VLAN hinter Fritzbox und WLAN Mesh?

[alev85253]

Hallo
Ich bin neu hier und möchte mich kurz vorstellen. Ich bin jenseits der 60 und im Ruhestand. IT Themen haben beruflich nur als Nutzer betroffen. Bin also absoluter Laie.

Ich habe in einer Doppelhaushälfte einen O2 DSL Anschluss eine FritzBox 7490 und 2 Fritz WLAN Repeater. Die FritzBox nimmt Faxe entgegen und verteilt diese per Mail bzw. sendet via Roger Router Faxe in die Welt. Mit der FritzFon App telefonieren wor im Festnetz. Das funktioniert soweit ganz gut. Allerdings mehren sich im Haushalt Geräte die im Netzwerk hängen und ich keine Ahnung habe, was die so treiben (z.B. Smart-TV).

Nach einigen YT Videos habe ich verstanden dass VLANs die Lösung sein könnten. Und offenbar ist Unifi der Anbieter, der das alles kann, außer die Telefonie. Die Frage ist dabei. Ob man in der heutigen Zeit sein Vertrauen einem US Unternehmen schenken sollte.

OenWRT soll das auch können, aber da muss man wohl zuerst das Thema in der Theorie verstanden haben.

Welche Lösung würdet ihr mir empfehlen, um meine Anforderungen zu erreichen?

Sollte das Thema in diesem Bereich falsch sein, würde ich mich freuen, wenn ein Admin es an die richtige Stelle schiebt.

Ich freue mich auf den Austausch.

Beste Grüße

 

[Loxley]

Guten Tag @alev85253,
willkommen im Forum. Was genau möchtest Du erreichen in dem Du mit VLAN Dein Netz unterteilst?

 

[the other]

Moinsen,
Da gibt es sicherlich verschiedene Möglichkeiten...
1. Herausfinden welche Seiten der zb smart tv benötigt für updates...notieren.

Dann ist eben auch die Frage, wo du auf der Skala zwischen "bequem, alle Funktionen nutzbar" und "Datenschutz, kaum smarte Funktionen nutzbar" dein persönliches Ziel siehst.
2. Du kannst ja radikal den smart TV komplett alle Netzwerkverbindungen nach aussen verbieten (Filter der fritzbox als 1. Option )...Und nur ab und an für Updates zulassen.
3. Oder du schaltest einen Filter a la pihole dazwischen. Läuft auf einem raspi oder docker...das filtert dann auch einges Anfragen und Plaudereien weg (die richtige Liste vorausgesetzt ) .

Vlans sind da per se nicht die Lösung, die teilen dir zwardein LAN in Subnetze ein, so dass du zb alle smart home / IoT Dinge in dem einen VLAN gruppieren kannst, aber die Frage nach dem "Sicherheit vs. Anwenderfreundlichkeit" Thema bleibt...

Hier ist der TV nur ab und an im Netz, hängt hinter einigen Filtern und hat in der Firewall wenig Spielraum.

Mit unifi ginge so etwas auch, sonst auch mit zb draytek Routern, die auch vlan-fähige Modelle haben. Aber wie gesagt, VLANs gehen zunächst an der eigentlichen Frage vorbei.

 

[alev85253]

Hallo @Loxley ,
ich möchte 3 getrennte Netzwerkbereiche einrichten. Einen Heimbereich in dem alle Nutzer mit Rechnern und mobilen Geräten und unser NAS erreichbar sind, einen Bereich für die Geräte wie Fernseher, Thermomix, etc und eine Gastbereich für Besucher. Die Geräte aus dem Heimbereich sollten die Geräte erreichen können aber eine Verbindun in die andere Richtung sollte nicht möglich sein. Der Gastbereich soll ganz abgeschottet sein.

 

[alev85253]

Hallo @the other ,
vielen Dank für deine ausführliche Antwort. Mein Ziel ist schon beides, eine hohe Sicherheit und einen smarte funktionalität. Wenn das mit VLAN nicht geht, dann habe ich das konzept wohl noch nicht richtig verstanden.
Einen pi-hole hatte ich schon mal installiert, als die Kinder noch im Haus waren. Aber ich wüßte ehrlich jetzt nicht, wie mir der jetzt weiter helfen kann. Das Szenario wäre ja, dass ein Gerät angegriffen wird und dann im Netzwerk sein unwesen treiben kann. Da spielt es je nicht die große Rolle ob das Gerät immer nur kurz im Netz hängt. Aber es kann auch gut sein, dass ich das Thema noch nicht ausreichend verstanden habe.

 

[the other]

Moinsen,
Okay, das hört sich dann ja doch bereits nach einer konkreten Idee an bei einigen netzwerkfähigen dummen IoT Geräten, die du nennst.
Unifi ist eben nett, weil die wlan APs von denen gut funktionieren, alles über eine GUI verwaltet wird und das System gut mit Aktualisierungen versorgt wird. Auch ist die Lernkurve bei weitem nicht so steil wie bei zb mikrotik oder openwrt.
Alternative wäre dann auch eine opnsense als Router/ Firewall...
Die Idee mit den VLANS ist absolut gut, um intern sauber zu trennen. Nutze ich ebenfalls seit Jahren hier.
Die fritzbox belassen (inkl. Telefonie), entweder vor oder hinter dem neuen Router ist auch möglich. Nur eben fürs wlan braucht es dann andere Geräte (die eben auch verschiedene wlan Netze ausstrahlen können > VLANS )

 

[the other]

Moinsen,

Einen pi-hole hatte ich schon mal installiert, als die Kinder noch im Haus waren. Aber ich wüßte ehrlich jetzt nicht, wie mir der jetzt weiter helfen kann.

Naja, indem du spezielle Listen einpflegen, die auch tracking usw sperren. Und: die wichtigen Seiten für update auf die whitelist, alles andere blocken...ist aber nur ne Idee.

Generell: viele unterschiedliche Geräteklassen sind imho auch im Heimnetzwerk ein Grund für VLANs. Wichtig ist dann eben, wie die Regeln etabliert werden...egal ob dns Filter oder Trennung auf L3 (nach IPs). Das Segmentieren des LANs macht es aber schon mal einfacher, weil überschaubarer.

 

[alev85253]

Danke @the other , dann habe ich es doch nicht ganz falsch verstanden.

Das mit der Lernkurve ist ein guter Punkt. OpenWRT macht mir da schon ein wenig Angst. Andererseits könnte man so alten Geräten neues Leben einhauchen. Hat ja auch was ;-)

Es wäre somit eine Lösung, die Fritzbox als Modem und für die Telefonie weiter zu nutzen und dahinter dann die Unifi Geräte (Cloud Gateway, Switch, Accesspoints).

Ist man bei den Geräten immer an einen Hersteller gebunden oder kann man da auch mischen, also z.B. Accespoints eines anderen Herstellers verwenden, soweit diese VLAN beherschen?

 

[the other]

Moinsen,
Kannst sicher auch andere Hersteller nehmen...wenn aber eh unifi als Router, dann würde ich persönlich auch die zugehörige AP Sorte nehmen...das ist ja der Vorteil. Alles in einer Ansicht, zentral zu konfigurieren, zu administrieren...ohne zig unterschiedliche Logins und Menues...
Wenn das nicht wichtig ist, dann braucht es auch nicht zwingend unifi. Wie gesagt, die opnsense wäre eine Alternative.
Und rein von der fritzbox kommend: viel zu lernen steht dann eh an.
Flache Lernkurve bei unifi, etwas steiler bei pfsense und opensense, noch steiler bei mikrotik und openwrt (nach meinem Empfinden jedenfalls).
Egal wie: du kannst die Fritzbox als Internetrouter so belassen und der neue Router spannt dann dahinter das eigentliche LAN auf. Auch hier gibt es dann wieder verschiedene Optionen (doppel NAT oder nicht...).
Aber eins nach dem anderen.

 

[Loxley]

Vor jahren habe ich das aus diversen Gründen so realisiert in dem ich mehrere Router kaskadiert habe. Die "Unternetze" 2 und 3 haben keinerlei Zugriffsmöglichkeiten zueinander und besitzen auch andere IP-Adressen.
Das funktioniert auch mit alten Geräten und man muss nicht über VLAN nachdenken.

 

[alev85253]

Hallo @Loxley , vielen Dank!
Aus dem Netz 1 lassen sich dann die Netze 2 und 3 erreichen? Oder hab ich das falsch verstanden. Wie muss man das dann einstellen?

 

[Loxley]

Also von Netz 2 und Netz 3 kannst Du Netz 1 erreichen, aber nicht umgekehrt.
Einrichten geht so:
Du nimmst einen Router (z.B. #2) und trägst dort eine feste WAN-IP ein (in #1). Die LAN Adressen in den Netzen müssen unterschiedlich sein.
Konkretes Beispiel: #1 = 192.168.1.0/24 / #2 = 192.168.2.0/24 / #3= 192.168.3.0/24
#2 WAN-Adresse 192.168.1.x / #3 WAN-Adresse 192.168.1.y
Aus allen 3 Netzen kann man das Internet erreichen (falls nicht in der Firewall blockiert). Aus Netz 2 kann man auf Adressen in Netz 1 zugreifen und aus Netz 3 kann man auf Adressen in Netz 1 zugreifen. (1 -> 2 / 1 -> 3 / 2 -> 3 klappt nicht.)
Sollte es notwendig sein in Netz 2 einen Port freizuschalten muss der ebenfalls in Netz 1 freigeschaltet sein (Ziel ist die WAN-Adresse von Router 2).

 

[alev85253]

Ok, ich glaube, ich habe das verstanden. Ich müsste dann aber auch mehrere WLAN Netze betreiben. Da ich mit einem AP nicht mein ganzes Wohnhaus versorgen kann, müsste ich dann zusätzliche Repeater installieren, richtig?

 

[Loxley]

Das ist richtig. Kommt halt darauf an wo z.B. Deine IoT Geräte installiert sind die Du isoliert betreiben möchtest. Vielleicht brauchst Du ja nicht alle Netze überall im Haus.

 

[alev85253]

Ja, das schaue ich mir an. Vielleicht geht das, auch so