Hallo Leute,

ich bin hier in einer Bürogemeinschaft und nutze einen gemeinsamen Internetzugang mit einer Fritzbox als DHCP-Server. Bisher wird meinen Geräten eine IP-Adresse vom DHCP-Server zugewiesen und alle anderen Geräte im Netzwerk können auf alle meine Geräte zugreifen.

Auch wenn jedes dieser Geräte passwortgeschützt ist, ist diese Situation doch irgendwie suboptimal. Daher möchte ich auf meinem Switch (Netgear GS108Tv3) ein eigenes VLan einrichten.

Ich habe insgesamt 4 Geräte, die an den Switch angeschlossen sind: ein PC (Port 2), ein Drucker (Port 3), ein IP-Telefon (Port 4) und ein NAS (Port 5 und Port 6 mit Link-Aggregation). Port 1 ist die Verbindung zur Fritzbox.

Ich möchte nun alle meine Geräte in ein eigenes VLan zusammenfassen und darin allen Geräten eine manuelle IP-Adresse zuweisen. Alle Geräte sollen aber weiterhin auf das Internet zugreifen können und vom Internet aus erreichbar sein.

So sehen die VLAN-Einstellungen meines Routers momentan aus (factory defaults):
https://abload.de/thumb/screenshot2020-09-281hok9x.png (https://abload.de/image.php?img=screenshot2020-09-281hok9x.png) https://abload.de/thumb/screenshot2020-09-281rikak.png (https://abload.de/image.php?img=screenshot2020-09-281rikak.png)

Kann ich das mit meinem Switch so konfigurieren und ist diese Konfiguration sinnvoll? Wenn ja, wie kann ich das umsetzen? Was ist der Unterschied zwischen tagged und untagged VLan?

Kann die FritzBox VLANs? Die wird ja als Routing-Server fungieren und wenn die keine VLANs kann, dann ist das ganze Unterfangen erstmal vom Tisch. Und ich empfehle dringend sich die Grundlagen anzueignen, gerade tagged und untagged sollte man wissen. PVID und so sollten nicht die extremen Fremdworte bleiben...

Wer soll denn NICHT auf deine Geräte zugreifen können?
Die Fritzbox kann keine VLANs!

Die einzige Chance ist hier einen Teil ins Gastnetz zu bringen - man kann Port 4 (?) auf der Fritzbox als Gastznetz Port zuweisen und Du könntest dann zwei Netze aufspannen ("Heimnetz" und "Gastnetz" und die mit je einem Kabel von deinem Switch zur Fritzbox verbinden.
alle Gastnetz Geräte können dann nur Gastnetz (und Internet) und alle Heimnetz Geräte nur Heimnetz und Internet.
Will man mehr oder funky Sachen machen (z.B. Gastznetz soll auf einzelne Geräte nach intern zugreifen) - dann brauchst man nen anderen Router.. Ubnt secuirty gateway, Microtik etc.

Man kann bei der Fritzbox auch statische Routen eintragen und dann mit dem Switch ein Subnetz aufmachen. Da muss dann aber der Switch oder ein weiterer Router die Firewall und Routing machen.
Alle Geräte sollen aber weiterhin auf das Internet zugreifen können und vom Internet aus erreichbar sein.
Das müsstest du noch mal genauer spezifizieren. Das sind sie ja jetzt auch nicht. Die Fritzbox lasst quasi nur die Antworten auf Anfragen der Geräte zu.

Danke vielmals, aber dann ist das wohl gestorben. Ich kann und will an der Fritzbox keine Änderungen vornehmen.

Du kannst Doppel NAT machen

NAT-NAT machen nur Enten

Du kannst einen billigen Router an die Fritzbox anschließen, um damit dein eigenes Netzwerk-im-Netzwerk zu realisieren. Und zwar das WAN des Routers an das LAN der Fritzbox. Damit hast du dann dein eigens Netz und deinen eigenen DHCP. Dann schließt du deine Geräte an den Router an. Die kommen alle ins Internet, aber die Bürogemeinschaft kommt nicht mehr auf deine Geräte.

Nur bei deinem IP-Telefon bin ich mir nicht sicher. Das müsstest du ausprobieren und es gegebenenfalls an die Fritzbox anschließen.

Wenn du auf das "Link Aggregation" bei der NAS verzichtest und das Telefon direkt an der Fritzbox betreibst, dann reicht dir ein 4Port Router aus.

Einen brauchbaren Router mit 4x GbLAN-Ports und ac-WLAN gibt es für 45 Euro (ASUS RT-AC52U B1).

Du kannst einen billigen Router an die Fritzbox anschließen, um damit dein eigenes Netzwerk-im-Netzwerk zu realisieren. Und zwar das WAN des Routers an das LAN der Fritzbox. Damit hast du dann dein eigens Netz und deinen eigenen DHCP. Dann schließt du deine Geräte an den Router an. Die kommen alle ins Internet, aber die Bürogemeinschaft kommt nicht mehr auf deine Geräte.

Dann hat er allerdings auch doppeltes NAT. Das kann einige Protokolle auf ganz unangenehme Weise brechen.

Ich denke mal statische Routen mit einem separaten Router und Firewall wären wahrscheinlich wirklich eine relativ elegante Lösung. Die Mikrotik-Router können das alles (und viel mehr).

Ja, dafür muss man die Konfiguration der Fritzbox ändern. Das ist eben so.

Wenn ich bspw. diesen Router (https://geizhals.de/mikrotik-routerboard-hex-s-rb760igs-a1923211.html) einsetzte kann ich den Switch ersetzen (oder dranhängen) und mein eigenes VLan aufbauen, richtig? Wie müsste dafür die Fritzbox konfiguriert werden?

Muss nur noch der Hauptmieter einverstanden sein, dass man an seiner Router-Konfiguration rumschraubt :)

Wenn ich bspw. diesen Router (https://geizhals.de/mikrotik-routerboard-hex-s-rb760igs-a1923211.html) einsetzte kann ich den Switch ersetzen (oder dranhängen) und mein eigenes VLan aufbauen, richtig?

Wenn du ein eigenes Subnetz aufziehst und eine statische Route in der Fritzbox einstellst, das in deinem Router entsprechend konfigurierst und die Netze per Firewall (am Mikrotik) entsprechend trennst, dann ist ein VLAN eigentlich überflüssig. Die Fritzbox kann sowieso nicht mit VLANs umgehen, von daher werden dir VLANs sowieso nichts bringen.

Der Mikrotik hEX oder hEX S sollte ganz gut passen. Die Konfiguration ist vielleicht nicht besonders komfortabel, aber da kannst du definitiv alles einstellen. So Sachen wie Subnetze einrichten etc. kann man auch alles in deren Wiki nachlesen. Genau für so etwas sind die gemacht.

Vielleicht etwas übertrieben, aber das Betriebssystem auf den Mikrotiks kann auch VLANs in Software. Wirst du wahrscheinlich nicht brauchen, aber zum Rumprobieren mit deinem Netgear wäre es vielleicht ganz witzig, wenn dich das interessiert.

Es gibt übrigens eine lange Videoserie von Pascom zu allen möglichen Mikrotik- und Netzwerkthemen auf YouTube, auch zu VLANs:

ZMTZ2IGyXZM

Wie müsste dafür die Fritzbox konfiguriert werden?

AVM hat dafür eine Anleitung: https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/581_Statische-IP-Route-in-FRITZ-Box-einrichten/

Muss nur noch der Hauptmieter einverstanden sein, dass man an seiner Router-Konfiguration rumschraubt :)

Im Grunde stellst du auch nur das ein, was er eigentlich hätte machen sollen. Es gibt schon sehr viele gute Gründe, warum man die Netze trennen will.

Du kannst seine Meinung zur Konfiguration übrigens ganz schnell ändern, indem du sporadisch Broadcast-Storms auf das Netz loslässt.

Super, danke dir! Die Mikrotik Geräte kosten wirklich nicht die Welt. Da frage ich mich, wieso ein popeliger 8-Port-Switch von Netgear sogar mehr kostet.

Muss ich bei meinem Router NAT einschalten oder macht die Fritzbox weiterhin NAT?

Ist das so richtig?
https://abload.de/thumb/tracert88882ajnf.png (https://abload.de/image.php?img=tracert88882ajnf.png)
NAT ist auf dem Mikrotik deaktiviert.

Ist das so richtig?Ist die Frage was du erreichen willst.
Du hast jetzt ein eigenes Subnetz. Wirklich geschützt ist dein Netz da nicht.
Das hättest du glaube ich sogar mit deinem bisherigen Switch haben können.

Ist in der Fritzbox jetzt eigentlich was eingestellt?

Auf der Fritzbox ist eine statische Route auf meinen Router eingestellt und mein Router macht kein NAT (laut RouterOS). Die Frage ist, warum ich anscheinend immer noch doppeltes NAT habe. Oder ist das normal?
Der nächste Schritt wäre jetzt alle Pakete die aus einem anderen Subnetz kommen zu blocken, oder?

Auf der Fritzbox ist eine statische Route auf meinen Router eingestellt und mein Router macht kein NAT (laut RouterOS). Die Frage ist, warum ich anscheinend immer noch doppeltes NAT habe. Oder ist das normal?Das ist kein doppeltes NAT. Dein Mikrotek-Router ist einfach ein weiterer Hop.
Der nächste Schritt wäre jetzt alle Pakete die aus einem anderen Subnetz kommen zu blocken, oder?Alle Pakete würde auch Internet abklemmen. Mit einfachen statischen Regeln geht das nur eingeschränkt.

Das ist kein doppeltes NAT. Dein Mikrotek-Router ist einfach ein weiterer Hop.
Windows Diagnose interpretiert es als doppeltes NAT.
Alle Pakete würde auch Internet abklemmen. Mit einfachen statischen Regeln geht das nur eingeschränkt.
Ich kann doch auf meinem Mikrotik-Router einstellen, dass alle lokalen Pakete, die nicht von 192.168.178.1 kommen gedropt werden. Oder kann der Router durch die statische Route nicht unterscheiden, woher die Pakete stammen?