Hallo zusammen, ich möchte mein Netzwerk trennen. Für das Gäste WLan soll es ein extra VLan geben welches dann auf einem Router hinter dem eigentlichen ISP Router rauskommt. Kein Problem, das wird sicherlich so funktionieren. Die Gäste sollen nur in Internet, nichts anderes. Aber.. Das eigentliche Problem sind Versuchsaufbauten im Heimischen LAN. Automatisierungsgeräte welche über Netzwerk kommunizieren und erheblichen Broadcast Verkehr erzeugen (was die Switche schon teilweise anmeckern) und auch noch hoch priorisiert sind. Die Geräte sollen auch in einem eigenen VLan landen mit eigenem Router hinter dem ISP Router. Das Netz 192.168.3.0/24 soll aus dem Netz 192.168.1.0 erreichbar sein. Der ISP Router lässt sich allerdings nicht konfigurieren, sodass ich diesem nicht sagen kann das hinter dem "Router Automatisierung" (welcher ja ein client vom ISP Router wäre) das Netz 192.168.3.0 zu finden ist. Den ISP Router tauschen ist leider nicht drin (Wirklich nicht.) Gibt es andere Lösungsmöglichkeiten? Ziel soll es sein (vor allem) die Broadcasts auf die Automatisierungsclients zu beschränken, und ein (für dieses Netz) eigener DHCP wäre auch nicht verkehrt.
Angehängte Dateien:
-
netz.PNG
20 KB
Mark schrieb: > Das Netz 192.168.3.0/24 soll aus dem Netz 192.168.1.0 erreichbar sein. Was ist denn das Ziel davon? Sind noch Geräte in diesem Netz vorhanden, oder geht es um eine Portfreigabe? Eine Portfreigabe müsste sich durch beide Router durchschleifen lassen.
Mark schrieb: > Gibt es andere Lösungsmöglichkeiten? setze hinter dem ISP-Router einen Router mit 4 Netzwerkanschlüssen ( oder VLAN). Dann im ISP-Router das NAT ausschalten und alles an den neuen Router weiterleiten - schon kann du alles machen was du willst. Aber bedenke das es viele Software und Geräte gibt die nicht über Netzwerkgrenzen kommunizieren können (nicht weil es technisch nicht geht sondern weil sie es nicht bedacht haben)
Mark schrieb: > Gibt es andere Lösungsmöglichkeiten? Du kannst eine mehrstufige Kaskade bauen:
1 | ISP-Router--+--Router 192.168.2.x für Gäste |
2 | | |
3 | +--Router 192.168.3.x |
4 | | |
5 | +-- Automatisierungs-Clients |
6 | | |
7 | +-- Router 192.168.4.x für Home-Netz |
Benutzen wir auch, um PCs und Server einzurichten, die vom übrigen Netz getrennt bleiben sollen. Natürlich kostet jeder Router etwas Performance. Bei Spielen evtl. problematisch, für übrigen Internet-Zugriff jedoch nicht.
VLAN fähigen switch kaufen, dazu eine pfsense firewall (zB pcenfine apu2/3 hardware). Die kiste kümmert sich dann um alles...tiefere netzwerkkenntisse erforderlich...
Peter II schrieb: > Dann im ISP-Router das NAT ausschalten Könnte schwierig werden. Da müsste er nicht so sehr NAT abschalten, als vielmehr das Routing. Ihn also zum Modem degradieren.
TestX schrieb: > Die kiste kümmert sich dann um alles...tiefere netzwerkkenntisse > erforderlich... Was nun kümmert sich die Kiste oder sind Kenntnisse erforderlich?
Mark schrieb: > Der ISP Router lässt sich allerdings nicht konfigurieren, sodass ich > diesem nicht sagen kann das hinter dem "Router Automatisierung" (welcher > ja ein client vom ISP Router wäre) das Netz 192.168.3.0 zu finden ist. Der Router für das Netz 192.168.3 müsste in dieser Konfiguration seinerseits auch mit NAT arbeiten, evtl. inklusive NATing nicht trivialer Protokolle wie FTP. Also mit mindestens rudimentärer Firewall-Funktion. Geräte in diesem Netz wären dann nur über Port-Forwarding aus 192.168.1 erreichbar. > Gibt es andere Lösungsmöglichkeiten? Einen Multiport-Router/Firewall ins Netz 192.168.1 hängen. An dem hängen dazu noch alle Sekundärnetze. Die werden in Richtung 192.168.1 mit NAT maskiert, zwischen den Sekundärnetzen sind aber Querverbindungen ohne NAT möglich. Geräte im Netz 192.168.1 sehen sich gegenseitig und sind aus den Sekundärnetzen (per NAT im Router) ansprechbar, haben aber selbst keinen Zugriff auf die Sekundärnetze. Das könnten Geräte sein, die nur Internet benötigen, z.B. Gäste. Alles was mehr als Internet braucht landet in den Sekundärnetzen. Man kann für den Multiport-Router auch einen RasPi einsetzen (max 100Mb Summenrate), mit mehreren virtuellen Ports über VLANs, um die diversen Netze über einen VLAN-fähigen Switch aufzutrennen. Der RasPi hängt dann an einem Trunk-Port mit allen VLANs, die übrigen Ports werden individuell jeweils genau einem Netz zugeordnet.
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.