Gleichzeitig per WLAN und ETH in zwei unterschiedlichen Netzen

[Postman76]

Hallo zusammen,

ich habe zwei SMA WR die per Gastwlan (Fritzbox) Ihren Weg ins Internet finden. Ich will nicht, dass eine "nach Hause funkende" Hardware einfach so in meinem Hausnetz hängt.
Die WB ist allerdings in meinem Hausnetz, damit ich am Tab, Smartphone, Laptop oder sonstwo nachsehen kann wie's gerade um die Ladung steht.
Das hat zu Folge, dass die WB natürlich erstmal nicht die Daten von den WRs kriegen kann.
Meine Frage nun: Kann die WP in zwei Netzen gleichzeitig sein einmal per WLAN im Gastnetz und einmal per Ethernet im Hausnetz?

Gruß
Peter

[openWB]

Im Webinterface ist das so nicht konfigurierbar.
Per SSH kann man das Szenario konfigurieren.

[Postman76]

Hi!

schon klar. Ist ja auch ein Sonderfall. Vielleicht hat das ja schon mal jemand gemacht oder es gibt ein Manual oder so. Bevor ich anfange mir das selbst zusammen zu fummeln.

Gruß
Peter

[bigmadf]

Hallo

ich habe die gleiche Anforderung. Die IOT Geräte sollen nicht in meinem primären Netz hängen. Ich habe das ganze mittels VLANs gelöst.
Im primären WLAN ist alles was proaktiv als Internet - connected - Device benutzt ist oder ein aktives Netzwerkelement ist (könnte man auch noch in eine Management VLAN auslagern, habe ich bei mir nicht gemacht).
Im IOT VLAN sind nun alle IOT Geräte die eine Internetanbindung haben und ich nicht unter Kontrolle habe welche Daten diese Geräte wohin schicken.

Ich setzt dafür einen Linksys LRT214 Router/ Firewall ein. Dieser hat auch openVPN integriert für den Remote Access.

Im primären VLAN (Hier gibt es auch ein separates Gäste WLAN mittels Netgear Orbi):

• Smartphones
• AppleTVs
• Notebooks/ Rechner/ Tablets
• proxy für AdBlock (pihole als Container neben weiteren Containern)
• NAS
• Router
• AccessPoints (alle, die des primären VLAN und die des IOT VLAN. Die Cisco APs unterstützen VLAN Tagging, so können unterschiedliche SSIDs in unterschiedlichen VLANs sein)

Im IOT VLAN

• Smartmeter (3 Stück smartme für Messung von PVA und 2 Häusern, da ich meinen Solarstrom dem Nachbarn verkaufe)
• SmartFox zur Eigenverbrauchsoptimierung (steuert den Boilerheizstab über einen Thyristorsteller stufenlos an je nach PV-Überschuss)
• Wechselrichter
• openWB
• Tesla ModelX
• Trockner und Waschmaschine
• Überwachungskameras (der Zugriff erfolgt vom NAS auf die Kameras, somit kein Problem mit den Berechtigungen - siehe Firewall)
• flightradar24 Tracker

Alle statischen Devices haben statische Leases im DHCP und somit immer die gleiche IP Adresse
Über den Router/Firewall Linksys LRT214 kann nun sehr granular der Zugriff mittels Firewall gesteuert werden. So habe ich aus dem primären VLAN vollen Zugriff in das IOT VLAN aber nicht andersherum. Falls es nötig sein soll kann ich eine dedizierte Firewall Regel erstellen die einem bestimmten IOT Device Zugriff auf ein bestimmtes Device im primären VLAN gibt.

Das was Du versuchst zu erreichen solltest Du mit VLANs machen. Dafür sind die da.
Du kannst natürlich auf dem raspi beide Interfaces aktivieren, diese dann bridgen und kommst dann so an die Daten des WRs. Das bedeutet aber Handarbeit in der Netzwerkkonfig (unter Umständen auch Firewall) des raspi. Das geht dann über den Support für openWB ein wenig hinaus denke ich .

Hoffe es hilft Dir.

Gruss,
Matthias

[Postman76]

Servus Mathias,

super. Vielen Dank für ausführliche Erklärung. Da werde ich mich wohl von meiner FritzBox verabschieden müssen. Die machen keine VLANs.
Ist Deine LinkSys ein Layer3 Switch?
Ich habe einen HP 2530-24 PoE Switch der kann VLAN, ich bin mir nur nicht sicher wie ich das dann der FritzBox beibringe. Das muß ich mir mal alles anschauen.
Der Vorteil Deiner Lösung liegt auf der Hand. Alles sauber getrennt und irgendein Bug in eine IoT Device stört Dich nicht groß. Man muß sich da schön lagsam echt Sorgen machen. Ich habe mal einen Sniffer mitlaufen lassen, was die ganzen Devices vom Fernseher bis zum Saugroboter so rumschicken. Da wird einem ganz anders.

