Fritzbox, L3 switch und DHCP

[Brocade]

Hallo,

ich habe eine Fritzbox 7530 und habe gerade einen L3-Switch (Brocade ICX6450) gekauft, weil ich ein VLAN für meine Kameras (aus China...) konfigurieren wollte.

Ich glaube, ich habe verstanden, wie man VLANs konfiguriert, aber das Problem ist, dass ich das DHCP der Fritzbox verwenden möchte, anstatt die IP-Adressen manuell zuzuweisen.

Wenn VLAN 10 die IP-Adressen 192.168.10.x hat.
Und VLAN 20 die IP-Adressen 192.168.20.x hat.

Kann ich DHCP auf der Fritzbox so konfigurieren, dass die richtige IP-Adresse entsprechend dem VLAN, aus dem die Anfrage stammt, zugewiesen wird?
Auf dem L3-Switch können DHCP-Anfragen über DHCP Relay (ip helper-address) weitergeleitet werden. Aber ich bin etwas unsicher, was die Möglichkeiten der Fritzbox angeht.

Ich weiß, dass ich einen DHCP-Server auf dem L3-Switch mit DHCP-Pools installieren kann, aber ich würde den DHCP-Server lieber auf der Fritzbox haben, da die Benutzeroberfläche des L3-Switches nicht wirklich intuitiv ist (ich finde die Benutzeroberfläche angenehmer, um beispielsweise schnell eine IP-Adresse einer MAC-Adresse zuzuordnen).

Vielen Dank im Voraus

 

[svenyeng]

Hallo!

Die FB kann kein VLAN. Das ist halt ein Router für einfache Heimnetzwerke.
Auch kann die FB nicht mehrere DHCP Server. Nur den internen und das Gast-Lan.
Beim Gast-LAN ist der IP-Bereich aber fest vorgegeben. Da kann man gar nichts dran ändern.
Das ist wieder so ein Punkt. Möchte man etwas mehr, ist bei der FB schnell Ende Gelände.
Alle Deine Switche (falls Du mehrere hast) müssen VLAN-fähig sein.

Du benötigst also hinter der FB noch ein Gateway. Ich habe da TP-Link im Einsatz.
Das Gateway kann für jedes Netz dann den DHCP bereitstellen.
Bedenke aber das Du dann Doppel-NAT hast.

Bei TP-Link finde ich die Web-IFs auch recht gut gemacht. Ich mache das alles via Cloud (kostenlos).
Möchte man das nicht, kann man auch die Software auf seinem Rechner installieren oder den Hardware-Controller nutzen.
TP-Link lässt einem da die Wahl.

Gruß
sven

 

[Besser]

Ich glaube, ich habe verstanden, wie man VLANs konfiguriert, aber das Problem ist, dass ich das DHCP der Fritzbox verwenden möchte, anstatt die IP-Adressen manuell zuzuweisen.

Gibt es dafür einen Grund?

Der Rest wird mit einer Fritte wohl so nicht gehen.

 

[Brocade]

Gibt es dafür einen Grund?

Der Rest wird mit einer Fritte wohl so nicht gehen.

Ja, ich bevorzuge es, wenn alles über DHCP verwaltet wird, damit ich in meinem Netzwerk nur eine einzige Verwaltungsmethode habe.
Bei manchen Geräten ist es nicht so einfach, eine feste IP-Adresse einzugeben.

 

[Brocade]

Hallo!

Die FB kann kein VLAN. Das ist halt ein Router für einfache Heimnetzwerke.
Auch kann die FB nicht mehrere DHCP Server. Nur den internen und das Gast-Lan.
Beim Gast-LAN ist der IP-Bereich aber fest vorgegeben. Da kann man gar nichts dran ändern.
Das ist wieder so ein Punkt. Möchte man etwas mehr, ist bei der FB schnell Ende Gelände.
Alle Deine Switche (falls Du mehrere hast) müssen VLAN-fähig sein.

Du benötigst also hinter der FB noch ein Gateway. Ich habe da TP-Link im Einsatz.
Das Gateway kann für jedes Netz dann den DHCP bereitstellen.
Bedenke aber das Du dann Doppel-NAT hast.

Bei TP-Link finde ich die Web-IFs auch recht gut gemacht. Ich mache das alles via Cloud (kostenlos).
Möchte man das nicht, kann man auch die Software auf seinem Rechner installieren oder den Hardware-Controller nutzen.
TP-Link lässt einem da die Wahl.

Gruß
sven

Danke für deine Antwort.

Oh nein, ich habe gerade gelesen, dass der DHCP-Server auf meinem Switch nicht „autoritativ” ist, sodass dies nicht mit allen Geräten funktionieren wird.
Wenn ich DHCP verwenden möchte, muss ich tatsächlich einen DHCP-Server direkt hinter der Fritzbox installieren. Eine andere Lösung wäre möglicherweise, fast das gleiche Subnetz in den VLANs zu haben.

Zum Beispiel:
- VLAN 10: von 192.168.178.20 bis 192.168.178.100
- VLAN 20: von 192.168.178.101 bis 192.168.178.200

Ich glaube, ich kann das mit einem /25 oder /26 (anstelle eines /24) konfigurieren.

In diesem Fall kann die Fritzbox weiterhin IP-Adressen im Bereich 192.168.178.x zuweisen.
Ich muss nur darauf achten, in der Fritzbox die richtige IP-Adresse (unter Verwendung der MAC-Adresse) zuzuweisen, je nachdem, ob das Gerät an VLAN 10 oder VLAN 20 angeschlossen ist.

Könnte so etwas funktionieren?

 

[blurrrr]

Nein, das wird nicht funktionieren. Netzgrößen kannst Du auch nur "verdoppeln" oder "halbieren", von daher ist der angedachte Bereich schon nichts. Korrekt wäre es so:

192.168.178.0/24 aufgeteilt entspricht: 192.168.178.0/25 + 192.168.178.128/25

Bei /26 würde es so aussehen:
192.168.178.0/26 + 192.168.178.64/26 + 192.168.178.128/26 + 192.168.178.192/26

Es sind eigenständige Netze, womit Du auch irgendwas dazwischen zwecks Routing benötigst. Damit kann die Fritz!Box allerdings nicht umgehen. Was Du halt machen kannst, wäre die zusätzlichen Netze am Switch anzulegen, womit sich folgendes Bild ergeben würde:

                                         - 192.168.100.0/24
Fritz!Box - 192.168.178.0/24 - L3-Switch - 192.168.101.0/24
                                         - 192.168.102.0/24

Damit die Fritz!Box den Weg "zurück" (in die hinten liegenden Netze) auch kennt, muss Du der Fritz!Box in den Netzwerk-Einstellungen noch die statischen Routen mitgeben. Hier nehmen wir einfach mal an, dass der Switch im Netz der Fritz!Box die IP 192.168.178.2 hat. Dann müsstest Du noch folgende Routen anlegen:

192.168.100.0/24 via 192.168.178.2
192.168.101.0/24 via 192.168.178.2
192.168.102.0/24 via 192.168.178.2

Bekommt die Fritz!Box nun ein Paket von z.B. der IP 192.168.100.50, weiss sie auch, wohin sie die Antwort als nächstes schicken muss (eben zur 192.168.178.2), damit das Paket auch sein Zielnetz erreicht.

 

[Brocade]

Ja, danke, das hatte ich ursprünglich vor, aber dann bin ich auf das Problem mit DHCP gestoßen.

Wenn ich den Bereich /24 in zwei Teile aufteile, kann ich dann zwei VLANs wie folgt haben:

                                         - 192.168.178.0/25
Fritz!Box - 192.168.178.0/24 - L3-Switch - 192.168.178.128/25

Und wie funktioniert in diesem Fall das DHCP auf der Fritzbox?
Auf Switch kann ich nur DHCP-Anfragen weiterleiten (DHCP-Relay).

Vielen Dank !

 

[blurrrr]

Und wie funktioniert in diesem Fall das DHCP auf der Fritzbox?

Das ist genau der Punkt: "Garnicht". Du kannst auch nicht groß an der Fritz!Box rumschrauben bzw. am DHCP-Dienst, kannst nicht mehrere Netze verwalten (was Du dafür aber können müsstest), also kurzum: "Vergiss es". Es bleiben Dir eigentlich nur relativ wenig Optionen:

1) Konfiguriere die Netzwerkeinstellungen der Cam manuell und gib ihr kein Gateway
2) Zwischen Fritz!Box und Switch müsste noch ein vernünftiger Router bzw. konkreter eine Firewall zur Traffic-Steuerung
3) Verzichte auf den Switch und kauf einen kleinen günstigen Router, z.B. von Mikrotik, wo Du dann die Cam anschliessen kannst

Im privaten Segment wird halt oftmals pfSense/OPNsense genutzt. Dies in Kombi mit ganz normalen L2-Switchen (managed) zwecks VLAN-Verarbeitung.

Kommt aber auch darauf an, wieviel Ahnung Du davon hast - man muss sich das Leben ja auch nicht unnötig kompliziert machen

 

[Besser]

@blurrrr
Ohne das zu blicken: Kriegt man das nicht mit einer zweiten Fritte und einer statischen Route zwischen den beiden in den Griff?

 

[Brocade]

Ok, in diesem Fall werde ich zwei VLANs segmentieren.

Im VLAN 10 wird es 192.168.178.0/24 sein.
Und im VLAN 20 wird es 192.168.20.0/24 sein.

Ich werde das DHCP-Relay im VLAN 10 aktivieren, damit alle an das VLAN 10 angeschlossenen Geräte eine von der Fritzbox zugewiesene IP-Adresse erhalten.

Für das VLAN 20 weise ich den Kameras die IP-Adressen manuell zu.

Funktioniert das so besser?

Vielen Dank !

 

[blurrrr]

Kriegt man das nicht mit einer zweiten Fritte und einer statischen Route zwischen den beiden in den Griff?

Nein, 2. Fritz!Box ja, aber da Du der Fritz!Box das NAT nicht abgewöhnen kannst (ausser im Client-Modus, aber dann ist es kein eigenes Netz mehr), braucht man da auch keine statische Route. Würde man eine 2. Fritz!Box (oder ein anderes Gerät mit NAT) hinter die Fritz!Box setzen, würde dieses Gerät eine IP aus dem Bereich der Fritz!Box bekommen (eben z.B: 192.168.178.2) und würde mittels NAT dann auch die Pakete entsprechend maskieren (mit der eigenen WAN-IP, was dann wieder die 192.168.178.2 wäre). Somit kann die 1. Fritz!Box die Pakete durchaus "zurück" schicken (die IP .2 liegt ja im gleichen Subnetz). Die statischen Routen brauchst Du nur, wenn ein Gerät den "Weg" nicht kennt. Bei ausgehender Richtung ist das kein Problem: Wenn unbekannt -> Standardgateway. Nur gibt es sowas "zurück" nicht, daher die statischen Routen intern.

Im VLAN 10 wird es 192.168.178.0/24 sein.

Wird es nicht, weil die Fritz!Box schlichtweg nicht mit VLANs umgehen kann.

Funktioniert das so besser?

Nein, das wird so garnicht funktionieren. Fritz!Box und VLANs = nein. Was Du allerdings machen könntest (kenne den Switch jetzt nicht)...:

1) Lass das Fritz!Box-Netz einfach wie es ist.
2) Switch an die Fritz!Box (dürfte ja eh schon so sein)
3) ein neues Netz auf dem Switch erzeugen inkl. VLAN
4) dem Cam-Port "untagged" das erstellte VLAN zuweisen
5) Client manuell konfigurieren
6) Default-Gateway für den Switch (beim Uplink) ist die IP der Fritz!Box
7) statische Route auf der Fritz!Box einrichten für das Netz hinter dem Switch

Ich muss aber nochmal zurück zum Anfang:

weil ich ein VLAN für meine Kameras (aus China...) konfigurieren wollte.

Was genau ist der Hintergrund - sollen die Cams nicht in Dein "LAN", oder nicht ins Internet, oder wie hast Du Dir das vorgestellt?

Mal ganz ehrlich - wenn Du es "vernünftig" haben willst, pack noch etwas Firewall-mässiges zwischen Fritz!Box und Switch. Dann ist das ganze auch ausbaufähig. Ein/e kleine/r Router/Firewall, mit Support für a) Routing, b) Firewall, c) VLANs. Ob Du den Switch dann noch brauchst, sei mal ganz Dir überlassen, aber ich bin der Meinung, dass Du Dir "so" nun wirklich keinen Gefallen tust. Mikrotik hatte ich auch nur ins Spiel gebracht, weil Du da schon für 60€ Geräte bekommst, die sowas dabei haben (eigentlich schon ab 40€, aber das wäre dann nur 100Mbit).

 

[svenyeng]

Hallo!

Wie ich schon schrieb. Das einfachste ist ein Gateway von z.B. TP-Link OMADA.
Das kann alles was Du benötigst.
Das hängst Du hinter die Fritz!Box.
Das Gateway kann VLANs und mehrere DHCP.

Falls Du Deinen Switch noch zurückgeben kannst würde ich das tun und dafür nen TP-Link OMADA nehemn.
Das macht es dann einfacher mit der Config und den VLANs.

Gruß
sven

 

[blurrrr]

Ist zwar teurer als so ein kleines Mikrotik-Gerät, kann man aber sicherlich machen. Den Switch finde ich auch etwas überdimensioniert, kann man aber durchaus noch nutzen (zwecks Verteilung hinter dem VLAN-fähigen Router).

 

[Brocade]

Was genau ist der Hintergrund - sollen die Cams nicht in Dein "LAN", oder nicht ins Internet, oder wie hast Du Dir das vorgestellt?

Ich habe mehrere Geräte und wollte deren Zugriff einschränken:
- Internetzugang, aber kein Zugriff auf andere Geräte (Wetterstation)
- Kein Internetzugang, nur Zugriff auf Geräte im selben Subnetz, aber kann von anderen Geräten in anderen Subnetzen abgefragt werden (verbundene Türklingel mit Videoübertragung an einen Frigate-Server)
- kein Internetzugang, kein Zugriff auf andere Geräte, kann aber von anderen Geräten in anderen Subnetzen abgefragt werden (Kamera mit Videoübertragung an einen Frigate-Server)
- usw.

Also habe ich einen gebrauchten L3-Switch gekauft, um VLANs zu haben.
Außerdem war dies eine Gelegenheit, mehr über Netzwerktechnik zu lernen.

Eigentlich sollte alles mit einer Fritzbox + L3-Switch funktionieren, aber ich hatte das DHCP-Problem vergessen. Es sollte jedoch funktionieren, wenn ich die IP-Adressen manuell zuweise.
Außerdem ist der DHCP-Server des Switches leider nicht „autoritativ”.

Vielen Dank für deine Hilfe !

 

[Brocade]

Ist zwar teurer als so ein kleines Mikrotik-Gerät, kann man aber sicherlich machen. Den Switch finde ich auch etwas überdimensioniert, kann man aber durchaus noch nutzen (zwecks Verteilung hinter dem VLAN-fähigen Router).

Ich habe den Switch gebraucht gekauft, daher war er nicht sehr teuer (ich glaube, 100 bis 150 Euro).
Ich wollte mindestens 24 Ports mit PoE+ und einem geringen Stromverbrauch (<25 W) haben und VLANs konfigurieren können.
Wegen dieses DHCP-Problems muss ich nun leider ein weiteres Gerät zwischen der Fritzbox und dem Switch anschließen...

 

[blurrrr]

Versteh mich nicht falsch, aber "VLANs haben" ist wie "Strassen" haben - bringt halt alles nix ohne Kreuzungen bzw. Strassenverbindungen Bei Deiner Auflistung (inkl. "usw.") kann man ja schon davon ausgehen, dass es bei Dir etwas ausführlicher wird. Von daher hat der Switch schon durchaus seine Berechtigung. Allerdings hätte es kein L3-Switch sein müssen, ein einfacher L2-Switch hätte da auch ausgereicht, aber jut, soll uns an dieser Stelle mal nicht weiter interessieren.

Wenn Du auf dieser Mikrotik-Seite (https://mikrotik.com/software) mal etwas runterscrollst, findest Du dort Links zu Demo-Instanzen. Einfach mal anschauen, ob das ggf. etwas für Dich ist. Ansonsten kannst Du auch mal bei z.B. TP-Link wegen dem Interface schauen (https://www.tp-link.com/de/support/emulator/). Irgendein kleineres Gerät (mit den gewünschten Funktionalitäten!) sollte schon ausreichen. Dieses Gerät kann dann eben auch - völlig unabhängig vom Switch - für jedes gewünschte Netz auch einen DHCP-Dienst bereitstellen.

Ich habe hier Zuhause auch div. VLANs laufen, aber eben hinter der Fritz!Box eine Firewall, welche generell für das gesamte Netz-Management zuständig ist. Die Switche dienen nur noch zum durchreichen der VLANs.

 

[Brocade]

Der L2- oder L3-Switch war für mich nicht wichtig. Ich habe einfach ein gutes Angebot für den Brocade gefunden.

Da es sich offenbar um mehr oder weniger dieselbe Schnittstelle wie bei Cisco handelt, war dies für mich auch eine Gelegenheit, etwas über Netzwerke zu lernen, wo in den Kursen viel auf Cisco Bezug genommen wird (es ist übrigens sehr interessant zu erfahren, wie das alles funktioniert, ich hatte keine Ahnung, wie komplex das ist...).

Ich hatte mir die Spezifikationen des Brocade nicht im Detail angesehen und daher das Problem mit dem integrierten (nicht autoritativen) DHCP-Server nicht bemerkt.
Ohne dieses Problem wäre der Brocade ideal gewesen und ich hätte genau das tun können, was ich wollte.

Jetzt stecke ich wegen dieses kleinen technischen Details ein wenig in der Klemme, da ich auch das DHCP der Fritzbox nicht verwenden kann...
Vielleicht werde ich mir einmal ansehen, was es genau bedeutet, keinen autoritativen DHCP-Server zu haben, vielleicht kann ich mit dieser Einschränkung doch leben.

Auf jeden Fall gebe ich die Idee auf, den DHCP der Fritzbox zu verwenden.

Vielen Dank !

 

[Besser]

Ich überlege grad wieviel ich mit Kameras aus China sparen könnte und wieviel mich dann zusätzliche HW kostet, um dem dann Herr zu werden (cyberspy). Irgendwie geht meine Rechnung nicht auf.

PS:
Ah ja. Unify, also die mit dem Interface welches tp-link offen-sichtlich sehr gefallen hat... - lassen sich seit einiger Zeit hinter Fritzboxen betreiben, ohne daß man Doppel-NAT hätte.