Getrennte Netze mit einem gemeinsamen Zugang…
-
Hallo,
ich hoffe, dass ich hier richtig bin. Ein Freund meines Vaters hat mich um Unterstützung gefragt. Ich bin mir nicht ganz so sicher, deshalb frage ich euch hier. Er baut ein Haus mit 7 Wohnungen. Alle Wohnungen verfügen über eine Lüftungsgerät, das über einen Netzwerkanschluss verfügt. Auf jedes Gerät sollen sowohl die Bewohner der Wohnung, als auch Techniker/Hausmeister zugreifen können. Beide Netze, Bewohner und Hausmeister, sollen voneinander getrennt werden. Zu diesem Zweck wurden pro Wohnung zwei RJ45 Kabel in den Keller geführt. Meine Idee ist folgende
Im Keller wird ein Router aufgestellt, dessen Routing wie folgt eingestellt werden soll:-
Jedes Gerät, jede Wohnung + Hausmeister hat ein anderes Subnetz
-
Die Geräte-Netze werden für das Hausmeter-Netz frei gegeben (gelb)
-
Die Geräte-Netze werden für das jeweilige Wohnungs-Netz frei gegeben (grün)
-
Routing von Hausmeister-Netz in die Wohnungs-Netze wird gesperrt.
-
Routing von Wohnungs-Netzen in das Hausmeister-Netz wird gesperrt.
Meine Fragen:
a) Mache ich keinen logischen Fehler?
b) Ist das so sinnvoll oder gibt es eine bessere Lösung?
c) Ist das sicher genug?
d) Welche Hardware würde sich dafür gut eignen?
Eine Option ist z.Zt. 4 x Ubiquiti ER-X Netzwerk/Router https://www.amazon.de/Ubiquiti-ER-X-Net … rds=router. Damit könnte ich pro gerät zwei Wohnungen + Hausmeister anschließen. Welchen managebaren, bezahlbaren Router mit genügen Ports könnte ich sonst nehmen?
e) was knn ich besser machen?
Danke für eure Unterstützung.
LG, a200.
-
-
Hallo,
das Prinzip ist schon ganz gut angedacht.
Allerdings glaube ich nicht dass das mit dem Router was wird. Wie willst du (min.) 15 VLAN's an 4 Router-Ports anschließen? Da wirst du schon ein Gerät mit min. 16 Ports brauchen. Mein Vorschlag wäre, als Router nur ein einfaches Gerät quasi als "Tor" zum Internet und dahinter einen guten, managebaren Switch der entsprechend viele VLAN's beherrscht - wird allerdings gar nicht mal so billig sein
-
Da kommst du schon auf managed switches 16 oder 24, 3com die billigsten rund 189€ sonst komt schon die höhere Klassen und Dan ist 24x Gig managed schnell bei 200-600€
–-----------------------
Send from mobile device
-
Hallo,
das Prinzip ist schon ganz gut angedacht.
Allerdings glaube ich nicht dass das mit dem Router was wird. Wie willst du (min.) 15 VLAN's an 4 Router-Ports anschließen? Da wirst du schon ein Gerät mit min. 16 Ports brauchen. Mein Vorschlag wäre, als Router nur ein einfaches Gerät quasi als "Tor" zum Internet und dahinter einen guten, managebaren Switch der entsprechend viele VLAN's beherrscht - wird allerdings gar nicht mal so billig sein
`Vielen Dank für deine Antwort.
Mit vlans komme ich aber nicht weiter, oder? Denn dann könnte ich zwar die Wohnungen voneinander trennen, aber der Hausmeister müsste in dem gleichen vlans sein und hätte Zugriff auf die Wohnungs-Netze. Bei den kleinen Routern habe ich auf 5 Ports gehofft. 2 Wohnungen a 2 Leitungen + 1 Leitung Hausmeister.
LG,
a200.
-
Ich verstehe gerade nicht, warum 2 Netzwerkkabel pro Wohnung in den Keller gezogen werden, wenn das Lüftungsgerät nur einen Netzwerkanschluss hat. Außerdem, mit was greifen die Bewohner auf die Lüfter zu?
