Fritz!box VLAN's

Je zegt wel dat je met VLAN's bezig wil zijn, maar je zegt niet waarvoor je het wil gebruiken. Het dient voornamelijk voor segmentaties zodat je security policies kunt enforcen op east-west traffic. Best handig om je bedraad netwerk te onderscheiden van je (guest) Wi-Fi, maar access points hebben een filter hiervoor ingebouwd (niet allemaal natuurlijk).

Je gaat wel constant regels moeten toevoegen als je van subnet naar subnet wil gaan, tenzij je alles toelaat maar dan heeft het helemaal geen zin om VLAN's te doen.

Als jij de resources bv servers niet hebt ervoor, heeft het totaal geen zin. Alhoewel je altijd een virtuele firewall voor je servers kunt plaatsen. En ja met die virtuele firewall kan je altijd VLAN's doen zonder een fysieke switch te configureren.

Ik heb thuis een PA-410 staan, enterprise-grade maar daar doe ik geen VLAN's mee. Op mijn twee servers heb ik een cluster van VM-series firewalls waar ik wel VLAN's mee doe. Bv mijn backup server en mijn web-server hangen achter de VM-series.

Als je geen deftige use-case hiervoor hebt en je wilt er toch mee spelen - doe je dit best in packet tracer of GNS3/EVE-NG. De dSwitches dat je terug vindt in VMware vSphere omgevingen is ook best wel tof.

Faifz schreef op zondag 12 maart 2023 @ 02:41:
Je zegt wel dat je met VLAN's bezig wil zijn, maar je zegt niet waarvoor je het wil gebruiken. Het dient voornamelijk voor segmentaties zodat je security policies kunt enforcen op east-west traffic. Best handig om je bedraad netwerk te onderscheiden van je (guest) Wi-Fi, maar access points hebben een filter hiervoor ingebouwd (niet allemaal natuurlijk).

Je gaat wel constant regels moeten toevoegen als je van subnet naar subnet wil gaan, tenzij je alles toelaat maar dan heeft het helemaal geen zin om VLAN's te doen.

Als jij de resources bv servers niet hebt ervoor, heeft het totaal geen zin. Alhoewel je altijd een virtuele firewall voor je servers kunt plaatsen. En ja met die virtuele firewall kan je altijd VLAN's doen zonder een fysieke switch te configureren.

Ik heb thuis een PA-410 staan, enterprise-grade maar daar doe ik geen VLAN's mee. Op mijn twee servers heb ik een cluster van VM-series firewalls waar ik wel VLAN's mee doe. Bv mijn backup server en mijn web-server hangen achter de VM-series.

Als je geen deftige use-case hiervoor hebt en je wilt er toch mee spelen - doe je dit best in packet tracer of GNS3/EVE-NG. De dSwitches dat je terug vindt in VMware vSphere omgevingen is ook best wel tof.

Volgens mij gaat het er niet om waarom hij vlans wilt maken, ook vraagt hij niet naar wat jij hebt staan. Nutteloze reactie.

Ontopic:
Zover ik weet ondersteunt Fritzbox geen vlans, dus je zit al snel aan iets anders (zoals een EdgeRouter idd). Wat voor switch heb je? Voor beheer wel mooi als het in een enkele console kan.

Charlie_Root schreef op zondag 12 maart 2023 @ 08:07:
[...]


Volgens mij gaat het er niet om waarom hij vlans wilt maken, ook vraagt hij niet naar wat jij hebt staan. Nutteloze reactie.

Ontopic:
Zover ik weet ondersteunt Fritzbox geen vlans, dus je zit al snel aan iets anders (zoals een EdgeRouter idd). Wat voor switch heb je? Voor beheer wel mooi als het in een enkele console kan.

nutteloos? een reactie is nooit nutteloos, wellicht denkt de topicstarter wel dat hij VLANS moet hebben terwijl hij wellicht beter geholpen is met een andere oplossing? in dat geval is de vraag waarom hij dat wil best relevant.

Charlie_Root schreef op zondag 12 maart 2023 @ 08:07:
[...]


Volgens mij gaat het er niet om waarom hij vlans wilt maken, ook vraagt hij niet naar wat jij hebt staan. Nutteloze reactie.

Ontopic:
Zover ik weet ondersteunt Fritzbox geen vlans, dus je zit al snel aan iets anders (zoals een EdgeRouter idd). Wat voor switch heb je? Voor beheer wel mooi als het in een enkele console kan.

Heb enkele voorbeeld gegeven waarom je VLAN's gebruikt. Denk je nu echt dat het logisch is dat je VLAN's wilt gaan doen nadat je zoiets als een Fritzbox hebt gekocht dat bedoeld is voor onervaren mensen? Op een router waar je geen firewall regels kunt instellen, lijkt het mij ook niet zinvol dat het VLAN's ondersteunt - tenzij jij het concept van VLAN's niet begrijpt.

Je gaat wel constant regels moeten toevoegen als je van subnet naar subnet wil gaan, tenzij je alles toelaat maar dan heeft het helemaal geen zin om VLAN's te doen.

Jij voegt zelf helemaal niets toe, dus jouw reactie is totaal nutteloos ja. En het is ook zinloos dat jij vraagt welke switch het zou zijn, want je weet sowieso al dat het een consumenten switch is zonder L3 functionaliteit zoals Cisco IOS switches. Je kan al raden dat de OP niet technisch bekwamen is om een ACL te maken, laat staan dat hij een switch omtovert tot een router/firewall.

Een fritzbox kent een gastennetwerk zowel op wifi als eventueel op poort 4 deze kan je dan verder gebruiken op je managed switch als vlan. Echter is het verder niet managen of rules aan te koppelen het gastennetwerk heeft alleen toegang tot internet verder niets. Of dat voldoende is moet je zelf bepalen.

Die switch van je kan geen routing doen. Op een Cisco IOS switch gaat dat wel - want daar heb je SVI's per VLAN ID waar je een IP adres kunt instellen. Verder stel je ofwel een DHCP relay of een DHCP server op de switch. Verder is het een kwestie dat je een default-route op de switch instelt dat verwijst naar de Fritzbox en dan nog eens een static route van de Fritzbox naar de switch. Maar je kunt geen static routes instellen op een Fritzbox - dus ga je NAT moeten doen op de switch.

Een trunk tussen je Fritzbox en switch doe je niet. Die Fritzbox verwacht geen tagged frames.

Piet400 schreef op zondag 12 maart 2023 @ 12:34:
VLAN's hebben voor mij weinig geheimen, echter ten onrechte verwacht ik soms iets van een apparaat, terwijl het apparaat dat niet ondersteund.

Blijkbaar zijn er nog heel veel geheimen voor je. VLAN's heeft niets te maken met routing - dat is je duidelijk onbekend. Jij bent op zoek naar inter-VLAN routing. Je hebt maar een L2 switch dat geen L3 functionaliteit heeft - dus inter-VLAN routing bereik je daar niet mee. Dat zie je alleen maar terug op deftige enterprise switches en ze zijn vrijwel onbetaalbaar. Dus de vraag naar welke switch je hebt blijft nutteloos want zoals je al kunt voorspellen is het altijd wel een L2 switch.

Piet400 schreef op zondag 12 maart 2023 @ 12:34:
Ik heb een heldere use case om verkeer te scheiden via vlans. dat ik wat ik wil bereiken.

Hoe denk jij traffic toe te laten van VLAN naar VLAN zonder dat je de mogelijkheid hebt om ACL's te configureren op je switch of firewall regels op je Fritzbox? Je gaat altijd onderaan in de lijst een deny all regel moeten toevoegen - als je dat niet doet dan heb je gewoon geen segmentatie/scheiding van traffic. Dan is het hele VLAN gedoe wel zinloos.

Piet400 schreef op zondag 12 maart 2023 @ 12:34:
Ik heb een managed Netgear switch van het type GS108PE. https://www.netgear.com/n...ed/switches/plus/gs108pe/

Ik durf het bijna niet te zeggen piet, maar volgens mij is dit een unmanaged switch, volgens jouw eigen link. Hoe wil je daar vlans op configureren ?

crazyme2 schreef op zondag 12 maart 2023 @ 20:18:
[...]


Ik durf het bijna niet te zeggen piet, maar volgens mij is dit een unmanaged switch, volgens jouw eigen link. Hoe wil je daar vlans op configureren ?

Nee hoor is gewoon managed
“ Naast de plug-N-play Gigabit Ethernet-connectiviteit bieden deze switches ook essentiële netwerkfuncties zoals VLAN, QoS, igmp snooping, port mirroring.
“

@Piet400
Maximale aan vlans is denk ik de guest optie op poort 4(?) gebruiken.

2 kabels naar je switch, 1 in 1 en 1 in 4 en die op verschillende vlans laten uitkomen. Excepties zoals Verkeer tussen vlans kun je dan alleen vergeten

[ Voor 20% gewijzigd door laurens0619 op 12-03-2023 20:29 ]

Je zou ook kunnen overwegen om https://github.com/Freetz-NG/freetz-ng er op te zetten.