Jupp, das ist genau richtig, alles schön zweimal, also zweimal Umsatz, zweimal Wartung...da höre ich jetzt auf, das ernst zu nehmen.

Ein r510 unleashed kostet übrigens 450€ aktuell, ein r610 kostet 600€, alles inklusive Märchensteuer. Eine 3CX kann z.B. auch problemlos automatisch upgedated werden.
Man kann die gleichen Fragen ebenfalls stellen, wenn alles komplett getrennt ist. Nur wie verhält es sich dann? Soll dann eine Mieterin oder Mieter das laienhaft selbst in die Hand nehmen? Was ist hier die sinnvollere Variante? Oder tut man dann so, als gäbe es keine Sicherheits-Patches?
Wie ist das dann mit der Heizung? Wer wartet die und warum hat nicht jeder Mieter seine eigene? Warum klappt das da und wieso kann das nicht auf die Netzwelt übertragen werden können?

Also Ubiquiti und die DreamMachine Pro würde ich nun nicht so rund machen ... das ist schon ernstzunehmende Hardware und für ein Privathaus fast zu mächtig. pfSense muss man auch erstmal konfiguriert bekommen, da sind die Unifi Geräte deutlich einfacher.

Ich denke man braucht hier keine Raketenwissenschaft draus zu machen. Drei Netze genügen:

• Allgemein
  • Kameras
  • Türstation
  • TGA
• Wohnung 1
• Wohnung 2

Jede Wohnung hat ihren eigenen Internetanschluss und ihr eigenes WLAN. Wer dann da mit einer Fritzbox online gehen möchte kann das ja tun. Schwierig ist, dass die Fritzbox kein VLAN kann. Lösen lässt sich das, in dem der Vermieter einen managed Switch zur Verfügung stellt mit dem die Netze verbunden werden können.

Die spannende Aufgabe hat dann aber der Router: der muss das Allgemeine Netz und die beiden Wohnungsnetze so miteinander verbinden, dass die Wohnungen zwar Zugang zu teilen des allgemeinen Netzes haben aber es nicht zulassen das Wohnung 1 über den Router auf Wohnung 2 zugreifen kann ...

Mit der DM Pro lassen sich über VLAN mehrere IP Netze miteinander verbinden. Ob aber die DM Pro in der Lage ist zu verhindern, dass die VLANs sich gegenseitig sehen bzw. zugriff haben und in wiefern der Zugriff vom VLAN ins allgemeine Netz geseteuert werden kann ist bisher unklar.

Bei einem Smart Home Mehrfamilienhaus ist die IT Infrastruktur echt nicht easy, auch wegen der Administration ...

Und ab hier habe ich aufgehört, die "Ratschläge" ernst zu nehmen. Keine Ahnung, was Du im Kopf hast, aber Deine Hotel-Lösung für ne 2 Einheiten Wohnung als Goldstandard vorzuschlagen ist - gelinde gesagt - totaler Quatsch! Gemeinsame WLAN Router für 700 das Stück ebenfalls. Geteilte pfSense auch. Wer zum Teufel darf/soll das verwalten? Wer gibt die Firewall Regeln vor? Das Portforwarding? Wer die SSIDs? Wer die Passwörter? Wer zahlt die Wartung, kümmert sich um die Updates?

Ich bin hier bei McKenna, und alles unabhängig ausführen. Alles andere wird über kurz oder lang nur Probleme verursachen, ggfs halt bei dem KNX Server nicht nach ganz oben ins Regal greifen, also evtl 2 x nen X1 statt nen HS. Wofür soll der Server denn überhaupt genutzt werden?

Bei der Gegensprechanlage und SIP Lösungen muss bedacht werden, dass im Netz ein SIP Server laufen muss. 3CX ist ja schön und gut, muss aber auch gewartet werden. Ne Fritzbox hat den Server inklusive, und 2n gestattet aus netterweise 2 SIP Server in der Konfiguration, also könnte man die entsprechend Konfigurieren. Allerdings nur, wenn man das Netzwerk zusammenlegt, und bei dem Thema kommen wir dann wieder zum oberen Punkt.

Daher mal naiv gefragt: warum SIP+LAN für die Sprechanlage? Was soll/muss die Anlage können? Warum nicht eine eigenständige, unabhängige Lösung mit bspw 2-Wire? Gibt's auch mit Video, wenn das wichtig ist. Damit wäre die LAN+KNX Topologie adäquat getrennt.

Na dann, da empfehle ich gleich mal den Handy-Vertrag und Internet-Provider zu kündigen.
Verschlüsselung ist übrigens mittlerweile Standard.

Ich kenne deren Produkte, Router, WLAN-Controller, Accesspoints, Switche. Das ist alles furchtbar und ich mache einen weiten Bogen drum rum. Die Switche sind chinesischer Mist, da funktionieren einfachste Dinge nicht. LACP führt dazu, dass Ports weg geschaltet werden, weil eine Loop-Detection zuschlägt. VLAN tagging funktiniert nach dem Zufallsprinzip. Keine Oberfläche ist gleich, unübersichtlich, Funktionen sind unlogisch angeordnet, manche Dinge gehen nur via Windows-Tool. DHCP klappt nicht zuverlässig. Accesspoints hängen sich auf, wenn mehr als 10 Clients verbunden sind. Auf eine 90er-Jahre-GUI stehe ich auch nicht.
Keine Ahnung, was daran gut sein soll. Für mich ist das wie Selbstgeiselung.

Ich habe das Gefühl, dass Du die Systeme von LANCOM nicht wirklich kennst ... aber ich sag es ja nur, wie ich es machen würde

Wäre ich der Mieter, hätte ich ein massives Problem damit, wenn jemand anderes mein Netz administriert bzw. meinen Traffic sehen könnte.

Ich hab das Gefühl, dass du dich gerade verrennst.

Mal anders gefragt: Gehört jedem seine Wohneinheit oder gibts einen Vermieter? Bist du der Vermieter?
Dein Setup würde ich in keinem der Fälle so machen, da du auf verschiedensten Ebenen die Verantwortungen im späteren Betrieb mischt.

Wem gehört später der Server, wer pflegt die Hauptlinie, wer patched die Netzwerk-Hardware, wer ersetzt die Wetterstation und was ist, wenn ein Mieter seinen Internet/Switch/Fritzbox nicht mehr haben will?

Kompliziert wird das nur, wenn man es nicht so macht.
Lancom? Das kann nicht dein ernst sein, deren Kram ist im letzten Jahrtausend hängen geblieben.
VLAN halte ich schon für wichtig, schon mal alleine deshalb, weil ich nicht möchte, dass irgendwelche Pakete aus einem Netz im anderen landen, z.B. Broadcasts, DHCP requests, etc.

Liest sich für mich alles sehr kompliziert... ich würde für die Allgemeinheit einen LANCOM Router nehmen ... der Rest sind nur paar Routing und Firewall Regeln ... pro WE dann eine Schnittstelle, die dann als Gateway zum Allgemeinnetz dient ... da ist noch nicht mal VLAN Konfiguration nötig

Genau das ist das Problem an einer Fritzbox-Unifi-Einzelnetz-Lösung mit gemeinsamen Allgemeinnetz. Sobald mehrere Netze ins Spiel kommen, lässt sich das nicht sauber trennen. Das gibt die Fritzbox nicht her, das gibt Unifi nicht ganz her. Geschweige denn, eigene/zusätzliche/mehrere Domänen.
Eine Fritzbox ist ein Standalone-Privatkundenprodukt und nicht dafür ausgelegt, mehrere Netze zu verwalten.
Dasselbe gilt so fast auch für Unifi. Der Fokus ist nicht die Integrationsfähigkeit, sondern der einzelne Privatkunde. Unifi kann zwar schon ein wenig mehr, aber ist auch beschränkt.

Es gibt sicher eine Berechtigung für die Produkte, aber eben nicht in jedem Fall für alles. Ich denke schon, dass man statt Ruckus auch UniFi APs nehmen kann im kleineren Umfeld, wenn dazu der Rest passt.
Mir persönlich liegt die UniFi UI nicht wirklich und Ruckus spielt einfach in einer anderen Liega. Gut, wir verwenden das aber auch, um mehrere Hotels zentral zu verwalten. Man braucht nicht so viele Accesspoints und vor allen Dingen kann man da locker 300 aktive Clients mit bedienen ohne dass da irgendwas in die Knie geht.
Das läuft extrem stabil alles, daher ist das immer die erste Wahl für uns. Das UniFi Firewall-Teil ist eher ein WLAN-Controller und aus Security-Sicht bin ich mir nicht sicher, ob die 100.000 Skripte und Configs tatsächlich alle das machen, was sie sollen. Eine Feingranulare Kontrolle ist damit jedenfalls nicht möglich, aus diesem Grund verwenden wir die pfSense und nicht was anderes. Da OPNsense kein Feature bietet, was pfBlockerNG in der pfSense verrichtet, ist es eben auch keine OPNsense geworden.

Weiter gedacht, wie ist das dann bei drei, vier, fünf oder mehr Wohnungen? Jedes WLAN-Netz gegen alle anderen?
Was darf aus welchem Netz im Allgemeinnetz erreicht werden und wie verhindere ich das dann, was ich nicht möchte?
Wie verwalte ich zentral VPN-Zugänge und wie weise ich Rollen und Rechte zu?
Wie stelle ich ein eigenes Gastnetz bereit, welches für neue Teilnehmer nur eine Zeit t verwendbar ist (Stichwort "captive portal & Vaucher")?
usw.
Das geht alles nur, wenn die Komponenten das hergeben.

Wenn kein Budget vorhanden ist, dann kann man ja auch eine günstige Firewall Appliance mit vier LAN Ports von Amazon oder Ebay nehmen und pfSense installieren.
Oder man nimmt die neue Netgate SG-2100. Die verbauen wir gerade in der 32GB-Variante für kleinere Kunden. Die sind top, günstig und die aktuelle pfSense ist vorinstalliert.
Wenn das Geld knapp ist, tut es auch ein gebrauchter Cisco SG350-28MP, der kostet dann nicht mehr, als ein neuer Netgear, hat aber PoE+ und sogar zwei Ports bis 60W. Und wie gesagt, für die WLAN-Lösung kann man UniFi APs nehmen. Reine VDSL-Supervectoring-Modems, wie z.B. das Zyxel VDSL2, bekommt man nachgeworfen. Vorteil bei Dual-WAN: ich habe, wenn es drauf ankommt eine insgesamt höhere Bandbreite zur Verfügung und/oder habe eine höhere Ausfallsicherheit.

Für Telefonie hängt man einen passive gekühlten RPi 4B mit 8GB RAM und M.2 SSD in den Verteilerschrank, macht 3CX drauf únd hängt das ins VoIP-Netz, fertig.
Der 4er RPi hat so viel Dampf, der kann noch mehr, z.B. KNX-Dongle im Netz bereit stellen, Homebridge für HomeKit, der/die DLNA-Server über 1-n Media-VLANs in Verbindung mit einem NAS, z.B. FreeNAS mit ZFS. Bei FreeNAS kann man auch ein jeweiliges jail einrichten für jedes Subnetz und sogar das sauber trennen. Der DLNA-Server kann dann auch gleich Multiroom-Audio bedienen und eigentlich kann er auch den eibPort ersetzen. enOcean kann der PPi auch mit entsprechendem Cape. Das eibPort-Konzept finde ich auch etwas gewöhnungsbedürftig, das muss man mögen.

Alles zusammen dürfte das Setup nicht wirklich so viel teurer sein, als der "Fritzbox-Versuch" mit Repeatern, aber er spielt am Ende in einer ganz anderen Liga und man macht sich das Leben wesentlich leichter auch im Hinblick auf zukünfitge Implementierungen.

hubidoo: Sehr ausführliche Antwort. Vielen Dank dafür. Hört sich für mich nach der perfekten Lösung an... Hast du ja auch geschrieben, dass deine Antwort aus Sicht der besten performance ist. allerdings finde ich das für ein 2 Parteien Haus fast zu Oversized. Das müsste doch auch einfacher, selbstverständlich mit Einbußen in Funktion/Sicherheit gehen.

Ich habe meine Überlegung mal skizziert. Mich würde vor allem mal interessieren, wo hier die Schwächen liegen, bzw. was nicht funktioniert.
Wenn mir das jemand erklären könnte, wäre ich echt dankbar.

Grüße


NetzwerkÜbersicht.PNG

EugenDo ich sehe das genauso.

Jede Wohnung ein eigenes Netz und einen eigenen Internet Anschluss. Jede Wohnung ein eigener KNX Bereich. Das Haus selbst bzw der allgemeine Bereich bekommt ein eigenes Netz. Eben alles sauber trennen.

Das schwierigste, darüber mache ich mir im Moment Gedanken, ist die Verbindung der Wohnungen mit dem Allgemeinen Netz. Denn man möchte verhindern, dass über den Router des Allgemeinen Netzes eine Partei Zugang zur anderen Partei bekommt.

Da bin ich im Gespräch mit einem Unifi Netzwerker, aber auch er ist sich nicht sicher wie sauber sich das trennen lässt. Sicher ist, dass der NVR in der DreamMachine Pro nicht von mehreren VLANs von außen zugänglich ist. Was ich aber nicht tragisch finde.

Frage ist dann auch die Verbindung eines Displays an der Wand für Visu und Türstation. Da könnte aber zum Beispiel ein @peaknx helfen: Netzwerk wäre das Hausnetz für die Tür und KNX über eben KNX.

Wichtig ist auch Bereiche, über die eine Partei Zuganh zur anderen Partei bekommen könnte, physisch zu sichern. Entweder Glasfaser, abgeschlossene Tür oder abgeschlossener Schrank.

Die Ruckus unleashed Version braucht keinen Controller und damit auch keine Lizenzen. Der erste Accesspoint wird eingerichtet, alle weiteren binden sich automatisch ein.