Die Bewohner haben doch sowieso ihr eigenes LAN (ab Fritzbox sozusagen), oder? Da soll ja der Lüfter nicht integriert werden. Was machen die Bewohner mit dem LüfterLAN? Haben die auch Internet darüber oder wie wird das organisiert (eine zentrale Internetleitung/Router im Keller für alle oder hat jede Wohnung eigenen Internetanschluss)?
Dazu kommt, dass auch die Bewohner untereinander nicht ins LAN zugreifen dürfen.
Wenn das ganze Haus ein gemeinsames Netzwerk bilden soll, mit einem Internetzugang im Keller für alle (zB bei Senorienwohnungen etc), schafft man sich am besten einen Router mit VLAN an.
VLAN sorgt dafür, dass man unterschiedliche Subnetze kennzeichnet. Switche müssen aber VLAN-fähig sein.
Die VLANs kann man dann so konfigurieren. Der Hausmeister wäre sozusagen die Wohnung 0 mit den Unterschied, dass diese Wohnung auf alle Lüfter zugreifen darf, während die richtigen Wohnungen nur ihr eigenes VLAN haben + Zugriff auf ihren einen Lüfter. Untereinander haben die VLANs keinen Zugriff.
Das ist aber alles nichts, was man nebenbei einstellen kann und schon ziemlich Stoff zum einlesen.
In der aktuellen c't steht ein Artikel, wie man die IoT Geräte in ein eigenes VLAN sperrt, dassselbe Prinzip ist das ja mit den Lüftern. Kaufe dir die mal.
https://www.heise.de/ct/ausgabe/2017-14 … 47234.html
Ich selber nutze den Draytek Vigor 2860, ich der kann portbasierte 5 VLANs und eine riesige Anzahl an tagged VLANs (Switche müssen auch VLAN fähig sein).
-
Ich verstehe gerade nicht, warum 2 Netzwerkkabel pro Wohnung in den Keller gezogen werden, wenn das Lüftungsgerät nur einen Netzwerkanschluss hat. Außerdem, mit was greifen die Bewohner auf die Lüfter zu?
Die Bewohner haben doch sowieso ihr eigenes LAN (ab Fritzbox sozusagen), oder? Da soll ja der Lüfter nicht integriert werden. Was machen die Bewohner mit dem LüfterLAN? Haben die auch Internet darüber oder wie wird das organisiert (eine zentrale Internetleitung/Router im Keller für alle oder hat jede Wohnung eigenen Internetanschluss)? ` Der Lüfter soll aus dem Heimnetz der Bewohner erreichbar sein. Jede Wohnung verfügt über eigene Internetverbindung. Das wäre über die FB zu realisieren. Die Bewohner sollen bestimmte Einstellungen des Lüfter einstellen können.
Dazu kommt, dass auch die Bewohner untereinander nicht ins LAN zugreifen dürfen.
Wenn das ganze Haus ein gemeinsames Netzwerk bilden soll, mit einem Internetzugang im Keller für alle (zB bei Senorienwohnungen etc), schafft man sich am besten einen Router mit VLAN an.
VLAN sorgt dafür, dass man unterschiedliche Subnetze kennzeichnet. Switche müssen aber VLAN-fähig sein.
Die VLANs kann man dann so konfigurieren. Der Hausmeister wäre sozusagen die Wohnung 0 mit den Unterschied, dass diese Wohnung auf alle Lüfter zugreifen darf, während die richtigen Wohnungen nur ihr eigenes VLAN haben + Zugriff auf ihren einen Lüfter. Untereinander haben die VLANs keinen Zugriff. `
nein es ist kein Zentraler Internetzugang vorgesehen. Zentral soll nur der Zugriff auf alle sieben Lüfter.
@Solear:Das ist aber alles nichts, was man nebenbei einstellen kann und schon ziemlich Stoff zum einlesen.
In der aktuellen c't steht ein Artikel, wie man die IoT Geräte in ein eigenes VLAN sperrt, dassselbe Prinzip ist das ja mit den Lüftern. Kaufe dir die mal.
https://www.heise.de/ct/ausgabe/2017-14 … 47234.html
Ich selber nutze den Draytek Vigor 2860, ich der kann portbasierte 5 VLANs und eine riesige Anzahl an tagged VLANs (Switche müssen auch VLAN fähig sein). `
Mit vlans kann ich die Netze voneinander trennen. Damit hätte ich zwar eine Gruppe von Lüfter, Hausmeister, Bewohner. Wie kann ich dann aber den Zugriff von Hausmeister nach Bewohner unterbinden? Ich dachte ich würde es per Routingtabellen festlegen können.Den ct Artikel habe ich damals gelesen. Die Trennung bzw die Sicherheitsstufe wird dort durch eine Kaskadierung erreicht, aber eine Weiche:
Bewohner –> Lüfter = OK
Hausmeister --> Lüfter = OK
Bewohner --> Hausmeister = FEHLER
Hausmeister --> Bewohner = FEHLER
Kann ich damit nicht erreichen. Oder ich habe es nicht verstanden. Ich werde es mir nochmal anschauen.
Danke.
-
Beim Vigor 2860 kann man einzelne Geräte über Portforwarding zwischen Subnetzen miteinander verbinden,
schau mal die Demooberfläche an http://eu.draytek.com:12860/
Dort unter "Load-Balance/Route Policy", "General Setup"und dann mal eins konfigurieren.
Man könnt es dann so lösen: Der Hausmeister ist mit allen Lüftern in einem Subnetz (192.168.1.0/24).
Jede Wohnung bekommt ihr eigenes Subnetz (192.168.1.1-7/24). Portforwarding von den Bewohnersubnetzten auf ihre jeweilige LüfterIP im Hausmeistersubnetz.
Ich sehe aber das Hauptproblem darin, dass die Bewohner über ihre private Fritzbox Zugang auf deinen Router bekommen. Das kann man sicher einstellen, aber will man den Bewohnern jedesmal erklären, dass ihre Fritzbox nicht für IP-Vergabe eingestellt werden darf sondern deine Subnetzrouten nehmen soll? Da sehe ich eher das Problem. Wie die Bewohner mit ihrem eigenen LAN hinter einer Fritzbox ohne groß was zu konfigurieren auf dein VLAN3 zugreifen sollen.
-
hmmm, vielleicht dann doch über vlans?
Port Wohnung 1 = vlan1
Port Lüfter 1 = vlan1, vlan8
Port Wohnung 2 = vlan2
Port Lüfter 2 = vlan2, vlan8
Port Hausmeister = vlan8
usw. Damit wäre das viel einfacher. Oder habe ich was falsch verstanden?
-
Port / Vlan Tags kann man nur so kombinieren, dass bestimmte tagged VLANs nur auf bestimmten physikalischen Ports erreichbar sind.
Dein Beispiel haut glaube ich nicht hin.
Von den physikalischen Ports würde ich mich verabschieden, und nur die tagged VLANs nehmen.
Wohnung 1 = VLAN1
Wohnung 2 = VLAN2
…
Hausmeister = VLAN 8 mit Portzugriff auf VLAN1-7 jeweils auf die LüfterIP.
Oder?
Ich bin da nicht ganz fit. Sorry.
-
Port / Vlan Tags kann man nur so kombinieren, dass bestimmte tagged VLANs nur auf bestimmten physikalischen Ports erreichbar sind.
Dein Beispiel haut glaube ich nicht hin.
Von den physikalischen Ports würde ich mich verabschieden, und nur die tagged VLANs nehmen.
Wohnung 1 = VLAN1
Wohnung 2 = VLAN2
…
Hausmeister = VLAN 8 mit Portzugriff auf VLAN1-7 jeweils auf die LüfterIP.
Oder?
Ich bin da nicht ganz fit. Sorry. `
Ok. ich teste das mal daheim. Vielen Dank. -
Ich würde es etwas einfacher und pragmatischer machen.
