Hallo zusammen,
zunächst einmal habe ich mir einige Artikel zur Thematik Fritz!Box XY und Unifi Router durchgelesen, verstehe aber glaube ich nicht zu 100% wie ich es realisieren muss.
Daher würde ich hier gerne zusammenfassen, was ich verstanden habe und dann auch gerne Feedback erhalten.
Ich nutze das alles sowohl geschäftlich als auch Privat
Folgende Komponenten sind schon vorhanden bzw. befinden sich im Zulauf:
Gerät | IST | SOLL |
---|---|---|
Fritz!Box 7590 AX | Router und Bereitstellung VOIP Telefonie (vier Rufnummern) | Switch (IP-Client) + Bereitstellung VOIP |
Zyxel GS1900-24E | Switch ohne VLANs | Switch mit VLANs (dazu später mehr) |
Dell T30 mit Windows Server 2022 (5 NICs) | Hyper-V Host fw01 (OpnSense), Exposted Host auf Fritz!Box 7590 AX dc01 (Server 2022 - ADDS), eidc01 (Server 2022 - Entra ID Connect) unifi01 (Ubuntu), ns01 (Fedora Technitium DNS Server), sma01 (Quest KACE SMA - Client Management Demo Umgebung), pack01 (Windows 10 Paketierungsumgebung), pack02 (Windows 11 Paketierungsumgebung), diverse Testclients | Hyper-V Host dc01 (ADDS), eidc01 (Server 2022 - Entra ID Connect) ns01 (Fedora Technitium DNS Server), sma01 (Quest KACE SMA - Client Management Demo Umgebung), mtx01 (Matrix42 Empirum - Client Management Demo Umgebung), sccm01 (SCCM - Client Management Demo Umgebung), pack01 (Windows 10 Paketierungsumgebung), pack02 (Windows 11 Paketierungsumgebung), diverse Testclients |
Dell T30 mit Unraid OS (2 NICs) | Unraid Server fw02 (OpnSense), dc02 (Server 2022 - ADDS), ns02 (Fedora Technitium DNS Server), traeffik (Docker), VaultWarden (Docker), Authentik (Docker), außerdem noch REDIS, PostgreSQL für die oben genannten Dienste | Unraid Server dc02 (Server 2022 - ADDS), ns02 (Fedora Technitium DNS Server), traeffik (Docker), VaultWarden (Docker), Authentik (Docker), außerdem noch REDIS, PostgreSQL für die oben genannten Dienste dns01 (Fedora Technitium DNS Server - allerdings extern gestellt für RFC2136 DNS Challenges) |
Frittz!Box 7590 | Switch (IP-Client) | Modem für Internetzugang |
Zyxel GS1200-8 | Switch ohne VLANs | Switch mit VLANs |
Unifi U6 Mesh | WLAN Access Point Prod WLAN Guest WLAN - isolated Clients jedoch ohne VLAN Trennung | WLAN Access Point Prod WLAN Guest WLAN - isolated Clients jedoch mit VLAN Trennung |
Asus EA-AC87 | WLAN-Access Point und Switch | WLAN-Access Point und Switch |
Diverse Hardware | etliche Notebooks, iPads, iPhones, AndroidPhones, Fritz!Fon, Drucker, Smart-TV, Sky Receiver, etc. | Transfer in sinnvolle VLANs |
Die Komponenten sind momentan wie folgt verkabelt:
TAE VDSL (1und1) => Fritz!Box 7590 => Hyper-V Host an WAN
Der Hyper-V Host hat ingesamt 5 Netzwerkkarten, welche alle als Hyper-V Switche ohne VLAN konfiguriert sind und über die virtuelle OpnSense Weitergeleitet werden, diese macht auch DHCP per KEA für das LAN, alle anderen Netze haben feste IPs, bzw. einen eigenen DHCP über den DC01 im LAB.
Die folgenden Netze sind als Hyper-V Switche konfiguriert und liegen als virtuelle NICs in der fw01 an:
WAN 192.168.120.0/24 (no shared use)
MGMT 192.168.100.0/24 (shared use) (Zugang zum Hyper-V, CARP/PFSync/KEA-Replication)
LAN 192.168.101.0/24 (no shared use)
LAB 192.168.200.0/24 (no shared use)
DMZ 192.168.222.0/24 (no shared use)
Die OpnSense ist dann am GS1900-24E angeschlossen, welcher die Verteilung in die einzelnen Räume übernimmt.
Dort sind die Ports wie folgt belegt:
Port | Zweck |
---|---|
1 | OpnSense MGMT |
2 | OpnSense LAN |
3 | OpnSense LAB |
4 | OpnSense DMZ |
5 | not used |
6 | Dose Buero01 => Fritz!Box 7590 |
7 | not used |
8 | Dose Wohnzimmer 01 => EA-AC87 |
9 - 22 | not used |
23 | Dose Buero02 => GS1200-8 |
24 | not used |
An der Fritz!Box im Buero hängen aktuell unterschiedliche Geräte, wie Notobooks, Desktops, einigen davon würden auf den GS1200-8 wandern, da die Fritte ja kein VLAN unterstützt.
Später soll es so sein, dass sowohl der GS1900 als auch der GS1200 mit VLANs, welche über die UCG verteilt werden versorgt werden.
Die VLANs sollen wie folgt konfiguriert werden:
VLAN-ID | Bezeichnung | Subnetz | WLAN |
---|---|---|---|
1 | Client/Private-LAN | 192.168.1.0/24 | Ja |
101 | Prod-LAN | 192.168.101.0/24 | Ja |
200 | Labor Umgebung | 192.168.200.0/24 | Ja |
222 | DMZ | 192.168.222.0/24 | Nein |
244 | Demo Umgebung | 192.168.244.0/24 | Ja |
266 | Gäste-Umgebung | 192.168.266.0/24 | Ausschließlich |
Das Client-LAN muss ich denke nicht weiter erklären, dieses soll für die diversen privaten Geräte genutzt werden und quasi ohne VLAN genutzt werden.
Im Prod-LAN sollen meine Arbeitsgeräte hängen, sprich Firmenrechner, Firmentelefon => diese könnten zur Not auch ins Client-LAN, falls meine Idee aus quantitativen Gründen nicht aufgehen sollte.
In der Labor Umgebung sollen zum einen Geräte von Kunden hängen mit denen ich Tests oder Szenarios nachstellen muss oder auch Vorab-Konfigurationen durchführe => diese könnten zur Not auch ins Demo-LAN, falls meine Idee aus quantitativen Gründen nicht aufgehen sollte.
In der DMZ sollen Dienste sowohl auf dem Hyper-Host als dem Unraid Server beheimatet sein, welche ich nach außen stellen möchte oder muss, wie Dyn-DNS Client, Entra ID Connect, Traeffik, Authentik, der Technitium DNS Server über den ich RFC2136 Anfragen beantworten möchte um Lets Encrypt Zertifikate für interne Hosts/Dienste zu erzeugen.
In der Demo Umgebung sollen ein paar Clients und, Server, zur Verfügung gestellt werden, welche ich für Kunden-Demos im Client Management Umfeld (also Quest KACE SMA, Microsoft Intune, etc.) benötige.
Die Gäste-Umgebung soll ausschließlich ein Gäste-WLAN bereitstellen, => diese könnten zur Not auch als isolated Clients ins Client-LAN, falls meine Idee aus quantitativen Gründen nicht aufgehen sollte.
Nun zu meinen Herausforderungen:
Zum einen fürchte ich, dass meine oben genannte Idee nicht aufgeht, weil der UCG-Ultra ja nur vier LAN-Ports hat, sowie ich es verstanden ich mit meinen Switchen (beide "nur" Layer 2) pro Kabel nur ein VLAN taggen kann. Sprich ich kann eigentlich nur insgesamt vier VLANs verwenden/verteilen (Dies wären dann 1, 222, 244 und noch eines, wobei ich vermutlich 266 nehmen würde). Korrekt?
Kann ich überhaupt mit den beiden Fritzboxen doppeltes NAT verhindern?
Meine Idee ist wie erwähnt die 7590 als Modem zu nutzen und dort dann die UCG-Ultra dran zuhängen, welche die VLANs auf dem GS1900 verteilt, welche dann vom GS1200 aufgenommen werden.
Die Port Konfig auf dem GS1900 würde dann wie folgt aussehen:
Port | Zweck |
---|---|
1 | VLAN 1 (Input von UCG über Port 1) |
2 | VLAN 101, 200. 244 (Input von UCG über Port 2) |
3 | VLAN 222 (Input von UCG über Port 3) |
4 | VLAN 266 (Input von UCG über Port 4) |
5 | not used |
6 | Dose Buero01 => Fritz!Box 7590 AX VLAN 1 |
7 | not used |
8 | Dose Wohnzimmer 01 => EA-AC87 VLAN 1 |
9 - 22 | vier Ports mit Verbindung zum Hyper-V Host für die VLANs 1, 200, 222, 244 |
23 | Dose Buero02 => GS1200-8 dort VLAN (alle) |
24 | not used |
An der Fritz!Box 7590 AX würde ich dann die SIP Einwahl zu 1und1 konfigurieren und das DECT bereitstellen, sowie Geräte, welche im privaten LAN sind anschließen.
Den GS1200 würde ich wie folgt konfigurieren:
Port | VLANs | Zweck |
---|---|---|
1 | 1, 101, 266 | Ausgang für Mesh 6U AP, WLAN für private, berufliche und Gäste Geräte |
2 | 1, 200, 244 | Ausgang zu Unraid NIC1 |
3 | 222 | Ausgang zu Unraid NIC2 |
4 | 101 | Arbeitsnotebook |
5 | Dynamisch 101, 200, 244 | Demo-Testgeräte |
6 | Dynamisch 101, 200, 244 | Demo-Testgeräte |
7 | Dynamisch 101, 200, 244 | Demo-Testgeräte |
8 | eingehend von GS1900 Alle | Trunk Port |
So soll es am Ende aussehen:
Kann man das so überhaupt bauen? Oder habe ich irgendwo einen Denkfehler. Ich bin zwar durch meine Arbeit an sich IT-Affin, aber beim Thema Routing/Switching bin ich leider schon immer "überfordert" gewesen.
VLANs kenn ich auch nur aus Sicht eines Nutzers, aber noch nie als Admin.
Vielen Dank fürs lesen, ist dann doch sehr lang geworden, aber ich denke je ausführlicher desto sinnvoller wird euer Input. Schon mal vielen Dank im Voraus.