Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN, Subnet oder Bridging

Frage Netzwerke

Mitglied: jgoller

jgoller (Level 1) - Jetzt verbinden

09.05.2012, aktualisiert 18.10.2012, 5578 Aufrufe, 9 Kommentare

Hallo,
bin Neuling hier und hoffentlich im richtigen Bereich für meine Frage.

Ich habe hier ein Netzwerk aufgebaut, das sich über mehrere Gebäude bzw. Wohnungen erstreckt. Es wird von einem TP-Link Switch (TL-SG3210) aus in die einzelnen Wohnungen sternförmig verteilt und geht über eine Fritzbox 7270v3 per FTTH ins Internet. An diesem Switch ist auch ein NAS QNAP TS-110 am Port 8.

adaca96b4ce6457c0207eb9ca82571ea - Klicke auf das Bild, um es zu vergrößern

Dummerweise hat jeder auf alle Ports Zugriff, das möcht ich entsprechend den Anforderungen der Wohnungen ändern (deshalb auch der managebare Switch.
Jetzt möchte ich die einzelnen Wohnungen voneinander trennen, sodass aber jeder noch Zugriff auf das Internet hat (Port1 am Switch). Des weiteren kann jeder auf den NAS Zugriff haben (Port 8), da ich hier ja eine Userverwaltung habe.
Ich hoffe auch, einstellen zu können, das ich (Whg 1, Port 2) auf alle Ports zugreifen kann, aber andere Whgs nicht auf meinen Port.

Wie groß sind die Chancen, dies mit dem Switch bewerkstelligen zu können?

Oder sollte ich jede Whg in ein Subnet legen und diese mit der Fritzbox routen?

Gibts noch andere praktikable Möglichkeiten??

Gruß
jgoller
Mitglied: Pjordorf
09.05.2012 um 15:15 Uhr
Hallo,

Zitat von jgoller:
Gibts noch andere praktikable Möglichkeiten??
Das alles an der Firewall regeln? (dann aber nicht mit einer FB). (PFSense, Monowall, Astaro (Free), FLI4L, Eisfair usw.)

Gruß,
Peter
Bitte warten ..
Mitglied: jgoller
09.05.2012 um 15:25 Uhr
Ja, das wäre ne möglichkeit. Ist dann nur die Frage, welche Hardware ich einsetzen sollte. Ich möcht ja preislich im Rahmen bleiben. Allerdings will ich ungern noch mehr rechner aufstellen, die zusätzlich Strom verbruzeln. Aber das wär halt ne saubere lösung.
Es muss aber doch mit VLAN oder Subnetzen auch funktionieren, oder?

Gruß
jgoller
Bitte warten ..
Mitglied: Snuffchen
09.05.2012 um 16:17 Uhr
Der TL-SG3210 kann portbasiertes VLAN.

Für jede Wohnung ein eigenes VLAN mit dem jeweiligen Port + dem Port der FritzBox und des NAS. Somit können alle Wohnungen ins Internet und auch auf das NAS zugreifen. Du selbst kannst dann ja auch die Ports in deinem eigenen VLAN zuweisen, die du brauchst. Ist mit den TP-Links eigentlich total easy und auch hier bei mehreren Kunden im Einsatz
Bitte warten ..
Mitglied: chrisham82
09.05.2012 um 16:54 Uhr
ich kenne mich jetzt nicht mit ner fritzbox aus (wird garnicht gebraucht in der schweiz) aber du brauchst einfach ne ordentliche firewall mit vlan unterstützung wie zb fortigate / zyxel.

Das ganze würde dann so aussehen das jede Wohnung ein eigenes Vlan auf dem Switch Port untagged hat. Auf dem port wo die Firewall angeschlossen ist sind alle Vlans tagged und du erstellst ein Virtuelles Interface mit der entsprechenden Vlan ID pro Wohnung. Erstellst noch ein Routing Rule für internet und jedes Vlan kommt erstmal schonmal raus. Für die NAS erstellst du ein eigenes Vlan wo du mit Firewall Rules jedem anderem Vlan den Zugriff erlaubst.

Wie gesagt mit Fritzbox kenne ich mich nicht aus aber mit ner Fortigate hab ich dir das in 40min konfiguriert. Es ist technisch aufjedenfall möglich.

Bei interesse kann ich dir mal ne beispiel konfig posten.

Lieben Gruss
Bitte warten ..
Mitglied: MrNetman
09.05.2012 um 17:43 Uhr
Zitat von Snuffchen:
Der TL-SG3210 kann portbasiertes VLAN.
Ja, aber wenn an der Fritzbox die VLANs ungetaggt rauskommen war aller Aufwand für die Katz. Jeder kann überall hin.
Das selbe gilt für das NAS. Das kann auch nicht mit getaggten Paketen umgehen.
Es gab mal ein unsymetrische VLAN. Die Hardware dazu ist ausgestorben, auch weil es recht eigenartig handhabbar war. Es gibt aber immer noch den RFC dazu.
Der Switch hat keinerlei Layer3 Funktionen und kann somit die Anforderung nicht erfüllen. Statt der Fritzbox eine Mikrotik oder eine Firewall mit dem Routen und den Sicherheitsfragen zu beauftragen ist die passende Möglichkeit. Oder fehlt es dann am Telefon?

