Fritzbox als Modem und parallel als Netzwerk-Switch?

[localweb]

Hallo,
ich beabsichtige in mein Netzwerk mit einer Hardware-Firewall mit Opensense zu erweitern.

Nun habe ich eine FB 5690Pro für den Glasfaseranschluss den wir irgendwann einmal bekommen werden.
Diese FB nur als Modem nutzen zu können wäre schade...
In einem Tut (anderer Netzaufbau) habe ich gesehen, dass eine Fritzbox als Modem und parallel als Netzwerk-Switch genutzt wird

Ist das tatsächlich möglich und wie?
Die Firewall wird mit dem WAN-Port verbunden und für die Switch Funktion einfach ein normaler LAN-Port verwendet?

Beabsichtigt sind 3 VLAN, mit jeweils einer FB als Switch für WLAN.

 

[blurrrr]

Hi,

hier ist es auch so: Internet <-> Fritz!Box <-> Firewall <-> Switch

Die Firewall wird mit dem WAN-Port verbunden und für die Switch Funktion einfach ein normaler LAN-Port verwendet?

Äh... neeee....

1) Internet (egal welches Medium) -> Fritz!Box = Internet kommt erstmal bei Dir in "nutzbarer" Form an
2) Fritz!Box LAN -> Firewall WAN = Du hast am WAN-Interface der Firewall schon mal nutzbares Internet
3) Rest wie vorher auch, vermutlich in diese Richtung: Firewall <-> Switch <-> Clients

Es würde sich dann allerdings anbieten (wo Du von virtualisierten Dingen sprichst ), wenn Du mal über einen VLAN-fähigen Switch nachdenkst. Nur mal im Falle des PVE-Hosts bzw. Deines Webservers: Du kannst die VMs auch in eigene Netze verpacken, so erstmal generell vom Rest trennen und dann granulare Regeln dafür aufstellen.

Beabsichtigt sind 3 VLAN, mit jeweils einer FB als Switch für WLAN.

Aus 3 werden sehr schnell einige mehr (sagt die Erfahrung) Warum willst Du für jedes VLAN nochmal extra WLAN haben? Also ich hab grade nicht genau im Kopf, wieviele Netze das hier privat bei mir sind, aber SSIDs schwirren hier nur 3 Stück rum (geschäftlich, privat und zu Installationszwecken). Netze sind es allerdings wesentlich mehr. Halt aber welche, wo man echt kein WLAN für braucht, wozu auch. Verschiedene Netze, verschiedene Zugriffsmöglichkeiten. Du kannst ja auch von einem WLAN aus in ein Netz kommen, welches dann "überall" hin darf. Oder willst Du hier schon trennen zwischen...k.A.... Eltern, Kinder und z.B. Gäste?

 

[localweb]

Im Prinzip möchte ich meine aktuelle Router-Kaskade ersetzen.
Nur statt Eltern/Kind, ist es bei mir Famiele/Haustechnik ;-)

Erstmal ein VLAN Familie mit den üblichen Clients und einem WLAN Gast-Netz.
Und ein VLAN für die IoT Hub's und Clients sowie einem Webserver. Aus dem VLAN Familie soll dann Zugriff auf den Webserver im VLAN IoT (ausschliesslich) bestehen.
Jedes VLAN benötigt somit ein separates WLAN.

Über den Webserver sind die Zugriffe auf IoT je nach Berechtigungsstufe geregelt.

 

[the other]

Moinsen,
wie @blurrrr schon sagt: im Heimnetzwerk ist es üblich, erst als Internetrouter zb (bei dir) die Fritzbox, daran (ausgehend am LAN Port) die pf/opnsense (am WAN Port). Dahinter dann das eigentliche LAN, hier den Switch rein, daran die Haus-LAN-Verkabelung (ggf. via Patchfeld oder per zB Keystone Adapter). Die Fritzbox ist dann allerdings "nur" Internetrouter und macht ggf. ein eigenes LAN / WLAN auf (vor dem eigentlichen LAN Bereich hinter der firewall). Im LAN dann eben noch WLAN APs besorgen (zB unifi, zyxel), die den WLANs (multiple SSIDs) auch ein VLAN zuteilen können (kann die Fritzbox ja eben nicht)...

