Synology RT1900AC VLAN-fähig oder Alternative?

[joha1908]

Hallo zusammen,

weiß jemand zufällig, ob der rt1900ac VLAN-fähig ist?
Also kann ich die einzelnen LAN Ports dafür frei konfigurieren?

Ich suche momentan einen Router, der folgende Funktionen haben sollte:
- OpenVPN Server/Client
- VLAN

... kennt Ihr bessere Alternativen?

Danke vorab!

Gruß
Joha

 

[joha1908]

Kann mir keiner weiterhelfen?

 

[joha1908]

???

 

[Fusion]

Liest halt vermutlich keiner mit dem Router hier gerade mit.
Jedenfalls sehe ich keine explizite Erwähnung, außer für externe Dienste und bei Feature Requests...

Supports VLAN tagging used by Internet service providers, including Internet/IPTV/VoIP tagging.

 

[telmor]

Der RT1900 AC kann nicht mit VLAN an den LAN Ports umgehen. Die Geräte die das können sind z.B von Bintec, teilweise Draytek, Lankom, mikrotik, oder Ubiquiti u.a. Im Bwereich konsumer IAD findest du so etwas nicht.

 

[joha1908]

Hi,

ok, danke für die Info.

Bin auf der Suche nach einem Router der sowohl OpenVPN als auch VLAN beherscht. Gibt es so was überhaupt? (Bin keine Router-/Netzwerk-Profi)
Möchte ein Netzwerk aufbauen:
- Heim -und Gastnetz via LAN und WLAN in meheren Räumen
- Realisierung über VLANs, sinnvoll?
- Das Gastnetz sollte kpl. vom Heimnetz getrennt sein, nur ein Netzlaufwerk im Heimnetz soll aus dem Gastnetz erreichbar sein (Freigabe auf der DS)
- Das Heimnetz sollte über OpenVPN mit einem entfernten Netzwerk verbunden sein

Habe auch schon über Routerkaskaden nachgedacht...?

Bin froh um jeden Ratschlag.

Gruß

 

[telmor]

Das kann jeder vernünftige Router, die angegebenen können das jedenfalls.

Du weist was ein Vlan ist? Dir ist bekannt, das du dann einen entsprechenden Switch benötigst, die VLAn wieder aufzulösen, oder deine Netzwerkadapter die VLAN untagged können müßen.

Routerkaskaden sind nicht zu empfehlen.

Wie der Zugriff auf die Netzwerksegmente hinterher aussieht ist von der Konfiguration von NAT und Firewall abhängig. Ebenso ist bei Netzsegmenten jeweils ein DHCP Server notwendig, falls du auch die IP vergabe dynamisch erledigen willst.

Ohne tieferes Wissen um die Netzwerktechnik und ihre Protokolle sind die angegebenen Router schwierig zu konfigurieren,

 

[joha1908]

Also so ungefähr weiß ich was ein VLAN ist, Trennung der Netze auf Layer 2, oder?
Die VLAN-fähigen Switches würde ich mir dann anschaffen, bisher gibt es noch nichts.

Warum sind Routerkaskaden nicht zu empfehlen? Geschwindigkeit? Hier könnte ich außerdem eine DMZ aufbauen, um bspw. bestimmte Anwendungen von außen erreichbar zu machen und das weiter dahinterliegende Heimnetz wäre trotzdem sicher. Oder?

Oder wäre ein Router der einfach mehrere Subnetze unterstützt evtl. besser? Hier wären die Netze nur durch eine interne Firewall getrennt, so wären auch statische Routen von Gastnetz ins Heimnetz einfacher, glaube ich!?

 

[telmor]

"Trennung der Netze auf Layer 2" gegoogelt? Ist schon korrekt. Beschaffe dir z.B. einem Mikrotik Router z.B. hEX PoE, einen Accesspoint der VLAN fähig ist und fürs LAN. einen Switch mit Vlan Unterstützung und du kannst dir dein Netzwerk segmentieren wie du es wünschst.

