Zwei vLAN ĂŒber eine Devolo Powerline
- Ersteller Stationary
- Erstellt am
Stationary
Well-known member
Das heiĂt, ich setze, nur mal als Beispiel LAN Port 1 Fritzbox-Heimnetz mit VLAN id 10, LAN Port 4 mit Fritzbox-Gastnetz mit VLAN id 20 und LAN Port 5 als Verbindung zum Devolo mit VLAN id 10 und VLAN id 20. Habe ich das so richtig verstanden?
blurrrr
Well-known member
So... könnte z.B. so aussehen:
Ist leider nicht immer so 100%ig was die Hersteller so treiben, aber in der Theorie gibt es noch die sogenannte "PVID" (einmalig pro Port, ebenso wie man einen Port nur einmalig "untagged" setzen kann (mehrfach wĂ€re dann immer "tagged")). Damit kannst Du noch Pakete ohne Markierung in ein VLAN schubsen (ohne, dass der Port auf "untagged" gesetzt wird). Ist dann quasi sowas wie das "Default-VLAN". In diesem Beispiel wĂ€re es z.B. der Switch-Port zum Devolo. Dort werden bereits markierte Pakete schon weitergeleitet (10+20), dafĂŒr mĂŒssten sie schon ein entsprechendes Tag "haben" (so wie der Mac z.B., der in diesem Fall sein Tag selbst setzt). FĂŒr Pakete ohne Markierung könnte man nun besagten Switch-Port (zum Devolo) mit der PVID "10" versehen, womit dann alles andere im normalen "LAN" landet.
Ist leider nicht immer so 100%ig was die Hersteller so treiben, aber in der Theorie gibt es noch die sogenannte "PVID" (einmalig pro Port, ebenso wie man einen Port nur einmalig "untagged" setzen kann (mehrfach wĂ€re dann immer "tagged")). Damit kannst Du noch Pakete ohne Markierung in ein VLAN schubsen (ohne, dass der Port auf "untagged" gesetzt wird). Ist dann quasi sowas wie das "Default-VLAN". In diesem Beispiel wĂ€re es z.B. der Switch-Port zum Devolo. Dort werden bereits markierte Pakete schon weitergeleitet (10+20), dafĂŒr mĂŒssten sie schon ein entsprechendes Tag "haben" (so wie der Mac z.B., der in diesem Fall sein Tag selbst setzt). FĂŒr Pakete ohne Markierung könnte man nun besagten Switch-Port (zum Devolo) mit der PVID "10" versehen, womit dann alles andere im normalen "LAN" landet.
blurrrr
Well-known member
Korrekt, Port 1 10/untagged, Port 4 20/untagged, Port 5 10+20/tagged
EDIT: Wenn Du woanders noch einen Switch hĂ€ttest, könntest Du da das gleiche machen, hĂ€tte den Vorteil, dass man die Clients halt nicht anfassen muss, dann wĂ€re es das gleiche... zum Devolo hin wieder "tagged" (mit allen VLANs die durch sollen) + untagged Ports fĂŒr GerĂ€te, die direkt am Switch angeschlossen sind und in ein entsprechendes VLAN sollen.
Stationary
Well-known member
Das war die Idee: hinter jeden Devolo einen Switch, der das wieder umkehrt. Damit die Clients bleiben können, wie sie sind.
Und fĂŒr 22 Euro ist das recht gĂŒnstigâŠ
Edit: Habe fĂŒrs Erste mal zwei StĂŒck bestellt.
Zuletzt bearbeitet:
Stationary
Well-known member
Wenn man von diesem Fall ausgeht:
Wenn da nun am Devolo ein Switch mit LAN Port 5 hĂ€ngt, der bekommt vom Devolo als auch ungetaggte Pakete. Kann man dem Switch auch vorgeben, daĂ ungetaggte Pakete wie solche mit VLAN id 10 zu behandeln sind, also ĂŒber den fĂŒr das Heimnetz zustĂ€nden LAN Port 1 auszuleiten sind? Oder verwirft der Switch dann die Pakete, weil er nicht weiĂ, wohin er sie verteilen soll?
Was macht so ein Switch eigentlich mit ungetaggten Paketen, die vom Devolo an LAN Port 5 einlaufen? Die Devolos fungieren bisher auch als WLAN Accesspoints. Tablets, Smartphones, Scanner oder auch die Laptops schicken ihren Traffic ĂŒber Wifi an die Devolos, die schieben das dann durch das Stromnetz Richtung Fritzbox, Diskstation, Drucker etc.
Wenn da nun am Devolo ein Switch mit LAN Port 5 hĂ€ngt, der bekommt vom Devolo als auch ungetaggte Pakete. Kann man dem Switch auch vorgeben, daĂ ungetaggte Pakete wie solche mit VLAN id 10 zu behandeln sind, also ĂŒber den fĂŒr das Heimnetz zustĂ€nden LAN Port 1 auszuleiten sind? Oder verwirft der Switch dann die Pakete, weil er nicht weiĂ, wohin er sie verteilen soll?
Zuletzt bearbeitet:
Barungar
Well-known member
Normal definiert man in einem Switch eine PVID (Port VLAN ID)... das ist die VLAN-ID, denen eingehende Pakete ohne Tag auf einem Port zugeordnet werden. Um also Deine Frage zu beantworten: "Alles was ohne VLAN-Tag auf einem Port reinkommt, wird dem default VLAN (PVID) des Ports zugeordnet."
Beispiel fĂŒr eine Konfiguration auf Port 5 wĂ€re z.B. PVID 10, VLAN 10 untagged, VLAN 20 tagged und VLAN 30 tagged.
Das bedeutet, dass der Port 5 die VLANs 10, 20 und 30 zulÀsst - Pakete anderer VLANs werden verworfen. Der Port selbst sendet VLAN 10 ohne Tag raus, VLAN 20 und 30 werden mit Tag rausgesendet. Pakete, die der Port ohne ein Tag empfÀngt ordnet er dem VLAN 10 zu.
Beispiel fĂŒr eine Konfiguration auf Port 5 wĂ€re z.B. PVID 10, VLAN 10 untagged, VLAN 20 tagged und VLAN 30 tagged.
Das bedeutet, dass der Port 5 die VLANs 10, 20 und 30 zulÀsst - Pakete anderer VLANs werden verworfen. Der Port selbst sendet VLAN 10 ohne Tag raus, VLAN 20 und 30 werden mit Tag rausgesendet. Pakete, die der Port ohne ein Tag empfÀngt ordnet er dem VLAN 10 zu.
Stationary
Well-known member
Ich muĂ ja jetzt noch mal dumm fragen, ich versuche mich da gerade mit Hilfe des Handbuches des bestellten Netgear Switches schlau zu machen und @Barungar âs Hinweise einfliessen zu lassen. Dann geht es Mittwoch mit dem Einrichten vielleicht etwas schneller, einzurichten ist da ja wohl ein âAdvanced 802.1Q-based VLANâ auf den Netgear-GerĂ€ten.
Ausgangspunkt: die Fritzbox hĂ€ngt mit LAN1 [Hauptnetz] an Port1 des Switches 1 und mit LAN4 [Gastnetz] an Port4 des Switches 1. An Port5 des Switches 1 ist der Devolo 1 fĂŒr den Eingang ins Stromnetz angeschlossen.
Die Konfiguration wÀre also (ist das so richtig?)
Port1: PVID 10, VLAN 10 tagged
Port4: PVID 20, VLAN 20 tagged
Port5: PVID 10, VLAN 10 untagged, VLAN 20 tagged
Am anderen âEndeâ des Stromnetzes (des dLANs) sitzt wieder ein Devolo (2), der dort an Port5 eines Switches 2 angeschlossen ist. Dieser ist wie oben (also identisch zum Switch 1) konfiguriert. An LAN4 des Switches 2 sitzt der MacMini.
Der MacMini sendet also jetzt Daten zum Port4 des Switches 2. Dort bekommen die Pakete das Tag VLAN 20 und werden ĂŒber Port5 des Switches 2 and Devolo 2 weitergereicht, der sie durch das Stromnetz an Devolo 1 schiebt. Dieser wiederum ĂŒbergibt diese mit VLAN 20 getaggten Daten an Port 4 des Switches 1, welcher wiederum mit LAN4 der Fritzbox verbunden ist, die Fritzbox empfĂ€ngt diese Daten also im Gastnetz.
An Devolo 2 wird auch ein WLAN des Hauptnetzes angeboten. Ein Wifi-GerÀt, z.B. ein Tablet sendet also Daten per Wifi direkt an Devolo 2. Diese Daten gehen ungetaggt durch das Stromnetz zu Devolo 1. Daten ohne Tag behandelt Port5 des Switches 1 wegen PVID 10 wie VLAN 10. Die Daten bekommen also einen Tag VLAN 10 und werden an Port1 des Switches 1 weitergereicht, gehen dann an der Fritzbox auf LAN1 ein.
Habe ich das soweit richtig verstanden?
Woher kennt der MacMini seine IP im Gast-Netzwerk VLAN20? Und was ist mit den GerÀten im Hauptnetz VLAN 10? Die Fritzbox macht ja sonst den DHCP Server und verteilt die Adressen, reichen die Switches die dann weiter?
Ausgangspunkt: die Fritzbox hĂ€ngt mit LAN1 [Hauptnetz] an Port1 des Switches 1 und mit LAN4 [Gastnetz] an Port4 des Switches 1. An Port5 des Switches 1 ist der Devolo 1 fĂŒr den Eingang ins Stromnetz angeschlossen.
Die Konfiguration wÀre also (ist das so richtig?)
Port1: PVID 10, VLAN 10 tagged
Port4: PVID 20, VLAN 20 tagged
Port5: PVID 10, VLAN 10 untagged, VLAN 20 tagged
Am anderen âEndeâ des Stromnetzes (des dLANs) sitzt wieder ein Devolo (2), der dort an Port5 eines Switches 2 angeschlossen ist. Dieser ist wie oben (also identisch zum Switch 1) konfiguriert. An LAN4 des Switches 2 sitzt der MacMini.
Der MacMini sendet also jetzt Daten zum Port4 des Switches 2. Dort bekommen die Pakete das Tag VLAN 20 und werden ĂŒber Port5 des Switches 2 and Devolo 2 weitergereicht, der sie durch das Stromnetz an Devolo 1 schiebt. Dieser wiederum ĂŒbergibt diese mit VLAN 20 getaggten Daten an Port 4 des Switches 1, welcher wiederum mit LAN4 der Fritzbox verbunden ist, die Fritzbox empfĂ€ngt diese Daten also im Gastnetz.
An Devolo 2 wird auch ein WLAN des Hauptnetzes angeboten. Ein Wifi-GerÀt, z.B. ein Tablet sendet also Daten per Wifi direkt an Devolo 2. Diese Daten gehen ungetaggt durch das Stromnetz zu Devolo 1. Daten ohne Tag behandelt Port5 des Switches 1 wegen PVID 10 wie VLAN 10. Die Daten bekommen also einen Tag VLAN 10 und werden an Port1 des Switches 1 weitergereicht, gehen dann an der Fritzbox auf LAN1 ein.
Habe ich das soweit richtig verstanden?
Woher kennt der MacMini seine IP im Gast-Netzwerk VLAN20? Und was ist mit den GerÀten im Hauptnetz VLAN 10? Die Fritzbox macht ja sonst den DHCP Server und verteilt die Adressen, reichen die Switches die dann weiter?
Barungar
Well-known member
Nein, nicht ganz. Auf Port 1 und Port 4 sollen doch EndgerÀte (FritzBox) sein, oder? Zu EndgerÀten hin geht man in 98% der FÀlle stets untagged.
Port 1: PVID 10, VLAN 10 untagged
Port 4: PVID 20, VLAN 20 untagged
Port 5: PVID 10, VLAN 10 untagged, VLAN 20 tagged
WÀre nach meinem VerstÀndnis, was Du willst/brauchst.
Die FritzBox macht auch weiterhin das, was sie vorher gemacht hat. Da die FritzBox ja auch keine VLANs aktiv unterstĂŒtzt, bekommt die davon auch nicht viel mit. Sie selbst "sieht" zwei Netzwerkverbindungen auf LAN1 zum Heimnetz und LAN4 zum Gastnetz. Das da ein VLAN-fĂ€higer Switch kommt, ist der FritzBox "egal". So habe ich das bei mir Ă€hnlich.
Zuletzt bearbeitet:
Stationary
Well-known member
Vielen Dank fĂŒr die Korrektur, dann fĂŒrs Erste noch eine letzte Frage: die Fritzbox sendet auch ein Gastnetz-wlan aus (nur die Fritzbox, nicht die Devolos). In den seltenen FĂ€llen, in denen ich mal von zu Hause arbeite, buchen sich dort der Laptop und das iPad ein. Wenn Port 4 nun untagged ist, was macht der Switch dann mit den Daten der beiden GerĂ€te? Schiebt er die Daten dann in VLAN 10, wo die IP-Adressen nicht passen?
