Fritzbox - ipv4 Route auch in Gastnetz

L

LucaMB

Neuling
Thread Starter
Mitglied seit
05.07.2017
Beiträge
15
Moin,
ich habe mal eine Frage zum Thema Netzwerk und VLANs mit TP-Link Switch und Fritzbox, vielleicht kennt sich damit ja hier jemand aus!

Ich würde mit meinen TP-Link EAP245 Access Points gerne zusätzlich das Gast Wlan zur Verfügung stellen und daher folgende Anleitung befolgen: Wie kann ich meinen EAP so konfigurieren, dass er eine Haupt-SSID und eine Gast-SSID mit Portalauthentifizierung aufspannt? - TP-Link

Ich verwende wie in der Anleitung EAPs an einem EAP Controller und einem TP Link Smart Switch. Der Unterschied ist jedoch, dass ich keine zwei verschiedene Router für Haupt- und Gastnetz verwenden möchte, sondern das Gastnetz meiner Fritzbox nutzen möchte, welches diese an Netzwerkport 4 ausgibt. Soweit sollte das ja kein Problem sein, nun frage ich mich jedoch, wie ich in der Fritzbox Schritt 4 und 5 befolge. Ich kann in der Fritzbox ipv4 Routen erstellen, jedoch sehe ich diese Funktion nicht explizit für Gastnetz und Hauptnetz getrennt, kann mir jemand bei dieser Problematik helfen, bzw. ist bekannt, ob dieser Aufbau mit nur „einem Router für zwei Netze“ überhaupt funktioniert?


Gruß
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Warum hängst du die FB nicht mit 2 Ports an den TP-Switch?
Beide Ports lässt du mit separatem Tagging laufen. Den AP hängst du als Trunk-Port an den Switch.
Alle anderen Ports des Switches lässt du mit Tagging im Normalnetz laufen.

Kein routen, kein garnix. Nur ein bisschen VLANen.
 
Hi,
die FB soll ja mit zwei Ports an den Switch, einmal mit Port 1 und dann mit Port 4 auf dem das Gasnetz liegt. Was genau bedeutet Trunk-Port? Da bin ich nicht tief genug in der Materie drin... Die Schwierigkeit die ich aus diesem "Tutorial" erkenne ist ja, dass sowohl der PC der als EAP Controller fungiert als auch der EAP bzw. die EAPs selber auf die beiden Netze zugreifen können müssen...

Gruß
 
Da die Fritzbox überhaupt keine manuellen Routen ins Gastnetz unterstützt, ist das auch der einzige Weg. Beim VLanen hilft der Guide von der Methodik und zum guten Anlesen der Basics: Scholtens Blog
 
Hi,
alles klar, danke für die Antwort, da werde ich mal weiter einlesen. Ich habe noch eine Frage zum Hintergrund. Ich betreibe im WLAN einige Amazon Echo Dot und im Netzwerk einen Pioneer AVR Receiver. Nun ist es nach Recherche ein bekanntes Problem, das diverse AVR Receiver (nicht nur Pioneer) ständig ihre Netzwerkverbindung verlieren wenn Amazon Echo Geräte im Netzwerk sind - warum weiß niemand!
Der funktionierende Umweg ist nun, die Echo Dots in das Gast WLan der Fritzbox zu legen. Da ich wegen einem Umzug in Zukunft jedoch nichtmehr das interne WLan der Fritzbox nutzen werde sondern eben die EAPs muss ich auch das Gastnetz irgendwie darüber bringen. Nun werden die Netze aber da ja nicht ganz getrennt sein, da der EAP eben auf beide zugreifen muss. Sind die Netze denn trotzdem soweit getrennt, dass ich davon ausgehen kann, dass auch hier die Amazon Geräte meinen Receiver nicht beeinflussen, oder wäre ich hier nur auf der sicheren Seite, wenn ich an Port 4 der Fritzbox fürs Gastnetz wirklich einen eigenen "einfachen" Access Point hänge?


Gruß
 
Naja, der EAP muss nur das Management-VLAN eines APs erreichen (PrivatLAN in deinem Fall), dass reicht zum Konfigurieren des aufgespannten GastVLAN-SSIDs. Dazu braucht der EAP keine Verbindung ins Gastnetz, SOFERN er kein Captive-Portal dort anbieten muss. Und da ist ein weiterer Knackpunkt: Echo-Dots und Chromecast-Devices unterstützen keine Captive-Portals. Einfach normale WPA2PSK reicht in dem Fall!
Als Alternative bliebe noch, die Client-Isolation an deinen APs für einzelne Clients zu aktivieren, dann könnten bestimmte WLAN-Geräte nicht untereinander kommunizieren, weiss aber nicht ob das der EAP/APs kann/können...
 
Hi,
alles klar, ein Captive Portal brauche ich nicht, mir reicht ein normaler WPA2PSK Zugang für das Gastnetz. Ich verstehe den Satz "der EAP muss nur das Management-VLAN eines APs erreichen" jedoch noch nicht so ganz, der EAP ist doch mein AP oder? Und über diesen möchte ich ja beide Netze erreichbar haben, also lege ich beide VLANs auf den Port an dem der EAP angeschlossen ist, oder? Nun gibt es sofern ich mehr als einen EAP einsetze ja noch den EAP Controller der auf meinem Server läuft, dem Port am Switch an dem der Server hängt weise ich also genau wie dem EAP beide VLANs zu?

Hoffe ich schmeiße da nichts durcheinander...


Gruß
 
Achso, ich dachte EAP ist der Controller, streiche EAP - Setze Controller!

Dann kannste analog zu ScholtensBlog verfahren, deine Anleitung ist für das Routing zum CaptivePortal wichtig.
 
Super, dann scheint das hoffentlich einfacher als gedacht, danke euch!
 
LucaMB schrieb:
Hoffe ich schmeiße da nichts durcheinander...
Zum Vergrößern anklicken....

Nur fürs Verständnis, weil oben die Frage nach dem Trunk Port aufkam. Ein Trunk Port ist in dem Fall einfach der Port, der mehrere VLANs getaggt zur Verfügung stellt.
Die "normalen" Ports sind hingegen Access Ports, dort tütet der Switch jegliches Datenpaket in das für den Switchport hinterlegte Access VLAN ein. Bei einem Trunk Port muss das Gerät, was am Switchport steckt, den Spaß übernehmen. Indem es jegliche Pakete für das Gäste-Netz mit dem VLAN Tag blabla versieht und jegliche Pakete deines internen WLANs mit dem VLAN Tag dumdidum. Der Switch weis damit, Pakete mit dem Tag blabla gehören zum VLAN für die Gäste und die Pakete mit dumdidum Tag in das interne Netz.

Der WLAN Controller, also die Software, welche auf deinem Server läuft/laufen soll, benötigt zu 99,9% keinen Access in das Gäste-Netz. Der Controller muss eher die WLAN APs erreichen respektive die WLAN APs müssen die Controllersoftware erreichen. Jeder der WLAN APs sollte normal eine Managment IP haben. Dieses Managment Interface solltest du in den IP Netzbereich packen wo auch dein Server drin läuft.
Ich kenne nun die TP-Link APs nicht, aber je nachdem, ob diese ein getagtes Managment Interface unterstützten oder nicht musst du den Switchport, wo der WLAN AP dran klemmt entsprechend konfigurieren. Kann das Interface auch tagged sein, dann bring einfach beide VLANs auf den Port wo der WLAN AP dran klemmt. Wenn das aber nicht supportet ist, muss das interne VLAN als native VLAN/PVID auf dem Switchport hinterlegt sein - heist bildlich gesehen, alle nicht getagten Pakete (siehe oben der Part zum Trunk Port) werden vom Switch in das native VLAN oder PVID VLAN gebracht und zusätzlich werden alle getagten Pakete in die jeweiligen VLANs eingetütet.
Einige Cisco APs supporten bspw. kein getagtes Managment Interface. Ubiquit APs in Abhängigkeit der Firmwareversion auch nicht. Keine Ahnung ob das mittlerweile geht - vor paar Monaten musste es die native VLAN/PVID Geschichte sein. Dummerweise schimpfen verschiedene Hersteller das Switchseitig auch anders. Bei Cisco und ich glaube auch TP-Link ist es das native VLAN. Bei anderen heist es die PVID (Port VLAN ID).


Ansonsten noch, sei dir bewusst, wenn du die Amazon Dinger da in das Gäste-Netz packst, du kannst vom internen Netz wohl dann nicht mehr drauf zugreifen - es sei denn, die FB erlaubt das Routing zwischen den beiden Netzen -> das weis ich nicht, bin kein FB Nutzer
Ebenso ist es faktisch so, die Amazon Dinger im Gästenetz können perse nicht mehr die anderen Teilnehmer im internen Netz stören. Da die Datenpakete in einem völlig anderen Netz unterwegs sind. Die VLAN Trennung sorgt genau dafür. Und im WLAN ists eine andere SSID, also auch dort sauber getrennt. Das heist aber im Umkehr schluss auch, je nachdem, worauf du mit den Amazon Dingern noch Zugriff haben möchtest, geht das im Zweifel nicht -> da aus dem Gästebereich wohl kein Zugriff auf interne Ressourcen möglich ist.

Die von Donald benannte Methode der Client-Isolation wird aus meiner Sicht nur bedingt was bringen - da ich nicht glaube, dass hier direkte Kommunikation zwischen Amazon Teil und anderen Geräten stattfindet, die für die Störungen sorgen. Sondern das wird irgendwas anderes sein. Vllt antwortet das Amazon Ding auf Broadcast obwohl nicht zuständig oder schreit selbst via Broadcast ins Netz und die anderen antworten darauf. Keine Ahnung - müsste man tiefer troubleshooten und ist auch sehr Gerätespezifisch. Ich hab kein Echo Teil - und will auch keins, kann da also nicht helfen. Die Trennung in VLAN sollte das Problem aber erschlagen.
 
ehrlich gesagt, bringt es mich immer auf die palme, wenn jemand homeuser-equipment auf den markt wirft, die sich nicht ip-code-of-conduct verhält. die pioneer-community ist wahrscheinlich gross, und meistens bringt dann ein user mit packet-sniffing eine ursache dann zutage. ob es dann umgesetzt wird, ist fraglich.
wenn es die broadcasts sein sollten, wäre ein test es wert, ihn in ein anderes subnetz zu schieben, um trotzdem noch vollen access zu haben.
 
Zuletzt bearbeitet:
Naja, man müsste ja erstmal wissen, was das Problem ist... Kann alles und nix sein.
Die Aussage, "verlieren ihre Verbindung ständig" ist halt sehr schwammig... Ein AVR soll "AVR"en, nicht irgend ne Datenverbindung halten... Das was da über Netzwerk rein kommt ist wohl eher ein Stream oder weis der Teufel was... Genau hier ist die Frage, was macht das Ding genau, was macht das Amazon Teil genau und warum gehts im Zweifel nicht richtig zusammen.

Wenn man sich da mal ansieht, was diese Gerätschaften alles so im LAN rum plärren, da wird einem so oder so schlecht...


Aber möglicherweise ist das Problem des TEs gar kein Netzwerk Problem? Ich hab nämlich auf die Schnelle da nicht viel zu gefunden... Was sich finden lässt sich Bluetooth Zeug - Amazon Teil <> AVR in allen möglichen Ausprägungen, teils auch beeinflusst durch WLAN oder noch andere Funker in der Nähe.
Das lässt sich natürlich nicht mit ner LAN Änderung drehen....
 
fdsonne schrieb:
Die von Donald benannte Methode der Client-Isolation wird aus meiner Sicht nur bedingt was bringen - da ich nicht glaube, dass hier direkte Kommunikation zwischen Amazon Teil und anderen Geräten stattfindet, die für die Störungen sorgen. Sondern das wird irgendwas anderes sein. Vllt antwortet das Amazon Ding auf Broadcast obwohl nicht zuständig oder schreit selbst via Broadcast ins Netz und die anderen antworten darauf. Keine Ahnung - müsste man tiefer troubleshooten und ist auch sehr Gerätespezifisch. Ich hab kein Echo Teil - und will auch keins, kann da also nicht helfen. Die Trennung in VLAN sollte das Problem aber erschlagen.
Zum Vergrößern anklicken....
Ich meine, dass die Echos im Gegensatz zu z.B. Chromecasts nicht im selben Netz wie z.B. das Handy mit der App sein müssen für viele Funktionen. Die Smart Home Sachen usw. funktionieren z.B. auch wenn ich am Handy im Mobilfunknetz unterwegs bin und nicht per WLAN. Ich nutze die Echos nur für recht triviale Dinge, keine Ahnung ob die noch viel mehr können wo sie zwingend im gleichen Netz sein müssen.

Die Chromecasts lassen sich für Streaming z.B. nur übers gleiche WLAN ansprechen. Die holen sich ihre Befehle direkt übers WLAN vom Gerät mit dem man steuert ab und beziehen dann nur noch die Inhalte übers WWW. Steuerung von außen ist bei den Teilen soweit ich es sehe nicht drin. Hier gehts zwar um Echo, wollte das für Chromecast aber trotzdem mal gesagt haben.

Ich kann morgen mal mit Wireshark schauen ob die Amazon Teile irgendwie groß Bambule im Netz machen.

Grüße
Thomas
 
Hi,
ich steuere den AVR über dessen Telnet Schnittstelle über mein Smart Home System, deshalb wird die Netzwerkverbindung benötigt (er kann aber auchnoch Airplay, Internetradio etc. über die Netzwerkschnittstelle). Wenn die Amazon Geräte im gleichen Netz sind bricht nach kurzer Zeit die Telnet Verbindung ab, irgendwie wird aber die ganze Netzwerkverbindung des AVR gestört, er taucht dann in der Fritzbox auch nichtmehr unter "Heimnetzübersicht" auf. Das Ganze scheint bei den Amazon Echo Teilen ein Problem mit AV Receivern verschiedener Hersteller zu sein, ich habe sowas von einem Denon Receiver gelesen und bin so drauf gekommen, die Echos in das Gast Wlan zu packen, was geholfen hat.

Netzwerkintern brauche ich keine Verbindung zu den Echo Dots, also ist das mit dem Gastnetz kein Problem. Die ganze Steuerung funktioniert quasi von Amazon Cloudbasiert, die Echo Dots brauchen also nur eine Internetverbindung, welche Sie ja im Gastnetz haben.


Gruß


EDIT:
Hier die Anmerkung bzgl. der Abbrüche aus einem anderen Forum:
Achtung: Vereinzelt wird bei manchen AVR Modellen davon berichtet, dass es zu Problemen mit der Socket Verbindung und Abbrüchen zum Denon kommen kann, wenn ein Amazon Echo / Dot im gleichen Netzwerk verwendet wird. Zur Zeit gibt es dazu noch keine abschließende Lösung von Amazon, außer als Workarround den Amazon Echo in ein separates WLAN (z.b. Gast WLAN bei Fritzbox) zu packen.
Zum Vergrößern anklicken....
 
bleibt festzustellen: dein pioneer reagiert mit dem "störerverhalten" der echos mit netzausfall. dein AVR reagiert idF zu empfindlich auf noch zu untersuchende ursachen. ich hab die teile noch nicht untersucht, aber amazon ist alles zu unterstellen, was an fehlverhaltenen discovery-requests da abgeht.
meinen denon-x4200 jedenfalls interessierts nicht..

dann kannste die ganze geschichte mit dem VLAN und gäste-SSID auch knicken und stellst entweder die echos oder den AVR in ein subnetz mit fixer IP und gateway, dann setzte die route an der fritzbox in das subnetz, und alles sollte sogar mit interkonnektivität aus allen netzen laufen.

fdsonne hat recht, die broadcasts (und/oder dem prozess anhängenden TCP-protokollen) der echos scheinen dem pioneer das genick zu brechen...
bleibt nur zu überlegen, ob man täter oder opfer ins subnetz packt, aber das hast du dir ja schon selbst beantwortet.
 
Zuletzt bearbeitet:
Hi,
warum kann ich das mit der Gäste SSID und den VLANs dann knicken?

Gruß
 
also mit knicken meinte ich, dass du sie dann nicht mehr für dein vorhaben benötigst, wenn du subnettest.
aber nur wenn die broadcasts auslöser des problem sein sollten! broadcasts finden immer nur im lokalen subnetz statt. vielleicht findet das ja black-avenger raus.

ein versuch wäre es wert. das mit dem GästeVLAN kannst du natürlich immer noch machen, sollte das problem damit nicht "umschifft" sein.
 
So, in einem ersten Schritt mal geschaut was zwei Echos denn so an alle PCs im Netz schicken. Die beiden IP Adressen nach denen gefiltert wurde sind ein Echo Dot (.60) und ein Echo Plus (.42)
echo_dot.jpg

Der Plus schweigt, der DOT hat das was man sieht innerhalb von knapp 10 Minuten fabriziert. Der letzte Eintrag ist aber auch schon wieder 17 Minuten her, seither erstmal nix.

Aus Zeitmangel jetzt erstmal das einfachste gemacht, geschaut was meinen PC hier von den Echos erreicht.
Als nächstes könnte ich die Echos noch an einen gesonderten AP hängen und dann den alle Daten auf der Verbindung von Switch zu AP mitschneiden. Dann müsste ich ja voll drauf haben, was die ins Netzwerk donnern.

Grüße
Thomas
 
Anmelden, um zu antworten.

Ähnliche Themen

holzkreuz
Zwei Fritz Boxen, deren Mesh und andere Sorgen
Antworten
13
Aufrufe
575
holzkreuz
holzkreuz
M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
866
BobbyD
BobbyD
T
TP Link Omada Router vs. pfSense China MiniPC
Antworten
14
Aufrufe
1K
dragoons
D
I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
932
Supaman
Supaman
l0n
Komponenten für ein neues Heimnetzwerk
2
Antworten
34
Aufrufe
2K
Hexcode
H
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh