Netzwerk aufbauen

[frosch006]

Hallo,
Ich brauche mal eure Hilfe. Ich möchte mein Netzwerk neu aufbauen. Folgende Situation, 2familien Haus 1 Internetanschluss der von beiden WE genutzt wird.
Jede WE soll uneingeschränkten zugriff auf das Internet haben, aber nicht in das andere Netzwerk. Jetzt kommt die nächste Herrausforderung, beide WE sollen zugriff auf die Hausautomatition erhalten, unter anderem, Hörmann Torsteuerung, Busch & Jaeger Türstation, Auerswald Telefonanlage, Bosch Smart Home und evtl. das eine oder andere, an das ich gerade nicht denke bzw. noch im laufe der Zeit dazu kommt. Eine WE benötigt VPN zu einem Rechner der über das Internet angesprochen werden muss.
Als Hardware habe ich aktuell noch in Betrieb eine FB 7270. Die soll aber in diesem Zuge entfallen. Neue Hardwaer habe ich schon besorgt, jedoch noch nicht konfiguriert weil ich nicht weiß wie ich das Netzwerk aufbauen soll.
Modem Draytek Vigor 130, Ubiquiti USG, HP Office Connect 1920 Layer 3 Switch, 2x Ubiquiti UAP AC Lite, 1x Ubiquiti AC Mesh, Auerswald COMpact 4000 und einige managet Switch die VLAN unterstützen.

ma

 

[Pilatesjünger]

Da wirst du einen managed switch brauchen der vlan tagging hat. Gemeinsame geräte in ein vlan taggen und andere jeweils in ein eigenes

 

[Sephe]

Geil... Neue Hardware besorgt, aber noch keinen richtigen Plan von allem...

Das ganze würde sich auch mit 3 Routern ohne VLAN realisieren lassen.

Internet -> 1. Router mit allen gemeinsamen genutzten Geräten

An den 1. Router wird dann ein Router pro WE angeschlossen.

Somit hat jeder sein eigenes abgeschlossenes LAN, mit der Herrschaft über den eigenen Router. Die gemeinsamen Geräte hängen an dem 1. Router und sind somit von allen WEs erreichbar.

Portweiterleitungen brauchen nur auf dem 1. Router Richtung WE konfiguriert werden, danach ist jede WE selbst verantwortlich.

 

[mannefix]

* Überflüssiges Zitat editiert! *​

Mal ne Frage. Geht das, router in Reihe schalten (z.B. mit Fritzbox)

 

[FranzvonAssisi]

Ja. http://lmgtfy.com/?q=router+hinter+router

PS: Bitte nicht den ganzen letzten Beitrag zitieren!

 

[snaxilian]

Router kaskadieren geht zwar, siehe Link von FranzvonAssisi aber erzeugt ein doppeltes NAT dass aufwendiger zu konfigurieren ist. Die technisch sauberere Lösung sind VLANs und ein passender Router, die Hardware hast du ja schon. Dass du nicht der Erste mit solchen Anforderungen bist, ist dir hoffentlich klar? Gut denn dann weißt du jetzt auch, dass es bereits unzählige Tutorials zu dem Thema gibt.

 

[typus]

Ein richtigen Router (Cisco etc.), dann jeweils ein VLAN und ein gescheites NAT-Routing mit ACLs.

An den Ports des jeweiligen VLANs kann ggf. ein weiterer Router für die WE angeschlossen werden.

 

[BlackVip3r]

Verschiedene Möglichkeiten, die ich an der Stelle sehe.

Zum Einen über Routerkaskadierung, wie meine Vorredner schon schrieben.

Zum anderen über eine hochwertige Firewall vorne Weg. Sophos bietet ihr UTM für Privatnutzer kostenfrei an, welche Einschränkungen da mitkommen, weiß ich allerdings nicht, oder aber einen anderweitigen Router, da wird aber eine FritzBox glaube ich nicht ausreichen. Oder sind die mittlerweile in der Lage verschiedene Netze intern zu bedienen?

Danach 3 separierte Netze - 1. WE, 2. WE und Shared (für die Torsteuerung, etc.) entweder jeweils als physikalisch separierte Netze, oder eben per VLAN. Ersteres hat den Vorteil, dass du non-managed Switche verwenden kann, letzteres den Vorteil, dass dir die Verkabelung egal sein kann.

Am Ende die ACLs / Firewallkonfiguration entsprechend glatt ziehen und du bist im wesentlichen durch.

 

[Bogeyman]

1 Internetanschluss der von beiden genutzt wird halte ich schonmal für ne sehr schlechte Idee solange nicht innerhalb der Familie oder man zumindest erstmal klar regelt wer wofür haftet.
Ergo müsste man erstmal klären ob es komplett eigenständige Wohneinheiten sind/sein sollen. Falls man da eine wirkliche Trennung haben will kommt man um 2 Internetanschlüsse und jeder sein eigenes Netzwerk nicht drum herum.

Die Frage ist ja auch wenn man ein Netzwerk für alle installiert an welchem Stromzähler das hängen soll, soll der der im EG wohnt also für die komplette Anlage den Strom bezahlen? Sorry aber da würde ich denke ich nicht einziehen. Selbst wenn alle Netzwerkkabel in einem gemeinsammen Schrank enden für beide Wohneinheiten ist das Murks. Wer sagt mir als Mieter denn dass sich nicht irgendwer dann einfach im Keller an mein Netzwerk dran hängt? Für wirklich 2 Eigenständige Wohneinheiten brauchst du für jede in der Wohnung selbst ne eigenständige Verteilung, über die die Mieter auch die alleinige Kontrolle haben und nicht irgendwer anders.

Für das gemeinsam benutzte SmartHome Zeugs könnte man eventuell ein seperatet LAN errichten ohne Internetverbindung.

Also ohne die wirkliche Nutzung des Objektes zu kennen kann man keine gescheiten Tipps geben.

 

[XN04113]

Du hast den USG, der macht das alles für Dich

 

[WeltalsWille]

Die beschaffte Hardware ist fuer das Vorhaben geeignet. Der Unifi USG ist im Grunde nicht erforderlich. Der Vigor 130 und der routingfaehig Switch bringen alle notwendigen Funktionen mit. Fuer das weitere Vorgehen ist m. E. dringend geboten sich zunaechst mit Grundlagen von VLAN, Routing und ACL zu befassen. Dafuer ist bspw. diese Seite gut geeignet http://www.schulnetz.info/2011/04/
Nach dieser Vorbereitung waere es zweckmaessig die gewuenschte Netzwerkstruktur in einer Art vereinfachtem Blockschaltbild darzustellen und zur Diskussion zu stellen. M. E. ist dieses Forum dafuer aber eher ungeeignet. Bei www.administrator.de werden vergleichbare Vorhaben regelmaessigen von Leuten, die wirklich fachkundig sind, diskutiert. Man findet dort auch zuR Loesung der meisten Einsteigerprobleme hilfreiche Tutorials.

 

[Raijin]

Eine Routerkaskade wie sie hier teilweise vorgeschlagen wurde geht in meinen Augen voll am Thema vorbei. Zwei getrennte Netzwerke (links oder rechts), aber eine gemeinsam genutzte Heimautomation (links und rechts) sind so gar nicht wirklich unter einen Hut zu bringen. Dafür müsste man dann schon zwei physisch getrennte Netzwerke aufbauen. Router hinter Router neben Router ist bestenfalls eine Frickellösung, die höchstens für den Anfang den Ansprüchen genügt, aber schon bei der kleinsten Änderung an Grenzen stößt und am Ende überhaupt nicht mehr zufriedenstellend funktioniert.

VLANs sind meiner Meinung nach der einzig gangbare Weg, wenn die Hausautomation nicht ausschließlich über WLAN läuft.

Es ist allerdings schon bedenklich, dass erst Hardware angeschafft wird bevor man sich überhaupt informiert wie das ganze funktioniert! Zwar ist die Hardware durchaus in Ordnung, aber das hätte auch schiefgehen können. Außerdem muss man sich intensiv mit dem Thema Netzwerke, VLANs, Firewall, etc. auseinandersetzen, weil ein Forum - egal welches - youtube und Tutorial-Seiten nicht der richtige Weg sind. Zum einen haben auch zahlreiche Tutorials sowie vermeintlich selbsternannte Fachleute in Foren unter Umständen massive Wissenslücken und geben ohne fundiertes Hintergrundwissen nur das weiter was sie selbst irgenwann mal gelesen haben - da nehme ich mich selbst gar nicht mal raus, obwohl ich aus der Informatik-Branche komme; man kann in einem Forum ja nix nachprüfen und jeder kann sich beliebig als Profi ausgeben....

Der erste Schritt sollte meiner Meinung nach ein gutes Grundlagenbuch sein. Was genau sind VLANs, Routing, ACL, Firewall und wie funktioniert das alles. Der Link von WeltalsWille sieht eigentlich ganz vernünftig aus, auch wenn ich ihn nur kurz überflogen habe.
Einfach nur ein Tutorial abtippen kann schnell nach hinten losgehen. Schließlich kann es im worst case sein, dass der Nachbar plötzlich bei dir im Wohnzimmer die Heizung hochdreht, o.ä. Noch mag das undenkbar sein, weil man sich ja gut versteht, morgen hat der Nachbar aber einen roten Kratzer am Auto und du fährst ein rotes Auto mit allerlei Kratzern dran - die vielleicht schon Jahre alt sind. Schon ist der Streit da und du hast ne Wohnzimmer-Sauna

*edit
Dennoch stehen hier im Forum durchaus einige sehr versierte Nutzer mit Rat und Tat zur Seite. Du kannst dir hier also durchaus Anregungen und Tips holen. Zuvor musst du aber die grobe Vorplanung selbst machen und eben auch die grundlegenden Begriffe lernen. Bringt ja nix, wenn man hier mit Tags und PVIDs um sich wirft und du nur Bahnhof verstehst.

 

[Ilsan]

Also bei 2 Wohneinheiten ist alles andere als 2 eigenständige Netzwerke Murks. Und die sollten wirklich physikalisch unabhängig voneinander sein und nicht nur virtuell über VLANs.

WE übergreifende Dinge kann man dann extra machen. Aber jeder Mieter der sich einigermaßen auskennt mit IT wird sich über tolle Netzwerkdosen eher weniger freuen sobald er erfährt er einem fremden Admin dann vollends vertrauen muss was sein Netzwerk betrifft.
Und wie schon angesprochen 1 Internetanschluss für 2 Wohnparteien => keine gute Idee. Ich mein liegt der Internetanschluss direkt in den WE selbst so haste da auch als Vermieter nix mit am Hut denn wenn das nicht geht ist es dann ne Sache zwischen ISP und dem Kunden. Wenn da jetzt noch die Anlage des Vermieters zwischen ist wird sich jeder freuen der erstmal sagen kann deine Installation verursacht das Problem.

Mit ner strukturierten Verkabelung hättest du dann sowieso die andere Option weiterhin offen, sprich ein gemeinsammes Netzwerk würde dann auch noch gehen. Wenn du aber erst alle Cat Kabel außerhalb der WE sammelst für jede Dose in der Wohnung verbaust du dir damit diese Möglichkeit wenn ein Mieter plötzlich sagt er will ein unabhängiges Netzwerk betreiben. Wie soll er das machen wenn sämtliche Kabel seiner Wohnung im Gebäudeeigenen Netzwerkschrank enden?

 

[Raijin]

@Ilsan: Ohne VLANs braucht man aber für jedes Netzwerk eine vollständige WLAN Infrastruktur, zB auch im Garten. Statt dass jede Seite zB 3 APs setzt (6 insgesamt) , kommt man mit via VLAN getrennten SSIDs stattdessen zB mit 4 gemeinsamen APs aus. Zum Teil gebe ich dir aber Recht, weil eine virtuelle Trennung natürlich zu 100% von der korrekten Konfiguration abhängig ist. Aber auch physisch getrennte Netzwerke sind spätestens am Router/Firewall dazwischen abgreifbar

So oder so ist aber ein Mindestmaß an Vertrauen untereinander Voraussetzung. Immerhin wird Internet ja auch geteilt, was ich im übrigen immer skeptisch sehe.

 

[Ilsan]

Wo willst du denn was abgreifen? Idr verlaufen die Kabel ja unter der Decke oder am Boden lang, der Nachbar müsste da schon mit nem Stemmeisen ankommen und die Decke durchbrechen wenn er da ran will (mal angenommen die WE sind übereinander).

VLANS und gemeinsamme APs und Internet teilen kann man ja später immer noch machen, selbst wenn jede Wohnung ihre eigene Verteilung hat, wollen die alle in einem Netzwerk sein setzen sie da halt nur einen Switch rein.

Das Problem ist halt wie gesagt nur wenn alle Cat Kabel von beiden WE an einen gemeinsammen Punkt zusammenlaufen, wer hat dann hier die Kontrolle und will man soviel Kontrolle abgeben? Denn der "Admin" könnte einfach sämtlichen LAN Traffic mitlesen oder gar Unsinn anstellen indem er eigene Geräte ans Netz des Nachbarn hängt.

Kommt wie gesagt auf das Gebäude drauf an was sinnvoll ist und was nicht. Bei einem ZFH kann man alles mit einer zentralen Verteilung machen, würde aber Voraussetzen dass die Parteien sich vertrauen zB die eigenen Großeltern wohnen unten, man selber oben oder so Sachen.
Isses nen reines Mietverhältnis ist es besser man trennt alles.

 

[Raijin]

Kommt wie gesagt auf das Gebäude drauf an was sinnvoll ist und was nicht. Bei einem ZFH kann man alles mit einer zentralen Verteilung machen, würde aber Voraussetzen dass die Parteien sich vertrauen zB die eigenen Großeltern wohnen unten, man selber oben oder so Sachen.
Isses nen reines Mietverhältnis ist es besser man trennt alles.

Ganz genau. Es gibt mehrere Varianten wie man sowas realisieren kann. Welche man wählt hängt in der Tat von der Situation ab - sowohl von der örtlichen als auch der persönlichen.

Grundsätzlich bin ich sowieso skeptisch, wenn man sich einen Internetanschluss teilt. Konflikte sind da meines Erachtens vorprogrammiert. Entweder lädt der eine zuviel runter oder es flattert im worst case ein Brief von nem Anwalt in den Briefkasten - wer haftet? Schließlich steht im Vertrag nur der Hauptnutzer drin. Darüberhinaus kostet Internet nu wirklich nicht so viel, als dass man sich das aus finanziellen Gründen teilen müsste. Aber die Beweggründe für das Vorhaben sind natürlich nicht unser Bier.
Innerhalb der Familie sehe ich das noch ein, aber bei Fremden wäre ich vorsichtig; egal ob das gute Freunde sind oder nicht. Nicht ohne Grund sagt man ja, dass man unter Freunden kein Geld verleihen soll, denn beim Geld hört die Freundschaft auf..