Oder wÀre das die 2% der FÀlle, bei denen der EndgerÀte-Port doch einen Tag bekommen sollte?
Die beiden DienstgerĂ€te mĂŒssen bei mir zu Hause nirgendwo hin, nicht mal zum Drucker.
Apropos Drucker: wenn das LAN-Interface mit dem Hauptnetz VLAN 10 und das WLAN-Interface mit dem Gastnetz VLAN 20 verbunden wird, sollte der Drucker doch ohne groĂen/weiteren Aufwand aus beiden Netzwerken erreichbar sein, oder?
(O.k., das waren jetzt dann doch zwei Fragen).
Oder wÀre das die 2% der FÀlle, bei denen der EndgerÀte-Port doch einen Tag bekommen sollte?
Die beiden DienstgerĂ€te mĂŒssen bei mir zu Hause nirgendwo hin, nicht mal zum Drucker.
Apropos Drucker: wenn das LAN-Interface mit dem Hauptnetz VLAN 10 und das WLAN-Interface mit dem Gastnetz VLAN 20 verbunden wird, sollte der Drucker doch ohne groĂen/weiteren Aufwand aus beiden Netzwerken erreichbar sein, oder?
(O.k., das waren jetzt dann doch zwei Fragen).
Barungar
Well-known member
Der Switch schiebt die Pakete ins VLAN 20, weil es das PVID fĂŒr den Port ist. Der Switch akzeptiert nur VLAN 20 auf dem Port. Er selbst sendet die VLAN 20 Pakete ohne Tag raus. Und Pakete, die der Switch ohne Tag (von der FritzBox) empfĂ€ngt, ordnet er dem PVID also VLAN 20 zu.
AnschlieĂend können diese Pakete dann (trotzdem) ĂŒber Switch-Port 5 weitergeleitet werden, dann aber mit Tag; weil Port 5 neben VLAN 10 (untagged) auch VLAN 20 (tagged) erlaubt.
Nein. Ein solcher Fall wĂ€re z.B. eine OPNsense, die Du mit einem LAN-Kabel an den Switch anschlieĂt, die dann aber z.B. vier VLANs bekommt, weil sie intern auch passende vier, virtuelle Interfaces hat. Oder ein Server der virtuelle Maschinen bzw. Docker macht, hier könnte man auch mehrere VLANs anliefern, damit die VMs bzw. Container in verschiedene Netze können.
Nein, der Drucker ist niemals aus dem Gastnetz (VLAN 20) erreichbar. Die FritzBox trennt diese Netze und Dein Switch auch. Zwei getrenne VLANs (VLAN 10 und 20) können nicht miteinander kommunizieren. DafĂŒr wĂŒrde es einen Router benötigen, der zwischen dem VLAN 10 und dem VLAN 20 routet; aber dann brauchst Du auch kein Gastnetz mehr. Der Sinn ist ja, dass GerĂ€te im Gastnetz das Internet nutzen können, aber unter keinen UmstĂ€nden an GerĂ€te im Heimnetz (z.B. das NAS oder den Drucker) herankommen.
Stationary
Well-known member
Trotz der beiden Interfaces nicht? Per Kabel im VLAN10 und per Wifi im VLAN20?
Barungar
Well-known member
Genau, der Drucker ist in VLAN 10 ... aus Layer 2-Sicht.
VLAN 10 kannst Du Dir als Menge aller Interfaces vorstellen, die LAN-Ports der FritzBox auĂer Port 4 sind, sowie die Haupt-SSID der FritzBox und alle Ports Deiner Switche, denen eben VLAN 10 zugeordnet ist.
VLAN 20 wiederrum stellt die Menge aller Interfaces dar, die den LAN-Port 4 der FritzBox, die Gast-SSID der FritzBox und alle Ports Deiner Switche, denen eben VLAN 20 zugeordnet ist.
Zwischen VLAN 10 und VLAN 20 ist keine Kommunikation möglich. Daher macht man ja VLANs, weil man Netzwerk-Verkehre trennen will. Das "erkennst" Du auch daran, dass GerĂ€te in VLAN 10 andere IPs haben als GerĂ€te in VLAN 20. GerĂ€te im VLAN 20 erhalten IPs aus dem "Gast-IP-Bereich", egal ob ĂŒber WLAN oder LAN.
Wie ich oben schon mal sagte, wĂŒrde es nun einen Router bzw. eine Firewall benötigen, damit beide VLANs miteinander "sprechen" könnten. Was aber das Prinzip "Gastnetz" ad absurdum fĂŒhrt.
Der Drucker in VLAN 10, kann von keinem GerÀt in VLAN 20 "angesprochen" bzw. genutzt werden.
Edit:
Und, verzeih mir, im Prinzip auch eine SicherheitslĂŒcke... weil es nun im Zweifel auch möglich ist, ĂŒber den Drucker Zugriff auf das LAN (Heimnetz) zu erlangen. Gerade Drucker sind gern gesehene Einfallstore in Netze. Das ist jetzt kein akutes "Loch", aber ein potenzielles Risiko. Weil Du nun ja doch eine Verbindung (auĂer der FritzBox) zwischen beiden Netzen gebaut hast.
VLAN 10 kannst Du Dir als Menge aller Interfaces vorstellen, die LAN-Ports der FritzBox auĂer Port 4 sind, sowie die Haupt-SSID der FritzBox und alle Ports Deiner Switche, denen eben VLAN 10 zugeordnet ist.
VLAN 20 wiederrum stellt die Menge aller Interfaces dar, die den LAN-Port 4 der FritzBox, die Gast-SSID der FritzBox und alle Ports Deiner Switche, denen eben VLAN 20 zugeordnet ist.
Zwischen VLAN 10 und VLAN 20 ist keine Kommunikation möglich. Daher macht man ja VLANs, weil man Netzwerk-Verkehre trennen will. Das "erkennst" Du auch daran, dass GerĂ€te in VLAN 10 andere IPs haben als GerĂ€te in VLAN 20. GerĂ€te im VLAN 20 erhalten IPs aus dem "Gast-IP-Bereich", egal ob ĂŒber WLAN oder LAN.
Wie ich oben schon mal sagte, wĂŒrde es nun einen Router bzw. eine Firewall benötigen, damit beide VLANs miteinander "sprechen" könnten. Was aber das Prinzip "Gastnetz" ad absurdum fĂŒhrt.
Der Drucker in VLAN 10, kann von keinem GerÀt in VLAN 20 "angesprochen" bzw. genutzt werden.
Edit:
Bezieht sich das auf den Drucker? Du hast Deinen Drucker gleichzeitig per LAN-Kabel im VLAN 10 und per Wifi im Gastnetz der FrtizBox? In diesem Fall mĂŒsste der Drucker auch zwei IP-Adressen haben, aus beiden Netzen. In diesem Fall wĂ€re der Drucker natĂŒrlich aus beiden Netzen erreichbar.
Und, verzeih mir, im Prinzip auch eine SicherheitslĂŒcke... weil es nun im Zweifel auch möglich ist, ĂŒber den Drucker Zugriff auf das LAN (Heimnetz) zu erlangen. Gerade Drucker sind gern gesehene Einfallstore in Netze. Das ist jetzt kein akutes "Loch", aber ein potenzielles Risiko. Weil Du nun ja doch eine Verbindung (auĂer der FritzBox) zwischen beiden Netzen gebaut hast.
Stationary
Well-known member
Danke fĂŒr die ausfĂŒhrliche ErklĂ€rung! Noch habe ich den Drucker nicht im Gastnetz. Technisch wĂ€re es möglich, weil er zwei Interfaces hat, bisher nutze ich ihn nur ĂŒber das LAN-Kabel, das wifi ist aus.
Das Gastnetz nutze ich bisher ja nur fĂŒr die ArbeitsgerĂ€te, und da ist alles paperless.
Das mit dem Drucker war nur eine Ăberlegung, ob ich ihn irgendwie auch fĂŒr den MacMini verfĂŒgbar machen kann, falls von dort gedruckt werden muĂ. Ist aber, wie ich Deinen AusfĂŒhrungen entnehme, keine gute Idee.
Es spricht aber vermutlich nichts dagegen, den MacMini so zu konfigurieren, daà das Bootcamp-Windows per Kabel im Gastnetz VLAN 20 hÀngt, das MacOS aber per Wifi im Hauptnetz VLAN 10?
Wenn mal gedruckt werden muĂ, dann vom MacOS aus.
Da Windows und MacOS nicht gleichzeitig laufen, gibt ja auch keine Verbindung der beiden Netze (auĂer der Fritzbox).
