Netzwerk separieren

T

Tim01

New member
Hallo zusammen,


der Wechselrichter unserer PV-Anlage benötigt einen Internetzugang. Dieses Gerät würde ich gerne vom restlichen Netzwerk abtrennen.

Bisheriges Netzwerk:
DSL-Router Fritzbox 7490
- priv. LAN + WLAN
- Gast LAN Port 4 -- LAN-Bridge auf Fritz!Repeater 1200 -- Gast-WLAN (PC's und NAS alles fürs Homeoffice, nicht für Gäste verwendet)


Die Fritzbox kann leider keine weiteren Gastnetze erstellen und im Internet habe ich gelesen, dass VLAN eine Trennung bietet.
Meine Überlegung daher, ob ein Smart Switch (oder ein teurerer Managed Switch) an den Gast LAN Port 4 der Fritzbox angeschlossen mein Problem lösen kann.
Dieser soll dann das Gastnetzwerk aufteilen und separieren in eins fürs Homeoffice und eins für die PV-Anlage.
An den unterschiedlichen Ports des Switches werden dann die LAN-Bridge und am anderen die Verbindung zur PV-Anlage angeschlossen.
Funktioniert das so oder gibt es eine bessere Lösung?

In Zukunft ist ggf. eine Erweiterung des PV-LAN-Netzwerks durch eine Wärmepumpe geplant und evtl. Sensoren (Shelly oder andere) zur Optimierung der Nutzung der PV Anlage. In Zuge dessen könnte auch die Spül- und Waschmaschine mit eingebunden werden. Die Sensoren und die Haushaltsgeräte wurden dann über einen neuen WLAN-Access Point an das PV-LAN-Netzwerk angebunden.
Ist das mit dem VLAN im Hinblick auf eine Erweiterung ebenfalls sinnvoll?




Viele Grüße
Tim01
 
Moinsen,
du kannst das entweder (für den Beginner) aufwändig mit einem smart managed switch machen, der OSI Layer 3 beherrscht, also auch zwischen VLANs / Netzen routen kann.
Oder aber du nimmst einen 2. Router, der mit VLANs umgehen kann hinter die Fritzbox (zb pfsense / opnsense).
Ist aber (wenn es nur um ein einziges Gerät gehen sollte) beides overkill imho. Wenn du aber natürlich langfristig eh mit VLANs dein Netzwerk gestalten willst...go for it! ;)

Einfacher (und günstiger) dann vielleicht eine Routerkaskade mit einer 2. (gebrauchten) Fritzbox...dabei werden die beiden Fritzoxen hintereinander geschaltet, beide im vollen Routermodus. Damit entstehen hinter der 1. Box (mit Verbindung Internet) ein LAN Netzwerkbereich. Hinter der 2. Box entsteht dann ein weiterer eigener Netzwerkbereich (mit eigener IP, also wirklich getrennt). Damit wäre dann ein Zugriff vom LAN hinter Box#2 auf das LAN VOR Box#2 möglich, nicht aber (ohne Weiteres) ein Zugriff vom LAN hinter Box#1 auf das LAN hinter Box#2.
 
Zuletzt bearbeitet von einem Moderator:
Guten Tag @Tim01,
willkommen im Forum. An Stelle eines Vlan's kannst Du auch einen zweiten Router mit dem ersten kaskadieren. Dann hast Du ein völlig unabhängiges Netzwerk für alle Geräte die Du nicht in Deinem privaten Netzwerk möchtest. Wenn Du Dein "unsicheres" Netzwerk im ersten Router realisierst und Dein privates Netzwerk im zweiten Router (Kaskade hinter dem Ersten) dann kannst Du vom privaten Netzwerk auf das "unsichere" zugreifen, aber nicht umgekehrt.
 
Vielen Dank für die sehr schnellen Antworten.

Okay verstehe, die Routerkaskade ist einfacher zu realisieren (für Leute wie mich die nie zuvor mit VLAN gearbeitet haben) und bietet auch eine sichere Abtrennung des "unsicheren Netzwerks".

Da ich keinen zweiten Router habe müsste ich ein neues Modell kaufen 200-300 EUR oder eine gebrauchte zweite 7490 für ca. 40-50 EUR. Bei Amazon finde ich unter "managed switch" mehrere schon für 20-30 EUR, steht aber nicht dabei ob es OSI Layer 3 Geräte sind. Klappt das mit solchen günstigen Geräten oder welche Switch wäre zu empfehlen?
 
