OK, dann kann der Mieter jedoch das WLAN der Fritzbox nicht nutzen, sondern muss am USG ein eigenes WLAN "erstellen"
Und er muss so ein USG betreiben (wollen) (können)

Aber ja, funktionieren tut es so.

Ohne nochmal genauer auf die zu verwendende Technik einzugehen: Ein gemeinsam genutztes Netzwerk kann in vielerlei Hinsicht von Vorteil sein. Habe und mache ich Teilweise seit vielen Jahren so. Ich persönlich verwende dafür Lancom oder Bintec. Selbstverständlich gehen auch einige der anderen Vorgeschlagenen Lösungen.

Thema Türstation mit zwei Netzwerkinterfaces: Gehen wir mal davon aus, dass je nach verwendetem 2-Draht Bus auch darauf TCP/IP läuft. Und ausgerechnet der Türstation-Hersteller ist jetzt also der IT-Sicherheitsexperte und verhindert zuverlässig, dass ich die beiden Netzwerke nicht über das 2-Draht Backbone verbinde? OK, das ist nicht offensichtlich und routet vmtl nicht von selbst. Aber mit dem nächsten Firmwareupdate oder einer falschen Einstellung vielleicht schon?

Was ich einfach nicht verstehen kann, es ist für viele vollkommen normal, dass der Internettraffic ab der Modem-Grenze durch ein Shared-Medium geht. Sogar soweit, dass ich auf der Kupfer-Kabelleitung in einem Wohngebiet immer an einer Handvoll Anschlüssen das selbe Internetsignal habe. Ich kann also theoretisch 5 Häuser weiter euer Kabel-Internet mitschneiden. Gut, dass mitgelieferte Modem des "Diebes" würde das zu verhindern wissen. Aber er kann ja ein manipuliertes Modem einsetzen.

Wir haben bzw. es wird immer wieder diskutiert, dass im Auftrag des Staates die Provider bestimmte Daten aufzeichnen müssen. Vor einigen Tagen haben sie den Wunsch über spezielle Trojaner auf den Smartphones, um die Messanger auszuspionieren, geäußert.

Es wird Alexa, Google, Siri, etc. verwendet, welche eure vertraulichen Gespräche aufzeichnen und nach sonstwo schicken (können). Oder die Smartphones, welche jahrelang (angeblich ja mittlerweile nicht mehr) eure Standortdaten natürlich "rein anonym" zum Hersteller schickten? Bevor jemand frag: Ich verwende ein altes Blackberry mit OS10.

Hat sich mal einer die Mühe gemacht, welche Informationen alleine z.B. über DNS-SD durch solche Geräte gesammelt werden und dann, da ja verschlüsselt unkontrollierbar, zum Hersteller gesendet werden?

Welche Magie macht denn eine Fritzbox zu Statistikzwecken mit eurem Netzwerk und sendet dies zu AVM? Oder ein Ubiquiti xyz?

Aber es ist vollkommen normal, dass euer Vermieter, Nachbar, Freund, o.ä. diese hoch komplexe, dafür aber idr. sehr zuverlässige Netzwerktechnik mit einigen Vorzügen verbaut, nur um dann nichts anderes zu tun als Logfiles und Mitschnitte (wohlgemerkt von idr. verschlüsselten Daten) von euch zu erstellen?
Das interne Netzwerk ist ja geswitched, daher kann er im Normalfall nichts von eurem Traffic mitbekommen (ja natürlich gibt es Port-Mirroring - aber warum sollte er?).

Thema gemeinsames NAS? Warum eigentlich nicht? Ein Großteil der von vielen auf einem NAS gespeicherten Daten sind Fotos (die sie vielleicht schon auf Instagram, Facebook und co geteilt haben - oder die in der google Cloud liegen), Filme (die sowieso keinerlei persönlichen Inhalt haben) und Musik (die idr. auch öffentlich verfügbar). Dann kommen Dinge wie Snapshots der Türklingelkamera (sähe ich auch beim Blick aus dem Fenster), Pläne z.B. der Haustechnik (wenn da jeder der beteiligten Zugriff hat, wäre das im Notfall auch nicht das verkehrteste). Zudem gibt es auch noch das Konzept von Zugriffsrechten.

Jetzt kommen noch die wenigen Prozent vertrauliche Dokumente (was auch immer das ist - denn 99% davon teilen wir über unsichere Kanäle sowieso mit Anderen). Diesen kleinen Teil kann jetzt entweder das NAS oder schon mein Endgerät für mich verschlüsseln.

Aber mindestens 2 Netzwerkanschlüsse (LACP zum Switch), Netzteil, USV, Backupfestplatten und deren regelmäßiger Austausch, physikalischer Platz, Administrierung/Updates, Leerlaufstrom, etc. benötige ich nur einmal. Ziehe ich tatsächlich aus, sage ich der NAS Software "Lösche die 2% super privat von Tobias" und nehme eine Kopie der Filme/Musik/etc. mit.

Auch den Vergleich mit der gemeinsamen Heizung finde ich ganz gut. Nehmen wir an, mein Nachbar ist Heizungsmonteur und wartet also die Heizung im Haus selber. Wenn er pflichtbewusst ist führt er die Wartung ordentlich durch und stellt die Parameter im Rahmen der Randbedinungen korrekt ein. Bzw. ruft einen Monteur der diese Arbeiten erledigt. Dieser wiederum kann das aber genauso gut oder auch schlecht machen. Und wenn er mich ärgern will, dreht er meinen Heizkreis ab.

Ich selbst wohne in einer Mietwohnung und habe eine relativ alte Gasheizung, welche dafür bekannt ist stark zu verschmutzen. Man muss sie also jährlich zerlegen und GRÜNDLICH reinigen, sonst hält sie die CO-Werte nicht ein. Vor drei Jahren hat der Monteur im Auftrag des Vermieters dies so schlampig gemacht, dass er 2x wiederkommen musste und nach ca. 8 Monaten die Therme so verdreckt war, dass der Schornsteinfeger sie kurzfristig stilllegte. Dabei war das meine "eigene" Gas-Etagentherme. Nur im Rahmen der gesetzlichen Regelungen muss ich davon die Finger lassen.

Genauso könnte bei den mittlerweile häufig eingesetzten, im Garten stehenden Wärmepumpen mal jemand unbemerkt vorbeigehen und sie abklemmen/-schalten.

Mir stellt sich machmal auch die Frage, ob gerade Diejenigen (allgemein gesprochen, nicht zwangsweise auf bestimmte Schreiber in diesem Forum zu beziehen), welche am ehesten Angst vor Überwachung durch den IT-Admin haben, dies gerades deshalb haben, weil sie vielleicht ihre eigenen Mitnutzer (Familile) auf solche Art überwachen?

Ich würde hier nicht von Ängsten reden. Es ist eher das Recht auf Privatspähre. Und Rechte sollen unter aderem auch Ängste verhindern. Jeder muss selbst entscheiden dürfen mit welchem Vermieter oder Provider er seine Daten teilen möchte.

Wenn der Mieter eine Fritzbox verwendet muss er von der USG ohnehin wieder zurück auf das Switch in der Fritzbox. Wobei ich mir gerade nicht sicher bin ob das geht. Worst case: USG und unmanaged switch und Access Point als Vermieter bereitstellen mit einer Erklärung wie der Mieter sich das einrichtet. Ich mein, in solchen Gebäuden reden wir eh eher vom hochpreissegment.


Wegen der Türstation: ich würde mal nicht pauschal von 2Draht ausgehen

Gehen tut das vermutlich, wenn man die DHCP-Optionen in der Fritz-Box entsprechend anpassen kann... Aber ganz ehrlich, das will später ja niemand betreiben.

Wenn der Vermieter die Komponenten bereitstellt, wartet, konfiguriert und regelmäßig patcht dann kann man da schon was schönes draus bauen.
Die Frage ist ob der Vermieter das kann, will und gut machen kann!

Gibt es eigentlich keine knx Server mit 2 Netzwerkschnittstellen?
Dann könnte er an beide komplett getrennte Netzwerke angeschlossen werden und fertig.
Die Netzwerke müssten nur unterschiedliche Netzwerksegmente verwenden. (default bei AVM ist 192.168.178.0)

Der Vermieter muss da ja nichts können, das Switch ist ja unmanaged. Man könnte die USG auch an das UM Switch hängen, fällt mir gerade ein. Dann könnte die FB laufen wie gewohnt. Wenn es Probleme mit der USG gibt hat der Mieter halt kein Zugriff mehr auf das Allgemeine Netz, aber sein Netz läuft noch.

sk73 nur von 2 Parteien auszugehen ist zu kurz gedacht... dazu kommt dann wieder die Frage nach den Rollen und Rechten, die DSGVO Konform irgendwo und irgendwie von irgendwem verwaltet werden wollen.

Jetzt kann ich Dir nicht mehr folgen. Ob der Switch managed ist oder nicht spielt hier meines Erachtens keine Rolle.
Du hast an Deinen Netzwerkgeräten ein Default-Gateway. Das ist in Deinem Konstrukt in Post 45 das USG.
Hier gibt es dann eine Default-Route die den Internet-Traffic richtugn WAN1 routet, und eine statische Route die den VISU-Traffic richtung WAN2 routet.
Ich glaueb nicht dass die FB das auch kann, bin mir aber nicht sicher (kann ich heute Abend mal schauen)

Wenn das USG nun ausfällt, fehlt das Gateway und nichts geht mehr.

Halt, das USG Routet nur den Verkehr zwischen Wohnung und Allgemein. Klar, hängt das zwischen FB und Switch ist Essig wenn das fällt. Deshalb hatte ich in #52 ja geschrieben, dass man das USG auch an das Mieter Switch hängen kann, an WAN1 und WAN2.

