Hardware-Empfehlung für Heimnetzwerk

hominidae schrieb:
wobei das eh nur ein Medienkonverter ist
Zum Vergrößern anklicken....
Das war mir eben nicht ganz klar. Der Anbieter ermöglicht sowohl RJ45 als auch SFP+, ob SFP (ohne "+") auch dabei ist bin ich mir nicht sicher aber das wäre dann ja egal.

hominidae schrieb:
Das ist ein SFP, kein SFP+, also nicht 10G
Zum Vergrößern anklicken....
Stimmt... Dadurch habe ich ja nur die selbe Geschwindigkeit wie mit RJ45, dann ist das also egal.

hominidae schrieb:
Du kannst die frei belegen/nutzen...egal ob LAN oder WAN
Zum Vergrößern anklicken....
Die ersten beiden Ports (SFP und der erste Rj45) am HexS als "Internet" gekennzeichnet, das wird sich aber wohl nur auf die Default-Konfiguration beziehen.

hominidae schrieb:
Lokaler Traffic zwischen Clients wird den/die Switch(es) nicht wirklich verlassen
Zum Vergrößern anklicken....
Ah okay, ich dachte der Router muss auch im lokalen Netz noch gewisse Aufgaben übernehmen.

Vielen Dank wieder für die ganzen Informationen :)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Springrbua schrieb:
Die ersten beiden Ports (SFP und der erste Rj45) am HexS als "Internet" gekennzeichnet, das wird sich aber wohl nur auf die Default-Konfiguration beziehen.
Zum Vergrößern anklicken....
Ah, ja...sehe, das ist unten aufgedruckt...Es gibt in RouterOS sogenannte "Quicksets" für den "Schnellstart"...da ist es wirklich meist eth1 als WAN...aber technisch ist das echt egal und diese Quicksets sind wirklich nur für "Dummies"....ich starte immer "nackt" und lasse die Finger davon.

Springrbua schrieb:
Ah okay, ich dachte der Router muss auch im lokalen Netz noch gewisse Aufgaben übernehmen.
Zum Vergrößern anklicken....
Ja, das macht er auch...wie ich schon schrieb sind das typisch- DNS und DHCP...das lastet aber einen 1Gbps Link nicht aus, auch nicht zusammen mit dem doch "schmalen" I-Net.

Springrbua schrieb:
Vielen Dank wieder für die ganzen Informationen :)
Zum Vergrößern anklicken....
Gerne...weiterhin viel Erfolg und Spass mit den neuen "Spielzeugen".
 
Habe nun im Netzwerkschrank alles angeschlossen und mit der Konfiguration begonnen.
Den Router hatte ich bereits eingerichtet (habe mir dazu dieses Video angeschaut).
Die beiden Switches laufen mit dem SwichOS, da musste ich nicht wirklich was einstellen.
Die Netzverkverbindung (inkl. Internet über Hotspot) funktioniert soweit auch.
Nun habe ich aber 2 Geräte (Dahua Türstation und Homeserver) die bereits eine statische IP Adresse auf dem 192.168.x.x. Netz haben, mein Heimnetz nutzt nun aber 172.16.x.x.
Die beiden Geräte kann ich entsprechend nicht erreichen um ihre statische IP-Adresse zu ändern.
Beim Homeserver ist es kein großes Problem, den kann ich neu aufsetzen und dabei eine neue IP vergeben.
Die Türstation hat aber bereits über die Werkseinstellungen eine statische IP Adresse (192.168.1.111) vergeben.
Ich habe bereits versucht den Router zurückzusetzen und die Standardkonfiguration zu verwenden, dabei verwendet er eine 192.168.88.x Adresse.
Die IP der Türstation konnte ich dabei über einen IP Scan zwar finden, sie war aber weiterhin nicht erreichbar.

Verhindert hier möglicherweise noch eine andere Einstellung die Verbindung oder liegt die IP Adresse hier nur außerhalb der erlaubten Bereiches und ich müsste eine Route dafür einrichten?
 
