Mehrfamilienhaus VLAN Aufteilung m. TP-Link
Servus zusammen,
ja, das Thema gab es schon häufiger ich habe einiges gelesen und mit verfügbarer Hardware getestet, konnte aber noch keinen nennenswerten Erfolg verzeichnen weshalb ich Hilfe suche.
Das Szenario:
Das Ziel:
Ich habe verschiedene Ansätze ausprobiert aber alle nur mit mäßigen Erfolg. Eine Routerkaskade habe ich nur kurz getestet, da mir die Lösung als nicht sehr skalierbar erscheint (Anzahl WAN und LAN Ports am Router). Eine Lösung mit einem L2/L3 Switch finde ich eleganter und preislich auch schlanker.
Bisher habe ich es hinbekommen das Switch vom Wohnungsnetz aus zu sehen und Zugriff drauf zu haben, aber nicht auf das Hausnetz. Die Konfiguration sah dabei so aus:
Da ich für die beiden VLANs 10 und 20 keine statischen Routen einrichten kann da mir so die IP fehlt, habe ich per Port Isolation versucht die Wohnungsnetze auf die Ports 9-16 weiterzuleiten. Aber wie gesagt, ohne Erfolg.
Ich habe dann noch mal etwas nachgedacht und mir überlegt, dass die Interface IP womöglich nicht die IP des angeschlossenen Netzes sein muss sondern die des Interfaces selbst und habe das ganze wie in der Skizze abgeändert
Nun ist es so, dass ich vom Wohnungsnetz aus keinen Zugriff mehr auf das Switch habe, in meiner Fritzbox habe ich es noch mit der alten IP Adresse angezeigt bekommen konnte es aber nicht anpingen. Die IP 192.168.1.1 und 192.168.3.1 konnte ich ebenso nicht anpingen (Zielnetz nicht erreichbar). Ich konnte aber ein Gerät (Türstation zum Testen) im VLAN 30 mit der IP 192.168.3.3 anpingen, die Einstellungs-Website des Gerätes konnte ich allerdings nicht aufrufen und habe das Gerät auch sonst nicht im Netzwerk sehen können.
Hardware zum testen verfügbar:
Das wunderbare VLAN Tutorial das hier häufiger verlinkt wird habe ich mir angesehen, ebenso einige Dokumente von TP-Link. Meine VLAN Erfahrung ist ziemliches Basiswissen, also bitte nicht hauen
Noch etwas am Rande: was mich tierisch annervt ist die Tatsache, dass sich das TP-Link Switch nach dem Ausschalten wieder auf Werk zurücksetzt ... lässt sich das verhindern?
Ich danke im Voraus
ja, das Thema gab es schon häufiger ich habe einiges gelesen und mit verfügbarer Hardware getestet, konnte aber noch keinen nennenswerten Erfolg verzeichnen weshalb ich Hilfe suche.
Das Szenario:
- Mehrfamilienhaus, aktuelles Projekt hat nur zwei Parteien die Lösung soll aber skalierbar sein
- Jede Mieterwohnung hat einen eigenen Internetzugang und Routerfreiheit
- Es gibt ein zentrales Hausnetz für die Haustechnik, eine zentrale KNX Linie, die Türsprechanlage und Türzutritt
Das Ziel:
- Von den Mieternetzen sollen Geräte zugriff auf Teile des zentralen Netzes bekommen, aber nicht auf die anderen Wohnungen
- Das ganze soll möglichst Plug'n'Play sein, ohne Konfigurationsaufwand wenn ein Mieter wechselt und schon gar nicht sollen Anpassungen im Mieternetz/Mieterrouter notwendig sein
Ich habe verschiedene Ansätze ausprobiert aber alle nur mit mäßigen Erfolg. Eine Routerkaskade habe ich nur kurz getestet, da mir die Lösung als nicht sehr skalierbar erscheint (Anzahl WAN und LAN Ports am Router). Eine Lösung mit einem L2/L3 Switch finde ich eleganter und preislich auch schlanker.
