[Gelöst] VLAN Routing mit Zyxel Switch + Fritzbox

K

Koreon

Experte
Thread Starter
Mitglied seit
26.09.2016
Beiträge
8
Hallo zusammen,

da mein Heimnetzwerk immer weiter wächst und auch immer mehr IoT-Devices und anderer Smarthome-Kram einzieht, würde ich gern mein Netzwerk in VLANs unterteilen.
Mein aktuelles Setup besteht aus einer Fritzbox 5530, einem Zyxel GS1900-48 sowie zwei VLAN fähigen Zyxel WLAN Access Points. Zusätzlich hab ich noch einen derzeit ungenutzen Mikrotik Hex.

Mein Gedanke ist gerade eine relativ granulare Unterteilung in VLANs vorzunehmen. Das würde dann auf 8-10 VLANS hinauslaufen. Meine Frage dabei ist: wie mache ich das mit dem Routing?
Soweit ich verstanden habe, unterstützt mein Switch zwar VLANs, kann die aber nicht routen (da kein Layer 3 Switch). Die Fritzbox kann auch kein VLAN und würde daher wahrscheinlich nur VLAN 1 mit Internet bespaßen, richtig?
Mein Plan war, den Mikrotik Router nutzen um zwischen den VLANs zu vermitteln.

Nun meine Fragen:
Den Mikrotik muss ich dann zwischen Fritzbox und Switch schalten, richtig? Bekomme ich da Probleme bzgl. NAT und lässt sich das relativ simpel lösen?
Und wie sorge ich dafür, dass der Mikrotik am Ende nicht der Flaschenhals im Netzwerk wird? Ließe sich die Bandbreite hier durch Link Aggregation erhöhen? (ein Kabel pro VLAN würde ich ungern ziehen).

Danke schonmal!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Keine Ahnung von Mikrotik. Aber wenn Du zwischen den VLANs routen musst, kostet das schon Leistung. Habe eine Zywall 110, und die routet zwischen den VLANs theoretisch mit Gbit. Aber ein einzelner TCP Stream kommt dann in der Praxis nur noch mit 500 Mbit/s an.

Aber wie oft muss man schon zwischen den VLANs routen? Bei mir einiges, aber bin da nicht so auf die Bandbreite angewiesen.

Vielleicht kannst Du die FB in den bridge Mode versetzten, dann brauchst Du NAT nur am Mikrotik zu machen. Ansonsten halt doppelt NAT. Mein Fibre Provider bietet kein bridge Mode. Deshalb habe ich die Zywall an den DMZ Port gehängt. Sprich da wird alles einfach durchgereicht, trotz doppeltem NAT.
 
Doppelt NATen brauchst du an der Stelle nicht.

Was du machen kannst, ist folgendes:


1689784621759.png


Auf der FritzBox kannst du eine Route für alle Netze, welche hinter dem Mikrotik erreichbar sein sollen, setzen. z.B. 10.0.0/8 in Richtung 192.168.178.2.

Damit weiß deine Fritzbox den korrekten Weg in dein internes Netz. Auf dem Mikrotik hingegen setzt du die Default Route 0.0.0.0/0 auf 192.168.178.1. Damit ist für ein NAT immer die Fritzbox zuständig.

Auf dem Mikrotik kannst du dann entsprechend deine drölfzig VLANs rausführen.

Eine Link Aggregration erhöht zwar die maximal mögliche Brandbreite, aber nicht die einer einzelnen Verbindung. Kopierst du z.B. Daten zwischen zwei Hosts, dann immer nur so schnell wie ein Link in der Aggregation, da TCP und UDP Verbindungen nicht loadbalanced werden können.
 
Seratio schrieb:
Doppelt NATen brauchst du an der Stelle nicht.
Zum Vergrößern anklicken....
Könnte man aber auch belassen. Da deine Switche eh alle nur 1Gbit haben, sollte das kein Problem sein. Und da, wo man hohen Durchsatz braucht, sollte man auch nicht in verschieden Netze aufteilen.
 
Danke erstmal für die vielen Antworten! Damit bin ich schon ein ganzes Stück weiter.
Das NAT-Thema scheint ja überschaubar zu sein.

Aber nochmal zu der Bandbreite:

AliManali schrieb:
Aber wie oft muss man schon zwischen den VLANs routen? Bei mir einiges, aber bin da nicht so auf die Bandbreite angewiesen.
Zum Vergrößern anklicken....
Das sieht bei mir ähnlich aus. Es gibt einige VLANs zwischen denen zwar recht viel hin- und hergeroutet werden müsste, da ist meist aber die Bandbreite nicht so entscheidend. Beim NAS bekomme ich allerdings Probleme.

Ich hatte überlegt, das NAS in ein eigenes VLAN zu stecken. Da wäre dann das Thema mit der Link Aggregation evtl. relevant.
Wenn sowohl die Internetverbindung aus diversen VLANS, als auch die Zugriffe auf das NAS und ein bisschen anderes inter-VLAN-routing über eine 1GBit Leitung in den Mikrotik laufen, ist doch da recht schnell Schicht im Schacht, oder?

Seratio schrieb:
Eine Link Aggregration erhöht zwar die maximal mögliche Brandbreite, aber nicht die einer einzelnen Verbindung. Kopierst du z.B. Daten zwischen zwei Hosts, dann immer nur so schnell wie ein Link in der Aggregation, da TCP und UDP Verbindungen nicht loadbalanced werden können.
Zum Vergrößern anklicken....

Okay, für einen einzelnen Zugriff auf das NAS bekomme ich also keine höhere Bandbreite, verstanden. Aber für o.g. Szenario mit NAS- und Internetzugriff von verschiedenen Clients würde es den Flaschenhals etwas "weiten", richtig?

