[Kaufberatung] Welcher Switch und welche Firewall für VLANs?

M

Marcool

Enthusiast
Thread Starter
Mitglied seit
02.01.2008
Beiträge
210
Hallo,

ich möchte später verschiedene/bestimmte Dienste aus einem VLAN dem anderen VLAN bereitstellen. Dabei soll aber nicht alles durch gehen.

Wieviele Vlans es werden weiß ich jetzt noch nicht, vielleicht habt ihr da auch vorschläge (Internet,WLAN,Gast,TV (SAT),EtagenNetz,Server). VPN wird erstmal nicht benötigt.

Switch wird ein HP 1920-24G
Router ist ne Fritzbox 7490

Firewall soll mit opnsense oder pfsense laufen. Wichtig ist mir auch das die Geschwindigkeit nicht ausgebremst wird.


Gruß
Marcus
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ups, welche günstigen Geräte könnt ihr empfehlen?

Zu den wünschenswerten Eigenschaften würde ich noch 19" Format(muss aber nicht unbedingt -> Preisleistung wichtiger ) packen und geringer Stromverbrauch.
 
Würdest du auch noch schreiben um welche Geräte es dir geht, das geht leider nicht wirklich aus deinem ersten Post hervor.
 
Mir geht/ging es um die Firewall. Ich stehe aber selber gerade etwas aufm Schlauch. Bin mir nicht mehr so sicher wie ich das alles aufziehen soll. Vielleicht könnt ihr mir dazu auch ein paar Tipps geben (auch wenns nicht mehr zum Threadtitel passt).

Gegebenheiten/Soll:

- 2 getrennte Etagen !
- Wlan pro Etage und Garage/Garten/Keller
- Lan pro Etage
- Gäste LAN/WLAN

- 1x WAN (Fritzbox 7490)
- 1x SAT IP Server (TVHeadend) (TV nur noch über Netzwerk)-------------> kein Internet
- 1x NAS/Server für SMB Freigaben und evtl. DLNA/UPnP Dienste-----------> kein Internet

- 5x Android TV Boxen(2 pro Etage + 1 Garage)---------------------------> NAS und Internetzugriff
- 8x Clients (PCs ,HTPCs, Notebooks)------------------------------------> NAS und Internetzugriff
- 4x Handys------------------------------------------------------------> NAS und Internetzugriff


Ich würde jetzt mindenstens 5 VLANs machen.

1. 1-EG
2. 2-EG
3. TV Clients
3. Server/Dienste
4. Gäste
5. WAN (internet)

Was meint ihr? so ok?

Switch schwanke ich aktuell auch wieder zwischen dem HP 1920 und dem D-Link DGS-1510-28. Empfehlungen?

Ich denke dann fehlt mir noch die Firewall für die Verkehrsregeln :)
 
Zuletzt bearbeitet:
Wenn die Vlans miteinander kommunizieren können sollen, wird ein Vlan-fähiger Router benötigt. Die herkömmliche 7490 gehört nicht zu diesen Geräten. In Verbindung mit dem HP1920 oder einer pfsense wäre das aber kein Problem, da beide routen können. Mit dem D-Link und der Fritzbox ließen sich hingegen nur autarke Vlans anlegen.
Insbesondere für Neueinsteiger wäre für ein solches Vorhaben ein Cisco-Switch, wie SG200/250 (Layer 2, kann nicht routen) oder SG300 (Layer 3, kann routen), ideal. Deren Bedienkonzept ist Quasistandard, am besten dokumentiert und man findet mit Abstand die meisten Tutorials zu diesen Switches.

Für eine Firewall, die auch bei umfangreichen Regeln jenseits von 200MBit/s nicht limitiert, braucht man rel. leistunsgfähige Hardware. Ob die dabei entstehenden Anschaffungs- und Verbrauchskosten gerechtfertigt sind, sollte gründlich abgewogen werden. Ein guter Kompromiss aus Leistung, Kompatibilität und Verbrauch für pfsense wäre Supermicro X11SBA-LN4F bulk Preisvergleich Geizhals Deutschland . Bei hiesigen Energiepreisen fallen damit aber immer noch ca. 40€ p.a. an Verbrauchskosten an.

Kostengünstiger wäre eine Firewall-Lösung mit Routern wie Mikrotik hex3 oder Ubiquity EdgeRouter X. Die basieren auf verbrauchsärmeren Arm-Plattformen und bieten im Rahmen ihrer Betriebssysteme im Vergleich zu herkömmlichen Routern recht umfangreiche Firewall-Regeln.
 
