Gastnetzwerk als zweites "normales" Netzwerk nutzen (v.a Probleme mit Sonos-Geräten)

A

aaron55

New member
Hallo,

Ich habe eine FritzBox 7590AX, an der derzeit alle Geräte (Handys, Tablets, PC, Laptop, Reolink Kameras, Sonos-Lautsprecher, diverse chinesische IOT-Geräte) im "normalen" WLAN bzw. LAN angeschlossen sind. Aus Sicherheits- und Zuverlässigkeitsgründen möchten wir die IOT-Geräte, die Handys sowie den PC nun in das Gastnetz umziehen.
Das Gastnetzwerk soll sich dabei in sich (zwischen bzw. für die darin enthaltenen Geräte) wie ein zweites "normales" Netzwerk, also ohne Einschränkungen jeglicher Art verhalten, aber sicher vom Hauptnetzwerk getrennt sein.

Aktuell haben wir schon die Option "Geräte dürfen untereinander kommunizieren" aktiviert, aber selbst mit dieser Funktion gibt es offenbar noch irgendwelche von uns nicht gewollten Einschränkungen, denn unsere Sonos-Geräte können wir zwar initial bei der Einrichtung mit dem Netzwerk (per WLAN) verbinden, die App erkennt jedoch nach der Einrichtung keines der Geräte wieder bzw. meldet "Kein System gefunden".

Die Option "Internetanwendungen beschränken" oder so ähnlich ist auch bereits deaktiviert, dies hatte aber auch keine Auswirkungen auf das Problem mit den Sonos-Geräten.

Ist ein solches Setup mit unserer FritzBox möglich und wenn ja, welche Einstellungen müssten dort gesetzt werden?

Viele Grüße
Aaron
 
Moinsen,
ich habe zwar auch mal sonos gehabt, bin da aber raus...
Aber: eine schnelle Suche (harharhar) hat ergeben, dass Sonos nicht mit Gastnetzwerken (und deren Beschränkungen) umgehen kann und die Nutzung in diesen nicht unterstützt wird. Quelle: https://support.sonos.com/de-de/article/sonos-system-requirements
Geht also nicht.

Davon ab: die Fritzbox kann das, was du willst (und durchaus sinnig ist!), nicht. Also: zwischen verschiedenen Netzwerken Im LAN routen. Das geht nur zwischen WAN und LAN / Gast LAN, nicht aber LAN zu GastLAN (und vice versa). Es wäre also weder sinnig, den PC im Hauptnetz mit der Sonos zu lassen (dann hast du nix von den IoT Dingern, da keine Verbindung zu denen). Alles in Gast ist Quatsch, denn dann ist ja nichts anders (nur schlechter wegen der Gast Einschränkungen), alles so lassen (im LAN) ist eben nicht gewünscht.
Lösung: zB einen anderen Rouoter hinter der 1. (Internet) Fritzbox nutzen, damit dann entweder eine Routerkaskade aufbauen, PC und sonos ins LAN hinter Router 2. IoT ins LAN von Router 1. Damit kann sonos genutzt werden, der PC kann auf sonos zugreifen, die mobilen clients auch. Alles in LAN 2 kann auf den IoT Billigkram in LAN1 zugreifen, dieser aber nicht auf Geräte in LAN2.
Wesentlich eleganter (aber auch teurer und aufwändiger im Verstehen und Einrichten) wäre ein zB 2. Router, der mit VLANs umgehen kann, dazu ein switch, der das auch kann, und ein WLAN AccessPoint, der ebenfalls VLAN beherrscht und auch mehr als nur 1 WLAN Netz aufspannt (eben bis zu 4 WLAN NEtze für diverse VLANs).
Ist aber eben mehr an Geld und Zeit und erfordert ggf erst viel Hirnschmalz... :)
 
the other schrieb:
Moinsen,
ich habe zwar auch mal sonos gehabt, bin da aber raus...
Aber: eine schnelle Suche (harharhar) hat ergeben, dass Sonos nicht mit Gastnetzwerken (und deren Beschränkungen) umgehen kann und die Nutzung in diesen nicht unterstützt wird. Quelle: https://support.sonos.com/de-de/article/sonos-system-requirements
Geht also nicht.

Davon ab: die Fritzbox kann das, was du willst (und durchaus sinnig ist!), nicht. Also: zwischen verschiedenen Netzwerken Im LAN routen. Das geht nur zwischen WAN und LAN / Gast LAN, nicht aber LAN zu GastLAN (und vice versa). Es wäre also weder sinnig, den PC im Hauptnetz mit der Sonos zu lassen (dann hast du nix von den IoT Dingern, da keine Verbindung zu denen). Alles in Gast ist Quatsch, denn dann ist ja nichts anders (nur schlechter wegen der Gast Einschränkungen), alles so lassen (im LAN) ist eben nicht gewünscht.
Lösung: zB einen anderen Rouoter hinter der 1. (Internet) Fritzbox nutzen, damit dann entweder eine Routerkaskade aufbauen, PC und sonos ins LAN hinter Router 2. IoT ins LAN von Router 1. Damit kann sonos genutzt werden, der PC kann auf sonos zugreifen, die mobilen clients auch. Alles in LAN 2 kann auf den IoT Billigkram in LAN1 zugreifen, dieser aber nicht auf Geräte in LAN2.
Wesentlich eleganter (aber auch teurer und aufwändiger im Verstehen und Einrichten) wäre ein zB 2. Router, der mit VLANs umgehen kann, dazu ein switch, der das auch kann, und ein WLAN AccessPoint, der ebenfalls VLAN beherrscht und auch mehr als nur 1 WLAN Netz aufspannt (eben bis zu 4 WLAN NEtze für diverse VLANs).
Ist aber eben mehr an Geld und Zeit und erfordert ggf erst viel Hirnschmalz... :)
Zum Vergrößern anklicken....
Mir geht es nicht darum, zwischen den Netzwerken zu routen, sie sollen ja gerade absichtlich getrennt werden. Das "Gastnetz" soll allerdings für die darin befindlichen Geräte keine Einschränkungen untereinander haben, also für diese funktionieren wie ein normales Heimnetzwerk.
 
the other schrieb:
Moinsen,
Die beiden Fritzboxen machen dann je ein Netzwerk, mesh dazwalso eher nicht.
Die erste Box kann ihr wlan selber aufmachen, die 2. dann ihres. Du kannst auch APs nutzen, das geht dann aber je nur in LAN 1 oder 2.
Hier nochmal zum Nachlesen
https://www.heise.de/ratgeber/Router-Kaskaden-1825801.html
Zum Vergrößern anklicken....
Genau so hab ich das auch verstanden....

Ich habe noch eine Frage: Wir haben im aktuellen "Gesamtnetz" auch ein Gerät, das über eine Portfreigabe von außen erreichbar ist. Würde dies mit der Kaskade funktionieren, wenn dieses Gerät im "zweiten" Netz ist (also hinter der zweiten FritzBox)?
 
Moinsen,
theoretisch ja ;)
Praktisch würde ich aber eher empfehlen (mal allgemein), die unleidige Portweiterleitung gegen einen VPN Zugang auszutauschen.
 
the other schrieb:
Moinsen,
theoretisch ja ;)
Praktisch würde ich aber eher empfehlen (mal allgemein), die unleidige Portweiterleitung gegen einen VPN Zugang auszutauschen.
Zum Vergrößern anklicken....
Bei dem Gerät handelt es sich um eine Gebäudesteuerung, die einen (von außen erreichbaren) Webserver hat, daher wird das mit VPN eher schwierig weil dann ja das VPN auf jedem "Client" eingerichtet werden müsste...
 
Moinsen,
ja das wäre dann deutlich unbequemer....aber auch deutlich sicherer.
Mal (negativ) rumgesponnen:
die software der Gebäudesteuerung hat einen Bug / eine Lücke. Die Portweiterleitung stellt den Server frei ins Netz.
Also software bug + Erreichbarkeit von außen = flaues Gefühl (ich komme nach Hause im Winter und irgendein hacker Kiddie hat alle Heizungen ausgemacht).

Ich denke, es ist wie so oft in der IT: die Balance zwischen Sicher und Benutzerfreundlichkeit muss individuell betrachtet werden. Besser wäre VPN (imho), aber eben auch mehr Aufwand. Frage dazu: wieviele Menschen müssen denn mit wie vielen Clients Zugriff haben?
Am Ende ist es eh deine / eure Entscheidung. :)
 
the other schrieb:
Moinsen,
ja das wäre dann deutlich unbequemer....aber auch deutlich sicherer.
Mal (negativ) rumgesponnen:
die software der Gebäudesteuerung hat einen Bug / eine Lücke. Die Portweiterleitung stellt den Server frei ins Netz.
Also software bug + Erreichbarkeit von außen = flaues Gefühl (ich komme nach Hause im Winter und irgendein hacker Kiddie hat alle Heizungen ausgemacht).

Ich denke, es ist wie so oft in der IT: die Balance zwischen Sicher und Benutzerfreundlichkeit muss individuell betrachtet werden. Besser wäre VPN (imho), aber eben auch mehr Aufwand. Frage dazu: wieviele Menschen müssen denn mit wie vielen Clients Zugriff haben?
Am Ende ist es eh deine / eure Entscheidung. :)
Zum Vergrößern anklicken....
Es müssen auf jeden Fall unsere 4 Handys darauf zugreifen, dazu kommen noch 7 PCs im am Haus angebauten Büro (das auch an dieselbe Gebäudesteuerung angebunden ist)...
 
Moinsen,
wie gesagt: hoch individuelle Entscheidung...
Frage: müssen denn wirklich alle Geräte zugreifen können? Umso größer auch das Einfallstor.
edit: ich würde eher jedem Hausbewohner einen (ggf. sehr begrenzten) Zugriff gewähren. Also jeder darf von einem Gerät (Handy) zugreifen, fertig. Dazu EIN PC für den Bürosteuerungszugriff. Kenne aber die genauen Gegebenheiten nicht, daher bitte alles mit Vorsicht lesen ;)

Andere Frage: das angebaute (am Haus um das es ja geht) Büro hat dann wiederum einen eigenen Netzwerkbereich (getrennt von deinen oben erwähntem)? WLAN soll / kann für die Handys nicht genutzt werden (aus dem Hausbereich Netzwerk)?
 
the other schrieb:
Moinsen,
wie gesagt: hoch individuelle Entscheidung...
Frage: müssen denn wirklich alle Geräte zugreifen können? Umso größer auch das Einfallstor.

Andere Frage: das angebaute (am Haus um das es ja geht) Büro hat dann wiederum einen eigenen Netzwerkbereich (getrennt von deinen oben erwähntem)? WLAN soll / kann für die Handys nicht genutzt werden (aus dem Hausbereich Netzwerk)?
Zum Vergrößern anklicken....
Das Büro und das Haus hatten bisher denselben Netzbereich, der nun mittels (wahrscheinlich) der Kaskade vom Hausnetz getrennt werden soll, da es einige Ausfälle bei den Bürogeräten aufgrund unkontrollierter Vergabe von IPV6-Adressen durch einen im Haus befindlichen Amazon Echo gab...

Ich habe die Bürogeräte bisher nur der Einfachheit halber weggelassen...

Technisch ist es ja das gleiche Prinzip, egal ob nun Büro- von Heimgeräten oder Heim- von IOT-Geräten getrennt werden sollten....
 
Moinsen,
tja, da kommen neue Fragen dazu :)
Was läuft mit dem Echo und v6 falsch? Warum vergibt ein Echo überhaupt IP Adressen? Wird v6 überhaupt benötigt?

Es ist eben so: du hast scheinbar mindestens drei Gerätearten.
1. Büro (beruflich??)
2. Home (PC, Handy, Tablet, sonos)
3. billiges unsicheres IoT Geraffel
(4. Gäste)

Da würde sich dann durchaus (gerade wenn beruflich genutzt, also wichtig) anbieten, diese zu trennen. Das kann die Fritzbox nicht, wie ja eingangs beschrieben.
Du hast jetzt also die Qual der Wahl:
alles so lassen
Routerkaskade einrichten, Geräte verschieben, Zugang von außen einrichten mit PWL in Fritzbox1 zu Fritz 2 zu Gebäudesteuerung
ebenso mit VPN als Alternative

Oder (wenn alles zentral bzgl Netzwerk administriert werden soll) mit anderem Router. Dieser sollte dann VLANs beherrschen, dann zB wie meine Aufteilung oben. Damit wäre einerseits alles verbunden, andererseits aber auch durch eine (echte) Firewall getrennt. Nur durch gesetzte Regeln wird ein Zugriff zwischen den unterschiedlichen Subnetzen/VLANS dann möglich. Du kannst also sehr individuell selber nach Bedarf konfigurieren, brauchst aber nur noch für die mobilen Clients aus dem Mobilfunknetz einen VPN Tunnel.

Den reinen Zugang per Portweiterleitung könntest du ggf alternativ zu VPN auch (weniger sicher aber besser als ganz nackt) mit einem Reverseproxy etwas sicherer machen, dazu dann eine "Einlasskontrolle" wie zb fail2ban o.a.
So als Ideen.

Mehr Optionen für dein Problem / Probleme fallen mir nicht mehr ein. Entscheiden musst du. :)
Vielleicht kommt ja auch hier noch ein neuer Input.
 
Mein Ziel sind folgende Aufteilungen:

- IOT, Gebäudesteurung und private Geräte (Router 2)
- Bürogeräte (Router 1 "Heimnetz")
- Gäste (Router 1 oder 2 "Gastnetz")

Dies sollte mit der Kaskade einwandfrei möglich sein...

Ich habe noch einige Fragen zur Umsetzung der Kaskade:
Welche Einstellungen müssten für die Kaskade in welchem Router gesetzt werden? Wo müssten wir dann welche Kabel/Geräte anschließen?
Der aktuelle Router ist eine FritzBox 7590AX, welche FritzBox sollte ich dann als Zweit/Kaskadenrouter nehmen?
Wie kann ich die Portweiterleitung (für die Gebäudesteuerung) "durch" die Kaskade einrichten?
 
Loxley schrieb:
Ich stimme da @the other zu. Eine Routerkaskade ist IMHO die einfachste Lösung und die Netze sind voneinander getrennt. Ich handhabe das seit Jahren ebenso.
@aaron55 wen Du möchtest mache ich Dir ein Schaubild für Deine Anwendung.
Zum Vergrößern anklicken....
Wir haben auch die von @the other vorgeschlagene Lösung (neuer Router, VLANs und Firewall dazwischen) durchüberlegt, sind aber zu dem Entschluss gekommen, dass die Kaskade (die ja ebenfalls vollständige Trennung zwischen beiden Netzwerken bietet) die beste Lösung ist, auch da wir die vorhandene FritzBox, Repeater, Switches u.s.w dann weiterhin nutzen können.

@Loxley: Das mit dem Schaubild wäre super, dann wüsste ich schon mal was ich wo anschließen muss...
 
1758643100327.png
So, das wäre mein Schaubild. Die Netzwerkadressen sind nur ein Beispiel. Wichtig ist dass die Adressen eindeutig sind.
Falls unbedingt Portfreigaben notwendig sind brauchst Du 2 Einträge:
1) Vom Hautrouter auf die WAN-Adresse des untergeordneten Routers
2) Vom untergeordnetem Router auf das Gerät.
Von den untergeordneten Routern können auch alle Adressen im Netz des Hauptrouters erreicht werden. Wenn also ein gemeinsam genutzter Drucker, NAS etc. benötigt wird dann in dieses Netz einbinden.
Vom Hauptrouter ist keiner der untergeordneten Router erreichbar und die untergeordneten Router sind auch untereinander nicht erreichbar.
Das Internet ist von überall aus erreichbar, es sei denn Du würdest einen untergeordneten Router im Hauptrouter sperren.
 
Moinsen,
ich muss nochmal fragen: mit Bürogeräte meinst du...? Ist das dann home office? Oder scanner und printer? Oder ein eigenes (selbstständig) Büro für den eigenen Betrieb?
 
Loxley schrieb:
Anhang anzeigen 11584
So, das wäre mein Schaubild. Die Netzwerkadressen sind nur ein Beispiel. Wichtig ist dass die Adressen eindeutig sind.
Falls unbedingt Portfreigaben notwendig sind brauchst Du 2 Einträge:
1) Vom Hautrouter auf die WAN-Adresse des untergeordneten Routers
2) Vom untergeordnetem Router auf das Gerät.
Von den untergeorneten Routern können auch alle Adressen im Netz des Hauptrouters erreicht werden. Wenn also ein gemeinsam genutzter Drucker, NAS etc. benötigt wird dann in dieses Netz einbinden.
Vom Hauptrouter ist keiner der untergeordneten Router erreichbar und die untergeordneten Router sind auch untereinander nicht erreichbar.
Das Internet ist von überall aus erreichbar, es sei denn Du würdest einen untergeordneten Router im Hauptrouter sperren.
Zum Vergrößern anklicken....
Dafür bräuchte ich dann aber 3 neue Router, oder?

Was wäre, wenn ich hinter den bisherigen Router (der jetzt das Büronetz übernehmen soll) einen zusätzlichen (für das Privstnetz) anschließen würde?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
7.145
Beiträge
69.632
Mitglieder
7.558
Neuestes Mitglied
Wally76

Teilen

Zurück
Oben