Netzwerk Setup, um Internetanschluss zu teilen

[Toni2006]

Hallo, ich wohne in einer Hausgemeinschaft mit mehreren Wohnungen, die sich gerne einen Internet Anschluss teilen wollen. Ich hätte zugriff auf etwas Hardware, die sich dafür eignen könnte, bin aber etwas unsicher, wie ich das ganze am besten zusammenschalten und konfigurieren sollte.

So sieht es jetzt aus, wo jeder ganz normal seinen eigenen Internetanschluss nutzt:

• Der Hausglasfaseranschluss liegt im E Raum im Keller
• Vom E Raum liegt Glasfaser in die Wohnungen, dort gibt es dann ein Glasfasermodem und dahinter den Router
• Alle Wohnungen haben außerdem Netzwerkkabel in den E Raum
• Unsere Wohnung hat zwei Stockwerke und somit zwei Netzwerkkabel in den E Raum, die aktuell direkt miteinander verbunden sind, um ein Netzwerk über beide Stockwerke zu haben

Die Idee wäre, dass wir einen Vertrag weiterlaufen lassen und dessen Anschluss zukünftig statt in der Wohnung im E Raum nutzen, also dort das Glasfaser Modem anschließen und über ein Switch die Wohnungen über die Netzwerkkabel mit Internet versorgen. Die Frage wäre, ob man die Telekom braucht, um den Anschluss direkt im Keller "abzugreifen", oder ob man das selbst kann (ob man das darf wäre mir egal). Ich denke dann wäre das soweit relativ einfach.

Allerdings wäre es wünschenswert, wenn

• die Wohnungen jeweils ihr eigenes Netzwerk mit eigenem Router in der Wohnung hätten, das jeder selbst administriert
• die Netzwerke zwischen den Wohnungen voneinander getrennt sind
• unsere Wohnung mit den zwei Stockwerken/Netzwerkanschlüssen weiterhin ein Netzwerk hätte

Und ganz großes Kino wäre, wenn man jedem Anschluss eine Mindestbandbreite zusichern könnte, d.h. wenn man sich dann 1 GBit teilt, kann jeder so viel nutzen wie frei ist, aber jedem mindestens 250 MBit zustehen. Geht das mit QOS im managed Switch, oder braucht man dafür Traffic Shaping in einer Firewall?

Also brauche ich wohl mindestens ein managed Switch, um VLANs zu erstellen. Könnte ich dafür ein "GS724Tv4 ProSafe 24-port Gigabit Ethernet Smart Switch" nutzen? Das wäre vorhanden. Muss da noch ein Router davor, oder kann man dieses Switch auch Router sein lassen und es direkt an das Glasfasermodem anschließen? In dem Webinterface verstehe ich leider überwiegend Bahnhof und bevor ich mich in die Doku einlese, wäre es super zu wissen, ob da Gerät dafür überhaupt taugt oder ob ich mir das sparen kann.

Brauche ich auch eine Firewall, um Regeln zu erstellen, dass jedes der VLANs mit dem Internet verbunden ist, aber die VLANs sich nicht gegenseitig sehen? Oder kann ich es so schon im Switch managen? Ich hätte noch einen Futro 940, den ich mit OPNsense als Router/Firewall im E Raum nutzen könnte, wenn das Sinn macht.

Also ich stelle es mir grade so vor:

WWW -> Glasfasermodem -> (WAN) Switch LAN1 (VLAN1) -> Router in Wohnung 1 -> Clients in Wohnung 1
Switch LAN2 (VLAN2) -> Router in Wohnung 2 -> Clients in Wohnung 2
Switch LAN3 (VLAN3) -> Router in Wohnung 3 -> Clients in Wohnung 4
Switch LAN4 (VLAN4) -> Router von Wohnung 4 im E Raum (LAN1) -> Clients in Stockwerk 1 von Wohnung 4
Router von Wohnung 4 im E Raum (LAN2) -> Clients in Stockwerk 2 von Wohnung 4

Macht das Sinn? Oder muss es so aussehen:

WWW -> Glasfasermodem -> (WAN) OPNsense Router/Firewall (LAN) -> (LAN1) Switch LAN1 (VLAN1,2,3,4) -> Router 1,2,3,4 -> Clients

Oder geht es auch so, dann brauche ich keine zweite Netzwerkkarte für den Futro besorgen:

WWW -> Glasfasermodem -> (LAN1) Switch (LAN2 / VLAN1) -> (LAN) OPNsense Router/Firewall
Switch (LAN3 / VLAN2) -> (LAN) Router 1 -> Clients
Switch (LAN4 / VLAN3) -> (LAN) Router 2 -> Clients
Switch (LAN5 / VLAN4) -> (LAN) Router 3 -> Clients
Switch (LAN6 / VLAN4) -> (LAN) WLAN AP (DHCP = Router 3) -> Clients

Vielen Dank für sachdienliche Hinweise
Toni

 

[Mojo1987]

Das ist nicht deine Baustelle und ich würde das wenn ich du wäre auch nicht zu deiner Baustelle machen, das ist ne ganz blöde Idee, wenn abends Netflix aus welchen Gründen auch immer bei einem nicht geht und die direkt zu dir kommen.

Wende dich an den Provider/Anbieter der die Glasfaserleitung stellt, die haben Lösungen für Mehrfamilienhäuser (inkl. deiner angestrebten Mindesbandbreite etc) und machen das dann auch ordentlich getrennt (was es übrigens nach TKG auch sein muss wenn ichs recht weis). Sei die Verteilung nun via G.FAST, Ethernet oder Glas, die können dich beraten.

Das selbst mit Firewalls, VLANs und Switches rumbasteln ist die denkbar schlechteste Idee.
Außerdem hast du den Faktor Telefon zusätzlich komplett außen vor gelassen.

 

[stage]

Jetzt mal davon ab, das das sicherlich technisch machbar wäre. Aber mir will einfach nicht in den Kopf warum man so etwas überhaupt realisieren will, nur um paar Euros zu sparen? Da gehen bei mir alle Alarmglocken an.

Der Vertragspartner ist in dem Fall über alle Aktivitäten verantwortlich, die da drüber laufen. Wer macht das freiwillig?
Da brauchts nur einen, der irgendwelchen illegalen Mist verzapft und der Vertagspartner hat erstmal nen richtiges Problem.
Zum anderen wie ist denn die Festnetztelefonie dann geregelt wenn es nur einen Vertrag gibt?

 

[dvor]

Grundsätzlich geht das mit kaskadierten Routern: Ein Router für den Internetanschluss und an dessen LAN-Seite die WAN-Ports der Router in den einzelnen Wohnungen. VLAN ist nicht nötig.

 

[0x8100]

willst du dann den support machen für das setup? immer wenn was nicht geht, werden die leute zuerst zu dir kommen (machst du dann auch wartungsfenster um 4:00 morgens, damit möglichst niemand gestört wird?). was ist, wenn du z.b. im urlaub bist? ich würde mir das nicht antun

 

[bart0rn]

Hausgemeinschaft mit mehreren Wohnungen, die sich gerne einen Internet Anschluss teilen wollen.

Die meisten Internetanbieter schließen die "Entgeltliche Überlassung" des Internetanschlusses kategorisch aus.

 

[BFF]

das ist ne ganz blöde Idee, wenn abends Netflix aus welchen Gründen auch immer bei einem nicht geht und die direkt zu dir kommen.

Genau.

Und es bleibt eine ganz bloede Idee wenn Du die rechtliche Verantwortung uebernehmen sollst fuer das was einer in den Wohnungen verbockt hat. @Toni2006

Halte Dich an das was @Mojo1987 getippt hat.

 

[norKoeri]

Weil ich ebenfalls Dein Ansinnen für völligen Schwachsinn halte (Gründe wurden ja schon angeführt), Rest nur theoretisch:

Netzwerkkabel in den E Raum

Hat einer der Wohneinheiten Doppel-Dose, also nicht zwei Dosen sondern mindestens eine Doppel-Dose?

dort das Glasfaser Modem anschließen

Nein. Du würdest von einer Wohneinheit – vermutlich Eurer, weil Ihr zwei LAN-Dosen habt – von einem ONT oben über das LAN-Kabel runter in den Keller. Dort würdest Du einen Multi-LAN-Router aufstellen und wieder hoch zu jeder Wohneinheit über LAN. Hat jener Router nicht genug LAN-Ports, braucht es dort im Keller auch noch einen konfigurierbaren Switch, der das VLAN weg-tag-gt. In die Wohneinheiten kommt kein Router mehr, das sind dann reine WLAN-Access-Points, also WLAN-Router umkonfiguriert in den Modus Access-Point bzw. Bridge.

hätte zugriff auf etwas Hardware, die sich dafür eignen könnte

Du brauchst mindestens einen Multi-LAN-Router. Einen extra Switch nicht unbedingt. Alternativ kannst Du das auch über Router-Kaskade machen, aber das ist dann wirklich totaler Pfusch. So ein ähnlicher Thread war letzt auch im IP-Phone-Forum …

 

[Toni2006]

Danke für die Hinweise, das sind sicher Punkte, die man mit den Mitbenutzern besprechen und klären muss, zB dass ich nicht der einzige Admin sein sollte und niemand irgendeine Garantie dafür übernehmen wird, dass immer alles funktioniert. Können halt nur Leute mitmachen, für die das klar geht. Für mich war noch kein Einwand dabei, der die Idee zum "totalen Schwachsinn" macht. Aber da kann natürlich jeder eine eigene Meinung haben.

Festnetz nutzt hier keiner, das wäre also egal und was die Haftung angeht ist klar, dass man das nicht mit wildfremden Menschen teilt. Ist hier aber nicht so und deshalb zu vernachlässigen. Ob der Telekom gefällt was wir vorhaben wäre mir wie gesagt egal. Wenn ich die frage, wie man das machen könnte, sagen sie natürlich: Gar nicht bzw. so wie es jetzt ist, weil ihnen sonst Geld durch die Lappen geht...

Sparpotenzial: Die 100 MBit Leitung kostet 50,- EUR mtl, bei 5 Anschlüssen sind das 250,- EUR im Monat. Ein 1 GBit Anschluss kostet 80,- EUR mtl, also würden wir 220,-EUR pro Monat sparen, die wir sinnvoller verwenden können und über die Zeit ist das eine ordentliche Summe.

Also ich höre mir gerne noch weitere Bedenken an, wenn etwas noch nicht genannt wurde, aber noch mehr würde ich mich freuen, wenn mir jemand sagen könnte, ob ich mit den genannten Geräten sowas aufgebaut bekomme oder ob dafür zwingend andere Hardware (kaskadierten / Multi-LAN Router) benötigt wird.

 

[Mojo1987]

Für mich war noch kein Einwand dabei, der die Idee zum "totalen Schwachsinn" macht. Aber da kann natürlich jeder eine eigene Meinung haben.

#6 dürfte der Einwand sein der das Ganze zum Sterben bringt. Das steht in praktisch jedem Vertrag für Internetanschlüsse. Du darfst es ggf. nicht und ja die Telekom kann das sehen
Führt im besten Fall nur zur Sonderkündigung für dich.

Abgesehen davon ergibt sich dadurch evtl. auch eine gewisse rechtliche Verantwortung wie BFF bereits erwähnte.

 

[BFF]

was die Haftung angeht ist klar, dass man das nicht mit wildfremden Menschen teilt. Ist hier aber nicht so und deshalb zu vernachlässigen. Ob der Telekom gefällt was wir vorhaben wäre mir wie gesagt egal.

Damit stellst Du den Thread selbst in das Abseits und den Anwaelten der Rechteverwerter ist es voellig egal ob in/aus der "Familie" der Rechtsbruch kam. Wenn der Provider es merkt (ja der merkt es) ist eh schicht im Schacht.

ob ich mit den genannten Geräten

Hat Dir @norKoeri eigentlich beantwortet.

 

[redjack1000]

Sparpotenzial: Die 100 MBit Leitung kostet 50,- EUR mtl, bei 5 Anschlüssen sind das 250,- EUR im Monat. Ein 1 GBit Anschluss kostet 80,- EUR mtl, also würden wir 220,-EUR pro Monat sparen, die wir sinnvoller verwenden können und über die Zeit ist das eine ordentliche Summe.

Na dann

1. OPNSense richtig einrichten, so dass die Bandbreitenbegrenzung, per Subnetz/VLAN was auch immer funktioniert. Gibt es diverse Anleitungen für.
2. Switch konfigurieren

Wenn dich die Anleitungen wie z.b. -> https://docs.opnsense.org/manual/how-tos/shaper_limit_per_user.html nicht zum Ziel führen, empfehle ich jemanden zu beauftragen.

Dafür kannst Du dann die 220 Euro, gesparten Euro, per Monat nutzen.

CU
redjack

 

[norKoeri]

noch kein Einwand dabei

Verboten, vom Internet-Anbieter aus.
Verboten, von der Haftpflicht-Versicherung aus; Du wirst kaum die nötige Zusatz-Versicherung haben, auch weil Dir die staatlich anerkannte Ausbildung dazu fehlt.

noch kein Einwand dabei

Riesiger Aufwand, das Datenschutz-rechtlich und Straf-rechtlich vertraglich innerhalb der WEG sauber hinzubekommen; auch weil dazu Vorlagen fehlen. WEG-Rechtsanwalt wird Dein Freund (und Kostentreiber in dem Projekt). Habt Ihr keine WEG sondern alle den selben Vermieter, könnte er in Richtung des Glatteis-Gebiets „Boardinghouse“ gehen, also sich so eine Vertragsvorlage basteln.

noch kein Einwand dabei

Fehlende Zugangsbeschränkungen der LAN-Leitung und des Internet-Routers, siehe TKG.

noch kein Einwand dabei

Dass Du dann der Admin bist, ist fast schon die kleinste Baustelle.

ob ich mit den genannten Geräten sowas aufgebaut bekomme

Meine Antwort ging auf Deine Frage ein, wie die Verkabelung auszusehen hat, also wie Du das Glasfaser „abgreifen“ bzw. in den Keller bekommst. Von dort kannst Du quasi machen was Du willst. Der ganze VLAN-Kram macht halt erstmal keinen Sinn, weil die Trennung der Netze die Firewall übernimmt. Du brauchst ganz vorne einen Internet-Router/Firewall. Danach gehst zu einem Switch. Und dann wieder einzeln hoch.

Nur dort wo Du ein LAN-Kabel für mehrere Heimnetze nutzt, bräuchtest Du VLANs. Das wäre zum Beispiel der Fall, wenn der Internet-Router/Firewall nicht in den Keller käme, sondern bei Dir in der Wohnung verbliebe. Dann müsstest Du alle Heimnetze auf ein LAN-Kabel legen = VLAN nutzen. Also um Deine Vorstellungen auseinanderzunehmen:

A) […] (WAN) Switch LAN1 (VLAN1) -> Router in Wohnung 1

Nein, Du kannst hier noch nicht splitten, daher ist der Switch falsch. WAN geht direkt in (D)einen Router.

Löst man das auf, ist dieser Ansatz die genannte Router-Kaskade.

B) […] OPNsense Router/Firewall (LAN) -> (LAN1) Switch LAN1 (VLAN1,2,3,4) -> Router 1,2,3,4

Nein, denn Du brauchst hier keinen Router am Ende mehr, denn die OPNsense hat bereits die Heimnetze erzeugt. VLAN ist allein dafür da, wenn Du auf einer LAN-Leitung mehrere Heimnetze transportieren möchtest; nicht verteilen, transportieren.

Löst man das auf, ist dieser Ansatz der genannte Multi-LAN-Router, also vielleicht mit „WLAN-Router 1,2,3,4“ am Ende, aber in Wirklichkeit sind die im Modus Access-Point bzw. Bridge, also keine Router. Wenn Du ins Geschäft gehst, dann kaufst Du halt einen „WLAN-Router“, aber für unsere Betrachtungen ist es ein „WLAN-Access-Point 1,2,3,4“ bzw. „Switch 1,2,3,4“, daher besser „LAN-Dose 1,2,3,4“, weil was in der Wohneinheit hinter die Dose kommt, kann dann jeder selbst entscheiden.

C) […] Glasfasermodem -> (LAN1) Switch (LAN2 / VLAN1)

Nein, siehe A. Wobei man ehrlich sein muss, dass das technisch doch ginge, wenn Dein Internet-Anbieter mehrere Einwahlen (PPPoE) oder mehrere Endgeräte (DHCP) erlauben würde.

Fujitsu Futro S940 mit nur einer LAN-Karte

Der kann den Multi-LAN-Router = OPNsense spielen und bei der Telekom Deutschland ginge das technisch auch alles über eine LAN-Karte, denn die Telekom nutzt von sich aus schon PPPoE mit VLAN7. Nur hast Du dann ein Bottleneck, wenn Ihr Euch einen Vertrag mit 500 Mbit/s aufwärts holt. Willst Du keinen Multi-LAN-Router mit mehreren LAN-Ports kaufen, dann musst Du alle in der OPNsense erzeugten Heimnetze auf VLANs legen …

Netgear GS724Tv4

… und jener Switch macht dann nichts anderes, als die VLANs wieder auseinanderzunehmen und auf einzelne Ports zu verteilen, also das VLAN zu entfernen. Dann können die Mitbewohner ihre Consumer-Geräte direkt anschließen. Wobei ich einen Switch nehmen würde, der eine verständliches VLAN-Management bietet …

Noch einfacher in das Thema eintauchen würdest Du, wenn Du direkt einen Multi-LAN-Router mit entsprechender Port-Anzahl holst, also neu z. B. den TP-Link Omada ER707-M2. Du brauchst dann keinen extra Switch mehr. Wie ein ER einzurichten ist, hatte ich genau heute … damit gingen bis zu fünf Heimnetze direkt einfach so mit Web-Oberfläche. Brauchst Du mehr?

 

[chrigu]

Zusätzlich verbieten die meisten Provider ein teilen der Leitung. So gesehen wäre das zusätzlich zu dem Stress der anderen mitbenutzer auch der provider, wenn er das merkt, einfach den Vertrag fristlos künden und Schadenersatz verlangen.
und… was ist mit Datenschutz? Du kannst mit consumergeräte keine Trennung der einzelnen Teilnehmer machen, damit hat jeder Zugriff zu jedem Gerät im Netzwerk.
wenn das das ordentlich machen willst, mit Hardware und Provider Genehmigung, kann sich für das Geld jeder drei 5g flat und ein starlink Schüssel gönnen.

 

[Toni2006]

Vielen Dank @norKoeri , du hast alle meine Fragen beantwortet, ich verstehe jetzt besser, was die Firewall macht, dass ich eine brauche, dass ich keine VLANs brauche und denke ich weiß jetzt Dank deiner Hinweise wie ich mein Projekt aufbauen kann.

Auch danke dir und allen anderen für die Bedenken. Ich werde die Punkte mit denen besprechen, die sich für das Projekt interessieren. Vielleicht lassen wir es auch bleiben. Aber man kann es ja auch einfach Mal ausprobieren.

Im Grunde passiert ja in einer Wohngemeinschaft innerhalb einer Wohnung mit einem Anschluss, der auf einen Mitbewohner läuft, auch nichts anderes, was die Haftung angeht und bei Datenschutz hat man sogar noch weniger Möglichkeiten als so wie ich es mir mit getrennten Netzen vorstelle. Hättet ihr die gleichen Bedenken, wenn es eine große WG mit 20 Leuten wäre? Wenn nein, dann stellt euch dich meine Situation doch einfach so vor, nur dass es halt ein paar Wohnungstüren mehr gibt.

 

[BFF]

Hättet ihr die gleichen Bedenken, wenn es eine große WG mit 20 Leuten wäre?

Ja.
Es waere dann zwar "ein Haushalt mit einem Anschluss" der aber dennoch es "Fremden" erlaubt darueber "Unfug" zu treiben. Am Ende musst Du in der Lage sein mit dem Finger auf jemanden zeigen zu koennen der es gewesen ist. Und selbst das schuetzt nicht vor dem Stress den man an der Backe hat.

Mal zum Gegenlesen.
https://www.anwalt-suchservice.de/r...lem_hochladen_durch_wg-mitbewohner_21579.html

 

[h00bi]

Der Nachbar, den du am wenigsten magst, wird der neue Anschlussinhaber für alle.
1 Router + Switch in den Keller und die Wohnungen per LAN anbinden.
Wer sein Netzwerk vom Rest abtrennen will installiert in der Wohnung einen weiteren Router.
Wer Dienste hosten will, trägt sich ein portforwarding auf dem Router im Keller ein.