Gibt es eigentlich keine knx Server mit 2 Netzwerkschnittstellen?
Dann könnte er an beide komplett getrennte Netzwerke angeschlossen werden und fertig.
Die Netzwerke müssten nur unterschiedliche Netzwerksegmente verwenden. (default bei AVM ist 192.168.178.0)

Gehen tut das vermutlich, wenn man die DHCP-Optionen in der Fritz-Box entsprechend anpassen kann... Aber ganz ehrlich, das will später ja niemand betreiben.

Wenn der Vermieter die Komponenten bereitstellt, wartet, konfiguriert und regelmäßig patcht dann kann man da schon was schönes draus bauen.
Die Frage ist ob der Vermieter das kann, will und gut machen kann!

Wenn der Mieter eine Fritzbox verwendet muss er von der USG ohnehin wieder zurück auf das Switch in der Fritzbox. Wobei ich mir gerade nicht sicher bin ob das geht. Worst case: USG und unmanaged switch und Access Point als Vermieter bereitstellen mit einer Erklärung wie der Mieter sich das einrichtet. Ich mein, in solchen Gebäuden reden wir eh eher vom hochpreissegment.


Wegen der Türstation: ich würde mal nicht pauschal von 2Draht ausgehen

Ich würde hier nicht von Ängsten reden. Es ist eher das Recht auf Privatspähre. Und Rechte sollen unter aderem auch Ängste verhindern. Jeder muss selbst entscheiden dürfen mit welchem Vermieter oder Provider er seine Daten teilen möchte.

Ohne nochmal genauer auf die zu verwendende Technik einzugehen: Ein gemeinsam genutztes Netzwerk kann in vielerlei Hinsicht von Vorteil sein. Habe und mache ich Teilweise seit vielen Jahren so. Ich persönlich verwende dafür Lancom oder Bintec. Selbstverständlich gehen auch einige der anderen Vorgeschlagenen Lösungen.

Thema Türstation mit zwei Netzwerkinterfaces: Gehen wir mal davon aus, dass je nach verwendetem 2-Draht Bus auch darauf TCP/IP läuft. Und ausgerechnet der Türstation-Hersteller ist jetzt also der IT-Sicherheitsexperte und verhindert zuverlässig, dass ich die beiden Netzwerke nicht über das 2-Draht Backbone verbinde? OK, das ist nicht offensichtlich und routet vmtl nicht von selbst. Aber mit dem nächsten Firmwareupdate oder einer falschen Einstellung vielleicht schon?

Was ich einfach nicht verstehen kann, es ist für viele vollkommen normal, dass der Internettraffic ab der Modem-Grenze durch ein Shared-Medium geht. Sogar soweit, dass ich auf der Kupfer-Kabelleitung in einem Wohngebiet immer an einer Handvoll Anschlüssen das selbe Internetsignal habe. Ich kann also theoretisch 5 Häuser weiter euer Kabel-Internet mitschneiden. Gut, dass mitgelieferte Modem des "Diebes" würde das zu verhindern wissen. Aber er kann ja ein manipuliertes Modem einsetzen.

Wir haben bzw. es wird immer wieder diskutiert, dass im Auftrag des Staates die Provider bestimmte Daten aufzeichnen müssen. Vor einigen Tagen haben sie den Wunsch über spezielle Trojaner auf den Smartphones, um die Messanger auszuspionieren, geäußert.

Es wird Alexa, Google, Siri, etc. verwendet, welche eure vertraulichen Gespräche aufzeichnen und nach sonstwo schicken (können). Oder die Smartphones, welche jahrelang (angeblich ja mittlerweile nicht mehr) eure Standortdaten natürlich "rein anonym" zum Hersteller schickten? Bevor jemand frag: Ich verwende ein altes Blackberry mit OS10.

Hat sich mal einer die Mühe gemacht, welche Informationen alleine z.B. über DNS-SD durch solche Geräte gesammelt werden und dann, da ja verschlüsselt unkontrollierbar, zum Hersteller gesendet werden?

Welche Magie macht denn eine Fritzbox zu Statistikzwecken mit eurem Netzwerk und sendet dies zu AVM? Oder ein Ubiquiti xyz?

Aber es ist vollkommen normal, dass euer Vermieter, Nachbar, Freund, o.ä. diese hoch komplexe, dafür aber idr. sehr zuverlässige Netzwerktechnik mit einigen Vorzügen verbaut, nur um dann nichts anderes zu tun als Logfiles und Mitschnitte (wohlgemerkt von idr. verschlüsselten Daten) von euch zu erstellen?
Das interne Netzwerk ist ja geswitched, daher kann er im Normalfall nichts von eurem Traffic mitbekommen (ja natürlich gibt es Port-Mirroring - aber warum sollte er?).

Thema gemeinsames NAS? Warum eigentlich nicht? Ein Großteil der von vielen auf einem NAS gespeicherten Daten sind Fotos (die sie vielleicht schon auf Instagram, Facebook und co geteilt haben - oder die in der google Cloud liegen), Filme (die sowieso keinerlei persönlichen Inhalt haben) und Musik (die idr. auch öffentlich verfügbar). Dann kommen Dinge wie Snapshots der Türklingelkamera (sähe ich auch beim Blick aus dem Fenster), Pläne z.B. der Haustechnik (wenn da jeder der beteiligten Zugriff hat, wäre das im Notfall auch nicht das verkehrteste). Zudem gibt es auch noch das Konzept von Zugriffsrechten.

Jetzt kommen noch die wenigen Prozent vertrauliche Dokumente (was auch immer das ist - denn 99% davon teilen wir über unsichere Kanäle sowieso mit Anderen). Diesen kleinen Teil kann jetzt entweder das NAS oder schon mein Endgerät für mich verschlüsseln.

Aber mindestens 2 Netzwerkanschlüsse (LACP zum Switch), Netzteil, USV, Backupfestplatten und deren regelmäßiger Austausch, physikalischer Platz, Administrierung/Updates, Leerlaufstrom, etc. benötige ich nur einmal. Ziehe ich tatsächlich aus, sage ich der NAS Software "Lösche die 2% super privat von Tobias" und nehme eine Kopie der Filme/Musik/etc. mit.

Auch den Vergleich mit der gemeinsamen Heizung finde ich ganz gut. Nehmen wir an, mein Nachbar ist Heizungsmonteur und wartet also die Heizung im Haus selber. Wenn er pflichtbewusst ist führt er die Wartung ordentlich durch und stellt die Parameter im Rahmen der Randbedinungen korrekt ein. Bzw. ruft einen Monteur der diese Arbeiten erledigt. Dieser wiederum kann das aber genauso gut oder auch schlecht machen. Und wenn er mich ärgern will, dreht er meinen Heizkreis ab.

Ich selbst wohne in einer Mietwohnung und habe eine relativ alte Gasheizung, welche dafür bekannt ist stark zu verschmutzen. Man muss sie also jährlich zerlegen und GRÜNDLICH reinigen, sonst hält sie die CO-Werte nicht ein. Vor drei Jahren hat der Monteur im Auftrag des Vermieters dies so schlampig gemacht, dass er 2x wiederkommen musste und nach ca. 8 Monaten die Therme so verdreckt war, dass der Schornsteinfeger sie kurzfristig stilllegte. Dabei war das meine "eigene" Gas-Etagentherme. Nur im Rahmen der gesetzlichen Regelungen muss ich davon die Finger lassen.

Genauso könnte bei den mittlerweile häufig eingesetzten, im Garten stehenden Wärmepumpen mal jemand unbemerkt vorbeigehen und sie abklemmen/-schalten.

Mir stellt sich machmal auch die Frage, ob gerade Diejenigen (allgemein gesprochen, nicht zwangsweise auf bestimmte Schreiber in diesem Forum zu beziehen), welche am ehesten Angst vor Überwachung durch den IT-Admin haben, dies gerades deshalb haben, weil sie vielleicht ihre eigenen Mitnutzer (Familile) auf solche Art überwachen?

OK, dann kann der Mieter jedoch das WLAN der Fritzbox nicht nutzen, sondern muss am USG ein eigenes WLAN "erstellen"
Und er muss so ein USG betreiben (wollen) (können)

Aber ja, funktionieren tut es so.

Das habe ich auch nicht vergessen. Ich bin jetzt zu Faul eine Grafik zu erstellen, also als ASCII

So einfach wird das nicht werden. Irgendwo gab es die Anforderung, dass jede Parteil ihren eigenen Internet-Anschluss hat. Somit bleibt die Default-Route im eingenen Netz und es muss irgendwo eine statische Route existieren, welche den Traffic zum Allgemeinen LAN weiterleitet.

Nein. Denn die Mieternetze müssen "isolierte LAN" sein, da darf keiner aus den anderen Netzwerken dran kommen. Außerdem möchtest du verhindern, dass der Mieter erweiterte IT Kenntnisse hat, ansonsten müsstest du die Hardware beim Mieter vorgeben.

Der ideale Weg ist der zu sagen, dass jeder Mieter sein eigenes LAN aufspannen kann. Und das wird auf dedizierte Weise mit dem Allgemeinen LAN verbunden.

Mir kam jetzt nochmal eine Idee...
Wäre es nicht am einfachsten wenn ich zwischen FritzBox Mieter + Vermieter eine dauerhafte VPN Verbindung aufbaue?
Ich kann in der Fritzbox ja einstellen, dass nur z.B. nur der Anschluss LAN 2 für den VPN freigegeben wird.
Das wäre doch die einfachste Lösung, oder?

Gruß

Meine Recherchen ergaben bisher, dass die Installation eines pfsense routers oder einer Unifi Safet Gateway pro Wohneinheit und eine Dream Maxhine pro im allgemeinen Netz erledigen müssten was gewünscht ist.

Beim Safety Gateway: WAN1 ist das Modem vom Mieter, WAN2 das allgemeine Netz, LAN geht dann zum Switch des Mieters.

Pro Mieter ein Port beim allgemeinen Netz.

Die Mieter Netze laufen dann als isolierte Netze die per Port forwarding dedizieret Verbindungen ins allgemeine Netz haben.

Aber: die USG ist wohl etwas zickig mit den zwei WANs

Solange die Mieter in dem Haus alle zu einer Familie gehören mag das dann so gehen...

Hi Zusammen,

Danke für die Vielen Beiträge. vento66 Das ist ein sehr pragmatischer Ansatz der sicher funktioniert und stabil läuft, da muss ich dir zustimmen. Mir gefällt einfach nicht, dass ich den KNX Server doppelt ausführen muss.

Ich ziehe übrigens nicht selber ein. Ist ein Kumpel von mir...

Weiß nicht ob es euch schon aufgefallen ist... Ich kenne mich mit Netzwerktechnologie jetzt nicht so gut aus :-(.
Vielleicht kann mir einer einfach mal folgende Frage beantworten:

Ist es möglich 3 VLAN's einzurichten mit folgenden Eigenschaften:
- VLAN 1 darf mit VLAN 3 kommunizieren
- VLAN 2 darf mit VLAN 3 kommunizieren
- Keine Kommunikation zwischen VLAN 1 und VLAN 2
- Geräte aus VLAN 3 verwenden die Internetverbindung von VLAN 1

Mehr ist es ja eigentlich nicht.

Das haben die Hersteller doch bedacht, bei BJ wäre es das Smart-Touch mit 2-Draht-Bus plus KNX. An externen Kameras werden hier über den 2-Draht-Bus aber AFAIK nur analoge Kameras eingebunden und das IP-Gateway soll auch nicht sooooo toll funktionieren. Aber die Grundidee ist eben auf solche MFH-Situationen zugeschnitten.

KNX und Türstation sind doch schon in jeder Wohnung auf IP... Wo ist da jetzt das Problem? Und externe Kameras würde ich einfach auf dem Klingelbus aufschalten, dann sind die dort auch abrufbar, sogar über deine Visu! (Ausserdem war das bis jetzt nicht Teil der Aufgabenstellung)