Springrbua schrieb:
Verhindert hier möglicherweise noch eine andere Einstellung die Verbindung oder liegt die IP Adresse hier nur außerhalb der erlaubten Bereiches und ich müsste eine Route dafür einrichten?
Zum Vergrößern anklicken....
Jaaaa, das ist leider eine Kopfsache :ROFLMAO:
Mach Dir bitte mal klar, wie IP-Routing funktioniert....
Wenn Du im LAN nur ein Netzwerk definierst (172.16.x.x/24)...wohin schickt der Router also Pakete für ein unbekanntes Netz? -> an die Default Route, welche aufs WAN Interface zeigt :bigok:
Das gilt sinngemäß auch für Clients im LAN...nur zeigt die Default Route des Clients auf den Router (die IP des Routers im Client Netz).
Also, wenn Du noch ein Netz hast / brauchst (zumindest bis Du alle Clients umgestellt hast) -> einfach im Router einrichten.
Also, Du kannst entweder
  • einen weiteren LAN-Port des Mikrotik dafür verwenden und auch ein Kabel an den nachfolgenden Switch nutzen (der Port muss dann/sollte dann aber aus der Bridge entfernt werden) - so kann jedes Netz einen 1Gbps-Link zum Router (und I-net) nutzen und im Router sind die Netze sauber getrennt - da musst Du aber noch Firewall Regeln anpassen (ohne Deine Konfig zu kennen, zumindest das ethX für LAN2 in die Interface-Liste für LAN aufnehmen) damit man zwischen den Netzen routen kann.
  • oder einfach dem aktuellen LAN Port im Router noch ein zweites Netz verpassen (192.168..1.0/24 mit lokaler Adresse 192.168.1.1) - Clients im LAN mit statischer IP aus dem Netz sollten dann sofort vom Router anpingbar sein (wenn deren Gateway die 192.168.1.1 ist, latürnich).
    Hoffentlich (kenne Deine Konfig nicht - normalerweise basieren forwarding Rules auf Interface-Lists, nicht IPs und das Interface ist für beide gleich) sollten auch Clients aus unterschiedlichen Netzen dann auch miteinander kommunizieren können. Wenn nicht, musst Du entweder zunächst einen Client in das 2te Netz nehmen um zB die Türsteuerung usw. "anzusurfen" oder auch für das zweite Netz im Router einfach NAT einschalten (Dann können Clients aus 172.16.x.x eine Verbindung zu Adressen aus dem 192.168.1.x aufbauen, aber nicht umgekehrt).
  • Der hybride Weg wäre den ersten Punkt als VLAN aufzusetzen...sehe ich aber bei Dir aktuell nicht...Du hast Ports genug am hex frei, denke ich.
...um schnell zu den "toten" Clients im 192.168.x.x Netz zu gelangen, nimm das Szenario aus dem 2ten Punkt und überlege dann in Ruhe was Du willst...Clients umstellen oder zwei Netze...
Beitrag automatisch zusammengeführt:

Springrbua schrieb:
Vom TP-Link (WAN) bekomme ich eine Klasse C Adresse, somit dürfte es keine Konflikte geben und ich könnte später einfach nur das WAN abändern.
Zum Vergrößern anklicken....
...das ist dabei nochmal wichtig....nicht das Deine WAN IP aus 192.168.x.x kommt mit einer Netzmaske die auch das 192.168.1.x umfasst.
Sonst musst Du die WAN Verbindung (IP per DHCP, nehme ich an) erstmal trennen und die 192.168.er LAN Clients umstellen.
 
Zuletzt bearbeitet:
Ich will definitiv die Clients umstellen, bin ja mit einem Netz schon überfordert ;)
Die Türstation muss am PoE Switch laufen, da sie nur über PoE betrieben werden kann. Das heißt ich kann sie nicht direkt mit dem Router verbinden, sondern muss über den PoE Switch gehen, der aktuell eine einzelne Uplink Verbindung zum Router hat.
Punkt 1 wird somit vermutlich nicht ganz einfach, für Punkt 2 sollte das keinen großen Unterscheid machen oder?
Eine Alternative wäre es die Türstation direkt mit dem TP-Link (und somit mit dem Hotspot) zu verbinden und die statische IP umzukonfigurieren, sodass sie anschließend Teil des 172.16.x.x Netzes ist.

Danke und LG,
Robert
 
Springrbua schrieb:
Punkt 1 wird somit vermutlich nicht ganz einfach,
Zum Vergrößern anklicken....
Nein, das ist total schnurz.
Die Switche sind ja Layer 2...die Netztrennung auf IP-Ebene (L3) machst Du im Router.
Es ist nur üblich (Design Regel) - Ausnahmen bestätigen die Regel :xmas: aber bitte für Normal-User jetzt nicht die Welt erklären) je LAN Segment (L2 Verbindung am Router) einen dedizierten Port zu verwenden.
Edit: und pro LAN Segment nur ein IP-Segment zu verwenden.
Warum: Wenn Du in der Firewall Regeln aufstellst, die da (bitte jetzt nur als hypothetisches Beispiel verstehen) heißen "Alle Clients aus Netz 1 - 192.168.1.xx - dürfen nicht ins Netz 2 - 172.16.x.x" dann kannst Du das auf mehr als eine Art mit Regeln in der Firewall lösen:
  • für je IP eine Regel in der Firewall
    Das ist eigentlich nur sinnvoll für eine besondere Regel, wie "der Client mit 192.168.1.11 darf es aber doch", also als Ausnahme von der allgemeinen Regel
    ...sonst sind auch zu viele Regeln zu prüfen -> CPU Last / Durchsatz im Router
  • eine Regel für ein ganzes IP-Netz (L3)
    Das ist möglich, der Router muss aber jeden Verbindung/jedes Paket auf L3 prüfen -> CPU Last
  • eine Regel für ein Interface (L2) - weil die Grund-Design-Regel eingehalten wurde -> Ein IP-Netz pro LAN Segment
    Das ist super effizient was die Verwaltung der Regeln und auch die daraus resultierende CPU Last angeht, denn diese Regel wirkt auf L2
...und so sollte Deine Standard-Firewall auch schon befüllt sein.
Es gibt zb. sogenannte Interface-Lists, die mit LAN und WAN vorbelegt sind. In einer Firewall Regel kannst Du die verwenden und z.B. jetzt sagen "alles was Quelle aus er Interface-Liste ist und dort "LAN heisst, darf ...".

Ich weiss nicht ob es Dir jetzt klarer wir. Du muss "einfach" mal verstehen wie Routing funktioniert.
Danach, wie der Paketfluss in RouterOS ist, um die Firewall zu konfugurieren.
Bei RouterOS gibt es da leider keine Abkürzung...daher sagte ich ja schon, dass da eine Lernkurve ist.
In Deiner Situation mit parallelen Netzen ist das natürlich schon etwas steiler.

Springrbua schrieb:
für Punkt 2 sollte das keinen großen Unterscheid machen oder?
Zum Vergrößern anklicken....
...aus gleichem Grund schnurz...aber ja, ich sagte ja...fang mit Punkt 2 damit an.

Springrbua schrieb:
Ich will definitiv die Clients umstellen, bin ja mit einem Netz schon überfordert ;)
Zum Vergrößern anklicken....
Plan B, wäre es - zumindest wenn während der Umstellung die Clients kein I-Net oder Ressourcen aus 172.16.x.x brauchen - einfach nur einen Laptop/Desktop per LAN anschliessen und manuell mit einer IP aus dem 192.168.1.x Netz zu konfigurieren.
Dann kannst Du natürlich auf diese Clients damit drauf, egal welche Router-Konfig...im gleichen IP-Netz mit statischen Adressen läuft ja alles ohne Router ab. Die IP der Switche selbst spielt da keine Rolle (OK, Du kannst beim CSS610 mit diesem Client nicht auf das Web-Interface um zB PoE ein/auszuschalten - also vorher dran denken oder einfach Stecker rein/raus).
Beitrag automatisch zusammengeführt:

Hier mal die kurze Anleitung, wenn du in das ROS Setup weiter einsteigen willst/musst:

Das ist der Start: https://help.mikrotik.com/docs/display/ROS/First+Time+Configuration
Diese Liste da arbeitest Du allerdings in einer besonderen Reihenfolge ab (Sicherheit), wie folgt:
...danach kannst Du Dich um die Firewall kümmern:
 
Zuletzt bearbeitet:
Also bleibt, grob gesagt, alles was im gleichen IP-Segment ist, im Switch, alles darüber hinaus geht über den Router, unabhängig davon ob das andere Netzwerk dann wieder vom selben Switch bedient wird?

hominidae schrieb:
In Deiner Situation mit parallelen Netzen ist das natürlich schon etwas steiler.
Zum Vergrößern anklicken....
Diese Situation werde ich aber möglichst schnell beseitigen ;)

hominidae schrieb:
Einfach nur einen Laptop/Desktop per LAN anschliessen und manuell mit einer IP aus dem 192.168.1.x Netz zu konfigurieren.
Zum Vergrößern anklicken....
Ich denke ich werde es zunächst auf diesem Weg probieren, dann muss ich mich nicht mit parallelen Netzwerken rumschlagen, die ich später eh nicht mehr benötige.

hominidae schrieb:
Hier mal die kurze Anleitung, wenn du in das ROS Setup weiter einsteigen willst/musst:
Zum Vergrößern anklicken....
Vielen Dank für die Links, langsam werde ich mich da schon reinfuchsen :)

Nochmal vielen Dank für deine Hilfe und vor allem für deine Geduld :)

LG,
Robert
 
Springrbua schrieb:
Also bleibt, grob gesagt, alles was im gleichen IP-Segment ist, im Switch, alles darüber hinaus geht über den Router, unabhängig davon ob das andere Netzwerk dann wieder vom selben Switch bedient wird?
Zum Vergrößern anklicken....
Ja, wobei die Design-Regel auch für Switche gilt...je IP-Segment aauch die Switch-Ports zu segmentieren.
Bei einem IP-Segment sind hat alle Ports im gleichen Segment.
Bei kaskadierten Switches und segmentierten LANs, muss man für die Verbindung zwischen Switches entsprechende Ports verwenden oder auf VLANS umstellen.
Springrbua schrieb:
Vielen Dank für die Links, langsam werde ich mich da schon reinfuchsen :)
Zum Vergrößern anklicken....
Keine Angst, das ist nur der Anfang. :ROFLMAO:

Weiterhin viel Erfolg!
 
