Failover ist bei mir nötig, da die beiden Internet-Zugänge nicht rund um die Uhr stabil laufen

bzgl. L3-Routing: Thema war doch Netzwerk-Entwurf für sicheres Smart Home?

Da versuche ich möglichst mit Standard-HW und wenig Geräten günstig auszukommen (KISS)
Also macht mein L3 das VLAN-Routing und stellt DHCP zur Verfügung.
Ein professioneller, zusätzlicher Router wäre mir zu teuer bzw. würde das Setup nochmal fehleranfällig machen.

Unter "professionell" verstehe ich dabei alle Hersteller die auch im Firmeneinsatz bei größeren Firmen wiederzufinden sind (zB. HP, Ariba, Cisco, Meraki, Intel, Brocade, D-Link-nicht die Home Reihe,...). (Mikrotik und Ubiquiti können zwar vielleicht vieles besser als die og. sind aber selten oder nie dort wiederzufinden und mir zuviel Bastelei und softwarelastig)

Zudem ist mir persönlich eine gute GUI lieber als ein Terminal-Fenster (was nicht heißt das man das manchmal auch unbedingt benötigt).
Das hilft mir persönlich den schnellen Überblick zu behalten - ist aber Geschmackssache.

Die vielen VLANs hosten natürlich nicht jeder nur ein Gerät und sind natürlich getrennt (ACLs im L3) und erlaubt genügend Flexibilität.
Ich habe nämlich am L3 derzeit 6 zT. kleinere Switche hängen und habe dadurch im ganzen Haus (je nach Konfig) einen normalen Client oder einen DMZ oder direkten WAN Port. Außerdem erlaubt die Trennung von VoIP, Video VLAN QOS Priorisierung.

Aber ich denke bzgl. SmartHome ist beim Netzwerk vor allem Erreichbarkeit und Sicherheit wichtig:
1. Muss Dein Smarthome vom Internet aus erreichbar sein?
2. Muss Dein Smarthome von Rechnern aus im LAN, W-LAN erreichbar sein?
3. Musst Du für Dein Smarthome irgendwelche Ports zum Internet oder LAN/W-LAN aufmachen
Dementsprechend muß Dein Netzwerk aufgebaut werden.

Gruß
Franc

Da hab ich jetzt ganz schön für Verwirrung gesorgt - sorry, ich kenn den Unterschied zwischen einem Router und einem L2/L3-Switch, auch wenn ich mich oben verschrieben habe.

Also das wird ja wesentlich komplizierter als ich dachte, sind da nicht ein paar Punkte ohnehin längst klar?
Was bedeutet gleich mal der erste Punkt. Ich hab doch schon ein paar Entwürfe gezeichnet, was war daran noch unklar?

Genau, was denn sonst, hast du meinen Entwurf nicht gesehen?

Da sind wir doch auch schon längst darüber im Klaren.

OK, die erste Frage, mit der ich konkret etwas anfangen kann. Nachdem ich bisher immer nur von DSL-Modems gesprochen hab, war eigentlich klar, dass ich mich darauf konzentriert habe. Das liegt aber nur daran, dass ich andere Varianten kaum kenne. Ich möchte die Sache aber jetzt nicht noch komplizierter machen, als sie ohnehin schon ist, und bleibe daher mal bei DSL.

Dieses Thema habe ich, wie bereits geschrieben, bisher übersehen. Da muss ich noch googeln, wie das bei modernen TK-Anlagen heute gemacht wird. Eine SIP-TKS muss aber über alle DECT- (und wenn möglich auch WLAN) Geräte verfügbar sein. (mir fällt gerade auf: TK steht für Tele-Kommunikation, TKS aber für Tür-Kommunikations-System, etwas verwirrend)

Aktuell haben wir 6 DECT-Geräte (in jedem größeren Raum eines), mehr werden wir auch in Zukunft nicht benötigen.

Hab ich noch nicht drüber nachgedacht. Welche Geräte würden da dann aussteigen?
Das ist übrigens ein sehr gutes Beispiel dafür, was ich meine. Wenn ich heute ein Gerät auswähle, das dafür nicht geeignet ist, und in 3 Monaten dann ein neues kaufe, usw. dann kaufe ich bei jeder neuen Anforderung gleich ein komplettes Set an IT-Geräten neu. Das kann's doch nicht sein, ich dachte eigentlich, moderne Geräte können so etwas.

Geht es bei dieser Frage jetzt um die Trennung in unterschiedliche VLANs und die Regeln der FW, oder zielt das auf etwas anderes ab?

