tsb2001 Ich glaube man muss den Invest nochmal unterscheiden bzgl. Heizungssteuerung. Denn ich gehe einfach Mal davon aus, dass der übliche Anfänger hier mit diesem Begriff nicht viel mehr in Verbindung bringt wie das rumdrehen an Stellventilen am Heizkörper oder eben an irgendwelchen Thermostaten im Raum. Das aber wiederum ist ja erstmal nur die HW für die ERR und die bekommt man angesichts der mittlerweile sehr günstigen Tempsensoren in Tastern/PMs halt für den Invest eines Heizungsaktors und bissl mehr NYM schon fast kostenneutral ggü den Sani-Bedienteilen.

Die richtige Heizungssteuerung ja das kostet schnell mal 1000€ extra und ja da muss man schon ein bissl Fußfaul sein um sich das Umstellen von Sommer/Winter zu automatisieren.

​​​Aber die ganze HKL Technik nun nicht in die Gebäudesteuerung zu integrieren wenn man denn schon KNX im Haus hat halte ich für einen falschen inkonsistenten Ansatz.

gbglace Da bin ich komplett bei dir. Einzelraumreglung über KNX habe ich auch, und die benötige ich auch. Schließlich möchte ich wie auch schon erwähnt das Bad an der Nordseite immer noch Heizen, während die Räume an der Südseite (grade mittags) durch die Fenster und Sonneneinstrahlung und auch noch durch die Abwärme beim Kochen aufgeheizt werden.

Was das Netzwerk betrifft habe ich ebenfalls das Unifi USG und davor ein Draytec Vigor 130. Sowie 2 Non POE Switches und einen POE Switch.
Zudem 2 Accesspoints von Unifi.

Ich habe mein Vlan unterteilt in

Privat
IOT
und IOT secure
multimedia
gäste

Die Trennung zwischen IOT und IOT secure, da ich Internet (Ausgehend und Eingehend) bei IOT Secure für die KNX GW´s die kein Internet benötigen unterbunden habe. Zudem gibt es aber auch Geräte wie z.B Netatmo oder Sonos oder Hue die Internet Zugang benötigen, diese liegen dann in IOT. Diese Geräte sehe ich dann als den kritischeren Part an für etwaige Angriffe.
Deshalb die Isolierung des eigentlichen KNX Teils

tsb2001
Vielen Dank für deine sehr ausführliche Antwort. Bzgl. Heizungssteuerung seh ich es ähnlich wie du. Wobei das Argument mit den ERR von gbglace valide ist. In meinem Fall wären es wohl "Mehrkosten" für 2 8-fach Heizungsaktoren und 2 weitere MDT Glastaster 2. Temp. Sensoren in den ganzen Räumen ist duch andere Taster gegeben. Meine Idee wäre, den IST-Wert in jedem Raum mit den Tastern zu ermitteln und dann zentral in jedem Stock druch die 2 Glastertaster zentral den SOLL-Wert für die Räume zu definieren.
Das sollte gehen oder?
Dann wären die Mehrkosten auch okay und ich würde mir die ERR vom Heizungsbauer sparen.

Bzgl. VLAN: Zugegeben ist das ein kleines Hobby, aber da ich ohnehin einen Switch benötige und die UniFi USG (die kleine) mit 100€ auch i.O. ist, wäre hier das System relativ "schlank" und ich könnte es recht "sicher" machen.

Naja für die Verstellung SOLL-Temp mehrerer Räume ist glaub eher die Glasbedienzentrale geeignet. Oder eben einfach nur die Visu im Handy und gar kein Taster oder ganz spartanisch einfach nur Parameter in der ETS.

Bezüglich ERR: Man muss sich eh befreien lassen, wenn man sie nicht möchte. Und hier und da hört man verschiedenes, uns wurde gesagt "vergiss es". Am Ende des Tages macht es keinen Sinn eine Flächenheizung zu regeln, sie regelt sich ganz gut selbst. Aber steuern, das macht schon mehr sinn: verschiedene Solltemperaturen, bedarfsabhängige Vorlauftemperaturen und so weiter. Das Sparpotential sehe ich da nicht, aber einen Sinn.

Bezüglich meiner Topo: sie ist übertrieben, ja, und ich würde sie auch niemandem verkaufen. Verkaufen würde ich, wenn die Visu auch außerhalb benutzt werden soll, ein S1 und ein X1 in Kombination. Die Logik läuft auch ohne Wolke im Zweifelsfall, man hat eine mächtige Visu und sie ist von außen immer erreichbar (Push Benachrichtigung). Außerdem brauche ich keine schwer vermittelbare VPN Verbindung beim Kunden ...

Vor einem Angriff von Innen (man bekommt ein verseuchtes Dokument mit Exploit von vermeindlich sicherer Quelle zugesandt) ist man auch mit dem USG Pro nich geschützt.

Die Trennung mit VLANs genügt. Lediglich eine IP Videotürstation würde ich an ein eigenes 8 Port Switch hängen: das Ding bekommt dann einen Killswitch der bei Ausbau der Klingel aktiviert wird. Reaktivierbar nur über mechanischen Tatser in der HV. Ansonsten wäre die LAN Verbindung nach außen physikalisch zugänglich. VLAN hin oder her, an einem ausgeschalteten Switch kommt man wirklich nur schwer vorbei.

Stimmt, die Glasbedienzentrale hatte ich noch nicht auf dem Schirm. Danke! Die schaut gut aus! Visu werd ich wohl erst später machen, wenn dann mehr Zeit ist. Hab nur mal eine USB Steckdose für Tablet an der Wand vorgesehen bisher

tsb2001 Ich kann dir hier nur zustimmen. Alles in einem Netz. Kaum eine Consumer-Gerät kommt mit VLAN klar, da die meisten alle mit Discovery im gleichen LAN-Segment arbeiten. Einfach Gäste separieren und gut ist und das können die FBF selbst durch Unmanaged-Switche (Repeater<->FBF). Ich verbaue jetzt einen 5er POE 100Mbit Switch für die die TürGSA und Kameras, weil der Switch gegenüber der 1000Mbit Variante 3 Watt weniger verbraucht. Sind zwar nur 8 € im Jahr aber der Switch ist nochmals 8 € günstiger. Und das läppert sich.

Also ich bin da bei tsb2001. Das liest sich hier nach ziemlich viel Aufwand für ziemlich geringen bis gar keinen Nutzen der anders einfacher und effektiver umgesetzt werden kann. Ich sehe da nur einen Vorteil und zwar die Gäste in ein VLAN zu packen um denen die Möglichkeit zu nehmen die vermeintlich interessanten Bereiche zu scannen, bzw überhaupt irgendwie da hin zu kommen. Der Zweck eines VLANS ist ja nur die physische Trennung auf logischer Ebene zu abstrahieren.

Müssen die Clients und die IP-Cams sich nicht sowieso mit den Servern unterhalten oder die Clients mit den Cams? Wenn du erst alles separierst um anschließend alles wieder aufzubohren weil sonst keine Kommunikation möglich ist hast du ja anschließend wieder das selbe Szenario.
Wenn du deine Broadcasts separieren möchtest hilft da schon ein ordentliches Subnetting. Und wenn du eine Zugriffsbeschränkung willst hilft da häufig eine Zutrittsregelung bzw eine Firewall.

Und wenn du dein Netzwerk noch sicherer machen willst solltest du deine WLAN Authentifizierung per Zertifikatsbasierter RADIUS machen und auf den Switches die PortSecurity aktivieren

Was hast du denn für einen Angriffsvektor im Kopf vor dem du dich mit der Aufteilung schützen willst?

Jeder kann das natürlich einrichten wie er mag aber ich würde mir immer die Frage stellen erziele ich mit dem getätigten Aufwand den gewünschten nutzen.

Und wenn ich die Visu unbedingt in der Wolke haben will macht die Appliance glaube ich nur mit zweistufiger Firewall in einer DMZ Sinn.

Und auch für die Ports die von außen erreichbar sind gibt es je nach Infrastruktur als Lösung PortSecurity oder IEEE802.1X. Da ist dann nur das Gerät berechtigt was da auch dran gehört und niemand muss irgendwo hin laufen und den Strom wieder einschalten nur weil die Putzfrau die Türstation auch mal von innen sauber machen wollte

Naja, ich denke eben, dass ich so oder so einen 24 Port Switch anschaffen muss und die Mehrkosten für einen managed sind nicht wirklich arg mehr.

Bzgl. der Netzaufteilung: Primär geht es eben im LAN Kabel im Außenbereich (IP Cams), die ich gerne in ein eigenes (V)LAN packen will. Anstatt jetzt physich mit mehreren Switches zu arbeiten, war eben der Gedanke mit den VLANS und bei den UniFi Teilen ist die administration recht Userfreundlich, wie ich finde. Zwischen den Netzen müsste dann in der Firewall nur der jeweilige Port (zB um auf die Visu zu kommen) freigeschaltet werden und alles andere wird geblockt.

Welchen Sinn macht die Trennung von Multimedia und Privat? Ich kann zB mittels DLNA einfach per "Rechtsklick" im Windows Explorer einen Song auf meinem AVR abspielen. Mit getrennten VLANs hätte ich diese Funktionen (und andere, beispielsweise Airplay) eben nicht. Bzw müsste diese Protokolle wieder irgendwie routen.

seperates vlan für iot Geräte welche eh nur direkt mit dem Internet sprechen können, zB Thermomix, oder haben hier son ne Nokia Personenwaage ergibt schon Sinn.

Wenn man seine Multimedia Geräte alle mit Kabel verbindet, es gibt ja auch Ethernetadapter für Chromecast usw. dann kommt man in meinen Augen bei 5Ghz mit 2 VLANs aus einmal Privat und einmal Gäste

Was hast du dir denn für ein Switch ausgesucht? Die Teile von Unifi unterstürtzen je nach Modell PortSecurity und/oder IEEE802.1X. Das mit dem VLAN kannst du dann natürlich als zusätzliches Sicherheitsfeature nehmen aber alle Ports die du brauchst für die Kommunikation sind auch für Angreifer offen.

Ich sage ja nicht das meine Konfiguration der Weisheit letzter Schluss ist. Ich habs halt so gemacht. Zum einen weil ich es gerne strukturiert habe und ich anhand der ip Adresse gleich auf die Verwendung schliessen kann. (Ich weiß das ist kein stichhhaltiges Argument)

Theorethisch hätte man IOT und Multimedia zusammenfassen können weil gerade TV´s und Settopboxen mittlerwile genauso mit dem I-Net sprechen wie der Thermomix und die Waage.

Zum Anderen aber weil ich meine privaten Daten (ich bin nebenberuflich Fotograf) und damit die Bilder meiner Kundinnen geschützt werden sollten. Ob Sie es dann sind wäre noch die Frage :-)

Ich habe komplett Unifi

Das Unifi Security Gateway Pro
2x NonPOE Switch 24 fach
1x POE Switch 16 fach
2 x Access Points UAP Pro (oder so ähnlich)
1x Cloudkey für die Management SW

Entsprechend konfiguriert mit Firewall Regeln.
In diesem Zusammenhang einfach mal nach den youtub tutorials von idominix googeln

Die scheinen das mit dem Port Security feature zu beherschen. Wenn du das eingerichtet bekommst bietet dir das mehr Sicherheit als das mit dem VLAN weil dann nur die genannten Geräte an dem Port betrieben werden können. Hier ist dann sofern von allen teilnehmern unterstütz IEEE802.1X sicherer als der MAC filter