Ankündigung

Einklappen
Keine Ankündigung bisher.

KNX Server im Mehrfamilienhaus

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    KNX Server im Mehrfamilienhaus

    Hi Zusammen,

    ich bin gerade an der Planung für eine 2 Familienhaus. Also Erdgeschoss Familie A und Obergeschoss Familie B.
    KNX Topologie ist soweit klar. Eine Hauptlinie an der auch allgemeine Geräte wie Wetterstation und PM's im TRH hängen.
    Dann je eine Sublinie für die beiden Geschosse.
    Mein Problem ist jedoch das Handling des KNX Servers. Dieser wird aus Kostengründen nur einmal verbaut.
    In dem Gebäude gibt es 2 getrennte Telefonanschlüsse.
    Meine Idee wäre wie folgt:
    Ich fahre mit den beiden Telefonanschlüssen auf je eine Fritzbox. Mit den 2 Fritzboxen fahre ich auf einen Managed Switch mit VLAN.
    Dann bekommt jeder sein eigenes VLAN welche die LAN Anschlüsse der Wohnungen versorgt. Den KNX Server würde ich dann auf einen Port hängen auf den beide Parteien zugreifen können.
    Passt das so ungefähr? Oder gibts schönere Möglichkeiten.

    Und wie mache ich es dann mit der Sprechanlage? Ist eine 2N IP Verso. In jeder Wohnung hängt ein Tablet mit der 2N Mobile App. Allerdings benötigt diese App ja eine konstante Internetverbindung Zur Sprechanlage.
    Ich müsste also die Sprechanlage auf eines der beiden privaten VLAN's hängen, richtig?

    Grüße


    #2
    Alles aber auch wirklich alles schön getrennt halten ... wirklich aber auch wirklich alles Mal 2

    Kommentar


      #3
      Zitat von Hugo1956 Beitrag anzeigen
      Hi Zusammen,

      ich bin gerade an der Planung für eine 2 Familienhaus. Also Erdgeschoss Familie A und Obergeschoss Familie B.
      KNX Topologie ist soweit klar. Eine Hauptlinie an der auch allgemeine Geräte wie Wetterstation und PM's im TRH hängen.
      Dann je eine Sublinie für die beiden Geschosse.
      Mein Problem ist jedoch das Handling des KNX Servers. Dieser wird aus Kostengründen nur einmal verbaut.
      In dem Gebäude gibt es 2 getrennte Telefonanschlüsse.
      Meine Idee wäre wie folgt:
      Ich fahre mit den beiden Telefonanschlüssen auf je eine Fritzbox. Mit den 2 Fritzboxen fahre ich auf einen Managed Switch mit VLAN.
      Dann bekommt jeder sein eigenes VLAN welche die LAN Anschlüsse der Wohnungen versorgt. Den KNX Server würde ich dann auf einen Port hängen auf den beide Parteien zugreifen können.
      Passt das so ungefähr? Oder gibts schönere Möglichkeiten.

      Und wie mache ich es dann mit der Sprechanlage? Ist eine 2N IP Verso. In jeder Wohnung hängt ein Tablet mit der 2N Mobile App. Allerdings benötigt diese App ja eine konstante Internetverbindung Zur Sprechanlage.
      Ich müsste also die Sprechanlage auf eines der beiden privaten VLAN's hängen, richtig?

      Grüße
      Nicht richtig.
      Die nachfolgende Antwort behandelt das Thema eher aus Sicht der besten Performance und Sicherheit und nicht nur aus Kostengründen.
      Günstigere Komponenten können ebenalls gute Ergebnisse liefern, benötigen meist auch mehr Implementierungs-Zeit.

      Ich würde schon mal keine Fritzboxen einsetzen, da einige Dinge einfach nicht funktionieren damit. Beispiel: eigene Domäne, mehrere Domänen, Trunk-Ports, verschiedene VPN-Implementierungen, VLANs, mehrere Subnetze, Captive Portal, etc., das alles kann eine Fritzbox nicht. Sie kann noch nicht mal ein Gästenetz für LAN und auch kein WLAN, wenn sie im internen Netz hängt.

      Ich würde Multi-WAN umsetzen, nach Möglichkeit zwei verschiedene Provider, z.B. VDSL & Kabel, die entsprechenden Kosten müssen aufgeteilt werden.
      Die beiden Modems (ganz einfache, wo es geht im Bridge-Mode betreiben, bei Kabel wird das eher schwierig) hängen dann an einer pfSense, die weiter routet, DHCP/DNS macht, auch für verschiedene VLANs oder Domänen und letztendlich auch VPN bereit stellt.

      Damit kann man alles trennen. Übergreifende Komponenten brauchen ein eigenes VLAN, dazu gehört VoIP und auch das Infrastruktur-Netz, die Gäste-Netze, Captive Portal, etc.
      Über angebundene WLAN-Accesspoints, z.B. Ruckus R510/R610, kann man beliebige SSIDs, sprich WLAN-Netze hoch ziehen. Der Vorteil ist, dass es keine Interferenzen gibt. Getrennte WLAN-Netze sind immer kontraproduktiv und nach Möglichkeit zu vermeiden. Die Aussage, alles zu trennen, halte ich für grundsätzlich richtig, das braucht aber deshalb nicht alles doppelt angeschafft zu werden.

      Man kann sehr wohl alles sauber trennen, hat die beste Performance, und das beste Preis-Leistungsverhältnis.
      Telefonie würde ich in ein eigenes VLAN legen. Ein aktueller Raspberry mit 4 oder besser 8GB RAM im Hutschienen-Alu-Gehäuse mit 3CX drauf macht dann Video und Voice. Ein managed Switch ist die Voraussetzung, am besten ein Layer-3 Switch, wenn es um Performance geht. Wir setzen hier ausschließlich Cisco ein, da meist auch größere Netze aufgebaut werden und wir keine Überraschungen mögen. Alternativ zum Raspberry kann man einen minimal größeren Server einsetzen mit z.B. Proxmox drauf oder FreeNAS mit entsprechenden VMs oder Jails. Das Ganze laufend auf HBAs und entsprechenden Platten oder SSDs oder beides und darauf dann dann einen schönen ZFS-Pool oder gleich ein CEPH-Cluster. Ein "richtiger" Server hat den Vorteil der höheren/ausbaubaren Ausfallsicherheit.

      Das jeweilige Tablet wird eine jeweils eigene Visualisierung benötigen. Das kann man mit eigenen Instanzen regeln, man kann auch über einen Trunk-Port verschiedene VLANs leiten. Die pfSense und die L3-Switche sind hier das Bindeglied. Es können auch auf dem Raspberry, der/den VMs auf dem/den FreeNAS-/Proxmox-Servern, etc., zwei Instanzen für verschiedene VLANs über einen Ethernet-Port implementiert werden.
      Da geht schon ziemlich viel, aber derjenige, der das umsetzt, braucht die entsprechende Erfahrung oder die Bereitschaft, dazu zu lernen.





      Kommentar


        #4
        Da das Thema Ruckus angesprochen wird...

        Wenn mal bsp 4 Ruckus R610 sich gönnen würde ... wie geht das Spiel dann weiter? Cisco Poe Switch und Cisco Router vorhanden sind .. was wird für Ruckus benötigt und wie wird das konfiguriert? Lokal ? Cloud?

        Kommentar


          #5
          Zitat von hubidoo Beitrag anzeigen
          das alles kann eine Fritzbox nicht. Sie kann noch nicht mal ein Gästenetz für LAN
          Das stimmt so allgemein nicht. Viele FritzBoxen erlauben, den LAN-Port 4 als Gästeanschluss zu konfigurieren:
          image_104941.png

          Kommentar


            #6
            Hmm ... mein Ansatz wäre hier, dass jede Wohnung eigenes Netzwerk bekommt, und dann gibt es noch ein Netz für die gemeinsam genutzten IP-Geräte ... idealerweise hat auch das Gemeinschaftsnetzwerk seinen eigenen Zugang zum Internet

            Kommentar


              #7
              Zitat von McKenna Beitrag anzeigen
              Da das Thema Ruckus angesprochen wird...

              Wenn mal bsp 4 Ruckus R610 sich gönnen würde ... wie geht das Spiel dann weiter? Cisco Poe Switch und Cisco Router vorhanden sind .. was wird für Ruckus benötigt und wie wird das konfiguriert? Lokal ? Cloud?
              Die Ruckus unleashed Version braucht keinen Controller und damit auch keine Lizenzen. Der erste Accesspoint wird eingerichtet, alle weiteren binden sich automatisch ein.

              Kommentar


                #8
                Zitat von hyman Beitrag anzeigen

                Das stimmt so allgemein nicht. Viele FritzBoxen erlauben, den LAN-Port 4 als Gästeanschluss zu konfigurieren:
                Im allgemeinen nicht, aber im speziellen:
                Im Betrieb über einen anderen Router (IP-Client-Betrieb), wie z.B. pfSense, steht das nicht zur Verfügung.

                Warum das so ist, kann deren Support auch nicht beantworten, das ist die Produktphilosophie.
                Die Antworten von AVM zu solchen Themen beginnen in der Regel so oder so ähnlich:
                "Zunächst bitte ich sie hierbei zu beachten, dass es sich bei der FRITZ!Box um einen Consumer-Router für den Privathaushalt handelt..."

                • stehen die Funktionen Kindersicherung und Gastzugang nicht zur Verfügung.
                Die FRITZ!Box kann die vorhandene Internetverbindung eines anderen Routers mitbenutzen. Dadurch können Sie die FRITZ!Box an einem Internetanschluss einsetzen, bei dem der Internetanbieter den Einsatz eines speziellen, von ihm gelieferten Routers mit fest eingetragenen Zugangsdaten (Integrated Access Device, IAD) vorschreibt. ganz einfach in eine bereits bestehende Netzwerkinfrastruktur integrieren. als Telefonanlage verwenden und mit allen mit der FRITZ!Box verbundenen Telefonen über den Router telefonieren. Sie können die FRITZ!Box als IP-Client oder als kaskadierten Router einrichten. Welche Betriebsart am sinnvollsten ist, hängt von Ihren Anforderungen ab. Falls es sich bei dem anderen Router um eine FRITZ!Box handelt, gehen Sie wie in der Anleitung FRITZ!Box als Mesh Repeater einrichten beschrieben vor.
                Zuletzt geändert von hubidoo; 06.12.2020, 12:13.

                Kommentar


                  #9
                  EugenDo ich sehe das genauso.

                  Jede Wohnung ein eigenes Netz und einen eigenen Internet Anschluss. Jede Wohnung ein eigener KNX Bereich. Das Haus selbst bzw der allgemeine Bereich bekommt ein eigenes Netz. Eben alles sauber trennen.

                  Das schwierigste, darüber mache ich mir im Moment Gedanken, ist die Verbindung der Wohnungen mit dem Allgemeinen Netz. Denn man möchte verhindern, dass über den Router des Allgemeinen Netzes eine Partei Zugang zur anderen Partei bekommt.

                  Da bin ich im Gespräch mit einem Unifi Netzwerker, aber auch er ist sich nicht sicher wie sauber sich das trennen lässt. Sicher ist, dass der NVR in der DreamMachine Pro nicht von mehreren VLANs von außen zugänglich ist. Was ich aber nicht tragisch finde.

                  Frage ist dann auch die Verbindung eines Displays an der Wand für Visu und Türstation. Da könnte aber zum Beispiel ein @peaknx helfen: Netzwerk wäre das Hausnetz für die Tür und KNX über eben KNX.

                  Wichtig ist auch Bereiche, über die eine Partei Zuganh zur anderen Partei bekommen könnte, physisch zu sichern. Entweder Glasfaser, abgeschlossene Tür oder abgeschlossener Schrank.

                  Kommentar


                    #10
                    hubidoo: Sehr ausführliche Antwort. Vielen Dank dafür. Hört sich für mich nach der perfekten Lösung an... Hast du ja auch geschrieben, dass deine Antwort aus Sicht der besten performance ist. allerdings finde ich das für ein 2 Parteien Haus fast zu Oversized. Das müsste doch auch einfacher, selbstverständlich mit Einbußen in Funktion/Sicherheit gehen.

                    Ich habe meine Überlegung mal skizziert. Mich würde vor allem mal interessieren, wo hier die Schwächen liegen, bzw. was nicht funktioniert.
                    Wenn mir das jemand erklären könnte, wäre ich echt dankbar.

                    Grüße


                    NetzwerkÜbersicht.PNG


                    Kommentar


                      #11
                      Zitat von BlackDevil Beitrag anzeigen
                      EugenDo ich sehe das genauso.

                      Jede Wohnung ein eigenes Netz und einen eigenen Internet Anschluss. Jede Wohnung ein eigener KNX Bereich. Das Haus selbst bzw der allgemeine Bereich bekommt ein eigenes Netz. Eben alles sauber trennen.

                      Das schwierigste, darüber mache ich mir im Moment Gedanken, ist die Verbindung der Wohnungen mit dem Allgemeinen Netz. Denn man möchte verhindern, dass über den Router des Allgemeinen Netzes eine Partei Zugang zur anderen Partei bekommt.

                      Da bin ich im Gespräch mit einem Unifi Netzwerker, aber auch er ist sich nicht sicher wie sauber sich das trennen lässt. Sicher ist, dass der NVR in der DreamMachine Pro nicht von mehreren VLANs von außen zugänglich ist. Was ich aber nicht tragisch finde.

                      Frage ist dann auch die Verbindung eines Displays an der Wand für Visu und Türstation. Da könnte aber zum Beispiel ein @peaknx helfen: Netzwerk wäre das Hausnetz für die Tür und KNX über eben KNX.

                      Wichtig ist auch Bereiche, über die eine Partei Zuganh zur anderen Partei bekommen könnte, physisch zu sichern. Entweder Glasfaser, abgeschlossene Tür oder abgeschlossener Schrank.
                      Genau das ist das Problem an einer Fritzbox-Unifi-Einzelnetz-Lösung mit gemeinsamen Allgemeinnetz. Sobald mehrere Netze ins Spiel kommen, lässt sich das nicht sauber trennen. Das gibt die Fritzbox nicht her, das gibt Unifi nicht ganz her. Geschweige denn, eigene/zusätzliche/mehrere Domänen.
                      Eine Fritzbox ist ein Standalone-Privatkundenprodukt und nicht dafür ausgelegt, mehrere Netze zu verwalten.
                      Dasselbe gilt so fast auch für Unifi. Der Fokus ist nicht die Integrationsfähigkeit, sondern der einzelne Privatkunde. Unifi kann zwar schon ein wenig mehr, aber ist auch beschränkt.

                      Es gibt sicher eine Berechtigung für die Produkte, aber eben nicht in jedem Fall für alles. Ich denke schon, dass man statt Ruckus auch UniFi APs nehmen kann im kleineren Umfeld, wenn dazu der Rest passt.
                      Mir persönlich liegt die UniFi UI nicht wirklich und Ruckus spielt einfach in einer anderen Liega. Gut, wir verwenden das aber auch, um mehrere Hotels zentral zu verwalten. Man braucht nicht so viele Accesspoints und vor allen Dingen kann man da locker 300 aktive Clients mit bedienen ohne dass da irgendwas in die Knie geht.
                      Das läuft extrem stabil alles, daher ist das immer die erste Wahl für uns. Das UniFi Firewall-Teil ist eher ein WLAN-Controller und aus Security-Sicht bin ich mir nicht sicher, ob die 100.000 Skripte und Configs tatsächlich alle das machen, was sie sollen. Eine Feingranulare Kontrolle ist damit jedenfalls nicht möglich, aus diesem Grund verwenden wir die pfSense und nicht was anderes. Da OPNsense kein Feature bietet, was pfBlockerNG in der pfSense verrichtet, ist es eben auch keine OPNsense geworden.

                      Weiter gedacht, wie ist das dann bei drei, vier, fünf oder mehr Wohnungen? Jedes WLAN-Netz gegen alle anderen?
                      Was darf aus welchem Netz im Allgemeinnetz erreicht werden und wie verhindere ich das dann, was ich nicht möchte?
                      Wie verwalte ich zentral VPN-Zugänge und wie weise ich Rollen und Rechte zu?
                      Wie stelle ich ein eigenes Gastnetz bereit, welches für neue Teilnehmer nur eine Zeit t verwendbar ist (Stichwort "captive portal & Vaucher")?
                      usw.
                      Das geht alles nur, wenn die Komponenten das hergeben.

                      Wenn kein Budget vorhanden ist, dann kann man ja auch eine günstige Firewall Appliance mit vier LAN Ports von Amazon oder Ebay nehmen und pfSense installieren.
                      Oder man nimmt die neue Netgate SG-2100. Die verbauen wir gerade in der 32GB-Variante für kleinere Kunden. Die sind top, günstig und die aktuelle pfSense ist vorinstalliert.
                      Wenn das Geld knapp ist, tut es auch ein gebrauchter Cisco SG350-28MP, der kostet dann nicht mehr, als ein neuer Netgear, hat aber PoE+ und sogar zwei Ports bis 60W. Und wie gesagt, für die WLAN-Lösung kann man UniFi APs nehmen. Reine VDSL-Supervectoring-Modems, wie z.B. das Zyxel VDSL2, bekommt man nachgeworfen. Vorteil bei Dual-WAN: ich habe, wenn es drauf ankommt eine insgesamt höhere Bandbreite zur Verfügung und/oder habe eine höhere Ausfallsicherheit.

                      Für Telefonie hängt man einen passive gekühlten RPi 4B mit 8GB RAM und M.2 SSD in den Verteilerschrank, macht 3CX drauf únd hängt das ins VoIP-Netz, fertig.
                      Der 4er RPi hat so viel Dampf, der kann noch mehr, z.B. KNX-Dongle im Netz bereit stellen, Homebridge für HomeKit, der/die DLNA-Server über 1-n Media-VLANs in Verbindung mit einem NAS, z.B. FreeNAS mit ZFS. Bei FreeNAS kann man auch ein jeweiliges jail einrichten für jedes Subnetz und sogar das sauber trennen. Der DLNA-Server kann dann auch gleich Multiroom-Audio bedienen und eigentlich kann er auch den eibPort ersetzen. enOcean kann der PPi auch mit entsprechendem Cape. Das eibPort-Konzept finde ich auch etwas gewöhnungsbedürftig, das muss man mögen.

                      Alles zusammen dürfte das Setup nicht wirklich so viel teurer sein, als der "Fritzbox-Versuch" mit Repeatern, aber er spielt am Ende in einer ganz anderen Liga und man macht sich das Leben wesentlich leichter auch im Hinblick auf zukünfitge Implementierungen.

                      Kommentar


                        #12
                        Liest sich für mich alles sehr kompliziert... ich würde für die Allgemeinheit einen LANCOM Router nehmen ... der Rest sind nur paar Routing und Firewall Regeln ... pro WE dann eine Schnittstelle, die dann als Gateway zum Allgemeinnetz dient ... da ist noch nicht mal VLAN Konfiguration nötig

                        Kommentar


                          #13
                          Zitat von EugenDo Beitrag anzeigen
                          Liest sich für mich alles sehr kompliziert... ich würde für die Allgemeinheit einen LANCOM Router nehmen ... der Rest sind nur paar Routing und Firewall Regeln ... pro WE dann eine Schnittstelle, die dann als Gateway zum Allgemeinnetz dient ... da ist noch nicht mal VLAN Konfiguration nötig
                          Kompliziert wird das nur, wenn man es nicht so macht.
                          Lancom? Das kann nicht dein ernst sein, deren Kram ist im letzten Jahrtausend hängen geblieben.
                          VLAN halte ich schon für wichtig, schon mal alleine deshalb, weil ich nicht möchte, dass irgendwelche Pakete aus einem Netz im anderen landen, z.B. Broadcasts, DHCP requests, etc.

                          Kommentar


                            #14
                            Ich hab das Gefühl, dass du dich gerade verrennst.

                            Mal anders gefragt: Gehört jedem seine Wohneinheit oder gibts einen Vermieter? Bist du der Vermieter?
                            Dein Setup würde ich in keinem der Fälle so machen, da du auf verschiedensten Ebenen die Verantwortungen im späteren Betrieb mischt.

                            Wem gehört später der Server, wer pflegt die Hauptlinie, wer patched die Netzwerk-Hardware, wer ersetzt die Wetterstation und was ist, wenn ein Mieter seinen Internet/Switch/Fritzbox nicht mehr haben will?

                            Kommentar


                              #15
                              Wäre ich der Mieter, hätte ich ein massives Problem damit, wenn jemand anderes mein Netz administriert bzw. meinen Traffic sehen könnte.

                              Kommentar

                              Lädt...
                              X