Also: firewall > besorgen; VLAN-fähiger switch > besorgen; 1 - 2 APs, die mSSID können > besorgen.

 

[blurrrr]

Und ein VLAN für die IoT Hub's und Clients sowie einem Webserver.

Sicher, dass Du das "so" willst? Nicht lieber IoT und Webserver nochmal trennen?

Aus dem VLAN Familie soll dann Zugriff auf den Webserver im VLAN IoT (ausschliesslich) bestehen.

Das ist dann gar kein Problem

Jedes VLAN benötigt somit ein separates WLAN.

Naja, angenommen Du hättest 3 VLANs (LAN + IoT + Webserver)... LAN/WLAN ist klar, IoT ist auch klar, aber der Webserver braucht ja sicherlich kein WLAN.

Die Sache mit den Netzen/Firewall-Regeln ist halt auch nix anderes wie ein Haus mit div. Zimmern, Türen und entsprechenden Zugangsberechtigungen. Denke Du bist jedenfalls schon mal auf einem ganz guten Weg. Musst aber auch daran denken, dass nur die Firewall allein es nicht reissen wird:

Du kannst zwar bei der Firewall mehrere VLANs auf einen Trunk legen (mehrere VLANs über eine physikalische Strippe), teilweise kann man auch bei den Endgeräten ein VLAN definieren, aber oftmals geht das halt nicht, womit dann der dazugehörige Port (am z.B. Switch) entsprechend konfiguriert werden muss.

Als Beispiel: Firewall hat 4 Ports. Du hast aber 5 Geräte. Dann haut es halt schon nicht hin. Bei mir ist es daher einfach so gelöst, dass von der Firewall auch nur ein Kabel zum primären Switch geht (24-Port) und von dort aus geht es zum Patchfeld (zur räumlichen Verteilung). Dieser Switch regelt erstmal alles, insbesondere die Kommunikation untereinander. Somit erreicht die Firewall eigentlich nur der Traffic, welcher zwischen den Netzen geroutet wird bzw. der in Richtung Internet geht. An der vorgeschalteten Fritz!Box kommt derweil nur der Traffic an, welcher in Richtung Internet muss, alles andere bekommt die Fritz!Box auch garnicht mit.

Anders sieht es natürlich aus, wenn Du einfach alles via WLAN bzw. mit den Fritz!Boxen (pro "Netz") regelst, dann kommst Du ja auch mit 4 Ports aus (Uplink zur Fritz!Box + FB1 + FB2 + FB3). Die Fritz!Boxen nutzt Du dann am besten einfach im Client-Modus und überlässt DHCP/DNS/etc. der Firewall

 

[localweb]

Sorry, hier meine vorhandenen Möglichkeiten (Hardware)
1 Firewall mit 6 ETH Ports (Baremetal)
1 Intel Nuk mit Proxmox für VM's für IOT und Webserver (jeweils Ubuntu Server 24.4)
2 24er Switch, je einer für ein VLAN (einer mit VLAN Konfig)
2 PoE- switch (6er) für IP-Kameras
4 Fritzboxen mit aktuellem OS. und drei 6000er Repeater
1 Synology NAS
Sowie diverse IoT Hub's, die ich ausschliesslich zur Verbindung via Webhooks einsetze.

 

[the other]

Moinsen,
Das

Nicht lieber IoT und Webserver nochmal trennen?

klingt nach einer berechtigten Frage... Ich würde (ohne dein Vorhaben zu kennen) auch das IoT Zeug immer ganz separat fahren lassen. Und NAS oder webserver da ins eigenen VLAN verfrachten...kommt aber eben auf deine Netzsegmentierung, dein setting, dein Vorhaben an... Ist auch generell sehr zu empfehlen: die ganze Technik erstmal an die Seite schieben und mit Zettel und Stift Skizze / Liste machen, was wie wo später werkeln soll...dann geht es später wesentlich leichter von der Hand.

 

[localweb]

Der Webserver, dient ausschlißlich für eine Anwendung zu Kommunikation/Steuerung mit den bzw. der IoT-Clients.
Daher mein Gedanke, beides in ein Netz.

 

[the other]

Moinsen,
wenn du das so brauchst / willst...
Hier ne kleine schnelle skizze zur obigen Idee (weitere VLANs, etwa IoT, Gäst ergänzen):

Die anderen Fritzboxen können weg (da keine VLAN Fähigkeit, ebenso die repeater). Oder aber diese beibehalten und dann als reines Gast LAN/WLAN nutzen...wäre mir aber zu doof), ist aber auch wieder am Ende ne individuelle Entscheidung.

 

[the other]

Moinsen,
hier laufen die IoT Dinge zusammen mit dem zentralen Home Assistant in ihrem eigenen VLAN...wenn du das aber anders (mit dem webserver) gelöst hast, dann wäre das vermutlich im gleichen Netz ok.
Schön ist ja, dass du den proxmox Server (host) in ein eigenes VLAN legen kannst, die VMs und LXC dann aber wiederum in ihre eigenen...
Aber wie gesagt: ich würde erstmal Stift und Zettel nehmen und alle Geräte mal clustern (nach Funktion, wer muss immer auf was zugreifen, nach Art...), dann wird irgendwann DEIN Netzdesign daraus, das du dann nur noch einrichten musst. Für mich war die eigentliche Aufteilung (also fern von allen GUI und .configs) die eigentlich schwierige Arbeit. Denn es macht ja auch wenig Sinn, sich da alles in zig VLANs zu unterteilen, dann aber mit noch mal zig Regeln diese Trennung wieder aufzuweichen. Daher der Tipp, sich erstmal über das Design klar zu werden (falls du das nicht schon hinter dir hast ).

 

[Confluencer]

Warum nicht einfach das OTN vom Glasfaseranbieter als Modem verwenden? Das hängt dann am WAN Port der OPNsense.

Dann könnte man die Fritz-Geräte zumindest als Accesspoint in einem der VLAN am Switch untagged verwenden (wobei ich in der FB dann dhcp, dns und co ausschalten würde).

Da die Fritz-Geräte kein VLAN können, müssen weitere Access points besorgt werden.

Wobei sich dann die Frage stellt, ob man dann nicht gleich alles von Fritz mit access points ersetzt die VLANs unterstützen.

 

[blurrrr]

1 Firewall mit 6 ETH Ports (Baremetal)
1 Intel Nuk mit Proxmox für VM's für IOT und Webserver (jeweils Ubuntu Server 24.4)
2 24er Switch, je einer für ein VLAN (einer mit VLAN Konfig)
2 PoE- switch (6er) für IP-Kameras
4 Fritzboxen mit aktuellem OS. und drei 6000er Repeater
1 Synology NAS

Na da kannst Du Dich dann aber VLAN-technisch noch richtig austoben (die IP-Cams würde ich btw auch in ein eigenes Netz packen). Mitunter bekommt dann nur die Syno (sofern da die Surveillance-Station läuft) auf das Netz und ggf. noch Deine Workstation

 

[localweb]

Vielen Dank für eure Unterstützung und Inputs
Ich werde nun erstmal (versuchen) zwei getrennte VLAN mit je einer FB als AP einzurichten und wenn alles für sich läuft die nächsten Schritte angehen.
Hierfür werde ich auch je VLAN einen separaten 24er Switch jeweils an einem Firewall-Port nehmen, um mich nicht noch um die Konfiguration der Switch-Ports (un- taggedt

Sicherlich wäre eine Planung/Skizze der richtige Weg, muss die Sache jedoch stück für stück aufbauen, was meiner "hervorragenden Kenntnis" mit Firewall, Rules, un-/tagged & Co geschuldet ist.
(Jedoch stets im Hinterkopf wie es einmal sein soll, um im nachhinein nicht nochmals alle umbauen zu müssen.

Schlussendlich werden es wohl mehr wie zwei Ansätze sein, bis alles steht