Da sind wir doch dann bereits bei der Konfiguration des Netzwerks und nicht mehr bei der Auswahl der Komponenten.

Was darf gehen uns was nicht?

> Genau, welche Protokolle sollen zwischen welchen Geräten hin- und hergeschickt werden dürfen und welche eben nicht? Hieraus leitet sich ab, wie viel Subnetze du brauchst und hieraus wiederum die notwendige Hardware, um dies umzusetzen.

Wie definierst DU für DICH Sicherheit?

> Wie schützenswert sind deine Daten? Welche Geräte sind zugänglich? Was brauchst du wirklich? Extrembeispiel: Visualisierst du nur die Temperatur deiner Gartenzwerge oder kann man dein Haus per IP aufschließen? Je nachdem ist natürlich ein anderer Aufwand in Sachen Netzwerkinfrastruktur gerechtfertigt. Grundsätzlich gilt für MICH: je weniger zu schützen ist, desto besser! Beispiel: NAS ggfs. in ein lokales Netz hängen, ohne Verbindung zum WAN => Zwar kein Zugriff von unterwegs (kann so mancher verschmerzen) dafür aber auch kein Hirnschmalz für Absicherung vonnöten. Durch derartige clevere Trennung sorgst du dafür, dass selbst im worst-case die Auswirkungen erträglich bleiben. Manchmal ist weniger mehr. Wo liegt dein „Sweet-Spot“?

Was hat die Anzahl der Subnetze mit den Protokollen zu tun, kannst du da mal ein Beispiel nennen?


Das Beispiel wurde schon mal gebracht, genau deshalb ist in meinem Bild das NAS auch ins IoT-Lokal gewandert. Das gleiche wurde auch bezüglich DECT angesprochen, da war ich mir aber nicht so sicher, ob das sehr schlau ist.

Aber eigentlich ist das doch jetzt wieder nur eine Frage, die vom ursprünglichen Thema ablenkt.
Ob ich jetzt Gerät A ins VLAN 1 hänge oder ins VLAN 2, warum ist das jetzt die all entscheidende Frage, ohne die ich nicht in der Lage bin, geeignete Komponenten auszuwählen?

Ich hab echt das Gefühl, wir dreh'n uns hier im Kreis.

Ja wir drehen uns im Kreis. Du hast jetzt mehrfach die Aufforderung erhalten dich konkret mit deinen Anforderungen zu beschäftigen. Das tust du aber nicht und willst von uns die Antwort kauf dir einen LKW, wobei die passendere Lösung ein 250km/h erreichende Limousine wäre.

Wenn du diese ganzen internen Routing, Firewall, Filterfunktionen nicht brauchst, warum sollten wir dir dann ein Gerät empfehlen das das kann, du es aber garnicht einrichten kannst. Oder du SIP nicht im Router (Bintec Be.IP, Fritzbox, Lancom) sondern dahinter (Asterisk, fertige Blackbox wie Innovaphone oder Yeaster) betreiben möchtest (ggf. SIP ALG nötig). Am Ende stellt sich heraus, deine Hütte ist klein genug (auch im Bezug auf Dämpfung, Störquellen, etc.), dass mit passendem Equipment ein WLAN Sender reichen würde. Aktuell planst du aber mit 2-3 Sendern, weil du irgendwo gelesen hast "man braucht garantiert mehrere WLAN Sender".

Oder es stellt sich heraus, dass du keinerlei WLAN IoT Geräte hast. Wofür dann überhaupt ein WLAN Sender der mehrere VLANs kann? Thema Accesscontrol für Gäste habe ich ja bereits angesprochen, dass hierfür nicht zwingend ein extra VLAN nötig ist.

Ich habe das bei Deinen zuvor formulierten "Anforderungen" schon irgendwie vermutet, dass Du Dir das etwas einfacher vorgestellt hast ;-) Auch wenn man glaubt, dass eine Anforderung "klar" ist, dann muss man Sie trotzdem erst mal dokumentieren. Andere haben nämlich vielleicht eine ganz andere Vorstellung und setzen etwas anderes als "klar" und "selbstverständlich" voraus.

Die Entwürfe im ersten Posting habe ich natürlich gesehen, aber sind keine Anforderungsdefinition, sondern eher eine grobe Lösungsskizzen. Ob bestimmte Eigenschaften auf Grund von real existierenden Anforderungen, oder Zufällig durch die Art der technischen Lösungen gegeben sind lässt sich auf einer solchen Basis nicht eindeutig ermitteln. Und wenn man diese Lösungsskizzen dann mit den Anforderungen vergleicht, dann könnte man u.A. darüber stolpern, dass die Verbindung zwischen PC und NAS ggf. ein Engpass darstellt. Oder es würde dann auch klar werden, dass Variante 3 weder die Anforderungen an Trennung von Gebäudtechnik und Clients die nicht zur Konfiguration vorgesehen sind nicht einhalten kann, und gleichzeitig nicht erreichbar sind vom Configurations-PC.

Ich sehe nun nicht direkt, dass es dadurch komplizierter würde. Die Abstraktion von einer bestimmten Zugangstechnologie ist allerdings keine Anforderung die ich einfach so unter den Tisch fallen lassen würde. Das Konzept soll schließlich mehr als ein paar Jahre funktionieren.

Genau das kannst Du im Rahmen des Umsetzungskonzepts bzw. der Geräteauswahl prüfen, wenn Du eine entsprechende Anforderung definiert hat. Kann sein, dass es überhaupt kein Problem ist, kann aber auch sein, dass das IP-TV nur mit einem Router des ISPs möglich ist.


Es geht erst mal nur ums WAS, darum klar zu definieren welches Ziel eigentlich erreicht werden soll. Das WIE, ob das mit VLANs und FW, oder irgendwie ganz anders wird erst später relevant. Du bist nun erst mal mit "VLAN-Haben-Will" gestartet, bevor die Anforderungen wirklich klar sind. Und ich sehe da spontan noch weitere Ergänzende Anforderungen: z.B. Nutzarkeit maximale vom ISP bereitgestellte Internetbandbreite am PC. Wo wir hohe Bandbreiten benötigen, und wo das egal ist fand in der bisherigen Diskussion kaum Beachtung.


Doch: Weil wir nur Hadware auswählen und einsetzen wollen, die die Anforderungen an die Konfigurierbarkeit erfüllt.

Ich hab jetzt zwar verstanden, wie man nicht anfangen soll.

Ich hab aber immer noch keine konkreten Hinweise gelesen, wie man an die Sache rangehen sollte.

Der Hinweis "sich mal Gedanken zu machen" erscheint mir doch etwas zu unkonkret.

Eigentlich hätte ich mir nicht gedacht, dass meine Anforderungen so viel höher sein können, als die von den meisten Anderen.

Ich bin daher fast schon der Meinung, ich werde mit der FB sehr zufrieden sein.

das sehe ich auch so :-)

Du wirst mit der Fritzbox zufrieden sein, wenn du nichts anderes kennst und dich nicht mit der Materie beschäftigen möchtest und dir nachfolgende Dinge überhaupt nichts sagen.

Du wirst nicht mehr zufrieden sein, wenn du

• eine Fritzbox im internen LAN betreiben möchtest und ein Gäste-WLAN benötigst oder eine konfigurierte Türstation nach "draußen" kommunizieren lassen möchtest, wobei draußen bereits ein interner SIP-Server sein kann, egal ob Asterisk, Freeswitch, 3CX oder wie sie alle heißen
• SIP-Videotelefonie benötigst oder VP8, VP9 oder AV1 ins Spiel kommen, wie bei der kommenden 2N-Generation
• einen SIP-Server, z.B. eine 3CX, im internen LAN hast und ein "Notfall-Telefon" an der Fritzbox verbleiben soll
• eine andere Domain als die fritzbox.local haben möchtest
• eine Subdomain benötigst
• mehrere Netze benötigst inklusive DHCP-Server je Subnetz
• Bridge mode benötigst ohne die config-Files der Fritzbox modifizieren zu müssen
• OpenVPN oder IKEv2 benutzen möchtest
• überhaupt mal ein performantes VPN haben möchtest
• du eine höhere VPN-Schlüsselgröße haben möchtest
• Dual-WAN haben möchtest
• Ausfallsicherheit haben möchtest und ein Cluster gewünscht ist
• mehrere VLANs benötigst
• Split-DNS benötigst
• mehrere WLAN SSIDs benötigtst (z.B. für die Einliegerwohnung, die an Monteure vermietet ist)
• ein Captive Portal und Voucher für das Gäste-WLAN-Netz plus zusätzliches Gästelan haben möchtest mit anderen Rechten
• Server/Services, z.B. Webserver/Nextcloud/Owncloud/Open-Xchange, im internen Netz betreiben und deshalb GeoIP-Blocking, snort oder ähnliches verwenden möchtest
• durchgängig letsencrypt im internen Netz für die SSL-Zertifikate deiner eigenen Domain nutzen möchtest, einschließlich auf der Fritzbox

Die Liste kann man noch beliebig weiter führen.
Sobald eine oder mehrere dieser Bedürfnisse jedoch vorhanden sind, zieht früher oder später eine Firewall-Appliance und vernünftige Switche ein. Wetten?

Mach ein Raumbuch für die IP-Welt.
Und dabei gehst die Punkte genannt in #90 und folgende Beiträge von wknx durch.

​​​​​​​Mir hat das schon sehr geholfen und werde das auch so angehen und dann erst über konkrete HW und deren Struktur nachdenken.

Ich denke, das hast Du schon. Du hast sie nur nicht als solche erkannt. Ich probiere es noch einmal ganz kurz und knapp: Zäum das Pferd nicht von hinten auf sondern schreib auf, welche funktionalen Anforderungen Du hast. Erst danach ist es sinnvoll, sich über die Art und Weise Gedanken zu machen, wie diese Anforderungen implementiert werden sollen.

Naja, die inhaltliche Diskussion ging auf Basis meiner Fragen erst richtig los. 2 der 3 Fragen hattest du nicht richtig verstanden. Deshalb habe ich sie nochmal näher ausgeführt. Zu behaupten, dass diese „vom Thema ablenken“ finde ich schade.

Mein Eindruck ist, dass hier gerade alle versuchen, ein Problem für deine Lösung zu finden und nicht anders herum.

Wenn du so schnell schon aufgibst („mit der FB bin ich wohl schon glücklich“) macht „komplizierte“ Hardware für dich m.E. wenig Sinn. Denn damit ist die Lernkurve sehr steil.

Also blieben zwei Wege: Entweder du stellst deine Anforderungen zurück (musst du ggfs. nicht mal, je nach Anforderungen - wir drehen uns im Kreis) oder du suchst dir jemanden, dem du Geld dafür bezahlst, dass er die Anforderungsdiskussion geleitet mit dir führt und die Umsetzung erledigt.

Bitte nicht falsch verstehen, ist absolut nicht böse gemeint!

In jedem Fall ist es mit dem Netzwerk auch wie mit KNX: Du musst Dich erst mal auskennen, um zu wissen, was Du womöglich haben möchtest. Also entweder lernst Du selbst oder bezahlst jemanden, der das bereits gelernt hat.

Guter Punkt. SIP-TKS und IP-Kameras können bestimmte Video-Standards, die auch die Endgeräte zur Aufnahme und Anzeige können müssen, also in diesem Fall dann eigentlich auch die TK-Anlage.

3CX ist vermutlich das kostenpflichtige Gegenstück zu Asterisk, oder?

Das ist schon wieder die verkehrte Denkweise. Ich habe max. bisher mir noch nicht bekannte Anforderungen die man ev. mit einer Subdomain lösen könnte,
und nicht anders herum: Ich will eine Subdomain und überlege mir nachher, ob ich damit etwas sinnvolles machen kann.

Jetzt sind wir schon wieder bei VLANs, die ich eigentlich 1:1 den Subnetzen zuordnen wollte.
Wenn es aber einen guten Grund gibt, davon abzuweichen, dann kenne ich ihn nicht.

Das kann ich erst dann sagen, wenn die FB neben anderen Komponenten im Spiel bleibt, oder komplett rausfliegt.

Irgendeine VPN-Lösung werde ich benötigen, wenn ich remote sinnvoll auf die Anlage zugreifen möchte.
Ob aber jetzt die FB VPN-Lösung gut oder weniger gut ist, kann ich nicht beurteilen.

Derzeit habe ich keine Anforderungen an erhöhte Ausfallsicherheit.

Da sehe ich jetzt keinen Added-Value für mich.

Zwar nicht für eine Einliegerwohnung, aber zumindest für die VLANs.

kein Bedarf

aktuell kein Bedarf

Ich hab das Thema Domain bisher nicht betrachtet, daher sollte ich vielleicht anfangen, darüber nachzudenken.

Ich denke, eher früher als später. Daher werde ich die FB nach wenigen Monaten wieder verkaufen und durch richtiges Equipment ersetzen, oder gleich von Anfang an etwas Passenderes wähle. Das geht aber nur, wenn ich aufhöre, mich hier im Kreis zu drehen.

Genau so ist es. Bei KNX hat mir das Heinle Buch geholfen, in das Thema reinzukommen.
Für Netzwerke gibt es ebenfalls viel Literatur, und die werde ich jetzt mal lesen.