Netzwerk aufteilen in getrennte Bereiche

kleinerEisbär

Software-Overclocker(in)
Moin :)
Hab gerade bei einer Freundin folgende Situation:
6x Gerät A und 6x Gerät B
1x FritzBox mit DSL Verbindung

Nun darf aber jedes Gerät A jeweils nur mit seinem zugehörigen Gerät B im selben Netzwerk sein, eine Trennung über den Gastzugang ist leider raus, da sich die Geräte dann alle nicht mehr finden, über das Hauptnetzwerk der Fritzbox aber auch nicht, da sie ja sonst auch die weiteren Geräte finden. Gerät A und B sind jeweils nur DHPC Client fähig, es lassen sich keine festen Adressen hinterlegen.
Im Geschäft hätte ich jetzt einen gemanagedten Switch gekauft, jeweils den Ports ein VLAN zugewiesen und ne Route im Switch zur FritzBox hinterlegt und in der FritzBox eine für die VLANS jeweils zurück.
Nur kosten die Switche die wir hier nutzen eigentlich durch die Bank weg bei den dann mindestens benötigten 16 Ports mehrere hundert Euro, auch ist der Konfigurationsaufwand und Aufwand für spätere Anpassungen entsprechend hoch.

Die Idee für Kostenminimierung war nun einfach für jedes Zweiergespann eine alte FritzBox 7360 zu nehmen die es geprüft für um die 15€ gibt, denen dann jeweils zu sagen Sie hängen hinter einen Router, sind aber trotzdem selbst für ihr Netzwerk verantwortlich und hänge da dann jeweils Gerät A und B auf die Lan-Ports.
Sicherheitstechnisch dürfte es ja irrelevant sein, da nach außen sowieso die Firewall des Anschlusses zu tragen kommt. Wlan kann man ja ausschalten.

Vergesse ich dabei irgendwas? Oder gibt es vielleicht auch VLAN fähige 16 Port Switche die bezahlbar sind die ich nicht aufm Schirm habe?

Wie immer im Voraus bereits vielen lieben Dank fürs Durchlesen und mit nachdenken :)
 
Das ganze Fritzgeraffel ist dafür schlicht ungeeignet. Du benötigst einen Router, der VLAN unterstützt.
Dann kann man da mehrere VLANs machen, die per Trunk zum Switch gehen.
Die FritzBoxen können das nicht.
 
Das ganze Fritzgeraffel ist dafür schlicht ungeeignet.
Würde aber funktionieren, sofern auf den Fritzboxen die NAT Firewall aktiv ist. Ganz ausschließen, dass die Geräte gar keine Verbindung zueinander bekommen, würde man es mit der Lösung allerdings nicht.
Würde dann so aussehen.
Internet - Fritzbox - 8-Port Switch - 6x Fritzbox - Endgeräte

Ich würde als Lösung wohl eher einen gebrauchten Layer 3 Switch kaufen.
 
Wenn du 6 FritzBoxen brauchst, sind das bei 15 Euro pro Stück ja auch schon 90 Euro.
Dazu käme, dass das ja auch maximales gefrickel ist, auf das ich mich, wie @Birdy84 schon geschrieben hat, auch nicht so wirklich verlassen würde.

So teuer sind einfache Managed Switche nicht:

MikroTik soll gar nicht schlecht sein, ansonsten so ein TP-Link. Die 50 bis 60 Euro mehr im Vergleich zu der Konstruktion mit den FritzBoxen wäre es mir wert.
 
Gemanagete Switche reichen hier aber nicht. Der Router muss mehrere Ethernet-Links (am besten über VLAN) können, sonst lässt sich das nicht realisieren.

Was ist eigentlich das Endziel der Aktion?
 
Gemanagete Switche reichen hier aber nicht. Der Router muss mehrere Ethernet-Links (am besten über VLAN) können, sonst lässt sich das nicht realisieren.

Was ist eigentlich das Endziel der Aktion?
Das Endziel der Aktion sind 6 von einander getrennte Netzwerke für jeweils genau 2 Geräte, die aber alle über den gleichen Router ihr Internet erhalten. Und das muss so sein, da der Hersteller der Geräte unfähig ist sie konfigurierbar zu machen :ugly:
Wenn du 6 FritzBoxen brauchst, sind das bei 15 Euro pro Stück ja auch schon 90 Euro.
Dazu käme, dass das ja auch maximales gefrickel ist, auf das ich mich, wie @Birdy84 schon geschrieben hat, auch nicht so wirklich verlassen würde.

So teuer sind einfache Managed Switche nicht:

MikroTik soll gar nicht schlecht sein, ansonsten so ein TP-Link. Die 50 bis 60 Euro mehr im Vergleich zu der Konstruktion mit den FritzBoxen wäre es mir wert.
Der scheint mir dafür ja absolut perfekt zu sein, Konfiguration wahrscheinlich ähnlich einfach wie die der FritzBox über eine Weboberfläche?
 
Das Endziel der Aktion sind 6 von einander getrennte Netzwerke für jeweils genau 2 Geräte, die aber alle über den gleichen Router ihr Internet erhalten. Und das muss so sein, da der Hersteller der Geräte unfähig ist sie konfigurierbar zu machen :ugly:
Dann reklamiere diese Geräte.
Ist die einfachste Option. Die andere ist, dich mit Netzwerktechnik auseinanderzusetzen und dann einen geeigneten Router zu kaufen.
 
Würde aber funktionieren, sofern auf den Fritzboxen die NAT Firewall aktiv ist. Ganz ausschließen, dass die Geräte gar keine Verbindung zueinander bekommen, würde man es mit der Lösung allerdings nicht.
Würde dann so aussehen.
Internet - Fritzbox - 8-Port Switch - 6x Fritzbox - Endgeräte

Ich würde als Lösung wohl eher einen gebrauchten Layer 3 Switch kaufen.
Doch klar, in dem Moment in dem ich den 8 Port Switch an den Gastzugang der FritzBox hänge :D
Dann reklamiere diese Geräte.
Ist die einfachste Option. Die andere ist, dich mit Netzwerktechnik auseinanderzusetzen und dann einen geeigneten Router zu kaufen.
Wenn das Leben nur immer so einfach wäre... Der Hersteller bietet an für sich gute Geräte an, der Anwendungsfall ist hier nur um Kosten zu sparen ein wenig besonders. Normalerweise würde man nie mehr als zwei dieser Geräte in einem Netzwerk benötigen. Für ihren vorgesehenen Einsatzzweck funktionieren die Geräte 100%.
 
Eine halbgare Möglichkeit die ich noch sehen würde:
Kann man auf der Fritzbox nicht mehrere Netze im DHCP vergeben? Und dann weist Du im DHCP einfach jedem Gerät in der Fritzbox im DHCP eine feste IP zu, die Du passend wählst.
Das ist natürlich keine echte Segmentierung, aber ggf. reicht das für Deinen Zweck?
 
Eine halbgare Möglichkeit die ich noch sehen würde:
Kann man auf der Fritzbox nicht mehrere Netze im DHCP vergeben? Und dann weist Du im DHCP einfach jedem Gerät in der Fritzbox im DHCP eine feste IP zu, die Du passend wählst.
Das ist natürlich keine echte Segmentierung, aber ggf. reicht das für Deinen Zweck?
Also ich hab hier im Büro von uns gerade nur eine 7590, da finde ich unter Netzwerkeinstellungen keine Option, und einfach das Netzwerk zu erweitern über die Subnetzmaske macht ja auch keinen Sinn, da die Geräte als DHCP Clients dann ja auch das "gesamte große" Netzwerk kennen.
Es muss echt segmentiert sein, die Geräte sind 1:1, und wenn Gerät A zwei Geräte B im Netzwerk findet, dann ist es verwirrt.
Und warum müssten die nun getrennt sein? Schikane vom Hersteller? Falls ja, wie genau prüft der das?
Paketmitschnitte wären interessant.
Weil es die nicht die Option zur Konfiguration gibt? Es sind Endverbraucher Geräte die eben 1:1 funktionieren, und dafür vorkonfiguriert kommen. Dem Hersteller wird es komplett egal sein, aber warum würde er seine Geräte konfigurierbar anbieten, wenn es für den Einsatzzweck komplett irrelevant ist? Wenn sie konfigurierbar wären, würden nur deutlich mehr Support- und Garantiefälle entstehen, die komplexer wären, als mit der von ihm gewählten Lösung.
 
Und warum müssten die nun getrennt sein? Schikane vom Hersteller? Falls ja, wie genau prüft der das?
Paketmitschnitte wären interessant.
Naja, vermutlich machen die einfach Broadcast ins Netz und das erstbeste Gerät vom gleichen Hersteller wird als Partner erkannt. Und wenn dann im gleichen Netz mehr als zwei Geräte sind, funktioniert das so halt nicht...
 
Naja, vermutlich machen die einfach Broadcast ins Netz und das erstbeste Gerät vom gleichen Hersteller wird als Partner erkannt. Und wenn dann im gleichen Netz mehr als zwei Geräte sind, funktioniert das so halt nicht...
Wenn dem so ist braucht es getrennte Ethernet-Links. Ergo: Router mit VLAN-Unterstützung.
Bei AVM geht das nicht. Mit nem Linux-Rechner wäre das auch realisierbar.
 
Naja, vermutlich machen die einfach Broadcast ins Netz und das erstbeste Gerät vom gleichen Hersteller wird als Partner erkannt. Und wenn dann im gleichen Netz mehr als zwei Geräte sind, funktioniert das so halt nicht...
Genau das, danke...
Wenn dem so ist braucht es getrennte Ethernet-Links. Ergo: Router mit VLAN-Unterstützung.
Bei AVM geht das nicht. Mit nem Linux-Rechner wäre das auch realisierbar.
Oder 6 Billigrouter die jeweils ein eigenes Netzwerk aufbauen und ihre Daten gekapselt an den Router übergeben in einer "DMZ" wie man es auch aus sinnvoll konfigurierten Netzwerken kennt :D Linux-Rechner wäre nur wieder noch mehr Konfigurations- und Hardwareaufwand...
 
Die Empfehlung einen "neuen" Router zu nehmen kam ja schon mehrfach, ich konkretisiere das einfach nochmal. In deiner Situation würde ich zu (beispielsweise) einem TP-Link Archer C6v3 greifen und den mit openWRT beschicken. Der kostet irgendwas um die 40€, wobei du dann an einem passenden Switch natürlich nicht vorbei kommst. Eine Alternative dazu wäre eine L3-Switch, der DHCP-Server spielen kann. Ich denke da findet sich in der Bucht auch irgendwas unter 300€.
 
Ein L3-Switch macht die Sache hier eigentlich noch komplexer. Es wird dort nämlich nur das Zeug zwischen den VLANs geroutet, was der kennt. Sonst nix. Hier Overkill und der normale Router muss auch damit umgehen können. Entweder VLAN oder halt per Routing die Daten in einen Link reingeben und dann vom Switch routen lassen. TLDR: Für den TO ne noch schlechtere Lösung.
 
Ich hatte bisher nur mit Cisco-L3-Switches zu tun. Die haben eine Routingtabelle in Form einer Defaultroute sowie den direkt verbundenen Netzen an den VLAN-Interfaces.

Mehr geht da Routingtechnisch nicht.
 
Ich hatte bisher nur mit Cisco-L3-Switches zu tun. Die haben eine Routingtabelle in Form einer Defaultroute sowie den direkt verbundenen Netzen an den VLAN-Interfaces.

Mehr geht da Routingtechnisch nicht.
Ich kenne die Ciscos leider nicht, kann mir aber nicht vorstellen, dass es nicht möglich sein soll beispielsweise via Route für 0.0.0.0/0 an 192.168.178.1 weiterzuleiten. Auf anderen L3-Switches ist das nicht besonders herausfordernd.
Aber klar, unter diesem Gesichtspunkt wäre mein Vorschlag nicht zielführend...heißt schonmal: keine Cisco-Switches nehmen :ugly:

Ich pers. bevorzuge eh die Variante Router + L2-Switch und VLANs...ist kostengünstiger und einfacher.
 
Zurück