Wenn Du noch über ein anderen Switch gehst, ist dann aber schon Schluß. Also eine Fritzbox hat IGMP heute standardmäßig drin. Mein nächster Managaged Switch muß das haben, sonst ist man immer am Raten, wenn es mal nicht klappt.

Die Mobotix Kameras können auch IGMP, ob es V3 ist und sie richtig "schnüffeln" können weiß ich nicht. Würde bei größen Systemen aber auch Sinn machen.

Die Idee ist doch gut, wenn Du die Frage anders stellst, würdest Du ja auch das selbe sagen: Welches Gerät kann am besten und effektivsten IP-Traffic verteilen ? Ein Switch.

Sowas kann man nicht neu erfinden, weil es schon lange auf dem Markt ist

Viele Grüsse

Tbi

Hallo Gaston,


gut gemacht. Damit wird vielleicht auch klar, welcher Aufwand (Wissen, Geld, technischer Aufwand) tatsächlich dahintersteht, ein aussenliegendes IP Netz sicher zu machen.

Nur mal ein VLan Switch und gut iss reicht halt nicht.

Und wenn es dann weiter gehen soll: Mir ist persönlich kein Privathaushalt bekannt, der einen Radius Server betreibt und eine 802.1x Zutrittskontrolle verwendet. Deshalb habe ich mich mal dieses Themas angenommen und werde versuchen, eine "Heimlösung" ohne viel Trara zu bauen. Sobald alle Komponenten laufen (und ich selber weiss, wie es geht), werde ich darüber schreiben.

Nochmals: Gut gemacht!

gruss

Hast Du den Artikel in der aktuellen Ct dazu gesehen? Über das Thema hab ich auch schon ein paar mal nachgedacht, es aber mangels Zeit an die Seite gelegt.

Nein. Ich habe erst gestern Abend angefangen, zu recherchieren und die Notwendigen Komponenten zusammenzuklauben. Es läuft mittlerweile, aber noch recht wackelig. Ich habe noch nicht alle Parameter beisammen, bzw. verstehe noch nicht genau, wie sie zusammenhängen. Am Montag werde ich weitermachen. Die neue c´t werde ich mir kaufen. Danke für den Tip.

gruss

Ja, damit dürfte die Hälfte der deutschsprachigen Haushalte, wo man sich mit IT auskennt, in naher Zukunft gesichert sein. Und die andere Hälfte betrifft's nicht...

Es ist schon erstaunlich welche Durchdringung die c't (nicht nur) in Fachkreisen hat...

@Gaston
Ich wollte das eigentlich nicht komplizierter machen und kenne deine Kompetenz bzgl. Netzwerken, aber


Aus den Ports am Switch sollte nichts mit TAG rauskommen, es sei denn es wäre dort noch ein VOIP Telefon angeschlossen oder es ist ein Trunk Port.

Für ein privates Netz sind dynamische Zuweisungen einfach irrelevant, da das VLAN allerhöchstens dazu verwendet wird um PC's, Multimedia ... von z.B Aussenkammeras und DMZ (HS/Server...) zu trennen, die eh an festen Ports hängen. Evtl noch ein Accespoint, der in den meisten Fällen entweder selber keine VLAN's kann oder diese nicht verwendet.

Die Layer x VLAN Bezeichnungen sagen mir so nichts, sind auch nicht im 802.1q draft benannt.

Nu aber schluß damit

An einem Netzwerkadapter sollen keine Ethernetframes rauskommen, es sei denn es ist ein Ethernetadapter. Logisch, oder ?

Genau so verhält es sich mit dem was Du hier schreibst. Ein Port an dem VLAN informationen in den Frames herauskommt ist ein Trunk Port ! Das mit dem VOIP ist somit überflüssig denn auch dort wäre es ein trunk port.

Viele Leute (und ich spreche da von Profis!) setzten "Trunk Port" gleich mit "ISL" (Inter Switch Link) was nicht stimmt.

Auch findet man hier und da Definitionen die sagen dass ein Trunk-Port immer meherer VLANs vereint. Dies ist aber nicht zwingend, sondern die Regel im Praktischen gebrauch.

Trunking zwischen Switch und einem Server kann interessant sein um virtuelle Netzwerkadapter im Server zu erstellen die auf verschiedenen VLANs liegen und somit virtuelle Server auf meherer VLANs verteilen (Multi-VLAN). Oder bei Protokollen die die MAC Adresse manipulieren (Single-VLAN).

Die "dynamische zuweisung"-Thematik stammte eigentlich nicht von mir sondern von Tbi. Sein Beispiel finde ich sehr wohl relevant, auch Privat.

Nicht verwunderlich dass da nix von steht. Layer1 VLAN hat garnix mit 802.1q zu tun, und Layer 3+ VLANs verwenden nur 802.1q, sind nicht teil davon.

Die besagten Bezeichnungen findest Du in Fachliteratur so wie Handbücher namhafter Hersteller (z.B. Cisco).

Ich hatte vor einiger Zeit 802.1x/Radius bei mir testweise am laufen. Persönlich finde ich den Aufwand zu gross für Privatnetze. Dabei haatte ich allerdins auch ein Männer-802.1x aufgebaut mit EAP-TLS, nicht mit Passwort wie in der ct beschrieben.

Man sollte nicht dem Irrtum aufsitzen dass 802.1x und Radius das WLAN viel sicherer machen würde als WPA/WPA2 denn das ist nicht der Fall, zumindest nicht mit der Passwortvariante.

Hat man allerdings öfter mal Freunde oder Bekannte die vorbeikommen und einen WLAN ZugAng benötigen so kann man mit Hilfe von 802.1x denen ein Passwort zuweisen ohne das ansonsten einzige globale Passwort verraten zu müssen.

Gruss,
Gaston

Da hast du wohl recht, obwohl der meiste Traffic bei der VOIP Variante dann jedoch Das VLAN des Ports als native VLAN des VOIP genutzt wird und es dann ein Trunk auf einem Access-VLAN ist
Ich habe auf allen Trunk Ports 802.1q als Encapsulation da auch virtuelle Netzwerkswitche betrieben werden (den Nexus 1000V hab ich nicht ).

Naja mindestens 2. mit dem native VLAN(meist VLAN1)
Yep
aber da gings doch glaub ich um das ändern per snmp für HDMI-overIP,oder ?

Mir fehlt da auch irgendwie das Fallback für die Fälle in denen der Server nicht läuft. Wobei man natürlich auch den Radius-Server auf dem AP laufen lassen könnte.


Da gibt es ja noch die Alternative der WLAN-APs die mehrere SSIDs können an denen man sich mit unterschiedlichen PWs anmelden kann. Da suche ich aber auch noch nach einem vernünftigen Modell was nicht gleich 500 EUR kostet.

Alternative: mehrere WLAN-APs die jeweils nur ein SSID können und dafür nur einen Bruchteil kosten. Mit KNX und schaltbaren Steckdosen ist's mit den Strom-Kosten auch nicht mehr so schlimm...

Die Cisco Aironets der AG Serie (also nicht N) kosten so ~250-300€ und haben auch einen eigenen Radius onboard. (drauf achten Antennen sind nicht dabei mitbestellen, und nicht die LWAP Variante kaufen die sind "dumm" und können nur mit 2K€ Controller.)

Hi,
ich bin zwar nicht gerade der WLAN-Crack - aber imho können die OpenWRT-Router auch Multi-SSID - und einen Radius-Server gibts doch auch als "normales" Linux-Paket (also auch als OpenWRT).
Wäre das nicht eine alternative? OpenWRT Router kriegst dur für <100 Euro. Ich habe hier seid langem eine "Batterie" von Linksys WRT54GS und WRT54L mit OpenWRT (und OpenVPN als VPN zwischen allen meinen Freunden) problemlos am laufen...

Ja - und wenn man mehrere Controller hat kann man noch eine WCS für 300.000€ dazukaufen um die WLC (Controller) zu verwalten
Mein Kollege wollte das vor kurzem... aber der Chef das das Budget nicht freigegeben

Gruß
Thorsten

100% Ack!
Ich habs bei mir zuhause auch wieder abgeschaltet, weil 99,9% der Zeit will ich schmerzfrei das Wlan einfach mit allen Endgeräten nutzen und nicht nur 0,0001% den Hacker abwehren. Der Preis ist (bei mir - selbst 0,00001% Lücke gehen nicht) das ich aus dem Wlan nicht ins Firmen-Lan durchlangen kann aber damit kann ich gut leben..
Dafür gibts dann obendrauf OpenVPN bzw. IPSec mit Zweifaktor-Authentisierung etc.. Belohnung: ich muss mich mit dem Mist nicht 20x sondern nur 2x am Tag belästigen..

Ehrlich? Für mich perfekte (Anwendertaugliche!) Lösung: fon-AP. La fonera kostet fast nichts, und ich finds "politisch" auch noch gut.
Einfach, günstig, geht.
Bei mir hängt das Ding natürlich in einen sep. Vlan mit Firewall etc. nur wäre das nach bestem wissen und gewissen für "normale" nichtmal notwendig. Anstecken, geht, fertig, so muss das.

@Thorsten: Mein Lieblingszitat
Das kann man nicht mit einem Produkt "kaufen", das kann man mit einem 5k Cisco genauso richtig oder falsch machen wie mit einem OpenWRT! Und Ack: wenn man weiss worum es geht, kann man ein Openwrt sicherer machen als den besten "Wlan-controller". Deswegen stehe ich da auch nach wie vor auf dem Standpunkt, das man für Dinge wo man sich nicht auskennt halt jemanden fragen sollte der weiss, was er tut

Makki

P.S.: ich denke wir sind uns des gegenseitigen Know-how-Niveaus bewusst. Nur ist das - Vlan, Firewall + 802.1X AP eben stand hier und heute IMHO nichts wirklich praktikables für Otto-Normalo.. Auch wenn ich selbst gern - auch überspitzt - darauf hinweise, die Kirche muss im Dorf bleiben..

Das hat sich auch mal ganz anders angehört:

...

Aber jeder hat das Recht dazuzulernen. Auch wenn es jedesmal mit attributen wie : "keine Ahnung" begleitet wird...

gruss