Das Gastnetz nutze ich bisher ja nur fĂŒr die ArbeitsgerĂ€te, und da ist alles paperless.
Das mit dem Drucker war nur eine Ăberlegung, ob ich ihn irgendwie auch fĂŒr den MacMini verfĂŒgbar machen kann, falls von dort gedruckt werden muĂ. Ist aber, wie ich Deinen AusfĂŒhrungen entnehme, keine gute Idee.
Es spricht aber vermutlich nichts dagegen, den MacMini so zu konfigurieren, daà das Bootcamp-Windows per Kabel im Gastnetz VLAN 20 hÀngt, das MacOS aber per Wifi im Hauptnetz VLAN 10?
Wenn mal gedruckt werden muĂ, dann vom MacOS aus.
Da Windows und MacOS nicht gleichzeitig laufen, gibt ja auch keine Verbindung der beiden Netze (auĂer der Fritzbox).
Barungar
Well-known member
Ja, technisch und zu 99% auch praktisch ist das möglich.
Aus Sicherheitsgedanken ist es aber eher kritisch, ĂŒber einen Client (also ein GerĂ€t, auch ein Drucker, das kein geschĂŒtzer Router bzw. eine Firewall ist) ein Heim- und Gastnetz zu verknĂŒpfen. Auch wenn der Drucker nicht aktiv die beiden Netze verbindet (routet), so wĂ€re er doch eine möglichlich Ăbergangsstelle um von A nach B zu kommen.
Wenn Du nur hin und wieder mal aus VLAN 20 drucken willst, und das mit einem ĂŒberschaubaren Aufwand. So wĂŒrde ich die WLAN-Karte im Drucker statisch auf eine IP konfigurieren, die im Gastnetz liegt (und ideal auĂerhalb des DHCP-Bereichs) z.B. 192.168.179.250 mit Maske 255.255.255.0 und Gateway 192.168.179.1 (Subnetz basiert auf Standard Fritz Gastnetz). Dann wĂŒrde ich die WLAN-Funktion im Drucker deaktivieren. Wenn dann der akute Bedarf auftritt, wĂŒrde ich (aus dem Heimnetz) auf dem Drucker das WLAN aktivieren. Dann kannst Du aus dem Gastnetz/VLAN 20 drucken. AnschlieĂend wĂŒrde ich das WLAN am Drucker wieder deaktivieren.
Ja, ist ein wenig Aufwand; aber das wĂ€re fĂŒr mein eigenes "SicherheitsbedĂŒrfnis" die einfachste Lösung.
Es obliegt natĂŒrlich Deinem eigenen SicherheitsbedĂŒrfnis, ob Du eine dauerhafte Verbindung machst oder so eine zeitweise Lösung.Ich bin kein Mac-User und kenne Bootcamp nicht. Aber rein technisch sollte ein Mac-VLAN fĂ€hig sein. Dazu mĂŒsstest Du vermutlich folgendes machen. Irgendwo (im Bootcamp oder in den Einstellungen des MiniMac) musst du definieren, dass wenn MacOS gestartet wird, die Netzwerkkarte "normal" genutzt wird (untagged, VLAN irrelevant). FĂŒr den "Windows-Boot" mĂŒsstest Du definieren, dass die Netzwerkkarte als ausschlieĂlich VLAN 20 tagged genutzt wird. Am entsprechenden Switch-Port, an dem der Mini-Mac angeschlossen ist, mĂŒsste dazu natĂŒrlich auch die VLAN-Konfig sein: PVID 10, VLAN 10 untagged & VLAN 20 tagged.
blurrrr
Well-known member
@Stationary, vergiss vllt einfach mal die "physikalische" Infrastruktur und betrachte nur die "logische". Jedes VLAN fĂŒr sich ist etwas eigenstĂ€ndiges. Stell Dir einfach vor, Du hĂ€ttest einfach alles doppelt (ab dem Router). Ein Kabel geht zur LAN-Infrastruktur (mit eigenen Devolos und Switchen) und ein Kabel geht zur Gast-Netz-Infrastruktur. Die WLAN-Clients des Routers (je nach SSID) werden auch ins entsprechende Netz verfrachtet. Es sind - und bleiben - also 2 getrennte Netze. Das mit dem Drucker wird ja vorher auch nicht funktioniert haben
Indeed... blöd ist das in diesem Szenario halt mit dem Router... HĂ€tte man da nun noch eine Firewall, welche man vernĂŒnftig managen könnte, wĂŒrde man z.B. einfach ein drittes Netz machen, da kommt der Drucker rein, dieses Netz darf nirgendwo hin und das LAN, als auch das Gast-Netz dĂŒrfen auf den Drucker zugreifen (LAN->Drucker<-Gast).
