TP-Link VLAN: Kann ich Geräte isolieren & trotzdem noch darauf zugreifen?

[werk]

Hey.

Ich habe eine Fritzbox 7490, an die mit LAN-Kabel ein Switch (TP-SG108E) angeschlossen ist. An dem Switch hängen mein Mac, ein Smart-TV, ein NAS und noch ein PC.

Kann ich es irgendwie so einrichten, dass das SMART-TV nur das NAS sehen kann, aber sonst kein Gerät (auch keines, das per WLAN verbunden ist)? Also eine "Zone" nur für TV & NAS.
Ich müsste natürlich hin und wieder noch auf das NAS von meinem Mac zugreifen, um z.B. neue Fotos etc. dort abzuspeichern.

Die Bedienungsanleitung des TP-Switches erwähnt (allerdings für mich als Laien sehr kurz) VLAN als Möglichkeit. Doch wenn ich z.B. TV & NAS in ein eigenes VLAN packe, könnte ich doch nicht mehr von meinem Mac auf das NAS zugreifen, es sei denn ich füge den Mac auch diesem VLAN hinzu, dann kann das TV den aber auch sehen. Oder kann ich auch eine Art "Einbahnstrasse" (nur Mac auf VLAN oder nicht umgekehrt) einrichten?

Ich wäre wirklich sehr dankbar, falls mir jemand mit Netzwerk-/VLAN-Kenntnissen das ganz kurz benatworten könnte. Vielen Dank.

 

[Stefan G]

Wenn du mit Virtuellen LAN arbeiten willst, brauchst du einen Router der die Netzer Routen kann. Ich denke die FB kann
das wohl nicht. Vielleicht bittet der Switch ja eine Routing Funktion an....

 

[Olivetti]

wenn der switch nicht nur einfaches portbasiertes VLAN oder MVRP kann, sollte es problemlos gehen.
du musst dann z.b. nur den port des NAS in beide VLANs packen.
genauso die fritzbox, wenn der TV auch noch "internetten" soll.

@Stefan G
das schreibt er doch, dass er das mit seinem switch machen will.

 

[werk]

Danke @Olivetti. Wenn ich das TV in ein VLAN des TP-Link packe, kann es dann trotzdem noch Geräte sehen, die direkt an der Fritzbox (nicht über TP-Link) z.B. über WLAN angemeldet sind? Also, ist alles "unterhalb" des TP-Link-VLANs für Geräte im VLAN sichtbar?
Und: Alle Geräte, die direkt an der FB angeschlossen sind, können doch alle Geräten sehen, die am TP-Link angeschlossen sind, oder? (weil der keine Firewall hat?)

 

[rechnerteam]

Dieses Wiki finde ich ganz schön gemacht, um einzusteigen. Es beantwortet auch Deine Fragen.
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

 

[werk]

@rechnerteam Diesen Artikel hatte ich beim Suchen gefunden & gelesen, aber leider hat er nicht alle Fragen beantwortet. Zudem denkt man als Laie manchmal vielleicht etwas zu kompliziert/umständlich/falsch/dumm...

 

[rechnerteam]

leider hat er nicht alle Fragen beantwortet.

Schade.

Zudem denkt man als Laie manchmal vielleicht etwas zu kompliziert/umständlich/falsch/dumm...

Das ist normal… und wird mit jeder beantworteten Frage weniger.

Ich hoffe, es findet sich hier jemand, der sie beantwortet. Darin bin ich nicht fit genug, um fundiert zu helfen.

 

[bowman]

...im Grunde ist es nicht so wild. Du brauchst:

1. Einen Router der die Konfiguration von a) mehreren VLANs und b) einer (eingebauten) Firewall erlaubt. Hierzu eignet sich jeder "Chinakracher" der die Installation von OpenWRT erlaubt. Zur Auswahl eines geeigneten Routers siehe openwrt.org (Ich habe mit den etwas besseren TP-Link Routern gute Erfahrungen gemacht.)

2. Im Router legst Du zwei getaggte VLANs mit jedweils eigener ID an: Z.B. 1 für "Privat" und 2 für "Medien"

3. In der Firewall stellst Du ein, das VLAN1 auf VLAN2 zugreifen darf, aber nicht VLAN2 auf VLAN1. Das geht entweder manuell wie hier erklärt: http://wiki.openwrt.org/doc/uci/firewall oder mit der graphischen Oberfläche von OpenWRT.

4. Einen Routerport (d.h. Netzwerkdose) deklarierst Du als Trunk - hierüber läuft der Verkehr von beiden VLANs

5. Einen Switchport (den zum Router) definierst Du ebenfalls als Trunk

6. Einen Teil der Ports auf dem Switch ordnest Du VLAN1 zu, hier hängst Du den Mac dran

7. Einen anderen Teil der Ports ordnest Du VLAN2 zu, hier kommt dann die NAS dran.

8. Die Fritzbox nutzt Du fortan nur noch als Modem für den Chinakracher.

Ansonsten empfehle ich die Lektüre der aktuellen c't, dort ist sehr anschaulich erklärt, wie man mit mehreren Routern, dafür aber ohne explizite Firewall, eine ähnliche Zonentrennung hinbekommt. Für deine Zwecke würde das vermutlich reichen, es hätte den Vorteil daß Du die FB wie gewohnt weiter nutzen kannst und dir die Firewallkonfiguration bzw. die Einarbeitung in OpenWRT sparst.

 

[Olivetti]

Wenn ich das TV in ein VLAN des TP-Link packe, kann es dann trotzdem noch Geräte sehen, die direkt an der Fritzbox (nicht über TP-Link) z.B. über WLAN angemeldet sind? Also, ist alles "unterhalb" des TP-Link-VLANs für Geräte im VLAN sichtbar?
Und: Alle Geräte, die direkt an der FB angeschlossen sind, können doch alle Geräten sehen, die am TP-Link angeschlossen sind, oder? (weil der keine Firewall hat?)

1. ja, das könnte man evtl. mit https://avm.de/service/fritzbox/fri...es-Computers-sind-im-Heimnetz-nicht-sichtbar/ unterbinden oder man trennt in der FB auch nochmal mit dem gastzugang. am FB-switch darf aber natürlich nix weiter dranhängen (außer natürlich wieder, wenn der gastzugang genutzt würde).

2. wenn die FB in beiden/allen VLANs ist, ja. ansonsten natürlich nicht, denn das ist ja der sinn von VLANs.

(3. WLAN) im zweifelsfall sollte man einen separaten accesspoint einhängen, womit alle eventualitäten abdeckbar wären.

 

[werk]

@bowman: Da ich die Fritzbox 7490 und den Switch schon mal habe, versuche ich vielleicht zuerst die Lösungen von @Olivetti, bevor ich weitere Hardware anschaffe.

Also ich habe gerade versucht, VLANs zu erstellen mit dem TP-Switch (wie in dessen Anleitung angegeben). Die Belegung der Ports am Switch ist folgende:

- Port 1: Verbindung zur Fritzbox
- Port 2: PC
- Port 3: Mac

- Port 4: NAS
- Port 5: TV
- Port 6: altes MacBook zum Testen, welche Geräte sichtbar sind

Also hätte gerne ich ein VLAN "Privat: Ports 1-4" und ein VLAN "Medien: Ports 4-6". Mac/PC könne auf NAS zugreifen, aber TV kann nur auf NAS zugreifen (muss nicht ins Internet).
Doch so ganz funktioniert das noch nicht:

- Portbasiert: Ich kann mit diesem Switch anscheinend einen Port nur einem VLAN zuweisen, könnte also das NAS (Port 4) nicht in beide VLANs (Privat & Medien) aufnehmen. Wenn ichs versuche, korrigiert der Switch die Portauswahl entsprechend.
- Q VLAN: Habe ich das so richtig verstanden? Tagged/untagged bezieht sich darauf, wie die Pakete den Switch verlassen (mit oder ohne Tag). Und PVID sagt aus, zu welchem VLAN ein Paket gehört, das in den Switch reinkommt. Richtig?
Ich habe also

VLAN Privat Ports 1-4, alle untagged, alle anderen Ports "Not a Member"
VLAN Medien Port 4-6, alle untagged, alle anderen Ports "Not a Member"

PVID für Ports 1-3 ist VLAN Privat.
PVID für Ports 4-6 ist VLAN Medien.

Das Problem ist noch der NAS-Zugriff:
Im Moment ist es leider so, dass ich entweder vom Mac auf das NAS zugreifen kann (wenn Port 4 = PVID VLAN Privat) oder das TV auf das NAS zugreifen kann (wenn Port 4 = PVID VLAN Medien).
Zudem sollte das NAS hin und wieder mal ins Internet, das TV aber nie.

Das geht aber schon, dass ein Gerät aus dem VLAN Privat auf ein Gerät aus einem anderen VLAN zugreift? Wo liegt men Fehler?

 

[bowman]

@bowman
Welche Angaben muss ich da machen, damit die VLANs getrennt sind, ich vom VLAN Privat aufs NAS zugreifen kann (aber nicht umgekehrt)? Und was passiert denn mit den automatisch vergebenen IPs (DHCP) im VLAN Medien, das ja keinen Zugang zum Router (Port 1) hat? Wie erhalten die Geräte denn dort ihre IP? So viele Fragen...

...das wird so nicht gehen. Du benötigst eine Router- und Firewallfunktionalität, der Switch alleine kann das nicht. Vereinfacht gesagt kann der nur auf einzelnen Ports gebündelte VLANs (Trunks) entgegennehmen (oder weiterleiten) und auf anderen Ports einzelne VLANs "abzweigen", dazu nutzt er die VLAN-Tags. Um Datenverkehr zwischen VLANs weiterzuleiten oder zu Filtern (was Du ja willst) brauchst Du einen VLAN-tauglichen Router und eine Firewall. OpenWRT bietet hierzu die Konfiguration einzelner "Interfaces" an, die in der Firewall vorher definierten Zonen zugewiesen werden können und die gezielt gebridged werden können. Auf jedem Interface kann ein eigener DHCP-Server laufen der dort die Adressen im im jeweiligen VLAN vergibt.

Die Fritzbox bietet immerhin ein Gastnetz, an dem ihm zugewiesenen Port könntest Du einen x-beliebigen Switch anschliessen und daran das NAS und und sonstigen dubiosen Medienplunder. Vom Gastnetz kommt man nicht in das 'normale' Netz, in dem z.B. der Mac hängt.

Aber nochmal: Die aktuelle c't (8/2017) geht mit einer ganzen Artikelserie ausführlich auf diese Thematik und Routerkaskaden ein, ich kann dir das Heft nur wärmstens empfehlen...

 

[Olivetti]

habe mir mal das manual vom switch angeschaut.
kurz, damit geht es nicht, ist halt wirklich nur ein ganz kleiner.
ihm fehlt in der VLAN-configuration "link-type: general" (wie es bei tp-link eben heisst),
das hätte dir an der stelle angeboten werden sollen, wie es z.b. die großen haben.
noch dazu könnte damit auch kein trunk-port erstellt werden. das teil hat wirklich nur sehr rudimentäre VLAN-funktionen.

welches NAS hast du, hat es zwei LAN-schnittstellen?
dann wäre ein weg jetzt, VLAN-privat so wie in #10 (ports 1-4). zusätzlich den zweiten NAS-LAN an port 7 nach VLAN-medien und noch FB-gastzugang nach port 8 dazu.

 

[werk]

Danke euch beiden. @Olivetti, leider nur ein sehr altes NAS mit einem einzigen LAN-Port. @bowman Ich habe mir die CT gekauft und die entsprechenden Artikel mal durchgelesen. Wenn ich das richtig sehe, müsste ich für meine Wünsche zusätzlich zum Switch und evtl. Multi-SSID-fähigen WLAN-Accespoints vor allem einen Multi-LAN-fähigen Router haben, wie du es schon gesagt hattest. Ist mir aber im Moment zu teuer, und OpenWRT (als Alternative) ist ja laut Artikel "nichts für Gelegenheits-Admins" Das wäre dann wohl ich bestenfalls.
Also werde ich vorerst dabei beleiben, alle Gäste und IoT von einander isoliert ins Gastnetz der Fritzbox zu stellen, und alle anderen (inkl. TV & NAS) ins Hauptnetz. Internetzugang fürs TV sperren, ist wohl das Maximum an Sicherheit, was ich i.M. mit meinem Setup machen kann.
Trotzdem möchte ich euch sehr danken für all die Mühe, die ihr euch gemacht habt!