FritzBox 7490 VLAN

crash7782

Neuer User
Mitglied seit
20 Jan 2009
Beiträge
27
Punkte für Reaktionen
0
Punkte
1
Ist es möglich, dass die FritzBox 7490 VLAN Pakete (802.1Q) verarbeiten kann bzw. die Ports auch zu taggen und untaggen? Mit der AVM Fimrware geht dies leider nicht.
 
Um was geht es genau ? Vlan tag mit PPPoE ? Nutzt du ein externes Modem ?
Denke schon, wenn es nicht über das GUI funktioniert, geht es sicher per config (z.B FBeditor).
 
Ich kann mal beschreiben worum es geht.

Ein Zweifamilienhaus mit Keller, EG und 1.OG

Im 1.OG wohne ich, und möchte mit der Fritzbox (nur Modem Funktion) per Devolo DLAN in den Keller an eine Sophos UTM und darüber das Internet herstellen. Über Devolo hängen im 1.OG noch ein PC und ein Receiver dran.

An der Fritzbox sind auch noch 2 Telefone über DECT eingerichtet.

Habe leider keine LAN-Kabel bis in den Keller

Fritzbox->Switch->Devolo->UTM(Keller)

Da ich aber ja 2 Leitungen für Intern (VLAN 200) und Extern (VLAN 100) brauche wollte ich dies per VLAN Lösen. Dazu muss die Fritzbox dies ja aber auch beherrschen bzw. verarbeiten.

Kann ich dies so realisieren oder habt ihr Vorschläge wie ich das am besten machen kann?

Vielen Dank schon mal für eure Hilfe.
 
Zuletzt bearbeitet:
Fritzbox->Switch->Devolo->UTM(Keller)
Vermute mal das die Fritzbox default im reinen Modem Modus kein vlan (ext) tagged bzw weiterreicht. Bin mir aber nicht 100% sicher.
Meine 7570 beherscht das jedenfalls nicht, ist aber auch ein altes model. Deine Sophos UTM müsste aber auf jeden fall vlan tagging am WAN beherschen.
Mal vorausgesetzt das deine FB den vlan tag ext korrekt weiterreicht, könnte es sein das dein Switch und/oder der Devolo DLAN den vlan tag nicht an die UTM weitergibt.

An der Fritzbox sind auch noch 2 Telefone über DECT eingerichtet.
Du möchtest also deine FB als reines Modem und DECT Basis laufen lassen ?
Benutzt du VOIP oder hast es vor zu nutzen ?

Da ich aber ja 2 Leitungen für Intern (VLAN 200) und Extern (VLAN 100) brauche wollte ich dies per VLAN Lösen. Dazu muss die Fritzbox dies ja aber auch beherrschen bzw. verarbeiten.
Erläutere das bitte mal genauer. Du bist mit VDSL unterwegs ? Wie wählst du dich ein ? Das mit den 2 Leitungen sagt mir auch erstmal nichts....
 
Zuletzt bearbeitet:
Die Devolo DLAN können die VLAN verarbeiten. Das hat mit der Devolo Support gesagt.

Ich benutze noch kein VOIP da ich leider nur eine 2MBit Leitung bekomme. Die FB soll als DECT Basis weiter laufen.

Habe nur normale ADSL 2000 RAM. Die Einwahl soll dann die UTM machen und die FB nur als Modem und Acces Point fungieren.

Mit 2 Leitungen meine ich eine WAN Leitung und eine Interne Leitung, damit die UTM da auch gescheit ihre arbeit verrichten kann.
 