Ich bin drauf und dran mir Hardware zum spielen zu bestellen

Es spielt in erster Linie mal keine Rolle wo das USG angeschlossen ist (Layer-2)
Wichtig und relevant ist das Gerät, welches in den Endgeräten als Gateway hinterlegt ist.
Und das muss das USG sein, sonst wäre kein zugriff auf Allgemein möglich.
Somit ist es für den Betrieb in jedem Fall wichtig!

Und das tut es in keiner mir bekannten Anlage, also nur Panikmache!

Dann nehmt euch doch ein Sophos UTM, die kostet nur die Hardware (bei mir so um die 200€)! Die hat auch 2x WAN und routet euer allgemein Netz in das jeweilige Wohnungsnetz. Der Mieter muss nur seine FB an WAN 1 klemmen, und alles funktioniert.......

Naja, im professionellen Umfeld wird noch ganz anderes verbaut, da kostet ein Appliances-Satz für alle Stages so viel, wie ein Einfamilienhaus. Muss da nur mal an den NetScaler oder die F5 denken. Von den großen Ciscos reden wir gar nicht. Ja, ich bin genau da angekommen.

Im Privatkundensektor bin ich tatsächlich nicht ausschließlich unterwegs, aber man wird dennoch öfter zu Themen gefragt, daher habe ich schon einiges gesehen von den Privatkundenjongleuren, die davon lieber die Finger lassen sollten.

Jetzt landen bei mir scheinbar immer nur Problemfälle, an denen sich vorher einige schon erfolglos versucht haben.
Und immer sind es Fritzboxen, die ich vorfinde, die einfach nicht richtig konfiguriert oder am Ende mit ihrem Einsatzzweck überlastet waren.
Fritzboxen haben für mich daher so ein gewisses Geschmäckle.

Wenn ich AVM wäre, würde ich eine PRO Version in verschiedenen Leistungsstufen raus bringen, a la netgate/pfSense, natürlich mit Zertifizierung und in 10" und 19" Technik in Vollmetall (Aluminium).

Bei mir Zuhause ist gleichzeitig die Firma angesiedelt, daher werkeln 19" pfSensen mit Intel Xeon D-2146NT im Supermicro-Gehäuse im Serverschrank im Dual-WAN-Setup Telekom/KD und CARP. Unsere Firewall-Appliances und unsere Proxmox iSER und CEPH Cluster bauen wir ausschließlich selbst auf Bestellung oder importieren sie aus USA.
Das entspricht in etwa der Ausprägung der Thomas-Krenn-Knoten/-Server, nur eben made in Franken und in der Regel mit mehr Dampf durch entsprechenden Intel Optanes und anderen Beschleunigungswundern..

Die pfSense hängen via SFP+ Ports und LACP an den Backbone-Switchen.
Der Rest sollte klar sein.

WLAN ist aktuell mit drei r610ern und einem t610 aufgebaut. Von Ruckus für die Nicht-Wissenden.
Aus der Cisco-Netzwerk-Welt ist aktuell verbaut: 2xSG550XG-8F8T, 3xSG550x-48, 1xSG550X-48MPP.

Wer sich jetzt wundert: wir wohnen und arbeiten in einem ehemaligen landwiirtschaftlichen Anwesen mit entsprechendem Grund außen herum..

Da bist du aber die Ausnahme ... im privaten Umfeld ist es schon schwer für die Unifi AP Pro oder managed switche zu argumentieren, wegen dem Preis ..

Wie gesagt, ich nutze selber auch keine Fritzbox, aber was du hier erzählst ist zwar alle schön und gut, aber für die meisten Leute da draussen ist ihr Internet die Anzeige der WLAN Signalstärke auf ihrem Handy / Laptop! Und das ist auch genau der Grund warum AVM sowas nicht im Programm hat.

Deren Sektor ist eben der klassische Privatkunde. Und dadurch das viele Provider ja Fritzboxen mit austeilen kommt es auch zu der Verbreitung.

Ich möchte mal behaupten das die Installationen die man hier bei den Forenusern vorfinden würde (meine eingeschlossen) die Ausnahme darstellen.

Ich brauch mich ja nur ein mal in meinem Freundeskreis umschauen. Da findet sich exakt einer der mich damals beim Bau um Rat gefragt hat (vorher!) und dann auch noch auf den Rat gehört hat und z.B sich überall Netzwerk Kabel hat legen lassen etc.

Die Wirklichkeit sieht aber so aus : Wieso mein Internet kommt via WLAN aus der Fritzbox, warum soll ich mir da Kabel legen ... kann man jetzt glauben oder nicht ...

Und genau da punkten die Unifi Geräte, weil sie durchaus Profi Qualitäten zu konsumernahen Preisen ermöglichen ...

Mal schauen ob ich demnächst nicht eine USG zum testen ordere