Ja, das ist die Übersetzung

Wird mittlerweile von mehreren großen Tech Konzernen angewandt, der Gedanke dabei ist, dass man auch im internen Netzwerk viel zu viele Teilnehmer hat, bei denen man nicht sicherstellen kann, dass sie keine Gefahr darstellen. Deswegen verabschiedet man sich vom Gedanken des sicheren LAN, die Mitarbeiter aus dem Home Office brauchen auch keinen VPN mehr, da es die Unterscheidung internes und öffentliches Netz nicht mehr gibt, sondern müssen anders zeigen, dass sie das Recht haben auf die Daten zuzugreifen.
Wie es im Detail umgesetzt wird müssen aber andere erklären, ich hab das nur vor einigen Jahren mal am Rande mitbekommen.

Zum Beispiel indem man 1.000x am Tag eine doppelte Authentifizierung mit einen Token macht...

Nur wenn die eigene IT Abteilung noch nie etwas von SAML, OAuth & co gehoert hat..

Seufz, ja - um auf das ursprüngliche Thema zurückzukommen: RADIUS ist ein gutes Feature für so einen Switch, wenn man z.B. mit der Familie eine Synology als Photobox nutzt. Ist dann sehr einfach zu verwalten.

Da hier Sophos so über den Klee gelobt wird: Die UTM ist ein totes Pferd. Spätestens seitdem das Karlsruhe Office dicht gemacht wurde - Da ist niemand mehr, der dieses Produkt ernsthaft weiter pflegt. Von der ursprünglichen Astaro ist damit absolut nichts mehr übrig. Daran ändern auch die neuen Switches nichts, die die letzten Tage vorgestellt wurden. Der CPO, der für die komplette Network Security Group (NSG Organisationseinheit) verantwortlich war, hat das sinkende Schiff ebenfalls verlassen. Was übrig bleibt, ist GCHQ.

Der Zukauf von Cyberoam damals bedeutete den Anfang vom Ende: Zwei parallele UTM Produktlineups braucht kein Mensch. Und Sophos konnte sich bis heute nicht entscheiden.

Dann mal eine Frage an die IT Experten.... ist es möglich einen Wlan-Client in ein drahtgebundenes Vlan einzubinden, so das nur dieser Client Zugriff hat?

Es gibt Access Points, die eine WLAN SSID einem Vlan zuweisen können

Ah ok, dann hat sich das vorerst mal erledigt... meine Fritte unterstützt das glaub nicht... ausser über die Gast-Wlan SSID gibts glaub ich einen Möglichkeit.... muss ich mal testen

Man kann auch jeden wlan Client in ein anderes VLAN packen: 802.1X / RADIUS, jedem User wird ein bestimmtes VLAN zugeteilt. Privat selten nötig, vor allem da IoT devices sowieso fast nie WPA 2/3 Enterprise können.

Ich meine die Fritzbox kann das Gäste Netz auch an einem Lan Port bereitstellen.
Den Port kannst du dann in das Gäste Vlan packen

Hintergrund ist das Edomi und meine KNX Geschichte in ein Vlan ausgegliedert werden sollen ich aber am Läppi über Wlan der Fritzbox das ganze atministrieren will.

ITler genau das meinte ich....

Also ich verstehe nicht ganz welches Ziel Du genau verfolgst....

Dein Edomi und die KNX-Geschichte gehören nach meinem Verständnis aus interner Sicht zu den vertrauenswürdigen Geräten. Warum möchtest Du Diese von Deinem Notebook und/oder mobilem Endgerät trennen? Solange Du hier nicht jeden Schund installierst, die Geräte sauber gepatcht sind und ein Virenscanner installiert ist, sollte hiervon für den Anfang mal keine übertriebene Gefahr ausgehen.

Separieren tut man ja in erster Linie mal die Geräte, denen man nicht so vertraut wie eben das Gäste-WLAN oder irgendwelche windigen IP-Cams aus Fernost.

Ursprünglich wolltest Du ja einen Switch kaufen, daher gehe ich davon aus Du hast einige kabelgebundenen Endpunkte.
Wenn Du das Gäste-Netzwerk der Fritzbox nutzen möchtest, kannst Du auf einem managed Switch Deiner Wahl 2 VLANs anlegen. Dann konfigurierst Du 2 Access-Ports, einen in jedem VLAN, und stellst hier jeweils eine Verbindung zur Fritzbox her (einmal intern und einmal Gast).

Und wenn Dir jetzt das WLAN der Fritzbox nicht ausreicht, kannst Du nach Access-Points schauen, welche mehrere SSIDs beherrschen und diese mit verschiedenen VLANs taggen können. Ich hatte hierfür früher Cisco WAP im Einsatz, gibt jedoch sicherlich noch Weitere die das können.

Ich bin nicht so der große Fritzbox-Experte, meine jedoch dass hier jegliche Verbindungen (beidseitig) zwischen dem Gast-Netz und dem "normalen" Netz getrennt sind. Wenn das also die Anforderung ist, dann wirst um einen neuen Router / Firewall nicht drum herum kommen.

Momentan besteht meine Infrastruktur aus einer Fritz 7590 für den Internetzugang und eine Fritz 3390 als Porterweiterung. Da mir die Ports aber nicht mehr ausreichen und ich noch mindestens 4 Ports weiter haben sollte, war eben die Überlegung einen Smart-Managed Switch als Zentrale Verteilung anzuschaffen.
Der Gedanke dahinter war, das die Hausautomation abgetrennt vom eigentlichen Heimnetz ist, unter anderem auch weil mein fast 6 jähriger Sohn herausgefunden hat wie das mit Edomi funktioniert und wie man auf die Adminseite kommt, da die Adminseite auf dem Ipad direkt mit Login aufgerufen wird.....klar selber schuld und kann man mit den Login Daten regeln. Was ich aber nicht bedacht habe wenn ich das dann separiere.... dann besteht auch kein Zugriff mehr der Visu auf Edomi ausser die Geräte sind dann mit im Vlan. Dann kann ich alles in einem Netz belassen so wie es jetzt ist....

Nö, den Zugang in das jeweilige VLAN regelt ja dann die Firewall, das ist aber nicht mit der FB zu machen...

Ah ok,.... dann muss ich mich da mal tiefer in die Materie einlesen