Ist er, Anleitung dazu hatte ich hier irgendwo schon gepostet. Ich wĂŒrde aber - wenn sowieso Switche vorhanden sind - eher nicht hingehen und "mal so, mal so" rummachen. Fix ist fix, fertig, alles andere ist doch viel zu stessig... Entweder gibt es noch einen eigenen Drucker, oder man packt kurz was auf einen USB-Stick (sofern vom Drucker unterstĂŒtzt), oder mailt es kurz ans Drucker-Familienoberhaupt. Davon ab... Jugend... Handy... drucken die nicht auch schon ĂŒber's Handy (via Bluetooth)? Ich persönlich find sowas ja gruselig, aber scheint ja doch einige zu geben, die sowas machen
EDIT:
Wenn man 2 von einander abgeschottete Netze hat, ist sowas "niemals" eine gute Idee (das wĂ€re dann die mögliche BrĂŒcke zwischen den beiden Netzen), von daher sowas immer - wie oben erwĂ€hnt - im besten Fall in ein drittes Netz packen, ist bei Dir aber "mal eben" nicht möglich (aber vllt ist das ja auch etwas fĂŒr das nĂ€chste Bastel-Projekt
).
Stationary
Well-known member
MacOS ist VLAN-fÀhig. Man definiert dazu einfach einen virtuellen Netzwerkadapter.
Andererseits hat der MacMini zwei unabhĂ€ngige Betriebssysteme, von denen immer nur eines zur Zeit laufen kann. AuĂerdem hat er natĂŒrlich einen LAN- und einen WLAN-Adapter Auch hier erkennt die Fritzbox unterschiedliche Adapter und kann zwei verschiedene IP-Adressen vergeben. Wenn nun das Windows nur ĂŒber den LAN-Port ins Gastnetz VLAN 20 darf (und WLAN abgeschaltet ist) sehe ich erst einmal kein Problem, wenn nach einem Neustart unter MacOS der LAN-Adapter abgeschaltet ist und das MacOS dann per WLAN ins Hauptnetz VLAN 10 kommen darfâŠund dort dann auch drucken dĂŒrfte.
Mache ich da einen Denkfehler?
Mein Problem ist das Windows, das ich aussperren will. Die Zockerei und die unkontrollierbaren Downloads finden unter Windows statt.
Drucken per USB wĂ€re natĂŒrlich eine Option, erfordert aber, daĂ die Dateien in einem druckbaren Format vorliegen. Mal eben die pptx der SchulprĂ€sentation ausdrucken geht dann nicht mehr, da muĂ ein PDF her. Sollte die Zielgruppe aber hinbekommen.
Habe ich ja. Daher die Annahme, daĂ mein Drucker theoretisch im Netzwerk 2 IP-Adressen bekommen könnte, nĂ€mlich eine mit dem LAN-Port und eine andere (gleichzeitig) ĂŒber WLAN, wobei die Fritzbox da ja auch zwei unterschiedliche MACs erkennt. Wenn das kein Sicherheitsproblem wĂ€re (darum mache ich das nicht) könnte der Drucker mit dem LAN-AnschluĂ in VLAN 10 hĂ€ngen und mit dem WLAN in VLAN 20. Da das eine unerwĂŒnschte BrĂŒcke gibt, wenn beide NetzwerkzugĂ€nge gleichzeitig aktiv sind, ist das unsicher und ich werde diese hypothetische Möglichkeit nicht realisieren.
Andererseits hat der MacMini zwei unabhĂ€ngige Betriebssysteme, von denen immer nur eines zur Zeit laufen kann. AuĂerdem hat er natĂŒrlich einen LAN- und einen WLAN-Adapter Auch hier erkennt die Fritzbox unterschiedliche Adapter und kann zwei verschiedene IP-Adressen vergeben. Wenn nun das Windows nur ĂŒber den LAN-Port ins Gastnetz VLAN 20 darf (und WLAN abgeschaltet ist) sehe ich erst einmal kein Problem, wenn nach einem Neustart unter MacOS der LAN-Adapter abgeschaltet ist und das MacOS dann per WLAN ins Hauptnetz VLAN 10 kommen darfâŠund dort dann auch drucken dĂŒrfte.
