DMZ mit 2 FB, NAS und zentral einem Switch? VLAN...

C

ClearEyetemAA55

Experte
Thread Starter
Mitglied seit
29.12.2015
Beiträge
2.563
Ort
FFM
Here we go...

Vorhanden sind:
2 Fritzboxen
7412 mit WAN, 1xLAN-100mbit, WLAN, DECT
7490 mit WAN, 4x1000mbit, WLAN, DECT
und
1 NAS mit QuadNIC --> Link Aggregation

Der HP 1820 Switch kann VLAN

Ich möchte gerne:
1) Von Fritzbox-7412 (Modem)
2) zum zentralen Knotenpunkt, dem 8er HP-Switch
3)und dann zum WAN der Fritz-7490
Die Fritz-7490 übernimmt dann im internen Netzwerk
a) DNS/DHCP
b) WLAN-AP (SONOS und sonstige mobile Geräte)
c) DECT fürs Festnetztelefon

Kann ich also
I.) mit Hilfe des Switch, bzw. durch die vlanfunktion
die Verbindung von Fritzbox-7412--->(Port1)Switch(Port2)-->Fritz-7490(WAN)
und von der
Fritz-7490-->(Port3)Switch und ab da ins interne LAN verbinden?

Und II.) wie konfiguriere ich Ports5-8 (NAS/Linkaggregation) für den Zugriff sowohl aus der DMZ als auch aus dem internen Netzwerk?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn es nicht unbedingt erforderlich ist würde ich
die Verbindung von Fritzbox-7412--->(Port1)Switch(Port2)-->Fritz-7490(WAN)
Zum Vergrößern anklicken....
nicht über den Switch laufen lassen, weil du dir nur eine unnötige(?) Fehlerquelle rein holst, bei der dir auch nur ganz wenige Leute helfen können wenn es mal zu Problemen kommt.

wie konfiguriere ich Ports5-8 (NAS/Linkaggregation) für den Zugriff sowohl aus der DMZ als auch aus dem internen Netzwerk?
Zum Vergrößern anklicken....
Eigentlich gar nicht. Du baust auf dem WAN Router* eine DMZ, das kannst du per VLAN an den Switch anbinden und dann mit 4x Gigabit aufs NAS.
Um aus dem privaten (V)LAN in die DMZ zu kommen musst du die passenden Routen setzen.

*die FB7490 kann aber soweit ich weiß gar keine DMZ sondern nur einzelne Exposed Hosts.
 
Kurze Verständnisfrage.
Die 7412 arbeitet als Modem und die 7490 macht dann die Einwahl?
Warum dann überhaupt noch die kleine FB wenn die große doch auch ein Modem enthält?
 
h00bi schrieb:
über den Switch laufen lassen, ...unnötige(?) Fehlerquelle
Zum Vergrößern anklicken....

Fritzbox-7412--->(Port1,VLAN1)Switch(Port2,VLAN1)-->Fritz-7490(WAN) halte ich eigentlich noch für unproblematisch.
Obwohl, ich lese gerade, dass man nicht am WAN in die Fritz-7490 geht, sondern in LAN1, umgestellt auf die Nutzung eines externen Modems. (Der besseren Unterscheidung wegen, nenne ich diesen umkonfigurierten Lan-Port trotzdem mal weiter WAN)

h00bi schrieb:
Um aus dem privaten (V)LAN in die DMZ zu kommen musst du die passenden Routen setzen.
Zum Vergrößern anklicken....

D.h.: NAS(Port5-8,VLAN1) und Zugriffe aus VLAN2 in VLAN1 per routen?
Genau das wollte ich mir sparen, weil vor Ort später niemand in der Lage wäre solche Routen zu managen.


amdfreund schrieb:
Die 7412 arbeitet als Modem und die 7490 macht dann die Einwahl?
Zum Vergrößern anklicken....

Negativ. Die 7412 macht schon die Einwahl. Die 7490 nutzt diese Internetverbindung. Es entsteht eine LAN-Zone (Webserver, GästeWLAN) zwischen den beiden Firewalls der Fritzboxen.
WAN-FIREWALL1-LAN7412--VLAN1-->WAN7490-Firewall2-LAN,VLAN2

amdfreund schrieb:
Warum dann überhaupt noch die kleine FB wenn die große doch auch ein Modem enthält?
Zum Vergrößern anklicken....