Habe mich nun für den wohl einfachsten Weg entscheiden und das interne Netz von 172.16.0.x auf 192.168.1.x umkonfiguriert.
Die Türstation funktioniert jetzt, den Server setze ich neu auf, der hat wohl eine andere Adresse bekommen weil er direkt mit dem TP-Link (aktuelle WAN Seite) verbunden war.
 
Kurzes Update:
Nach einigen Startschwierigkeiten habe ich nun seit einer Weile einen funktionierenden Glasfaseranschluss.
Habe mir auch einen Wireguard VPN Zugang für den Fernzugriff eingerichtet, ging eigentlich auch relativ einfach.

Zu den Startschwierigkeiten:
Sobald der Glasfaseranschluss aktiviert wurde, habe ich den Router zurückgesetzt und über Quickset neu eingerichtet.
Dabei habe ich das relativ prominente Flag "Bridge all LAN ports" aktiviert, weil ich dachte es wird nur eine Bridge für alle Ports außer den SFP (WAN) Port angelegt.
Tatsächlich wurde dieser aber mit in die Bridge mit aufgenommen, wodurch der Router wohl massig Broadcasts nach "draußen" schickte und unser Provider den Anschluss deaktivierte (Storm Control).
Ich habe den Router anschließend mehrfach zurückgesetzt, vom Strom genommen etc. da ich ja nicht wusste, dass der Anschluss deaktiviert war.
Glücklicherweise arbeitet ein Bekannter beim Provider und ich konnte dadurch herausfinden, dass der Anschluss deaktiviert wurde, ansonsten hätte ich wohl noch eine Weile gesucht.
Habe dann direkt noch einmal den selben Fehler gemacht und das Flag nochmal gesetzt, dadurch habe ich dann aber zumindest verstanden woran es liegt.
Beim nächsten Mal habe ich dann etwas besser aufgepasst und dann war die Einrichtung eine Sache von 5 Minuten.

Etwas verängstigt durch die Tatsache, dass ein Fehler in der Konfiguration dazu führen kann, dass mein Anschluss deaktiviert wird um die Server des Providers zu schützen, hat es dann eine Weile gedauert, bis ich mich an weitere Konfigurationen gewagt habe.
So ganz überwunden ist diese Angst zwar immer noch nicht, aber ich habe zumindest ein etwas besseres Verständnis davon was passiert ist und weiß wovon ich besser die Finger lassen sollte ;)

Bei der Einrichtung des VPN war für mich die große Schwierigkeit den geeigneten zu finden. MikroTik bietet hier ja eine enorme Auswahl an und für jemanden der das Konzept von VPN nur sehr grob versteht ist es da am Anfang schwierig die Unterschiede zwischen den Systemen zu verstehen und die Vor- und Nachteile für den eigenen Usecase abzuwägen.
Anfangs habe ich auch hier die Methode über Quickset versucht, die laut Tutorial von MikroTik in 2 Klicks erledigt ist. Bei mir fehlte aber der automatisch zugewiesene Domain von MikroTik, wodurch das bei mir nicht funktionierte.
Also habe ich mich nach Alternativen umgeschaut und mich am Ende für Wireguard entschieden. Das Problem mit der fehlenden Domain beeinflusste aber auch natürlich dieses Setup. Letzten Endes musste ich das DDNS Feature des Routers einfach über einen Befehl aktivieren und dann hat auch alles geklappt.

Der Weg war etwas steinig und wird es vermutlich auch bei der nächsten Konfiguration wieder sein, aber man lernt etwas dazu und am Ende hat man ein zuverlässiges, flexibles und vor allem günstiges System.
Danke nochmal an @hominidae für die Empfehlung und die Unterstützung :)

LG,
Robert
 
Anmelden, um zu antworten.

Ähnliche Themen

T
Unifi und TP Link Omada, Parallelbetrieb
Antworten
1
Aufrufe
1K
maxblank
M
holzkreuz
Zwei Fritz Boxen, deren Mesh und andere Sorgen
Antworten
13
Aufrufe
567
holzkreuz
holzkreuz
G
[User-Review] Grandstream Access Points - bye bye Mikrotik
Antworten
25
Aufrufe
1K
Speeddeamon
Speeddeamon
T!tr0
Heimnetzwerkplanung EFH Neubau
Antworten
7
Aufrufe
700
Proph
Proph
l0n
Komponenten für ein neues Heimnetzwerk
2
Antworten
34
Aufrufe
2K
Hexcode
H
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh