19
Mehrfamilienhaus VLAN Aufteilung m. TP-Link
Servus zusammen,
ja, das Thema gab es schon häufiger
ich habe einiges gelesen und mit verfügbarer Hardware getestet, konnte aber noch keinen nennenswerten Erfolg verzeichnen weshalb ich Hilfe suche.
Das Szenario:
Das Ziel:
Ich habe verschiedene Ansätze ausprobiert aber alle nur mit mäßigen Erfolg. Eine Routerkaskade habe ich nur kurz getestet, da mir die Lösung als nicht sehr skalierbar erscheint (Anzahl WAN und LAN Ports am Router). Eine Lösung mit einem L2/L3 Switch finde ich eleganter und preislich auch schlanker.
Bisher habe ich es hinbekommen das Switch vom Wohnungsnetz aus zu sehen und Zugriff drauf zu haben, aber nicht auf das Hausnetz. Die Konfiguration sah dabei so aus:
Da ich für die beiden VLANs 10 und 20 keine statischen Routen einrichten kann da mir so die IP fehlt, habe ich per Port Isolation versucht die Wohnungsnetze auf die Ports 9-16 weiterzuleiten. Aber wie gesagt, ohne Erfolg.
Ich habe dann noch mal etwas nachgedacht und mir überlegt, dass die Interface IP womöglich nicht die IP des angeschlossenen Netzes sein muss sondern die des Interfaces selbst und habe das ganze wie in der Skizze abgeändert
Nun ist es so, dass ich vom Wohnungsnetz aus keinen Zugriff mehr auf das Switch habe, in meiner Fritzbox habe ich es noch mit der alten IP Adresse angezeigt bekommen konnte es aber nicht anpingen. Die IP 192.168.1.1 und 192.168.3.1 konnte ich ebenso nicht anpingen (Zielnetz nicht erreichbar). Ich konnte aber ein Gerät (Türstation zum Testen) im VLAN 30 mit der IP 192.168.3.3 anpingen, die Einstellungs-Website des Gerätes konnte ich allerdings nicht aufrufen und habe das Gerät auch sonst nicht im Netzwerk sehen können.
Hardware zum testen verfügbar:
Das wunderbare VLAN Tutorial das hier häufiger verlinkt wird habe ich mir angesehen, ebenso einige Dokumente von TP-Link. Meine VLAN Erfahrung ist ziemliches Basiswissen, also bitte nicht hauen
Noch etwas am Rande: was mich tierisch annervt ist die Tatsache, dass sich das TP-Link Switch nach dem Ausschalten wieder auf Werk zurücksetzt ... lässt sich das verhindern?
Ich danke im Voraus
ja, das Thema gab es schon häufiger
ich habe einiges gelesen und mit verfügbarer Hardware getestet, konnte aber noch keinen nennenswerten Erfolg verzeichnen weshalb ich Hilfe suche.Das Szenario:
- Mehrfamilienhaus, aktuelles Projekt hat nur zwei Parteien die Lösung soll aber skalierbar sein
- Jede Mieterwohnung hat einen eigenen Internetzugang und Routerfreiheit
- Es gibt ein zentrales Hausnetz für die Haustechnik, eine zentrale KNX Linie, die Türsprechanlage und Türzutritt
Das Ziel:
- Von den Mieternetzen sollen Geräte zugriff auf Teile des zentralen Netzes bekommen, aber nicht auf die anderen Wohnungen
- Das ganze soll möglichst Plug'n'Play sein, ohne Konfigurationsaufwand wenn ein Mieter wechselt und schon gar nicht sollen Anpassungen im Mieternetz/Mieterrouter notwendig sein
Ich habe verschiedene Ansätze ausprobiert aber alle nur mit mäßigen Erfolg. Eine Routerkaskade habe ich nur kurz getestet, da mir die Lösung als nicht sehr skalierbar erscheint (Anzahl WAN und LAN Ports am Router). Eine Lösung mit einem L2/L3 Switch finde ich eleganter und preislich auch schlanker.
Bisher habe ich es hinbekommen das Switch vom Wohnungsnetz aus zu sehen und Zugriff drauf zu haben, aber nicht auf das Hausnetz. Die Konfiguration sah dabei so aus:
- Managementnetz: VLAN 1 Standard
- Wohnungsnetz 1: VLAN 10, Port 1 mit PVID 10, 1, Interface mit IP per DHCP (aus dem Wohnungsnetz)
- Wohnungsnetz 2: VLAN 20, Port 2 mit PVID 20, Interface mit IP per DHCP (aus dem Wohnungsnetz)
- Hausnetz: VLAN 30, Port 9-16 mit PVID 30, Interface mit statischer IP 192.168.1.1, DHCP Server im Switch für 192.168.1.x
Da ich für die beiden VLANs 10 und 20 keine statischen Routen einrichten kann da mir so die IP fehlt, habe ich per Port Isolation versucht die Wohnungsnetze auf die Ports 9-16 weiterzuleiten. Aber wie gesagt, ohne Erfolg.
Ich habe dann noch mal etwas nachgedacht und mir überlegt, dass die Interface IP womöglich nicht die IP des angeschlossenen Netzes sein muss sondern die des Interfaces selbst und habe das ganze wie in der Skizze abgeändert
- Managementnetz: VLAN 1 Standard
- Wohnungsnetz 1: VLAN 10, Port 1 mit PVID 10, 1, Interface mit statischer IP 192.168.1.1
- Wohnungsnetz 2: VLAN 20, Port 2 mit PVID 20, Interface mit statischer IP 192.168.2.1
- Hausnetz: VLAN 30, Port 9-16 mit PVID 30, Interface mit statischer IP 192.168.3.1, DHCP Server im Switch für 192.168.3.x
- Statische Route von 192.168.1.0 auf 192.168.3.1 und von 192.168.3.0 auf 192.168.1.1
Nun ist es so, dass ich vom Wohnungsnetz aus keinen Zugriff mehr auf das Switch habe, in meiner Fritzbox habe ich es noch mit der alten IP Adresse angezeigt bekommen konnte es aber nicht anpingen. Die IP 192.168.1.1 und 192.168.3.1 konnte ich ebenso nicht anpingen (Zielnetz nicht erreichbar). Ich konnte aber ein Gerät (Türstation zum Testen) im VLAN 30 mit der IP 192.168.3.3 anpingen, die Einstellungs-Website des Gerätes konnte ich allerdings nicht aufrufen und habe das Gerät auch sonst nicht im Netzwerk sehen können.
Hardware zum testen verfügbar:
- TP-Link ER7206
- TP-Link TL-SG2428P
Das wunderbare VLAN Tutorial das hier häufiger verlinkt wird habe ich mir angesehen, ebenso einige Dokumente von TP-Link. Meine VLAN Erfahrung ist ziemliches Basiswissen, also bitte nicht hauen
Noch etwas am Rande: was mich tierisch annervt ist die Tatsache, dass sich das TP-Link Switch nach dem Ausschalten wieder auf Werk zurücksetzt ... lässt sich das verhindern?
Ich danke im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5207407743
Url: https://administrator.de/contentid/5207407743
Printed on: May 14, 2024 at 02:05 o'clock
19 Comments
Latest comment
Mahlzeit.
Für mich sind in dem Konstrukt zu viele Unbekannte. Was ist, wenn der Router des Mieters keinen LAN Port frei hat?
Ich würde wahrscheinlich Access Points in den Wohnungen / im Haus platzieren, dann gesicherte WLANs für jede Wohnung erstellen und entsprechend diese WLANs in der Firewall / im Router dann auf die Haustechnik und nur da zugreifen lassen.
Hast du auf dem TP-Link Switch denn auch ACL hinterlegt, dass die Netze erreicht werden können? Sind die VLANs auch auf den Ports korrekt als tagged und untagged konfiguriert?
Denn 99 % aller Internetanschlüsse von Privat-Haushalten werden Fritzboxen oder andere nicht-vlanfähige Hardware einsetzen.
Das solltest du mit in das Konzept einfließen lassen.
Die meisten Switches haben einen extra "Speichern" / "Save" Knopf irgendwo, womit die aktuelle Konfiguration auch tatsächlich für die nächsten Neustarts gelten soll. Habe leider keine TP-Link Geräte da, um dir den Weg dahin zu zeigen.
Gruß
Marc
Für mich sind in dem Konstrukt zu viele Unbekannte. Was ist, wenn der Router des Mieters keinen LAN Port frei hat?
Ich würde wahrscheinlich Access Points in den Wohnungen / im Haus platzieren, dann gesicherte WLANs für jede Wohnung erstellen und entsprechend diese WLANs in der Firewall / im Router dann auf die Haustechnik und nur da zugreifen lassen.
Hast du auf dem TP-Link Switch denn auch ACL hinterlegt, dass die Netze erreicht werden können? Sind die VLANs auch auf den Ports korrekt als tagged und untagged konfiguriert?
Denn 99 % aller Internetanschlüsse von Privat-Haushalten werden Fritzboxen oder andere nicht-vlanfähige Hardware einsetzen.
Das solltest du mit in das Konzept einfließen lassen.
Die meisten Switches haben einen extra "Speichern" / "Save" Knopf irgendwo, womit die aktuelle Konfiguration auch tatsächlich für die nächsten Neustarts gelten soll. Habe leider keine TP-Link Geräte da, um dir den Weg dahin zu zeigen.
Gruß
Marc
Vorab: "Der" Switch ist übrigens ein Mann: https://de.wiktionary.org/wiki/Switch
Zurück zum Thema...
Das o.a. Konzept ist also durchaus richtig und OK!
Jede Wohnung wäre da ein separates VLAN oder noch besser ein PVLAN (Private oder Isolated VLAN) in das der Switch per DHCP IP Adressen an die Wohnungsrouter vergibt.
In ein VLAN legst du das Hausnetz und sicherst dieses mit Switch ACLs (Accesslisten) entsprechend ab das Mieter nur bestimmte IP und Dienste erreichen können.
Der Switch hat dann ein "Internet" VLAN an das du den zentralen Provider Router klemmst.
Ein sehr simples Layer 3 Switching Szenario was auch HIER im Grundsatz beschrieben ist.
Lesen und verstehen...
Ohne entsprechende ACL liegt dein Management Interface des Switches immer per Default im VLAN 1. Es sollte also ohne ACL oder andere Restriktionen problemlos aus ALLEN Wohnungsnetzen erreichbar sein. Wenn nicht stimmt etwas mit dem Routing der ACL Setup nicht!
Die einzige statische Route die der Switch benötigt ist eine Default Route 0.0.0.0/0 auf den Internet Router. Nicht mehr und nicht weniger! (Siehe auch Tutorial oben!)
Grundelgende Infos zum Thema IP Routing findest du auch hier.
Zum Sichern der Switch Konfig hat Kollege @radiogugu schon alles gesagt.
Fazit:
Richtiges Konzept aber fehlerhafte Umsetzung.
Ob man bei einem Switch der jahrelang 24/7 für Mieter verlässlich laufen soll gerade billigste China Hardware vom untersten Niveau verwenden sollte, ist eine andere Frage die aber nicht relevant für Umsetzung und Funktion sind!
Zurück zum Thema...
Was ist, wenn der Router des Mieters keinen LAN Port frei hat?
Die Frage stellt sich gar nicht, denn die Mieter nutzen ja immer Breitband WLAN Router und relevant ist hier der WAN Port der ja immer frei ist. Auch bei einer FritzBox wenn man den Modem Bypass dort über LAN1 aktiviert!Privat-Haushalten werden Fritzboxen oder andere nicht-vlanfähige Hardware einsetzen. Das solltest du mit in das Konzept einfließen lassen.
Ist auch gar nicht erforderlich, denn jeder handelsübliche WLAN Router hat einen WAN Port in Ethernet Form!! Damit bleibt dann die Netzwerk Hoheit und Verantwortung komplett beim Wohnungsinhaber, was auch gut ist.Das o.a. Konzept ist also durchaus richtig und OK!
Eine Lösung mit einem L2/L3 Switch finde ich eleganter und preislich auch schlanker.
Das wäre auch der richtige Weg und entspricht auch im Grunde deinem Design.Jede Wohnung wäre da ein separates VLAN oder noch besser ein PVLAN (Private oder Isolated VLAN) in das der Switch per DHCP IP Adressen an die Wohnungsrouter vergibt.
In ein VLAN legst du das Hausnetz und sicherst dieses mit Switch ACLs (Accesslisten) entsprechend ab das Mieter nur bestimmte IP und Dienste erreichen können.
Der Switch hat dann ein "Internet" VLAN an das du den zentralen Provider Router klemmst.
Ein sehr simples Layer 3 Switching Szenario was auch HIER im Grundsatz beschrieben ist.
Lesen und verstehen...
Nun ist es so, dass ich vom Wohnungsnetz aus keinen Zugriff mehr auf das Switch habe
Das sollte ja auch zwingend so sein, denn willst du das Wohnungsmieter Zugriff auf deine Management Infrastruktur haben? Das wäre ja fatal. Das Management solltest du in so einem Konstrukt immer in ein separates VLAN legen auf das nur DU Zugriff hast sei es von lokal oder remote per VPN.Ohne entsprechende ACL liegt dein Management Interface des Switches immer per Default im VLAN 1. Es sollte also ohne ACL oder andere Restriktionen problemlos aus ALLEN Wohnungsnetzen erreichbar sein. Wenn nicht stimmt etwas mit dem Routing der ACL Setup nicht!
Da ich für die beiden VLANs 10 und 20 keine statischen Routen einrichten kann
Statische Routen sind auch völliger Quatsch auf einem Layer 3 Switch in dem o.a. Umfeld, denn ALLE Netze (VLANs) sind ja immer DIREKT dort angeschlossen. Sprich der L3 Switch "kennt" also alle lokalen IP Netze und folglich sind statische Routen dort völlig überflüssiger Blödsinn der sicher deiner Unkenntniss geschuldet ist. Vergiss den Unsinn also und lösche diese Routen!Die einzige statische Route die der Switch benötigt ist eine Default Route 0.0.0.0/0 auf den Internet Router. Nicht mehr und nicht weniger! (Siehe auch Tutorial oben!)
Grundelgende Infos zum Thema IP Routing findest du auch hier.
Zum Sichern der Switch Konfig hat Kollege @radiogugu schon alles gesagt.
Fazit:
Richtiges Konzept aber fehlerhafte Umsetzung.
Ob man bei einem Switch der jahrelang 24/7 für Mieter verlässlich laufen soll gerade billigste China Hardware vom untersten Niveau verwenden sollte, ist eine andere Frage die aber nicht relevant für Umsetzung und Funktion sind!
Moin,
was ist denn das Ziel des ganzen?
Sollen die Mieter via eigenem Smartphone Zugriff auf die Türsprechanlage haben?
Ansonsten wird es spannend, denn ich nehme mal an, dass die Mieter NICHT über deinen eigenen Breitband-Zugang ins Internet gehen sollen, sondern sich selbst bei der Telekom/ Vodafone/ WenAuchImmer einen ANschluss buchen und zusätzlich dann auch auf deine Türsprechanlage zugreifen können dürfen.
Wenn die jetzt von der Telekom nen einfachen Speedport bekommen, wird das alles ohnehin nichts. Die können kein Routing. Und selbst, wenn der Miter ne Fritzbox bekommt: ICH würde als Mieter meinen Vermieter keinen Zugriff auf meinen Router geben, damit der ne statische Router hinterlegen kann.
was ist denn das Ziel des ganzen?
Sollen die Mieter via eigenem Smartphone Zugriff auf die Türsprechanlage haben?
Ansonsten wird es spannend, denn ich nehme mal an, dass die Mieter NICHT über deinen eigenen Breitband-Zugang ins Internet gehen sollen, sondern sich selbst bei der Telekom/ Vodafone/ WenAuchImmer einen ANschluss buchen und zusätzlich dann auch auf deine Türsprechanlage zugreifen können dürfen.
Wenn die jetzt von der Telekom nen einfachen Speedport bekommen, wird das alles ohnehin nichts. Die können kein Routing. Und selbst, wenn der Miter ne Fritzbox bekommt: ICH würde als Mieter meinen Vermieter keinen Zugriff auf meinen Router geben, damit der ne statische Router hinterlegen kann.
Noch etwas am Rande: was mich tierisch annervt ist die Tatsache, dass sich das TP-Link Switch nach dem Ausschalten wieder auf Werk zurücksetzt ... lässt sich das verhindern?
Ja. speichere die laufende Konfiguration. Irgendwo muss es eine Option "Save Config" geben, oder so ähnlich.nen einfachen Speedport bekommen, wird das alles ohnehin nichts. Die können kein Routing.
Das ist auch gar nicht erforderlich, denn der Speedport (und auch alle anderen WLAN Allerweltsrouter) werden mit dem WAN Port an den o.a. zentralen L3 Gebäudeswitch angeschlossen. Ideal wäre dazu ein einziges "Wohnungs VLAN" was aber nur geht wenn der Switch die PVLAN (Private oder Isolated VLAN) Funktion supportet die eine L2 Kommunikation innerhalb eines VLANs unmöglich macht. Supportet der Switch diese Funktion nicht nimmt man halt pro Wohnung ein VLAN und blockt diese mit Switch ACLs.So behält jeder Wohnungsmieter die eigene Netzwerk Hoheit und Verantwortung und kann zusätzlich (je nach ACL bzw. Regelwerk) auch problemlos auf die gemeinsame Hausinfrastruktur zugreifen.
Zitat von @aqui:
Was ist, wenn der Router des Mieters keinen LAN Port frei hat?
Die Frage stellt sich gar nicht, denn die Mieter nutzen ja immer Breitband WLAN Router und relevant ist hier der WAN Port der ja immer frei ist. Auch bei einer FritzBox wenn man den Modem Bypass dort über LAN1 aktiviert!Hier soll es aber so sein, dass jeder Mieter seinen eigenen Internetanschluss hat. Das heißt, der Router des Mieters ist nicht unter der Kontrolle des TO.
Privat-Haushalten werden Fritzboxen oder andere nicht-vlanfähige Hardware einsetzen. Das solltest du mit in das Konzept einfließen lassen.
Ist auch gar nicht erforderlich, denn jeder handelsübliche WLAN Router hat einen WAN Port in Ethernet Form!! Damit bleibt dann die Netzwerk Hoheit und Verantwortung komplett beim Wohnungsinhaber, was auch gut ist.Das o.a. Konzept ist also durchaus richtig und OK!
Die Hoheit hat der Wohnungsinhaber ja an der Stelle nicht, sondern der Mieter.
Jetzt kann @BlackDevil natürlich in jede Wohnung einen eigenen WLAN Router setzen, welcher an der Stelle mit dem entsprechenden VLAN dahinter verbunden ist. Da würde ich mir aber wahrscheinlich die Risiken bei unbedarftem "Benutzen" durch den Mieter (setzt das Teil zurück auf Factory Defaults) schenken und keine Hardware, außer Access Points eventuell, in den Mietswohnungen hinhängen /-stellen.
Gruß
Marc
Hier soll es aber so sein, dass jeder Mieter seinen eigenen Internetanschluss hat.
Das hätte er in dem Konzept mit einem zentralen Internet Zugang über den L3 Switch ja auch. Da macht jeder routertechnisch ja auch sein eigenes Ding.Sollte es aber in der Tat so sein das auch jeder Wohnungsmieter seinen eigenen Provider buchen soll, dann ist das o.a. Konzept so nicht umsetzbar. Das war dann leider aus der Beschreibung des TOs nicht so klar ersichtlich. Sorry...
Das scheitert dann allein schon an der Vielzahl der Provider Billigrouter die dann kein Routing supporten wie Kollege @em-pie in dem Falle dann natürlich richtig angemerkt hat.
Dann kann man nur die Haustechnik Anschlüsse alle gemeinsam und von den privaten Wohnungsnetzen völlig getrennt auf einen ungemanagten 20 Euro Billigswitch stecken und fertig ist der Lack.
Was dann aber das eigentliche Konzept des TO dann völlig ad absurdum führt. Das wiederum klappt nur mit einem zentralen Internet Zugang über den L3 Switch.
Vermiete doch die Infrastruktur (Wifi) inkl. einiger Ports in den Wohnungen und max. Bandbreite gleich mit?!
Haftung, wenn gewünscht, entweder über Freifunk, UG, alternativ "rumänische" Minifirma oder gleich nen externen Betreiber ähnlich von Mini-Hotels auslagern
Nur eine wifi-Infrastruktur, nur einen Anbieter mit bester Anbindung und in Summe günstiger als wenn jeder 40 bis 100 EUR/Monat für seinen Anbieter abdrückt. Aus Mietersicht ohne Wartezeit und nervigem Techniker, der angebl. immer dann da war, wenn man mal für 2 Min. am Wäschetrockner stand.
Haftung, wenn gewünscht, entweder über Freifunk, UG, alternativ "rumänische" Minifirma oder gleich nen externen Betreiber ähnlich von Mini-Hotels auslagern
Nur eine wifi-Infrastruktur, nur einen Anbieter mit bester Anbindung und in Summe günstiger als wenn jeder 40 bis 100 EUR/Monat für seinen Anbieter abdrückt. Aus Mietersicht ohne Wartezeit und nervigem Techniker, der angebl. immer dann da war, wenn man mal für 2 Min. am Wäschetrockner stand.
1
Das ist jetzt eine Menge Antwort, danke 
Ich versuch mal zu antworten, chronologisch wird's wahrscheinlich nicht.
Jeder Mieter soll seinen eigenen Internetzugang haben, deshalb habe ich in der Skizze auch nur zwei Weltkugeln drin. Die Haustechnik könnte einen Zugang haben oder den aus einer der Wohnungen mitbenutzen (so wäre es im 2-Familienhaus).
Die Mieter sollen Zugang zur Türsprechanlage haben (App, Display in Wohnung) und die KNX Visualisierung braucht Zugang zu der zentralen KNX Linie (IP Backbone).
In den Wohnungen befinden sich 2-3 Netzwerkgeräte die POE versorgt werden wollen und zur Wohnung gehören. In sofern macht es vermutlich eh Sinn ein kleines Switch in die Wohnungen zu packen, also zum Beispiel ein TL-SG3210. Es würde auch weiter Sinn machen, da ich so sicherstellen kann das die Geräte in den Wohnungen feste und bekannte IPs haben die sich nicht ändern weil jemand am Switch rumfummelt ...
An den WAN Port der Fritzbox hatte ich jetzt gar nicht gedacht, ich habe das Wohnungsnetz in meinem Test per LAN angeschlossen. Hintergrund ist auch, dass das Switch zum testen bei mir im Büro steht und ich keine Lust habe im kalten Keller zu testen ich muss mal schauen, dass ich mir den WAN Port ins Büro patche wenn's über LAN nicht geht.
Wegen Management: ja, die Wohnungen sollen keinen Zugriff auf das Switch haben was sich ja per Regeln bzw durch entfernen des VLANs von den Wohnungsports bewerkstelligen lässt. Für meinen Test habe ich das zugelassen, da es das testen erleichtert wenn ich nur im Wohnungsnetz sein muss um sowohl den Zugriff aus dem Wohnungsnetz zu testen als auch das Switch zu konfigurieren ...
Wegen Tagged und Untagged: mein Basisverständnis sagt mir, dass Tagged VLANs für die Verbindungen in der Infrastruktur (Switch>Router, Switch>Switch) zuständig sind und nicht alle Geräte Tagged VLANs verstehen. Da die Fritzbox meines Wissens nach kein VLAN kann bzw. ich in meinem Szenario nicht weiß/wissen möchte was der Mieter da nutzt, habe ich den Port zum Wohnungsnetz Untagged gesetzt.
Sollte ich zwei Switche verwenden, wie weiter oben geschrieben, brauche ich einen Tagged Port für die Verbindung zwischen dem zentralen Switch und dem Wohnungs-Switch. So auch im letzten Link beschrieben, Stichwort Uplink Port.
Ich komme erst später wieder dazu zu testen, vorab eine Frage: ist die IP die ich dem VLAN Interface gebe unabhängig von dem Netzwerk an den das VLAN angeschlossen ist? Denn wenn ich wie bei meinen bisherigen Tests am LAN Port der Fritze hänge, vergibt die Fritzbox per DHCP natürlich eine IP. Die kann ich zwar auslesen und verwenden, sollte aber als unbekannt angesehen werden da ich in meinem Szenario ja nicht wissen will was der Mieter da für einen Router nutzt. Für den Test später nehme ich mit, dass ich keine statischen Routen benötige und mir die ACL Regeln ansehen muss und es vermutlich daran geklemmt hat.
Einer der Quellen für meine bisherigen Versuche ist übrigens dies hier: https://www.tp-link.com/us/support/faq/887/ . Ich erkenne jetzt aber, dass ich das statische Routing falsch verstanden habe ... dank dem letzten Link hier im Thread erkenne ich, dass die Route nur für den Internetzugang benötigt wird.
Wegen der Hardware: ich bin offen für anderes, die Ubiquiti Edge Geräte könnten ebenso spannend sein (bisher keine Erfahrung). TP-Link verplane ich bei den Einfamilienhäuser gerne, seit mir bzw. den Kunden Ubiquiti für den Zweck zu teuer geworden ist und schwieriger wurde zu beschaffen. Außerdem rennt Omada rein offline, was ich ganz charmant finde.
Danke schon mal bis hierhin!
Ich versuch mal zu antworten, chronologisch wird's wahrscheinlich nicht.Jeder Mieter soll seinen eigenen Internetzugang haben, deshalb habe ich in der Skizze auch nur zwei Weltkugeln drin. Die Haustechnik könnte einen Zugang haben oder den aus einer der Wohnungen mitbenutzen (so wäre es im 2-Familienhaus).
Die Mieter sollen Zugang zur Türsprechanlage haben (App, Display in Wohnung) und die KNX Visualisierung braucht Zugang zu der zentralen KNX Linie (IP Backbone).
In den Wohnungen befinden sich 2-3 Netzwerkgeräte die POE versorgt werden wollen und zur Wohnung gehören. In sofern macht es vermutlich eh Sinn ein kleines Switch in die Wohnungen zu packen, also zum Beispiel ein TL-SG3210. Es würde auch weiter Sinn machen, da ich so sicherstellen kann das die Geräte in den Wohnungen feste und bekannte IPs haben die sich nicht ändern weil jemand am Switch rumfummelt ...
An den WAN Port der Fritzbox hatte ich jetzt gar nicht gedacht, ich habe das Wohnungsnetz in meinem Test per LAN angeschlossen. Hintergrund ist auch, dass das Switch zum testen bei mir im Büro steht und ich keine Lust habe im kalten Keller zu testen
ich muss mal schauen, dass ich mir den WAN Port ins Büro patche wenn's über LAN nicht geht.Wegen Management: ja, die Wohnungen sollen keinen Zugriff auf das Switch haben was sich ja per Regeln bzw durch entfernen des VLANs von den Wohnungsports bewerkstelligen lässt. Für meinen Test habe ich das zugelassen, da es das testen erleichtert wenn ich nur im Wohnungsnetz sein muss um sowohl den Zugriff aus dem Wohnungsnetz zu testen als auch das Switch zu konfigurieren ...
Wegen Tagged und Untagged: mein Basisverständnis sagt mir, dass Tagged VLANs für die Verbindungen in der Infrastruktur (Switch>Router, Switch>Switch) zuständig sind und nicht alle Geräte Tagged VLANs verstehen. Da die Fritzbox meines Wissens nach kein VLAN kann bzw. ich in meinem Szenario nicht weiß/wissen möchte was der Mieter da nutzt, habe ich den Port zum Wohnungsnetz Untagged gesetzt.
Sollte ich zwei Switche verwenden, wie weiter oben geschrieben, brauche ich einen Tagged Port für die Verbindung zwischen dem zentralen Switch und dem Wohnungs-Switch. So auch im letzten Link beschrieben, Stichwort Uplink Port.
Ich komme erst später wieder dazu zu testen, vorab eine Frage: ist die IP die ich dem VLAN Interface gebe unabhängig von dem Netzwerk an den das VLAN angeschlossen ist? Denn wenn ich wie bei meinen bisherigen Tests am LAN Port der Fritze hänge, vergibt die Fritzbox per DHCP natürlich eine IP. Die kann ich zwar auslesen und verwenden, sollte aber als unbekannt angesehen werden da ich in meinem Szenario ja nicht wissen will was der Mieter da für einen Router nutzt. Für den Test später nehme ich mit, dass ich keine statischen Routen benötige und mir die ACL Regeln ansehen muss und es vermutlich daran geklemmt hat.
Einer der Quellen für meine bisherigen Versuche ist übrigens dies hier: https://www.tp-link.com/us/support/faq/887/ . Ich erkenne jetzt aber, dass ich das statische Routing falsch verstanden habe ... dank dem letzten Link hier im Thread erkenne ich, dass die Route nur für den Internetzugang benötigt wird.
Wegen der Hardware: ich bin offen für anderes, die Ubiquiti Edge Geräte könnten ebenso spannend sein (bisher keine Erfahrung). TP-Link verplane ich bei den Einfamilienhäuser gerne, seit mir bzw. den Kunden Ubiquiti für den Zweck zu teuer geworden ist und schwieriger wurde zu beschaffen. Außerdem rennt Omada rein offline, was ich ganz charmant finde.
Danke schon mal bis hierhin!
Jeder Mieter soll seinen eigenen Internetzugang haben
OK, dann vergiss dein urspüngliches obiges Konzept, das ist dann technisch so NICHT umzusetzen bzw. klappt nur mit einem gemeinsamen Internet Zugang über den L3 Switch.Es würde auch mit einem Wohnungs eigenen Zugang nur dann klappen, wenn in den Wohnungen entsprechende Routerhardware vorhanden ist die statisches Routing supportet. Zusätzlich muss du den Nutzern dann dort eine spezielle Konfig Vorgabe mit diesen Routen geben.
Mit völligen Laien ist das unter den Voraussetzungen zwar machbar aber unter den genanten Umständen so niemals praxistauglich umzusetzen.
Fazit: Vergessen und was Neues ausdenken...
mein Basisverständnis sagt mir, dass Tagged VLANs für die Verbindungen in der Infrastruktur (Switch>Router, Switch>Switch) zuständig sind
Das ist (meistens) auch richtig. Die hiesige VLAN Schnellschulung beantwortet alle deine Fragen zu dieser Thematik.1
Alternativ die Hausinfrastruktur per VPN bereitstellen, über verschiedene Protokolle, so dass sich ne Fritzbox per S2S IPSec oder das Handy per OpenVPN einloggen kann.
Oder aber die Infrastruktur ordentlich authentifiziert und gefirewallt gegen das Internet stellen und hoffen dass die niemand böses will.
VG
bitnarrator
PS: Das mit dem SaveConfig vor Neustart musste der Admin meiner Schule auch schmerzhaft feststellen. Naja admin / admin war ja schon grob fahrlässig am Core-Switch
Oder aber die Infrastruktur ordentlich authentifiziert und gefirewallt gegen das Internet stellen und hoffen dass die niemand böses will.
VG
bitnarrator
PS: Das mit dem SaveConfig vor Neustart musste der Admin meiner Schule auch schmerzhaft feststellen. Naja admin / admin war ja schon grob fahrlässig am Core-Switch
Guten Abend
ich hab noch mal ein wenig rumprobiert, aber ohne Erfolg ... sowohl in der Konfiguration "Switch Only" als auch mit einem Router dazwischen (Wohnungsnetz an LAN, Hausnetz an WAN)
Irgendwas in mir möchte oder kann nicht akzeptieren, dass das nicht so einfach möglich ist
Eine Option die es noch gibt ist alles an Infrastruktur nicht ins Wohnungsnetz zu hängen. Der Mieter hätte dann auf eigenen Devices nur per Remote (Internet) Zugriff auf die KNX Visualisierung oder Türstation. Was aber nichts machen dürfte, für den lokalen Zugriff gibt es ein Display.
Ob nun ein Switch pro Wohnung oder große Switche als Etagenverteiler ist ja einerlei. Einziger echter Nachteil ist, dass das Hausnetz dann Internet braucht.
Edit: den sehr prominenten Knopf "Save" habe ich dann jetzt auch gesehen ...
ich hab noch mal ein wenig rumprobiert, aber ohne Erfolg ... sowohl in der Konfiguration "Switch Only" als auch mit einem Router dazwischen (Wohnungsnetz an LAN, Hausnetz an WAN)
Irgendwas in mir möchte oder kann nicht akzeptieren, dass das nicht so einfach möglich ist
Eine Option die es noch gibt ist alles an Infrastruktur nicht ins Wohnungsnetz zu hängen. Der Mieter hätte dann auf eigenen Devices nur per Remote (Internet) Zugriff auf die KNX Visualisierung oder Türstation. Was aber nichts machen dürfte, für den lokalen Zugriff gibt es ein Display.
Ob nun ein Switch pro Wohnung oder große Switche als Etagenverteiler ist ja einerlei. Einziger echter Nachteil ist, dass das Hausnetz dann Internet braucht.
Edit: den sehr prominenten Knopf "Save" habe ich dann jetzt auch gesehen ...
Irgendwas in mir möchte oder kann nicht akzeptieren, dass das nicht so einfach möglich ist face-big-smile
Wie immer, kein Problem! Dazwischen steht nur (Deine) Lebenszeit 😁
Stell ggf. einfach jedem Mieter ein „fest“ verbundenes tablet als Interface für Haussteuerung zur Verfügung.
rumprobiert, aber ohne Erfolg
Wurde dir ja oben auch schon mehrfach gesagt. Das ursprüngliche Konzept ist zwar technisch richtig lässt sich aber nicht praxistauglich umsetzen.Das es bei dir im Test nicht klappt liegt sehr wahrscheinlich daran das du im Router in den jeweiligen Mieternetzen schlicht und einfach vergessen hast eine statische Route in die oder das Haustechnik, Türstation Netz einzutragen. (Grundlagen dazu auch hier).
Die Mieterrouter haben ja per Default immer nur eine Default Route ins jeweilige Provider Netz. Würden also alles was nicht ihr eigenes Netz ist zum Provider senden. Es ist deshalb zwingend auf diesen Mieterroutern eine statische Route für das Haustechnik, Türstations Netz zu setzen. Fehlt diese Route, senden sie die Pakete an den Provider und damit ins Nirwana. Diese Route fehlt also bei dir!
Genau an diesem Punkt krankt leider, wie oben auch schon mehrfach gesagt, das ganze Konzept.
Die meisten der billigen Provider Mietrouter supporten keine solchen statischen Routen und Laien benötigen eine detailierte Anleitung sowas zu konfigurieren sofern sie denn überhaupt eine Router Hardware einsetzen die das supportet. Das zu beurteilen erfordert ebenfalls etwas IT Basiskenntnisse. Diese Anforderung in der Praxis laientauglich umzusetzen ist nur schwer möglich. Es sei denn du willst freiwillig am Telefon oder vor Ort mehrere Support Stunden leisten.
Einziger echter Nachteil ist, dass das Hausnetz dann Internet braucht.
Nein, das ist unsinnig. Internetzugang benötigt das Hausnetz nur dann wenn du dessen Komponenten ggf. online updaten musst oder willst oder diese Komponenten irgendwie cloudtechnisch eine Herstelleranbindung erzwingen. Letzteres wäre z.B. bei einer Türkamera usw. DSGVO nicht legal. Ansonsten ist ein Internet Zugang nicht erforderlich.
Guten Morgen
Das scheint dann wohl der Grund zu sein ... ich hatte am Freitag noch mal die Gelegenheit mit einem Head of IT eines deutschen Mittelständlers zu sprechen, der zeigte sich verwundert das das nicht gehen sollte weil die Unterteilung in Sub-Netze, teils mit eigenem DHCP, ja nichts exotisches ist. Aber klar, wenn der "Default-Router" alles unbekannte ins WWW sendet kann am LAN Port oder WAN Port hängen was will, es wird dort niemals ankommen.
Dann bleibt der Weg über die Cloud oder eben Hardware vorgeben (nein ...).
Zur Cloud: ich verplane gerne Sprechanlagen von 2N. Da gibt es keinen Cloud-Zwang, aber für den Fernzugriff mit mobilen Endgeräten gibt es eine kostenpflichtige Cloud-Lösung. Die ist tatsächlich auch die Standardlösung für Mehrfamilienhäusern, ich denke ich weiß nun wieso ;) DSGVO-technisch muss ich davon ausgehen, dass 2N das sauber umsetzt.
Für mein konkretes Vorhaben bedeutet das, dass ich das Hausnetz vom Wohnungsnetz des Eigentümers mit VLANs segmentiere und ins WWW bringe (Hardware gebe ich dann vor) und die Türsprechanlage per Cloud in die Mieterwohnung kommt. Es gibt noch einen 2-Draht-Ethernet Adapter von 2N, ich möchte mal noch klären ob das nicht eine Alternative wäre.
In jedem Fall danke ich für den Support und wünsche allen eine schöne Woche!
Zitat von @acqui:
Die Mieterrouter haben ja per Default immer nur eine Default Route ins jeweilige Provider Netz. Würden also alles was nicht ihr eigenes Netz ist zum Provider senden. Es ist deshalb zwingend auf diesen Mieterroutern eine statische Route für das Haustechnik, Türstations Netz zu setzen. Fehlt diese Route, senden sie die Pakete an den Provider und damit ins Nirwana. Diese Route fehlt also bei dir!
Die Mieterrouter haben ja per Default immer nur eine Default Route ins jeweilige Provider Netz. Würden also alles was nicht ihr eigenes Netz ist zum Provider senden. Es ist deshalb zwingend auf diesen Mieterroutern eine statische Route für das Haustechnik, Türstations Netz zu setzen. Fehlt diese Route, senden sie die Pakete an den Provider und damit ins Nirwana. Diese Route fehlt also bei dir!
Das scheint dann wohl der Grund zu sein ... ich hatte am Freitag noch mal die Gelegenheit mit einem Head of IT eines deutschen Mittelständlers zu sprechen, der zeigte sich verwundert das das nicht gehen sollte weil die Unterteilung in Sub-Netze, teils mit eigenem DHCP, ja nichts exotisches ist. Aber klar, wenn der "Default-Router" alles unbekannte ins WWW sendet kann am LAN Port oder WAN Port hängen was will, es wird dort niemals ankommen.
Dann bleibt der Weg über die Cloud oder eben Hardware vorgeben (nein ...).
Zur Cloud: ich verplane gerne Sprechanlagen von 2N. Da gibt es keinen Cloud-Zwang, aber für den Fernzugriff mit mobilen Endgeräten gibt es eine kostenpflichtige Cloud-Lösung. Die ist tatsächlich auch die Standardlösung für Mehrfamilienhäusern, ich denke ich weiß nun wieso ;) DSGVO-technisch muss ich davon ausgehen, dass 2N das sauber umsetzt.
Für mein konkretes Vorhaben bedeutet das, dass ich das Hausnetz vom Wohnungsnetz des Eigentümers mit VLANs segmentiere und ins WWW bringe (Hardware gebe ich dann vor) und die Türsprechanlage per Cloud in die Mieterwohnung kommt. Es gibt noch einen 2-Draht-Ethernet Adapter von 2N, ich möchte mal noch klären ob das nicht eine Alternative wäre.
In jedem Fall danke ich für den Support und wünsche allen eine schöne Woche!
wenn der "Default-Router" alles unbekannte ins WWW sendet kann am LAN Port oder WAN Port hängen was will
Eine Menge an Consumer Routern, allen voran die bekannte FritzBox, supporten ja statische Routen im Setup so das man das Problem dann mit einem einfachen statischen Routing Eintrag im Handumdrehen fixen kann und es dann alles problemlos rennt mit deinem Setup.Leider können das aber eben nicht alle dieser einfachen Router....
Ja und ich möchte Eingriffe in den Kundenrouter vemeiden, wenn irgendmöglich ...
Verständlich....
Allerdings ist das auch immer die Crux in deinem Konzept, denn das erzwingt immer diese statische Route auf den Wohnungsroutern.
Entweder machst du also Mietern eine klare Hardware Vorgabe bei Ihren Routern oder du musst dein Konzept überdenken. Anders wirst du es nicht lösen können.
Allerdings ist das auch immer die Crux in deinem Konzept, denn das erzwingt immer diese statische Route auf den Wohnungsroutern.
Entweder machst du also Mietern eine klare Hardware Vorgabe bei Ihren Routern oder du musst dein Konzept überdenken. Anders wirst du es nicht lösen können.
Das hatte ich schlicht nicht auf dem Schirm, die Sache mit der statischen Route bei "Default Routern". Wieder was gelernt ... wie gesagt, dann bleibt nur der Weg über die Wolke.
dann bleibt nur der Weg über die Wolke.
Das ist sehr gefährlich, denn wann jemand kommt und geht, die Tür aufmacht oder sonstwas im Haus sind das schützenswerte persönliche Daten. Ganz besonders wenn noch eine Tür Kamera usw. involviert ist die Gesichter oder Personen aufnimmt.Hier bewegst du dich rechtlich auf sehr sehr dünnem Eis. Wenn einer der Mieter da klagt hast du sehr schlechte Karten denn die DSGVO Strafen sind bei solchen Vergehen empfindlich hoch. Prüfe sowas also vorher sehr genau!