Ich benutze noch kein VOIP da ich leider nur eine 2MBit Leitung bekomme. Die FB soll als DECT Basis weiter laufen.
Also die DECT Basis brauchst du für deinen konventionellen Telefonanschluss ?
Habe nur normale ADSL 2000 RAM. Die Einwahl soll dann die UTM machen und die FB nur als Modem und Acces Point fungieren.
Wenn sich deine UTM per PPPoE einwählen soll und die fritzbox als reines modem arbeitet fallen doch die meisten Funktionen der FB weg.
Was genau meinst du mit Access Point ? Zugriff auf das Web GUI der FB über die LAN clients der UTM ?
Das geht auf jeden fall mit den passenden iptables und firewall regeln. Bei der UTM geht es vermutlich sogar easy über das Web GUI.
Mit 2 Leitungen meine ich eine WAN Leitung und eine Interne Leitung, damit die UTM da auch gescheit ihre arbeit verrichten kann.
Was hat das denn mit der Fritzbox zu tun, wenn diese im Bridge/Modem Modus läuft ?
Wenn deine Clients ausschließlich an der UTM hängen und diese sich einwählt hat doch die FB doch garkein einfluss mehr auf dein LAN und WAN.
Bei ADSL(2+) brauchst du auch kein vlan tag für PPPoE, soweit ich weiss.

Was hast du denn bisher getestet ?
Um ehrlich zu sein ich versteh dein Problem nicht wirklich... bin aber auch ein wenig überarbeitet.
 
mit der Fritzbox (nur Modem Funktion) per Devolo DLAN in den Keller an eine Sophos UTM und darüber das Internet herstellen.
Abgesehen davon, daß es das Internet tatsächlich schon gibt (da hatte wohl schon jemand die Idee, das herzustellen), verstehe ich den Aufbau nicht. Wenn die FRITZ!Box im 1. OG nicht am WAN-Anschluß hängt, da ja die Internet-An-/Verbindung offenbar von der UTM-Installation (die "Home Edition" ?) im Keller kommt, was macht denn die FRITZ!Box dann als "Modem" noch ?

Und wenn das tatsächlich nur vollkommen verdreht beschrieben war und die FRITZ!Box tatsächlich an einem - wie auch immer gearteten - WAN-Anschluß hängt, dann würde sie mit "nur Modem Funktion" (was verstehst Du darunter genau ? Macht sie PPPoE-Passthrough zur Sophos UTM-Installation ? Wie hast Du das dann eingestellt ?) die WAN-Daten (so könnte man Dein VLAN 100 verstehen, wenn man Deine Beschreibung einfach mal ins Gegenteil verkehrt) per Powerline an die Firewall im Keller schicken und die dann das LAN (VLAN 200) ebenfalls über Powerline wieder zurück ins 1.OG ? Ich will ja nicht zu neugierig sein, aber warum stellst Du dann die Firewall nicht einfach neben die FRITZ!Box ? Entweder da fehlen noch diverse Details in der Beschreibung oder Du hast die Firewall auf einem komischen Gerät installiert.

Nun könnte es tatsächlich sein, daß die Powerline-Geräte Layer2 transparent übertragen (kenne ich wg. diverser QoS-Einstellmöglichkeiten dort aber eigentlich auch anders) ... die Frage ist halt, ob 2x Powerline da tatsächlich Sinn machen bzw. ob Du, wenn Du das für sinnvoll hältst, nicht ein zusätzlicher Powerline-Adapter (zum Aufteilen in zwei getrennte Netze - FRITZ!Box<->Firewall und Firewall<->LAN) dann nicht der einfachere Weg wäre.