Moinsen,
eine einfache gebrauchte Fritzbox reicht schon dafür aus...nix Neues! Bei den Preisen würde ich dann eher zu einer Lösung mit pfsense raten (ist zwar sehr viel mächtiger als ne Fritzbox, aber bei den Preisen...du hättest dann eben auch deutlich mehr Optionen, aber auch mehr Einarbeitungsmühe).

Du brauchst (wenn du das per switch lösen willst) einen L3 fähigen switch. Dazu sei aber auch gesagt: die Einrichtung mit ACLs am switch direkt ist...sagen wir mal...eher sehr sportlich, gerade wenn du selber sagst, dass das bisher eher böhmische / niedersächsische / sonstwo Dörfer sind für dich. Da ist das Einrichten am switch schon auch hui...;)

Also: quick and dirty mit 2. gebrauchter Fritzbox als Kaskade, etwas mehr Aufwand aber deutlich mehr Optionen mit pfsense hinter der fritzbox. Richtig sportlich mit L3 switch und ACLs darüber für die VLANs...
Modelle...
Kurze Suche hat zB ergeben: https://www.amazon.de/Layer-3-Switch/s?k=Layer-3-Switch
;)
Sind eben auch nicht so ganz günstig...daher mit einer Fritzbox kennst du dich zumindest bereits aus. Aber am Ende: deine Entscheidung natürlich.
 
Vielen Dank für den Hinweis, dass die Einrichtung am Switch nicht so schnell und einfach geht. Wahrscheinlich werde ich dann Lösung mit der Routerkaskade wählen. Ich muss mir nur noch überlegen ob ich dann gleich in ein Nachfolgemodell der 7490 oder eine gebrauchte zweite 7490 kaufe.

Verstehe ich es richtig, dass Fritzbox #2 (nachgeschaltet) über ihren Port 1 an Fritzbox #1 (mit DSL-Verbindung) ebenfalls Port 1 zu schalten ist?
D.h. Fritzbox #2 kann also nicht an das Gastnetzwerk von Fritzbox #1 angeschlossen werden oder?

Mit der Routerkaskade ergeben sich also 4 getrennte Netzwerke ?
Fritzbox #1 => 1. LAN (mit "unsicheren Geräten") + 1. Gast LAN
Fritzbox #2 => 2. LAN und 2. Gast LAN
Es ist lediglich ein Zugriff vom 2. LAN auf 1. LAN möglich, aber nicht umgekehrt.
Wäre ein Zugriff vom 2. Gast LAN auf 1. LAN ebenfalls möglich?
 
Moinsen,
ja, das am switch zu machen ist möglich, aber eben gerade für den Anfang echt nicht so schön...auch keine Raketenwissenschaft, aber warum der Aufwand.

Mit der Fritzbox geht es etwa so: https://fritz.com/apps/knowledge-ba..._FRITZ-Box-als-kaskadierten-Router-einrichten
Da steht eigentlich alles drin.
Wichtig eben: beide Fritzboxen sind im Router Modus, bedeutet sie machen beide NAT und behandeln alles "vor sich" als "das Internet" und machen von dort kommend dicht. Es kommt auf WAN an Fritzbox 1 also nix rein und dann an LAN1 an Fritzbox 2 später auch nicht (die behandelt alles vor sich wie Internet!). Raus geht natürlich alles, daher auch der mögliche Zugriff vom LAN der FB 2 auf LAN der FB 1, aber eben nicht anders herum (Ausnahme einrichten nötig > Portweiterleitung, späteres Thema).
Und ja, das macht dann 4 Netze. Aber eben nicht untereinander zu erreichen, zum Teil gar nicht, zum Teil nur einseitig...das ist dann eben der Kompromiss, wenn kein "echter" L3 fähiger Router genutzt wird (das kann die FB nicht ausreichend für interne Netze, also etwa VLANs. Das könnte dann eben eine pfsense / opnsense)...die Fritzbox kann mit NAT nur zwischen dem externen Netz und dem LAN routen, nicht aber LANs untereinander. Dafür aber eben einfacher, günstiger und bereits bekannt...
 
