3xFritzboxen , 1xGastzugang und 1xSwitch und Vlan

[anfield]

Hallo Leute.

Weiss nicht wie ich das Thema sonst nennen soll.
Und ob das Thema hier reingehört weis ich auch nicht.
Deshalb erstmal sorry dafür.

So jetzt zum problem.
Will hier 3 seperate netze einrichten.
Vorhanden sind
1x Fritzbox Cable.
1x Fritzbox 7490
1x Fritzbox 7390
1x Freifunk Router
1x Netzwerkswitch 16 Port managebar.
------------------------------------------------
1. Netz
1. Fritzbox Cable Hauptnetz feste 192.168.0.1 und DHCP an.
Diverse Repeater ond Netzwerkgeräte die meisten haben eine feste IP oder bekommen einen per DHCP von der Fritzbox Cable
--------------------------------------
2. Netz
2. Fritzbox 7390 im moment Client von Fritzbox Cable
................................................................................................................
3. Netz
1 x Freifunk Router direkt am Gastzugang (Lan4) Fritzbox Cable.
---------------------------------------------------------------------
Internet soll es weiter für alle über die Fritzbox Cable geben.

Möchte das die Fritzbox 7390 einen eigenen IP Bereich bekommt.
Also abgeschottet vom restlichen Netz ist.
Evtl. noch ein 4 Netzwerk segment für probier zwecke bzw. Testrechner etc.
So das Geräte die sich mit der 7390 verbinden nicht in mein Netz (Fritzbox Cable) sind.
Also abgeschottet von meinen Netz sind.
und trotzdem alles internet über die Fritzbox Cable haben.
Kann ich das evtl. per vlan am Netgear Switch machen.
Kann mir evtl. einer helfen oder Tips geben.

Uff weis nich wie ich es sonst beschreiben soll.
Hoffe ihr versteht was ich möchte.

Danke im Vorraus.

 

[Phantom]

Dein Switch wird das ganze umsetzen können. Du musst dann lediglich die IP Routen damit diese im Netzwerk bekannt ist.

 

[tem_invictus]

Wenn ich jetzt keinen Denkfehler habe, wird das nicht funktionieren mit der Fritzbox.

Dein managed Router wird VLANs unterstützen, soweit kannst du also deine Netzte sauber trennen.
Die Fritzbox unterstützt das jedoch nicht (soweit mir bekannt). Du kannst also höchstens zwei separate Netze erstellen. Nenne wir es mal Hauptnetz (Lan 1-3) und Gastnetz (Lan 4).

In allen anderen Kombinationen überbrückt die Fritzbox deine Trennungen.

 

[KaFuKaFu]

Ich denke, die gewünschte Konfiguration bei mir hinbekommen und schon länger in Betrieb zu haben - hat aber ein wenig Zeit zum Rumprobieren gebraucht:
Die zweite Fritzbox habe ich so konfiguriert, dass sie ein eigenes Subnetz aufspannt, welches dann an LAN 2&3 sowie in deren WLAN zur Verfügung steht. Über LAN1 verbindet sie sich zur Hauptbox (nicht als IP-Client). Der Clou ist nun, dass ich für dieses Subnetz den gleichen Adressbereich nutzen lasse, wie ihn auch meine Hauptbox aufspannt. Dadurch kommen Geräte hinter der zweiten Box dort nicht raus, weil die 2. Box den eigenen Adressbereich nicht "rausNATet". Zusätzlich lässt sich über LAN4 & das Gast-WLAN dann noch ein weiterer Adressbereich von der zweiten Box aus aufspannen. "Nachteil" des Ganzen ist, dass man per VPN dann wegen der gleichen Adressbereiche weder vom Netz der ersten Box in das Netz der zweiten Box kommt noch umgedreht per VPN vom Netz der zweiten Box in das Netz der ersten Box. Das Netz der zweiten Box ist aber ansonsten voll nutzbar (natürlich inklusive Internet).

 

[anfield]

Okay Danke erstmal für eure Antworten.

 

[kaaslord]

Den Zugriff auf dein Hauptnetz (Cable Box) über die 7390 (Client Box) kannst du nicht verhindern. Die Fritzboxen kennen sich gegenseitig und auch wenn auf der 7390 der DHCP läuft und ein anderes Subnetz aktiv ist, kann man auf die Geräte der CableBox zugreifen. Nur andersrum gehts nicht weil sich die Firewall/NAT nicht auf den Geräten abschalten lässt.

Wenn Du also wirklich vor hast ein gescheites abgetrenntes Subnetz mit mehreren Geräten aufzubauen, kommst Du nicht um was vernünftiges wie einen MikroTik hEX RB750Gr3 rum (nichts für Anfänger aber Top Gerät und günstig).

Ich habe soviel Zeit damit verschwendet so etwas mit FritzBoxen aufzubauen, aber die sind dermaßen restriktiv, spar die Zeit und Kopfschmerzen und lass es sein. Alternativ halt andere billige Router aus dem Elektro-Markt und Fremdsoftware drauf.

 

[aussua]

... Den Zugriff auf dein Hauptnetz (Cable Box) über die 7390 (Client Box) kannst du nicht verhindern.
... auch wenn auf der 7390 der DHCP läuft und ein anderes Subnetz aktiv ist, kann man auf die Geräte der CableBox zugreifen. ...

Das ist so schon ersteinmal richtig, nur ist die von @KaFuKaFu vorgeschlagene
Lösung ja eine andere!

Wenn ich es richtig gelesen habe, ist die 2.Box eben keine IP-Client, sondern ein IP-Router,
der per IP (Lan1) sein "Internet (per IP)" bekommt.
Der Trick ist jetzt aber, extra in der 2.Box den gleichen IP-Adressbereich wie in
der 1. Box zu verwenden, quasi so:
"Internet"<--->1.Router Fritzbox (192.168.178.1/24)<--->2.Router Fritzbox (192.168.178.1/24)

In der 2.Box sieht es bei deren Zugangsdaten/Internetzugang wohl so aus:
Anschluss=(Externes Modem oder Router)
Betriebsart=(Internetverbindung selbst aufbauen/Router).
Die 2. Box "routet+NATet" damit von Lan1 (z.B. die 192.168.178.11 (?) ) zu Lan2/Lan3/WiFi
(192.168.178.1/24). In der Gegenrichtung landen alle Verbindung von Lan2/Lan3/WiFi
zu den IP-Klienten der 1.Box (IP ebenfalls innerhalb 192.168.178.1/24) an der 2. Box,
die sie aber nicht nach außen (Lan1-Seite) gibt.
An Lan4 der 2.Box ist das Gastnetz, das "blockt" AVM intern von Lan2/Lan3/WiFi ab.
Damit greift dieses "AVM-blocken" ja auf den IP-Adressbereich von Lan2/Lan3/WiFi.
Wenn der IP-Adressbereich der 2.Box jetzt aber gleich dem der 1.Box ist, dann
verhindert "das AVM-blocken" da wohl auch den Bereich der 1.Box mit. (?)

Für eine IP-Adressenvergabe per DHCP (egal in welcher Box) sieht das alles wohl
doch irgendwie so aus wie: "ja, so ginge es mit dieser Konfiguration".

Ob es aber bei einem "böswilligen", per IP-Adressen/-Routen/Gateway konfigurierten,
Klienten in den jeweiligen Netzen auch noch wie gewünscht klappt, das hat @KaFuKaFu sicherlich
ausgetestet und da kann er ja noch etwas mehr dazu sage.

@KaFuKaFu: Welche IP/Gateway hat der Lan1 der 2. Box?

 

[blodern]

Ich kann hier @maikyyy nur zustimmen.

Alles was du/ihr hier mit mehreren Fritzboxen vorhabt, ist alles finde ich nur eine Bastellösung.
Kauft einen Mikrotik, das ist zwar ein sehr anspruchsvolles Einrichten, aber dafür sind die Netze sauber getrennt und es wird nur 1 Router benötigt.

Dann ist das ganze sauber gelöst und auch für die Zukunft ist man gewappnet.

Mehrere Netze auf verschiedenen Lan Ports ist damit kein Problem. Auch verschiedene IP Bereiche kein Problem.
Ist vielleicht sogar ein guter Switch vorhanden, kann das ganze mit einem Lan Port und VLAN auch getrennt werden.

 

[tem_invictus]

Also Mikrotik ist schon sehr geil, aber das ist wohl wirklich was für fortgeschrittene.
Da kann man auch überlegen OpenSense einzurichten.

Etwas "simpler" wird es, z.B. mit einem Ubiquiti UniFi Security Gateway.
Du nutzt weiterhin die Fritzbox Cable als Internetzugang, dahinter kommt dann direkt das UniFi Security Gateway.
Und dort kannst du dann verschiedene VLANs (inkl. DHCP Server) einstellen. Das Gateway sorgt dann dafür, dass alles sauber getrennt wird.

 

[blodern]

Problem ist nur, dass Ubiquiti halt nicht den besten Ruf hat.

 

[tem_invictus]

Für die meisten Einsatzzwecke reicht Ubiquiti völlig.
Aber bitte, man könnte auch Geräte nehmen von Cisco, HP, Netgear, Synology, Draytek, etc....

 

[aussua]

...Alles was du/ihr hier mit mehreren Fritzboxen vorhabt, ist alles finde ich nur eine Bastellösung...

Nun, das bestreitet doch hier keiner.
Mich hat nur die Ansage:
> Den Zugriff auf dein Hauptnetz (Cable Box) über die 7390 (Client Box) kannst du nicht verhindern
gestört.
Anscheinend geht es eben doch, aber warten wir das doch einmal ab...

Andererseits habe ich innerhalb der letzten 5 Jahre, bedeutend mehr, angeblich
"sichere", (z.B.) Mikrotik-Anbindungen, als da komisch/unsichere Fritzbox-Lösungen
gesehen/vorgefunden/abgeändert...

 

[blodern]

Für die meisten Einsatzzwecke reicht Ubiquiti völlig.

Das bestreitet auch keiner. Allerdings stehen die in der Kritik, Daten zu sammeln. Klar könnte man jetzt auch wieder sagen, das tun andere auch usw.
Wissen muss es jeder selbst. Ob einem die Kritik egal ist oder nicht muss auch jeder selber wissen. Egal ob es für einen klein Einsatzzweck ist oder für etwas großes.

Andererseits habe ich innerhalb der letzten 5 Jahre, bedeutend mehr, angeblich
"sichere", (z.B.) Mikrotik-Anbindungen, als da komisch/unsichere Fritzbox-Lösungen
gesehen/vorgefunden/abgeändert...

Da gebe ich dir sogar recht. Wenn man hier nicht penibelst einstellt, dann hat man ganz schnell ein offenen Scheunentor.
In dieser Sichtweise, ist Fritzbox natürlich sicherer, da man auch bei weitem nicht so viel einstellen / verstellen kann.

 

[prisrak]

Anleitung zum Testen für Bastler und Experimentierer: Getrennte-Netzwerke_Subnetze-erstellen mit einer F!B.
Man muss die ar7.cfg per Konsole editieren und kann theoretisch 6 Subnetze, 4xLAN, 2xWLAN, einrichten.

 

[kaaslord]

Das Problem mit dieser Bastelei ist eben, irgendwann ist bei der FB auch mal Feierabend. Die kann ja nicht 10 Gbit/s nur weil sie 4x 1 Gbit/s LAN verbaut hat. Mit meinem internen Server der 2x 1 Gbit/s LAN Ports verbaut hat, würde ich das Gerät an die Grenze bringen. Für so einen Fall wären dann wirklich 2 getrennte Subnetze an zwei unterschiedlichen Infrastrukturen nötig die darüber zentral auch Daten austauschen können (habe ich noch nicht realisiert aber möchte ich so haben). Will jetzt aber auch nicht unbedingt damit das Thema hier kapern.

Noch ein übler Beigeschmack mit solch einer Fummelei ist es, die Fritzbox wird sich beim nächsten Update bedanken und sich quer stellen.