Hiho,

ich will demnächst in der in Einrichtung befindlichen Kellerwerkstatt ein wenig an Retro-PCs herumbasteln, Betriebssysteme werden Windows 98 und XP sein, nichts neueres - Internet ist für die Geräte natürlich tabu; aber ich würde für den einfachen Datenaustausch den Rechnern gerne Zugriff auf einen lokalen ftp-Server geben (der noch nicht existiert). Letzterer soll allerdings auch von jedem Rechner im Netzwerk erreichbar sein (nicht unbedingt aus dem Internet).

Mein aktuelles Setup sieht wie folgt aus:
- Fritzbox 7530 AX stellt DSL bereit (an diverse Geräte in der Wohnung)
- der Keller ist über DLAN mit der Fritzbox 7530 verbunden
- im Keller selbst hängt eine alte Fritzbox 7412 im AP-Modus am DLAN und spannt ein WLAN auf (wichtig für Handys etc., da dort unten kein Mobilfunkempfang vorhanden ist, sowie für Internetzugang des Laptops)

Mein Plan wäre nun, unten an das DLAN einen Switch anzuschließen, an den ich die Retrorechner per LAN anschließe, eben aber auch die Keller-Fritzbox für WLAN.
Über den ftp-Server habe ich mir noch keine großen Gedanken gemacht, möglich wäre ein Rasperry-Pi mit irgendeinem Speichermedium dran (brauche nur wenig Platz, ginge vor allem um retrorelevante Tools und Treiber) oder ich schließe einfach einen Speicher an die Fritzbox 7530 an, das müsste ja auch eigentlich funktionieren.

Jetzt wäre die Herausforderung, den Zugang der Retrorechner einzuschränken, während der WLAN-AP im Keller unbeschränkt bleiben sollte (bezogen auf die FB7530 hingen diese ja alle am gleichen LAN-Port). Könnte man das dennoch entsprechend in der Fritzbox einstellen, etwa über IP-Ranges?
Oder ich besorge mir für den Keller einen Switch, bei dem ich einstellen kann, dass, sagen wir, LAN-Port eins bis vier nicht ins Internet kommen, aber LAN-Port für den WLAN-AP schon?

Auf die Schnelle würde ich wohl auf den Retro-Rechnern die IP-Konfiguration auf manuell umstellen und eine IP ausserhalb des DHCP-Bereiches vergeben.

Wichtig: Die Einstellung "Standardgateway bleibt dabei leer.

So kann der Rechner im LAN kommunizieren, hat aber keine Verbindung ins Internet.

Ob das die beste/sicherste Lösung ist kann ich nicht garantieren.

Ich glaube mit vorgeschalteter Hardware Firewall aka Router ist das Problem, bei einem alten System dass man nicht wirklich zum surfen und nur für alte bekannte Anwendungen benutzt, überschaubar.

Voraussetzung ist natürlich dass in dem offenen Bereich des Netzwerks auch alles sauber ist.

Hiho,

- im Keller selbst hängt eine alte Fritzbox 7412

In der Weboberfläche der FritzBox solltest du allen Geräten feste IPs zuweisen können und dann für jedes einzelne Gerät Internetzugang manuell erlauben oder sperren können.

Manuelle IP-Konfig ohne Gateway und DHCP könnte in der Tat gehen.

Die 7412 im Keller hat nur einen LAN-Anschluss und läuft aktuell im AP-Modus, d.h. bei der kann ich quasi gar nichts einstellen. Selbst mit besserem Gerät käme wahrscheinlich nur AP-Mode in Frage, da sich ja der von allen erreichbare FTP-Server im Gesamtnetz befinden soll.

FTP-Server über die Fritzbox 7530 AX funktioniert problemlos, wahrscheinlich wäre SMB die schnellere Option, aber das SMB halbwegs aktueller Fritzboxen ist wohl mit der SMB-Version von Windows 98 inkompatibel...

Selbst mit besserem Gerät käme wahrscheinlich nur AP-Mode in Frage, da sich ja der von allen erreichbare FTP-Server im Gesamtnetz befinden soll.

Evtl. verstehe ich das Problem nicht richtig, aber was spricht dagegen, einfach die Internetnutzung in der 7530 für die Retro-PCs anhand deren IP zu sperren?
7530 (DHCP) -> DLAN -> Switch -> Retro-PCs.
Oder nutzt du einen anderen DHCP Server als die Fritzbox?

Alles was bisher vorgeschlagen wurde zielt a) auf Subnetting (OSI Layer 3) ab und b) geht davon aus den Rechner erstmal gegen Selbstinfektion schützen zu müssen. Das ist alles nicht falsch, aber ob das ausreichend ist, kann man durchaus in Frage stellen.

Zu a) wäre es besser auf OSI Layer 2 zu gehen, also mit VLANs zu arbeiten. Damit können dann z.B. auch managed Switches umgehen. Während ein Switch so etwas wie "Sperre alle Internet-IPs" gar nicht kann. Leider kann die FritzBox andererseits, obwohl sie einen Router und eine Firewall enthält, mit VLANs nichts anfangen. VLANs sind generell ein nicht ganz einfaches Thema. Aber wenn es um Netzwerksegmentierung geht, sind sie das Mittel der Wahl.

Zu b) gibt es natürlich auch die Szenarien, wo ein kompromittiertes Gerät ins Heimnetz kommt, dass nach Opfern sucht. Sowas wie "Freund vom Kind meldet infiziertes Handy im Heim-WLAN an" oder "billiger China Smart-Plug erhält ein infiziertes Update" oder "ein Nutzer deines Netzes installiert versehentlich eine Schadsoftware die nicht erkannt wird". Da wäre ein erreichbarer Win98-Rechner ein willkommenes Opfer. Und an der Stelle hilft das Subnetting alleine nur wenig. Sobald eine Schadsoftware auf irgendeinem Gerät administrative Rechte hat, kann es die Netzwerkeinstellungen des eigenen Geräts nach belieben ändern und sich selbst in andere Subnetze hiefen.

Dennoch, in einem Heimnetz mit einem Nutzer und einer handvoll Geräten wären VLANs totaler overkill. Wenn ich aber mehrere Nutzer habe und die Anzahl der smarten Steckdosen, Staubsauger, Fernseher, streaming Geräte usw. nicht unerheblich ist, dann würde ich keinen anfälligen Win98-PC direkt daneben hängen.

Eine sehr einfache Variante wäre noch eine zweite Netzwerkkarte in den FTP-Server zu stöpseln und dann eine Netzwerkkabel direkt zum Win98-Rechner zu ziehen. Das ist sehr simpel und sicher.

Netzwerktechnik für Dummies gibt es m.E. leider nicht. Abseits des aufs Wesentliche runtergedampften FritzBox-Heimnetzwerks wird es sehr schnell kompliziert.

Zu a) wäre es besser auf OSI Layer 2 zu gehen, also mit VLANs zu arbeiten. Leider kann die FritzBox andererseits, obwohl sie einen Router und eine Firewall enthält, mit VLANs nichts anfangen. Abseits des aufs Wesentliche runtergedampften FritzBox-Heimnetzwerks wird es sehr schnell kompliziert.

Ist das Gast-Netzwerk der FritzBox ein echtes VLAN? Das wird ja zumindest in den Einstellungen als vollständige Trennung vom eigentlichen Netzwerk beworben.

Ist das Gast-Netzwerk der FritzBox ein echtes VLAN?
Das wäre mir neu. Wenn es so wäre, würde AVM mit Sicherheit auch irgendwo dokumentieren, welches VLAN-Tag sie verwenden.
Das wird ja zumindest in den Einstellungen als vollständige Trennung vom eigentlichen Netzwerk beworben.
Mein Verständnis: LAN- / Kabelseitig wird der Switch in der Fritzbox aufgetrennt. Port 4 im Gastmodus kriegt dann einen eigenen DHCP und DNS. Und das war es auch schon.

Also ja, es stimmt, dass es zwei getrennte Netze gibt. Es gibt dort allerdings nirgendwo VLAN getaggten Pakete.

Die schlechtestmögliche Idee wäre es Port 4 und einen der anderen Ports an einen unmanaged Switch anzuschließen. Also genau dass, was man eigentlich mit VLANs erreichen will, separate Netze über eine Hardware zu bedienen, leistet der Gastzugang nicht.

Wenn man abseits der FritzBox VLAN-fähige Hardware/Switches hat, könnte man es so einrichten, um den Gastzugang mit VLAN-Tags zu versehen:
Administrator.de: Internet-Gastzugang vlan konfig (https://administrator.de/forum/internet-gastzugang-vlan-konfig-4872418275.html#comment-4875624471)