Hilfe bei Netzwerk/VLAN Konfiguration

xoa

xoa

Enthusiast
Thread Starter
Mitglied seit
01.08.2006
Beiträge
1.036
Ort
IT
Ich bräuchte wieder mal etwas Unterstützung bei der Konfiguration bzw. Optimierung meines bestehenden Heimnetzwerks.

Dazu im Anhang eine aktuelle Skizze meines Setups um die Situation zu verdeutlichen. Das Netz läuft soweit einwandfrei.

Wo ich nun aber Hilfe benötige:
1) Zum einen bin ich nicht sicher ob ich die VLAN's richtig konfiguriert habe bzgl. Tagged und Untagged.
2) Möchte ich nun ein NAS in das bestehende Netz einbinden.
3) Möglicherweise ein weiteres privates WLAN am AP einrichten.

Kurz zur Skizze und meinem Setup:
Ports wurden von mir nummeriert und die Geräte sind genau so an den Port angeschlossen wie auf der Skizze.
Bis auf das Gäste W-LAN, soll alles im Privaten Umfeld bleiben und abgeschottet sein.

An meinem Netgear GS108Tv2 habe ich bereits 3 VLANs eingerichtet, eines fürs Internet, eines für den Privaten Bereich sowie eines für das Gäste W-LAN. Bei einer Kontrolle habe ich gesehen, dass ich nur einige Ports jeweils mit U belegt habe, nirgends aber ein T. Ansonsten ist der Rest leer. Vermutlich nicht ganz richtig, oder? Welche Ports müssen im welchen VLAN Tagged und Untagges sein? Ggf. kann ich auch die aktuelle Konfiguration der VLAN zur Kontrolle posten wenn das hilfreich ist.

Nun möchte ich auch ein NAS in das private Netz mit einbinden, auf welches ich aber trotzdem auch von Außen (Internet) und auch im Haus per WLAN zugreifen möchte. Zugleich soll es aber für meine Gäste nicht sichtbar oder darauf zugreifbar sein. Aktuell befinden sich alle Privaten W-LAN-Geräte im selben W-LAN wie auch alle meine Gäste im Haus. Sollte ich hier für die Privaten Geräte besser ein eigenes W-LAN einrichten?

Leider habe ich auch das Problem, dass wenn ein Gast Dateien ins Internet hochlädt, das Internet so dermaßen langsam wird. Gibt es eine Möglichkeit den Upload für das Gäste W-LAN zu drosseln?
 

Anhänge

  • 001.jpg
    001.jpg
    109,1 KB · Aufrufe: 455
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Untagged heißt die Packete kommen ohne VLAN Tag hier an z.b ein Computer, Drucker, Notebook aber auch Server. Du musst die Ports zwischen den Switches Taggen, damit die Packete auch zwischen den Switches fließen können. Willst du mehrer VLANS zwischen Switches senden, dann brauchst du einen Trunk.

Trenne das Gäste WLAN vom privaten WLAN und fertig ist die Sache. Du kannst auch einfach das private WLAN mit dem restlichen privaten Netzwerk verbinden. Für das Gäste WLAN benötigst du QOS, damit du die Geschwindigkeit beschränken kannst.
 
Was für einen Router hast du? Sofern dieser nicht mit VLANs umgehen kann ist die Geschichte damit sowieso schon am Ende. Außnahme sind Router die zumindest ein Gästenetz auf einem dedizierten Port weitergeben können (FritzBox z.B.). Hier kannst du dann zumindest Privat und Gäste trennen.

Szenario Router kann VLAN
GS108T
Port 5 Privates VLAN auf Untagged, Gäste-Vlan auf Tagged
Port 2-4 Privates VLAN auf Untagged
Port 1 Privates VLAN auf Untagged, Gäste auf Tagged


Szenario Router kann kein VLAN (Beispiel Fritzbox, dort ist das Gästenetzwerk auf Port 4)
GS108T
Port 5 Privates VLAN auf Untagged, Gäste-Vlan auf Tagged
Port 2-4 Privates VLAN auf Untagged
Port 1 Privates VLAN auf Untagged -> Anschluss Router Port 1
Port 6 Gäste VLAN auf Untagged -> Anschluss Router Port 4

Gäste drosseln kann sowohl der Router als auch der AccessPoint übernehmen sofern unterstützt.
 