Mit der Routerkaskade kannst du vielleicht einen Exposed host realisieren, nur ist das dann keine DMZ.
Bei der Routerkaskade hast du Probleme mit NAT usw. zumindest die Konsumerrouter sind hier nicht geeignet.

 

[blurrrr]

Najo, alternativ.. bevor man tief in die Tasche für "richtige" Geräte greift ... stell Dir für knapp 200-250€ so einen Minirechner zusammen, hol Dir die "Home-Edition" der Sophos UTM und all Deine Probleme sind gelöst.... (sofern man wirklich Ahnung von der Materie hat)

 

[joha1908]

Ja, irgendwann mal hab ich das gegoogelt.

Ein Router der mehrere Subnetze unterstützt wäre keine Option?

Hmm... wie gesagt, bin leider kein Experte.

 

[blurrrr]

Was meinst Du denn, was so ein Router kostet? Ich würde es für wesentlich einfacher halten einfach entsprechende Hardware zu besorgen (welche mit Sicherheit gleich oder weniger viel kostet wie ein entsprechender Router) und die Sophos UTM Home Edition draufzuwerfen. Hat grade für Leute mit nicht allzuviel Ahnung den Vorteil, dass es eher klickibunti ist und man nicht via Shell (oder serieller Schnittstelle ) alles zu Fuss machen muss. So kannst Du schön Deine Netze definieren, Regeln definieren, mit VPN (alles was geht und einem "vernünftigen" OpenVPN mit Benutzerzertifikaten ) arbeiten, VLANs einrichten, einen ReverseProxy für die Syno einrichten und und und.... Musst Du selber wissen, wieviel Ahnung Du hast und wieviel Zeit Du schlussendlich in die Materie investieren willst. Ich persönlich halte das für viel zu übertrieben vom Aufwand her... warum so einen Stress? Du überlegst ja sogar schon einen neuen Router zu kaufen...

Ganz ehrlich... so eine SOHO-Fritzbox tut schon mal ihren Dienst und ist für Dich (als Laie) sehr einfach zu implementieren (und kostet auch nicht die Welt)... dazu einfach eine DS1xx an LAN-Port 4 der Fritze (auch Gastnetz nach entsprechende Config) und dann sagst Du Deinem Haupt-NAS einfach: Sync mir den Ordner XY auf das kleine NAS im Gastnetz und fertig... die Leute im Gastnetz können auf die entsprechenden Daten zugreifen und fertig. Vom Gastnetz kommt nu aber nach wie vor niemand auf Dein NAS.

 

[joha1908]

Also Geräte muss ich so oder so kaufen, da Neubau.

Ursprünglich dachte ich an so eine Konfiguration:
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html

 

[blurrrr]

Sorry, aber das ist (wenn es nicht "nur" für Computer genutzt wird) totaler Müll. Heutzutage gibts überall VoIP und diese DoppelNAT-Geschichten im Kombi mit VoIP... vergiss es. Hinzu kommt übrigens, dass jeder SOHO-Router am WAN-Interface NAT aktiv haben wird, was prinzipiell auch schon wieder unnötig ist.... weiterhin fehlen die Möglichkeit bei vielen Routern entsprechende statische Routen einzutragen und Firewallregeln kann man somit auch nicht vernünftig setzen. Das Bild was Du da hast... da sind schon 3 Router involviert - das sind direkt ein paar hundert Euro! Kauf lieber was gescheites für das Geld und fertig.

Um nur mal ein "fertiges" Beispiel zu nennen, sowas hier meine ich z.B. http://www.iwilltech.cn/product/604...AN_port_soft_Router_network_security_VPN.html

Dabei geht es nur um die Hardware (Software kommt dann später).... es sollte für heutige Zeiten schon ein vernünftiger Prozessor sein, min. 4GB RAM haben, 4+ LAN-Anschlüsse und im besten Fall eine kleinere SSD (~64-128GB).
Softwareseitig kann man sich nun entsprechendes aussuchen, wobei ich persönlich ganz klar zu Sophos UTM Home tendieren würde (da ist nämlich ALLES an kostenpflichtigen Subscriptions drin, was jährlich locker über 1000€ für den Business-Anwender kosten würde!). Alternativen gibt es natürlich auch wie pfSense, oder IPCop, usw.

