ich bin Lancom-Neuling und stehe etwas auf dem Schlauch bzgl. der Einrichtung meines Netzwerk mit dem 1793VA. Bisher habe ich Fritz!Boxen und andere "simplere" Router genutzt. Ferner habe ich bisher noch nicht mit VLANs hantiert, möchte aber nun mein Netzwerk intern trennen und gleichzeitig sinnvoll von außen schützen sowie intern entsprechende Zugriffsregeln einbauen, damit ich bspw. von der Workstation auf alle Geräte oder von mehreren Geräten auf den Server (Datengrab) zugreifen kann.
Sonderlocke:
Aktuell ist noch ein Kabel-Routermodem (Fritz!Box 6490 Cable) vorgeschalten, das ein WLAN-Mesh zum WLAN-Access Point (FB 450E) durchreicht. Das Kabel-Routermodem soll spätestens April wegfallen (dann soll ein VDSL2-Zugang mittels 1793VA genutzt werden) und der WLAN-Access Point in einigen Tagen durch einen Lancom WLAN-Access Point (LW-500) ersetzt werden.
Es ist momentan alles wie folgt verbunden:
- Kabel-Routermodem: FB 6490 Cable
- TV-Kabel -> TV-Dose (72/2 mbps)
- LAN-2 (Bridge-Port) -> Lancom 1793VA
- VDSL2-Routermodem: Lancom 1793VA
- ETH-1 -> Lancom GS-2326
- ETH-2 -> FB 6490 Cable (vorläufig, soll später wegfallen)
- ETH-3 -> Workstation (Win 10 LTSC) (Workstation soll nach Router-Einrichtung wieder mit dem Switch verbunden werden)
- Full Managed Layer-2-Switch: Lancom GS-2326
- WLAN-Access Point (FB 450E, später Lancom LW-500)
- TV
- Medienstreamer
- IoT: Philips Hue Hub
- Server (Datengrab) (noch nicht vorhanden)
- Outdoor Cam (noch nicht vorhanden)
- ggf. Indoor Cam (noch nicht vorhanden)
- WLAN-Access Point: FB 450E (später Lancom LW-500)
- Drucker
- Scanner
- Smartphone
- IoT: Backofen
- IoT: Geschirrspüler
- ggf. Indoor Cam (noch nicht vorhanden)
- weitere eigene WLAN-Geräte (bspw. Laptop)
- fremde WLAN-Geräte (Gäste-Smartphones, etc.)
Nach den Grundeinstellungen (IP-Vergabe auf 10.0.0.7 -> soll später 10.0.0.1 werden, aktuell von FB belegt) hatte ich von der Workstation direkt weiterhin Zugriff auf alles und das Internet funktionierte. Vorab musste ich lediglich auf der FB LAN-2 (woran der 1793VA hängt) als Bridge-Port einstellen.
Da ich aber das DHCP der FB loswerden und in den 1793VA übertragen möchte, habe ich den Port ETH-2 des 1793VA (woran die FB hängt) als Internet-Zugang "Kabelmodem (DHCP)" eingerichtet. Dies finde ich nun unter Kommunikation -> Gegenstellen -> Gegenstellen (DSL): "Internet"
Das hat erst nicht funktioniert, aber nach ca. 1-minütiger Trennung der FB und des 1793VA vom Strom ging es dann. Dabei habe ich den Zugriff von der Workstation auf die FB verloren (obwohl deren IP ja 10.0.0.1 sein sollte). Ferner vergibt die FB per DHCP eine zusätzliche IP zum 1793VA (10.0.0.200) und seltsamerweise auch weiterhin zum WLAN-Access Point (10.0.0.100 - hier vergibt der 1793VA seltsamerweise keine DHCP-IP, wird auch im LanMonitor unter DHCP nicht angezeigt), der aber erst hinter dem 1793VA am Switch angeschlossen ist. Ansonsten werden aktuell alle IPs dynamisch vom 1793VA im 10.0.0.x-Netz vergeben (die WLAN-Geräte nun dynamisch auch von dem 1793VA bzw. vom Access-Point). Auf den WLAN-Access Point kann ich zugreifen.
Die IPs werden aktuell wie folgt vergeben:
- FB 6490 Cable: hart 10.0.0.1 (allerdings aktuell kein Zugriff möglich)
- Lancom 1793VA: hart 10.0.0.7 und per FB-DHCP 10.0.0.200
- Lancom GS-2326: per 1793VA dynamisch 10.0.0.48, ignoriert FB-DHCP
- FB 450E (später Lancom LW-500): per FB-DHCP 10.0.0.100 (unklar, wieso - sollte er hier nicht auch eine dynamische DHCP-IP vom 1793VA bekommen?)
- Workstation: per 1793VA dynamisch 10.0.0.72, ignoriert FB-DHCP
- alle anderen LAN-Geräte: per 1793VA dynamisch 10.0.0.x, ignorieren FB-DHCP
- alle anderen WLAN-Geräte: per 1793VA bzw. FB 450E dynamisch 10.0.0.x, ignorieren FB-DHCP per Mesh
Benötige ich für den Zugriff von der Workstation auf die FB ein separates Kabel von der FB zum 1793VA bzw. zum Switch über ein (ungebridgtes) Port?
Sollte ich dann, sobald ich wieder Zugriff auf die FB habe, das DHCP der FB bereits jetzt gänzlich deaktivieren?
Nun bin ich an dem Punkt, an dem ich per DHCP feste IPs vergeben und das am Besten in VLANs getrennt vergeben möchte. Dabei habe ich mir folgende Aufteilung überlegt:
- VLAN #1 (10.0.1.x/24): "Management" mit Routermodem (zzgl. aktuell auch das Kabel-Routermodem), Switch und WLAN-Access Point
- VLAN #2 (10.0.2.x/24): "Fertile" mit Workstation, Server, Laptop, WLAN-Drucker und WLAN-Scanner
- VLAN #3 (10.0.3.x/24): "Media" mit TVs und Medienstreamern
- VLAN #4 (10.0.4.x/24): "IoT" mit Haushaltsgeräten per LAN (Philips Hue Hub) und WLAN (hier aktuell: Backofen, Geschirrspüler)
- VLAN #5 (10.0.5.x/24): "Surveillance" mit Cam(s) (Outdoor per PoE-LAN, Indoor per WLAN und ggf. LAN)
- VLAN #6 (10.0.6.x/24): "Mobile" mit eigenen WLAN-Laptop(s), -Tablet(s) und -Smartphone(s)
- VLAN #7 (10.0.7.x/24): "Guests" mit fremden WLAN-Laptop(s), -Tablet(s) und -Smartphone(s)
Wie setze ich dann sperren bzw. routen, um
a) von einem Gerät auf ein anderes zugreifen zu können (bspw. von der Workstation Zugriff auf alles, vom Smartphone nur Zugriff zur Workstation & Web, von IoT- und Gastgeräten nur Zugriff aufs Web, usw.)
b) den Zugriff von einem Gerät auf ein anderes (bzw. ganze Netzwerke) zu verbieten (bspw. IoT kein Zugriff auf andere interne Geräte)?
Vielen Dank vorab und viele Grüße!