Gruß
Netman
Bitte warten ..
Mitglied: Snuffchen
09.05.2012 um 18:24 Uhr
Wir haben hier ein paar WebSmart-Switche von TP-Link. Die einzelnen VLANs haben zwar Zugriff auf den Router (für den Internetzugriff notwendig) und ein Storage, aber untereinander wird beim portbased VLAN hier zuverlässig der Zugriff unterbunden.
Bitte warten ..
Mitglied: aqui
10.05.2012, aktualisiert 18.10.2012
Und das NAS bzw. alle gemeinsam genutzten Geräte kommen in ein extra VLAN auf dem alle mit bestimmten Diensten Zugriff haben.
Wenn deinen TP-Link Gurke also VLAN fähig ist ist das knderkleicht zu lösen wie dir dieses Tutorial mit der in dem Zusammenhang genannten Firewall genau erklärt:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
bzw.
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Mit der Firewall würde dann auch gleichzeitig dein Router entfallen, denn das kann die gleich mitbedienen.
Damit hättest du einen rundrum saubere und wasserdichte Lösung die sich an alle Belange und Anforderungen problemlos anpasst !
Bitte warten ..
Mitglied: chrisham82
10.05.2012 um 08:31 Uhr
Man könnte es z.B. so konfigurieren:

Network & Vlan ID
WG1: 10.1.1.0/24
Vlan ID: 1

WG2: 10.1.2.0/24
Vlan ID: 2

WG3: 10.1.3.0/24
Vlan ID: 3

NAS: 10.1.4.0/24
Vlan ID: 4

Switch Vlan Konfig
Port 1
Vlan ID: 1=tagged,2=tagged,3=tagged,4=tagged

Port 2
Vlan ID: 1=untagged,2=NO,3=NO,4=NO

Port 3
Vlan ID: 1=NO,2=untagged,3=NO,4=NO

Port 4
Vlan ID: 1=NO,2=NO,3=untagged,4=NO

Port 8
Vlan ID: 1=NO,2=NO,3=NO,4=untagged

Layer 3 Firewall Config

default Route
0.0.0.0/0.0.0.0 -> Dein Gateway IP , Device= zu WAN Port

Virtual Interfaces
VI01: 10.1.1.1
Vlan ID: 1

VI02: 10.1.2.1
Vlan ID: 2

VI03: 10.1.3.1
Vlan ID: 3

VI04: 10.1.4.1
Vlan ID: 4

Dann definierste noch deine Netzwerke Addressen für die Firewall Rules:

LAN-WG1:
10.1.1.0/24, Interface VI01

LAN-WG2:
10.1.2.0/24, Interface VI02

LAN-WG3:
10.1.3.0/24, Interface VI03

LAN-NAS:
10.1.4.0/24, Interface VI04

Firewall Rules

Internet Rule für jede WG setzen
From
LAN-WG1

TO
WAN

Source
LAN-WG1

Destination
all

Service
any

Action
allow

Nas Rule damit jede WG zugriff aufs NAS hat
From
LAN-WG1,LAN-WG2,LAN-WG3

TO
LAN-NAS

Source
LAN-WG1,LAN-WG2,LAN-WG3

Destination
all

Service
any

Action
allow

Kein NAT


sooooo in etwa bitte einer kontrollieren hatte noch kein kaffee...
Bitte warten ..
Mitglied: aqui
12.05.2012, aktualisiert 18.10.2012
Ja, ist korrekt so und entspricht ja auch 1:1 den Angaben im oben zitierten Tutorial !
Ggf. sollte man noch ein separates VLAN 5 nur für den Internet Zugang nehmen um diesen aus den lokalen VLANs für die WGs und die gemeinsam genutzen Geräte herauszuhalten und abzutrennen.
Außerdem sollte man für die WGs noch einen separaten Gastzugang einrichten (VLAN 6) und diesen aus rechtlichen Gründen mehr restriktiver zu halten damit nicht Besucher in den WG netzen irgendwelchen Unsinn machen !
Wie man das in die o.a. Firewall mit integriert steht hier:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Linux Netzwerk
OpenVPN, zwei OpenWRT Router verbinden und VLAN durchs VPN leiten (6)

Frage von sharbich zum Thema Linux Netzwerk ...

Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

Netzwerkmanagement
gelöst Mehrere Switche per Trunk verbinden - korrekte VLAN-Config (8)

Frage von Stadtaffe84 zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...