiedenen VLans jeweils auf allen 3 Switchen vertreten sind (zb. VLanXY hat Ports auf allen 3 Switchen), wie geht das dann im Miktrotik? Richtet man dann einfach bei allen 3 Mikrotik-Ports die gleichen VLans ein und aktiviert (falls gewünscht) DHCP auf allen 3 Schnittstellen etc.? Oder müssen die Ports dann irgendwie speziell miteinander verbunden werden? Ich hoffe, du verstehst, was ich meine...

Vielen Dank, ich weiss die Hilf ezu schätzen.
Frohe ostern btw,
lg Pixi

hallo,
erstmal danke für deine Hilfe, super von dir.
ich glaube,wir reden gerade aneinader vorbei. ich meinte, dass die 3 L2-Switches (jeder Switch beherbergt mehrere VLans) mit jeweils einem Trunk Link auf einem eigenen Port am Mikrotik hängen. Aber das wäre sowieso irgendwie sinnlos, wen nich darüber nachdenke, da ja die Vlans nicht auf jeweils einem Switch sind sondern teilweise auf allen. Dann bringen die einzelnen Uplinks ja performancetechnisch nichts.
Mein Plan ist jetzt folgender:
Ich nehme einen der 3 Switches und definiere auf diesem die Vlans "Server" und "IP-Cameras". Anstelle eines Trunks auf den Mikrotik, bekommt aber jedes der Vlans einen eigenen Uplink. Wenn ich dich richtig verstehe, muss dann am Switch der Uplink-port auch einfach untagged im jeweiligen VLan sein. Für den Miktrotik sind das dann einfach 2 getrennte Switche und ich brauche mikrotik-seitig für diese Vlans nur Interfaces mit den IPs definieren und keine Vlans eintragen. Habe ich das richtig verstanden?

Was ich jedoch noch nicht ganz kapiere:
Routet der Mikrotik automatisch zwischen den nun 3 Ports, auf denen die Uplinks angeschlossen sind (1 Uplink für Server VLan, 1 Uplink für IP-Camera-VLAn, 1 Trunk-Uplink für die resltichen VLans), so wie es de rFall ist, wenn nur 1 Trunk angeschlossen ist, ode rmuss da zusätzlich was konfiguriert werden?

und noch was frage ich mich:
Wenn ich einen Server (zb ein Qnap oder den Domain Controller), der sich in VLAN a befindet, für Clients in VLAN b erreichbar machen will, habe ich ja verschiedene Möglichkeiten:
1.) über Routing am Mikrotik
2.) Den Server (soweit er bzw seine NIC das unterstützt) tagged in beide Vlans stellen.
3.) Den Server, wenn er 2 Nics hat, Nic 1 in VLan a untagegd und Nic 2 in VLan b untagged.
Wobei 2.) und 3.) aufs selbe rauskommen (ich glaube, wenn die Nics vorhanden sind, dann wäre 3.) die erste Wahl zwecks Performance.
Gerade wenn ich daran dneke, dass die Windows-Server-VM den DHCP-Server für das CLient-VLan übernehmen soll und DHCP ja nur innerhalb einer Broadcastdomäne (und damit innerhlab eines VLans) geht, müsste ich ja, wenn ich Option 1 mit dem routing nehme, ein DHCP-Relay einrichten. Das könnte ich mir sparen, wenn der Sevrer sowieso mit einem Beinchen in beiden VLans steht. Allerdings weicht das dann das ganze VLan-Konzept auf....
Gibts da eine "best practise" wie man das macht?

und noch eine kleine Frage:

Kann ich an eine Port des L2-Switches (untagged in einem VLan) einen weiteren dummen unmanaged Switch anshcließen, an dem dann natürlich nur Mitglieder des jeweiligen VLans angesteckt werden? Ich denke ja, bin mir abe rnicht sicher.

ich find edie ganze Thematik sehr spannend und freue mich schon darauf, wenn ich es denn mal alles verstehe. Aber da habe ich noch viel Lernen vor mir. Echt super, wie toll du und die anderen hier sich auskennen, beneidenswert.

lg Pixi

nur zur info:
habe gestern den externen edv-dienstleister, der bei uns in der firma vorbeikam, zu meinem vorhaben befragt:
der meinte, das er die domaincontroller-vm (die ja auch dhcp macht) auf jeden fall ins gleiche vlan wie die domänenclients tun würde, also nicht mittels relay. er meinte, dass mansich mit dem dc in einem anderne vlan nur das leben schwer macht.
die qnaps würde er, wenn ich es richtig verstanden habe, nur die oberfläche ins verwaltungs-vlan geben und ansonsten auch ins normale haupt-vlan (sprich server und dömänenclients vlan).