Also ich finde schon, dass das im Prinzip Sinn macht, jedoch halte ich die vorgeschlagene Umsetzung für suboptimal. Neben den bereits angesprochenen Punkten noch einer:
Nachteil von so viel Routing zwischen den internen Endgeräten (in Deinem Bsp eth1/eth2) ist dass oft Multicast auf der Strecke bleibt. Einige kaputte Implementationen (Apple Bonjour zB für Airplay) fahren Multicast mit TTL=1, d.h. das bekommst Du nicht geroutet.

Naja eigentlich gehört sich das ja auch so, dass Multicast im jeweiligen Segment bleibt. - Kleines Beispiel mir fällt jetzt auf Anhieb nicht ein was ein Multicast aus dem IPSat Segment im KNX-Segment/Hausautomation zu suchen hat...

Sollte man tatsächlich Multicast über mehrere Segmente benötigen bestünde immer noch die Möglichkeit entsprechendem Routings

Sorry, dass ich mich bisher nicht meldete. Hab am Wochenende meinen Grabenkollektor für die Erdwärmepumpe eingegraben, da war wenig Zeit :-D

Also bis jetzt ist mir schon geholfen!

Entsprechend eurer Vorschläge:
Ich kaufe den EdgeRouter Lite und richte eine Netzwerkschnittstelle fürs Internet ein (eth0), eine für das allgemeine Netz (eth1) und eines für KNX&Sat>IP (eth2).
Anschließend bilde ich passende VLANs im EdgeRouter, setze die Firewall und schotte eth2 komplett nach aussen ab, vergebe die IP-Adresse und fertig :-)

klingt mehr oder weniger, wie ich es machen würde

OT: mir gefällt übrigens Dein Blog

Danke, danke :-) Gab jetzt gerade auch noch n kleines Update zum Grabenkollektor vom WE ;-)

Welchen Switch würdest du dazu nehmen??? Den HP 1810-24G, den hier nahezu jeder nutzt???

Moin,
auch wenn ich nicht direkt gefragt wurde, ich hab den Zyxel GS1910-24 genommen. Der kann auch VLANs ist aber um einiges günstiger als der HP.

Gruß, Sebastian

VLAN wollte ich ja mit über den EdgeRouter machen

IMHO: Der HP müsste für zu Hause passen. Letztendlich unterscheiden sich die Switches in der Preisklasse nicht wirklich viel was die Ausstattung angeht. Der Switch an sich muss letztendlich auch nicht VLAN-Tagging unterstützen, da mit durchgereicht werden. (Einzig wenn der Switch anhand der Tags Packets weiterleiten soll und somit Last vom Router nimmt, wäre es ganz sinnvoll wenn der Switch auch was mit den Tags anfangen kann. - Ich gehe jetzt einfach mal frech davon aus, dass Du nicht vor hast solche Späße wie dynamisches Netzwerkport - also physikalische Ports am Switch - aufschalten anhand von Login Credentials durchzuführen... von daher: ja der HP passt definitiv und in der Preisklasse passier eh viel über den Punkt "habe Erfahrung XY mit Firma Z gemacht")

Er hatte in der Beispilconfig das WLAN vom "wired" LAN (Beispiel war NAS) getrennt, und Multicast zwischen LAN und WLAN sind schon manchmal nötig, evtl sogar ins KNX Netzwerk hinein (Beispiel Gira G1 oder sonstige Anwendung im Routing-Mode)
Beispiele zwischen LAN und WLAN: Bonjour/AirPlay, UPnP (für DLNA), usw

Eben nicht wenn die TTL=1 ist, dann kannst Du soviel Multicast-Routing wie Du möchtest konfigurieren, die Pakete bleiben trotzdem im gleichen Subnetz.

Wenn es so trivial wäre, hätte ich es nicht als potentielles Problem erwähnt...

Ja. Hatte ich nicht mehr dran gedacht, weil - würde ich selbst so nicht auf die Idee kommen es zu machen. IMO macht das den WiFi und LAN im privaten Homesektor in verschiedenen Segmenten nur bedingt Sinn (zB halt wegen Multicast.)

Was Multicast fürs KNX angeht - was würde dagegen sprechen einen "Wartungs- und Konfigurationsport" für das KNX Segment zu reservieren? Nur so als Frage nebenher? -> Port ist im selben Segment, TTL macht keine Probleme.

Für beide Anwendungen (Trennung LAN/WLAN und KNX) wäre theoretisch L2-Firewalling eine Möglichkeit, aber das ist entweder nicht für privat bezahlbar oder (noch) etwas komplizierter (ebtables + iptables: ebtables/iptables interaction on a Linux-based bridge ) oder kennt noch jemand etwas anderes?

Klar, wäre sinnvoll (ob der administrative Aufwand für privat gerechtfertigt ist, ist jetzt noch mal ne andere Sache). Ne, außer Äquivalente für *nix auf denen es netfilter im Kernel nicht gibt, nein.

Ich habe endlich mal wieder ein wenig Zeit gefunden, um mich mit dem Thema zu befassen. Kleckert irgendwie bei mir alles nebenher vor sich hin neben dem Hausbau *G*

Für mich kommen wieder ein paar Fragen auf und vielleicht könnt ihr mir für mein Verständnis noch ein wenig weiterhelfen :-)

1. VLAN-Konfiguration auf dem Router oder dem Switch laufen lassen? Wenn ich mir die Anleitung hier anschaue, dann kann ich alles von der Konsole aus auf dem Router laufen lassen.

2. Was ich noch nicht ganz verstehe, wenn ich dem Aufbau aus dem oberen Link folgen würde und mein bisheriges Verständnis zu VLANs "nutze", dann dürfte nachfolgendes Beispiel doch eigentlich nicht funktionieren, da die IP-Adressen nicht doppelt vergeben werden können...Server ist in vlan1, soll keinen direkten Zugriff ins Internet (eth0) haben und nur von innen erreichbar sein, hat bspw. die IP 192.168.1.2. Die Laptops und Tablets sind im vlan2, welches für den Wifi-Kram aufgebaut wurde und haben den IP-Adressbereich 192.168.2.0/24. Nach meinem Verständnis könnten die Geräte aus vlan2 niemals mit dem Server kommunizieren, da er durch die Adressbindung mittels VLAN-basiertem DHCP ja keine zwei IP-Adressen bekommt. Weiß nicht, ob mein Problem verständlich ist?! Irgendwo hab ich noch einen Knoten. Ganz einfach die Frage nochmal gestellt: Kann ich trotz der VLANs Sonderregeln aufstellen, die eine Kommunikation zwischen den in den VLANs eingerichteten Geräten ermöglicht?

3. Sollten die VLANs anhand ihrer IP-Adressen gebildet werden oder doch lieber anhand ihrer Mac-Adressen? Bisher halte ich es so, dass ich dem DHCP-Server die Mac-Adressen und die gewünschte IP-Adressen nenne. Somit wären die IP-basierten VLANs immernoch irgendwie an den Mac-Adressen orientiert. Macht das Sinn?

4. Der Server bekommt seine eigene Firewall mit iptables und auch die NFS-Freigaben sind für jeden Client im Netzwerk einzelnd freigegeben. Dies halte ich heute schon so, empfinde es als recht einfach einzurichten und habe trotzdem eine hohe Datensicherheit. Macht es nun Sinn jedem Client im Netzwerk ne eigene Firewall zu verpassen oder kann ich auch einfach eine "allgemeine" Firewall in den EdgeRouter legen und habe damit alle restlichen Geräte gleichsam geschützt?

Ich hoffe, dass ich die Fragen in diesem Umfang hier reinstellen kann. Hat nicht direkt mehr was mit KNX zu tun, aber für mich ist das ein nicht unwichtiges Thema im Aufbau des Heimnetzes....

LG

Du wirst so die Übersicht verlieren

Du wirst so die Übersicht verlieren. Wenn der Fehlerteufel zuschlägt gehste dann schön suchen.

und

Du möchtest SAT-IP machen. Die Verteilung / Multicast machst Du dort direkt auf dem Gerät. (digital-devices Octopus - NEt Rack).

Mach Dir am Anfang besser einen ordentlichen Gliederungsplan.

Lass die Finger von IP Vergabe über die Fritz Box. Mach das nur für den Notfall.

Mach lieber einen DHCP selbst, und teile dort die Zuweisung via MacAdressen ein.

Und mach Dir Reserven hinter die Bereiche. Du wirst sie immer brauchen.

z.b. meine config

192.168.x.1 Router
192.168.x.2 IP Router Gira
192.168.x.3 HomeServer 3
192.168.x.4 Reserve
192.168.x.5 Netzwerkswitch
192.168.x.6 IP Doorstation
192.168.x.7 IP Doorstation
192.168.x.8 Reserve
192.168.x.9 miele Gateway
192.168.x.10-19 Reserve

192.168.x.20 Virtualisierungsserver
192.168.x.21-39 Server der Domäne virtuell

192.168.x.40-48 Drucker
192.168.x.49 Digital Sender

192.168.x.50-70 IP Telefone

192.168.x.70-100 Freier Bereich

192.168.x.100 Fernverwaltungsrechner virtuell

192.168.x.101-150 Adressbereich Clients

192.168.x.150-198 Freier Bereich

192.168.x.199 Octopus Net (weil die keine IP Vergabe zulässt)

192.168.x.200-219 Sonos

192.168.x.220-229 Acces Points

192.168.x.230-239 ip cams

192.168.x.240-249 frei

250 bleibt immer frei (Broadcast)


Ach im Übrigen...hab auf Deinen Baublog geschaut. Sehr nett. Schreib mal was in Deinem Blog über die Vaillant BHKW. Das interessiert!

Kann man die Anlage auch als Notstromgerät laufen lassen?

Sicher?
Bisher dachte ich da immer an die 255!?