Wenn Du tatsächlich den ersten Teil der Installation (also FRITZ!Box zur Firewall) gelöst haben solltest, müßte auch - nach dem, was ich bisher verstanden habe - ein Switch mit portbasierten Tagging-Capabilities doch vollkommen ausreichend sein oder was verstehe ich da wieder nicht richtig ? Wenn die FRITZ!Box mit einem Kabel an einem solchen Switch hängt und der allen dort untagged eingehenden Traffic seinerseits tagged, warum muß dann die FRITZ!Box selbst taggen ? Ich habe hier bei mir auch so eine Installation (halt nicht in den Keller, aber quer durchs Wohnzimmer vom Schreibtisch zum Kabelanschluß über ein einzelnes verlegtes GbE-Kabel, was bei Dir durch Powerline realisiert würde) und da setze ich Netgear GS-10xE-Switches ein, die überall da, wo die Geräte nicht selbst taggen (z.B. auch mein Enigma2-Receiver macht das nicht selbst), das halt übernehmen. Der Switch muß dann natürlich an diesem Port bei den Paketen von anderen Teilnehmern (das wäre dann bei Dir ja ohnehin nur die Firewall) eventuell vorhandene Tags auch wieder entfernen, sonst versteht die FRITZ!Box die ja nicht mehr, ich kenne aber auch keinen VLAN-fähigen Switch, der zwar taggen, aber nicht untaggen könnte. Auch mein zentraler Router/Server ist nur mit einer einzigen LAN-Verbindung mit dem Rest der Geräte verbunden, die Trennung in logische Netze erfolgt ausschließlich über VLANs.

Ansonsten - das war jetzt der Teil "Habt Ihr Vorschläge ?" - ist es tatsächlich so, daß man die FRITZ!Box per Telnet auch zur Behandlung von VLANs überreden könnte, zumindest im LAN habe ich das selbst mal getestet. Ob das als PPPoE-Bridge (oder wie auch immer Du Dir das wirklich vorstellst, ich bin da ja - s.o. - nicht so richtig schlau draus geworden) dann auch noch machbar ist, müßte man probieren. Da das aber ohne die notwendigen Infos zur Zielstellung und Struktur des Ganzen immer nur Rätselraten bleibt, mußt Du dann schon noch einige Informationen weitergeben und kannst auch nur Vorschläge zum Probieren - keine Aussage: "So geht's ..." - erwarten (von mir, andere wissen da sicherlich mehr).

EDIT: Ok, war wieder mal zu langsam ... nach dem flüchtigen Überfliegen der neuen Beiträge plagen andere dieselben Fragen.

EDIT2: Ok, wenn ich da dann aber wieder lese:
crash7782 schrieb:
Die Einwahl soll dann die UTM machen und die FB nur als Modem und Acces Point fungieren.
dann kann ich das ganz beruhigt auf ein "Vergiss es, zu aufwändig." reduzieren, denn der Wunsch, das FRITZ!OS in zwei "getrennte Geräte" aufzuteilen, funktioniert meiner Meinung nach schlicht mit der AVM-Firmware nicht oder nur unter Schmerzen. Da bräuchtest Du einerseits eine Bridge (oder was auch immer) ins WAN von einem LAN-Anschluß (oder einem VLAN-Tag) und dann aber parallel noch eine LAN-Bridge von einem (oder mehreren) anderen Port(s)/Tags. Mit sehr viel Phantasie kann ich mir das noch mit zwei getrennten Ports für die FRITZ!Box am Switch vorstellen, mit einer einzelnen Verbindung eher nicht mehr - jedenfalls nicht mit der AVM-Firmware. Das, was ich mir vorstellen kann, sieht dann so aus, daß die WAN-Bridge (wenn die sich wirklich einrichten läßt, da bin ich ja auch noch skeptisch und will von Dir wissen, wie Du das nun gemacht hast) auf einen speziellen Port am Switch der FRITZ!Box gelegt wird (so, wie das bei der "LAN-Bridge" der 6360 auch funktioniert) und dieser Port damit von der LAN-Bridge getrennt ist. Die LAN-Bridge arbeitet dann ganz normal weiter, hat halt einen Member weniger. Ob das aber mit der 7490 überhaupt funktioniert (die 6360 arbeitet ja beim DOCSIS mit DHCP und die Frage nach einem PPPoE-Passthrough stellt sich überhaupt nicht), interessiert mich wirklich mal. Ich könnte mir - aber wirklich nur mit viel Phantasie - noch vorstellen, daß die Box als DHCP-Proxy arbeitet und die PPPoE-Decapsulation/-Encapsulation selbst vornimmt. Irgendwo in den Firmware-(Lua-)Innereien der internationalen 7490 habe ich so etwas ähnliches mal gesehen (die Möglichkeit zur Einstellung eines statischen externen Subnetzes, das teilweise direkt ins LAN durchbridged werden kann, das wäre dann ja so ein Proxy wie in der 6360 und schon mal ein Baustein, der benötigt wird), aber nie getestet und bis zu einer abschließenden Feststellung untersucht. Das kann genauso gut (so hatte ich mir das glaube ich auch erklärt) noch aus uralten Zeiten von der 7170 übrig geblieben sein, da gab es mal etwa ähnliches.
Wenn es Dir also schon mal gelingen sollte, die 7490 für PPPoE-Passthrough zu konfigurieren (das ist m.W. schon vor einiger Zeit aus der Konfiguration geflogen), dann kann man weiter sehen ... ansonsten fehlt ja schon eine Basis-Voraussetzung. Ich hatte das wohl auch falsch verstanden ... Du hast das noch gar nicht konfiguriert (z.B. erst mal mit einem Kabel zwischen FB und Firewall) und bist auf der Suche nach der VLAN-Konfiguration für die FRITZ!Box (so steht's in #1), sondern Du überlegst noch, wie man das machen könnte, richtig ?
 
