Hi zusammen,

Ich habe mir einen Cisco SG350-20 zugelegt um mein Netzwerk Stück für Stück zu erweitern. Beabsichtigt ist das über ein Ubiquity AP sowohl ein Gastnetzwerk als auch das Heimnetzwerk erreichbar sein soll. Das Gastnetzwerk soll dabei jedoch per VLAN eine andere IP Range als das Heimnetzwerk bekommen. Router im Heimnetzwerk ist eine FritzBox 7490.
Ich habe mir den SG350 angeschafft um meine Netzwerkkenntnisse erweitern zu können. Parallel versuche ich mich im Netz einzulesen wie Stück für Stück mein Vorhaben gelingt. Leider finde ich nicht immer das passende und meist wird nicht über die GUI konfiguriert sondern über CLI welches ich jedoch nicht verwenden möchte. Zu meinen Netzwerkkenntnissen sei gesagt das ich mich von den Grundlagen her insoweit auskenne das ich sämtliche Geräte konfiguriert bekommen so das sie ins Internet gelangen. Dies auch ohne DHCP!

Ich erhoffe mir hier den Input zu bekommen, sodass ich Schritt für Schritt meinem gesetzen Ziel näher komme.
Was habe ich bisher getan. Ich habe den Switch installiert und habe ihm eine feste Netzwerkadresse im Heimnetz gegeben (192.168.178.2).
Nun stehe ich jedoch schon vor dem ersten Problem ist zwar eher am Rande zu erwähnen jedoch stört es mich trotzdem. Ich bekomme bei diesem Switch keine Systemzeit synchronisiert.
Was mache ich hier falsch?

:D ein Thread unter deinem :D
Die Fritzbox kann kein VLan. Soviel hab ich schon gelernt.

Wenn du etwas lernen willst dann Freunde dich mit CLI an.
Alleine schon für die Diagnose geht das nicht

Die Clients willst du mit DHCP konfigurieren.
Richte dir zwei Subnetze auf dem Switch ein. Ein "normales" und eins mit VLAN für den Gast WLAN Zugang. Für beide Netze müsste der Switch Adressen per DHCP verteilen.
Auf der FRITZ!Box richtest du dann zwei statische Routen für die zwei Netze ein.

Keine Ahnung wie das konkret mit dem Switch geht. Auf einer Linuxkiste würde ich das hinbekommen.

Ist jetzt auch nicht die super einfache Sache für den Einstieg in Netzwerke.
Was ist mit IPv6?

Sieht aus als ob du bisher nur die Interface IP Adresse angegeben hast. Was ist mit einer Defaultroute sowie DNS IP? Solange er das nicht hat, wird er wohl nichts mit den Timeserver Adressen anfangen können.

Ahoï

auf dem Router fehlt (wie oben angesprochen) die Defaultroute bzw. das Gateway - ohne kann der Switch nur 192.168.178.x sehen.
DNS-Server IP brauchst du, damit die Namen deiner Zeitserver in IPs übersetzt werden. Sollte in beiden Fällen die IP der Fritzbox sein - vermutlich 192.168.178.1

Bei Bedarf kann auch die Fritzbox als Zeitserver fungieren (Heimnetz -> Netzwerkeinstellungen -> Zeitsynchronisation). Dann braucht man auf den lokalen Geräten nur deren IP eintragen.

Die SG3xx-Serie müsste auch IP bzw. Routingfunktionen haben, wenn das mit "einfachen" tagged/untagged VLANs nicht klappen sollte, habe ich aber noch nie benutzt.

Der "Switch" ist ein Layer-3-Switch. Sowie du anfängst, VLANs zu erstellen und in diesen VLANs IP-Adressen für den "Switch" zuzuweisen ("VLAN-Interface"), fungiert dieser praktisch als "Multi-Port-Router" - so ist es zumindest bei den HPE-Teilen. Wenn du nur 2 getrennte Netze willst, gibts 2 Möglichkeiten:

1. 3 VLANs: Internet, LAN, Gast-WLAN

Im Gast-WLAN hängt dein AP, LAN ist dein normales Netz und im VLAN/Subnet "Internet" befinden sich im Grunde genommen nur 2 Hosts/Schnittstellen: das "Internet"-VLAN-Interface des "Switches" und eine LAN-Schnittstelle der FritzBox. Subnetz wird selbst definiert und muss sich von den anderen unterscheiden. Du hast in diesem Fall vom normalen LAN aus zum Internet hin schon ein zweifaches Routing (LAN<->Switch<->FB<->Internet). Diese Variante ist etwas sicherer, büsst aber Komfort ein, da Broadcast-Dienste der Fritzbox (z.B. DHCP-Server) nicht verfügbar sind. Du brauchst hier also in jedem VLAN (außer "Internet") einen eigenen DHCP-Server oder einen einzigen DHCP-Server, der mit "Scopes" arbeiten kann (kann z.B. der Windows DHCP-Server) + eingerichtetes DHCP-Relay im Cisco-Switch für jedes VLAN. Kann auch sein, dass der Cisco selber einen eigenen DHCP-Server bietet, und das vlt sogar auch für jedes VLAN (unserer HP kann das z.B.). Alternativ: feste IPs vergeben.

2. 2 VLANs: LAN, Gast-WLAN

Wie oben, nur dass die LAN-Schnittstelle der FB und dein normales "LAN"-VLAN sich im selben Subnetz befinden. Dadurch hat man vom normalen LAN aus eine Route weniger und Broadcast-Dienste der FB sind verfügbar. Für das Gast-WLAN ändert sich aber nichts (1 Hop mehr, eigener DHCP-Server notwendig).

Wenn alle VLANs ins Internet kommen sollen, musst du außerdem eine Default-Route zur IP-Adresse des LAN-Interfaces der FB setzen.

Wenn das Routing reibungslos funktioniert (ping auf IP-Adressen ins Internet und auf Hosts im LAN/Gast-WLAN sind dein Freund), kannst du dich ans DNS machen, was aber praktisch eigentlich nur dem Festlegen der IP-Adresse der LAN-Schnittstelle der FB als DNS-Server entspricht (egal ob manuell oder per DHCP). Die FB hat ja einen eigenen DNS-Resolver und leitet DNS-Anfragen entsprechend weiter.

Edit: Wenn es dir übrigens nur um ein abgetrenntes Gast-WLAN ging: Das kann die FB schon Out-of-the-Box, dazu braucht man keinen VLAN-fähigen Switch :>.

Edi2: Achso zum NTP-Problem, du hast ja FQDNS für die SNTP-Server-Einträge benutzt. Hast du denn sichergestellt, dass der Switch DNS-Namen auch auflösen kann? Sprich, irgendwo muss ein DNS-Server (z.B. deine FB) als Resolver hinterlegt sein.

Die Fritzbox kann kein VLan. Soviel hab ich schon gelernt.
Das ist das Problem. Wenn der Router kein VLAN kann, dann kann er auch nicht zwischen den VLANs routen. Während man sonst froh ist, dass die Fritzbox all die schönen Netzwerk- und Telefoniefunktionen so prima integriert, so wird es an der Stelle, wenn man einzelne Funktionen herauslösen möchte zum Fluch. Da ist unter anderm ein Modem drin, eine Interneteinwahl (PPPoE), eine Firewall und ein Router. Doppelt blöd: Wenn es mir gelingt die Fritzbox nur als Modem zu nutzen und z.B. die Interneteinwahl per PPPoE einem anderen Gerät zu überlassen, dann sind die IP-Funktionen auf der FritzBox erstmal tot - wie z.B. ein Fritz!Fon. Daher entscheiden sich wohl viele Leute dazu, das Routing zu verdoppeln und in der Folge mit doppeltem NAT zu leben.

Dass der Cisco SG350-20 routen kann, möchte ich nicht ausschließen, aber doch stark bezweifeln. Daher: Dem TS fehlt ein VLAN-fähiger Router.

Daher: Dem TS fehlt ein VLAN-fähiger Router.Der Switch ist genau das.

Das Modem der Fritzbox einzeln als Modem zu nutzen geht leider genauso wenig wie VLAN.

W
Die Clients willst du mit DHCP konfigurieren.
Richte dir zwei Subnetze auf dem Switch ein. Ein "normales" und eins mit VLAN für den Gast WLAN Zugang. Für beide Netze müsste der Switch Adressen per DHCP verteilen.
Auf der FRITZ!Box richtest du dann zwei statische Routen für die zwei Netze ein.
Ist jetzt auch nicht die super einfache Sache für den Einstieg in Netzwerke.
Was ist mit IPv6?
Also ich habe in der Fritzbox den IP-Bereich ab 192.168.178.20-192.168.178.254 als DHCP Vergabe festgelegt. Die Fritzbox soll auch der DHCP fürs Heimnetz bleiben. Alles was unterhalb der 192.168.178.20 liegt ist von mir mit festen IPs festgelegt worden, da diese meist eine Weboberfläche haben. Darunter befinden sich 2 NAS, diverse Cams, sowie 3 Switche. Zu den anderen beiden möchte ich erst später kommen da diese für den ersten Schritt erstmal keine Rolle spielen.
IPv6? ich weiß nichtmal ob ich solch einen Anschluss habe. Nein ich möchte bei IPv4 bleiben.
Sieht aus als ob du bisher nur die Interface IP Adresse angegeben hast. Was ist mit einer Defaultroute sowie DNS IP? Solange er das nicht hat, wird er wohl nichts mit den Timeserver Adressen anfangen können.
Ich poste mal 2 Bilder, meinst du das?
Ahoï

auf dem Router fehlt (wie oben angesprochen) die Defaultroute bzw. das Gateway - ohne kann der Switch nur 192.168.178.x sehen.
DNS-Server IP brauchst du, damit die Namen deiner Zeitserver in IPs übersetzt werden. Sollte in beiden Fällen die IP der Fritzbox sein - vermutlich 192.168.178.1
Die SG3xx-Serie müsste auch IP bzw. Routingfunktionen haben, wenn das mit "einfachen" tagged/untagged VLANs nicht klappen sollte, habe ich aber noch nie benutzt.
Siehe Bild im Anhang hier muss die IP der FB rein? Also das Gateway 192.168.178.1?
Was sagt mir die IP Forwarding Table mit der IP 192.168.178.0? Ist hier einfach nur dargestellt das dieser Adressbereich zur Verwendung kommt, rein als Information?
Der "Switch" ist ein Layer-3-Switch. Sowie du anfängst, VLANs zu erstellen und in diesen VLANs IP-Adressen für den "Switch" zuzuweisen ("VLAN-Interface"), fungiert dieser praktisch als "Multi-Port-Router" - so ist es zumindest bei den HPE-Teilen. Wenn du nur 2 getrennte Netze willst, gibts 2 Möglichkeiten:

Edi2: Achso zum NTP-Problem, du hast ja FQDNS für die SNTP-Server-Einträge benutzt. Hast du denn sichergestellt, dass der Switch DNS-Namen auch auflösen kann? Sprich, irgendwo muss ein DNS-Server (z.B. deine FB) als Resolver hinterlegt sein.
Ich denke für mich ist Variante 2 die bessere einfachere Lösung, wenn ich die Aufteilung zusätzlich noch nach Geräte die ins Internet dürfen brauche ich so nicht. Mir reicht denke ich die Aufteilung in Heimnetz und Gast Netz. Gastnetz soll einen eigenes VLAN und darin einen eigenen Adressbereich bekommen.

Danke an dieser Stelle an alle die mir hier konstruktiv geantwortet haben. Ich bin parallel noch dran und versuche mich über udemy (Ob sinnvoll oder nicht kann man sicher streiten, jedoch für mich ein versuch wert)an den Cisco CCNA Grundlagen (Tom Wechsler). Für mich ein spannender Bereich den ich vom Kenntnisstand definitiv ausbauen möchte. Ich weiß nur nicht ob ich als "Laie" der CCNA nicht zu hochgegriffen ist.
Dies jedoch nur am Rande.Die Konfiguration über die GUI fällt mir wesentlich einfach und möchte ich wo immer möglich auch verwenden.

EDIT: Im dritten Bild von links habe ich nun die IP von der FB eingegeben, funktioniert jedoch immer noch nicht -mit dem NTP.
Das letzte Bild habe ich mal angefügt damit ihr sehr welche funktionen ich bei dem Switch habe.

Dein Default-Gateway fehlt noch. Das kommt unter "IPv4 Static Routes" rein:

Ziel: 0.0.0.0/0
next Hop: 192.168.178.1 (deine FB-IP)
Interface: VLAN1

Im 3. Bild unter DNS würde ich einfach die FB-IP als DNS-Resolver nochmal eingeben.

Ansonsten seh ich grad, dass auch der Cisco-Switch DHCP-Relays/-Server anbietet. Also theoretisch stehen dir alle Möglichkeiten offen :>.

Sicherheitshinweis: Mit dem Hinterlegen von Default-Route und DNS-Server für die Namensauflösung hat dein Switch praktisch Zugriff aufs Internet. Das sollte man im Hinterkopf behalten, denn auch auf dem Switch können bestimmte Dienste Sicherheitslücken aufweisen (die dann hoffentlich irgendwann durch ein Firmware-Update behoben werden~).

Wieso gibt man als Destination 0.0.0.0 ein?
Route type ist Remote?
Was gibt man unter Metric ein?

Da der Switch Zugriff aus Internet hat, sollte ich das dann lieber sein lassen? Oder wird der Zugang zum Internet für mein vorhaben zwingend benötigt?

EDIT: Ich habe dies nun soweit alles mal eigegeben jedoch bleibt der SNTP Server auf "unsynchronized"

Mach mal mit dem Ping-Tool im Interface ein Test, z.B. ein ping auf heise.de und 8.8.8.8. 0.0.0.0/0 ist das Synonym für "alle". Metric default lassen, das brauchst eigt. erst, wenn du mehrere Default-Routen haben willst, und die gegeneinander gewichten willst. Wichtig ist nur, dass die Routen zwischen den VLANs eine niedrigere Metrik haben, als die Default-Route. Das sollte der Switch aber von allein richtig einstellen. Das stellt sicher, dass die Default-Route als letztes in der Reihenfolge benutzt wird.

Edit: Achso, beim VLAN fürs Gäste-WLAN musst du auch eine Rückwärtsroute in der FB anlegen, das hatte ich noch vergessen. Die FB kennt ja das Gäste-Subnet hinter dem Switch nicht, also muss das noch bekannt gemacht werden.

Edit2: https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-small-business-300-series-managed-switches/smb3292-configure-ipv4-static-routes-settings-on-a-switch.html

Mit route type auf "reject" kannst du ein Routing für bestimmte Netzwerke auch verhindern (das ist ziemlich cool, kann unser HP nicht :x). Damit geroutet wird, muss das dementsprechend auf "remote" stehen.

Hallo zusammen,

verstehe ich das richtig dass das selbe Netz mit dem selben /24 Netz verwendet wird? Und am Switch sollen nur Geräte mit statischen Adressen ausserhalb des DHCP Ranges genutzt werden?

Da sehe ich jetzt aber keine Sicherheit in Form von zwei getrennten Netzen, da ja weiterhin beide im selben /24 sind.
Dazu würde es auch keine Rückroute von der FB benötigen, die braucht es doch nur dann, wenn es ein anderes Netz wäre.

Mach mal mit dem Ping-Tool im Interface ein Test, z.B. ein ping auf heise.de und 8.8.8.8. 0.0.0.0/0 ist das Synonym für "alle". Metric default lassen, das brauchst eigt. erst, wenn du mehrere Default-Routen haben willst, und die gegeneinander gewichten willst. Wichtig ist nur, dass die Routen zwischen den VLANs eine niedrigere Metrik haben, als die Default-Route. Das sollte der Switch aber von allein richtig einstellen. Das stellt sicher, dass die Default-Route als letztes in der Reihenfolge benutzt wird.

Edit: Achso, beim VLAN fürs Gäste-WLAN musst du auch eine Rückwärtsroute in der FB anlegen, das hatte ich noch vergessen. Die FB kennt ja das Gäste-Subnet hinter dem Switch nicht, also muss das noch bekannt gemacht werden.

Edit2: https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-small-business-300-series-managed-switches/smb3292-configure-ipv4-static-routes-settings-on-a-switch.html

Mit route type auf "reject" kannst du ein Routing für bestimmte Netzwerke auch verhindern (das ist ziemlich cool, kann unser HP nicht :x). Damit geroutet wird, muss das dementsprechend auf "remote" stehen.
Ich hab die Bilder mit den Ping auf heise.de und 8.8.8.8 mal angehängt successfully!!
Aber warum ist der Zeitserver dann nicht synchronisiert!

Hallo zusammen,

verstehe ich das richtig dass das selbe Netz mit dem selben /24 Netz verwendet wird? Und am Switch sollen nur Geräte mit statischen Adressen ausserhalb des DHCP Ranges genutzt werden?

Da sehe ich jetzt aber keine Sicherheit in Form von zwei getrennten Netzen, da ja weiterhin beide im selben /24 sind.
Dazu würde es auch keine Rückroute von der FB benötigen, die braucht es doch nur dann, wenn es ein anderes Netz wäre.
Nein. Da hast du etwas missverstanden.
Bei mir werden alle Switch, NAS-Systeme im Bereich 192.168.178.2-......19 als statische IP festgelegt. Der DHCP Bereich versorgt dann dynamisch alles was über 192.168.178.20 kommt. Im gleichen Netz befinde sie sich ja trotzdem. Hab ich so gemacht wegen der Übersicht. Spielt ja hier aber keine Rolle und sollte so ja keine Probleme mit sich bringen.

Das mit dem NTP-Server hat nun funktioniert!
Läuft nun über den time.google.com. Sollte man hier nur maximal 2 Server eintragen oder kann ich das bei den 6 Stück belassen?

So recht kann ich es mir nicht erklären, da 5 Server in der Liste ja schon vorhanden waren. Ich habe dann nur noch den time.google.com hinzugefügt. Habe aber oben nicht auf Apply gedrückt. Nun hat es funktioniert. Oder es lag am Neustart des Switch!

Ja, das mit den Zeitservern ist immer sone Sache. Da gibts Multi-/Anycast- oder Unicast-Server, NTP oder SNTP. Ich nehm häufig den Zeitserver von der PTB. Bei uns macht das aber die IPFire-Firewall zentral für alle und der Switch holt sich, wie auch der PDC-Domaincontroller seine Zeit vom IPFire. So sind alle Hosts im Netzwerk mit der gleichen Zeitquelle synchronisiert ohne die Zeitserver im Internet stärker zu belasten (letztendlich macht ja nur ein einziger Zeitclient eine Zeitsynchronisation übers Internet). Und Domänen-Clients holen sich ihre Zeit dann eh vom PDC.

Bei mir werden alle Switch, NAS-Systeme im Bereich 192.168.178.2-......19 als statische IP festgelegt. Der DHCP Bereich versorgt dann dynamisch alles was über 192.168.178.20 kommt. Im gleichen Netz befinde sie sich ja trotzdem. Hab ich so gemacht wegen der Übersicht. Spielt ja hier aber keine Rolle und sollte so ja keine Probleme mit sich bringen.
Ich bin ebenfalls etwas ratlos, was hier gerade der Plan ist. Ein typisches Setup ist hier beschrieben: https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikrotik-dd-wrt-cisco-rv-routern-110259.html#toc-19

Jop, so haben wir das bei uns auch gemacht, wäre im Grunde genommen das, was ich unter Option 1 schon vorgeschlagen hatte. Der TE will das anscheinend nicht, ka. Option 2 ist halt einfacher für den Einstieg, da im Grunde genommen alle Hosts im selben VLAN/Subnet sind (VLAN1) und man nur ein einziges zusätzliches VLAN fürs Gäste-WLAN nebst passenden Routen anlegt. Aber bei nur einem einzigen zusätzlichen Gäste-Subnet bräuchte man die verschiedenen VLANs im Switch gar nicht, das kann die FB auch so schon.

Edit: So in etwa haben wir das laufen.
https://www.forum-3dcenter.org/vbulletin/attachment.php?attachmentid=72014&stc=1&d=1604198879

Der Switch ist genau das.
OK
Das Modem der Fritzbox einzeln als Modem zu nutzen geht leider genauso wenig wie VLAN.
Ich meine gelesen zu haben, dass das inzwischen wieder geht. Es ist aber nicht ganz nebenwirkungsfrei, was die Nutzung der anderen FritzBox Dienste angeht.
Jop, so haben wir das bei uns auch gemacht, wäre im Grunde genommen das, was ich unter Option 1 schon vorgeschlagen hatte. Der TE will das anscheinend nicht, ka. Option 2 ist halt einfacher für den Einstieg, da im Grunde genommen alle Hosts im selben VLAN/Subnet sind (VLAN1) und man nur ein einziges zusätzliches VLAN fürs Gäste-WLAN nebst passenden Routen anlegt. Aber bei nur einem einzigen zusätzlichen Gäste-Subnet bräuchte man die verschiedenen VLANs im Switch gar nicht, das kann die FB auch so schon.

Edit: So in etwa haben wir das laufen.

So ähnlich habe ich das bei mir auch, nur mit pfSense als Firewall und Router für das gesamte Netz. Pro VLAN ein Subnetz und dann wie benötigt routen, bzw. bei mir im pfSense Firewallregeln freischalten. Drucker habe ich jetzt nicht separiert, aber ansonsten sehr ähnlich. VLAN1 als native VLAN für das Gerätemanagement.

Das Ziel der Option 2 ist mir nach wie vor schleierhaft. Entweder ich verstehe die Idee noch nicht oder es ist am Ziel vorbei.

Das Gastnetzwerk soll dabei jedoch per VLAN eine andere IP Range als das Heimnetzwerk bekommen.
Wenn ich das FritzBox Gast-Netz wiederverwenden möchte, dann würde ich das so machen wie hier vorgeschlagen:
http://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/comment-page-1/

Also das 192.168.179.0/24 Gast-Netz der FritzBox an LAN-Port 4 der FB auskoppeln und am Switch/Router mit einen VLAN-Tag versehen. Das VLAN kann dann in einem beliebigen AP genutzt werden.

Wie gesagt, Option 2 wär halt nur zum "üben", nur um mal zu gucken, wie separiert man ein VLAN in einem managed Switch.

Wenn ich mal bei obigem Beispielbild bleibe, da habe ich anfangs auch überlegt, VLAN20 und VLAN200 zusammenzufassen. Da dahinter eh eine Firewall wartet, ergibt sich der Sicherheitsvorteil durch eine Separierung nur bedingt. Da ich aber keine Broadcastdienste im IPFire benötige (DHCP macht z.B. der Windows-Server), und Clients in anderen VLANs (VLAN2 z.B.) davon trotzdem nichts hätten, hab ich den "Internetweg" doch separiert.

Edit: Drucker/MFC-Geräte sind mir einfach nicht geheuer mit ihrem ganzen Dienstgeraffel mit den ganzen Erkennungsdiensten etc. Manche Drucker sind auch schon sehr alt, da gibts seit mehrere Jahren keine Firmware-Updates mehr für. Ich versuche auch immer soviel wie möglich abzustellen. Automatische Erkennungsdienste, Scans verschicken per Email, irgendwelche Webservices, Airprint etc. brauchen wir alles nicht. Wenn es dann in diesen Protokollen/Diensten ne Sicherheitslücke gibt, sind wir zumindest nicht gleich offen wie ein Scheunentor :x.

Das mit dem NTP-Server hat nun funktioniert!
Läuft nun über den time.google.com. Sollte man hier nur maximal 2 Server eintragen oder kann ich das bei den 6 Stück belassen?

Du kannst beliebig viele nehmen, wenn der (S)NTP-Client so etwas wie Round Robin über die Adressen macht.

Aber ein kleiner Hinweis: Die Server von Google sollten explizit nicht mit anderen Servern gemischt werden. Google benutzt ein paar experimentelle Features wie z.B. die Zeit vor einer Schaltsekunde zu "glätten", was sich nicht mit anderen NTP-Servern verträgt. Entweder benutzt du also nur die schon hinterlegten oder nur die von z.B. Google.

Ich bin ebenfalls etwas ratlos, was hier gerade der Plan ist. Ein typisches Setup ist hier beschrieben: https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikrotik-dd-wrt-cisco-rv-routern-110259.html#toc-19
Was ist den daran falsch? Ich möchte ja nicht das NAS und Switch je nachdem eine andere IP bekommen können, sondern ich möchte bei den genannten Geräte wissen unter welche IP ich sie erreichen kann. Die ganzen Clients (PC, Notebooks, Handy) werden ja vom DHCP gespeist. Also passt das sich.
Wie gesagt, Option 2 wär halt nur zum "üben", nur um mal zu gucken, wie separiert man ein VLAN in einem managed Switch.

Zu Version 1:
Ich habe ja keine Firewall wie IPfire oder pfsense, daher denke ich ist für den Anfang Option 2 sinnvoller. Zudem brauche ich kein Management VLAN, Heimnetz und Gäste VLAN. Was soll in das Management VLAN den hinein? Alle Webinterfacezugriffe des NAS, Switch, Cams?
Zu Version 2:
Genau ich möchte erstmal klein anfangen...wie gesagt nun kommt ja der nächste Schritt.
Ich möchte nun das Gäste Netzwerk (VLAN10) mit einem anderen IP-Bereich versorgen (192.168.10.1) wie gehe ich nun hier weiter vor? VLAN 10 angelegt habe ich, wie bekommt das ganze nun eine IP-Adresse und wie stelle ich sicher das das Gästenetz keinen Zugriff auf das Heimnetz hat.
Ich hatte ja Anfangs gesagt das ich mehrere Switches habe evtl. hierzu mal wie die Verkabelung ausschaut.

Der Cisco SG 350 ist mein Hauptswitch im Keller hier führt Port 2 auf einen weiteren Switch (Netgear GS108Ev3)an Port 1. An Port 5 ist eine Ubiquiti AP AC Pro angeschlossen der einmal das Heimnetz (VLAN 1)und zum anderen ein Gästenetzwerk (Vlan 10) speisen soll.
Port 4 des Cisco SG350 führt direkt zu einem weiteren Ubiquiti AP AC Pro der ebenfalls das Heimnetz (VLAN 1)sowie das Gäste WLAN (VLAN 10) bereitstellen soll.Die restlichen Ports am Cisco SG350 sind alle nur für das VLAN 1 zur Verfügung.
Laut meinem Verständnis muss ich nun die Ports bei welchen VLAN 1 und VLAN 10 zum AP führen,taggen
In meinem Fall Port 2 (weiterführende zum GS108Ev3) sowohl für VLAN 1 als auch VLAN 10 taggen. Port 4 ebenfalls für VLAN 1 und 10 taggen. der restlichen Ports bleiben ungetagged im VLAN 1 richtig?

Als nächstes den DHCP Server einschalten und dem VLAN 10 eine entsprechende IP zuweisen?

Du kannst beliebig viele nehmen, wenn der (S)NTP-Client so etwas wie Round Robin über die Adressen macht.

Aber ein kleiner Hinweis: Die Server von Google sollten explizit nicht mit anderen Servern gemischt werden. Google benutzt ein paar experimentelle Features wie z.B. die Zeit vor einer Schaltsekunde zu "glätten", was sich nicht mit anderen NTP-Servern verträgt. Entweder benutzt du also nur die schon hinterlegten oder nur die von z.B. Google.
Das wusste ich nicht. Danke für den Hinweis. Google-Server habe ich entfernt!

Was ist den daran falsch? Ich möchte ja nicht das NAS und Switch je nachdem eine andere IP bekommen können, sondern ich möchte bei den genannten Geräte wissen unter welche IP ich sie erreichen kann. Die ganzen Clients (PC, Notebooks, Handy) werden ja vom DHCP gespeist. Also passt das sich.

Du kannst auch statisches DHCP für solche Geräte benutzen. Mit statischem DHCP reservierst du bestimmte IPs für die jeweiligen Geräte. Man hat damit statische IP-Adressen, aber noch immer alle weiteren Vorteile von DHCP.

Ansonsten macht es natürlich auch Sinn ein lokales DNS zu betreiben, wenn du keine rohen IP-Adressen ansteuern willst. Ist sicher Geschmackssache, aber mir fällt kein Grund ein, warum man 2020 noch IPs jonglieren sollte.

Was ist den daran falsch? Ich möchte ja nicht das NAS und Switch je nachdem eine andere IP bekommen können, sondern ich möchte bei den genannten Geräte wissen unter welche IP ich sie erreichen kann. Die ganzen Clients (PC, Notebooks, Handy) werden ja vom DHCP gespeist. Also passt das sich.

Die Überlegungen zu DHCP sind richtig. Auch mit den Ranges. Das Thema kommt dann pro Subnet.

Meine Fragen bezogen sich auf die Option 2, da mir das insgesamt einfach unklar ist. Passt aber schon als Aufsatzpunkt.

Zu Version 2:
Genau ich möchte erstmal klein anfangen...wie gesagt nun kommt ja der nächste Schritt.
Ich möchte nun das Gäste Netzwerk (VLAN10) mit einem anderen IP-Bereich versorgen (192.168.10.1) wie gehe ich nun hier weiter vor? VLAN 10 angelegt habe ich, wie bekommt das ganze nun eine IP-Adresse
und wie stelle ich sicher das das Gästenetz keinen Zugriff auf das Heimnetz hat.

Sorgfältig konfigurieren.
Geräte im anderen Netz dürfen sich nicht pingen lassen. IP-Scan. Ein weiterer Test ist ein Blick in den arp-Cache. Wenn da unerwartete MACs oder IPs auftauchen, dann stimmt was nicht.

Ich hatte ja Anfangs gesagt das ich mehrere Switches habe evtl. hierzu mal wie die Verkabelung ausschaut.

Der Cisco SG 350 ist mein Hauptswitch im Keller hier führt Port 2 auf einen weiteren Switch (Netgear GS108Ev3)an Port 1. An Port 5 ist eine Ubiquiti AP AC Pro angeschlossen der einmal das Heimnetz (VLAN 1)und zum anderen ein Gästenetzwerk (Vlan 10) speisen soll.
Port 4 des Cisco SG350 führt direkt zu einem weiteren Ubiquiti AP AC Pro der ebenfalls das Heimnetz (VLAN 1)sowie das Gäste WLAN (VLAN 10) bereitstellen soll.Die restlichen Ports am Cisco SG350 sind alle nur für das VLAN 1 zur Verfügung.
Laut meinem Verständnis muss ich nun die Ports bei welchen VLAN 1 und VLAN 10 zum AP führen,taggen
In meinem Fall Port 2 (weiterführende zum GS108Ev3) sowohl für VLAN 1 als auch VLAN 10 taggen. Port 4 ebenfalls für VLAN 1 und 10 taggen. der restlichen Ports bleiben ungetagged im VLAN 1 richtig?

Fast.
Beachte 1: dass das VLAN 1 standardmäßig das native VLAN (https://www.practicalnetworking.net/stand-alone/what-is-the-native-vlan/) ist. D.h. das angedachte Standardverhalten der Switches ist meistens so, dass alle ungetaggten Pakete eingehend in das VLAN1 gehieft werden. Ausgehend wird das VLAN1 Tag entfernt. Das ist eine sehr nutzerfreundliche und kompatible Einstellung. Bei Cisco lässt sich das auf andere VLAN IDs konfigurieren. Bei vielen anderen Herstellern nicht. Daher würde ich es auch nicht ändern. Steuerprotokolle laufen ebenfalls über das native VLAN. Entsprechend findest Du in den meinsten Konfigurationsvorschlägen die man so findet die Netzwerke für Nutzdaten in anderen Bereichen wie 10, 20, 30. Das VLAN1 auf dem Trunk zu taggen ist nach meinem Kenntnisstand keine gute Idee.
Beachte 2: Die PVID beim Netgear nicht vergessen.
Beachte 3: Im Unify Controller > Wi-Fi > Wi-Fi Networks Netzwerke für die VLANs einrichten.
Als nächstes den DHCP Server einschalten und dem VLAN 10 eine entsprechende IP zuweisen?
Ja. Genauer gesagt konfigurierst das Subnet für den DHCP-Server auf dem Netzwerkinterface. Der DHCP-Server sollte die IPs für das Gastnetz liefern, aber nicht aus dem Gastnetz konfigurierbar sein.

...
Zu Version 1:
Ich habe ja keine Firewall wie IPfire oder pfsense, daher denke ich ist für den Anfang Option 2 sinnvoller. Zudem brauche ich kein Management VLAN, Heimnetz und Gäste VLAN. Was soll in das Management VLAN den hinein? Alle Webinterfacezugriffe des NAS, Switch, Cams?

das war doch nur ein Beispiel, um zu illustrieren, warum man mit VLANs arbeitet.


Zu Version 2:
Genau ich möchte erstmal klein anfangen...wie gesagt nun kommt ja der nächste Schritt.
Ich möchte nun das Gäste Netzwerk (VLAN10) mit einem anderen IP-Bereich versorgen (192.168.10.1) wie gehe ich nun hier weiter vor? VLAN 10 angelegt habe ich, wie bekommt das ganze nun eine IP-Adresse und wie stelle ich sicher das das Gästenetz keinen Zugriff auf das Heimnetz hat.
IP-Adresse gibst du wieder unter IPv4-Interface an. Auf "Add" klicken und dann VLAN10 auswählen und deine IP-Adresse/Subnet vom Gästenetz angeben. Noch Port dem VLAN10 zuweisen, wo der AP dranhängt, fertig. Jetzt kommt aber der Haken: Sehr wahrscheinlich erstellt der Switch automatisch Routen (das sind "Direkt-" oder "Local"-Routen, die meist nicht löschbar sind, man möge mich korrigieren, wenn anderes bekannt ist), damit zwischen den VLAN-Subnetzen kommuniziert werden kann (das was du aber nicht willst). Da gibts jetzt 2 (3) Möglichkeiten:

1. Entweder du vergibst VLAN10 keine IP-Adresse (also obiges wieder rückgängig machen) und nutzt die Gäste-LAN-Funktion der FB, wie myMinde verlinkt hatte (http://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/comment-page-1/). Dazu musst du dann ein zweites LAN-Kabel von der FB (meist ist der Gäste-Port dann Port 4) zum Switch ziehen, da die FB kein VLAN-Tagging beherrscht. VLAN10 wird dann den Ports zugewiesen, wo das "Gäste-Kabel" der FB reinkommt und wo der AP drinsteckt. Praktisch ist das wie eine physikalische Aufteilung deines Cisco-Switches. Mit 2 getrennten (nicht managebaren) Switches würde man aufs selbe rauskommen.

2. Firewallregel(n) im Switch, die die Kommunikation zwischen Hosts von VLAN1 und VLAN10 unterbindet. Dabei müsste man sicherstellen, dass die IP der FB und die Interface-IPs der VLANs ausgespart bleiben, da diese ja als Gateway fürs Internet noch benötigt werden. Hier kann ich jetzt nur raten, da ich nicht weiß, welche Möglichkeiten es hier bei Cisco gibt.

(3.) Weil ich das vorhin auf nem Screenshot gesehen habe: Unter Static-Routes Reject-Route anlegen: Hier weiß ich leider nicht, wie das Feature genau funktioniert, da ich das nicht kenne. Aber könnte sein, dass man damit auch Erfolg haben könnte.


Ich hatte ja Anfangs gesagt das ich mehrere Switches habe evtl. hierzu mal wie die Verkabelung ausschaut.

Der Cisco SG 350 ist mein Hauptswitch im Keller hier führt Port 2 auf einen weiteren Switch (Netgear GS108Ev3)an Port 1. An Port 5 ist eine Ubiquiti AP AC Pro angeschlossen der einmal das Heimnetz (VLAN 1)und zum anderen ein Gästenetzwerk (Vlan 10) speisen soll.
Port 4 des Cisco SG350 führt direkt zu einem weiteren Ubiquiti AP AC Pro der ebenfalls das Heimnetz (VLAN 1)sowie das Gäste WLAN (VLAN 10) bereitstellen soll.Die restlichen Ports am Cisco SG350 sind alle nur für das VLAN 1 zur Verfügung.
Laut meinem Verständnis muss ich nun die Ports bei welchen VLAN 1 und VLAN 10 zum AP führen,taggen
In meinem Fall Port 2 (weiterführende zum GS108Ev3) sowohl für VLAN 1 als auch VLAN 10 taggen. Port 4 ebenfalls für VLAN 1 und 10 taggen. der restlichen Ports bleiben ungetagged im VLAN 1 richtig?
Jop, sollte passen. In deinem Netgear-Switch und AP musst du aber ebenfalls die VLANs und das Tagging richtig konfigurieren.

Edit: Ah, myMind war schneller.

Edit2: Einfache Firewallregeln könnten ungefähr so lauten:

1. Action: Deny; Source: 192.168.10.0/24 (o. VLAN10); Target: 192.168.178.0/24 (o. VLAN1); Protocoll: any; Services: any
2. Action: Deny; Source: 192.168.178.0/24; Target: 192.168.10.0/24; Protocoll: any; Services: any

Eine Allow-Ausnahmeregel für die Gateway-IPs sollte man bei obigen Deny-Regeln nicht brauchen (habs oben mal gestrichen), da hier die IP-Pakete fürs Internet ja nur weitergeleitet werden und deswegen die Deny-Regeln nicht greifen dürften.

Ich bin zur Zeit leider nur am Wochenende zuhause, daher erfolgt erst jetzt die Antwort. Ich werde das morgen alles einmal versuchen und mich wieder melden.
Die PVID muss beim Netgear entsprechend meinem Beispiel auch auf 1 (VLAN1) gestellt werden, richtig?

Welche Rubrik trifft hier auf Firewall zu?