Zuletzt bearbeitet:
Sorry, habe mich von Geizhals irreführen lassen. Der DGS-1510 wird dort als L2+-Switch bezeichnet, was üblicherweise Routerfunktionen ausschließt. Da der Preis nur geringfügig unter dem des Cisco SG300-28 liegt, aber auch keine wirkliche Alternative.
 
Moin,

überschlag mal was für ein Datenaufkommen zwischen den Netzen stattfindet und welche Anforderungen Du an die Geschwindigkeit Du intern hast, wenn da viel los ist macht es Sinn dieses über einen L3 Switch abzufrühstücken und Internet Über einen VLan fähigen Router. Der Nachteil ist dann halt, das Du dann 2 Instanzen im Routing pflegen musst, das Interne im Switch und nach extern über den Router.
Fürs WAN brauchst Du nicht unbedingt ein VLan, es sei denn Deine Infrastruktur erfordert das.
Momentan ist mein Datenaufkommen zwischen VLans gering deshalb läuft es noch über den Router. Ein Cisco SG300 ist verbaut und wird ggf. das interne Routing übernehmen.

Wie willst Du das Thema WLan abfackeln? Ich tendiere zu einer kontrollerbasierten Lösung sobald mehr als ein AP nötig ist. https://geizhals.de/ubiquiti-unifi-ap-ac-lite-uap-ac-lite-a1325765.html?hloc=at&hloc=de strahlt Dir bis zu 4 SSIDs separiert über VLan, bietet aber auch intern eine Funktion fürs Gastnetz. Der Kontroller läuft auf einem PC/Notebook/Raspberry/einigen NAS/ oder auf Hardware vom Hersteller, die Software ist kostenlos erhältlich muss aber nicht unbedingt durchlaufen, kommt darauf an was Du nutzt.

-teddy
 
Hallo,

Zum Datenaufkommen kann ich nicht wirklich was sagen.


ich habe mir aber mal ein paar Gedanken gemacht. (Bilder)

Wenn der SATIP Server mit ins SAT VLAN geht umgehe ich ja u.a. die Problematik mit Broadcast/Multicast. Zugriff aufs NAS müsste man halt schauen, oder das NAS auch ins SAT VLAN ?!

@magicteddy: Danke für den Tipp. Der AP passt .

IT.jpg

Text.jpg

Passt das so ? Wenn ja, welcher Router/Firewall ? oder doch ohne?
 
@Marcool: SATIP-Server hat herzlich wenig mit Broadcast/Multicast zutun. Alle SATIP-Server im Handel nutzen zur Bereitstellung des Signals Unicast.
Paar Anmerkungen zu deinem Plan (nicht böse gemeint):
a) Gibt es absolut keinen Grund VLAN's für einzelne Dienste anzulegen.
- Gäste/Verwandschaft kann ruhig bei dir fernsehen.
- Pro SSID kann ohne viel gefrikel bei Ubiquiti lediglich ein VLAN zur Verfügung gestellt werden.
b) Vermisse ich in den Grafiken einen Controller für den/die AP's
c) DHCP willst du womit sicherstellen? Sollte der NAS dafür zuständig sein, so musst du ihm mehrere u.u. virtuelle Interfaces verpassen.
d) Sowohl SAT-IP als auch ein herkömmliches NAS kann ab und an einen Update vertragen...
e) VLAN 1 ist beim SG300-28 das default VLAN und kann nicht getaggt verwendet werden.
f) Was ist der Unterschied zw. VLAN ID 511/512? Deiner Exceldatei nach gibt es da Keinen.
g)VLAN 401 ~ Internet ohne Einschränkungen würde noch mal überlegen. Stichwort inbound und outbound-filtering/Regeln.
h) Wenn du alles durch die Firewall jagen willst, damit diese Routing betreibt, wird dies ganz schnell ein Bottleneck.
 
Zuletzt bearbeitet:
Hallo testm,


alles Gut :d

@SatIP :Okay, ich bin hier noch recht frisch im Thema, mein Bruder betreibt es aktuell.

f) Es gibt keinen Unterschied. Wie vorher beschrieben sind es 2 Wohneinheiten. Ob da jetzt Familie oder Fremde wohnen ist eigentlich egal. Wenn man es genau nimmt müsste ich auch das SAT VLAN segmentieren.

a) Ich weiß selbst das es mehrere Möglichkeiten gibt. Ich könnte auch einfach alles Server (die vielleicht noch kommen) in 1 Vlan "Dienste" stecken und die SAT IP Clienten im Netz der jeweiligen Wohnung packen. Wäre noch Punkt F konform aber was macht denn Sinn ? ^^
a1) sehe ich auch so, aber Punkt F !
a2) 1 Vlan für 1 SSID = 4 SSIDs ist doch OK :)
b) R-PI fehlt in der Zeichnung. Nur 1AP wenn möglich
c) DHCP Server aufm SG300 oder der Router/FWall
d) Ja , temporärer Zugriff
e) OK
g) ok, ganz Frei wirds natürlich nicht
h) Das habe ich mir auch schon gedacht.

Für später kann ich mir auch noch dyndns dienst,Owncloud oder Seafile sowie OpenVPN vorstellen.(nur am Rande erwähnt)
 
@Marcool:
es macht - aus meiner Sicht - wenig Sinn ein ganzes Zoo an VLAN's zu halten. Vieles kann man auch ohne VLAN's ganz einfach umsetzen.
Zudem sollte der Traffic durch die Firewall vermindert werden.
Auch sollte man DHCP möglichst zentral halten, denn sonst wächst das Vorhaben über den Kopf.
Für mehr als vier VLAN's sehe ich beim besten Willen keinen Sinn - in deinem Falle.
 
Moin,

mach Dir nochmal Gedanken über die VLan Aufteilung, geografisch aufzuteilen macht wohl wenig Sinn ;) mach es nach Funktionen.

Mein Vorschlag:
VLan 301 macht dann Sinn, wenn das Routing über den L3 Switch erfolgen soll und aus anderen Netzen darauf zugegriffen werden soll oder eine Abtrennung wegen DMZ erforderlich ist.
511 & 512 zusammenfassen evtl. sogar die 302 mit rein nehmen, ich habe es so am Laufen.

Gastnetz LAN & WLan habe ich in einem VLan zusammengefaßt.

Was ich nun garnicht verstehe: VLan 201: Hast Du dort einen Switch vergessen? Geht doch direkt auf Deinen Router, da brauchts kein VLan

Die Nummerierung habe ich anders gelöst: VLan 10 hat das Netz 192.168.10.0/24, VLan 20 hat das Netz 192.168.20.0/24 usw.
Somit habe ich einen logischen Zusammenhang zwischen zwischen Adresse und VLan.

-teddy
 
Zuletzt bearbeitet:
Wenn Du das ganz easy lösen willst, schau Dir mal die Unifi Serie von Ubiquiti an. Über den Controller ist das relativ einfach zu realisien und alles in einem Management Interface.

Habe bei mir die VLANs folgendermaßen aufgeteilt:

1 für Management
10 für Clients
20 für LogitechMediaServer und entsprechende Devices
30 für Kameras
40 für Amazon Echos
50 für restliche Devices wie TVs, Hue usw.
60 für KODI Player
70 für Server
90 für Gäste

Bei Unifi "sehen" die sich dann pauschal erstmal alle, ist aber über die USG Firewall recht einfach einzustellen, dass das nicht so ist. Man erstellt Gruppen und verweigert denen "LAN out". Nach Bedarf lässt man dann vor der BLOCK-Regel entsprechende ALLOW-Regeln zu, z.B. KODI zu TvHeadEnd, Echo zu Hue oder Kamera zu Smarthome etc.

Sachen wie Voucher-Portal, Radius-Auth, VPN usw. sind auch gleich mit an Bord. Die Community und die regelmäßigen Releases sowie Beachtung von Userwünschen runden das System nochmal ab.

Hatte vorher auch mehrere "Insel"-Lösungen, aber administrativ ist Unifi definitiv eleganter und das noch mit einem schmucken Interface aus einem Guss für alle Komponenten von Router bis AP.
 
Anmelden, um zu antworten.

Ähnliche Themen

Shihatsu
VLAN funktioniert nicht sauber, andere VLANs schon - proxmox, opnSense(HA) und Mikrotik Switche
Antworten
3
Aufrufe
592
Supaman
Supaman
I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
959
Supaman
Supaman
M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
914
BobbyD
BobbyD
L
Server und netzwerkumbau richtung 10 g wenn möglich
Antworten
2
Aufrufe
319
loaded
L
G
OPNsense Vlan konfigurieren
Antworten
14
Aufrufe
1K
KurantRubys
KurantRubys
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh