Ankündigung

Einklappen
Keine Ankündigung bisher.

KNX Server im Mehrfamilienhaus

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • hubidoo
    antwortet
    Zitat von matthiaz Beitrag anzeigen
    Und ab hier habe ich aufgehört, die "Ratschläge" ernst zu nehmen. Keine Ahnung, was Du im Kopf hast, aber Deine Hotel-Lösung für ne 2 Einheiten Wohnung als Goldstandard vorzuschlagen ist - gelinde gesagt - totaler Quatsch! Gemeinsame WLAN Router für 700 das Stück ebenfalls. Geteilte pfSense auch. Wer zum Teufel darf/soll das verwalten? Wer gibt die Firewall Regeln vor? Das Portforwarding? Wer die SSIDs? Wer die Passwörter? Wer zahlt die Wartung, kümmert sich um die Updates?

    Ich bin hier bei McKenna, und alles unabhängig ausführen. Alles andere wird über kurz oder lang nur Probleme verursachen, ggfs halt bei dem KNX Server nicht nach ganz oben ins Regal greifen, also evtl 2 x nen X1 statt nen HS. Wofür soll der Server denn überhaupt genutzt werden?

    Bei der Gegensprechanlage und SIP Lösungen muss bedacht werden, dass im Netz ein SIP Server laufen muss. 3CX ist ja schön und gut, muss aber auch gewartet werden. Ne Fritzbox hat den Server inklusive, und 2n gestattet aus netterweise 2 SIP Server in der Konfiguration, also könnte man die entsprechend Konfigurieren. Allerdings nur, wenn man das Netzwerk zusammenlegt, und bei dem Thema kommen wir dann wieder zum oberen Punkt.

    Daher mal naiv gefragt: warum SIP+LAN für die Sprechanlage? Was soll/muss die Anlage können? Warum nicht eine eigenständige, unabhängige Lösung mit bspw 2-Wire? Gibt's auch mit Video, wenn das wichtig ist. Damit wäre die LAN+KNX Topologie adäquat getrennt.
    Jupp, das ist genau richtig, alles schön zweimal, also zweimal Umsatz, zweimal Wartung...da höre ich jetzt auf, das ernst zu nehmen.

    Ein r510 unleashed kostet übrigens 450€ aktuell, ein r610 kostet 600€, alles inklusive Märchensteuer. Eine 3CX kann z.B. auch problemlos automatisch upgedated werden.
    Man kann die gleichen Fragen ebenfalls stellen, wenn alles komplett getrennt ist. Nur wie verhält es sich dann? Soll dann eine Mieterin oder Mieter das laienhaft selbst in die Hand nehmen? Was ist hier die sinnvollere Variante? Oder tut man dann so, als gäbe es keine Sicherheits-Patches?
    Wie ist das dann mit der Heizung? Wer wartet die und warum hat nicht jeder Mieter seine eigene? Warum klappt das da und wieso kann das nicht auf die Netzwelt übertragen werden können?

    Einen Kommentar schreiben:


  • BlackDevil
    antwortet
    Also Ubiquiti und die DreamMachine Pro würde ich nun nicht so rund machen ... das ist schon ernstzunehmende Hardware und für ein Privathaus fast zu mächtig. pfSense muss man auch erstmal konfiguriert bekommen, da sind die Unifi Geräte deutlich einfacher.

    Ich denke man braucht hier keine Raketenwissenschaft draus zu machen. Drei Netze genügen:
    • Allgemein
      • Kameras
      • Türstation
      • TGA
    • Wohnung 1
    • Wohnung 2
    Jede Wohnung hat ihren eigenen Internetanschluss und ihr eigenes WLAN. Wer dann da mit einer Fritzbox online gehen möchte kann das ja tun. Schwierig ist, dass die Fritzbox kein VLAN kann. Lösen lässt sich das, in dem der Vermieter einen managed Switch zur Verfügung stellt mit dem die Netze verbunden werden können.

    Die spannende Aufgabe hat dann aber der Router: der muss das Allgemeine Netz und die beiden Wohnungsnetze so miteinander verbinden, dass die Wohnungen zwar Zugang zu teilen des allgemeinen Netzes haben aber es nicht zulassen das Wohnung 1 über den Router auf Wohnung 2 zugreifen kann ...

    Mit der DM Pro lassen sich über VLAN mehrere IP Netze miteinander verbinden. Ob aber die DM Pro in der Lage ist zu verhindern, dass die VLANs sich gegenseitig sehen bzw. zugriff haben und in wiefern der Zugriff vom VLAN ins allgemeine Netz geseteuert werden kann ist bisher unklar.

    Bei einem Smart Home Mehrfamilienhaus ist die IT Infrastruktur echt nicht easy, auch wegen der Administration ...

    Einen Kommentar schreiben:


  • matthiaz
    antwortet
    Zitat von hubidoo Beitrag anzeigen
    Ich würde Multi-WAN umsetzen, nach Möglichkeit zwei verschiedene Provider, z.B. VDSL & Kabel, die entsprechenden Kosten müssen aufgeteilt werden.[...]
    Über angebundene WLAN-Accesspoints, z.B. Ruckus R510/R610[...]
    Und ab hier habe ich aufgehört, die "Ratschläge" ernst zu nehmen. Keine Ahnung, was Du im Kopf hast, aber Deine Hotel-Lösung für ne 2 Einheiten Wohnung als Goldstandard vorzuschlagen ist - gelinde gesagt - totaler Quatsch! Gemeinsame WLAN Router für 700 das Stück ebenfalls. Geteilte pfSense auch. Wer zum Teufel darf/soll das verwalten? Wer gibt die Firewall Regeln vor? Das Portforwarding? Wer die SSIDs? Wer die Passwörter? Wer zahlt die Wartung, kümmert sich um die Updates?

    Ich bin hier bei McKenna, und alles unabhängig ausführen. Alles andere wird über kurz oder lang nur Probleme verursachen, ggfs halt bei dem KNX Server nicht nach ganz oben ins Regal greifen, also evtl 2 x nen X1 statt nen HS. Wofür soll der Server denn überhaupt genutzt werden?

    Bei der Gegensprechanlage und SIP Lösungen muss bedacht werden, dass im Netz ein SIP Server laufen muss. 3CX ist ja schön und gut, muss aber auch gewartet werden. Ne Fritzbox hat den Server inklusive, und 2n gestattet aus netterweise 2 SIP Server in der Konfiguration, also könnte man die entsprechend Konfigurieren. Allerdings nur, wenn man das Netzwerk zusammenlegt, und bei dem Thema kommen wir dann wieder zum oberen Punkt.

    Daher mal naiv gefragt: warum SIP+LAN für die Sprechanlage? Was soll/muss die Anlage können? Warum nicht eine eigenständige, unabhängige Lösung mit bspw 2-Wire? Gibt's auch mit Video, wenn das wichtig ist. Damit wäre die LAN+KNX Topologie adäquat getrennt.

    Einen Kommentar schreiben:


  • hubidoo
    antwortet
    Zitat von Messknecht Beitrag anzeigen
    Wäre ich der Mieter, hätte ich ein massives Problem damit, wenn jemand anderes mein Netz administriert bzw. meinen Traffic sehen könnte.
    Na dann, da empfehle ich gleich mal den Handy-Vertrag und Internet-Provider zu kündigen.
    Verschlüsselung ist übrigens mittlerweile Standard.

    Einen Kommentar schreiben:


  • hubidoo
    antwortet
    Zitat von EugenDo Beitrag anzeigen


    Ich habe das Gefühl, dass Du die Systeme von LANCOM nicht wirklich kennst ... aber ich sag es ja nur, wie ich es machen würde
    Ich kenne deren Produkte, Router, WLAN-Controller, Accesspoints, Switche. Das ist alles furchtbar und ich mache einen weiten Bogen drum rum. Die Switche sind chinesischer Mist, da funktionieren einfachste Dinge nicht. LACP führt dazu, dass Ports weg geschaltet werden, weil eine Loop-Detection zuschlägt. VLAN tagging funktiniert nach dem Zufallsprinzip. Keine Oberfläche ist gleich, unübersichtlich, Funktionen sind unlogisch angeordnet, manche Dinge gehen nur via Windows-Tool. DHCP klappt nicht zuverlässig. Accesspoints hängen sich auf, wenn mehr als 10 Clients verbunden sind. Auf eine 90er-Jahre-GUI stehe ich auch nicht.
    Keine Ahnung, was daran gut sein soll. Für mich ist das wie Selbstgeiselung.

    Einen Kommentar schreiben:


  • EugenDo
    antwortet
    Zitat von hubidoo Beitrag anzeigen
    VLAN halte ich schon für wichtig, schon mal alleine deshalb, weil ich nicht möchte, dass irgendwelche Pakete aus einem Netz im anderen landen, z.B. Broadcasts, DHCP requests, etc.

    Ich habe das Gefühl, dass Du die Systeme von LANCOM nicht wirklich kennst ... aber ich sag es ja nur, wie ich es machen würde

    Einen Kommentar schreiben:


  • Messknecht
    antwortet
    Wäre ich der Mieter, hätte ich ein massives Problem damit, wenn jemand anderes mein Netz administriert bzw. meinen Traffic sehen könnte.

    Einen Kommentar schreiben:


  • SvenB
    antwortet
    Ich hab das Gefühl, dass du dich gerade verrennst.

    Mal anders gefragt: Gehört jedem seine Wohneinheit oder gibts einen Vermieter? Bist du der Vermieter?
    Dein Setup würde ich in keinem der Fälle so machen, da du auf verschiedensten Ebenen die Verantwortungen im späteren Betrieb mischt.

    Wem gehört später der Server, wer pflegt die Hauptlinie, wer patched die Netzwerk-Hardware, wer ersetzt die Wetterstation und was ist, wenn ein Mieter seinen Internet/Switch/Fritzbox nicht mehr haben will?

    Einen Kommentar schreiben:


  • hubidoo
    antwortet
    Zitat von EugenDo Beitrag anzeigen
    Liest sich für mich alles sehr kompliziert... ich würde für die Allgemeinheit einen LANCOM Router nehmen ... der Rest sind nur paar Routing und Firewall Regeln ... pro WE dann eine Schnittstelle, die dann als Gateway zum Allgemeinnetz dient ... da ist noch nicht mal VLAN Konfiguration nötig
    Kompliziert wird das nur, wenn man es nicht so macht.
    Lancom? Das kann nicht dein ernst sein, deren Kram ist im letzten Jahrtausend hängen geblieben.
    VLAN halte ich schon für wichtig, schon mal alleine deshalb, weil ich nicht möchte, dass irgendwelche Pakete aus einem Netz im anderen landen, z.B. Broadcasts, DHCP requests, etc.

    Einen Kommentar schreiben:


  • EugenDo
    antwortet
    Liest sich für mich alles sehr kompliziert... ich würde für die Allgemeinheit einen LANCOM Router nehmen ... der Rest sind nur paar Routing und Firewall Regeln ... pro WE dann eine Schnittstelle, die dann als Gateway zum Allgemeinnetz dient ... da ist noch nicht mal VLAN Konfiguration nötig

    Einen Kommentar schreiben:


  • hubidoo
    antwortet
    Zitat von BlackDevil Beitrag anzeigen
    EugenDo ich sehe das genauso.

    Jede Wohnung ein eigenes Netz und einen eigenen Internet Anschluss. Jede Wohnung ein eigener KNX Bereich. Das Haus selbst bzw der allgemeine Bereich bekommt ein eigenes Netz. Eben alles sauber trennen.

    Das schwierigste, darüber mache ich mir im Moment Gedanken, ist die Verbindung der Wohnungen mit dem Allgemeinen Netz. Denn man möchte verhindern, dass über den Router des Allgemeinen Netzes eine Partei Zugang zur anderen Partei bekommt.

    Da bin ich im Gespräch mit einem Unifi Netzwerker, aber auch er ist sich nicht sicher wie sauber sich das trennen lässt. Sicher ist, dass der NVR in der DreamMachine Pro nicht von mehreren VLANs von außen zugänglich ist. Was ich aber nicht tragisch finde.

    Frage ist dann auch die Verbindung eines Displays an der Wand für Visu und Türstation. Da könnte aber zum Beispiel ein @peaknx helfen: Netzwerk wäre das Hausnetz für die Tür und KNX über eben KNX.

    Wichtig ist auch Bereiche, über die eine Partei Zuganh zur anderen Partei bekommen könnte, physisch zu sichern. Entweder Glasfaser, abgeschlossene Tür oder abgeschlossener Schrank.
    Genau das ist das Problem an einer Fritzbox-Unifi-Einzelnetz-Lösung mit gemeinsamen Allgemeinnetz. Sobald mehrere Netze ins Spiel kommen, lässt sich das nicht sauber trennen. Das gibt die Fritzbox nicht her, das gibt Unifi nicht ganz her. Geschweige denn, eigene/zusätzliche/mehrere Domänen.
    Eine Fritzbox ist ein Standalone-Privatkundenprodukt und nicht dafür ausgelegt, mehrere Netze zu verwalten.
    Dasselbe gilt so fast auch für Unifi. Der Fokus ist nicht die Integrationsfähigkeit, sondern der einzelne Privatkunde. Unifi kann zwar schon ein wenig mehr, aber ist auch beschränkt.

    Es gibt sicher eine Berechtigung für die Produkte, aber eben nicht in jedem Fall für alles. Ich denke schon, dass man statt Ruckus auch UniFi APs nehmen kann im kleineren Umfeld, wenn dazu der Rest passt.
    Mir persönlich liegt die UniFi UI nicht wirklich und Ruckus spielt einfach in einer anderen Liega. Gut, wir verwenden das aber auch, um mehrere Hotels zentral zu verwalten. Man braucht nicht so viele Accesspoints und vor allen Dingen kann man da locker 300 aktive Clients mit bedienen ohne dass da irgendwas in die Knie geht.
    Das läuft extrem stabil alles, daher ist das immer die erste Wahl für uns. Das UniFi Firewall-Teil ist eher ein WLAN-Controller und aus Security-Sicht bin ich mir nicht sicher, ob die 100.000 Skripte und Configs tatsächlich alle das machen, was sie sollen. Eine Feingranulare Kontrolle ist damit jedenfalls nicht möglich, aus diesem Grund verwenden wir die pfSense und nicht was anderes. Da OPNsense kein Feature bietet, was pfBlockerNG in der pfSense verrichtet, ist es eben auch keine OPNsense geworden.

    Weiter gedacht, wie ist das dann bei drei, vier, fünf oder mehr Wohnungen? Jedes WLAN-Netz gegen alle anderen?
    Was darf aus welchem Netz im Allgemeinnetz erreicht werden und wie verhindere ich das dann, was ich nicht möchte?
    Wie verwalte ich zentral VPN-Zugänge und wie weise ich Rollen und Rechte zu?
    Wie stelle ich ein eigenes Gastnetz bereit, welches für neue Teilnehmer nur eine Zeit t verwendbar ist (Stichwort "captive portal & Vaucher")?
    usw.
    Das geht alles nur, wenn die Komponenten das hergeben.

    Wenn kein Budget vorhanden ist, dann kann man ja auch eine günstige Firewall Appliance mit vier LAN Ports von Amazon oder Ebay nehmen und pfSense installieren.
    Oder man nimmt die neue Netgate SG-2100. Die verbauen wir gerade in der 32GB-Variante für kleinere Kunden. Die sind top, günstig und die aktuelle pfSense ist vorinstalliert.
    Wenn das Geld knapp ist, tut es auch ein gebrauchter Cisco SG350-28MP, der kostet dann nicht mehr, als ein neuer Netgear, hat aber PoE+ und sogar zwei Ports bis 60W. Und wie gesagt, für die WLAN-Lösung kann man UniFi APs nehmen. Reine VDSL-Supervectoring-Modems, wie z.B. das Zyxel VDSL2, bekommt man nachgeworfen. Vorteil bei Dual-WAN: ich habe, wenn es drauf ankommt eine insgesamt höhere Bandbreite zur Verfügung und/oder habe eine höhere Ausfallsicherheit.

    Für Telefonie hängt man einen passive gekühlten RPi 4B mit 8GB RAM und M.2 SSD in den Verteilerschrank, macht 3CX drauf únd hängt das ins VoIP-Netz, fertig.
    Der 4er RPi hat so viel Dampf, der kann noch mehr, z.B. KNX-Dongle im Netz bereit stellen, Homebridge für HomeKit, der/die DLNA-Server über 1-n Media-VLANs in Verbindung mit einem NAS, z.B. FreeNAS mit ZFS. Bei FreeNAS kann man auch ein jeweiliges jail einrichten für jedes Subnetz und sogar das sauber trennen. Der DLNA-Server kann dann auch gleich Multiroom-Audio bedienen und eigentlich kann er auch den eibPort ersetzen. enOcean kann der PPi auch mit entsprechendem Cape. Das eibPort-Konzept finde ich auch etwas gewöhnungsbedürftig, das muss man mögen.

    Alles zusammen dürfte das Setup nicht wirklich so viel teurer sein, als der "Fritzbox-Versuch" mit Repeatern, aber er spielt am Ende in einer ganz anderen Liga und man macht sich das Leben wesentlich leichter auch im Hinblick auf zukünfitge Implementierungen.

    Einen Kommentar schreiben:


  • Hugo1956
    antwortet
    hubidoo: Sehr ausführliche Antwort. Vielen Dank dafür. Hört sich für mich nach der perfekten Lösung an... Hast du ja auch geschrieben, dass deine Antwort aus Sicht der besten performance ist. allerdings finde ich das für ein 2 Parteien Haus fast zu Oversized. Das müsste doch auch einfacher, selbstverständlich mit Einbußen in Funktion/Sicherheit gehen.

    Ich habe meine Überlegung mal skizziert. Mich würde vor allem mal interessieren, wo hier die Schwächen liegen, bzw. was nicht funktioniert.
    Wenn mir das jemand erklären könnte, wäre ich echt dankbar.

    Grüße


    NetzwerkÜbersicht.PNG


    Einen Kommentar schreiben:


  • BlackDevil
    antwortet
    EugenDo ich sehe das genauso.

    Jede Wohnung ein eigenes Netz und einen eigenen Internet Anschluss. Jede Wohnung ein eigener KNX Bereich. Das Haus selbst bzw der allgemeine Bereich bekommt ein eigenes Netz. Eben alles sauber trennen.

    Das schwierigste, darüber mache ich mir im Moment Gedanken, ist die Verbindung der Wohnungen mit dem Allgemeinen Netz. Denn man möchte verhindern, dass über den Router des Allgemeinen Netzes eine Partei Zugang zur anderen Partei bekommt.

    Da bin ich im Gespräch mit einem Unifi Netzwerker, aber auch er ist sich nicht sicher wie sauber sich das trennen lässt. Sicher ist, dass der NVR in der DreamMachine Pro nicht von mehreren VLANs von außen zugänglich ist. Was ich aber nicht tragisch finde.

    Frage ist dann auch die Verbindung eines Displays an der Wand für Visu und Türstation. Da könnte aber zum Beispiel ein @peaknx helfen: Netzwerk wäre das Hausnetz für die Tür und KNX über eben KNX.

    Wichtig ist auch Bereiche, über die eine Partei Zuganh zur anderen Partei bekommen könnte, physisch zu sichern. Entweder Glasfaser, abgeschlossene Tür oder abgeschlossener Schrank.

    Einen Kommentar schreiben:


  • hubidoo
    antwortet
    Zitat von hyman Beitrag anzeigen

    Das stimmt so allgemein nicht. Viele FritzBoxen erlauben, den LAN-Port 4 als Gästeanschluss zu konfigurieren:
    Im allgemeinen nicht, aber im speziellen:
    Im Betrieb über einen anderen Router (IP-Client-Betrieb), wie z.B. pfSense, steht das nicht zur Verfügung.

    Warum das so ist, kann deren Support auch nicht beantworten, das ist die Produktphilosophie.
    Die Antworten von AVM zu solchen Themen beginnen in der Regel so oder so ähnlich:
    "Zunächst bitte ich sie hierbei zu beachten, dass es sich bei der FRITZ!Box um einen Consumer-Router für den Privathaushalt handelt..."

    • stehen die Funktionen Kindersicherung und Gastzugang nicht zur Verfügung.
    Die FRITZ!Box kann die vorhandene Internetverbindung eines anderen Routers mitbenutzen. Dadurch können Sie die FRITZ!Box an einem Internetanschluss einsetzen, bei dem der Internetanbieter den Einsatz eines speziellen, von ihm gelieferten Routers mit fest eingetragenen Zugangsdaten (Integrated Access Device, IAD) vorschreibt. ganz einfach in eine bereits bestehende Netzwerkinfrastruktur integrieren. als Telefonanlage verwenden und mit allen mit der FRITZ!Box verbundenen Telefonen über den Router telefonieren. Sie können die FRITZ!Box als IP-Client oder als kaskadierten Router einrichten. Welche Betriebsart am sinnvollsten ist, hängt von Ihren Anforderungen ab. Falls es sich bei dem anderen Router um eine FRITZ!Box handelt, gehen Sie wie in der Anleitung FRITZ!Box als Mesh Repeater einrichten beschrieben vor.
    Zuletzt geändert von hubidoo; 06.12.2020, 12:13.

    Einen Kommentar schreiben:


  • hubidoo
    antwortet
    Zitat von McKenna Beitrag anzeigen
    Da das Thema Ruckus angesprochen wird...

    Wenn mal bsp 4 Ruckus R610 sich gönnen würde ... wie geht das Spiel dann weiter? Cisco Poe Switch und Cisco Router vorhanden sind .. was wird für Ruckus benötigt und wie wird das konfiguriert? Lokal ? Cloud?
    Die Ruckus unleashed Version braucht keinen Controller und damit auch keine Lizenzen. Der erste Accesspoint wird eingerichtet, alle weiteren binden sich automatisch ein.

    Einen Kommentar schreiben:

Lädt...
X