Zuletzt bearbeitet:
Vielen Dank schon mal für eure Antworten.

Mein ADSL-Router ist ein Netgear DGN2200. Grundsätzlich dient er ja einfach nur als Modem und DHCP-Server, welcher dann das Internet in meinen GS108T und somit in das gesamte Netz einspeißt.
Das Drosseln muss ich wohl direkt am AP einstellen. Wenn ich das am Router mache, dann bremse ich mich selbst aus.
 
Ich poste euch mal meine aktuellen Einstellungen. Irgendwie habe ich das Gefühl ich habe Chaos :confused::fresse:

Musste soeben Port 4 Im Privat VLAN auf Untagged stellen, da ich sonst mein NAS nicht finden konnte.


Das U bei Port 1 (ADSL-Router) und Port 5 (AccessPoint) beim VLAN "Ferienwohnungen" bedeutet doch, dass diese nur auf das Internet zugreifen können und sonst nirgends oder? Also auf keinen Rechner oder auch nicht auf das NAS.

 
Zuletzt bearbeitet:
xoa schrieb:
Das U bei Port 1 (ADSL-Router) und Port 5 (AccessPoint) beim VLAN "Ferienwohnungen" bedeutet doch, dass diese nur auf das Internet zugreifen können und sonst nirgends oder?
Zum Vergrößern anklicken....
Nein, bedeutet es nicht, sofern der DG2200 nicht exklusiv am VLAN 4 teilnimmt.
Bei deiner Hardware ist die einzige Möglichkeit ein zusätzliches Gästenetzwerk zu separieren die, welche der Netgear DGN2200 bietet. Wie diesbzgl. vorzugehen ist, steht im Manual auf Seite 31. Allein mit den Switches lassen sich lediglich zwei völlig autarke VLAN anlegen. Ins Internet kommen dann nur die Clients, welche sich in dem VLAN befinden, in dem auch der Router sein IP-Adresse hat.
 
Zuletzt bearbeitet:
Untagged bedeutet das Pakete welche den Port verlassen (Ausgehend) keinen VLAN-Tag besitzen. Auch ist es nicht möglich unterschiedliche VLANs als Untagged auf dem gleichen Physischen Port zu konfigurieren. Jeder Port kann nur mit einem Untagged VLAN und mit beliebigvielen Tagged VLANs konfigurieren werden. Ein Routing zwischen den VLANs erfolgt nicht. Geräte können also nur innerhalb des eigenen VLANs agieren. Wenn eine Kommunikation zwischen verschiedenen VLANs gebraucht wird kann dies von einem L3-Switch oder einem Router erledigt werden (Inter-Vlan Routing).

Hier ein Video indem die Funktionalität von VLANs wie ich finde ganz gut erklärt ist. Virtual LANs (VLANs) - YouTube
 
Ich steh sowas von auf dem Schlauch. :/ Ich sehe da sind mehrere Baustellen in meinem Netz die es zu beheben gibt.
Sicherheitsproblem aktuell: ich kommen mit jedem WLAN-Gerät auf die Weboberfläche meines ADSL-Routers. Momentan habe ich keine Ahnung wo ich beginnen soll.
 
Einfachste Lösung? Hol dir ne Fritzbox. Diese beherscht zwar auch keine VLANs, kann aber Gäste auf einem eigenen Port separieren und dort auch Bandbreitenmäßig bescheiden.

Das Setup könnte so aussehen. VLANs im Heimnetz mit Netgear, UniFi und Fritzbox | Jans Blog

Wenns mehr sein soll bleibt nur die Lösung Dediziertes Modem + VLAN Fähigen Router.

In beiden Varianten kannst du verhindern das Gäste auf das Router-Webinterface oder die Nas Zugriff haben.
 
Zuletzt bearbeitet:
Ok rayze, angenommen ich hätte jetzt eine Fritzbox (ADSL-Router) mit dem Gast-Port, könnte ich dann einfach den AP direkt an den Fritzbox Gastport anschließen, die Bandbreite beschneiden und fertig ist die Sache für meine Gäste? Sie können dann nicht in mein Heimnetz und auch nicht auf die Fritzbox Weboberfläche zugreifen, richtig? Wenn ja, wäre das natürlich simple.
Dann würde ja der Managed-Switch mit all seinen Einstellugnsmöglichkeiten für meine Zwecke überflüssig werden, oder?

Für meine privates WLAN-Stöpsle ich einfach einen eigenen AP ein!

Bin ich hier auf der richtigen Spur? ^^
 
Die Anschaffung einer FB wegen der Gästenetzfunktion bringt dich keinen Schritt weiter. Der DG2200 kann bereits ein Gaestenetz separieren. Die Konfigurationsmöglichkeiten sind sogar umfangreicher als bei der FB. Ich hatte oben bereits geschrieben, auf welcher Seite des Manuals das erläutert wird.
Wenn du diese Funktion nutzt, brauchen am Switch keine VLAN erstellt zu werden.
 
Zuletzt bearbeitet:
xoa schrieb:
Ok rayze, angenommen ich hätte jetzt eine Fritzbox (ADSL-Router) mit dem Gast-Port, könnte ich dann einfach den AP direkt an den Fritzbox Gastport anschließen, die Bandbreite beschneiden und fertig ist die Sache für meine Gäste? Sie können dann nicht in mein Heimnetz und auch nicht auf die Fritzbox Weboberfläche zugreifen, richtig? Wenn ja, wäre das natürlich simple.
Dann würde ja der Managed-Switch mit all seinen Einstellugnsmöglichkeiten für meine Zwecke überflüssig werden, oder?

Für meine privates WLAN-Stöpsle ich einfach einen eigenen AP ein!

Bin ich hier auf der richtigen Spur? ^^
Zum Vergrößern anklicken....

Nein, so funktioniert das nicht. Dies ist nur dann der Fall wenn du das Gästewlan von der Fritzbox übernehmen lässt und nicht von deinem dedizierten AccessPoint (welcher hoffentlich auch mit VLANs umgehen kann?) und das kann wie bereits von MoBo angemerkt dein Netgear auch bereits in Form eines Gästewlans.

MoBo 01/04 schrieb:
Die Anschaffung einer FB wegen der Gästenetzfunktion bringt dich keinen Schritt weiter. Der DG2200 kann bereits ein Gaestenetz separieren. Die Konfigurationsmöglichkeiten sind sogar umfangreicher als bei der FB.
Zum Vergrößern anklicken....

Ist das so? Ich kenn das Gerät nicht aber hatte mir die Anleitung angeschaut und dort war nur von einem Gast-WLAN Netzwerk die Rede welches das Gerät kann. Habe nichts darüber gefunden das dieses Gastnetz auch über RJ45 bereit gestellt werden kann. (http://www.downloads.netgear.com/files/GDC/DGN2200BV3/DGN2200v3_UM_GR_11Jun13.pdf)

Vom Threadersteller wird aber ein dedizierter AccessPoint eingesetzt und nutzt nicht das integrierte WLANs des Routers.
 
Zuletzt bearbeitet:
Richtig, ich nutze ja das WLAN des Netgear DGN2200 nicht. Die Zugriffskontrolle per MAC Adresse funktioniert doch nur wenn ich am Netgear das WLAN nutze denke ich.

Der aktuelle TP-Link WA901N AP kann mit VLANs umgehen. Meines Wissens nach habe ich bei meiner letzten Konfiguration vor rund 2 Jahre diesen auch dem VLAN des Gästenetzs zugewiesen. (leider schaffe ich es nicht mehr mich mit der Weboberfläche des AP zu verbinden) :confused:
 
Danke für den Hinweis; nach nochmaliger gründlicherer Lektüre des Manuals scheint es mir auch so, dass der DG2200 ein Gästenetz nur über den eigenen WLAN-AP bereitstellen kann. Insofern ließe sich die Separierung der Netze über den WA901ND nicht umsetzen. Die FB wäre also die bessere Wahl. Es gäbe auch andere Möglichkeiten das Problem zu lösen. Diese wären aber komplexer und würden mehr Erfahrung im Umgang mit Netzwerken erfordern.

- - - Updated - - -

xoa schrieb:
Der aktuelle TP-Link WA901N AP kann mit VLANs umgehen. Meines Wissens nach habe ich bei meiner letzten Konfiguration vor rund 2 Jahre diesen auch dem VLAN des Gästenetzs zugewiesen. (leider schaffe ich es nicht mehr mich mit der Weboberfläche des AP zu verbinden) :confused:
Zum Vergrößern anklicken....

Schließe den AP über die LAN-Ports direkt am PC an und führe in der Eingabeaufforderung "ipconfig /all" aus. Dies sollte die IP-Adresse des AP liefern. Über deren Eingabe im Browser gelangst du auf das Webinterface des AP.
 
Nun hab ich's auf meinen TP-Link AP geschafft. Neue Erkentnisse: ich habe Open-WRT am laufen, habe keine Option für QoS oder VLAN gefunden. Ich konnten mich noch erinnern warum ich Open-WRT installiert hatte; es gab diverse Probleme mit der originalen TP-Link Firmware und spezifischen NiC's. Desweiteren scheint der AP nur mit b oder g am laufen zu sein, weiteres steht nicht zur Auswahl. Reichweite des Signals ist ebenso relativ mau, samt 3x 8dBi Antennen, LinkSpeed: 54 mbps

Vielleicht wäre es an der Zeit einen ordentlichen AP zuzulegen? Was sind eure Empfehlungen?

EDIT: Irgend eines der NETGEAR Nighthawk Modelle mit QoS Advanced?
 
Zuletzt bearbeitet:
Die Nighthawks sind Kombigeraete, bestehend aus router, switch, wlan-radio, firewall, etc. Fuer die alleinige Aufgabe eines WLAN-Access-Points sind diese Funktionen meist überflüssig und erhoehen nur den Verbrauch. Ein recht effizienter und performanter WLAN-AP, welcher Gästenetz, Multi-SSID, VLAN, etc. unterstützt und auf zuverlässiger Firmware basiert, wäre der UniFi UAP-AC-Lite.
 
Man hört viel gutes von den UniFi UAP-AC-Lite. Man würde meinen, dass die Reichweite aufgrund fehlender externen Antennen nicht so gut ist, aber ich nehme an man lässt sich dadurch schnell täuschen.

Ich denke ich werde mir diesen AP besorgen und dann versuchen nochmals zu beginnen mein LAN zu optimieren, sofern ich endlich die Tagged und Untagged geschichte richtig verstehe und nachvollziehen kann was jetzt wann das Richtige ist.
 
Zuletzt bearbeitet:
Kein Hersteller kann Zaubern. Auch die UniFi Geräte halten sich an die Gesetzlichen Bestimmungen und erfüllen sogesehen Ihren Job als AccessPoint sogut es technisch Möglich ist. Das nicht Vorhandensein von externen Antennen spielt in diesem Zusammenhang keine Rolle. In Deutschland darf im 2,4Ghz Band die Strahlungsleistung 100 mW (EIRP) nicht überschreiten. Warum? Wenn ein Gerät durch eine externe "bessere" Antenne eine bessere Gesamtsendeleistung erreicht als 100mW muss diese dementsprechend vom Hersteller korrigriert werden und somit der Verstärker und des WLAN-Chip gedrosselt werden um die Gesamtsendeleistung einzuhalten. Genauso verhält es sich im 5Ghz Band.

Trotzdem kann es Situationen geben wo eine externe Antenne durch Ausrichtung bessere Ergebnisse liefert. Die UniFi Geräte sind Decken AccessPoints. Durch die Montage an der Decke erreichen die auf der Platine angerodeten Antenne eine gewisse Ausleuchtung und mittig in einer Etage platziert ist es oft möglich diese Vollständig zu erschließen.
 
xoa schrieb:
Man hört viel gutes von den UniFi UAP-AC-Lite.
Zum Vergrößern anklicken....