Zuletzt bearbeitet:
Also die DECT Basis brauchst du für deinen konventionellen Telefonanschluss ?

Genau

Wenn sich deine UTM per PPPoE einwählen soll und die fritzbox als reines modem arbeitet fallen doch die meisten Funktionen der FB weg.
Was genau meinst du mit Access Point ? Zugriff auf das Web GUI der FB über die LAN clients der UTM ?
Das geht auf jeden fall mit den passenden iptables und firewall regeln. Bei der UTM geht es vermutlich sogar easy über das Web GUI.

DIe FB soll WLAN zur Verüfung stellen.

Was hat das denn mit der Fritzbox zu tun, wenn diese im Bridge/Modem Modus läuft ?
Wenn deine Clients ausschließlich an der UTM hängen und diese sich einwählt hat doch die FB doch garkein einfluss mehr auf dein LAN und WAN.
Bei ADSL(2+) brauchst du auch kein vlan tag für PPPoE, soweit ich weiss.

Was hast du denn bisher getestet ?
Um ehrlich zu sein ich versteh dein Problem nicht wirklich... bin aber auch ein wenig überarbeitet.

Getestet habe ich noch nichts, da ich vorher wissen möchte ob das möglich ist!
 
Abgesehen davon, daß es das Internet tatsächlich schon gibt (da hatte wohl schon jemand die Idee, das herzustellen), verstehe ich den Aufbau nicht. Wenn die FRITZ!Box im 1. OG nicht am WAN-Anschluß hängt, da ja die Internet-An-/Verbindung offenbar von der UTM-Installation (die "Home Edition" ?) im Keller kommt, was macht denn die FRITZ!Box dann als "Modem" noch ?

Das Internet im 1.OG soll schon von dort auch aufgebaut werden von der UTM. Im Keller sind noch Büroräume, deswegen habe ich vor die UTM dort hin zu stellen. Habe leider kein LAN-Kabel vom 1.OG bis in den Keller.

Und wenn das tatsächlich nur vollkommen verdreht beschrieben war und die FRITZ!Box tatsächlich an einem - wie auch immer gearteten - WAN-Anschluß hängt, dann würde sie mit "nur Modem Funktion" (was verstehst Du darunter genau ? Macht sie PPPoE-Passthrough zur Sophos UTM-Installation ? Wie hast Du das dann eingestellt ?) die WAN-Daten (so könnte man Dein VLAN 100 verstehen, wenn man Deine Beschreibung einfach mal ins Gegenteil verkehrt) per Powerline an die Firewall im Keller schicken und die dann das LAN (VLAN 200) ebenfalls über Powerline wieder zurück ins 1.OG ? Ich will ja nicht zu neugierig sein, aber warum stellst Du dann die Firewall nicht einfach neben die FRITZ!Box ? Entweder da fehlen noch diverse Details in der Beschreibung oder Du hast die Firewall auf einem komischen Gerät installiert.

So soll es sein, wenn die überhaupt funktioniert bzw. die FB VLAN über Freetz nicht verwirft. Die Firewall soll in den Keller da dort noch Büroraume sind und diese auch darüber laufen sollen.

Nun könnte es tatsächlich sein, daß die Powerline-Geräte Layer2 transparent übertragen (kenne ich wg. diverser QoS-Einstellmöglichkeiten dort aber eigentlich auch anders) ... die Frage ist halt, ob 2x Powerline da tatsächlich Sinn machen bzw. ob Du, wenn Du das für sinnvoll hältst, nicht ein zusätzlicher Powerline-Adapter (zum Aufteilen in zwei getrennte Netze - FRITZ!Box<->Firewall und Firewall<->LAN) dann nicht der einfachere Weg wäre.

Wenn Du tatsächlich den ersten Teil der Installation (also FRITZ!Box zur Firewall) gelöst haben solltest, müßte auch - nach dem, was ich bisher verstanden habe - ein Switch mit portbasierten Tagging-Capabilities doch vollkommen ausreichend sein oder was verstehe ich da wieder nicht richtig ? Wenn die FRITZ!Box mit einem Kabel an einem solchen Switch hängt und der allen dort untagged eingehenden Traffic seinerseits tagged, warum muß dann die FRITZ!Box selbst taggen ? Ich habe hier bei mir auch so eine Installation (halt nicht in den Keller, aber quer durchs Wohnzimmer vom Schreibtisch zum Kabelanschluß über ein einzelnes verlegtes GbE-Kabel, was bei Dir durch Powerline realisiert würde) und da setze ich Netgear GS-10xE-Switches ein, die überall da, wo die Geräte nicht selbst taggen (z.B. auch mein Enigma2-Receiver macht das nicht selbst), das halt übernehmen. Der Switch muß dann natürlich an diesem Port bei den Paketen von anderen Teilnehmern (das wäre dann bei Dir ja ohnehin nur die Firewall) eventuell vorhandene Tags auch wieder entfernen, sonst versteht die FRITZ!Box die ja nicht mehr, ich kenne aber auch keinen VLAN-fähigen Switch, der zwar taggen, aber nicht untaggen könnte. Auch mein zentraler Router/Server ist nur mit einer einzigen LAN-Verbindung mit dem Rest der Geräte verbunden, die Trennung in logische Netze erfolgt ausschließlich über VLANs.

Die Frage ist ob die FB mit Freetz die VLAN Pakete verstehen kann. Würde mir ja auch nioch einene Netgear Switch dann holen der dann im 1.OG VLAN Tagged

Ansonsten - das war jetzt der Teil "Habt Ihr Vorschläge ?" - ist es tatsächlich so, daß man die FRITZ!Box per Telnet auch zur Behandlung von VLANs überreden könnte, zumindest im LAN habe ich das selbst mal getestet. Ob das als PPPoE-Bridge (oder wie auch immer Du Dir das wirklich vorstellst, ich bin da ja - s.o. - nicht so richtig schlau draus geworden) dann auch noch machbar ist, müßte man probieren. Da das aber ohne die notwendigen Infos zur Zielstellung und Struktur des Ganzen immer nur Rätselraten bleibt, mußt Du dann schon noch einige Informationen weitergeben und kannst auch nur Vorschläge zum Probieren - keine Aussage: "So geht's ..." - erwarten (von mir, andere wissen da sicherlich mehr).

EDIT: Ok, war wieder mal zu langsam ... nach dem flüchtigen Überfliegen der neuen Beiträge plagen andere dieselben Fragen.

EDIT2: Ok, wenn ich da dann aber wieder lese:

dann kann ich das ganz beruhigt auf ein "Vergiss es, zu aufwändig." reduzieren, denn der Wunsch, das FRITZ!OS in zwei "getrennte Geräte" aufzuteilen, funktioniert meiner Meinung nach schlicht mit der AVM-Firmware nicht oder nur unter Schmerzen. Da bräuchtest Du einerseits eine Bridge (oder was auch immer) ins WAN von einem LAN-Anschluß (oder einem VLAN-Tag) und dann aber parallel noch eine LAN-Bridge von einem (oder mehreren) anderen Port(s)/Tags. Mit sehr viel Phantasie kann ich mir das noch mit zwei getrennten Ports für die FRITZ!Box am Switch vorstellen, mit einer einzelnen Verbindung eher nicht mehr - jedenfalls nicht mit der AVM-Firmware. Das, was ich mir vorstellen kann, sieht dann so aus, daß die WAN-Bridge (wenn die sich wirklich einrichten läßt, da bin ich ja auch noch skeptisch und will von Dir wissen, wie Du das nun gemacht hast) auf einen speziellen Port am Switch der FRITZ!Box gelegt wird (so, wie das bei der "LAN-Bridge" der 6360 auch funktioniert) und dieser Port damit von der LAN-Bridge getrennt ist. Die LAN-Bridge arbeitet dann ganz normal weiter, hat halt einen Member weniger. Ob das aber mit der 7490 überhaupt funktioniert (die 6360 arbeitet ja beim DOCSIS mit DHCP und die Frage nach einem PPPoE-Passthrough stellt sich überhaupt nicht), interessiert mich wirklich mal. Ich könnte mir - aber wirklich nur mit viel Phantasie - noch vorstellen, daß die Box als DHCP-Proxy arbeitet und die PPPoE-Decapsulation/-Encapsulation selbst vornimmt. Irgendwo in den Firmware-(Lua-)Innereien der internationalen 7490 habe ich so etwas ähnliches mal gesehen (die Möglichkeit zur Einstellung eines statischen externen Subnetzes, das teilweise direkt ins LAN durchbridged werden kann, das wäre dann ja so ein Proxy wie in der 6360 und schon mal ein Baustein, der benötigt wird), aber nie getestet und bis zu einer abschließenden Feststellung untersucht. Das kann genauso gut (so hatte ich mir das glaube ich auch erklärt) noch aus uralten Zeiten von der 7170 übrig geblieben sein, da gab es mal etwa ähnliches.
Wenn es Dir also schon mal gelingen sollte, die 7490 für PPPoE-Passthrough zu konfigurieren (das ist m.W. schon vor einiger Zeit aus der Konfiguration geflogen), dann kann man weiter sehen ... ansonsten fehlt ja schon eine Basis-Voraussetzung. Ich hatte das wohl auch falsch verstanden ... Du hast das noch gar nicht konfiguriert (z.B. erst mal mit einem Kabel zwischen FB und Firewall) und bist auf der Suche nach der VLAN-Konfiguration für die FRITZ!Box (so steht's in #1), sondern Du überlegst noch, wie man das machen könnte, richtig ?

1.OG wohne ich im EG. Meine Swiegereltern im EG und im Keller sind Büroräume.
 
Zuletzt bearbeitet:
@crash7782:
Ich verstehe den Inhalt/Sinn von #9 nicht. Hast Du es nun schon geschafft, die 7490 zum PPPoE-Passthrough zu überreden oder willst Du das erst noch in Angriff nehmen ?

Wenn ich das richtig verstehe, steht und fällt doch die ganze Konstruktion mit der Möglichkeit, die 7490 als "DSL-Modem" zu verwende. Wenn das nicht funktioniert, hat sich ja der Rest auch erledigt, wenn unbedingt die Sophos-Firewall die PPPoE-Verbindung aufbauen soll.

Was Dir Freetz an dieser Stelle bringen soll, verstehe ich ebenfalls nicht. Um VLANs zu verwenden, bräuchte es nicht unbedingt Freetz, die notwendigen Zutaten sind bis zur 06.20 in der AVM-Firmware vorhanden (06.23 noch nicht geprüft).

Für die "Wiederbelebung" des PPPoE-Passthrough (s.o., die erste zu klärende Frage) hilft Dir Freetz nach meiner Meinung in keinster Weise, da das ein Problem von kdsld, dsld und avm_pa sein dürfte und die werden von Freetz ja nicht ersetzt oder auch nur modifiziert.

Und ich wiederhole es gerne noch einmal ... wenn Du Dir einen 5-Port-Switch mit VLAN-Fähigkeiten für ca. 30 EUR zulegst, interessiert es überhaupt nicht, ob und wie die FRITZ!Box mit VLAN-Tags an ihren eth-Anschlüssen umgehen kann, da dann dieser Swicth taggen/untaggen kann. Wo ist da das Problem ? Außer dem, daß die 7490 m.W. kein PPPoE-PT mehr macht und sich auch nicht ohne weiteres durch Änderungen der ar7.cfg dazu bewegen läßt ...
 
Zuletzt bearbeitet:
Das will ich alles noch in Angriff nehmen.

Laut AVM Support verwirft die FB aber die VLAN Pakete die ich über Devolo übertragen will.

D.h. ich kann es so verkabel:

FB macht die Einwahl<->Switch(VLANs)<->Devolo<->UTM (WAN und Intern)

Der Traffic soll halt über die UTM laufen. da würde es ja reichen, wenn ich das ext. Interface der UTM dann als Gateyway überall eingebe?
 
Laut AVM Support verwirft die FB aber die VLAN Pakete die ich über Devolo übertragen will.
Das stimmt für LAN-Verkehr nur dann, wenn man die AVM-Firmware benutzt und sich auf die Einstellmöglichkeiten im GUI beschränkt.

Das klärt immer noch nicht die Frage, ob es bei der 7490 überhaupt möglich ist, sie nur als DSL-Modem zu betreiben. Was sagt der AVM-Support denn dazu ? Da das die Grundvoraussetzung ist, damit Deine Idee überhaupt funktionieren kann, müßtest Du vielleicht das erst einmal definitiv klären, oder ? Ob Du da schon Erfolge/Ideen hast, frage ich ja schon zum dritten Mal ... außer die Skizze in #11 soll heißen, es reicht Dir auch, wenn die Firewall und die FRITZ!Box als Router-Kaskade arbeiten, z.B. indem die Firewall in der FRITZ!Box als "exposed host" eingerichtet wird. Dann hat die Firewall allerdings keine Kenntnis der externen Adresse und solche Sachen wie eine DynDNS-Anmeldung erfordern spezielle Vorkehrungen.

EDIT: Die Idee mit dem externen Interface der Firewall als Gateway würde ich schnell wieder vergessen, auch wenn ich die Sophos-Firewall nicht weiter kenne. Was Du an der Firewall brauchst, ist ein weiterer VLAN-fähiger Switch mit mind. 3 Ports ... 1x für den LAN-Anschluß der Firewall (mit dedizierter VLAN-ID), 1x für den WAN-Anschluß der Firewall (mit einer anderen VLAN-ID) und 1x für den Powerline-Adapter (mit beiden VLAN-IDs). Das ist dann schon alles. Wenn Du das externe Interface der Firewall in irgendeinem Netz als Gateway definieren willst, müßte dieses ja link-lokal im entsprechenden Subnet sein, damit wären alle Clients vor der Firewall und das ist bestimmt nicht im Sinne des Erfinders.
 
Zuletzt bearbeitet:
Die 7490 kann als reines DSL Modem betrieben werden!


Vor der Firewall im Keller steht dann auch ein VLAN-fähiger HP-Switch

Aber kann die 7490 den WAN-Anschluß mit der vergebenen VLAN-ID überhaupt verarbeiten dann?

würde dann folgende VLANS erstellen:

WAN=100
LAN=200
Trunk Port mit beiden VLANs für Powerline.
 
Die 7490 kann als reines DSL Modem betrieben werden!
Schön ... wie ? Welche Änderungen muß man dazu vornehmen ? Die Frage kann ich im Moment nicht oft genug wiederholen ...

Aber kann die 7490 den WAN-Anschluß mit der vergebenen VLAN-ID überhaupt verarbeiten dann?
Nach Deinen eigenen Angaben in nunmehr mindestens zwei Beiträgen braucht sie das ja gar nicht, denn da sitzt noch ein Switch zwischen FRITZ!Box und Powerline-Adapter, der bei den Paketen, die an die FRITZ!Box gehen sollen, das Tagging wieder entfernt. Warum sollte die Box sich dann dafür interessieren, was mit den Paketen vor/nach dem Switch passiert ?
 
Vorschlag falls dein Vlan Scenario nicht klappt:
Du könntest "einfach" die FB die komplette einwahl übernehmen lassen und die UTM läuft dann quasi als IP Client im LAN der FB.
Dann brauchst du dir erstmal keine gedanken wegen vlan's machen, der traffic wird ja dann untagged an deine UTM weitergeben.
Die UTM wäre also dein standartgateway für deine clients und als gateway nutzt die UTM dann die IP der fritzbox.
Mit exposed host sollte auch die portfreigaben (FB >> UTM) einwandfrei laufen.

Ansonnsten musst du dich da wohl durchbeißen.
Dein powerline dient doch nur zur Verbindung FB >< UTM ?
Du nutzt doch kein IPTV über vlan und für PPPoE brauchst du doch auch kein vlan tag ?
Deine clients sollen ausschließlich an der UTM hängen ? Wozu willst du überhaupt taggen ?
Was genau versprichst du dir durch das unterteilen von LAN/WAN in VLAN 200/100 ? Willst du das nur wegen der UTM als Firewall so lösen ?
Das versteh ich noch nicht wirklich...
 
Dein powerline dient doch nur zur Verbindung FB >< UTM ?
Du nutzt doch kein IPTV über vlan und für PPPoE brauchst du doch auch kein vlan tag ?
Deine clients sollen ausschließlich an der UTM hängen ?
crash7782 schrieb:
möchte mit der Fritzbox (nur Modem Funktion) per Devolo DLAN in den Keller an eine Sophos UTM und darüber das Internet herstellen. Über Devolo hängen im 1.OG noch ein PC und ein Receiver dran.
:gruebel:

In dieser Konstellation (Powerline ist gleichzeitig WAN und LAN der Firewall) wäre die Verwendung ohne VLANs zwar wahrscheinlich tatsächlich möglich, dann kann man aber - je nach genauer Konfiguration - die Firewall auch gleich komplett weglassen. Das Minimum, was dann notwendig wäre, ist die Lösung mit zwei getrennten Powerline-Verbindungen, deren Adapter sich gegenseitig eben nicht kennen und mit anderen Schlüsseln auf dem Medium arbeiten ... im Keller bei der Firewall gibt es dann eben zwei Powerline-Adapter, einen zur FRITZ!Box (das WAN der Firewall) und einen für das LAN. Das ist sicherlich wegen der gegenseitigen Störungen der beiden PLCs keine optimale Lösung, aber wenigstens eine sichere. Wenn man schon eine Sophos-Firewall verwendet, weil offenbar die FRITZ!Box irgendetwas nicht kann (was das ist, würde mich schon mal interessieren), dann sollte man diese Sicherheit nicht dadurch aufweichen, daß man sich auf ein Routing und korrekt konfigurierte Clients verläßt. Jeder Client am Powerline-Netz ist m.W. Bestandteil einer L2-Bridge (oder macht da tatsächlich jemand eine Prüfung der MAC-Adressen für angeschlossene Clients und wenn ja, klappt das dann auch noch, wenn da kein einzelner Client dran hängt, sondern wieder ein Switch), damit käme dann sämtlicher LAN-/WAN-Traffic an einer Netzwerkkarte im "promiscuous mode" vorbei und das kann einfach nicht wirklich sicher sein.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.