Alle Lüfter in einer DMZ ins Internet stellen (verschlüsselt und Logingesichert), per Webseitenaufruf erreichbar. Und deinen Bewohnern gibst du die Zugangsdaten jeweils und dem Hausmeister alle.
-
Ich würde es etwas einfacher und pragmatischer machen.
Alle Lüfter in einer DMZ ins Internet stellen (verschlüsselt und Logingesichert), per Webseitenaufruf erreichbar. Und deinen Bewohnern gibst du die Zugangsdaten jeweils und dem Hausmeister alle. `
Dort gibt es leider keinen Internetanschluss. -
Hallo!
Also,
VLAN klingt zwar cool, bringt in dieser Konstellation aber überhaupt nichts - mal davon abgesehen ob die Lüfter überhaupt VLAN-tagging können ….
Als HW wird entweder ein Router oder ein Managebarer Level3 Switch mit mindestens 7 Ports benötigt. Nachdem der Internetzugang ohnehin in jeder Wohnung einzeln ist braucht es nicht mal ein GB-taugliches Gerät zu sein.
Jede Wohnung bekommt ein eigenes Privates Netz, die Lüfter sind alle gemeinsam in einem 4.
Z.b.:
Wh1: 10.1.1.0/24
Wh2: 10.1.2.0/24
Wh3: 10.1.3.0/24
Lüfter: 10.1.50.0/24
Die Routerports werden entsprechend der Netze konfiguriert, die Routen ebenso.
ABER: Nachdem der Internetzzgang durch ein zweites GW im jeweiligen Wohnungsnetz realisiert wird muss auf jedem Rechner der auf die Lüfter zugreifen soll eine entsprechende zusätzliche Route eingetragen werden - per Hand.
SCHÖN ist was anderes, und auch von der Sicherheit her hat diese Konstruktion aber einen Haken: Wer ans Netzwerkkabel kommt, kommt auch ins Netzwerk, also jeder der Zugang zum Router hat. Normalerweise gehört ein Router in die jeweilige Wohnung (der dann auch keine 7 Ports mehr braucht), in diesem wird dann der Zugriff auf die Lüfter realisiert. Dann braucht es nicht mal mehr zwei Netzwerkkabel ....
-
…
ABER: Nachdem der Internetzzgang durch ein zweites GW im jeweiligen Wohnungsnetz realisiert wird muss auf jedem Rechner der auf die Lüfter zugreifen soll eine entsprechende zusätzliche Route eingetragen werden - per Hand. `
Ich denke, dass das über die Fritzbox realisiert wird. Ich kann doch in der Fritzbox eine statische Route definieren. Wobei iahc an sowas gedacht habe:Wh1: 10.1.1.0/24
Wh2: 10.1.2.0/24
Wh3: 10.1.3.0/24
Lüfter1: 10.1.51.0/24
Lüfter2: 10.1.52.0/24
Lüfter3: 10.1.53.0/24
Hausmeister: 10.1.101.0/24
die Fritzbox 1 kennt die Netze 10.1.1.0/24 und 10.1.51.0/24
die Fritzbox 2 kennt die Netze 10.1.2.0/24 und 10.1.52.0/24
die Fritzbox 3 kennt die Netze 10.1.3.0/24 und 10.1.53.0/24
Hausmeister kennt die Netze 10.1.51.0/24, 10.1.52.0/24, 10.1.53.0/24, 10.1.101.0/24
Im Router werden jetzt die Routen hinterlegt.
10.1.101.0/24 -> 10.1.5X.0/24 = OK (Hausmeister -> Lüfter X)
10.1.101.0/24 -> 10.1.X.0/24 = NICHT Vorhanden (Hausmeister -> Whg X)
10.1.A.0/24 -> 10.1.5A.0/24 = OK (Whg A -> Lüfter A)
10.1.A.0/24 -> alle Andere = NICHT Vorhanden (Whg A -> Alle andere Ziele)
Damit wären die Lüfter von allen Geräten der Wohnung über die Route in der Fritzbox ohne Konfiguration erreichbar.
SCHÖN ist was anderes, und auch von der Sicherheit her hat diese Konstruktion aber einen Haken: Wer ans Netzwerkkabel kommt, kommt auch ins Netzwerk, also jeder der Zugang zum Router hat. Normalerweise gehört ein Router in die jeweilige Wohnung (der dann auch keine 7 Ports mehr braucht), in diesem wird dann der Zugriff auf die Lüfter realisiert. Dann braucht es nicht mal mehr zwei Netzwerkkabel …. `
Ja, das wäre der Optimalfall, aber es läuft darauf hinaus, dass das Ding im abgeschlossenen Technikraum im Keller im abgeschlossenen Netzwerkschrank stehen wird.Also entweder 7 x Ubiquiti ER-X Netzwerk/Router https://www.amazon.de/Ubiquiti-ER-X-Net … rds=router oder
1 x CISCO Small Business SRW224G4-K9-EU gefunden: https://www.amazon.de/CISCO-Small-Busin … O+SRW224G4
-
…
ABER: Nachdem der Internetzzgang durch ein zweites GW im jeweiligen Wohnungsnetz realisiert wird muss auf jedem Rechner der auf die Lüfter zugreifen soll eine entsprechende zusätzliche Route eingetragen werden - per Hand.
Ich denke, dass das über die Fritzbox realisiert wird. Ich kann doch in der Fritzbox eine statische Route definieren. Wobei iahc an sowas gedacht habe:Ja aber wer soll das machen? Erklär das mal einem Bewohner…Nicht jeder nimmt sich auch einen Festnetz/Internetzugang, weil oftmals Mobil schon reicht. Und ich würde als Bewohner einen Hausmeister nicht an meine Fritzbox lassen. Wer erklärt dem Bewohner das bei anderen Routerherstellern wie das geht mit der Route?
Ich glaube, die Lösung ist letztendlich unprofessionell, sehr wartungsaufwändig und auch risikoreich. Irgendwo werden dann ja auch zwangsweise physikalisch alle LANs der 7 Wohnungen miteinander verbunden, kannst du verantworten dass es kein Sicherheitsrisiko für den einzelnen Bewohner ist? Dein Router wird ja dann aoffenbar auch nicht geupdatet, so ohne Internet und als Dauerläufer im Kellerschrank. Will man als Bewohner so ein Gerät am eigenen LAN haben? Was machst du wenn ein Bewohner einen Raspi mit externer 3.5 USB-Festplatte anhängt? Bei mir hat das mit unterschiedlichen Raspis meine damalige 7490 Fritzbox lahmgelegt, weil der Raspi irgend einen Rückstrom von USB nicht zurückhält oder sowas. Dann sind 7 WohnungsLANs lahmgelegt und die Lüftersteuerung auch, weil einer "am LAN gelötet hat".
Warum braucht überhaupt der Hausmeister Zugriff auf die Lüfter, würde ich als Bewohner fragen? Was geht dem das an? Ich glaube, die einzi professionelle Lösung wäre über das Internet erreichbar. Dann sind alle LANS getrennt und dem Bewohner ist auch leichter mitzuteilen, dass sein Lüfter unter http://www.meinluefter . de mit den und den Logindaten zu erreichen ist als dem zu erklären, er soll in seine Fritzbox gehen, den Profimodus aktivieren, eine Route eintragen. Was ist, wenn er noch weiterdenkt und die anderen Routen heimlich mit einträgt? :lol:
-
…
ABER: Nachdem der Internetzzgang durch ein zweites GW im jeweiligen Wohnungsnetz realisiert wird muss auf jedem Rechner der auf die Lüfter zugreifen soll eine entsprechende zusätzliche Route eingetragen werden - per Hand.
Ich denke, dass das über die Fritzbox realisiert wird. Ich kann doch in der Fritzbox eine statische Route definieren. Wobei iahc an sowas gedacht habe:Ja aber wer soll das machen? Erklär das mal einem Bewohner…Nicht jeder nimmt sich auch einen Festnetz/Internetzugang, weil oftmals Mobil schon reicht. Und ich würde als Bewohner einen Hausmeister nicht an meine Fritzbox lassen. Wer erklärt dem Bewohner das bei anderen Routerherstellern wie das geht mit der Route?
Ich glaube, die Lösung ist letztendlich unprofessionell, sehr wartungsaufwändig und auch risikoreich. Irgendwo werden dann ja auch zwangsweise physikalisch alle LANs der 7 Wohnungen miteinander verbunden, kannst du verantworten dass es kein Sicherheitsrisiko für den einzelnen Bewohner ist? Dein Router wird ja dann aoffenbar auch nicht geupdatet, so ohne Internet und als Dauerläufer im Kellerschrank. Will man als Bewohner so ein Gerät am eigenen LAN haben? Was machst du wenn ein Bewohner einen Raspi mit externer 3.5 USB-Festplatte anhängt? Bei mir hat das mit unterschiedlichen Raspis meine damalige 7490 Fritzbox lahmgelegt, weil der Raspi irgend einen Rückstrom von USB nicht zurückhält oder sowas. Dann sind 7 WohnungsLANs lahmgelegt und die Lüftersteuerung auch, weil einer "am LAN gelötet hat". `
Du hast Recht.
@Solear:Warum braucht überhaupt der Hausmeister Zugriff auf die Lüfter, würde ich als Bewohner fragen? Was geht dem das an? `
Das hat schon seinen Sinn. Für die Wartung der Lüfter. Meldungen dass ein Filter gewechselt werden soll usw. Die Details kenne ich auch nicht. Nur die Anforderung!Ich glaube, die einzi professionelle Lösung wäre über das Internet erreichbar. Dann sind alle LANS getrennt und dem Bewohner ist auch leichter mitzuteilen, dass sein Lüfter unter http://www.meinluefter . de mit den und den Logindaten zu erreichen ist als dem zu erklären, er soll in seine Fritzbox gehen, den Profimodus aktivieren, eine Route eintragen. Was ist, wenn er noch weiterdenkt und die anderen Routen heimlich mit einträgt? :lol: `
Da würde der Router im Keller verhindern. Wenn es keine definierte Route von Whg1 zu Lüfter2 gibt, dann wird er nicht weit kommen.Wie weit die Lüfter Internettauglich sind, kann ich bis jetzt auch nicht beurteilen. Werden wir sehen, wenn die Teile am laufen sind.
Insgesamt gebe ich dir recht. Allerdings wird es mit einem Internetzugang nicht gehen, das steht fest. Momentan denke ich, dass in jeder Wohnung ein kleiner Router platziert wird und je eine Hausmeister-Leitung in den Keller gehen wird. Der Lüfter kriegt sein eigenes Netz und kann von der FritzBox erreicht werden. Der Router wird das Hausmeister-Netz zu dem Lüfternetz durchschleusen. Mehr nicht. Ist wie du schreibst nicht optimal, aber im Moment für mich die unter den gegeben Voraussetzungen sinnvollste Methode.
Vielen Dank für deine Wertvolle Hinweise.
a200.
ps. Weitere Kommentare und Vorschläge sind weiterhin willkommen.
-
Hallo zusammen,
wenn ich jetzt über die Komplexität nachdenke und parallel die Hardwarekosten im Kopf hochrechne und dann immer noch ein komplexes Konstrukt mit hoher Fehleranfälligkeit, schlechter Usability ensteht würde ich zu einer anderen Lösung raten.
Lüfter aus den Wohnungen alle auf einen zentralen Punkt (zB Switch) verdrahten.
In dieses Netz einen MiniPC (kann auch ein Raspi sein) welcher die Daten dann auf dem schon erwähnten, gesicherten Webserver bereitstellt.
Eine Datenkarte mit LTE Stick / Hotspot benötigt hier ein sehr geringes Datenvolumen (unter 1GB) und kostet somit monatlich nur wenige €.
Diese kann man ja in die Allgemeinkosten mit umlegen (wenn überhaupt)
Somit hat man ein geschlossenes System, ohne notwendigen Eingriff in die Bewohnerhardware und jeder bekommt seinen persönlichen Login zum persönlichen Heizungsgerät.