Ja, die Frage warum nicht auf ein Gerät zur Einwahl und Netzwerkmanagement reduzieren ist berechtigt. Die Ursache liegt in der räumlichen Trennung von 7412&Switch gegenüber dem 7490.
7412&Switch stehen auf dem Dachboden. 7490 soll ins Erdgeschoss --> WLAN/DECT-Abdeckung



Also mein Zwischenfazit:
Man kann natürlich nicht die Port5-8 für VLAN1+VLAN2 konfigurieren, weil dann 2 IP´s bezogen würden.
Deshalb wird das anlegen von Routen für VLAN2->NAS,VLAN1 notwendig.
Oder, andersherum, man konfiguriert ein separates LANKabel (NAS zu DMZ,VLAN1) und richtet die gewünschten Anwendungen (Webserver) für die Nutzung dieser Verbindung ein. Die verbleibenden Verbindungen vom NAS zum Switch dann VLAN2.

Richtig?
 
Zuletzt bearbeitet:
Obwohl, ich lese gerade, dass man nicht am WAN in die Fritz-7490 geht, sondern in LAN1, umgestellt auf die Nutzung eines externen Modems.
Zum Vergrößern anklicken....

Das ist richtig.
Bei mir läuft eine FB6490 im Bridge Mode -> PoE Injektor -> Richtfunkpunkt-A -> Richtfunkpunkt-B -> Patchfeld -> PoE Injektor -> FB3390
Die RiFus laufen in einem komplett anderen Netz, geht problemlos. Es ist eben nur nicht simpel und einfach zu diagnostizieren wenn was damit los ist.

Auch wenn du die FB7412 und die BF7490 räumlich trennst kannst du sie ja auch ohne das VLAN Switch dazwischen verbinden, gehst halt direkt von Patchpanel auf Patchpanel.
Oder hast du nur eine Leitung vom Dachboden zur FB4790?
 
h00bi schrieb:
Auch wenn du die FB7412 und die BF7490 räumlich trennst kannst du sie ja auch ohne das VLAN Switch dazwischen verbinden, gehst halt direkt von Patchpanel auf Patchpanel.
Oder hast du nur eine Leitung vom Dachboden zur FB7490?
Zum Vergrößern anklicken....

Das ist richtig.

Aber von Anfang an:
Alles über den Switch laufen zu haben, hatte ich mit der Hoffnung verbunden, dass möglichst viel Netzwerktraffic im Switch abläuft (und nicht über die FB7490).


Da ich tatsächlich aber nur eine Leitung ins EG vorgefunden habe, überlege ich mittlerweile den Internettraffic
1) per DLAN von
7412,VLAN1-->DLAN-DUO,VLAN1--->7490WAN,VLAN1
und
2)von diesem
DLAN-DUO,VLAN1-Adapter (der im DG) aber auch weiter mit einem Kabel zum Switch,VLAN1

Jetzt kommt Konjunktiv... Klingt kompliziert, ist es aber nicht.
Alles was physisch am Switch hängt, griffe direkt auf VLAN1 bzw. VLAN2 zu.
Alles was im WLAN der 7490 hängt, ginge entweder über deren Dlan-Verbindung ins Internet, oder eben ins lokale Netz per Gigabit-LAN zum Switch.
 
Zuletzt bearbeitet:
ClearEyetemAA5 schrieb:
Man kann natürlich nicht die Port5-8 für VLAN1+VLAN2 konfigurieren, weil dann 2 IP´s bezogen würden.
Zum Vergrößern anklicken....

Gerade zu diesem Punkt habe ich mich doch nochmal drangesetzt...
und natürlich, dass kann man bei entsprechender Hardware sehr wohl umsetzen.

Am AVM-Router, der Fritzbox, leider nicht, aber bei dem NAS.
Auszug aus den Specs von dessen QuadNIC https://h20195.www2.hpe.com/v2/getpdf.aspx/c04163764.pdf?ver=26
"IEEE 802.1Q virtual local area network (VLAN) protocol allows each physical port of the NC364T to be separated into multiple virtual NICs for added network segmentation"
Der Switch muss diesen Standard natürlich auch unterstützen.

Bei der Synology ist dann noch etwas Bastelei auf der Terminalebene notwendig:
How To Configure Multiple VLANs on one Synology Bond | MyBenke.org
Code: 
cd /etc/sysconfig/network-scripts
cp ifcfg-bond0.1 ifcfg-bond0.2
vi ifcfg-bond0.2

DEVICE=bond0.2
VLAN_ROW_DEVICE=bond0
VLAN_ID=2
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.2.2
NETMASK=255.255.255.0
IPV6INIT=auto_dhcp
IPV6_ACCEPT_RA=1

/etc/rc.network restart
 
Anmelden, um zu antworten.

Ähnliche Themen

P
[Kaufberatung] Budget-NAS für Backup, Foto-Selfhost und Firewall+VLAN - EpycEmbedded vs AM4 vs gebrauchte Workstation?
Antworten
14
Aufrufe
2K
Pete_5
P
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh