zwei Nachbarn: bündeln der WAN Verbindung, eigene Netzwerke?
-
Hallo zusammen,
Aktuell ist das Ganze noch ein reines Gedankenspiel, mich würde interessieren, ob es sich auch umsetzen ließe. Ich kann das Szenario nur sehr laienhaft beschreiben... hoffentlich kommt trotzdem rüber, was gemeint ist.
Ausgangslage
- zwei direkte Nachbarhäuser mit separaten Internetanschlüssen
- jeder Haushalt hat ein (oder mehrere) separate(s) Netzwerk(e)
- eines der beiden Häuser benötigt dringend eine neue Elektroinstallation, sodass man zeitgleich auch ein (mehrere?) Ethernetkabel verlegen könnte
- Haushalt A: pfSense, Ubiquiti UniFi
- Haushalt B: Fritzbox, openWRT
Wunschkonfiguration
- Bündeln der WAN Verbindung
1.1 (!!) Bandwithteilung sollte konfigurierbar und dynamisch sein [^1] - Hausnetzwerke getrennt
2.1 jeder Haushalt hat eigene Netzwerke (WLAN und Ethernet)
2.2 Idee: pfSense VLAN für die jeweiligen Netze, und entsprechende Firewall Rules
2.2.1 Frage: könnten in diesem Fall noch "Sub-VLANs" eingerichtet werden [^2]? - "geteiltes" (?) Netzwerk
3.1 besteht die Möglichkeit, dass bestimmte Gerät von Haushalt A und Haushalt B dennoch miteinander kommunizieren? [^3] (mit meinem Laienverständnis beantworte ich diese Frage selbst mit "ja", sofern alles via VLAN gehandled wird...?)
Die u.s. Bandbreiten sind rein fiktiv, da mir die tatsächlichen Zahlen nicht bekannt sind. Daher sollte ich wohl anmerken, dass beide Haushalte einen Glasfaseranschluss hätten. In diesem Fall wäre es wohl zusätzlich nötig, zwei Glasfaserleitungen zwischen den Häusern zu verlegen? Eine, die den direkten Anschluss von Haushalt A and Haushalt B übergibt, und eine, die die Verbindung von Haushalt Bs pfSense zu Haushalt As openWRT herstellt..? Oder was wäre hier die beste Lösung?
Vielen Dank für Euren Input :)
[^1]:
nehmen wir an, beide Leitungen haben einen Download Speed von 200 Mbit/s; könnte man einstellen, dass jeder Haushalt theoretisch also 400 Mbit/s benutzen kann, es sei denn, der andere Haushalt benötigt seinen "Eigenanteil"? Also Haushalt A nutzt gerade kaum Bandwith, daher darf Haushalt B mit 400 Mbit/s arbeiten. Nun beansprucht Haushalt A aber selbst 160/180/200 Mbit/s, also wird Haushalt B auf maximal 200 Mbit/s gedrosselt.Dies darf gerne auch variabel sein; also es muss nicht jeder zwangsläufig "seinen Anteil" benutzen dürfen: falls Haushalt A zeitweilig mehr Bedarf hat, könnte man auch (beispielhaft) sagen Haushalt A bekommt maximal 300 Mbit/s (also 200 Mbit/s der eigenen Leitung und 100 Mbit/s von Haushalt B) und Haushalt B kann - im Falle, dass die Leitung voll ausgelastet ist - derweil nur mit maximal 100 Mbit/s arbeiten.
[^2]:
Haushalt B übernimmt die Netzwerkverwaltung per VLAN auf pfSense. Es geht ein Ethernet Kabel (besser mehrere?) zu Haushalt A (VLAN 50); dort verwaltet Haushalt A sein eigenes Netzwerk (openWRT). Kann Haushalt A über openWRT eigene VLAN vergeben, bsp. 501, 502, etc., oder müssen alle als VLAN 50 getaggt sein?[^3]:
Beispiele:
- Haushalt A soll auf eine Freigabe im Netzwerk von Haushalt B zugreifen könnenn
- Haushalt B kann sich mit Rechner X im Netzwerk von Haushalt A verbinden
-
@benjsing dein vorhaben ist nicht so simple umzusetzen.
meine empfehlung, jeder nutzt nur seine bandbreite und den zugriff auf die resourcen des anderen (fileserver der was auch immer) nutzt ihr ein ordentliches VPN. alles ganz simpel. dieses vorgehen würde sogar noch funktionieren wenn einer der parteien wegzieht. denn für ein kabel verlegen müsstet ihr warscheinlich erstmal irgendwelche genehmigungen einholen (denke ich) -
@benjsing
Hi,
ich kann keinen wirklichen Sinn in Deinem Vorhaben erkennen, außer das Du vielleicht unnötig Geld verbrätst und nur Ärger am Hals hast.
Wenn wir hier schon beidseitig über den Ist-Zustand, Glasfaser und 200 MBit WAN reden, frage ich mich ensthaft, wo solch ein Aufwand hinführen soll und was als Resultat herauskommt.
Wie das vor mir schon @micneu geschrieben hat, wird eher "ein Schuh draus".
Du hast mit der Hardware doch beste Bedingungen, wenn die alle 200 MBit's können.
Mit Wireguard oder IPSec einen Tunnel und der Rest bringt das Routing.
Beide Tunnelarten kann Deine Hardware, auch wenn das bei der Fritte mit "Abstrichen" zu betrachten ist.
Da braucht Du doch nicht mit irgendeinem Gefrickel anfangen, wo Du Dir eigentlich am Ende nur Ärger einfängst.
Glaube mir, ich weiß von was ich rede.
Gruß orcape -
@benjsing said in zwei Nachbarn: bündeln der WAN Verbindung, eigene Netzwerke?:
Haushalt B: Fritzbox, openWRT
Meh
@benjsing said in zwei Nachbarn: bündeln der WAN Verbindung, eigene Netzwerke?:
Bündeln der WAN Verbindung
@benjsing said in zwei Nachbarn: bündeln der WAN Verbindung, eigene Netzwerke?:
nehmen wir an, beide Leitungen haben einen Download Speed von 200 Mbit/s; könnte man einstellen, dass jeder Haushalt theoretisch also 400 Mbit/s benutzen kann, es sei denn, der andere Haushalt benötigt seinen "Eigenanteil"? Also Haushalt A nutzt gerade kaum Bandwith, daher darf Haushalt B mit 400 Mbit/s arbeiten. Nun beansprucht Haushalt A aber selbst 160/180/200 Mbit/s, also wird Haushalt B auf maximal 200 Mbit/s gedrosselt.
Das Vorhaben geht hier schon den Bach runter, weil eine Bündelung technisch nicht möglich ist. 200+200 werden nicht einfach magisch zu 400Mbps. So funktioniert IP nicht. Das Einzige was sowas leisten kann ist TCP Multipath wenn vom ISP unterstützt und zwei gleiche Leitungen vorhanden sind etc. etc. - also Vollmond an der großen Eiche mit drei Mal links und einmal rechts rum bis man nach Narnia kommt
Aber Spaß beiseite - Bündelung gibt's nicht einfach wie bei ISDN Kanalbündelung. So läuft das nicht. Und selbst wenn man mit diversen Techniken die Leitungen zusammenknotet, würde das nur funktionieren, wenn man entweder teure Hardware auf beiden Seiten nutzt oder wenn man es auf die einfache Tour macht würdest du nur was davon merken, wenn man einen Client nutzt, der beim DL bspw. dediziert multiple Teildatenströme zu einem zusammenfassen kann und daher mehrere Downloads gleichzeitig laufen lässt. Und selbst dann wäre es in den Größenordnungen nur begrenzt ein Speedup, da die Leitungen gegeneinander aufeinander warten müssen.
Den 2) Block verstehe ich leider nicht wirklich. Liest sich aber ein wenig wie Core Routing hinter der Firewall. Kommt dann drauf an, was die mehreren Netze dann noch bringen sollen wenn sie nirgends mit Regeln aufgelegt werden. Daher ein "?"
- wenn die Netze verbunden sind (irgendwie) und beide Netzsegmente (Haus1 / 2) sauber voneinander getrennte IP Ranges nutzen, ja. Kommt dann natürlich auf die Rulesets an aber ist auch nicht anders als ein großes Gebäude mit mehreren Teilnetzen.
Somit
#1: Fällt eher in "Vergiss es". Macht auch wenig Sinn. Das Einzige, was bislang IMHO Sinn macht bei Nachbarhäusern, was ich auch schon eingerichtet habe, ist bspw. ein Failover. 2 getrennte Netze, jedes Haus eigenständig was das Netz angeht mit einer Crossline zwischen den beiden Firewalls. Über die Line kann dann (wenn auf jeder Seite ne gescheite Firewall/Router Instanz hängt) bspw. beim Ausfall von a) auf b) gewechselt werden und umgekehrt. Das kann ganz nützlich sein. Oder man kann auch mal testweise nen Clients über b) schicken wenn man was testen möchte. Aber Kanalbündelung - nope. Sobald wir da in zu hohe Geschwindigkeiten kommen, kommst man ohne Multipath Vectoring nicht mehr aus und das wird a) komplex und b) wirds aktuell noch nicht vollständig von der Sense untersützt, da es bis FBSD 13 nicht sauber im Kernel zum Laufen zu bekommen war (OSPF etc. notwendig).
#2: Unklar was gemeint ist, aber für das was ich verstehe: Jein. Kommt auf Wunsch und Technik an.
#3: Klingt möglich, ja.