Wie kann ich ein per WLAN connected Gerät in ein VLAN zwingen?

framp

framp

Active member
Bei mir laufen eine Menge Sensoren @home und IOT sollte man ja vom lokalen Netz separieren. Die Sensoren sind von mir programmiert und somit weiss ich dass die keinen Unfug bei mir @home treiben

Allerdings habe ich zwei Geräte, die nicht unter meiner Kontrolle sind und ich würde die gerne in ein VLAN zwingen. Leider connecten die sich wie alle meine Sensoren per WLAN an meine APs und habe somit Zugriff auf mein Heimnetzwerk.

Hat jemand eine Idee wie ich das hinbekommen kann?
 
Zuletzt bearbeitet:
Die Idee einen dedizierten AP aufzusetzen der in einem VLAN hängt, hatte ich auch schon. Das dumme ist, dass alle meine APs per Kabel mit der Fritzbox im Keller verbunden sind. Und es gibt nur pro Stockwerk eine ETH Verbindung nach unten. D.h. ich könnte das nur hinbekommen, wenn ich im Keller neben der FB einen dedizierten AP mit eigener SSID aktiviere. Das klappt aber aus dem 2ten Stock mit den Betondecken nicht so gut :(

Zur zweiten Frage: Es sind AVM Repeater, die per ETH von jedem Stockwerk an der FB im Keller angeschlossen sind. Dort habe ich einen Zyxel manged Switch GS1200-8 der VLAN kann. Das soll aber kein Hinderungsgrund sein. Ich würde mir auch andere HW besorgen wenn ich wüßte mit welcher ich das hinbekomme.
 
Von AVM Hardware habe ich keine Ahnung... kann die Software VLAN?
In meinem Kopf ist die Lösung einfach:
1. Ein WLAN einrichten, dass nur in diesem VLAN unterwegs ist (wenn AVM Software das kann)
2. Am Switch das VLAN auf Ports von Fritte / alle APs legen
3. Diesem VLAN in der Fritte verbieten mit dem Internet zu sprechen.
 
Zu 1:
Und die beiden Geräte mit diesem WLAN verbinden...

Hier stellt sich mir dann aber die Frage, was genau mit "Allerdings habe ich zwei Geräte, die nicht unter meiner Kontrolle sind" gemeint ist...
 
@framp Ein Kabel reicht... Du musst nur an beiden Enden des Kabels einen "smarten Switch" haben, dann kannst Du über ein Kabel 4096 VLANs übertragen.
 
Das ist nicht ganz richtig... Fritz Produkte können VLAN, aber leider nur auf der WAN-Seite (also zum Internet hin). Die Aussage stimmt für die LAN-Seite, da werden konsequent keine VLANs unterstützt. Was ich sehr bedauerlich finde, wenn es auf der WAN-Seite geht, gibt es eigentlich keinen Grund, es nicht auch auf der LAN-Seite zu implementieren.
 
Moin,

@framp Du hast doch sicherlich noch irgendwo ein paar Raspis rumliegen - vllt nimmste einfach sowas. Jo, ist ggf. nur 1x LAN vorhanden, aber dann ist es halt einmal ohne (LAN, z.B. eth0) + nochmal extra mit VLAN (z.B. eth0.10), somit könnte darüber auch gerouted werden. Schön ist aber relativ, von daher kannst Du auch einfach etwas mit 2+ Ports nehmen. Ist dann wie @Barungar es schon sagte:
Barungar schrieb:
dann kannst Du über ein Kabel 4096 VLANs übertragen
Zum Vergrößern anklicken....
Das ist dann halt ein Trunk (Bündelung). Kannst mal hier reinschauen, da ist das ganz gut erklärt. Wichtig ist nur zu verstehen, dass es "eigene Netze" sind. Heisst: Wenn Du "nur" eine Fritz!Box hast, die Fritz!Box nur in "einem" Netz (naja, 2 mit Gastzugang) sein kann, wird Dir für ein 3. Netz z.B. der DHCP-Server, etc. fehlen. Etwas in Richtung Firewall würde sich da anbieten, denn - je nach gewünschtem Konstrukt, kannst Du dann mitunter auch noch etwas Feintuning betreiben.

Wenn Du aber "nur" bestimmten Kram in ein eigenes Netz packen willst, ist das alles völlig überflüssig. Nimmste einfach einen Accesspoint, welcher ein eigenes Netz für die Clients bereitstellen kann und fertig ist. Der übernimmt dann i.d.R. auch direkt das Routing (via LAN-Schnittstelle dann eben in Dein LAN).

Ist also wie immer: Im besten Fall weiss man vorher schon, was man eigentlich genau haben will 🙃
 
blurrrr schrieb:
Ist also wie immer: Im besten Fall weiss man vorher schon, was man eigentlich genau haben will
Zum Vergrößern anklicken....
Eigentlich weiss ich das - habe es aber bewusst nicht geschrieben, da ich aus Erfahrung weiss, dass häufig eine Lösung, die man sich mit geringen Kenntnissen der Materie überlegt hat, nicht die optimale ist sondern es bessere gibt.

Ich stelle mir ein AP vor, in dem ich je nach MAC ein VLAN zuweisen kann und ein Default VLAN existiert, in welches alle Clients reinfallen, für die nichts definiert ist. Das drösel ich dann unten im Keller wieder auseinander.
blurrrr schrieb:
Nimmste einfach einen Accesspoint, welcher ein eigenes Netz für die Clients bereitstellen kann und fertig ist.
Zum Vergrößern anklicken....
Oben habe ich ja schon geschrieben dass ich das als eine Option sehe. Allerdings müßte ich dann neue Kabel von den verschiedenen Stockwerken in den Keller ziehen - und das ist zu aufwändig für meinen Usecase. Denn ein dedizierter AP im Keller wird durch die zwei Betondecken aus dem ersten Stock nicht mehr gut funktionieren. Was ich machen könnte, wäre das Gastnetz dafür zu missbrauchen. Das wird ja an jedem AP pro Stockwerk angeboten und ich hätte das Reichweitenproblem in den Keller nicht. Meine Gäste lasse ich sowieso immer ins normale Netz. Aber der ricthige Weg ist die Nutzung von VLAN.

Raspis als AP zu konfigurieren die dann diese Funktion erfüllen wäre eine Option. Ob das geht weiss ich nicht. Auch wird die RPi keinen Mesh Support haben den ich nicht missen möchte.

tiermutter schrieb:
Hier stellt sich mir dann aber die Frage, was genau mit "Allerdings habe ich zwei Geräte, die nicht unter meiner Kontrolle sind" gemeint ist...
Zum Vergrößern anklicken....

Es sind Geräte die nach Hause funken und ich nicht weiss was sie da treiben. Meine Sensoren habe ich selbst programmiert und die funken nur per MQTT zu meinem Mosquitto ;)

blurrrr schrieb:
st ggf. nur 1x LAN vorhanden, aber dann ist es halt einmal ohne (LAN, z.B. eth0) + nochmal extra mit VLAN (z.B. eth0.10), somit könnte darüber auch gerouted werden
Zum Vergrößern anklicken....
Hm ... also sollte eine RPi zwei APs connected haben, eines für @home und eines für @iot und die beiden in verschiedene VLANs stecken. D.h. ich bräuchte noch mal 3 APs und 3 RPis. Ist ein möglicher Weg. Finde ich aber etwas HW überlastet.

Barungar schrieb:
Fritz Produkte können VLAN, aber leider nur auf der WAN-Seite
Zum Vergrößern anklicken....
Interessante Info. Hast Du da einen Doc Link?
 
framp schrieb:
habe es aber bewusst nicht geschrieben, da ich aus Erfahrung weiss, dass häufig eine Lösung, die man sich mit geringen Kenntnissen der Materie überlegt hat, nicht die optimale ist sondern es bessere gibt.
Zum Vergrößern anklicken....
Das mag ja sein, aber so gibt es eine bessere Vorstellung von dem, was Du schlussendlich damit erreichen willst :)

framp schrieb:
Ich stelle mir ein AP vor, in dem ich je nach MAC ein VLAN zuweisen kann und ein Default VLAN existiert, in welches alle Clients reinfallen, für die nichts definiert ist.
Zum Vergrößern anklicken....
Da reichen Dir keine z.B. 4+ SSIDs? Könntest halt pro SSID ein VLAN nutzen (muss der AP natürlich auch hergeben). Wenn VLAN per MAC, dann fällt mir so ad-hoc erstmal RADIUS zu dem Thema ein (z.B. MAC+MPSK/PPSK).

framp schrieb:
Allerdings müßte ich dann neue Kabel von den verschiedenen Stockwerken in den Keller ziehen
Zum Vergrößern anklicken....
Warum? Solange "eine" Strippe vorhanden ist, kannst Du machen was Du willst, sofern natürlich auch entsprechende Hardware bzgl. VLANs vorhanden ist. Mit Fritz!Repeatern oder dergleichen wird es nicht funktionieren.

framp schrieb:
Was ich machen könnte, wäre das Gastnetz dafür zu missbrauchen. Das wird ja an jedem AP pro Stockwerk angeboten und ich hätte das Reichweitenproblem in den Keller nicht. Meine Gäste lasse ich sowieso immer ins normale Netz.
Zum Vergrößern anklicken....
Na dann mach das doch einfach?

framp schrieb:
Raspis als AP zu konfigurieren die dann diese Funktion erfüllen wäre eine Option. Ob das geht weiss ich nicht. Auch wird die RPi keinen Mesh Support haben den ich nicht missen möchte.
Zum Vergrößern anklicken....
Einfach mal ausprobieren :) Was willst Du mit Mesh-Support? Ich dachte es geht um IoT-Geräte? Die sind doch meistens eher stationär, oder nicht? Für den Rest kannst Du ja weiterhin die vorhandene WiFi-Infrastruktur nutzen (oder Du nutzt halt - wie oben angedeutet - das Gast-WLAN dafür).

framp schrieb:
Es sind Geräte die nach Hause funken und ich nicht weiss was sie da treiben.
Zum Vergrößern anklicken....
Könnte man da nicht ggf. auch mit Hausmitteln (Fritz!Box-Filter) Abhilfe schaffen?

framp schrieb:
Interessante Info. Hast Du da einen Doc Link?
Zum Vergrößern anklicken....
Siehe z.B. hier und hier.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
7.716
Beiträge
75.450
Mitglieder
8.320
Neuestes Mitglied
onliner

Teilen

Zurück
Oben