[Frage] WAN- und LAN-Traffic mit VLAN voneinander trennen

[prisoner627]

Hallo!

Zu erst meine Situation: Nach einer kleinen Umrüstung steht im Keller jetzt eine FritzBox 7113, die das DSL für das LAN bereitstellt (leider erreicht meine andere 7390 nur die halbe Geschwindigkeit)).
Neben einem NAS, meinem Rechner und einem Cisco Access Point hängt diese an einem Netgear-Switch (GS105E). Von dort aus geht eine Leitung nach oben zur FritzBox 7390, die als weiterer Switch, Access Point und DECT-Basisstation dient.

Allerdings bin ich nicht sehr angetan von der Performance der billigen 7113. Allein eine Portfreigabe im Webinterface einzurichten macht keinen Spaß. Deswegen will ich die 7113 quasi zum Modem degradieren und der 7390 alle weiteren Aufgaben übergeben. Sprich, die 7113 soll auch nur eine einzige IP kennen - die andere FritzBox. Die 7390 soll dann sämtliche anderen Aufgaben wie VPN (was momentan auf Grund des IP-Client-Modus auch nicht geht), DHCP und Webfreigaben übernehmen.

Da der Netgear-Switch auch VLAN kann, habe ich mich damit kurz beschäftigt und habe nun folgende Frage:
Wäre es möglich, der 7113 nur den Zugriff auf die 7390 zu gestatten, ohne gleichzeitig den normalen LAN-Verkehr der 7390 (über die selbe physische Leitung) zu verhindern?

Ich hoffe, ich habe mich verständlich ausgedrückt.

Danke schon mal und viele Grüße,
prisoner627

 

[hitman]

Ich denke, du musst, wenn du die 7113 als Moden für die 7390 benutzen möchtest, das VLAN untagged an die 7390 übergeben. Dann brauchst du einen zweiten VLAN-fähigen Switch. Der zweite Switch muss dann das VLAN wieder entfernen. Wenn du nur ein Netzwerkkabel hast, dann solltest dein Switch protocolbased VLAN haben. Bei mehreren Kabeln geht auch portbased.

 

[prisoner627]

Das heißt, mir bleibt entweder die Möglichkeit, zur 7390 noch einen Switch zuzuschalten oder eine zweite Leitung von der 7113 direkt zur 7390 auf LAN1 zu legen (ganz ohne VLAN), richtig?

 

[hitman]

Der GS105E kann 802.1Q, somit würde ein weiterer Switch mit diesem Feature langen. Ein Kabel ganz ohne VLAN würde natürlich auch gehen.

 

[prisoner627]

Hm schade, dann muss es wohl ein Kabel werden. Da die 7113 aus Platzgründen in den Keller kam, wäre es unsinnig, jetzt wieder einen Switch zur 7390 zu stellen. Trotzdem vielen Dank für die Auskunft.
Gibt es Hoffnung, dass die 7390 irgendwann per Firmware-Update VLAN können wird? Oder ist das eine Hardwaregeschichte?

edit:
Mit Freetz scheint es ja scheinbar möglich zu sein - habe mal eine Anfrage bzw. "Anregung" an AVM geschickt.

 

[gt40]

Ich verstehe die Intention des Ganzen nicht. Wenn die 7113 "nur Modem" sein soll, dann kommt sie an den LAN1 Port der anderen (vlanfähigen) FritzBox, die als Router fungiert.
Wo ist jetzt das Problem, LAN1 ist in einem eigenen VLAN, wenn man "Internetzugang über LAN1" anwählt.

 

[prisoner627]

Ich habe noch nirgends gelesen, dass irgend eine FritzBox VLAN kann.

Wenn ich einfach "Internetzugang über LAN1" aktiviere, erscheinen doch alle Geräte, die "vor" der 7390 sind, trotzdem bei der 7113, oder nicht? Ich möchte ja eine komplette Abschirmung der 7113 erreichen; sie soll nur die 7390 kennen das Internet weiterreichen.

 

[KunterBunter]

Ich habe noch nirgends gelesen, dass irgend eine FritzBox VLAN kann.

Die FritzBox kann man sogar bei VLAN für Internettelefonie verwenden, auch wenn das nicht das ist, was du möchtest.
Im Menü Anschlusseinstellungen steht:

VLAN-Einstellungen
Bitte beachten Sie, dass nur in seltenen Fällen die Verwendung einer VLAN-ID erforderlich ist. Die benötigte ID erhalten Sie von Ihrem Internetanbieter.
VLAN für Internettelefonie verwenden

 

[Freetz!Box]

Du kannst auch eine zweite Leitung von der 7390 zum Netgear verlegen. Übrigens dein Szenario würde auch nicht funktionieren wenn die 7390 die VLAN-Funktionalität deines Netgear beherrschen würde. Dafür brauchst du Layer-3-VLAN.

Die FRITZ!Box kann VLAN, allerdings nur portbasierend und mit vorgegebenen Konfigurationen.

 

[gt40]

Wenn ich einfach "Internetzugang über LAN1" aktiviere, erscheinen doch alle Geräte, die "vor" der 7390 sind, trotzdem bei der 7113, oder nicht?

Nein, eben nicht. Wenn die 7390 als Router mit Internetzugang über LAN1 konfiguriert wird, dann wird LAN Port 1 von der LAN Bridge abgetrennt und bekommt ein eigenes portbasiertes VLAN.

 

[prisoner627]

Dann habe ich aber das Problem, dass die Clients im Keller nicht von Geräten hinter der 7390 sichtbar sind, oder? Wie du schon sagst, ist LAN1 ja dann lediglich für den Internetzugang verantwortlich.

Um Missverständnisse auszuschließen hier eine kleine Skizze:

Zwischen Netgear Switch und 7390 verläuft EIN Kabel. Wenn ich das an das LAN1 der 7390 klemme und den Internetzugang darüber aktiviere, werden doch die Keller-Clients (NAS, PC 1) von denen im Erdgeschoss abgeschottet. Somit wäre ein seperates Kabel vom Switch zur 7390 die einzige Lösung, oder? Ein Kabel für Internet auf LAN1 und eines für den normalen LAN-Traffic der anderen Clients am Switch.

 

[GottSeth]

Zwischen Netgear Switch und 7390 verläuft EIN Kabel. Wenn ich das an das LAN1 der 7390 klemme und den Internetzugang darüber aktiviere, werden doch die Keller-Clients (NAS, PC 1) von denen im Erdgeschoss abgeschottet.

Warum willst Du das denn machen

Die 7113 macht doch den Inet-Zugang - dann lass die doch auch DHCP machen !

oben zur FritzBox 7390, die als weiterer Switch, Access Point und DECT-Basisstation dient.

Für diese Funktionen muß die NAT der 7390 nicht aktiviert werden !