Bei einer 7490 (Modell von 2013!) könnte man auch mal darüber nachdenken, sie durch eine neuere zu ersetzen. Dann wird die 7490 als zweite Fritzbox frei.
Noch eine 7490 würde ich da sicher nicht kaufen.
 
Moinsen,
da hast du Recht. Hier werkelt btw auch noch eine 7490 als Internetrouter (der in der Praxis aber auch nix anderes macht, quasi ein Modem plus ;)).
Allerdings könnte dann (bei den Preisen) auch doch nochmal überlegt werden, eine pfsense / opnsense zu nutzen. Damit wäre der TE dann doch recht zukunftssicher aufgestellt. Und die Anforderungen ans eigene Heimnetz werden ja vermutlich in den Jahren eher mehr (mehr IoT, home office, Kinder im Netzwerk, usw).
Am Ende: ich denke die Optionen sind genannt, die Entscheidung wird nicht unbedingt leichter damit. Bin mal gespannt, was es am Ende wird. :)
 
Wenn man nicht so viel Geld ausgeben möchte gibt es im Versandhandel schon Router für < 60 €. Da ist dann ein 5-port Switch gleich inklusive.
 
Hallo!

Fritz!Box am DSL-Anschluss dahinter kommt ein TP-Link Gateway und TP-Link Switche.
Ich empfehle OMADA von TP-Link. Preislich liegt das alles im guten Bereich.

Gateway: https://www.omadanetworks.com/de/business-networking/omada-router-wired-router/er605/
Switch: https://www.omadanetworks.com/de/business-networking/omada-switch-agile/es205gp/
Oder eben größere Switche, wenn nötig.
Ich erledige die Verwaltung/Administration via Cloud (kostenlos), Du kannst aber auch, wenn Du Cloud nicht magst. die Software nutzen oder den Hardwarecontroller.

VLANs etc. ist alles möglich. Ich habe das auch laufen, weil ich über die TP-Link Omada APs mehrere WLANs ausstrahle.
Geht prima.
Man braucht ja auch für jedes Netz einen DHCP Server was das Omada Gateway auch kann.

Gruß
sven
 
Hallo!

Muss jeder für sich entscheiden.
Bei mir fällt Fritz! krachend durch. Und ich habe jahrelange Erfahrung damit.
Als Fachinformatiker ist das alles mein täglich Brot.

Ich kann hier nur wertvolle Tipps geben. Was daraus gemacht wird ist jedem sein Ding.

Vor OMADA hatte ich ne Sophos Firewall und Sophos APs.
Leider ist die Sophos Firewall kaputt gegangen und die Sophos APs warn EOL und somit nicht mehr nutzbar.
Somit bin ich auf OMADA umgestiegen, weil halt Preis/Leistung super attraktiv sind.

Mit AVM (jetzt Fritz) habe ich über viele, viele Jahre leider sehr schlechte Erfahrungen machen müssen.
Somit bin ich auch froh, das die Fritz!Box 7580 kommenden Freitag bei mir aus dem Netzwerk kommt.

PS:
Jemand schrieb hier von einer Sicherheitslücke beim OMADA System.
Das ist bekannt und wurde sofort von TP-Link gefixt. Das spricht für die.
Auch AVM (jetzt Fritz!) hatte schon Sicherheitslücken.
Kommt bei jedem Hersteller vor und lässt sich wohl kaum vermeiden.

Gruß
sven
 
svenyeng schrieb:
Muss jeder für sich entscheiden.
Bei mir fällt Fritz! krachend durch. Und ich habe jahrelange Erfahrung damit.
Als Fachinformatiker ist das alles mein täglich Brot.
Zum Vergrößern anklicken....
Gegen die Switche sag ich ja nichts, aber sonst kannst du doch nicht ruhigen Gewissens den Leuten eine höhst unsichere Infrastruktur empfehlen (?) :rolleyes:

Der jemand war ich. Und es ging nicht allgemein um Omada, sondern um die Gateways. Also die wichtigste Komponente. Und es geht nicht darum wie lange sie brauchen, weil man weiß eh nicht wie lange die Lücken bestanden. Du musst die Dauer also einerseits MINDESTENS von der vorletzten Version rechnen. Falls sie nicht eh schon davor genauso vorhanden war. Weil von selbst kamen sie ja nicht drauf (!)

Andererseits geht um die Art der Einfallstore. Wenn man von draußen mit root-rechten auf ein Gateway zugreifen kann, dann ist das der plakativste Supergau. Und nein. d-link ist da keineswegs besser.
Man muss einfach lernen - auch als Fachinformatiker, falls man da grad im Urlaub war - an der Stelle zu trennen. Gateway/Router ist eine andere Baustelle als wenn man über APs oder Switche redet.

PS:
AVM hatte bisher 2 reale Sicherheitsprobleme, seit dem bestehen die Firma.
Schön aber auch, daß du EOLs ansprichst. Schnelle Fixes nützen ja nichts, wenn man garnicht mehr auf der Supportliste steht. Den 443-Port Patch brachte AVM 2023 auch für eine 7390. Die konnte man ab dem 27.09.2010 kaufen...
 
Zuletzt bearbeitet:
Hallo!

Da ist nichts unsicher oder schlechte als Fritz!
Bitte verbreite hier nicht solche Lügen.
Die Lücke ist längst gepatcht.

Heute machst Du solche Dinge fast nur noch Cloud basierend.
LANCOM z.B. bietet es genauso. Das ist der Platzhirsch mit richtig teuren Komponenten.
Da zahlst Du pro Gerät richtig Geld, damit Du das in der Cloud verwalten kannst.
Und zwar alles, von Router bis zum AP.
Denk mal nach, was machst Du als Admin in großen Umgebungen mit vielen Außenstellen?
Da willst Du alles in der Cloud zentral Administrieren.

Und wie gesagt erzähle mir nix von Gateways und Router.

Ach ja, sagt Dir MyFritz was?
So kommst Du von außen auf Deine FB zum verwalten. Die machen es genauso.
Das ist heute Standard.

Und wenn etwas EOL ist, dann muss man sich überlegen ob man es gegen neues ersetzt.
Bei OMADA sind die Komponenten nicht so teuer. Da kann man das auch mal verschmerzen.

Wenn Du die Cloud nicht willst, musst Du die nicht nehmen.
Dann nimmst Du einen Hardware Controller oder die Software.
Da muss man dann nix nach aussen freigeben, wenn man das nicht will.
Das ist das schöne bei OMADA. Die lassen einem da freie Wahl.

Gruß
sven
 
Bei mir und allen denen ich bisher geholfen habe, haben die nicht und ich auch nicht große Umgebungen zu verwalten. Daher besteht auch keine Not sich diese Komplexität ins Haus zu holen. Und wenn, dann fangen ich bei den Leuten erst mit Ubi an. Die haben selten mal eine Spalt, aber eben nicht solche Scheunentore wie tp-link. Und hatten schon lange exakt die GUis, die tp-link später quasi gespiegelt hat... :sneaky:

Da ist nichts unsicher oder schlechte als Fritz!
Bitte verbreite hier nicht solche Lügen.
Die Lücke ist längst gepatcht.
Zum Vergrößern anklicken....
Wärest du so nett die Textpassage zu quoten der du da so vehement widersprichst? Kann grad nicht finden was ich geschrieben haben soll, damit deine Entgegnung dazu passt.

Ja, Stand heute nicht. Noch ist wieder alles bestens bei denen. toi toi toi, damundrück, holzklopf, reifentanz, 3x kreuzmach, lachenden-buddha-streich... Die Amis, die damit überflutet sind, haben jedenfalls so langsam keinen Bock mehr auf solche Rituale.

EOL.
Wir schreiben Ende des Jahres 2025. Was funktioniert auf den Elektromüll zu werfen, auch wenn es noch genauso gut tun könnte und ausreichend tun könnte wie zu Anfang, ist wohl nicht mehr das Leben was wir als Zivilgesellschaft leben möchten. Als Geschwür.

Oder kann ich das kostengünstig (muss ja nicht gratis) dann an tp-link zurückschicken? Verwerten sie das dann selbst, wenn sie es doch selbst einfach so für abgelaufen erklären?
Das Prob ist halt, daß man so ein Zeug sonst auch nicht mehr weiterverkaufen kann. Das sit von einem auf den anderen Tag Schrott per Dekret.
Irgendwas von AVM, kann man dagegen nahezu immer verkaufen.
 
Zuletzt bearbeitet:
Hallo zusammen,

ich muss mich jetzt (leider) auch mal kurz zu Wort melden:

svenyeng schrieb:
Denk mal nach, was machst Du als Admin in großen Umgebungen mit vielen Außenstellen?
Zum Vergrößern anklicken....
Wir überlegen jetzt bitte mal, wo man sich hier befindet. Ich denke, dass die Domain schon aussagekräftig genug ist (Tip: "heim"netz.de). Ich bitte darum, dies in Zukunft auch zu beachten.

Besser schrieb:
toi toi toi, holzklopf, reifentanz, 3x kreuzmach, lachenden-buddha-streich...
Zum Vergrößern anklicken....
Sowas muss auch nicht sein.

Ebenfalls gilt es anderweitige Meinungen zu respektieren, man muss sie nicht zwangsläufig akzeptieren.

Danke für euer Verständnis!

Viele Grüße
LittleWing
 
Wenn du das so belässt, bin ich hier auch raus :) Jeder hat nun genug Infos und Stichwörter, um bei Interesse sich selbst im Netz schlau zu machen.
Um mehr ging es mir nicht (y)

edit (ja ich weiß :()
Wobei der Trigger ist nicht, XY ist das Tollste. Der Anfang hier wie an anderen Stellen ist imho schon einfach schlecht. Wenn man nicht sagen kann XY ist das Tollste, ohne zu sagen, und YZ sowieso Müll und Spielzeug, dann hat man ein Problem mit sich selbst.

Ein Punkt bei dem ich schon der Meinung bin, daß man solche wenigstens ab und zu dran erinnern sollte an dem Problem selbst zu arbeiten. Sonst steht man irgendwann vor einer nie enden wollenden Flut...
 
Zuletzt bearbeitet:
Hallo!

Wie gesagt Lücken können bei jedem Anbieter auftreten.
Ich find das nicht OK das Du TP-Link so schlecht machst.
Morgen kann auch bei den FBen eine Sicherheitslücke auftreten.
Wichtig ist, das man immer Updates installiert und seine System aktuell hält.

Man sollte sie auch nicht so in Angst hineinsteigern.
Dann besser auf Buschtrommeln umsteigen. Wobei, da könnten andere ja mithören.
Ist also auch nicht der Weisheit letzter Schlusss.

Was sind große Menge? Das müsste man definieren.
Bei mehr als einem AP hätte ich schon keine Lust mehr die einzeln zu administrieren / verwalten.
Ich habe derzeit 4 APs, 4 Switche und 1 Gateway.
Wäre nicht meins, das alles einzeln zu administrieren. Eine Änderung und man muss auf alle Geräte.
Und mit Fritz! kann ich nur ein WLAN + Gast WLAN ausstrahlen.
Ich uns sicherlich auch andere die mehr wollen kommen damit nicht weit.

Bezüglich Fritz!Box:
Anfangs war sie mal gut, bzw. fand ich sie noch wirklicht gut.
Über die Jahren hat AVM da immer mehr an Funktionen reingepackt.
Vieles ist nur halbherzig umgesetzt. Für vieles ist die FB von der Hardware her gar nicht gedacht. Beispiel: NAS
Wenn ich ein NAS will, dann mach ich das nicht mit der FB, sondern kaufe ein richtiges NAS (QNAP etc.).

Wir überlegen jetzt bitte mal, wo man sich hier befindet. Ich denke, dass die Domain schon aussagekräftig genug ist (Tip: "heim"netz.de). Ich bitte darum, dies in Zukunft auch zu beachten.
Zum Vergrößern anklicken....

Es ist ein Heimnetz-Form, alles richtig.
Trotzdem darf man doch einen einigermaßen professionellen Anspruch haben, oder?
Ein Musiker muss doch auch nicht eine 100 Euro Gitarre nehmen wenn er nur zu Hause spielt. Er kann auch die 1000 Euro Gitarre nehmen.

Und ich sag auch ganz klar, wenn jemand keine Ahnung hat und nur einfaches machen möchte, dann ist die FB OK.
Will man ein bisschen mehr, stößt man sehr schnell an Grenzen.
Ich habe das alles hinter mir. Mehrere Fritz!Boxen gekoppelt etc. pp.

Gruß
sven
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
7.490
Beiträge
73.167
Mitglieder
8.015
Neuestes Mitglied
pinguinpetzi

Teilen

Zurück
Oben