Aktuelles
router-security.de Forum

Du hast fragen zum Thema Router, Netzwerktechnik, Firewall und Netzwerksicherheit? Registrieren dich noch heute kostenlos hier im Forum, um Mitglied zu werden! Sobald du angemeldet bist, kannst du dich an dieser Seite beteiligen, indem Du eigenen Themen und Beiträge verfasst und du kannst mit anderen Mitgliedern über Ihren privaten Posteingang in Verbindung treten!

Sonstige Router Gäste Netzwerk (Gäste-WLAN / -LAN) erweitern über Managed Switch

Sonstige Router
Status
Für weitere Antworten geschlossen.
Heutzutage haben schon viele Router einen Access-Point eingebaut, der auch ein Gäste-WLAN aufspannen kann - manche lassen es sogar zu, wenigstens einen LAN-Port mit ins Gäste-Netzwerk zu konfigurieren. Das gilt z.B. für Fritzboxen von AVM. Dieses Gäste-Netzwerk wird mit einem eigenen, Router-internem DHCP-Server ausgestattet, über den für die Clients im Gastnetz ein vom Heimnetz getrenntes Subnetz zur Verfügung gestellt wird: Bei Fritzboxen sind das standardmäßig für den Heimbereich das Subnetz 192.168.178.0/24, für den Gastzugang das Subnetz 192.168.179.0/24.

Die Trennung von Heim- und Gast-Netz geschieht im Router über die interne Firewall. Diese sperrt den Netzwerk-Verkehr zwischen den beiden Subnetzen auf Layer 3. Wenn die Reichweite des Gastnetzes erweitert werden soll, weil z.B. das WLAN-Signal nicht ausreicht, um das gewünschte Areal auszuleuchten, muss die Trennung von Heim- und Gastnetz auch außerhalb des Routers aufrecht erhalten werden und an andere Netzwerk-Komponenten, wie zusätzliche Access Points zur Reichweitenerhöhung, übertragen werden. AVM bietet zu diesem Zweck proprietäre WLAN-Repeater an, die auch die Gastnetz Konfiguration von der Basis-Station übernehmen können. Andere Hersteller bieten für diesen Zweck keine eigene Lösung an.

Auch wenn der eigene Router überhaupt nicht die Möglichkeit bietet, ein separiertes Gastnetz aufzuspannen, kann diese Aufgabe mit einem einfachen "Managed Switch", wie z.B. von Netgear oder TP-Link in der 30 Euro Klasse (abhängig von der Anzahl der Ports), und einem Access Point oder ausrangierten Router mit WLAN erledigt werden. Dazu muss der Switch nur sogenannte Virtual LANs (VLANs) unterstützen. Weder der Router noch die anderen Netzwerk-Komponenten (Access Points, PCs oder Drucker) benötigen eine VLAN Unterstützung.

Wie VLANs grundsätzlich funktionieren, ist z.B. - dort - beschrieben, wobei in dem hier beschriebenen Anwendungsfall schon der zweite Satz der Erklärung nicht zutrifft...
;)


Über einen managed Switch werden in diesem Beispiel per VLAN drei Netzwerke unterschieden:

VLAN 1 = Heimnetz
VLAN 20 = Gamenetz
VLAN 30 = Gastnetz

Jeder Switchport wird einem dieser Netzwerke (VLANs) zugeordnet und kann nur mit Geräten kommunizieren, die selbst an einem Port im selben VLAN angeschlossen sind. Zu dieser Regel gibt es eine Ausnahme: Der Port, an dem der Router angeschlossen ist, mit dem der Internetzugang realisiert wird, kann von allen drei Netzwerken aus erreicht werden. Die Geräte in allen VLANs teilen sich also den Internetzugang, sind per VLAN aber ansonsten getrennt.

Wenn an einen oder mehreren Ports im Gast-VLAN#30 WLAN-APs (oder ausgediente WLAN-Router) angeschlossen werden, so bekommen die damit verbundenen Clients einen Internet-Zugang, können aber nicht auf Geräte im Heim-VLAN#1 zugreifen. Das gilt umgekehrt genauso.

Diese Trennung in VLANs trifft allerdings ausschließlich auf Geräte zu, die direkt am Switch angeschlossen sind. Geräte, die mit dem (Internet Zugangs-)Router per Kabel oder WLAN verbunden sind, können aus allen VLANs erreicht werden, da es hier im Router keine VLAN-Trennung mehr gibt. Das kann sowohl Fluch als auch Segen sein: Wenn es eventuell Geräte gibt, wie z.B. einen Drucker, der von allen VLANs (Heim-, Game- und Gastnetz) aus erreichbar sein soll, so bietet sich deren Anschluss direkt am Router an. Allerdings sollte eben kein Gerät am Router angeschlossen werden, das nur aus einem VLAN zu erreichen sein soll.

Mit diesem Ansatz lassen sich auch andere interessante Szenarien abbilden, z.B. die Erweiterung des Heim- und Gastnetzes einer FB ohne AVM Repeater. Im nächsten Teil dieser Mini-Serie über VLANs wird eine entsprechende Konfiguration beschrieben.
 

Anhänge

  • GastWLAN.JPG
    GastWLAN.JPG
    49,3 KB · Aufrufe: 7
Um die praktische Umsetzung zu zeigen, befindet sich im Anhang die Konfiguration eines kleinen Netgear Switches vom Typ GS105Ev2. Diese spiegelt die im vorigen Beitrag beschriebene VLAN Konfiguration wider. Da der Switch nur 5 Ports hat, fehlt die Konfiguration für Port#6. Die ist allerdings absolut identisch zu den Einstellungen für den Port#5.

Noch einige Anmerkungen zur dieser Art der Heim- und Gastnetz Trennung ausschließlich über VLANs:

1. Alle Geräte, ob sie sich im Heim- oder im Gastnetz anmelden, befinden sich im selben IP-Subnetz. Das ist deshalb so, weil diese Konfiguration keinen Router voraussetzt, der VLAN Unterstützung mitbringt. Und auch gleichzeitig der Grund, weshalb der Router nicht mehr zwischen Heim- und Gastnetz unterscheiden kann.
2. Wenn Ports im Game- und Gastnetz Pakete mit der VID#20 bzw. #30 in Richtung Internet verschicken, so erhalten sie die Antwortpakete über die VID#1, also nicht mit der ursprünglich beim Senden genutzten VID. Diese Art von Konfiguration nennt man "asymmetrisches VLAN": Antwortpakete tragen u.U. nicht dieselbe VID wie die gesendeten Pakete. Das führt zu dem Schluss, dass bei dieser Art der VLAN Konfiguration die einzelnen VLANs eben keine eigene Broadcast-Domäne bilden. Ein Broadcast im VLAN#1 wird auch an Ports mit PVID#20 und #30 transportiert. Das ist nicht die nach VLAN Philosophie erlaubte Vorgehensweise.
:rolleyes:

3. Der administrative Zugriff auf Geräte im Gast- und Gamenetz, z.B. auf die Web-Oberfläche der Access Points, ist nicht von PCs aus möglich, die am Switch angeschlossen sind. Dieser Zugriff funktioniert nur mit Geräten, die mit dem Router selbst verbunden sind - per WLAN oder LAN.

Insgesamt ist die Trennung von Heim- und anderen Netzen in diesem Beispiel nur auf Layer 2 durchgeführt worden. Auf Layer 3 sind alle Geräte weiterhin in einem IP-Subnetz.
 

Anhänge

  • SwitchConfig.jpg.png
    SwitchConfig.jpg.png
    218,9 KB · Aufrufe: 7
Hier nun ein Szenario mit einer Fritzbox als Zugangs-Router. Im Unterschied zum ersten Beitrag kann die Fritzbox einen Zugang für ein Heimnetz und ein Gastnetz zur Verfügung stellen. Im Gegensatz zu vielen anderen Routern der Consumer-Klasse, die nur im WLAN-Bereich eine Trennung von Heim- / Gast-Netzwerk unterstützen, könnnen die AVM Geräte einen Gast-Zugang auch am LAN-Port#4 zur Verfügung stellen. Wie schon im ersten Beitrag beschrieben, trennt die FB das Heim- vom Gastnetzwerk in zwei Subnetze mit jeweils einem DHCP-Scope und unterbindet über ihre interne Firewall den Netzwerk-Verkehr zwischen diesen beiden Subnetzen (192.168.178.0/24 und 192.168.179.0/24).

Im Unterschied zur Szenario-Beschreibung im ersten Beitrag - Heim- und Gastnetz werden nur auf Layer 2 getrennt, d.h. ohne eigenes Subnetz -, kann hier eine vollständige Trennung auf Layer 2 zwischen Heim- und Gastnetz auch auf dem Managed Switch durchgeführt werden.

Das führt zu folgenden Veränderungen in der Konfiguration aus Beitrag eins:

1. Die Fritzbox wird mit zwei Kabeln an den Switch angeschlossen. Am Switch-Port#1 hängt ein Port des Heimnetzes der FB und am Switch-Port#2 wird das am Port#4 der FB herausgeführte Gastnetz angeschlossen. Port#2 des Switches transportiert hier nur noch Netzwerk-Pakete, die zum Gast-VLAN#30 gehören. Das gilt auch für Switch-Ports, die weitere Geräte ins Gastnetz einbinden - im Beispiel der AP für das Gast-WLAN an Port#5.

2. Im Beispiel wird ein drittes VLAN fürs "Gaming" beibehalten, dessen Behandlung und Konfiguration sich nicht von der Beschreibung aus dem ersten Beitrag unterscheidet.

3. Der WLAN-Gastzugang kann bei dieser Konfiguration auch an der FB selbst genutzt werden, zusätzlich zu den anderen APs fürs Gast-WLAN, die am Switch angeschlossen sind. Dies gilt auch für das Heim-WLAN der FB. Die Trennung von Heim- und Gastnetz ist hier vollständig im Router (FB, Layer 3) und auf dem Switch (Layer 2). Nur bei Nutzung des "Gaming" VLANs wie im Beispiel ist weiterhin darauf zu achten, dass Geräte, die sich im Heimnetz der FB befinden und direkt an diese angeschlossen sind, sowohl vom VLAN#1 wie auch vom VLAN#20 zu erreichen sind - an der FB werden diese beiden VLANs weiterhin nicht getrennt.

Je nach Anzahl der Switch-Ports können auch weitere APs für alle VLANs (Heim-/Gast-/Gaming-Netz) integriert werden. Die VLAN-Konfiguration eines Switches wie im dargestellten Szenario wird im nächsten Beitrag beschrieben.
 

Anhänge

  • AVM_GastWLAN.JPG
    AVM_GastWLAN.JPG
    128,8 KB · Aufrufe: 5
Mit "ein bisschen" Verspätung hier die Switch-Konfiguration für das Szenario mit einer FB mit aktiviertem Gast-Zugang. Anstelle eines Bildes habe ich die Konfiguration als Video aufgenommen. Dieses Mal kommt ein Netgear gs108t zum Einsatz, der zwar etwas teurer als die Billigangebote - auch von Netgear selbst - ist, aber dafür professionelle Features beherrscht, die auch wirklich funktionieren!
;)


- Switch Konfiguration mit FB Gastzugang -
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben