[fli4l] Fragen zur Konfiguration

Kay Martinen usenet at martinen.de
Di Feb 18 22:57:12 CET 2025 

Am 17.02.25 um 23:43 schrieb Nelson Matias:

> am Mon, 17 Feb 2025 22:57:58 +0100 schrieb Kay in spline.fli4l

>>> Ich möchte die erste NIC natürlich als WAN-Schnittstelle zur Fritzbox

>> dhcp client an der Fritzbox. Oder feste IP?
> 
> Aktuell gibt sich der Fli4l seine eigene IP. Aber eigentlich soll er als
> DHCP-client die IP bei der Fritzbox anfragen.
> Das hab ich mir aber noch nicht so genau in der Doku angeschaut.

Ist m.E. aber auch ziemlich egal. Die Feste IP wird erst dann zum 
Änderungsfall wenn man den IP-Bereich der Fritzbox verändern wollte. Und 
das tut man ja eigentlich nie.

Und dynamisch von der Fritzbox zugewiesen könnte außer der IP noch 
andere Sachen (DNS z.b.) beim FLI verändern. Ob das aktuell so ist oder 
es einstellbar ist weiß ich nicht.

Die Fest eingetragene IP hielte ich also für Problemloser.

>>> Die 2. NIC (LAN.net) soll mein PC-Heimnetz bedienen.
>>> Auch das läuft schon.
>>>
>>> Die 3. NIC (SMH.net) soll im gleichen physischen Netz ein 2. logisches
>>> Netz für meine Smart-Home-Geräte und Gäste bedienen.

N.B. "Unbekannte" Geräte und eigene Smart Home Geräte würde ich nicht in 
ein Netz-segment zusammen stecken.

>> Erkläre bitte genauer wie du dir das vorstellst mit einem gleichen
>> Physischen Netz und einem zweiten Logischen - auf einer 3. Netzwerk-Karte!
>>
>> Klingt entweder nach overlay-adressen (zwei IP-Bereiche auf einer
>> Karte/Netz) oder nach etwas das man; mit hilfe eines Tauglichen
>> Switches; mit VLAN lösen könnte.
> 
> Ja VLAN ... aber ich hab keinen tauglichen Switch.

Dann kauf doch einen. Die gibt es in Einfach schon ab ca. 30 €.

>> Aber zwei Physische Karten an ein Physisches Netzwerk zu hängen um
>> darauf getrennte IP-Adressbereiche zu haben... klingt nach keiner guten
>> Idee. Wozu?
> 
> Kannst es so sehen: Trennung zumindest im Kopf.

Du weißt aber das IP-Adressen auf dem Kabel auch nur Bitmuster sind?

> Wenn ich für LAN.net z.B. 192.168.128.0/24 nehme und für 192.168.129.0/24
> nehme, dann hab ich die einen Geräte in einem Netz und die anderen im
> anderen Netz. Physisch ist es das gleiche Netz und ich kann es eben auch
> als 192.168.128.0/23 behandeln.

Physisch hat aber jedes Gerät zugang zu allen Paketen. Und kann alles 
lesen, antworten auch auf evtl. nicht an sich adressierte Pakete senden 
und du kannst die Geräte ausschließlich über deren MAC Adresse 
auseinander halten. Das ist der Haken wenn du auf einem Physischen 
Netzwerk zwei IP-Bereiche zusammen schmeißt.

> Ich möchte auch eine Möglichkeit haben die 'fremden' Geräte mit C3surf
> quasi das Internet erst mal sperren.

Kannst du vergessen. Die gehören in ein Physisch Getrenntes 
Netzwerk-segment gesperrt aus dem sie nicht raus können. Dann kannst du 
sie aussperren, sonst nicht wirklich.

> Bitte daran denken:
> Das ist eine private Umgebung, hier kennt sich nur einer wirklich mit

Ist hier nicht anders und dennoch würde ich es nie so machen wie du es 
offenbar vor hast. Das sind Wild-West Methoden.


>> Du mußt einer Karte eine IP und Maske zuweisen. Dem DHCP gibst du für
>> diesen Bereich eine Subnet-Deklaration. Und in der kannst du dann sachen
>> angeben die er an dies Subnet (und diese Karte) ausgibt. Das ist die
>> Theorie.
> 
> Ich konkretisiere deine Theorie mal:
> LAN.net bekommt einfach keine DHCP-Range und somit werden ip-Adressen aus
> diesem Netz nur den bekannten Hosts erteilt. Ich definiere nur eine Range
> aus SMH.net und weise dieser Range auch die 3. NIC zu. Da können dann
> bekannte Geräte ihre zugewiesene IP bekommen und unbekannte bekommen eine
> aus der Range. Diese Range kann ich in c3surf dann auch generell sperren.

Wie o.g. kannst du bei dem Setup die Geräte nur anhand der MAC 
auseinander halten. D.h. wenn du einem Host-Eintrag eine MAC zuordnest 
dann landet der mit seiner Reservierung in dem Netz.

Aber für beide IP-Bereiche DHCP-Ranges setzen und dann hoffen das die 
sich ohne Feste Zuordnung (ohne MAC-Angabe) automagisch in das richtige 
einsortieren, das hat nur noch mit "Magie" zu tun - aber nichts mehr mit 
der Realität. Eine Range für beide Bereiche setzen und hoffen das es 
sich automatisch sortiert und aufteilt ist aber Magie. Logisch das bei 
dir nur eine Range greift wenn du in dem anderen Bereich alles Fest 
zuordnest.

Wenn du dem LAN absichtlich keine Range zuordnest ändert das auch nur 
wenig. Neue Geräte landen dann erst mal in deinem "Gast"netz selbst wenn 
sie da nicht hin gehörten.

Da hilft es dir auch nicht wenn du eine dritte Karte in das gleiche Netz 
hängst in dem schon die zweite ist. Der DHCP-Server wird per Broadcast 
gesucht/gefunden und nicht basierend auf einer bestimmten Karte (oder 
der MAC die diese auch hätte).

Kurz: Alles Zufallsergebnisse, kein Plan dahinter. Zeit für einen 
richtigen Plan!? Magie gibt es nur in Märchen. ;)

Mit einem VLAN-Tauglichen Switch brauchst du übrigens auch keine 3. 
Karte im FLI. Du mußt dort nur die VLAN's definieren und sie auf die 2. 
Karte setzen. Dann bekommen die Frames ein VLAN-Tag das der Switch 
aussortieren kann - und danach den Port bestimmt auf dem diese Pakete 
rein/raus gehen dürfen.

Oder: Du trennst deine Logischen Netze auch Physisch. Dann kannst du 
wirklich alles separat pro Netz einstellen - was so auch mit VLAN ginge 
dir aber den entsprechenden Teureren Switch erspart. Dafür brauchst du 
evtl. ein paar Kabel mehr, und dumme Switche die das verteilen.


Bye/
   /Kay

-- 
Posted via Leafnode

Mehr Informationen über die Mailingliste Fli4L