Ist das nicht quasi eine der Definitionen davon, etwas verplant zu haben? Heilen oder umplanen muss man ja genau genommen gar nicht, wenn man richtig plant.

Mein Problem ist ich bin mir den Risiken eines unsicheren LAN sehr bewusst habe aber viel Respekt vor der Technik selbst und zeitlich andere Prioritäten als mich mit all den notwendigen 3/4 Buchstabenabkürzungen näher zu beschäftigen.

Ich findes alles sehr sinnvoll im LAN eine entsprechende Struktur zu haben. Aber ja leider kann ich es nicht wirklich, drum hab ich das auch nicht wirklich und deswegen auch so wenig wie möglich IoT Zeugs verbaut. Und kommt mal ein Gerät ins LAN, zuletzt nen Drucker, bin ich da nur am suchen nach Schaltern die so viel wie möglich an externe Dienste deaktivieren.

Ich dabei zu sagen, dass es nur einen kleinen Anteil Leute gibt die das können, haben sollten es aber besser alle.

Umso schlimmer das es eben immer noch quasi einige Jahre Berufserfahrung als Netzwerktechniker braucht um durch die Konfigurationsoptionen der Gerätehersteller zu kommen. Und gibt es mal Ansätze es in eine buntere einfachere UI zu packen, kommt wieder immer gleich der Trend das ganze Cloudconfig oder Cloudbased operated umzusetzen von den Herstellern.

Das ist glatt son Thema wo ich schlechte Laune bekomme.

Und hast Du alles richtig allein gemacht ? oder kennst Du deine Fehler nicht ? Sag blos... Fehlerfrei ? Glückwunsch...

Und dann habt ihr sicher noch eine 802.3 ad Aggregation oder ? Mit 2 / 4 Ports ? Backup Port ?

Wie schon oben gesagt halte ich VLAN´s im privaten Bereichen eher als Fehlerfördernd als sicher.. eine unsichere VLAN konfig wo man glaubt alles ist gut kann genau das Gegenteil bedeuten.

Es ist dann schon fast wieder gefährlich mehere VLAN´s auf einen Port zu nehmen da wenn sich jemand auskennt einfach Virtuelle Devices stricken könnte und ein VLAG Tag Device generiert wo er in ein anderes Netz kommt, das abzusichern kann man Privat fast vergessen. Als nächstes kommen dann noch womöglich Firewalls usw.. nee hallo.. sind wir noch zu Hause oder in einem Sicherheitsumfeld ? Ein flaches Netz lässt sich doch auch sicher betreiben, schliesslich kennst Du deine Gäste meistens :-)

Ein Anwendungsumfeld wäre ggf. eine Wohn WG :-)) hihi.. da bekommt dann jeder Bewohner sein Netz und keiner kann dem anderen was :-) Aber nicht vergessen den Netzwerkschrank abzuschliessen :-))

Physikalische Ports würde ich falls ich wirklich privat so viel Angst habe ggf. mit Layer 2 sicher machen, dann merkt sich der Port eben die Mac Adresse und lässt nur die Endgeräte drann die ich habe...

Die Möglichkeit zu haben würde mich auch reizen, aber nur weil ich ein verspieltes Kind in dieser Sache bin.. Ob man es dann wirklich durchgehend nutzt ist dann eben eine andere sache..

Und ja.. eigentlich wollte ich ja 0 sagen, aber ich wusste schon das sich hier 2-3 Leute tummeln den ich das in jedem Fall zutraue auch wenn ich euch nicht so gut kenne und einschätzen kann.. Aber fragt euch mal wer das von den 1000 KNX Häusern die hier nicht sind noch hat ?? in der REGEL GAR KAUM jemand... (ich muss mal wieder meine Wortwahr hier beachten...)

Sky: Ich kenne so einige Leute die ein RZ zu Hause betreiben und nicht wissen wofür eigentlich, das nennt sich dann Hobby... Das ist im Vergleich zu einem "normalen" Menschen im EFH mit einer KNX Installation die er "NUTZT" und nicht mit der er jeden Tag herummspielt sicher nicht vergleichbar... Bleiben wir mal auf den Boden...

Ok vielleicht wurde ich mal auch wieder MIssverstanden, das ist keine Empfehlung für einen Dienstleister / Firma die ich hier mache... sondern für eine Wohnung / Haus installation wo Menschen "Wohnen".. Ich kenne jedenfalls keinen "Privat" der VLAN´s zu hause betreibt... Ausnahme sind eben ein paar Leute mit einem gewissen Hobby...

bleiben wir lieber bei KNX...

Ich setz das auch bei Kunden ein, wenn der Bua mal über die stränge schlägt, wars das mit dem Internet. Ein klick auf den Button in der Visu reicht Fernzugänge für Wartungen freischalten? Ein klick in der Visu, und der VPN kann aufgebaut werden. Natürlich nur zu dem betreffenden Gerät. Gäste WLAN? Kein Thema täglich wechselnde Passwörter mit 64 Zeichen. Einloggen über einen QR Code auf der Visu….

TomasM So kompliziert ist es nun auch nicht und in den meisten fällen reicht es ja, einem Port ein VLAN zuzuweisen. Und da Du von Firewall sprichst... naja... VLAN ohne Firewall macht keinen Sinn, denn dann wären diese einfach komplette verbunden. Der Vorschlag, MAC-Adressen zu verwenden ist auch nicht wirklich toll, da man diese ja einfach generieren kann. Würde man die Leitung an besagtem Gerät abnehmen, ist es nicht wirklich sicher, da sogar oft noch auf dem Gerät ein Aufkleber ist.

Ich persönlich finde sinnvoll, dass meine KNX-Schnittstelle und alles was mit Haustechnik zu tun hat, nicht in einem Netzwerk ist, wo sich IoT-Geräte tummeln. Und meine Daten (NAS/Server, nennt es, wie ihr wollt) ebenso. Dafür nun durch die Firewall alles blocken zu lassen und nur genau den benötigten Zugriff freizugeben, ist kein Hexenwerk.

Aber wahrscheinlich hat der "normale" EFH-Besitzer auch keine IoT-Geräte, da er ja seine Infrastruktur nutzt und nicht damit spielt. Dann braucht man ja auch kein VLAN, wenn man eh nur die IP-Schnittstelle für KNX hat und ein paar Smartphones/Tables und Notebooks. Daten (Fotos/Videos) auf externer HDD... Wenn man das als Grundvorraussetzung sieht, dann braucht man ggf. nicht einmal ein Gäste-Netzwerk.

Wenn Du es nicht nutzt, verstehe ich nicht, warum Du vehement empfiehlst, es nicht einzusetzen und es teils als gefährlich ansiehst.


Ich bleibe dabei. Es gibt Leute, die es nicht wollen, da zu kompliziert oder die eigentlich nichts haben, was Netzwerktechnisch zu separieren wäre (siehe 2 Absätze weiter oben). Da es aber immer mehr IoT-Geräte gibt, die KNX-Installation heutzutage idR am Netzwerk hängt, ggf. auch noch eine Schnittstelle für den Fingerscanner, Lüftungsanlage, Server/NAS mit Daten usw. ist es sinnvoll, mit VLAN's zu arbeiten. Vor allem, wenn ich gerade Hardware kaufe und drauf achten kann, dass diese es beherrscht. Es ist jedem selber überlassen, aber warum sollte ich sensible Dinge und Geräte, die teils Sicherheitslücken wie offene Scheunentore haben, alle zusammen in einem Netzwerk haben wollen. Sicherheitstechnik wird immer größer geschrieben und wir verwenden 2FA, wenn möglich, dann sollte man einen Sicherheitsgedanken auch zu Ende denken. Nur meine private Meinung.


Viele Grüße
Nils

Bitte löschen. Der Post wurde doppelt eingefügt.

Man darf nur nicht vergessen das wir uns schon auf einen höheren Level hier befinden als die allgemeinheit die nur wohnt :-)
Da kann ich solche Aussagen natürlich gut versehen. Da werden auch Meinungen wie "Gefährlich" durchaus ganz unterschiedlich aufgefasst.

Vielleicht hätte ich statt "Gefährlich" > "Komplex" wählen sollen, wenn jemand auf sein Interface nicht drauf kommt was für ein Ratschlag bekommt er dann hier ?
Schnistelle prüfen, Rechner neu installieren, ETS Konfigurieren usw.. denkt da jemand an die IP Adresse und ein VLAN bzw, Firewall ?
Der Anwender der die Anlage gar nicht gemacht hat sicher auch erstmal nicht.

Vielleicht können wir uns darauf einigen das die Installation wenn sie mehr Sicherheit haben soll auch Komplexer in einer Fehlersuche wird, genau das würd ich vermeiden wollen wenn es möglich und sinvoll ist.

Tja dann aber doch besser IP versuchen zu vermeiden als dann in unsicher zu verwenden.

Die gute alte USB Schnittstelle zum Bus.

Rasenmäher und Staubsauger und Alexa und Co. sind in einem KNX-Haushalt nicht unbedingt selten vertreten, wer in sein KNX Neubau umzieht und in Wohnungen vorab schon smart unterwegs war, der bringt vermutlich gleich noch einiges mehr an IoT mit. Und spätestens wenn direkt / indirekt via KNX dann auch Sicherheitsfunktionen realisiert werden, sollte man mitbekommen haben das man sich mit der Komplexität besser Mal intensiver auseinander setzen sollte (Türöffnung, RWM, EMA).

802.3ad hat genau gar nix mit VLANs zu tun

Es is jetzt nicht gerade Raketenwissenschaft. Wer seine Firewall selbst administriert wird das auch noch hinbekommen.

Wenn Du einen access port schon als trunk betreibst, dann wirst die "allowed vlan" definition auch schaffen, oder? Bei jedem D-Link Switch (ja das war abwertent gemeint) kannst Haeckchen setzen ob ein port nun in ein VLAN darf oder nicht..

Auf Layer 2 gehen so einige Schweinereien. Schau Dir mal die Sicherheitsfunktionen von ARP an. Ach ja genau, die gibt es nicht.

Vorsicht und Angst sind zwei unterschiedliche Dinge. Und eine Sperre basierend auf der Mac Addresse ist jetzt nicht wirklich ein Hinderniss. Wenn dann gleich ordentliche port security.

Nur weil es viele nicht haben heisst es nicht dass es nicht Sinn machen kann. Klar macht das mehr Aufwand, und auskennen muss man sich auch in der Materie. Ich wuerde jedoch keinem davon abraten der das so umsetzen will.

Spätestens wenn man IOT-Geräte einsetzen möchte macht es in meinen Augen Sinn, auch im Privat-Haushalt sein Netz ein wenig zu segmentieren.
Dann ist es weniger dramatisch, wenn ein Gerät hier Lücken aufweist oder jemand die IT beim Hersteller aufgemacht hat!

Grund-Voraussetzung ist natürlich immer entsprechend restriktive Firewall-Regeln zwischen den einzelnen Netzen!

Also hab mir mal die Zyxel GS1900-24E angechafft.....geht aber gleich wieder zurück.....
3 Tage in Bétrieb und 2-3 mal am Tag stürzt die Kiste ab.... an der Config kann es nicht liegen da ich nicht mal mehr auf die Admin-Seite komme.
Firmware update hat auch nix gebracht.

Jetzt kannst Du die Frage selber beantworten, und vielleich empfiehlst Du die gleich weiter. Dann bist Du die vielleicht gleich los

Na die empfohlenen FS sind aber auch nix.... oder besser gesagt nix für meinen Anwendungsfall. Da ich kein Rack habe und brauche, muss das Dinge eben auf dem Schreibtisch oder Wand Platz finden, dafür sind die FS zu gross.

Dann schau dich doch mal bei DLink und Netgear um.

DIe haben beide 16 Port Switches in schmaler Bauform im Angebot, und sind preislich nicht weit von Deinem Zyxel entfernt.
​​​​​​
Und für den Hausgebrauch sind die absolut in Ordnung.