8
VLAN - Unifi AP AC - DGS 1210-24 - Speedport Verständnisfrage
Hallo,
ich möchte mich mit VLAN und somit der Trennung von Netzwerken beschäftigen. Erfahrung auf diesem Gebiet sind bisher nur das ich verstehe was VLAN ist.
In der Überschrift stehen meine vorhanden Komponenten.
Erreichen möchte ich das ich über den AP ein Gast-Wlan aber auch "Eltern" "Kind" aufspanne. Die drei VLAN Netze sollen also einmal über das WLAN AP und über Kabel erstellt werden. Untereinander sollen sie nicht kommunizieren. Soll evt das "Kind" später auf Daten der "Eltern" zugreifen, kann man das über ein 4. VLAN machen (soweit dies möglich wäre) den DMZ geht ja definitiv nicht mit der vorhanden Hardware. Dieser Punkt ist erstmal nur gedanklich aufgeführt. Wird er umgesetzt werden muss ich mich dann damit beschäftigen und evt Hardwareänderungen vornehmen.
Es geht erstmal um die Frage geht die Umsetzung mit der vorhanden Hardware?
Ich habe hier schon viel gelesen daher auch die Frage ob ein DGS 1510 hier eher hilfreich wäre? Mir ist nicht klar wie in einem VLAN alle eine IP vom Speedport bekommen können und trotzdem nicht untereinander kommunizieren können. Wie man sieht ich stehe noch am Anfang der Materie.
Von einer Lösung mit Firewall wollte ich erstmal Abstand nehmen weil alles auf einmal kann man nicht lernen das wäre wohl der nächste Schritt sollte VLAN funktionieren.
Geht es aber trotz Einsatzes von DGS 1510 nicht ohne die Firewall würde diese im ersten schritt zwischen Router und Switch ohne wirkliche Firewall (also alles erlauben und weiterleiten) eingesetzt.
Wenn die Frage Hardware geklärt wäre, kann ich mich an die Umsetzung machen und dann weitere Frage im neuen Thread stellen.
Stephan
ich möchte mich mit VLAN und somit der Trennung von Netzwerken beschäftigen. Erfahrung auf diesem Gebiet sind bisher nur das ich verstehe was VLAN ist.
In der Überschrift stehen meine vorhanden Komponenten.
Erreichen möchte ich das ich über den AP ein Gast-Wlan aber auch "Eltern" "Kind" aufspanne. Die drei VLAN Netze sollen also einmal über das WLAN AP und über Kabel erstellt werden. Untereinander sollen sie nicht kommunizieren. Soll evt das "Kind" später auf Daten der "Eltern" zugreifen, kann man das über ein 4. VLAN machen (soweit dies möglich wäre) den DMZ geht ja definitiv nicht mit der vorhanden Hardware. Dieser Punkt ist erstmal nur gedanklich aufgeführt. Wird er umgesetzt werden muss ich mich dann damit beschäftigen und evt Hardwareänderungen vornehmen.
Es geht erstmal um die Frage geht die Umsetzung mit der vorhanden Hardware?
Ich habe hier schon viel gelesen daher auch die Frage ob ein DGS 1510 hier eher hilfreich wäre? Mir ist nicht klar wie in einem VLAN alle eine IP vom Speedport bekommen können und trotzdem nicht untereinander kommunizieren können. Wie man sieht ich stehe noch am Anfang der Materie.
Von einer Lösung mit Firewall wollte ich erstmal Abstand nehmen weil alles auf einmal kann man nicht lernen das wäre wohl der nächste Schritt sollte VLAN funktionieren.
Geht es aber trotz Einsatzes von DGS 1510 nicht ohne die Firewall würde diese im ersten schritt zwischen Router und Switch ohne wirkliche Firewall (also alles erlauben und weiterleiten) eingesetzt.
Wenn die Frage Hardware geklärt wäre, kann ich mich an die Umsetzung machen und dann weitere Frage im neuen Thread stellen.
Stephan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 305147
Url: https://administrator.de/contentid/305147
Printed on: April 23, 2024 at 18:04 o'clock
8 Comments
Latest comment
Hallo,
um die Spannung vorweg zu nehmen: Nein, das Vorhaben ist in dieser Konstellation nicht vollständig möglich.
