Netzwerk

Fritzbox: VLAN-Subnetze per Switch einrichten

Wenn Ihr mehrere unabhängige (W)LANs betreiben wollt, sind VLANs die "einfachste" Lösung

Die Fritzbox selbst kann bereits ein zweites, unabhängiges Netzwerk betreiben, das Gast-Netzwerk lässt sich an bestimmten Ports des Routers freischalten. Damit gibt es Internetzugriff, aber keinen Zugriff auf das Haupt-LAN. Wenn Ihr mehrere Netzwerke betreiben wollt, mit Zugriff untereinander, benötigt Ihr weitere Router oder Switches mit Routing-Funktionen – zu finden in professionellen Level-3-Switchen sowie in einigen Level-2-Switchen (L2+). Super einfach ist das alles aber nicht …

Einführung

Gleich vorab: Wenn Ihr noch eine alte Fritzbox haben solltet, könnt Ihr auch diese verwenden, um zumindest ein wenig mehr als ein Gastnetzwerk zu bekommen – wie, zeigen wir hier.

Nun zum Großen und Ganzen: Das Zentrum soll hier die omnipräsente Fritzbox darstellen, meist als Router bezeichnet, ist sie im Grunde ein Kombigerät aus Modem, Router und Switch – aber belassen wir es bei Router, schließlich geht es hier primär um Einsteiger, normale Privathaushalte und die praktische Einrichtung, nicht um eine Grundlagenschulung für Netzwerker.

Die Fritzbox baut standardmäßig ein Netz im IP-Bereich 192.168.178.XXX auf. Ziel dieses Artikels ist es nun, ein weiteres Netzwerk im Bereich 10.0.0.XXX aufzubauen, innerhalb dessen es Zugriff auf das Internet sowie auf das Standardnetzwerk gibt und umgekehrt.

Dieses zweite Netzwerk wird als VLAN aufgebaut, also als virtuelles LAN. Professionelle oder einfach nur sehr gute (Kombi-)Router können sowas direkt aufbauen, die Fritzbox als recht beschränktes Privatanwendergerät nicht. Auch die normalen 10-Euro-Switches können das nicht, da diese nicht mehr als Verteilersteckdosen sind. Es braucht also einen Switch mit Routing-Funktionen, der an der Fritzbox hängt und selbst die VLANs aufspannt. Dabei können den einzelnen Ports des Switches unterschiedliche VLANs zugewiesen werden, ebenso das Standardnetzwerk der Fritzbox.

Fehlt noch ein Endgerät: Hier soll es ein Raspberry Pi sein, der über WLAN im Standardnetzwerk (als 192.168.178.100) hängt und über LAN im VLAN (als 10.0.0.100). Wichtiger ist aber das Betriebssystem: Ubuntu.

Natürlich wäre es schön, alles von Grund auf zu designen, aber hier geht es um die normale Ausgangssituation: Eine Fritzbox läuft bereits, jetzt soll das Netzwerk erweitert werden, ohne das bestehende Netz und dessen Geräte anpassen zu müssen.

netzwerkplan aus kinderhand.
Jaaaa, ich weiß, hübscher wirds bei mir einfach nicht …

Hardware und Ablauf

Zur Fritzbox: Hier kommt eine Fritzbox 6660 Cable zum Einsatz. Da auf der Fritzbox selbst aber lediglich ein einziges Standard-Feature genutzt wird, spielt das Modell keine Rolle. Und auch mit den meisten anderen Heim-Routern funktioniert das Vorgehen!

Beim Switch wird es schon deutlich schwieriger. Hier kommt ein Cisco SG250-08 zum Einsatz, wobei die Anleitung natürlich für alle Größen der SG250er Reihe gilt, egal ob nun mit 8 oder 16 oder noch mehr Ports. Auch andere Cisco-Modelle lassen sich identisch konfigurieren. Aber Vorsicht: Die Cisco-Kisten sind verdammt komplex, wenden sich eher nicht an Consumer und die Dokumentation ist bisweilen eine Frechheit – man muss also schon Ahnung von Netzwerkgrundlagen haben oder bereit sein, sich damit zu beschäftigen. Es gibt aber von TP-Link, D-Link, Netgear & Co. Geräte, die deutlich günstiger sind, ebenfalls VLANs unterstützen und – tendenziell! – über etwas einfachere Weboberflächen verfügen. Ein Vorteil der SG250er: Sie sind extrem verbreitet, sind daher gut dokumentiert und bieten viel Potenzial, um sich weiter mit Netzwerken beschäftigen zu können. Das prinzipielle Vorgehen ist jedoch immer das Gleiche.

(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)

Tools: Spezielle Tools benötigt Ihr nicht. Die Konfiguration findet in den Weboberflächen von Fritzbox und SG250-08 statt sowie natürlich auf dem Raspberry Pi – wobei die Hardware eigentlich keine Rolle spielt, viel mehr geht es um das Betriebssystem und da kommt hier Ubuntu zum Einsatz. Die Konfiguration übernimmt dort Netplan.

Voraussetzung: Euer Client zum Testen sollte entweder schon im Standardnetzwerk hängen und per SSH erreichbar sein oder über einen eigenen Bildschirm verfügen, also etwa ein Laptop. Auch ist es hilfreich, wenn dieser zwei Netzwerkschnittstellen hat, also LAN UND WLAN – damit er auch erreichbar bleibt, wenn es mit dem VLAN nicht klappt ;)

Nun aber endlich zum Ablauf:

  • Switch einrichten
    — Routing aktivieren
    — VLAN konfigurieren
    — Ports konfigurieren
    — IP-Interfaces konfigurieren
    — Statische Route einrichten
  • Router konfigurieren
    — Statische Route einrichten (für Internetzugriff im VLAN)
  • Client einrichten
    — Netzwerkkonfiguration für LAN und WLAN per Netplan

Man kann freilich noch viel mehr konfigurieren, hier geht es nur um das Minimum, um das Ganze zum Laufen zu bekommen – Schönheitsoperationen wie das Benennen von Ports oder Sicherheitseinstellungen bleiben außen vor.

Einrichtung Switch

Die Installation des Switch selbst ist trivial: Einen beliebigen Port per Netzwerkkabel an einen beliebigen Fritzbox-Port anschließen, in der Fritzbox-Oberfläche die IP des Switch nachschlagen und im Browser aufrufen – also beispielsweise 192.168.178.61. Eigentlich sollte man für Dinge wie Switches und Router IP-Adressen am Anfang/Ende des Adressraums verwenden, daher hat die Fritzbox auch standardmäßig die 192.168.178.1. Und eigentlich sollte man ein separates Netzwerk für die Verbindung von Router und Switch verwenden und alle Geräte direkt am Switch betreiben. Aber uneigentlich soll es hier ja um die Realität eines bestehenden Fritzbox-Netzwerks gehen – und die hat hier im Testbetrieb eben die 192.168.178.61 gesetzt und natürlich gibt es schon etliche Geräte, die direkt mit der Fritzbox verbunden sind. Wenn Ihr es sauber haben wollt, könnt Ihr freilich auch komplett bei Null anfangen.

Switch: Routing aktivieren

Aktiviert zunächst mal das Routing unter IP Configuration/IPv4 Management and Interface/IPv4 Interfaces, damit das nicht später vergessen wird.

routing-option in sg250.
Aktiviert erstmal das Routing, sonst gerät das noch in Vergessenheit

Switch: VLAN konfigurieren

Legt nun ein VLAN unter VLAN Management/VLAN Settings an: Ihr brauch dafür nur eine ID (im Beispiel 10) und einen beliebigen Namen setzen (im Beispiel testing).

vlan-setting in switch.
VLAN erstellen: Name und ID

Switch: VLAN Ports zuordnen

Nun bestimmt Ihr einen Port, der zu diesem neuen VLAN gehören soll. Das erledigt Ihr unter VLAN Management/Port VLAN Membership über den Button Join VLAN … Wählt einfach den Port und fügt ihn dem neuen VLAN 10 hinzu.

portzuordnung in sg250.
Ordnet dem Wunschport ein VLAN zu

Switch: IP-Interfaces konfigurieren

Nun brauch das VLAN 10 natürlich auch Infos zur Netzwerkschnittstelle. Wechselt dazu zu IP Configuration/IPv4 Management and Interface/IPv4 Interfaces. Fügt über Add eine Schnittstelle hinzu: Als Interface wählt Ihr Euer neues VLAN 10. Dann setzt Ihr IP Address Type auf Static IP Address und vergebt die gewünschte Addresse des Switches im VLAN, hier also 10.0.0.1. Die Network Mask kommt auf 255.255.255.0 – was nichts anderes heißt, dass die ersten drei Blöcke (192.168.178) für das Subnetz gesetzt sind und im vierten Block dann 253 (0 und 255 sind reserviert) Adressen für Endgeräte verfügbar sind. Es ist eine andere – die korrekte! – Schreibweise von 192.168.178.XXX, die ich hier bisweilen der Verständlichkeit halber nutze. (Ihr könntet alternativ auch die Prefix Length auf 24 setzen, was bedeutet, dass die ersten 24 Bit eine 1 sind, sprich: 11111111 11111111 11111111 00000000 entspricht 255.255.255.000.) Egal ob meine Xe oder die üblichen Nullen – es sind nur Wildcards.

interface für vlan einstellung.
IP-Adresse des Switch + Netzwerkmaske = neuer Subnet-IP-Bereich

Heißt bis hierhin: Ihr habt ein VLAN 10 mit einem zugeordneten Port und einem zugeordneten Netzwerk mit dem IP-Bereich 10.0.0.XXX – in dem der Switch als 10.0.0.1 auftaucht. Auf den anderen Ports ist der Switch nach wie vor über die 192.168.178.61 erreichbar.

Switch: Standard-IP-Route festlegen

Nun sorgt im normalen 192er-Netzwerk die Fritzbox für den Zugriff auf das Internet – dem 10er-Netzwerk ist die Fritzbox aber noch gar nicht bekannt! Also legt Ihr zunächst mal eine Standard-Route unter IP Configuration/IPv4 Management and Interface/IPv4 Static Routes an. Hier sind zwei Werte wichtig: Destination IP Prefix setzt Ihr auf 0.0.0.0 und Next Hop Router IP Address auf die IP der Fritzbox, sprich 192.168.178.1 im Normalfall.

Das heißt: Alles (weil 0.0.0.0 ja vier Wildcards sind) wird an den den Next Hop weitergeleitet, was hier gleichbedeutend mit Gateway oder eben Router ist – das Tor zum Internet halt.

next hop setting in cisco oberfläche.
Statische Route auf Switch: Die Fritzbox als Gateway für alle

Router: Statische IP-Route festlegen

Hier folgt nun die Gegenseite: Auch die Fritzbox muss erstmal wissen, wie sie mit Anfragen aus dem 10er-Netzwerk umgehen soll. Also legt Ihr auch hier eine statische Route an, unter Heimnetz/Netzwerk/Netzwereinstellungen/Statische Routingtabelle/IPv4 Routen: Das Netzwerk ist natürlich wieder 10.0.0.0 mit der Subnetzmaske 255.255.255.0 und das Gateway ist die Verbindungsstelle zur Fritzbox, sprich die Switch-IP 192.168.178.61.

statische route in fritzbox.
Statische IPv4-Route in der FritzBox

Ubuntu konfigurieren

Zu guter Letzt muss nur noch der Client konfiguriert werden, hier im Beispiel also ein Ubuntu auf einem Raspberry Pi. Wie genau Ihr mit Netplan unter Ubuntu arbeitet haben wir bereits in einem eigenen Artikel abgearbeitet.

Hängt den Rechner an den auf dem Switch konfigurierten Port.

Hier also nur die Kurzversion. Ihr könnt wahlweise die vorhandene Netplan-Config anpassen oder – besser – eine neue Datei erstellen, die mit einer höheren Nummer anfängt, also etwa /etc/netplan/99-mein-netzwerk.yaml, und so aussehen könnte:

network:
  ethernets:
    eth0:
      dhcp4: no
      addresses:
        - 10.0.0.100/24
      gateway4: 10.0.0.1
      nameservers:
          addresses: [8.8.8.8, 1.1.1.1]
  version: 2
  wifis:
       wlan0:
           optional: true
           access-points:
               "mein-wlan":
                   password: "meinpasswort"
           dhcp4: true

Die WLAN-Schnittstelle bekommt ihre Konfiguration automatisch über das Dynamic Host Configuration Protocol (DHCP) von der Fritzbox. Die LAN-Schnittstelle hingegen bekommt die Adresse 10.0.0.100/24 (wobei die 24 wieder die Netzwerkmaske in der oben erläuterten Schreibweise ist.). Als Gateway wird dieses Mal aber natürlich nicht die Fritzbox angegeben, sondern der Switch mit seiner Adresse im 10er-Netzwerk, die Ihr oben selbst als 10.0.0.1 festgelegt habt.

Zum Anwenden der neuen Konfiguration:

sudo netplan generate
sudo netplan apply

Mehr dazu im oben bereits verlinkten Artikel.

Testen

Zum Testen könnt Ihr anschließend Ping verwenden, um den Zugriff auf andere lokale Netzwerke und das Internet zu testen:

ping 10.0.0.1
ping 192.168.178.1
ping tutonaut.de

Wenn das klappt, könnt Ihr das WLAN ausschalten, um die neue LAN-Schnittstelle im 10er-Netzwerk mal allein zu testen. Das geht zum Beispiel mit dem Tool ifconfig aus den net-tools:

sudo apt-get install net-tools
sudo ifconfig wlan0 down

Ebenfalls hilfreich: Starten, stoppen und neustarten des Netzwerkdiensts:

sudo service systemd-networkd stop
sudo service systemd-networkd start
sudo service systemd-networkd restart

Bei normalen Ubuntu-Desktop-Versionen läuft nicht networkd, sondern NetworkManager:

sudo systemctl stop network-manager
sudo systemctl start network-manager
sudo systemctl restart network-manager

Das ist übrigens das Schöne an Netplan: Bei der Konfiguration kann Euch egal sein, welcher Netzwerkdienst tatsächlich läuft, Netplan reicht einfach an den richtigen weiter.

Die lokalen Routing-Informationen könnt Ihr Euch übrigens mit dem net-tools-Programm route anzeigen lassen:

route

genügt schon – endlich mal was Simples ;)

Auch wenn Ihr sorgfältig gearbeitet habt: Die Chancen stehen nicht schlecht, dass dennoch irgendwas nicht funktioniert. Die YAML-Konfiguration von Netplan ist pingelig, IP-Adressen bekommen schnell Zahlendreher, manchmal dauert es ein paar Sekunden, bis sich Änderungen auswirken, Netzwerkdienste sind vielfältig und schnell verkonfiguriert … Hilfe für spezielle Fälle findet Ihr im deutschsprachigen Raum vermutlich am besten bei Administrator.de.

Daher zum Schluss ein Zitat aus dem Ubuntu-Netzwerk-Artikel:Fatalisten-Tipp: Wenn Ihr am Netzwerk herumfriemelt, immer ein zusätzliches Gerät mit Internetzugriff bereithalten, bevor Ihr bei Problemen nicht mehr nachschauen könnt.“ Insofern, Happy Hacking.

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help und VoltAmpereWatt.de. Neu: Mastodon

7 Kommentare

  1. Hallo,

    was mir noch nicht so ganz klar ist:

    Angenommen ich habe in dem VLAN ein Gerät z.B. einen kleinen Homeserver, der aus dem Netz per Port Weiterleitung erreichbar sein soll aber nicht mit den anderen Internen Geräten im Fitz Box Lan kommunizieren können soll, dann ist das VLAN – wie oben erklärt – eine Option.

    Führt Port Isolation nicht quasi zum gleichen Effekt? Man kann in dem Fall z.B. festlegen, dass der Server nur mit der Fritzbox kommunizieren darf aber nicht mit den anderen Geräten im LAN der Fritz Box (das funktioniert natürlich nur für die am Switch angeschlossenen Geräte, direkt an der Fritz Box angeschlossene Geräte einschließlich WLAN sind davon nicht berührt).

    Hat das VLAN im Vergleich zur Port Isolation Vorteile?

    Gruß

    Tim

  2. Hallo,
    wie sieht es denn aus mit der Kommunikation der VLANs untereinander? Kann man das bei den SG250ern einstellen/unterbinden/erlauben/auf einzelne Clients beschränken?

    Vielen Dank!

  3. Hallo,

    ich habe genau diesen Switch von Cisco und eine FB 7590AX.
    Bei dem Punkt „Standart-IP-Route festlegen“ komm ich nicht weiter.
    Die Destination IP Prefix –> 0.0.0.0 wird nicht akzeptiert, es kommt folgende Fehlermeldung:
    „Die Zieladresse für die Route ist illegal“. Was mache ich falsch?

    Gruß
    Andreas

    1. Die statische Route mit dem Ziel 0.0.0.0 muss auf dem switch konfiguriert sein.
      0.0.0.0 = kennt der switch das Zielnetz nicht? Dann frage ich mal die fritzbox.
      Die fritzbox hat standardmäßig die statische Route: 0.0.0.0,next hop: WAN (also ins Internet.). Wenn die fritzbox so nicht operieren würde gäbe es keine Verbindung zum Internet.

      Da die fritzbox das Netz 10.0.0.0/24 nicht kennt soll ihm jetzt das 10-er Netzwerk bekannt gemacht werden mit der statischen Route: 10.0.0.0/24, next hop = 192.168.178.xxx.

      Es wird also seitens fritzbox KEINE statische Route zu 0.0.0.0 eingerichtet, weil es schon definiert ist (aber für den Benutzer nicht sichtbar). Daher ist die Fehlermeldung auf der GUI korrekt und von Herrn Lang korrekt beschrieben.

      1. Ich habe das gleiche Problem und es kommt daher auch kein Routing ins Wan/Internet zu stande.
        Die Route ist jedoch bereits in der Tabelle eingetragen mit dem default VLAN 1.

        Was mach ich hier falsch?

      2. Das mag alles sein, aber es ändert nichts daran, das sich die statische Route auf dem Switch nicht einrichten lässt mit dem Hinweis: „Die Zieladresse für die Route ist illegal.“

Schreibe einen Kommentar zu Mirco Lang Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Schaltfläche "Zurück zum Anfang"
Schließen

Ooopsi!

Bitte deaktiviere Deinen Adblocker.