Isoliertes Netzwerk in der Swisscom Internet Box
Vorwort
In diesem Beitrag erkläre ich wie man mit der aktuellen Firmware der Internet Boxen, ein Gastnetzwerk, auch bekannt als isoliertes Netzwerk im LAN oder eigener WLAN Hardware einsetzen kann.
Ich habe nichts davon zu Hause, ist ja wohl klar, trotzdem seid versichert, dass diese Funktion die hier beschrieben wird genau so funktioniert.
Warum ist dies möglich? Swisscom hat mit ihren Internet Boxen die Fähigkeit ein zweites Wifi aufzubauen, welches isoliert vom LAN / Standard - WLAN funktioniert. Mit dem Vertrieb der WLAN Boxen, ein Oma taugliches Swisscom Router gebundenes Wifi, Mesh System, kam von der Kundschaft immer wieder der Wunsch auf, das Gäste WLAN auch über dieses weiter zu verbreiten.
Immerhin hat es Swisscom nun nach gut einem Jahr hingebracht, das dies mit der aktuellen Firmware für die Boxen auch funktioniert!
Der Trick welcher dabei genutzt wir ist VLAN. Zum Glück blockieren die aktuellen Switches von Swisscom nicht zugelassene Tags, womit sie die "Hosen runterlassen" mussten. Daher ist bekannt, dass das Gästenetzwerk über VLAN 1977 (ist das ein Jahrgang?) abgewickelt wird. Für die Switches steht daher hier eine aktuelle Firmware zur Verfügung.
Isoliertes Netzwerk nutzen
Die Nutzung des isolierten Netzes ist mit dieser Erkenntnis eigentlich relativ simpel.
Ich gebe hier keine konkreten Anleitungen, da sich diese von Hardware zu Hardware unterscheiden. Falls trotzdem jemand ansteht, kann er sich via Kommentar hier melden. Auch Erfolgsmeldungen oder Konzepte lese ich sicher gerne.
Die Internet Box verwendet wie jede Hardware als Standard VLAN die 1. Damit das Gastnetzwerk isoliert ist, verwenden sie ein zweites VLAN. Dieses ist auf den Ethernet Ports der Internet Box mit der VLAN ID 1977 tagged. Das ist nötig, damit WLAN Boxen welche mittels LAN angebunden sind, also im AP Modus arbeiten, das Gastnetzwerk transporieren können.
VLAN ist aber ein Standard welchen man für andere Hardware oder Ideen gebrauchen kann.
Zum Beispiel könnte man doch IoT Geräte auch in dieses Netz einbinden? Ja kann man.
Um das Netzwerk zu verbreiten tagged man nun Link von einem Switch oder Access Point zur Internet Box nun mit VLAN ID 1 und VLAN ID 1977. Auf einem Switch kann man nun die anderen Ports je nach Gusto auf das LAN und Guest Netz aufteilen. Dazu untagged man die entsprechenden Ports entweder mit VLAN ID 1 (LAN) oder VLAN ID 1977 (Guest).
Schematisch habe ich das hier mal aufgezeichnet.
VLAN Schema Internet Box
Netzwerkadressierung
Das isolierte Netzwerk hat damit eine IPv4 aus dem Netz 10.128.0/16
Zudem wird ein /64 IPv6 Netz zur Verfügung gestellt. Dieses ist um 1 höher als das /64 Netz welches die Internet Box im LAN verwendet. Also 2A02:120B:XXXX:XXX1:: statt 2A02:120B:XXXX:XXX0::
Die Netze lassen sich auf der Internet Box bekanntlich nicht anpassen, wie auch das Ruleset, deny All zwischen LAN und Guest Netz.
Eventuell hat ja jemand für diese Geschichte eine Anwendung? Wie auch immer, wie man sieht, Netzwerken ist keine Magie und man kann auch andere Hardware verwenden als eine Swisscom gebundene WLAN Box. Was übrigens auch für den Router selber gilt ;)