Man kann sich nun "irgendwie" mit fertigen Lösungen etwas zusammenbasteln, was schlussendlich vermutlich eher mehr Probleme als Nutzen schafft, oder man kauft sich direkt etwas "vernünftiges". Dabei ist eben auch zu sehen, dass dieses Gerät mit der entsprechenden Software dann auch wirklich "alles" kann, was Du willst (oder vllt später mal haben möchtest ). Ob die o.g. Hardware nun allerdings kompatibel ist, kann ich Dir grade nicht sagen - ich habe nur eben schnell Google nach einer möglichen Lösung für Dein Probem befragt.

EDIT: Da Du selber sagst, dass Du nicht so unbedingt Ahnung hast, solltest Du Dir vielleicht besser professionelle Hilfe suchen. Kostet zwar, aber dafür verschwendest Du keine Tage/Wochen/Monate Deiner Lebenszeit

 

[telmor]

@joha1908 @blurrrr hat es ja schon ausgeführt
soviel noch von mir.
Meinst du mit Neubau, Hausneubau? Wenn ja, lass dir das Netz von einem Fachmann planen, oder mach dich Sachkundig, wobei Fragen in einem Forum nicht ausreichend ist.
Wenn du meinst das du nur dein Netzwerk neu aufbauen willst, analysiere erstmal genau deine Anforderungen, dann verschaffe dir wie schon oben gesagt erstmal die notwendige Sachkunde. Der Heise Artikel ist eine Bastelei wenn man genügend alt IAD im Hause hat, oder tatsächlich in irgendeiner Grabbelkiste noch für ein paar Cent billig IAD hinterhergeschmissen bekommt. Neben den Problemen die garantiert auftauchen wenn man Grasbbelkisten IAD aufgrund schlechter Protokollimplemntierung zusammensteckt, ist eine problemfreie Funktion und vernünftiger Durchsatz nicht garantiert.

Aber natürlich kannst du das so machen, hat allerdings mit deinen Eingangs erwähntem VLAN nichts zu tun.

Was auch noch interessant wäre, wäre dein Anschluß, welches Modem? Es gibt kaum Router die frei konfigurierbare Interface haben und schon ein DSL- oder Kabelmodem integriert haben. Ist IPTV gefordert? Wird IPTV über VLAn übertragen?

Du brauchst ein Modem, den Bitstream in Ethernet zu überführen und danach beginnt erst dein Netz und hier ist der Router wesentlich der eventuelle ISP VLAN Wanseitig auflöst. Der wie von dir gewünscht VLAN auf den Ethernetports zur Verfügung stellt, der Switch der die Vlan untaggen kann und eben der WLAN AP der ebenfalls mit VLAN und GastW-LAn umgehen kann.

Das ist alles recht aufwändig.

 

[blurrrr]

VLAN-fähigen Switch (auch schon mit Auto-VoIP-Vlan) gibt es schon (gott sei dank) für knapp 100-150 Euro, das mit dem Modem... jepp, das hatte ich vergessen, da ein Modem in den meisten SOHO-Routern schon integriert ist. Das ist bei einer Lösung wie o.g. nicht integriert (da trennt sich aber schon die Spreu vom Weizen und man merkt hier schon sehr deutlich, welche Personen eher aus dem Businessumfeld kommen (@telmor)).

Das mit dem Aufwand stimmt natürlich grundsätzlich, aber wenn man es "genau so" haben will und ansonsten auch lieber freie Hand hat, als sich mit Einschränkungen der Hersteller rumzuprügeln, wird man leider nicht drumherum kommen. Es gibt da eben das "private" Netzwerk und zwar genauso SO wie die "Hersteller" sich das vorstellen und dann gibt es noch das Netzwerk wo alles geht was man sich wünscht, aber da wird es dann eben auch wesentlich umfangreicher. Man könnte ggf. auch einfach hingehen und statt einem Modem einen Router hinstellen der u.a. auch für VoIP+IPTV zuständig ist. In das Netz kommen dann Telefon und IPTV-Box (TV selbst via HDMI o.ä. mit Box verbinden), wobei das TV dann noch im Heimnetz stehen kann um direkt via DLNA auf das NAS zuzugreifen. Dann muss man da auch nix "freigeben"... Habe ich bei mir bzgl VoIP so gemacht... Kommt an via VoIP, wird via ISDN zum VoIP-Server geleitet und da ist dann wieder VoIP angesagt

 

[telmor]

Telefon, richtig da brauchts ein IP Telefon oder ein Gateway an dem die analogen dect, oder kabelgebundenen Telefone angeschlossen sind, da bei Telefonie ja andere Netzwerkprotokollen nutzt, anstelle des dedizierten Routers. Was IPTV betrifft, da muß das Gateway oder der Router nur IGMP proxy Funktionalität haben und die Switches bzw. das Switch im Gateway/Router igmp-snooping können. IGMP ist aber heute Standard bei allen Routern und zumindest vielen IADs.

 

[blurrrr]

Oder eben einen Router (statt Modem) der das sowieso schon macht, womit man sich dann auch nicht mehr mit der Netzwerkthematik bzgl Telefonie rumärgern muss. Allerdings gehen dann ggf. praktische Funktionen wie ein Telefonbuch auf der Syno flöten, aber sind wir mal ehrlich... das würde den Rahmen sprengen. Als Beispiel sei hier einfach wieder mal z.B. die Fritz!Box genannt, welche sowohl (je nach Modell) mit analogen, ISDN oder eben auch VoIP-Telefonen (intern) umgehen kann und einfach extern mit einem (oder mehreren) VoIP-Accounts verbunden werden kann

Tja... wie das immer so ist... da hat man ein "ganz einfaches" Anliegen und dann wird man mit Informatinen erschlagen

 

[joha1908]

@telmor: ja, Hausneubau. EG Büro, 1. OG Mietwohnungen, 2. OG private Wohnung netzwerkseitig verbunden mit EG, Netzwerk EG & 2. OG via OpenVPN verbunden mit entferntem Netzwerk.
Ich denke, ich werde einen Fachmann mit an Bord nehmen.. oder auf das Gastnetz als LAN und WLAN verzichten.

Als Anschluss wird vom Provider entweder eine Fritzbox oder beim Business Tarif eine vorkonfigurierte CPE (Layer 2 Komponente ohne Routingfunktionalität) bereitgestellt.

Vielen Dank für Eure Ratschläge.

 

[blurrrr]

Ja, und besser eine Netzwerkdose zuviel als zu wenig (pro Arbeitsplatz 2 Doppeldosen passt eigentlich ganz gut (Computer, VoIP-Telefon, Netzwerkdrucker, 1x offen für WLAN-AP o.ä.). Eigentlich kann man direkt schon pro Raum min. 4 Dosen setzen, wenn man die nächsten 10-20 Jahre berücksichtig (wenn das nicht schon zu wenig sind ). Auf Gast-Netz und WLAN muss man nicht unbedingt verzichten...
Was den "Fachmann" angeht... der zieht die Leitungen (und ist Fachmann dafür), der hat nicht wirklich was mit mit der Sicherheitsthematik zu tun (in Bezug auf " ich werde einen Fachmann mit an Bord nehmen.. oder auf das Gastnetz als LAN und WLAN verzichten."). Ich bin z.B. in diesem (administrativen) Bereich angesiedelt und wenn es um Leitungen verlegen geht, "lasse" ich sowas immer machen