Hi. Ich suche einen günstigen Managed Switch, (16 Ports) bei dem ich die einzelnen Anschlüsse einer oder mehreren Portgruppen zuweisen kann. Eine Kommunikation soll dann nur innerhalb einer Portgruppe möglich sein. Gewünschte Gruppenaufteilung Gruppe 0 - Fritzbox mit unbeschränktem Internet Gruppe 1 - Wohnung 1 Gruppe 2 - Wohnung 2 Gruppe 3 - Smart Home / TV Anlage Gruppe 1 und 2 sollen untereinander nicht direkt kommunizieren können. Verbindungen von Gruppe 1 und 2 zu Gruppe 0 und 3 sollen möglich sein. Eine direkte Verbindung zwischen Gruppe 0 und 3 soll nicht möglich sein. Welches Gerät würdet ihr mir empfehlen? MFG
Hier mal ein Bild wie ich es mir ungefähr vorstelle: https://www.bilder-upload.eu/bild-c62eed-1550525619.png.html MFG
Max schrieb: > Verbindungen von Gruppe 1 und 2 zu Gruppe 0 und 3 sollen möglich sein. Kannst du Gruppe 1 oder 2 vertrauen, dass die nicht die Smart Home Anlage von Gruppe 2 bzw. 1 Gruppe 1 manipulieren? Wäre ja doof, wenn Gruppe 2 die Smart Home Wohnungstüre von Gruppe 1 öffnen könnte.
Hier mal deine weiteren Kriterien angeben und dann bei den verbleibenden die Handbücher lesen: https://geizhals.de/?cat=switchgi Ich vermute du suchst sowas in der Art: https://en.wikipedia.org/wiki/IEEE_802.1Q
Sowas löst man über VLans, passende IP-Vergabe und Routing. Die Fritz-Boxen die ich kenne können das aber nicht, dafür brauchst Du noch einen kleinen Router, entweder nimmst Du einen Switzch der auch das kann, Layer3-Switches sind aber deutlich teurer oder, je nach Bandbreitenwunsch, reicht ein Pi.
Max schrieb: > Hi. > > Ich suche einen günstigen Managed Switch, (16 Ports) bei dem ich die > einzelnen Anschlüsse einer oder mehreren Portgruppen zuweisen kann. > > Eine Kommunikation soll dann nur innerhalb einer Portgruppe möglich > sein. > > Gewünschte Gruppenaufteilung > > Gruppe 0 - Fritzbox mit unbeschränktem Internet > > Gruppe 1 - Wohnung 1 > > Gruppe 2 - Wohnung 2 > > Gruppe 3 - Smart Home / TV Anlage > > Gruppe 1 und 2 sollen untereinander nicht direkt kommunizieren können. > > Verbindungen von Gruppe 1 und 2 zu Gruppe 0 und 3 sollen möglich sein. > > Eine direkte Verbindung zwischen Gruppe 0 und 3 soll nicht möglich sein. > > Welches Gerät würdet ihr mir empfehlen? > > MFG Das ganze macht man mit VLANs. Kein Hexenwerk, nur am Anfang ist wie immer lernen nötig, kannst/willst Du das? Egal, da Du keine erforderlichen Bandbreiten angibst: such Dir bei den üblichen Verdächtigen einen gebrauchten managed Switch, hier laufen 1 Procurve 1800-24 und einige 1800-8 (alle Ports Gigabit und Lüfterlos!, 60€, 30€ Stk) seit langer Zeit vollkommen unauffällig an einem fli4l (SW-Router) auf einem Alix-Board (kostet gebraucht auch fast nix), mit dem das alles sehr gut und einfach einstellbar war. Es gibt auch ältere VLAN-fähige Switche, die an den normalen Ports mit 100Mbit arbeiten und 2 oder 4 Ports als Uplinks mit 1Gbit versorgen. Diese Teile werden gerade sehr häufig ausgmustert, sollten also noch günstiger zu bekommen sein.
MiWi schrieb: > Das ganze macht man mit VLANs. Kein Hexenwerk, nur am Anfang ist wie > immer lernen nötig, kannst/willst Du das? An VLANs hätte ich jetzt auch gedacht, aber wie bekommt man das hin, das bestimmte Gruppen untereinander kommunizieren dürfen und andere nicht? Dann braucht man doch eigentlich schon eher nen Router?
Einen Router z.B. Cisco-Systems-SG350-10 und den Rest mit managed Switches z.B. Zyxel GS1200-8 über VLANs. Ist bei mir so umgesetzt.
@To entweder über einen zusätzlichen router/gateway (nicht so ein spielzeug wie die fritzbox) zB ein APU2 mit OpnSense oder über einen sogenannten layer3 switch...der beinhaltet bereits simple routing funktionalitäten.
Linuxschlau schrieb: > Nix aus der Vergangenheit gelernt? > HeiseSec ignoriert? Bitte um Aufklärung. "HeiseSec" sagt mir nichts.
Reinhard S. schrieb: > MiWi schrieb: >> Das ganze macht man mit VLANs. Kein Hexenwerk, nur am Anfang ist wie >> immer lernen nötig, kannst/willst Du das? > > An VLANs hätte ich jetzt auch gedacht, aber wie bekommt man das hin, das > bestimmte Gruppen untereinander kommunizieren dürfen und andere nicht? > Dann braucht man doch eigentlich schon eher nen Router? hab ich doch geschrieben: der fli4l macht den Routing-krempel. Dazu ist diese Software da. Da kannst Du auch auf Rechnerebene steuern...
Hi. Ich habe mich ein wenig eingelesen. Also wenn ich VLAN verwende, macht mir die Fritzbox einen Strich durch die Rechnung. Tagged VLAN kann sie nicht. Also müsste ich die Fritzbox mit 2 Netzwerkkabeln an die Ports von W1 und W2 hängen. Das wäre so, wie wenn ich für W1 und W2 zwei getrennte Standardswitches nehmen würde. Allerdings ist dann wieder über die Fritzbox eine direkte Kommunikation gegeben. Ich müsste also einen Switch mit der Funktion Port Isolation kaufen, und ihn so einrichten, dass alle Ports nur Richtung Uplink Port kommunizieren können. Die Fritzbox müsste dann an den Uplink Port. Eventuell ginge auch ein sogenannter L2+ Switch. Der Tipp, mich mal bei gebrauchten Profi Geräten umzusehen, ist jedenfalls ganz gut. Oder bei den "Billigherstellern" wie z.B. TP-Link. Da gibts ja auch Managed Switches zu bezahlbaren Preisen. Was die Smarthome Sachen betrifft: Es geht nicht drum dass W1 oder W2 das missbräuchlich nutzt. Sondern ich möchte erreichen, dass nur die PC-Basierte Configsoftware genutzt werden kann. Die Webbasierte "Cloud" bzw den Appserver möchte ich eliminieren. Genauso würde ich gerne die Unterhaltungselektronik in dieses "Interne" Netz bringen, damit z.B. das SmartTV. Appstore, Nutzungsstatistiken usw sollen tot gelegt werden. Das könnte man aber auch über eine kleine Firewall erreichen, so dass man nicht unbedingt ein extra VLAN dafür machen müsste.
VLAN schrieb: > Linuxschlau schrieb: > Nix aus der Vergangenheit gelernt? > HeiseSec ignoriert? > > Bitte um Aufklärung. "HeiseSec" sagt mir nichts. Fail!
Max schrieb: > Also wenn ich VLAN verwende, macht mir die Fritzbox einen Strich durch > die Rechnung. Tagged VLAN kann sie nicht. Man kann einen Port aber einem VLAN zuordnen und diesen auf untagged stellen. Dem Port gibt man dann die PVID des VLANs und fertig.
Oder man nutzt pihole und sperrt mit dem Filter in der Fritz!Box Geräte die gar nicht ins Internet sollen. Allen anderen dreht man mit dem DNS Filter gezielt den Zugang ab. Wer wirklich getrennte Netze haben will dann mit vlan fähigen switchen wie Zyxel 1900 und fürs Routing nen ubi er6. Der kann zB auch dpi. Martin
https://geizhals.de/mikrotik-routerboard-css300-rackmount-gigabit-managed-switch-css326-24g-2s-rm-a1563485.html Ich kann den empfehlen. Neben VLANs kann er auch "Port isolation" - Dort hat man eine Checkbox-Matrix und kann jedem einzelnen Port zuweisen, mit welchen anderen Ports er reden darf. Dabei sind auch überschneidende Gruppen kein Problem. - 24x 1-Gigabit RJ45 (1x mit PoE) - 2x 10-Gigabit SFP+ (non-shared) - Lüfterlos Ab 120 Euro.
Stefan P. schrieb: > https://geizhals.de/mikrotik-routerboard-css300-rackmount-gigabit-managed-switch-css326-24g-2s-rm-a1563485.html > - Lüfterlos > > Ab 120 Euro. Nett - was verbraucht die Kiste wenn nur 8 Ports verbunden (1GBit/s) sind?
> Bitte um Aufklärung. "HeiseSec" sagt mir nichts.
Einige Cisco produkte sind in der Vergangenheit negativ aufgefallen mit
sog. Wartungszugängen die zum WAN hin offen waren oder hardcodierte
nicht änderbare Standardpasswörter hatten.
Und wahrscheinlich fallen Sie damit auch in Zukunft auf. Deswegen ist
von Cisco Produkten abzuraten wenn man denn sicherheitsaffin ist.
Linuxschlau schrieb: > VLAN schrieb: >> Linuxschlau schrieb: >> Nix aus der Vergangenheit gelernt? >> HeiseSec ignoriert? >> >> Bitte um Aufklärung. "HeiseSec" sagt mir nichts. > > Fail! Man hätte wenigsten den Link mit posten können :( https://www.heise.de/suche/?q=cisco&rm=search&sort_by=date&channel=security
Derflo schrieb: > Und wahrscheinlich fallen Sie damit auch in Zukunft auf. Deswegen ist > von Cisco Produkten abzuraten wenn man denn sicherheitsaffin ist. Deren Vorteil ist, dass man mitkriegt, wenn mal wieder eine der Backdoors aufgeflogen ist. ;-) Bei Exoten muss man selber am Ball bleiben.
:
Bearbeitet durch User
A. K. schrieb: > Derflo schrieb: > Und wahrscheinlich fallen Sie damit auch in Zukunft auf. Deswegen ist > von Cisco Produkten abzuraten wenn man denn sicherheitsaffin ist. > > Deren Vorteil ist, dass man mitkriegt, wenn mal wieder eine der > Backdoors aufgeflogen ist. ;-) > > Bei Exoten muss man selber am Ball bleiben. Bei Cisco ist aber bekannt dass die NSA Pakete zu außeramerikanischen Käufern abfängt und manipuliert
Derflo schrieb: >> Bitte um Aufklärung. "HeiseSec" sagt mir nichts. > > Einige Cisco produkte sind in der Vergangenheit negativ aufgefallen mit > sog. Wartungszugängen die zum WAN hin offen waren oder hardcodierte > nicht änderbare Standardpasswörter hatten. Das ist richtig. Das bei Cisco Produkten diese Sicherheitslücken aufgefallen sind, kann aber auch daran liegen dass die Nutzer diese systematisch suchen, darüber berichtet und diskutiert wird. Das ist bei anderen Herstellern nicht immer so der Fall. Ich kenne z.B. keine Bank die mit TP Link JetStream Switchen arbeitet. Da fehlt ofmals ja schon die zentrale Verwaltung.
Sebastian L. schrieb: > Das bei Cisco Produkten diese Sicherheitslücken aufgefallen sind, kann > aber auch daran liegen dass die Nutzer diese systematisch suchen, > darüber berichtet und diskutiert wird. Im ersten Halbjahr von 2018 flogen bei Cisco Produkten 5 Backdoors auf. Keine Bugs, sondern hart codierte User/Password-Zugänge.
:
Bearbeitet durch User
> Cisco Produkten 5 Backdoors auf
Gibt es dazu auch einen Link?
Hallo, ich habe das Ganze überflogen, ich glaube, die UniFi-Geräte von Ubiquity wurden noch nicht genannt. Diese hätten in diesem Fall den Vorteil, dass sie mit einem angeschlossenen Cloud-Key recht einfach zu konfigurieren sind, was dem Wissensstand des TO entgegenkommen würde. Cisco, Mikrotik u.ä. sind für den Laien nicht unbedingt einfach zu handhaben. Das Setup ist denkbar einfach: ein Unifi Gateway als Router für die Internetanbindung uns Vermittler zwischen den verschiedenen VLANs. Dann ein Unifi Switch in beliebiger Ausführung, an welchem die entsprechenden Portprofile eingestellt werden. Da dran den Cloud Key, damit ein Controller für die Konfiguration zur Verfügung steht. Je nach Geschmack kann das System mit wenigen Klicks und den entsprechenden Geräten mit WLAN erweitert werden. lg
Moin, einfacher als VLAN wäre die Verwendung eines Routers/Firewall (z.P openSense) und vier kleinen Standardswitches. Die gesamte Konfiguration findet dann in der Firewall statt.
Naja, würde ich so nicht machen, weil dadurch einerseits die Flexibilität eines konfigurierbaren Switches verloren geht und andererseits auf der Firewall 4 physikalische Interfaces gebraucht werden, wo eines (bzw. 2 mit WAN) reichen würde. VLANs sind keine Raketentechnik und vereinfachen hier das Setup deutlich, allein schon, weil die Anzahl der Kabel zu den Routern und für die Stromversorgung deutlich reduziert wird. Zudem kann dieses Setup leicht erweitert werden, wenn an einem etwas entfernteren Standort wieder ein Switch mit den verschiedenen Netzen hin soll. Ansonsten darf man für jedes Netz ein eigenes Kabel ziehen.
Linuxschlau schrieb: > A. K. schrieb: >> Derflo schrieb: >> Und wahrscheinlich fallen Sie damit auch in Zukunft auf. Deswegen ist >> von Cisco Produkten abzuraten wenn man denn sicherheitsaffin ist. >> >> Deren Vorteil ist, dass man mitkriegt, wenn mal wieder eine der >> Backdoors aufgeflogen ist. ;-) >> >> Bei Exoten muss man selber am Ball bleiben. > > Bei Cisco ist aber bekannt dass die NSA Pakete zu außeramerikanischen > Käufern abfängt und manipuliert Ja, Terrorgruppen, vielleicht noch irgendwelche Firmen der Rüstungsindustrie, aber nicht generell. Das Problem kann dir bei anderen Produkten die aus den USA kommen auch passieren. Und selbst wenn du diese alle ausschließt, kannst du nie mit Gewissheit sagen, ob es in anderen Ländern z.B. China nicht auch so gemacht wird. Der Threadstarter sucht zu dem einen Switch für Zuhause und nicht für ein Waffenlabor.
A. K. schrieb: > Sebastian L. schrieb: >> Das bei Cisco Produkten diese Sicherheitslücken aufgefallen sind, kann >> aber auch daran liegen dass die Nutzer diese systematisch suchen, >> darüber berichtet und diskutiert wird. > > Im ersten Halbjahr von 2018 flogen bei Cisco Produkten 5 Backdoors auf. > Keine Bugs, sondern hart codierte User/Password-Zugänge. Ein Bug war es schon, zumindest sah es wie einer aus. Von vorsätzlich installierten Backdoors kann man daher nicht sprechen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.