Oder ist das so inperformant, dass es sinnvoller wäre das NAS einfach direkt in die zwei meistnutzenden VLANS zu hängen (das NAS hat zwei NICs)?

Edit: das NAS ist Teil der lokalen Backup-Strategie für verschiedene Devices. Darunter zwei Nutzer Clients (VLAN X), ein Raspberry mit NodeRed+ NUC mit Smarthome-Server und Visualisierung (VLAN Y) und separat nochmal ein Raspberry mit PiHole (VLAN Z oder direkt hinter der Fritzbox). Das NAS sammelt und speichert die Backups und schiebt sie dann von Zeit zur Zeit als zweite Backup-Instanz in die Cloud.
 
Zuletzt bearbeitet:
Kannst ja mal testen, ob der Mikrotik genug Durchsatz macht für Dein NAS. Bei mehreren Streams gleichtzeitig wird der Durchsatz vom Router btw. sogar höher. Meine Firewall macht theoretisch 1.5 Gbit/s, aber wie gesagt ein einzelner TCP Stream zwischen VLANs nur etwa 500 Mbit/s. UDP geht es dann ein bisschen schneller. z.B. Steam Downloads gehen mit voller Gbit/s Bandbreite durch. Die Zywall ist aber steinalt. Versuch macht klug.

Sonst kannst Du den Filer natürlich schon in mehrere VLANs gleichzeitig hängen, ja. Habe hier auch ein NAS so angeschlossen (DMZ, LAN, Gäste LAN). Da würde ich dann darauf achten, dass das Admin Interface nur im LAN erreichbar ist. Wenn Du von aussen darauf zugreifen möchtest, dann würde ich das noch über VPN absichern.
 
Shihatsu schrieb:
Hoffe die Tomaten sind lecker....
mikrotik.com

hEX | MikroTik

5x Gigabit Ethernet, Dual Core 880MHz CPU, 256MB RAM, USB, microSD, RouterOS L4
mikrotik.com mikrotik.com
Zum Vergrößern anklicken....
:unsure: muss wohl mehr auf Möhren umsteigen oder doch die Gleistsichtbrille mal anziehen :ROFLMAO:

@Koreon was für in hex ist es genau? Ein Gr3 hat nen Switch Chip mit ner VLAN Table ...da sollte schon was gehen beim interVLAN-routing: https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features#SwitchChipFeatures-Inter-VLANrouting (m)ein älterer hex Gr2 hat sogar nen Chip mit Rule-Table (habe den aber nur noch irgendwo als kleinen, PoE-angetriebenen Switch im Einsatz).
Wenn es Probleme gibt, das hier lesen: https://help.mikrotik.com/docs/display/ROS/Layer2+misconfiguration
 
Es ist tatsächlich der Gr3.
Danke für die Links zu der Lektüre, auf eine der Seiten hatte mich auch meine Google Recherche geführt.
Was ich noch nicht ganz verstanden habe: wenn ich es so mache wie hier beschrieben: https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features#SwitchChipFeatures-Inter-VLANrouting
...dann bräuchte ich ja pro VLAN ein Kabel vom Switch zum Mikrotik, oder?
Das würde ich wegen der Menge an geplanten VLANs gern vermeiden.

Meine Idee war, dass ich zwei Kabel vom Switch zum Mikrotik ziehe und darüber alle VLANs Tagged laufen lasse.
Spricht da was gegen?
 
Wenn Du die VLANs taggest, brauchst Du nur ein Kabel zwischen dem Router und dem Switch.

VLAN Grundlagen – Thomas-Krenn-Wiki

VLANs (Virtual Local Area Networks) unterteilen ein bestehendes einzelnes physisches Netzwerk in mehrere logische Netzwerke. Jedes VLAN bildet dabei eine eigene Broadcast-Domain. Eine Kommunikation zwischen zwei unterschiedlichen VLANs ist nur über einen Router möglich, der an beide VLANs...
www.thomas-krenn.com www.thomas-krenn.com
 
Koreon schrieb:
Was ich noch nicht ganz verstanden habe: wenn ich es so mache wie hier beschrieben: https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features#SwitchChipFeatures-Inter-VLANrouting
Zum Vergrößern anklicken....
In dem Beispiel sind die VLANs *im* Switch und die beiden Ports sind Access-Ports für dedizierte Clients, die es zu trennen gilt.
Wenn auf der anderen Seite noch ein Switch ist, nimmst Du einen Trunk-Port und da drin sind die einzelnen VLANs auch getagged, als im gleichen Kabel geführt..das V in VLAN steht ja für "virtuell".
Also, wie @AliManali schon sagte, tagged traffik ist das Zauberwort bzw. Trunk-Port.
 
Alles klar, danke euch! Der Trunk-Port war das Stichwort was mir gefehlt hatte.
Ich glaube in der Theorie hab ich's jetzt soweit. Dann schauen wir mal ob ich das in die Praxis umsetzen kann.
Vielen Dank für eure Hilfe!
 
Anmelden, um zu antworten.

Ähnliche Themen

M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
652
BobbyD
BobbyD
I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
767
Supaman
Supaman
Shihatsu
VLAN funktioniert nicht sauber, andere VLANs schon - proxmox, opnSense(HA) und Mikrotik Switche
Antworten
3
Aufrufe
501
Supaman
Supaman
Fl4sh3r
Alles soll raus: Wechsel auf Glasfaser
Antworten
28
Aufrufe
2K
Fl4sh3r
Fl4sh3r
W
Netzwerkplanung (Komponenten) für Eigenheim
Antworten
6
Aufrufe
831
warchild
W
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh