Bestimmtes Netzwerkgerät von anderen Geräten im selben Netzwerk "abgrenzen"?

[Sweden]

Hallo!
Ich habe vor kurzem meine PV-Anlage installiert bekommen und der Wechselrichter muss zwingend mit dem Internet (LAN) verbunden sein, damit man die akutelle Leistung usw. über die Cloud des Herstellers sieht.
Und genau das ist mir ein Dorn im Auge...

Kann ich irgendwie den Wechselrichter in eine eigenes Netzwerk verbannen, damit dieser quasi keine anderen Geräte oder ähnliches aus meinem Haupt-Netzwerk sieht/zugreifen kann?
Da auch eine Fernwartung des Wechselrichters möglich ist, möchte ich dem Techniker nur Zugriff auf den Wechselrichter gestatten und nicht irgendwelche MAC-Adressen auf einer Herstellercloud in China im Hintergrund gespeichert sehen.

Der Wecheselrichter hängt mit vielen anderen Geräten auf einem Switch, eine direkte Verbindung von Router zu Wechselrichter ist Leitungstechnisch unmöglich. Ein 2tes Modem/Switch oä, welches am Hauptswitch angeschlossen wird, wäre natürlich kein Problem.
Als Hauptrouter ist bei mir eine Fritz!Box 4060 im Einsatz.

Welche Möglichkeiten hätte ich in meinem Anwendungsfall?

Ich freue mich auf eure Ratschläge!

lg

 

[Paxter]

Du kannst doch jedem Gerät erlauben oder untersagen, dass es mit anderen Geräten im Netz Verbindung aufnehmen kann.
Schau da einfach in der Konfiguration der Netzwerkgeräte mal nach.
Über Filter geht da sogar noch mehr, was die tatsächlich Zugriffe im allgemeinen angeht.

 

[Mar1u5]

Wechselrichter ins Gästenetz der FritzBox bringen (LAN Port 4 kann dafür oft konfiguriert werden.)
Switche mit VLANs zur Verbindung nutzen

 

[lazsniper]

, damit man die akutelle Leistung usw. über die Cloud des Herstellers sieht.
Und genau das ist mir ein Dorn im Auge...

lass mich raten, huawei?

 

[redjack1000]

Welche Möglichkeiten hätte ich in meinem Anwendungsfall?

Nur, wie schon erwähnt das Gastnetzwerk der Fritzbox.

Wenn Du mehr Möglichkeiten haben möchtest, denke über einen neuen Router nach.

CU
redjack

 

[Raijin]

Du kannst doch jedem Gerät erlauben oder untersagen, dass es mit anderen Geräten im Netz Verbindung aufnehmen kann.

Wo und wie willst du das denn tun?

Im Wechselrichter?

In allen anderen Netzwerkteilnehmern?

Im Switch?

In der Fritzbox?


Bedenke, dass zB die Fritzbox nie auch nur ein Bit davon sieht, wenn zwei Geräte, die am selben Switch hängen, miteinander kommunizieren, weil der Switch sein Job macht und direkt von Geräte-Port zu Geräte-Port switcht und die Fritzbox an ihrem Port in keinster Weise involviert ist. Folglich kann man das nur entweder in allen anderen Geräten einstellen - so es denn möglich ist - oder aber im Switch, wenn er ACLs bietet.

Wechselrichter ins Gästenetz der FritzBox bringen (LAN Port 4 kann dafür oft konfiguriert werden.)
Switche mit VLANs zur Verbindung nutzen

So könnte man das realisieren. Die Fernwartung der Anlage wird mutmaßlich über den Rückkanal einer ausgehenden Verbindung vom Wechselrichter zur Cloud stattfinden und somit dürfte das Gastnetzwerk prinzipiell kein Problem darstellen. Die Fritzbox trennt das Gastnetzwerk ohne weiteres Zutun automatisch vom Hauptnetzwerk und das sollte reichen.

 

[DJKno]

Fritzbox Gäste LAN wäre die Option, aber die geht in deinem Fall nicht, weil der Wechselrichter nicht direkt an der Box, sondern an einem Switch dazwischen hängt.
Also bleiben 2 Optionen, einen managed Switch kaufen, der VLANs kann, dazu dann einen passenden Router, der damit ebenfalls umgehen kann.
Oder, Repeater mit LAN Anschluss und den Weg über das Gäste WLAN gehen.

Ergänzung (8. September 2023)

Wechselrichter ins Gästenetz der FritzBox bringen (LAN Port 4 kann dafür oft konfiguriert werden.)
Switche mit VLANs zur Verbindung nutzen

Geht nicht, da der TE schreibt, dass keine direkte Kabelverbindung zur Fritzbox besteht.

 

[Raijin]

einen managed Switch kaufen, der VLANs kann, dazu dann einen passenden Router, der damit ebenfalls umgehen kann.

Wozu den Router? Die Fritzbox bekommt lediglich 2 Uplinks zum besagten Switch verpasst, einen von LAN1/2/3 ausgehend für das Hauptnetzwerk und einen von LAN4 für das Gastnetzwerk.

Beispiel anhand eines 24er Switches mit VLAN-Unterstützung:

Switch
|
P1-20 @ VLAN 10 untagged
P21-24 @ VLAN 20 untagged

Nun kann man an 1-20 Geräte für das Hauptnetzwerk anschließen (ein Port belegt durch Uplink zu LAN1 @ Fritzbox) und an 21-24 stehen 4 Ports für das Gastnetzwerk zur Verfügung, von denen ebenfalls einer von der Frizbox belegt ist (LAN4). An einen der anderen Gastports kommt dann der Wechselrichter.

 

[DJKno]

Wozu den Router? Die Fritzbox bekommt lediglich 2 Uplinks zum besagten Switch verpasst

Soweit ich das verstanden habe, geht aber nur ein Kabel vom Switch zum Router?
Wie willst du da 2 Uplinks draus zaubern?

 

[Sweden]

Hallo nochmals!
Erstmals vielen Dank für die zahlreichen Antworten!
Ich habe mal eine schnelle Skizze angefertigt, um die verkabelung etwas verständlicher anzuzeigen.

Meine Fritzbox hat leider nur 3x LAN-Anschlüsse, welche alle belegt sind. Der Gästezugang wäre nur auf LAN-Port 3 möglich und dazu fehlt jedoch die Verkabelung vom Wechselrichter direkt zum Router.
Kann man keinen zusätzlichen (managed) Switch an meinen bestehenden Switch hängen und so dem Wechselrichter ein eigenes "abgeschottetes" Netzwerk irgendwie vorgaukeln?
Die Gästezugang-WLAN Variante würde ich ebenso eher ungern machen, da somit die stabile LAN-Verbindung mit einem schwachen WLAN Signal wieder zunichte gemacht wird.

 

[redjack1000]

Kann man keinen zusätzlichen (managed) Switch an meinen bestehenden Switch hängen und so dem Wechselrichter ein eigenes "abgeschottetes" Netzwerk irgendwie vorgaukeln?

Genau das ist im Beitrag #8 beschrieben.

Cu
redjack

 

[Raijin]

Soweit ich das verstanden habe, geht aber nur ein Kabel vom Switch zum Router?
Wie willst du da 2 Uplinks draus zaubern?

Es war nur die Rede dsvon, dass es kein Kabel direkt zwischen Router und Wechselrichter gibt.

Wie auch immer, selbst dann braucht man keinen weiteren Router, weil lediglich über 1 Ksbel 2 VLANs laufen müssen und dann packt man einfach auf jede Seite des Kabels einen VLAN-Switch und fertig.

Kann man keinen zusätzlichen (managed) Switch an meinen bestehenden Switch hängen und so dem Wechselrichter ein eigenes "abgeschottetes" Netzwerk irgendwie vorgaukeln?

Es gibt kein "Vorgaukeln".

Die Gästezugang-WLAN Variante würde ich ebenso eher ungern machen, da somit die stabile LAN-Verbindung mit einem schwachen WLAN Signal wieder zunichte gemacht wird.

Vom Gast-WLAN war auch nicht die Rede, sondern von der Fritzbox-Option "Gastnetzwerk auf LAN4 ausgeben". Das müsste auch mit der 4060 gehen, ggfs dann eben LAN3, wenn sie einen Port weniger hat (?).

Deine Skizze ist leider wenig hilfreich, weil man keinerlei Eindruck gewinnen kann ob der Switch 10cm neben der Fritzbox steht und der Wechselrichter 80 Meter weiter entfernt in nem Geräteschuppen oder ob der Switch 3 Etagen über der Fritzbox auf dem Dachboden liegt und der Wechselrichter daneben. Wir können dir nicht über die Schulter schauen und sind auf möglichst präzise Angaben deinerseits angewiesen.

Je nachdem wie groß die Entfernung Switch <> Fritzbox ist und ob dort 1 Kabel liegt oder du noch ein zweites ziehen könntest ändern sich die Möglichkeiten. Auch das konkrete Switch-Modell ist maßgeblich, da man sonst zB einen 8er VLA -Switch vorschlägt, du da aber einen 24er Switch stehen hast.

Ergänzung (8. September 2023)

Meine Fritzbox hat leider nur 3x LAN-Anschlüsse, welche alle belegt sind. Der Gästezugang wäre nur auf LAN-Port 3 möglich und dazu fehlt jedoch die Verkabelung vom Wechselrichter direkt zum Router.

Genau darum geht es doch. Mit einem VLAN-fähigen Switch kannst du Gast-via-LAN über den Switch zum Wechselrichter bringen. Das ist doch der Sinn des Ganzen..
Wenn die LAN-Ports der Fritzbox voll sind und du LAN3 nicht als Gast nutzen kannst, musst du LAN3 eben freimachen - zB indem du LAN1+2 um einen kleinen 8er Switch ergänzt oder am besagten VLAN-Swtich weitere Ports für das Hauptnetz bereitstellst. Konkreter kann man mangels ausreichender Infos leider nicht werden, weil die jeweilige Lösung von den Rahmenbedingungen abhängt - zB was steht wo, wie weit weg und wie viele Kabel liegen da oder können nachgezogen werden.

 

[Sweden]

Die Fritzbox steht im Hauptgeschoss.
Daran sind TV, Konsolen,... an LAN Port 1 bzw. 2 angeschlossen. LAN Port 3 könnte ich an den Switch im Dachboden klemmen, jedoch müssen alle im Dachboden angeschlossenen Geräte (außer der Wechselrichter natürlich) untereinander kommunizieren können. Zwei getrennte LAN-Kabel kann ich nicht einziehen.

Der Switch steht im Dachboden (ca. 20 Meter Kabellänge vom Router).
Der Wechselrichter ist im Keller (ca. 30 Meter Kabellänge vom Switch)
Im Dachboden laufen noch einige Netzwerkkabel vom Switch zu diversen Netzwerkgeräten (POE-Kameras, in andere Zimmer zum PC usw.)
Folgenden Switch habe ich im Dachboden:
https://www.amazon.de/TP-Link-Gigab...refix=tplink+switch+8+port+poe+,aps,90&sr=8-5

Wie viele Switches darf man den überhaupt im Netzwerk hängen haben? Im Endeffekt hängt an allen LAN-Ports akutell mindestens 1x Switch.
Vom POE-Switch im Dachboden geht 1x LAN Kabel in ein anderes Zimmer, welches wiederrum mit einem 5-Port Switch die Geräte darin versorgt.

 

[redjack1000]

Wie viele Switches darf man den überhaupt im Netzwerk hängen haben?

Dafür gibt es keine Begrenzung.

Cu
redjack

 

[Raijin]

Daran sind TV, Konsolen,... an LAN Port 1 bzw. 2 angeschlossen. LAN Port 3 könnte ich an den Switch im Dachboden klemmen, jedoch müssen alle im Dachboden angeschlossenen Geräte (außer der Wechselrichter natürlich) untereinander kommunizieren können. Zwei getrennte LAN-Kabel kann ich nicht einziehen.

Das geht bei mir nicht auf. Deine Fritzbox hat 3 LAN-Ports, von denen 2 für TV und Konsole benutzt werden und an den 3. Port "könntest" du den Switch anklemmen? Hä? Da muss doch der Switch schon jetzt angeschlossen sein, sonst kommt das nicht hin?!? Oder wie ist der Switch denn sonst angeschlossen?

Der TL-SG1008MP, den du auf dem Dachboden stehen hast, ist leider nicht VLAN-fähig.

Ein mögliches Setup könnte wie folgt aussehen:

Fritzbox (Hauptgeschoss)
+-LAN1 --- zur freien Verfügung im Hauptnetzwerk
+-LAN2 --- (Port 1 @ VLAN 10) TL-SG105E #1
+-LAN3 --- (Port 2 @ VLAN 20) TL-SG105E #1

TL-SG105E #1 (Hauptgeschoss)
+-Port 1 @ VLAN 10 (untagged) ------ LAN2 Fritzbox (Haupt)
+-Port 2 @ VLAN 20 (untagged) ------ LAN3 Fritzbox (Gast)
+-Port 3/4 nach Wahl VLAN 10 oder 20 (untagged) für Endgeräte in Haupt- oder Gastnetzwerk
+-Port 5 VLAN 10 + 20 (tagged aka trunk) -----KabelNachOben----- Port 5 VLAN 10+20 TL-SG105E #2

TL-SG105E #2 (Dachboden)
+-Port 1 @ VLAN 10 (untagged) ----- Port 1 TL-SG1008MP
+-Port 2 @ VLAN 20 (untagged) ----- Wechselrichter in Gastnetzwerk
+-Port 3/4 nach Wahl VLAN 10 oder 20 (untagged) für Endgeräte in Haupt- oder Gastnetzwerk
+-Port 5 VLAN 10 + 20 (tagged aka trunk) -----KabelVonUnten----- Port 5 VLAN 10+20 TL-SG105E #1



Prinzipiell sind beide TL-SG105E also identisch konfiguriert und jeweils Port 5 wird als Uplink zwischen ihnen verwendet, das ist das Dachbodenkabel, über welches nun zwei Netzwerke laufen, nämlich das Haupt- und das Gastnetzwerk. Diese werden wiederum an den Ports 1-4 wieder nach Bedarf ausgegeben - im Haupt-105er eben für die Uplinks zur Fritzbox und im Dach-105er als Uplink für den PoE-Switch und den Wechselrichter.
Mit einer Investition von 2x ca 20€ für die beiden TL-SG105E bist du dabei.

Wenn du den TL-SG1008MP im Dachgeschoss gegen einen TL-SG108PE austauschst, könntest du dir den zweiten 105er sparen, weil der 108PE selbst schon VLANs unterstützt, der 1008er hingegen nicht.

Wie viele Switches darf man den überhaupt im Netzwerk hängen haben? Im Endeffekt hängt an allen LAN-Ports akutell mindestens 1x Switch.

Dafür gibt es keine harte Grenze. Es ist allerdings so, dass man sich immer über die Kaskadierung als solche im Klaren sein muss. Wenn du Switch an Switch an Switch an Switch an Switch anklemmst und am letzten Switch 5 Geräte hängen, müssen sie sich nicht nur alle den Uplink zum vorherigen Switch teilen, sondern den Uplink davor noch zusätzlich mit den Geräten am vorgelagerten Switch. Den Uplink davor teilen sie sich dann abermals mit den dortigen Geräten und so weiter und so fort. Am Ende hängen womöglich 30 Geräte an einem einzigen LAN-Port am Router, der wie alle anderen Ports auch nur 1 Gbit/s bietet - geteilt durch alle 30 Geräte, zumindest in der Theorie. In der Praxis kommt es natürlich darauf an wieviel Traffic tatsächlich parallel läuft und ob der Traffic überhaupt alle Switch-Instanzen durchläuft.

Vereinfacht ausgedrückt gilt dasselbe Prinzip wie bei Steckdosenleisten. Auch diese sollte man nicht ineinanderstecken bzw. keine langen Ketten bauen, weil am Ende womöglich viel zu viel Watt durch die Leisten gezogen werden - insbesondere durch die erste - und aus einer Steckdosenleiste für eigentlich 3 Geräte plötzlich eine Leiste für 10 Geräte geworden ist............ 3 Wasserkocher an einer 3er Leiste sind noch ok, aber drei 3er Leisten ineinandergesteckt und da jeweils alles voller Wasserkocher = puff. Wenn da aber "nur" ein paar Radiowecker angesteckt sind, ginge es noch, weil weniger Watt...