Gruß
Peter

[openWB]

Jenachdem wie fit du bist kann ich dir auch Pfsense ans Herz legen.
Gibt es in fertig oder läuft auch auf anderen Geräten.
Was die ganzen Geräte so senden ist nicht mehr feierlich.
Da macht es auch Sinn von intern zu blocken.

[Jarry]

Wenn du bei der Fritzbox bleiben willst, kannst du auch das Gastnetz auf LAN4 aktivieren und das dann mit einem Managbaren Switch in ein eigenes VLAN schubsen. Das würde es zumindest ein wenig vom normalen Heimnetz trennen.
Aber eine Vernünftige FW (pfsense ist da durchaus vorn mit dabei) ist sicherlich die bessere Variante.

[okaegi]

Ich hab es mit separaten Subnetze gemacht. Mir ging es vorallen um einen separtes dhcp server und separten vpn zugung von remote zu dem Garagen subnet:
Wallboxen , wr, Überwachungstablett und raspi hängen im Garagen subnet mit eigenem dhcp server. Alle ist in der Garage mit Lan verkabelung direkt am ddwrt Gateway angeschlossen.
Dann Verbinung über ein ddwrt gateway im client modus über wlan ans Haus Subnet. Der gateway ist von beiden Subnetzen mit zwei unterschiedlichen ip adressen erreichbar. In der firewall vom Haus zum Internet braucht es noch eine Static Route mit der ip adresse vom ddwrt gateway. Der ddwrt router baut für die Garage noch ein eigenes wlan auf und hat noch eine Firewall zwischen Wan (wlan verbindung zum Haus Subnet) und lan (Verkabelung Garage) und ist zugleich Dhcp Server für die Garage.
Ich habe es ursprünglich so gemacht, weil ich die Garage nicht ans Lan angeschlossen hatte.
Gruss Oliver

[Postman76]

Wenn du bei der Fritzbox bleiben willst, kannst du auch das Gastnetz auf LAN4 aktivieren und das dann mit einem Managbaren Switch in ein eigenes VLAN schubsen. Das würde es zumindest ein wenig vom normalen Heimnetz trennen.
Aber eine Vernünftige FW (pfsense ist da durchaus vorn mit dabei) ist sicherlich die bessere Variante.

Hi,

das muß ich mir mal anschauen, 2 getrennte Netze reichen für mich ja aus. Zumal man schon sagen muß, dass das mit der Fritzbox (ich hab eine als Router und eine in der Garage als Repeater) und zwei FritzBox APs als Repeater im Haus/Garten, schon gut hinhaut. Wahrscheinlich ist die einfache Inbetriebnahme der Preis für weniger Konfigurationsmöglichkeiten.

Nur zum Verständnis:
Auf Fritbox LAN4 als Gastnetz konfigurieren.
Auf dem Switch Port basierte VLANS die nur zum Port der Fritzbox dürfen.
WIFI IoT Geräte auch ins WiFI Gastnetz. Haken setzen bei "dürfen miteinander konfigurieren"

Frage: Kann ich dann von meinem Tab welches nicht im Gastnetz ist auf die Oberflächen der Geräte im Gastnetz zugreifen?

Gruß
Peter

[Jarry]

Wenn du bei der Fritzbox bleiben willst, kannst du auch das Gastnetz auf LAN4 aktivieren und das dann mit einem Managbaren Switch in ein eigenes VLAN schubsen. Das würde es zumindest ein wenig vom normalen Heimnetz trennen.
Aber eine Vernünftige FW (pfsense ist da durchaus vorn mit dabei) ist sicherlich die bessere Variante.

Hi,

das muß ich mir mal anschauen, 2 getrennte Netze reichen für mich ja aus. Zumal man schon sagen muß, dass das mit der Fritzbox (ich hab eine als Router und eine in der Garage als Repeater) und zwei FritzBox APs als Repeater im Haus/Garten, schon gut hinhaut. Wahrscheinlich ist die einfache Inbetriebnahme der Preis für weniger Konfigurationsmöglichkeiten.

Nur zum Verständnis:
Auf Fritbox LAN4 als Gastnetz konfigurieren.
Auf dem Switch Port basierte VLANS die nur zum Port der Fritzbox dürfen.
WIFI IoT Geräte auch ins WiFI Gastnetz. Haken setzen bei "dürfen miteinander konfigurieren"

Frage: Kann ich dann von meinem Tab welches nicht im Gastnetz ist auf die Oberflächen der Geräte im Gastnetz zugreifen?

Gruß
Peter

Bei letzterem muss ich ehrlich gesagt sogar passen. Ich bin mir grad nicht sicher, ob das Gast WLAN einer Fritzbox das gleiche Netz ist wie das Gastnetz auf LAN4..... müsste es aber sein...
Ich benutze Fritzboxen eigentlich nie für den WLAN Kram....
einfach mal probieren und berichten