Dein Problem ist das LAN und der komische Gedanke zwingend einen Router haben zu wollen.

Ohne diesen wird es eigentlich ganz einfach und Recht sicher trennbar. Jede WE bekommt ihren IP-Zugriff per Tunneling aus Schnittstellen und gut ist.

Das der Markt kurz/mittelfristig mit genaialen KNX-IP Geräten im Sinne KNX-IoT geflutet wird und man deswegen einen Router sehr sinnvoll einsetzen kann, sehe ich nicht, alles übrige lässt sich auch per Tunneling oder TP anbinden. Die passende Auswahl an Logikserver hilft den Routerzwang zu reduzieren.

Nein, das hast du falsch verstanden, die Hauptlinie würde ich als WE1 nehmen und WE2 als Linie hinter dem LK ebenso die Außenlinie.
Das setzt für mich aber voraus, das WE1 vertrauenswürdig in Bezug auf WE2 ist, bei unabhängigen Parteien (z.B. beides Mieter) würde ich WE1 auch auf eine Linie legen.

Visu, nur eine Visu heißt aber zwangsläufig auch Zugriff auf ein gemeinsames Netz, beim X1 könnte man über Berechtigungen beide Wohnungen trennen, aber sinnvoll ist ein eigenes IP Interface in jeder Wohnung und im eigenen LAN.
Gruß Florian

Das wäre dann diese Topologie:
Zwischenablage01.jpg
Ist die Tatsache, dass der Router an der Außenlinie hängt, nicht ein Sicherheitsrisiko?

Wohingegen dein Vorschlag...:
...die Außenlinie am linken LK sieht und den Router an der Linie der WE1 (=Hauptlinie. Wobei ich die Formulierung "Außen Linie2 ein KNX IP-Router zur Kopplung auf eine IP-Bereichslinie." nicht ganz verstehe. Fehlt da ein oder mehrere Satzzeichen?

Ist es denn überhaupt möglich, mit nur einem Router eine Trennung aus Sicht eines Logik-/Visuservers zu machen?
Klar, man könnte die Liste der Gruppenadressen vor dem Import bearbeiten. Rein technisch könnte aber doch jeder am Router angebundene Server Telegramme mit allen Gruppenadressen ins System senden?

Das wäre wohl die günstigste Variante aber eine die ich nur umsetzen würde wenn alles wirklich in der Familie an Wohneinheiten aufgeteilt ist. WE1 Hauptlinie/ WE2 Linie1 / Außen Linie2 ein KNX IP-Router zur Kopplung auf eine IP-Bereichslinie.

Visu/Logikserver wäre dann aber wohl auch einer für die gesamte Anlage.

Ich spreche niemals "Empfehlungen" aus (nichtmal im Job) ... ich äussere nur meine Meinung

Mit dieser Meinung kann jedermann tun und lassen, was er will und ich behalte mir auch vor, diese nach Lust und Liebe zu ändern ...

Gruss
fasi

Diese Grundsatzfrage habe ich ja im Eröffnungspost gestellt. Und zwar, weil - wegen der beiden Testaufbauten - bereits zwei Router vorhanden sind.

Dein Post und der davor haben mich nun aber dazu gebracht, deiner Empfehlung zu folgen. Ich gehe mal davon aus, dass ich zu gegebener Zeit für den einen Router einen Abnehmer finde - auch wenn ich ihn dann 30 bis 50 € günstiger abgeben muss. Unterm Strich ist dann der Zukauf von 2 Linienkopplern doch günstiger.

Dann oute ich mich mal als Zweiäugiger ... mit ~20 Jahren Erfahrung plus diversen Zertifizierungen (im Netzwerkumfeld), aber das soll nix zur Sache tun.

Trotz (oder gerade wegen) dieses (Netzwerk-) Wissens wäre es mir nicht in den Sinn gekommen, die Hauptlinie als IP auszuführen. Warum will man das KNX-TP (Netzwerk) so auseinanderreissen und zusätzliche Komplexität reinbringen, wenn es keine Beschränkungen (z.B. aufgrund der Entfernung) gibt?

Also für mich gehört KNX-IP primär in den Backbone zur Verbindung mehrerer Objekte ... (ja, es mag Ausnahmen geben, aber ein Haus mit Einliegerwohnung und Aussenlinie gehört für mich nicht dazu)

KNX-TP ist "einen Draht mit Stromversorgung" ... einfacher und zuverlässiger kann man ein Netzwerk nur noch bauen, wenn man die Stromversorgung nicht hat/braucht.

KNX-IP dagegen muss jedem KNX-TP Frame erst einen UDP-Header, dann einen IP-Header und dann noch einen Ethernet-Header (ich kenne keinen KNX-IP-Router mit Token-Ring, FDDI, CDDI, ATM, SDH, ... Interface) verpassen, um das ganze dann via mindestens einem aktiven Netzwerk-Element (Switch) zu verschicken. Klar kann man auch einen Hub verwenden, das ist auch im Prinzip ein Stückchen Draht mit einer Stromversorgung, dann hat man aber immer noch diese ganzen Header und zusätzlich noch CSMA/CD (bei Full-Duplex Links ist das /CD im Ethernet ja deaktiviert) ... wo man dann wieder ganze Frames (=Informationen) verlieren kann. Beim CSMA/CA von KNX-TP kann wenigstens ein Busteilnehmer seine Daten im Falle einer Kollision "durchbringen" ...
Auf der anderen Seite muss dann dieser ganze Ethernet/IP/UDP-Stack wieder analysiert und "weggeworfen" werden, um den KNX-TP Frame wieder auf den KNX-TP Bus zu senden ... was für ein zusätzlicher Aufwand und schneller wird die Info dadurch auch nicht übertragen.

Ein VLAN ist auch ein VPN, halt ein L2-VPN ...
Die Bezeichnung VPN enthält nirgendwo das Element "Verschlüsselung" ... auch wenn heute jeder (Nutzer) dank cleverem Marketing glaubt, ein VPN müsse verschlüsselt sein ...
Weder MPLS, noch GRE machen (nativ) irgendeine Form von Verschlüsselung ... trotzdem sind beides VPN-Technologien ...

Gruss
fasi

Du benötigst aber innerhalb des TP nur 2 LKs, Hauptlinie bekommt den IP-Router nach außen, und von Hauptlinie zur ELW und Hauptlinie zur Außenlinie jeweils einen LK. Aber dramatisch wird der Kostenunterschied trotzdem nicht

Gruß
Florian

Wäre auch meine bevorzugte Variante - wenn ich bei IP bleibe.
Mit Blick auf die Kosten ist übrigens auch kein gewaltiger Unterschied zwischen rein TP und der Router-Lösung:
3 x Router ca. 720 €
3 x Linienkoppler und IP-Interface ca. 690 €
3 x Linienkoppler und IP-Router ca. 780 €
Ein Router wird es auf jeden Fall werden, weil ich mir die Möglichkeit des Multicasting nicht verbauen möchte.

Oh Gott, ja. Peinlich. 😳
Das kommt davon, wenn man auf mehreren Baustellen gleichzeitig arbeitet - ich bin gerade dabei, VPN-Zugänge für mich und meine GöGa einzurichten.

Hi,

ich würde Variante A nehmen, warum sollte man den geringen Durchsatz einer TP-Linie noch mit der Außenlinie "belasten", wenn man seine Infrastruktur auf IP-Kopplung aufbaut.

Auf jeden Fall Router. IP-Interface baut nur Tunnel auf (Point-2-Point Verbindung), hier brauchst Du Multicast.

Aber: Redest Du wirklich von VPN oder meinst Du VLAN? VPN im lokalen Netzwerk würde ja auch immer noch Gateways erfordern, die die Verschlüsselung/Entschlüsselung übernehmen, oder? Falls nicht, dann ist meine Vorstellung der Materie mangelhaft (bin sicherlich auch Laie) und mich würde interessieren, wie so was inhouse laufen würde... hat aber nicht wirklich was mit dem Thema zu tun.

Gruß, Waldemar

Ich bin der Einäuguge unter den Blinden. Ich könnte z.B. aus dem Stand die Funktion einer Subnetzmaske erklären - auch auf Bit-Ebene aufgelöst und nicht nur mit 255ern.

Die beiden LANs sind miteinander verbunden und sind rein physikalisch ein einziges LAN.
Durch VPNs wird aber sichergestellt, (vereinfacht gesagt, Profis bitte steinigt mich jetzt nicht wegen der Vereinfachung) welcher Netzwerkport mit welchem sprechen kann. Da bilden also im einfachsten Fall folgende Ports ein eigenes VPN:
- KNX-Router 1
- KNX-Router 2
- Verbindungsport der beiden Switche am Switch A
- Verbindungsport der beiden Switche am Switch B
- evtl. Parametrierungport.

Es steht also zwischen den Rotern ein IP-Kanal zur Übertragung der Telegramme.

Jetzt bitte ich die KNX-Profis darum mein KNX-Laienwissen zu korrigieren oder zu bestätigen:

Variante A:
Ein weiterer Router (oder IP-Interface?) koppelt die Außenlinie an das VPN. Über Filtertabellen in den Routern wird sichergestellt, dass Telegramme mit Gruppenadressen, in denen eine (oder beide) interne Linie enthalten ist in diese weitergeleitet werden.

Variante B:
Ein Linienkoppler in der Linie der Hauptwohnung bindet die Außenlinie an. Über Filtertabellen in den Routern und im Linienkoppler wird auch hier sichergestellt, dass nur Telegramme in die entsprechende Linie gelangen, die sie benötigen.
Einschränkung hier: Telegramme, die von der Außenlinie nur in die Linie der Einliegerwohnung gelangen sollen, müssen zwangsläufig durch die Linie der Hauptwohnung geroutet werden.

Danke für die nochmalige Bestätigung dieser Tatsache.
Ich habe bewusst diese Topologie aufgezeichnet, um solche Reaktionen zu provozieren.😉

Ich bin Netzwerk-Laie und halte daher meine Finger eher fern von dem IP-Zeugs.

Ich frage mich nur wenn Ihr die LAN-Infrastruktur so sehr sauber sicher voneinander getrennt habt, wie bekommt Ihr dann die gemeinsam zu nutzende Außenlinie, dann in beide KNX-TP-Bereiche?

Ich würde halt beide WE je eine TP-Hauptlinie machen.
Außenbereich ist dann entweder eine Linie die auch direkt ins IP-Backbone verbunden wird.

Die Kunst besteht nur darin das LAN so zu strukturieren, das sie untereinander und nach ganz draußen sicher sind und dennoch die Telegramme der Außenlinie in beide Bereiche gelangen ohne das die Telegramme der der Bereiche untereinander sich begegnen.

Von der Topologie her geht es eben nicht beide Bereiche per TP mit der Außenlinie zu verbinden und gleichzeitig beiden Bereichen (WE) einen KNX-IP-Router zu verpassen.

Die vielen Linien je WE sind unnötig, mit passender Spannungsversorgung sind gute 120 Geräte je Liniensegment TP gar kein Problem. Und da muss man sich bei einer ca. 100qm Wohnung schon sehr anstrengen das zu überschreiten.

Du hast in deinem Eingangspost eine IT Infrastruktur beschrieben, die deutlich über die Fähigkeiten eines Fritzbox StartupCode-Eingebers hinausgeht. Das würde ich nicht jedem KNX Anwender zumuten. Aber wenn du verstehst, was du geschrieben hast dann sollte für dich ein KNX Router auch kein Problem bereiten.

Gruß Florian

Okay, danke. Das ist mal ne klare Aussage.

Was willst du mir damit sagen?
Dass du bei gutem vorhandenem IT-Wissen evtl. bei der Lösung mit zwei Routern bleiben würdest?
Oder dass du den Einsatz auch eines Router grundsätzlich von IT-Wissen abhängig machst?

Ein Router wird wohl mindestens bleiben und keinesfalls durch ein IT-Interface ersetzt werden. Vielleicht komme ich ja irgendwann mal auf die Idee, (Logik-/Virtualisierungs)Geräte) einzusetzen, die Mulicast benötigen.

Eher LK Hauptwohnug und LK ELW, zu den einzelnen Etagen würde ich nur separate KNX Kabel legen, aber die gemeinsam auf einer Linie betreiben.
IP-Router, es kommt natürlich auch immer darauf an, was an entsprechendem IT Wissen vorhanden ist.
Gruß Florian