Nimm wenns geht den Unifi AP AC-PRO. Diese laufen mit "Standard-POE" (802.3af/at) wie es jeder PoE-Switch beherrscht. Der AP AC Lite und Long Range beherrschen nur PassivePoE, das wird nur von den Ubitiqui Switchen unterstützt (und natürlich von den beigelegten PoE-Injectoren). Ist einiges einfacher wenn du mal auf einen PoE-Switch umsteigst und auf den Injector verzichten möchtest.
Ausserdem ist der Pro schneller (natürlich nur bei entsprechender Gegenseite) und gemäss Hersteller für den Outdooreinsatz geeignet (≠ wasserdicht).

Bei den Unifis muss übrigens das Management-VLAN immer 1 und untagged sein. Find ich nicht so glücklich, aber zum Glück laufen die Geräte auch mit OpenWRT oder LEDE und so auch ohne Controller (inkl VLAN Support) :cool:
 
Ganz ehrlich? Für Zuhause ist der Pro völlig übertrieben. Ein Lite reicht da mehr als vollkommen. Ein PoE Switch wird hier wohl weniger vorhanden sein, und für einen Access-Point einen zu kaufen wäre auch Blödsinn. Da muss schon einiges im Haus zusammen kommen, damit sich das lohnt. Mal davon abgesehen das die LR mittlerweile auch 802.3af beherrschen.
 
Danke für eure Hilfe. Ich habe mir den Lite bestellt. Bin schon auf die Reichweite im Vergleich zu meinem aktuellen TP-Link gespannt. Morgen werde ich mich nochmals hinsetzen und mich mit dem Thema nochmals beschäftigen, ggf. auch nochmals mein Netz zeichnen und auf Papier konfigurieren.
 
Zuletzt bearbeitet:
Irgendwie komme ich immer auf das selbe Ergebnis :haha:

2 VLANs:
VLAN 20 "Gast". Der Gast soll nur per WLAN ins Internet kommen, sonst nichts. Deshalb Port 1 (Router/Internet) und Port 8 (AP) "Untagged", und am AP der SSID für den Gast einfach das VLAN 20 zugewiesen. Dann noch QoS für die Begrenzung der Bandbreite aktivieren.
VLAN 10 "Privat" Der Rest, also "privat" darf jeder jeden sehen und überall zugreifen. Alle Ports auf Untagged und am AP der privaten SSID einfach das VLAN 10 zugewiesen.

Die beiden angeschlossenen Switches sind stinknormale Switches, also keine managed und dienen nur zum einfachen anschließen mehrere Geräte in entfernten Räumen, ohne mehrere Kabel verlegen zu müssen.
Liege ich wieder komplett daneben?
Würde es Sinn ergeben, sofern überhaupt möglich da der Router ja mein DHCP ist, der Gast-SSID evtl. auch ein eigenes Subnet zuzuweisen, z.B. 10.0.1.X, den ganzen privaten Rest des Netztes belasse ich in 10.0.0.X.

img_20170528_1048473gu9h.jpg
 
Zuletzt bearbeitet:
Zu deiner Zeichnung;

1) Ein untagged Port kann nur in einem VLAN Mitglied sein. Dass also Port 1 und 8 sowohl in VLAN 10 als auch 20 untagged sind, funktioniert nicht. Korrekt wäre beide Ports VLAN 10, untagged und VLAN 20, tagged zuzuordnen. (Btw, wundert mich, dass der Netgear die Einstellung "untagged" für ein und denselben Port in mehreren VLAN überhaupt zulässt. Mein SG300 verbietet solche Einstellungen.)

2) Da der Internetrouter keine VLAN unterstützt, kann dieser nur mit einem untagged LAN kommunizieren. Im Beispielfall (Port 1 VLAN 10, untagged und VLAN 20, tagged) also nur mit VLAN 10.

3) Verschiedene VLAN haben verschiedene IP-Adressen und Subnetze. Die zugeordneten Geräte haben entsprechend eindeutige IP-Adressen. Damit Geräte aus den verschiedenen VLAN aufeinander zugreifen können, wird ein VLAN-fähiger Router benötigt. Die hierzulande oft als Router bezeichneten Kombigeräte können i.d.R. nur zwischen einem WAN und einem LAN routen, aber nicht zwischen verschiedenen (V)LAN.

Zur Frage "Würde es Sinn ergeben, sofern überhaupt möglich da der Router ja mein DHCP ist, der Gast-SSID evtl. auch ein eigenes Subnet zuzuweisen, z.B. 10.0.1.X, den ganzen privaten Rest des Netztes belasse ich in 10.0.0.X.";

Gästenetze werden üblicherweise autarken Subnetzen zugeordnet. Anders lassen sich diese nicht sinnvoll von anderen Netzen isolieren. DHCP für das Gaestenetz könnte der UniFi UAP übernehmen.

Für das bessere Verständnis des Themas VLAN solltest du unbedingt dieses Tutorial vollständig und gründlich lesen April | 2011 | Edi Pfisterer Schulnetz.info
 
Zuletzt bearbeitet:
Danke für deine Hilfe!

1)Habe ich nun wie von dir beschrieben übernommen und Port 1 & Port 8 im Vlan 20 tagged zugeordnet.
2)Aktuell ist es nicht notwendig auf Geräte aus verschiedenen VLANS zuzugreifen. Von daher ist ein VLAN fähiger Router noch nicht ein MUSS wenn ich das richtig nachvollziehen kann.

Dann heißt es nun auf den UniFi UAP warten, dort dann die beiden SSID's erstellen, den entsprechenden VLANs zuweisen, QoS konfigurieren und für die Gäste SSID den UniFi UAP als DHCP (10.0.1.X) konfigurieren.
 
Wenn beide VLAN ins Internet kommen sollen, müssen beide auf den Internetrouter zugreifen können. Das geht nur über entsprechendes Routing, da der Router nur eine Adresse in einem VLAN haben kann. Mit dem vorhandenen Internetrouter DG2200 und den Layer-2-Switch GS108Tv2 kann nicht zwischen den VLAN geroutet werden, ergo kann VLAN 20 samt Gaestenetz nicht ins Internet.
 
Was ne knifflige Geschichte... Wobei es sich so einfach anhören würde.
 
Wie geschrieben, wäre die einfachste Lösung die aus dem von rayze verlinkten Tutorial mit der Fritzbox. Die kann man auch ohne VLAN-Kenntnisse umsetzen.
Ansonsten wäre das Problem ohne VLAN mit ACL lösbar. Die ACL müssten die Zugriffsrechte so einschränken, dass auf die MAC-Adressen der privaten Geräte nur andere private Geräte zugreifen dürfen. Ausnahme waere der Internetrouter, auf den auch Gäste zugreifen müssen, um ins Internet zu gelangen.
 
MoBo 01/04 schrieb:
Ansonsten wäre das Problem ohne VLAN mit ACL lösbar. Die ACL müssten die Zugriffsrechte so einschränken, dass auf die MAC-Adressen der privaten Geräte nur andere private Geräte zugreifen dürfen. Ausnahme waere der Internetrouter, auf den auch Gäste zugreifen müssen, um ins Internet zu gelangen.
Zum Vergrößern anklicken....

Was der von TE bestellte Unifi AC Lite auch kann. Damit könnte man sich einen neuen Router sparen. Wobei dann noch das Problem mit dem vom DGS2200 scheinbar nicht beherrschten (oder schlecht umgesetzten QoS) bestehen bleibt.
 
Anmelden, um zu antworten.

Ähnliche Themen

I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
961
Supaman
Supaman
L
TL-SG3424 VLAN Konfiguration Verständnis Problem
Antworten
2
Aufrufe
310
logan517
L
M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
914
BobbyD
BobbyD
M
Openwrt anlegen mehrerer VLANs nicht möglich
Antworten
6
Aufrufe
562
Mater1984
M
G
OPNsense Vlan konfigurieren
Antworten
14
Aufrufe
1K
KurantRubys
KurantRubys
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh