VLAN switch före eller efter router/gateway?

Det här snackade vi om i den här tråden: https://www.sweclockers.com/forum/trad/1666629-hur-skyddar-ma..., och från den tråden finns en länk till den här tråden: https://www.sweclockers.com/forum/trad/1664157-boosta-ditt-he....

Du borde vara särskilt intresserad av det här inlägget: #19647845

Först och främst. VLAN är bara ett annorlunda sätt att segmentera sitt nätverk. Du kommer behöva konfigurera grejer oavsett om du kör VLAN eller ej och du kan lika gärna: (1) sätta upp flera DHCP-servrar på "ett VLAN" och tilldela dem subnät och sen sköta allting med brandväggsregler, som (2) att sätta upp flera VLAN och en DHCP-server per VLAN, och ha dina brandväggsregler på VLAN-nivå istället.

Om du kan få två IP-adresser från din ISP kopplar du: Modem -> Switch -> [Router1 & Router 2].

Om du bara kan få en IP-adress från din ISP kopplar du: Modem -> Router -> VLAN-kompatibel-switch -> [övrigt, se post länkad ovan]

Nej. Du kommer ha lika mycket problem som innan Allt styrs med brandväggsregler, inte med VLANens vara eller icke-vara. Det kan dock vara värt att läsa på om mDNS och säkerställa att din router har stöd för att broadcasta mDNS över VLAN.

---
Samtliga frågor nedan beror på vilken mjukvara du kör i din router/brandvägg.

Du väljer med allra största sannolikhet själv.

Om din mjukvara tillåter det.

Det är lite mekk och det kommer gå åt några timmar (dagar) att läsa in sig på hur VLAN fungerar samt hur du ska konfigurera. Därtill kanske du behöver köpa ny router och annan hårdvara. Var föreberedd på det.

Det går absolut att använda en VLAN-kapabel switch som "första enhet" om du leder in "Internet" på ett eget VLAN (som du sedan hanterar i din router/brandvägg någon annstans) Du behöver sen såklart en router/brandvägg som du kan skapa VLAN-sub-interface på. IP-adresser för näten väljer du sedan själv efter eget tycke.

Men jag skulle vilja avråda från just GS105E (har haft en sådan själv) då den endast kan hanteras via et Adobe Air/Flash verktyg som är väldigt labilt.

En switch (varken smart eller dum) delar inte upp ett IP-nät i flera delar som du skriver, detta görs på en router eller en Lager-3 kapabel switch som då agerar router.

VLAN kan användas för att på ena sidan av en router hålla två olika IP-nät som hanteras av routern åtskilda i samma fysiska switch/kablar och på så sätt skapa två virtuella nätverk som du kan hindra från att prata med varandra.

Om du bara får en IP-adress av din ISP så måste du göra den uppdelningen bakom din router. Det går fortfarande att ha en VLAN-kapabel switch först så som maDa skrev, men den enda anledningen skulle vara att du rent fysiskt inte vill placera routern först pga problematisk kabeldragning eller liknande. Det kräver en del konfiguration och kunskap för att få det att fungera.

Om du får två IP-adresser av din ISP så kan du göra den uppdelningen direkt på inkommande anslutning. Detta kan göras på ett par olika sätt beroende på hur kapabel router du har och hur god kunskap du har att konfigurera denna.

Om syftet inte är att hålla näten åtskilda så är det dock oklart exakt vad du är ute efter och om det skulle finnas någon smidigare lösning.

En switch hanterar inte IP-adresser/IP-nät utan jobbar med MAC-adresser.

Det maDa menar är att det rent fysiskt går att ha en VLAN switch först men att du ändå måste ha en router som hanterar uppdelningen av IP-näten. Detta kan inte switchen själv göra. Du kan sedan styra tillbaka trafiken till VLAN-switchen och därifrån koppla till ditt andra hus. Som jag skrev så är det ingen större vits med detta om det inte finns väldigt specifika behov där du absolut vill ha routern placerad på ett ställe men splitta ut nätet mellan husen från en annan plats som sitter i närheten av där fiberkonvertern finns.

Korrekt, en VLAN-kapabel switch delar inte upp en IP i flera sub-IP.

I exemplet som du anger att du vill ha lösningen så skulle det fungera fint att din "magic box" är en router som kan ha flera IP-nät konfigurerade på separata portar. Koppla en port till Hus 1 och en annan port med ett annat IP-nät till Hus 2. Jag har tyvärr ingen bra koll på vilka konsumentprodukter som har den funktionaliteten så där hoppas jag någon annan kan hjälpa till. Jag vet att t ex Ubiquity kan göra det men har ingen koll på vilka vanliga hemma-routrar som kan det.

Du kommer dock att ha all DHCP på en router som står i hus 1 i detta fall men om jag inte missat något borde detta inte vara något problem?

Du kan sen köra vanliga dumswitchar i Hus 2 och om du vill ha trådlöst nät där så sätter du upp en accesspunkt.

OM du har mer än en IP-adress från din ISP kan du sätta en vanlig switch som "magic box" och koppla in två routrar precis som din skiss ser ut. Det behöver inte vara någon VLAN-kapabel switch utan en vanlig dumswitch duger fint.

VLAN i sig själv är till för att skapa logiskt(virtuellt) separata nät som delar samma fysiska nätverk. Så att du kan ha flera logiska nät i samma switch istället för att behöva en egen switch för varje nätverk.
Det finns många olika anledningar till varför man vill göra så, den vanligaste är på grund av säkerhet.
Det finns många andra anledningar till varför man vill ha/behöver en managed/smart switch, inte bara för att ha VLAN.
Så det är lite missvisande att bara kalla dom för VLAN switch.

Men om du inte vill bekymra dig med att hantera en smart/managed switch, så kan ha en dum switch för varje byggnad se till att inte koppla ihop dom och hålla husen separerade på det viset.

Då kan du köpa en router stöder fler inside interface. Ett möjligt exempel är EdgeRouter X.
Tror det är en rätt bra router, men typ övergiven av Ubiquiti.
Där du har ett inside interface för ena byggnaden och ett interface för den andra byggnaden.
Konfigurera olika subnät för dom olika interfacen. Eller en router som har stöd för dmz.
Sätta någon access lista eller kanske dmz nät för gästhuset om du vill förhindra att dom kommer åt nätet i ditt hus. Kolla om din nuvarande router inte har stöd för DMZ, för då kan du slippa köpa en ny router.
Det nämndes dock i tråden att du måste fundera på om det finns något behov för kommunikation mellan enheter i hus a och hus b.

Skillnaden med att använda VLAN i ditt fall vore att du kan låta vlanet för hus B passera igenom switchen för hus A utan att användare på dom olika husen kan se varandras trafik. ie internet -> switch A -> switch B.
Det skulle kunna vara till nytta om det är lättare att dra en nätverkskabel från switch a till switch b en från routern. Alternativt om du skulle vilja ha en enhet fysiskt i hus a men som sitter på hus b's nätverk.

När jag bytte från Bahnhof till @obenetwork så vill jag minnas att det ingick 4 publika IP-adresser, hur vidare de går att bruka samtidigt vet jag ej - har inte testat.
Har fiber via IP-Only

Jag tror utifrån vad du har för behov att du kan glömma begreppet VLAN helt och hållet. VLAN löser ett problem som du inte har, och det du är ute efter att uppnå löser du inte med VLAN.

Det du behöver är en router som kan ha två olika IP-nät på olika interface. Ubiquity's routrar kan göra detta men det finns säkert andra alternativ med.

Angående DHCP. Eftersom du med största sannolikhet bara har en IP-adress från din ISP så kan du bara ha en router kopplad på inkommande fiber. Denna router kommer då att få den IP-adressen som din ISP tilldelar dig. Inside interfacen på denna router kommer att ha privata IP-adresser ifrån två olika IP-nät som du måste konfigurera. Ett nät för en port till Hus 1 och ett nät för en port till Hus 2. Eftersom routern hanterar dessa privata IP-nät är det även den som du bör konfigurera för att hantera DHCP för dessa nät. Detta innebär som jag skrev att du kommer att ha en router i Hus 1 som hanterar DHCP för båda husens nätverk.

Du kan inte splitta ut en publik IP från din ISP till två routrar med hjälp av VLAN som du föreslog ovan. Det är inte så VLAN fungerar och det skulle inte fungera om du försöker.

VLAN används som nämnts för att separera flera logiska nät i samma fysiska resurs på nivån under den som hanterar IP-adresser, i ditt fall på INSIDAN av den router som du måste koppla mot din ISP. Om du inte måste samköra Hus 1 och Hus 2 på INSIDAN av routern av någon anledning så har du inget behov av VLAN.

Om vi förenklar det något: om båda näten inte behöver existera i samma switch så låter det mycket riktigt som att du inte behöver VLAN.
VLAN är ett sätt att kunna hålla trafik från olika nät separerade inom en (1) switch.

EdgeRouter X är jag lite osäker hur den fungerar, om portarna i ERX är en switch kanske du behöver aktivera VLAN specifikt i ERX (men då vad det verkar inte i andra enheter) för att få separata portar för olika nät.

Jag tror problemet är att du har helt snöat in din på VLAN utan att riktigt förstå vad det är eller vad det är till för.
Jag försöker mig på en liknelse.

Din tomt har en postadress (gatunamn + nummer, postummer, ort). Detta är att jämställa med din publika IP-address.
På din tomt har du två hus. Hus 1 och Hus 2.

Om någon skickar post till dig så kommer brevet till din postadress. Om du sedan vill att det skall komma till ett specifikt hus på din tomt så måste du hantera det själv. Detta görs på insidan (LAN) av din postadress (router/IP).

Den som tar emot posten hos dig (din router) har till uppgift att se till att posten kommer till rätt Hus. Detta kan göras genom att du skickar post till Hus 1 genom en dörr (port på routern) och Hus 2 genom en annan dörr (port). I detta fall har du en router med två olika IP-nät på varsin port. Routern håller reda på vilka som bor i de olika husen (vilka privata IP-adresser som finns i respektive hus och skickar vidare till rätt mottagare.)

Om du endast har en dörr (port på din router), eller ifall posten måste vidarebefordras till en mellanliggande stuga först där både Hus 1 och Hus 2 delar utrymme, men du ändå vill hålla posten separerad så att Hus 1 inte ser Hus 2 post och tvärtom så kan du till exempel sätta upp ett skåp med två separata låsta fack som posten hamnar i. Routern märker inkommande post med "Fack 1" eller "Fack 2" och ser till att posten hamnar i rätt fack i skåpet i stugan. Stugan skickar sedan vidare posten till Hus 1 och Hus 2, men de kan endast skicka det i Fack 1 till Hus 1 och Fack 2 till Hus 2. Detta är att likna vid att segmentera ditt LAN med hjälp av VLAN (Virtual LAN).

Oavsett hur du gör så kan du inte be någon skicka post direkt till "Fack 1" eller "Hus 1". "Fack 1" och "Hus 1" är inte godkända postaddresser utan används endast lokalt på din tomt (LAN).

Om Hus 2 hade varit på en avstyckad tomt och haft en egen postadress (om du haft två publika IP addresser) så hade du kunnat ha en router i respektive hus som hanterat den interna posten i sitt hus.

Vet inte om du blev klokare av den där ordsalladen men jag gav det ett försök iaf.

Edgerouter-X borde klara det du vill, men det är en gammal router som inte längre får uppdateringar.

Det stämmer väl ändå inte? Ifall han sätter routern först så delar han väl på samma externa ip-address som grannen? Om båda grannar använder samma tjänst som vill gå över port xx så är det ju bara en av grannarna som kan använda denna. Portöppningar kan ju bli ett problem.

Möjligen även smärre problem vid spelande när det kommer till portar osv? +Om det är finns ungar i bägge hushåll som bägge spelar DataSpel X och grannungen blir bannad - då kommer det även drabba din unge ifall banningen sker på ip-nivå.

OM du får flera IP adresser av din ISP. Som t ex jag får av bahnhof. Tror dem ger ut 5 IP adresser.

Jag har kabel från fiberdosan till en "dum" switch for typ 300kr eller va dem kostar.
Sen vidare från switchen har jag 2 routrar. Så varje router får varsin IP av bahnhof.
Behöver inte konfigurera nåt med VLAN o sånt.

Jag har det för att vi har hemtelefon via internet. O då måste man ha bahnhofs egen router med SIP funktion (IP telefoni).
Men jag vill ha min egna router för mitt nätverk.
Funkar hur bra som helst.

Jag fick en publik och 4 NAT:ade adresser när jag var kund hos Banhof. Har du flera portar i din fiberkonverter? I såna fall borde du väl bara kunna koppla din router i porten med den publika IP:n och sedan koppla in en ny enkel router åt granngården i en av de andra portarna?

Det är inte säkert att det finns internet i de andra portarna. Vissa har så att det kommer TV från en port o Telefon från en annan.