VLAN Managed / Unmanaged Switch

[maddas]

Hallo zusammen,

ich habe als Router eine Fritz Box 7590, diese kann bekanntlich keine VLANs.

Ich würde aber gerne meine "unsicheren" Geräte (Google Smart Home, China Kamera..) in ein extra VLAN packen. Quasi als DMZ.

An meiner Fritzbox sind aktuell 3 Lan Anschlüsse belegt, ein AP (Netgear R6400) für WLAN im unteren Wohnzimmer, eine WDCloud NAS und ein Unmanaged Switch, der aktuell ins obere Stockwerk geht an dem ein TP AP (Archer C6) hinten dran. Hinter diesem sind die Google Smart Home Produkte, + eine 0815 China Kamera, + ein Rasperry Pi wo ich sehr gerne eine Word Press Seite per Port Forwarding freigeben würde (natürlich mit einem Reverse Proxy)

Kann ich einen Managed Switch mit einem Konfigurierten VLAN hinter die Fritz Box klemmen und die Router + der Unmanaged Switch geben diese weiter?

Wie sichere ich am besten dieses Netzwerk ab?

Vielen Dank!

Bearbeitet 27. März 2021 von maddas

[Eye-Q]

Solange der Router, der die Internetverbindung aufbaut, nicht mit VLANs umgehen kann, sind alle Geräte, die hinter diesem Router stehen, prinzipiell in einem logischen Subnetz. Wie sollen denn die unterschiedlichen VLANs, die auf dem  hypothetisch einzurichtenden managed Switch konfiguriert sind, mit dem Internet kommunizieren, außer über das eine Subnetz der Fritzbox? Dann muss der Switch ja zwischen dem neu einzurichtenden VLAN für die DMZ und dem Fritzbox-Netzwerk routen, und da halbwegs günstige Switches keine Firewall-Funktionen haben, sondern einfach alles zwischen den VLANs durchlassen, sobald sie zwischen VLANs routen, bringt das sicherheitstechnisch nichts.

Du könntest mit zwei weiteren Routern, die jeweils mit dem WAN-Port an einem LAN-Port der Fritzbox angeschlossen sind, zwei separate Subnetze aufbauen. Diese wären über die Firewalls der beiden Router gegeneinander abgeschirmt, das ist dann aber wiederum ziemlich aufwändig einzurichten, wenn Du vom ersten in das zweite Netzwerk Verbindungen zulassen willst, vom zweiten in das erste Netzwerk aber nicht.

[Gast]

Wie wäre es mit dem Gast-Netz auf LAN4?

[Dowmee]

Wenn der managed Switch Layer 3 kann: 2 Interfaces die Layer 2 Funktion switching entziehen (no switchport) und zu routed Ports umfunktionieren, IP - Adressen der beiden Netze konfigurieren und die statische Route eintragen. Jetzt noch die Access Listen für den eingehenden und den ausgehenden Datenverkehr konfigurieren et voila du brauchst kein InterVLAN Routing.

InterVLAN Routing mit einem unmanaged Switch geht gar nicht, weil er das VLAN Flag entfernt, wenn ich mich recht entsinne.

Meine Ausbildung ist aber schon lange her, also bitte verbessert mich und bitte nicht bashen.

Bearbeitet 2. April 2021 von Dowmee