Natürlich könntest Du dem Switchport, auf dem der Access Points steckt, z.B. die VLANs mit der ID-2 (Eltern), ID-3 (Kind) und ID-4 (Gast) geben. Dafür muss der Port "tagged" sein.
Ich vermute der vorhandene Unifi Access-Point kann VLANs (?). Dann könnte man den AP entsprechend so konfigurieren, dass er eine eigene SSID für jedes VLAN aussendet (SSID "Eltern" würde dann in meinem Beispiel zu VLAN ID 2 gehören). Die Clients in den einzelnen VLANs sehen sich bis hierher noch nicht untereinander, da VLANs ja praktisch den Switch "teilen".
Das Problem hier ist der Speedport, weil dieser nicht mit VLANs umgehen kann. Wenn der Speedport DHCP-Server und Client-Router in deinem Netzwerk für jedes VLAN bleiben soll, müsste jedes VLAN einzeln mit dem Speedport verbunden werden (1 Port auf dem Switch müsste "untagged" sein mit VLAN-2, einer mit VLAN-3, einer mit VLAN-4. Jeder Port müsste dann physikalisch mit dem Speedport verbunden werden, damit der Speedport in dem entsprechenden VLAN seine Dienste bereitstellen kann). Somit würdest du die Trennung der Netze aber wieder rückgängig machen und alle Clients könnten sich untereinander "sehen" und kommunizieren. Du hättest also nur mehrere SSIDs.
Ich vermute, dass Du zumindest um einen zusätzlichen Router, der DHCP und NAT spielt, nicht herum kommst.
Grüße,
Bjarne
um die Spannung vorweg zu nehmen: Nein, das Vorhaben ist in dieser Konstellation nicht vollständig möglich.
Natürlich könntest Du dem Switchport, auf dem der Access Points steckt, z.B. die VLANs mit der ID-2 (Eltern), ID-3 (Kind) und ID-4 (Gast) geben. Dafür muss der Port "tagged" sein.
Ich vermute der vorhandene Unifi Access-Point kann VLANs (?). Dann könnte man den AP entsprechend so konfigurieren, dass er eine eigene SSID für jedes VLAN aussendet (SSID "Eltern" würde dann in meinem Beispiel zu VLAN ID 2 gehören). Die Clients in den einzelnen VLANs sehen sich bis hierher noch nicht untereinander, da VLANs ja praktisch den Switch "teilen".
Das Problem hier ist der Speedport, weil dieser nicht mit VLANs umgehen kann. Wenn der Speedport DHCP-Server und Client-Router in deinem Netzwerk für jedes VLAN bleiben soll, müsste jedes VLAN einzeln mit dem Speedport verbunden werden (1 Port auf dem Switch müsste "untagged" sein mit VLAN-2, einer mit VLAN-3, einer mit VLAN-4. Jeder Port müsste dann physikalisch mit dem Speedport verbunden werden, damit der Speedport in dem entsprechenden VLAN seine Dienste bereitstellen kann). Somit würdest du die Trennung der Netze aber wieder rückgängig machen und alle Clients könnten sich untereinander "sehen" und kommunizieren. Du hättest also nur mehrere SSIDs.
Ich vermute, dass Du zumindest um einen zusätzlichen Router, der DHCP und NAT spielt, nicht herum kommst.
Grüße,
Bjarne
Moin,
Du brauchst 3 Netze um Deinen Wunsch realisieren zu können. Der Speedport bietet meines Wissens keinen Gastzugang also kannst Du 3 SSIDs einrichten und auf das gleiche Netz im Lan brücken, dann könnte Jeder mit Jedem ....
und Du hast Deine 3 WLan SSIDs aber keinen funktionellen geschweige denn Sicherheitsgewinn 
Ich habe mir eine APU 1D4 mit pfSense eingerichtet, die stellt mir getrennte 4 Netze zur Verfügung die sowohl per Kabel als auch per WLan zur Verfügung habe. Siehe auch Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät. Lediglich die dort beschriebene ALIX Hardware ist überholt, inzwischen steht die APU2 in den Startlöchern.
Preiswerte Alternative: MikrotikRouter
Was mich ein wenig verwundert: Du zäumst das Pferd von hinten auf, fang mit dem Router an und konfiguriere die Netze, dann den Switch und zum Schluss den AP, zu allen Punkten findest Du hier Anleitungen, und ratzfatz bist Du fertig.
-teddy
Du brauchst 3 Netze um Deinen Wunsch realisieren zu können. Der Speedport bietet meines Wissens keinen Gastzugang also kannst Du 3 SSIDs einrichten und auf das gleiche Netz im Lan brücken, dann könnte Jeder mit Jedem ....
und Du hast Deine 3 WLan SSIDs aber keinen funktionellen geschweige denn Sicherheitsgewinn Ich habe mir eine APU 1D4 mit pfSense eingerichtet, die stellt mir getrennte 4 Netze zur Verfügung die sowohl per Kabel als auch per WLan zur Verfügung habe. Siehe auch Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät. Lediglich die dort beschriebene ALIX Hardware ist überholt, inzwischen steht die APU2 in den Startlöchern.
Preiswerte Alternative: MikrotikRouter
Was mich ein wenig verwundert: Du zäumst das Pferd von hinten auf, fang mit dem Router an und konfiguriere die Netze, dann den Switch und zum Schluss den AP, zu allen Punkten findest Du hier Anleitungen, und ratzfatz bist Du fertig.
-teddy
War gerade am editieren meines Posts und wollte ebenfalls pfSense vorschlagen. Dieser würde auch die VLAN-Tags unterstützen und zusätzlich noch eine Firewall bereitstellen. Wenn noch ein Modem vorhanden ist, könnte er theoretisch auch den Speedport komplett als Internetrouter ersetzen.
Danke für Eure Antworten.
Dann muss ich mich doch erstmal mit der Firewall beschäftigen und das VLAN danach in Angriff nehmen.
Diese APU ist diese geeignet für meine Zwecke?
Kann man diese erstmal zwischen Speedport und DGS hängen, bis ich mich durch die Regelverwaltung gearbeitet habe? ← sprich alles erstmal durchlassen.
Später dann wenn ich mich durch die Regeln durchgearbeitet habe dann ein VDSL Modem anstatt des Speedport hängen. Muss dann nur schauen wie ich das mit den Telefonen löse. ← nächste Baustelle nach den VLAN damit das Speedport weg kann.
Firewall - Ist da pfSense oder ipFire (da in deutsch) für das VLAN und natürlich für Anfänger geeignet?
Dann muss ich mich doch erstmal mit der Firewall beschäftigen und das VLAN danach in Angriff nehmen.
Diese APU ist diese geeignet für meine Zwecke?
Kann man diese erstmal zwischen Speedport und DGS hängen, bis ich mich durch die Regelverwaltung gearbeitet habe? ← sprich alles erstmal durchlassen.
Später dann wenn ich mich durch die Regeln durchgearbeitet habe dann ein VDSL Modem anstatt des Speedport hängen. Muss dann nur schauen wie ich das mit den Telefonen löse. ← nächste Baustelle nach den VLAN damit das Speedport weg kann.
Firewall - Ist da pfSense oder ipFire (da in deutsch) für das VLAN und natürlich für Anfänger geeignet?
Moin,
ja, funktioniert. Du hast dann eben eine Routerkaskade. Das haben auch viele mit Internetzugang übers TV Kabel dank der Zwangsrouter auch, wenn sie ihr Netz sicher vom WAN trennen wollen und eine Firewall einsetzen. Die Telefonie lasse ich über die KD Fritte laufen, das könntest Du also über den Speedport ruhig weiter laufen lassen. Irgendwann kommt dann die komplette Umstellung der Telefonie auf IP im LAN.
Ob Du IPFire oder pfSense einsetzt musst Du selber entscheiden. Ich würde es nicht von der Sprache abhängig machen.
Englisch ist Standardsprache und als Alternative hast Du oft schlechte Übersetzungen, unverständliches Denglish, oder sinnfreie Wortschöpfungen deren Sinn sich erst nach Schulung durch den Hersteller erschließt.
Mein Schulenglisch ist auch alt und abgestanden, aber dafür reicht es dann noch. beim Switch und der Unifi Controller Software landest Du doch eh wieder bei Englisch.
Als Anfänger muss Du dich halt ein bisschen damit beschäftigen aber du findest hier und auch im pfSense Forum viel Wissenswertes.
Ich hatte doch geschrieben das ich die APU 1D4 mit pfSense am laufen habe und das bestimmt nicht weil die APU ungeeignet dafür ist. Natürlich gibt es auch andere Möglichkeiten, aber die waren mir zu laut, zu teuer, zu groß oder zu energiehungrig. Am 100 Mbit KD mit ein paar VLan und Squid bin ich damit zufrieden. Bei Deinem Szenario habe ich bisher nicht rauslesen können was dagegen spricht.
-teddy
ja, funktioniert. Du hast dann eben eine Routerkaskade. Das haben auch viele mit Internetzugang übers TV Kabel dank der Zwangsrouter auch, wenn sie ihr Netz sicher vom WAN trennen wollen und eine Firewall einsetzen. Die Telefonie lasse ich über die KD Fritte laufen, das könntest Du also über den Speedport ruhig weiter laufen lassen. Irgendwann kommt dann die komplette Umstellung der Telefonie auf IP im LAN.
Ob Du IPFire oder pfSense einsetzt musst Du selber entscheiden. Ich würde es nicht von der Sprache abhängig machen.
Englisch ist Standardsprache und als Alternative hast Du oft schlechte Übersetzungen, unverständliches Denglish, oder sinnfreie Wortschöpfungen deren Sinn sich erst nach Schulung durch den Hersteller erschließt.
Mein Schulenglisch ist auch alt und abgestanden, aber dafür reicht es dann noch. beim Switch und der Unifi Controller Software landest Du doch eh wieder bei Englisch.
Als Anfänger muss Du dich halt ein bisschen damit beschäftigen aber du findest hier und auch im pfSense Forum viel Wissenswertes.
Ich hatte doch geschrieben das ich die APU 1D4 mit pfSense am laufen habe und das bestimmt nicht weil die APU ungeeignet dafür ist
. Natürlich gibt es auch andere Möglichkeiten, aber die waren mir zu laut, zu teuer, zu groß oder zu energiehungrig. Am 100 Mbit KD mit ein paar VLan und Squid bin ich damit zufrieden. Bei Deinem Szenario habe ich bisher nicht rauslesen können was dagegen spricht.-teddy
Mir ist nicht klar wie in einem VLAN alle eine IP vom Speedport bekommen können
Das ist mit so einem billigen, gruseligen Consumer Router wie dem Speedport auch technisch nicht möglich, da er sowas nicht supportet.Alles was du zu dem Thema wissen musst inkl. Praxisbeispiel was genau deinem Szenario entspricht behandelt dieses Forums Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das sollte alle deinen Fragen beantworten !
Fazit:
Du benötigst einen kleinen 35 Euro Router (Mikrotik) dazwischen oder eine Firewall. Der MT bietet auch ein kleines Captive Portal (Hotspot), Filterlisten und supportet VLANs. Also auch alles um das umzusetzen was du vorhast.
Danke für die weiteren Antworten.
Werde mich also mal mit pfSense beschäftigen. Wenn dies auf einem alten PC mit zwei Netzwerkkarten gelingt schaue ich mich mal nach einer APU um. Wenn nicht bleibt mir noch der Mikrotik Router.
Gehe davon aus das dieser https://shop.omg.de/mikrotik/routerboard/router/mikrotik-routerboard-rb7 ... gemeint ist.
Werde mich also mal mit pfSense beschäftigen. Wenn dies auf einem alten PC mit zwei Netzwerkkarten gelingt schaue ich mich mal nach einer APU um. Wenn nicht bleibt mir noch der Mikrotik Router.
Gehe davon aus das dieser https://shop.omg.de/mikrotik/routerboard/router/mikrotik-routerboard-rb7 ... gemeint ist.
Yepp, der ist es...
