Moin ihr Lieben,
nachdem wir unsere Anlage nun schon eine Weile im Betrieb haben kommt über kurz oder lang der Wunsch zur Fernwartung hinzu. Deshalb hätte ich ein paar Fragen, wie ihr dies am sinnvollsten unter dem Aspekt der Sicherheit im Netzwerk einstellen würdet.
Wir haben unser Netzwerk zu Hause in 5 einzelne Netzwerke unterteilt - zum einen, um die Sicherheit zu erhöhen, zum anderen aber auch, weil es wesentlich übersichtlicher ist. Die einzelnen Netzwerke sind untereinander durch Firewall-Regeln getrennt, Ausnahmen sind dann auf Geräte-Basis einzeln explizit angelegt.
Frage Nummer 2: Wenn wir jetzt einen S1 mit einbauen, geht dieser dann wie auch der X1 an einen eigenen Switch-Port oder geht der X1 an den S1 und der S1 dann an den Switch?
Frage Nummer 3: Wenn ich den X1 an den S1 hänge (S1 dann am Switch), ist der dann nur noch über den Fernzugriff erreichbar oder erkennt der S1 sozusagen, dass das Endgerät im lokalen Netzwerk ist und macht den Zugriff dann über das Netzwerk? Es wäre natürlich doof, wenn die App immer den Umweg über das Inet raus, dann zum Gira Portal-Server, dann wieder zum S1 und dann erst zum X1 nehmen würde - kann ich mir eigentlich nicht vorstellen, aber wie ist es richtig?
Frage Nummer 4.a: Wenn nur noch der S1 mit dem Switch verbunden ist, muss dieser dann im gleichen Netzwerk sein wie die Endgeräte, die durch ihn den X1 bedienen? (siehe Frage 1) oder kann ich das genau so einrichten wie in Frage 1 beschrieben?
Frage Nummer 4.b: Wenn hingegen S1 und X1 jeweils mit einem eigenen Switch-Port verbunden sind, müssen dann beide im gleichen Netzwerk untereinander und/oder mit allen zugreifenden Endgeräten sein? Oder kann ich das genau so einrichten wie in Frage 1 beschrieben?
Frage Nummer 5: Wir möchten den S1 tatsächlich und ausschließlich für den Fernzugriff auf den X1 (und als Programmierschnittstelle) verwenden. Keine Anbindung externer Dienste wie Alexa, Google, kein Zugriff auf irgendwas anderes im Netzwerk - das haben wir bereits über die entsprechenden Synology-Funktionen geregelt. ist der S1 dann overkill oder doch genau das richtige? Und müssen wir den dafür noch irgendwie einschränken via Regeln, oder wird der Funktionsumfang direkt bei der Einrichtung im S1 geregelt?
Frage Nummer 6: Noch eine technische Frage - wir haben für den X1 ein Mean Well HDR-15-24 Hutschienen-Netzteil im Schrank - können wir vom Gira einfach weiter zum S1 für die Spannungsversorgung verdrahten, oder braucht der nochmal ein eigenes Netzteil?
Bitte entschuldigt, wenn die Netzwerkfragen etwas laienhaft formuliert sind - ich bin beileibe kein Netzwerkadministrator und habe mir das meiste beim Machen angelesen, dafür funktioniert es aber bislang recht gut :-)
nachdem wir unsere Anlage nun schon eine Weile im Betrieb haben kommt über kurz oder lang der Wunsch zur Fernwartung hinzu. Deshalb hätte ich ein paar Fragen, wie ihr dies am sinnvollsten unter dem Aspekt der Sicherheit im Netzwerk einstellen würdet.
Wir haben unser Netzwerk zu Hause in 5 einzelne Netzwerke unterteilt - zum einen, um die Sicherheit zu erhöhen, zum anderen aber auch, weil es wesentlich übersichtlicher ist. Die einzelnen Netzwerke sind untereinander durch Firewall-Regeln getrennt, Ausnahmen sind dann auf Geräte-Basis einzeln explizit angelegt.
- Kamera-LAN: Hier sind unsere 10 Außenkameras und die Kamera-Synology drin.
- Infrastruktur-LAN: Hier liegen die APs, Switch und Hardware-Firewall drin und - während sie konfiguriert wird - die Alarmanlage (sonst ausgesteckt)
- Haustechnik-LAN: Hier liegt bislang das Busch Welcome-Gateway
- Work-LAN: Hier liegen meine Arbeitsgeräte drin
- Home-LAN: Hier liegen alle Endgeräte (ist auch das Privat-WLAN), Privat-NAS etc. drin - und aktuell auch der X1
Frage Nummer 2: Wenn wir jetzt einen S1 mit einbauen, geht dieser dann wie auch der X1 an einen eigenen Switch-Port oder geht der X1 an den S1 und der S1 dann an den Switch?
Frage Nummer 3: Wenn ich den X1 an den S1 hänge (S1 dann am Switch), ist der dann nur noch über den Fernzugriff erreichbar oder erkennt der S1 sozusagen, dass das Endgerät im lokalen Netzwerk ist und macht den Zugriff dann über das Netzwerk? Es wäre natürlich doof, wenn die App immer den Umweg über das Inet raus, dann zum Gira Portal-Server, dann wieder zum S1 und dann erst zum X1 nehmen würde - kann ich mir eigentlich nicht vorstellen, aber wie ist es richtig?
Frage Nummer 4.a: Wenn nur noch der S1 mit dem Switch verbunden ist, muss dieser dann im gleichen Netzwerk sein wie die Endgeräte, die durch ihn den X1 bedienen? (siehe Frage 1) oder kann ich das genau so einrichten wie in Frage 1 beschrieben?
Frage Nummer 4.b: Wenn hingegen S1 und X1 jeweils mit einem eigenen Switch-Port verbunden sind, müssen dann beide im gleichen Netzwerk untereinander und/oder mit allen zugreifenden Endgeräten sein? Oder kann ich das genau so einrichten wie in Frage 1 beschrieben?
Frage Nummer 5: Wir möchten den S1 tatsächlich und ausschließlich für den Fernzugriff auf den X1 (und als Programmierschnittstelle) verwenden. Keine Anbindung externer Dienste wie Alexa, Google, kein Zugriff auf irgendwas anderes im Netzwerk - das haben wir bereits über die entsprechenden Synology-Funktionen geregelt. ist der S1 dann overkill oder doch genau das richtige? Und müssen wir den dafür noch irgendwie einschränken via Regeln, oder wird der Funktionsumfang direkt bei der Einrichtung im S1 geregelt?
Frage Nummer 6: Noch eine technische Frage - wir haben für den X1 ein Mean Well HDR-15-24 Hutschienen-Netzteil im Schrank - können wir vom Gira einfach weiter zum S1 für die Spannungsversorgung verdrahten, oder braucht der nochmal ein eigenes Netzteil?
Bitte entschuldigt, wenn die Netzwerkfragen etwas laienhaft formuliert sind - ich bin beileibe kein Netzwerkadministrator und habe mir das meiste beim Machen angelesen, dafür funktioniert es aber bislang recht gut :-)
Kommentar