Bisher habe ich es hinbekommen das Switch vom Wohnungsnetz aus zu sehen und Zugriff drauf zu haben, aber nicht auf das Hausnetz. Die Konfiguration sah dabei so aus:
- Managementnetz: VLAN 1 Standard
- Wohnungsnetz 1: VLAN 10, Port 1 mit PVID 10, 1, Interface mit IP per DHCP (aus dem Wohnungsnetz)
- Wohnungsnetz 2: VLAN 20, Port 2 mit PVID 20, Interface mit IP per DHCP (aus dem Wohnungsnetz)
- Hausnetz: VLAN 30, Port 9-16 mit PVID 30, Interface mit statischer IP 192.168.1.1, DHCP Server im Switch für 192.168.1.x
Da ich für die beiden VLANs 10 und 20 keine statischen Routen einrichten kann da mir so die IP fehlt, habe ich per Port Isolation versucht die Wohnungsnetze auf die Ports 9-16 weiterzuleiten. Aber wie gesagt, ohne Erfolg.
Ich habe dann noch mal etwas nachgedacht und mir überlegt, dass die Interface IP womöglich nicht die IP des angeschlossenen Netzes sein muss sondern die des Interfaces selbst und habe das ganze wie in der Skizze abgeändert
- Managementnetz: VLAN 1 Standard
- Wohnungsnetz 1: VLAN 10, Port 1 mit PVID 10, 1, Interface mit statischer IP 192.168.1.1
- Wohnungsnetz 2: VLAN 20, Port 2 mit PVID 20, Interface mit statischer IP 192.168.2.1
- Hausnetz: VLAN 30, Port 9-16 mit PVID 30, Interface mit statischer IP 192.168.3.1, DHCP Server im Switch für 192.168.3.x
- Statische Route von 192.168.1.0 auf 192.168.3.1 und von 192.168.3.0 auf 192.168.1.1
Nun ist es so, dass ich vom Wohnungsnetz aus keinen Zugriff mehr auf das Switch habe, in meiner Fritzbox habe ich es noch mit der alten IP Adresse angezeigt bekommen konnte es aber nicht anpingen. Die IP 192.168.1.1 und 192.168.3.1 konnte ich ebenso nicht anpingen (Zielnetz nicht erreichbar). Ich konnte aber ein Gerät (Türstation zum Testen) im VLAN 30 mit der IP 192.168.3.3 anpingen, die Einstellungs-Website des Gerätes konnte ich allerdings nicht aufrufen und habe das Gerät auch sonst nicht im Netzwerk sehen können.
Hardware zum testen verfügbar:
- TP-Link ER7206
- TP-Link TL-SG2428P
Das wunderbare VLAN Tutorial das hier häufiger verlinkt wird habe ich mir angesehen, ebenso einige Dokumente von TP-Link. Meine VLAN Erfahrung ist ziemliches Basiswissen, also bitte nicht hauen
Noch etwas am Rande: was mich tierisch annervt ist die Tatsache, dass sich das TP-Link Switch nach dem Ausschalten wieder auf Werk zurücksetzt ... lässt sich das verhindern?
Ich danke im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5207407743
Url: https://administrator.de/contentid/5207407743
Ausgedruckt am: 17.12.2024 um 00:12 Uhr
19 Kommentare
Neuester Kommentar
Mahlzeit.
Für mich sind in dem Konstrukt zu viele Unbekannte. Was ist, wenn der Router des Mieters keinen LAN Port frei hat?
Ich würde wahrscheinlich Access Points in den Wohnungen / im Haus platzieren, dann gesicherte WLANs für jede Wohnung erstellen und entsprechend diese WLANs in der Firewall / im Router dann auf die Haustechnik und nur da zugreifen lassen.
Hast du auf dem TP-Link Switch denn auch ACL hinterlegt, dass die Netze erreicht werden können? Sind die VLANs auch auf den Ports korrekt als tagged und untagged konfiguriert?
Denn 99 % aller Internetanschlüsse von Privat-Haushalten werden Fritzboxen oder andere nicht-vlanfähige Hardware einsetzen.
Das solltest du mit in das Konzept einfließen lassen.
Die meisten Switches haben einen extra "Speichern" / "Save" Knopf irgendwo, womit die aktuelle Konfiguration auch tatsächlich für die nächsten Neustarts gelten soll. Habe leider keine TP-Link Geräte da, um dir den Weg dahin zu zeigen.
Gruß
Marc
Für mich sind in dem Konstrukt zu viele Unbekannte. Was ist, wenn der Router des Mieters keinen LAN Port frei hat?
Ich würde wahrscheinlich Access Points in den Wohnungen / im Haus platzieren, dann gesicherte WLANs für jede Wohnung erstellen und entsprechend diese WLANs in der Firewall / im Router dann auf die Haustechnik und nur da zugreifen lassen.
Hast du auf dem TP-Link Switch denn auch ACL hinterlegt, dass die Netze erreicht werden können? Sind die VLANs auch auf den Ports korrekt als tagged und untagged konfiguriert?
Denn 99 % aller Internetanschlüsse von Privat-Haushalten werden Fritzboxen oder andere nicht-vlanfähige Hardware einsetzen.
Das solltest du mit in das Konzept einfließen lassen.
Die meisten Switches haben einen extra "Speichern" / "Save" Knopf irgendwo, womit die aktuelle Konfiguration auch tatsächlich für die nächsten Neustarts gelten soll. Habe leider keine TP-Link Geräte da, um dir den Weg dahin zu zeigen.
Gruß
Marc
Vorab: "Der" Switch ist übrigens ein Mann: https://de.wiktionary.org/wiki/Switch
Zurück zum Thema...
Das o.a. Konzept ist also durchaus richtig und OK!
Jede Wohnung wäre da ein separates VLAN oder noch besser ein PVLAN (Private oder Isolated VLAN) in das der Switch per DHCP IP Adressen an die Wohnungsrouter vergibt.
In ein VLAN legst du das Hausnetz und sicherst dieses mit Switch ACLs (Accesslisten) entsprechend ab das Mieter nur bestimmte IP und Dienste erreichen können.
Der Switch hat dann ein "Internet" VLAN an das du den zentralen Provider Router klemmst.
Ein sehr simples Layer 3 Switching Szenario was auch HIER im Grundsatz beschrieben ist.
Lesen und verstehen...
Ohne entsprechende ACL liegt dein Management Interface des Switches immer per Default im VLAN 1. Es sollte also ohne ACL oder andere Restriktionen problemlos aus ALLEN Wohnungsnetzen erreichbar sein. Wenn nicht stimmt etwas mit dem Routing der ACL Setup nicht!
Die einzige statische Route die der Switch benötigt ist eine Default Route 0.0.0.0/0 auf den Internet Router. Nicht mehr und nicht weniger! (Siehe auch Tutorial oben!)
Grundelgende Infos zum Thema IP Routing findest du auch hier.
Zum Sichern der Switch Konfig hat Kollege @radiogugu schon alles gesagt.
Fazit:
Richtiges Konzept aber fehlerhafte Umsetzung.
Ob man bei einem Switch der jahrelang 24/7 für Mieter verlässlich laufen soll gerade billigste China Hardware vom untersten Niveau verwenden sollte, ist eine andere Frage die aber nicht relevant für Umsetzung und Funktion sind!
Zurück zum Thema...
Was ist, wenn der Router des Mieters keinen LAN Port frei hat?
Die Frage stellt sich gar nicht, denn die Mieter nutzen ja immer Breitband WLAN Router und relevant ist hier der WAN Port der ja immer frei ist. Auch bei einer FritzBox wenn man den Modem Bypass dort über LAN1 aktiviert!Privat-Haushalten werden Fritzboxen oder andere nicht-vlanfähige Hardware einsetzen. Das solltest du mit in das Konzept einfließen lassen.
Ist auch gar nicht erforderlich, denn jeder handelsübliche WLAN Router hat einen WAN Port in Ethernet Form!! Damit bleibt dann die Netzwerk Hoheit und Verantwortung komplett beim Wohnungsinhaber, was auch gut ist.Das o.a. Konzept ist also durchaus richtig und OK!
Eine Lösung mit einem L2/L3 Switch finde ich eleganter und preislich auch schlanker.
Das wäre auch der richtige Weg und entspricht auch im Grunde deinem Design.Jede Wohnung wäre da ein separates VLAN oder noch besser ein PVLAN (Private oder Isolated VLAN) in das der Switch per DHCP IP Adressen an die Wohnungsrouter vergibt.
In ein VLAN legst du das Hausnetz und sicherst dieses mit Switch ACLs (Accesslisten) entsprechend ab das Mieter nur bestimmte IP und Dienste erreichen können.
Der Switch hat dann ein "Internet" VLAN an das du den zentralen Provider Router klemmst.
Ein sehr simples Layer 3 Switching Szenario was auch HIER im Grundsatz beschrieben ist.
Lesen und verstehen...
Nun ist es so, dass ich vom Wohnungsnetz aus keinen Zugriff mehr auf das Switch habe
Das sollte ja auch zwingend so sein, denn willst du das Wohnungsmieter Zugriff auf deine Management Infrastruktur haben? Das wäre ja fatal. Das Management solltest du in so einem Konstrukt immer in ein separates VLAN legen auf das nur DU Zugriff hast sei es von lokal oder remote per VPN.Ohne entsprechende ACL liegt dein Management Interface des Switches immer per Default im VLAN 1. Es sollte also ohne ACL oder andere Restriktionen problemlos aus ALLEN Wohnungsnetzen erreichbar sein. Wenn nicht stimmt etwas mit dem Routing der ACL Setup nicht!
Da ich für die beiden VLANs 10 und 20 keine statischen Routen einrichten kann
Statische Routen sind auch völliger Quatsch auf einem Layer 3 Switch in dem o.a. Umfeld, denn ALLE Netze (VLANs) sind ja immer DIREKT dort angeschlossen. Sprich der L3 Switch "kennt" also alle lokalen IP Netze und folglich sind statische Routen dort völlig überflüssiger Blödsinn der sicher deiner Unkenntniss geschuldet ist. Vergiss den Unsinn also und lösche diese Routen!Die einzige statische Route die der Switch benötigt ist eine Default Route 0.0.0.0/0 auf den Internet Router. Nicht mehr und nicht weniger! (Siehe auch Tutorial oben!)
Grundelgende Infos zum Thema IP Routing findest du auch hier.
Zum Sichern der Switch Konfig hat Kollege @radiogugu schon alles gesagt.
Fazit:
Richtiges Konzept aber fehlerhafte Umsetzung.
Ob man bei einem Switch der jahrelang 24/7 für Mieter verlässlich laufen soll gerade billigste China Hardware vom untersten Niveau verwenden sollte, ist eine andere Frage die aber nicht relevant für Umsetzung und Funktion sind!
Moin,
was ist denn das Ziel des ganzen?
Sollen die Mieter via eigenem Smartphone Zugriff auf die Türsprechanlage haben?
Ansonsten wird es spannend, denn ich nehme mal an, dass die Mieter NICHT über deinen eigenen Breitband-Zugang ins Internet gehen sollen, sondern sich selbst bei der Telekom/ Vodafone/ WenAuchImmer einen ANschluss buchen und zusätzlich dann auch auf deine Türsprechanlage zugreifen können dürfen.
Wenn die jetzt von der Telekom nen einfachen Speedport bekommen, wird das alles ohnehin nichts. Die können kein Routing. Und selbst, wenn der Miter ne Fritzbox bekommt: ICH würde als Mieter meinen Vermieter keinen Zugriff auf meinen Router geben, damit der ne statische Router hinterlegen kann.
was ist denn das Ziel des ganzen?
Sollen die Mieter via eigenem Smartphone Zugriff auf die Türsprechanlage haben?
Ansonsten wird es spannend, denn ich nehme mal an, dass die Mieter NICHT über deinen eigenen Breitband-Zugang ins Internet gehen sollen, sondern sich selbst bei der Telekom/ Vodafone/ WenAuchImmer einen ANschluss buchen und zusätzlich dann auch auf deine Türsprechanlage zugreifen können dürfen.
Wenn die jetzt von der Telekom nen einfachen Speedport bekommen, wird das alles ohnehin nichts. Die können kein Routing. Und selbst, wenn der Miter ne Fritzbox bekommt: ICH würde als Mieter meinen Vermieter keinen Zugriff auf meinen Router geben, damit der ne statische Router hinterlegen kann.
Noch etwas am Rande: was mich tierisch annervt ist die Tatsache, dass sich das TP-Link Switch nach dem Ausschalten wieder auf Werk zurücksetzt ... lässt sich das verhindern?
Ja. speichere die laufende Konfiguration. Irgendwo muss es eine Option "Save Config" geben, oder so ähnlich.nen einfachen Speedport bekommen, wird das alles ohnehin nichts. Die können kein Routing.
Das ist auch gar nicht erforderlich, denn der Speedport (und auch alle anderen WLAN Allerweltsrouter) werden mit dem WAN Port an den o.a. zentralen L3 Gebäudeswitch angeschlossen. Ideal wäre dazu ein einziges "Wohnungs VLAN" was aber nur geht wenn der Switch die PVLAN (Private oder Isolated VLAN) Funktion supportet die eine L2 Kommunikation innerhalb eines VLANs unmöglich macht. Supportet der Switch diese Funktion nicht nimmt man halt pro Wohnung ein VLAN und blockt diese mit Switch ACLs.So behält jeder Wohnungsmieter die eigene Netzwerk Hoheit und Verantwortung und kann zusätzlich (je nach ACL bzw. Regelwerk) auch problemlos auf die gemeinsame Hausinfrastruktur zugreifen.
Zitat von @aqui:
Was ist, wenn der Router des Mieters keinen LAN Port frei hat?
Die Frage stellt sich gar nicht, denn die Mieter nutzen ja immer Breitband WLAN Router und relevant ist hier der WAN Port der ja immer frei ist. Auch bei einer FritzBox wenn man den Modem Bypass dort über LAN1 aktiviert!Hier soll es aber so sein, dass jeder Mieter seinen eigenen Internetanschluss hat. Das heißt, der Router des Mieters ist nicht unter der Kontrolle des TO.
Privat-Haushalten werden Fritzboxen oder andere nicht-vlanfähige Hardware einsetzen. Das solltest du mit in das Konzept einfließen lassen.
Ist auch gar nicht erforderlich, denn jeder handelsübliche WLAN Router hat einen WAN Port in Ethernet Form!! Damit bleibt dann die Netzwerk Hoheit und Verantwortung komplett beim Wohnungsinhaber, was auch gut ist.Das o.a. Konzept ist also durchaus richtig und OK!
Die Hoheit hat der Wohnungsinhaber ja an der Stelle nicht, sondern der Mieter.
Jetzt kann @BlackDevil natürlich in jede Wohnung einen eigenen WLAN Router setzen, welcher an der Stelle mit dem entsprechenden VLAN dahinter verbunden ist. Da würde ich mir aber wahrscheinlich die Risiken bei unbedarftem "Benutzen" durch den Mieter (setzt das Teil zurück auf Factory Defaults) schenken und keine Hardware, außer Access Points eventuell, in den Mietswohnungen hinhängen /-stellen.
Gruß
Marc
Hier soll es aber so sein, dass jeder Mieter seinen eigenen Internetanschluss hat.
Das hätte er in dem Konzept mit einem zentralen Internet Zugang über den L3 Switch ja auch. Da macht jeder routertechnisch ja auch sein eigenes Ding.Sollte es aber in der Tat so sein das auch jeder Wohnungsmieter seinen eigenen Provider buchen soll, dann ist das o.a. Konzept so nicht umsetzbar. Das war dann leider aus der Beschreibung des TOs nicht so klar ersichtlich. Sorry...
Das scheitert dann allein schon an der Vielzahl der Provider Billigrouter die dann kein Routing supporten wie Kollege @em-pie in dem Falle dann natürlich richtig angemerkt hat.
Dann kann man nur die Haustechnik Anschlüsse alle gemeinsam und von den privaten Wohnungsnetzen völlig getrennt auf einen ungemanagten 20 Euro Billigswitch stecken und fertig ist der Lack.
Was dann aber das eigentliche Konzept des TO dann völlig ad absurdum führt. Das wiederum klappt nur mit einem zentralen Internet Zugang über den L3 Switch.
Vermiete doch die Infrastruktur (Wifi) inkl. einiger Ports in den Wohnungen und max. Bandbreite gleich mit?!
Haftung, wenn gewünscht, entweder über Freifunk, UG, alternativ "rumänische" Minifirma oder gleich nen externen Betreiber ähnlich von Mini-Hotels auslagern
Nur eine wifi-Infrastruktur, nur einen Anbieter mit bester Anbindung und in Summe günstiger als wenn jeder 40 bis 100 EUR/Monat für seinen Anbieter abdrückt. Aus Mietersicht ohne Wartezeit und nervigem Techniker, der angebl. immer dann da war, wenn man mal für 2 Min. am Wäschetrockner stand.
Haftung, wenn gewünscht, entweder über Freifunk, UG, alternativ "rumänische" Minifirma oder gleich nen externen Betreiber ähnlich von Mini-Hotels auslagern
Nur eine wifi-Infrastruktur, nur einen Anbieter mit bester Anbindung und in Summe günstiger als wenn jeder 40 bis 100 EUR/Monat für seinen Anbieter abdrückt. Aus Mietersicht ohne Wartezeit und nervigem Techniker, der angebl. immer dann da war, wenn man mal für 2 Min. am Wäschetrockner stand.
Jeder Mieter soll seinen eigenen Internetzugang haben
OK, dann vergiss dein urspüngliches obiges Konzept, das ist dann technisch so NICHT umzusetzen bzw. klappt nur mit einem gemeinsamen Internet Zugang über den L3 Switch.Es würde auch mit einem Wohnungs eigenen Zugang nur dann klappen, wenn in den Wohnungen entsprechende Routerhardware vorhanden ist die statisches Routing supportet. Zusätzlich muss du den Nutzern dann dort eine spezielle Konfig Vorgabe mit diesen Routen geben.
Mit völligen Laien ist das unter den Voraussetzungen zwar machbar aber unter den genanten Umständen so niemals praxistauglich umzusetzen.
Fazit: Vergessen und was Neues ausdenken...
mein Basisverständnis sagt mir, dass Tagged VLANs für die Verbindungen in der Infrastruktur (Switch>Router, Switch>Switch) zuständig sind
Das ist (meistens) auch richtig. Die hiesige VLAN Schnellschulung beantwortet alle deine Fragen zu dieser Thematik.
Alternativ die Hausinfrastruktur per VPN bereitstellen, über verschiedene Protokolle, so dass sich ne Fritzbox per S2S IPSec oder das Handy per OpenVPN einloggen kann.
Oder aber die Infrastruktur ordentlich authentifiziert und gefirewallt gegen das Internet stellen und hoffen dass die niemand böses will.
VG
bitnarrator
PS: Das mit dem SaveConfig vor Neustart musste der Admin meiner Schule auch schmerzhaft feststellen. Naja admin / admin war ja schon grob fahrlässig am Core-Switch
Oder aber die Infrastruktur ordentlich authentifiziert und gefirewallt gegen das Internet stellen und hoffen dass die niemand böses will.
VG
bitnarrator
PS: Das mit dem SaveConfig vor Neustart musste der Admin meiner Schule auch schmerzhaft feststellen. Naja admin / admin war ja schon grob fahrlässig am Core-Switch
rumprobiert, aber ohne Erfolg
Wurde dir ja oben auch schon mehrfach gesagt. Das ursprüngliche Konzept ist zwar technisch richtig lässt sich aber nicht praxistauglich umsetzen.Das es bei dir im Test nicht klappt liegt sehr wahrscheinlich daran das du im Router in den jeweiligen Mieternetzen schlicht und einfach vergessen hast eine statische Route in die oder das Haustechnik, Türstation Netz einzutragen. (Grundlagen dazu auch hier).
Die Mieterrouter haben ja per Default immer nur eine Default Route ins jeweilige Provider Netz. Würden also alles was nicht ihr eigenes Netz ist zum Provider senden. Es ist deshalb zwingend auf diesen Mieterroutern eine statische Route für das Haustechnik, Türstations Netz zu setzen. Fehlt diese Route, senden sie die Pakete an den Provider und damit ins Nirwana. Diese Route fehlt also bei dir!
Genau an diesem Punkt krankt leider, wie oben auch schon mehrfach gesagt, das ganze Konzept.
Die meisten der billigen Provider Mietrouter supporten keine solchen statischen Routen und Laien benötigen eine detailierte Anleitung sowas zu konfigurieren sofern sie denn überhaupt eine Router Hardware einsetzen die das supportet. Das zu beurteilen erfordert ebenfalls etwas IT Basiskenntnisse. Diese Anforderung in der Praxis laientauglich umzusetzen ist nur schwer möglich. Es sei denn du willst freiwillig am Telefon oder vor Ort mehrere Support Stunden leisten.
Einziger echter Nachteil ist, dass das Hausnetz dann Internet braucht.
Nein, das ist unsinnig. Internetzugang benötigt das Hausnetz nur dann wenn du dessen Komponenten ggf. online updaten musst oder willst oder diese Komponenten irgendwie cloudtechnisch eine Herstelleranbindung erzwingen. Letzteres wäre z.B. bei einer Türkamera usw. DSGVO nicht legal. Ansonsten ist ein Internet Zugang nicht erforderlich.wenn der "Default-Router" alles unbekannte ins WWW sendet kann am LAN Port oder WAN Port hängen was will
Eine Menge an Consumer Routern, allen voran die bekannte FritzBox, supporten ja statische Routen im Setup so das man das Problem dann mit einem einfachen statischen Routing Eintrag im Handumdrehen fixen kann und es dann alles problemlos rennt mit deinem Setup.Leider können das aber eben nicht alle dieser einfachen Router....
dann bleibt nur der Weg über die Wolke.
Das ist sehr gefährlich, denn wann jemand kommt und geht, die Tür aufmacht oder sonstwas im Haus sind das schützenswerte persönliche Daten. Ganz besonders wenn noch eine Tür Kamera usw. involviert ist die Gesichter oder Personen aufnimmt.Hier bewegst du dich rechtlich auf sehr sehr dünnem Eis. Wenn einer der Mieter da klagt hast du sehr schlechte Karten denn die DSGVO Strafen sind bei solchen Vergehen empfindlich hoch. Prüfe sowas also vorher sehr genau!