Mache ich da einen Denkfehler?
Mein Problem ist das Windows, das ich aussperren will. Die Zockerei und die unkontrollierbaren Downloads finden unter Windows statt.
Drucken per USB wĂ€re natĂŒrlich eine Option, erfordert aber, daĂ die Dateien in einem druckbaren Format vorliegen. Mal eben die pptx der SchulprĂ€sentation ausdrucken geht dann nicht mehr, da muĂ ein PDF her. Sollte die Zielgruppe aber hinbekommen.
Zuletzt bearbeitet:
blurrrr
Well-known member
Sofern man unter OSX nirgendwo den WLAN-SchlĂŒssel auslesen kann, sollte das funktionieren... Falls doch.... schwierig... wĂ€re dann ja ein leichtes den WLAN-SchlĂŒssel auch auf die Windows-Installation zu ĂŒbertragen...
EDIT: Dinge wie MAC-Spoofing (Ănderung der MAC) fĂŒr die WLAN-Adapter, um die ZugĂ€nge via Fritzbox zu kontrollieren, hab ich jetzt mal aussen vor gelassen (sowas lĂ€sst sich leicht mit administrativen Rechten (oder gar einer Neuinstallation) umgehen). WĂ€re halt eher eine schĂ€bige Bastellösung. Alternativ kann man noch so richtig auf die Pauke hauen (da kommste mit diesen Switchen aber nicht hin), noch einen Radius aufsetzen und dann mit entsprechenden Switchen die Authentifizierung "am Port" mittels Radius fahren und je nach Login, wird der Client in ein entsprechendes VLAN gedrĂŒckt (leichter Lesestoff). Das ist dann aber schon die wirklich "dicke" Lösung... Vielleicht doch mal den "Firewall"-Gedanken ins Auge fassen...
Allerdings frage ich mich grade, ob es nicht theoretisch auch möglich wĂ€re, wenn das ganze via VPN realisiert wird (ggf. noch direkt als on-demand unter OSX). Sobald der Drucker angesprochen wird, wird eine VPN-Verbindung (vom Gastnetz raus und dann rein ins LAN) aufgebaut (ich hör schon die Steine fliegen...
). Dazu eine selbstgebastelte VPN-Config, welche nur den Zugriff auf den Drucker erlaubt.... aber ich glaub... ich bin jetzt besser mal ganz still... 
EDIT: Dinge wie MAC-Spoofing (Ănderung der MAC) fĂŒr die WLAN-Adapter, um die ZugĂ€nge via Fritzbox zu kontrollieren, hab ich jetzt mal aussen vor gelassen (sowas lĂ€sst sich leicht mit administrativen Rechten (oder gar einer Neuinstallation) umgehen). WĂ€re halt eher eine schĂ€bige Bastellösung. Alternativ kann man noch so richtig auf die Pauke hauen (da kommste mit diesen Switchen aber nicht hin), noch einen Radius aufsetzen und dann mit entsprechenden Switchen die Authentifizierung "am Port" mittels Radius fahren und je nach Login, wird der Client in ein entsprechendes VLAN gedrĂŒckt (leichter Lesestoff). Das ist dann aber schon die wirklich "dicke" Lösung... Vielleicht doch mal den "Firewall"-Gedanken ins Auge fassen...
Allerdings frage ich mich grade, ob es nicht theoretisch auch möglich wÀre, wenn das ganze via VPN realisiert wird (ggf. noch direkt als on-demand unter OSX). Sobald der Drucker angesprochen wird, wird eine VPN-Verbindung (vom Gastnetz raus und dann rein ins LAN) aufgebaut (ich hör schon die Steine fliegen...
). Dazu eine selbstgebastelte VPN-Config, welche nur den Zugriff auf den Drucker erlaubt.... aber ich glaub... ich bin jetzt besser mal ganz still...
Zuletzt bearbeitet:
Stationary
Well-known member
Vom Gesichtspunkt Sicherheit/Angreifbarkeit her oder eher vom Gesichtspunkt âjugendlicher Pseudohacker versucht Sperre zu umgehenâ?
In OSX bekomme ich den SchlĂŒssel natĂŒrlich aus der Keychain ausgelesen.
