Neuaufbau Heimnetzwerk - Bitte um Tipps beim Aufteilung/HW-Kauf

[eehm]

Ubiquiti scheint wirklich interessant zu sein.
Kann das von euch jemand als Gesamtpaket empfehlen?
Und hat vielleicht auch noch einen Vergleich zu AVM, weil er umgestiegen ist?
Ist mit Ubiquiti auch die Möglichkeit gegeben O2 DSL mit Telefonie ohne Router.-Kaskade mit einer Fritzbox zu nutzen?

 

[norKoeri]

Am Switch ordne ich dann LAN1 einem VLAN-Internet und LAN4 einem VLAN-Gast zu.

Ich würde es anders machen und die Kameras ins Heimnetz packen. Die WLAN-Gäste machst Du über den WLAN-Gastzugang der FRITZ!-Produkte. Hättest Du noch LAN-Gäste z. B. Ethernet-Dosen in einem Gästezimmer, dann kämen diese in den LAN-Gastzugang der FRITZ!Box.

Gibt es Switche die den Radius Server integriert haben

Wüsste jetzt aus dem Stegreif keinen Switch, der das bietet.
Über den Router ging es, z. B. DrayTek. Bei Router-Plattformen bei denen Du Software-Pakete nachladen kannst, geht das normalerweise auch. Jedenfalls ist das bei OpenWrt so. Bei Synology bzw. Keenetic müsste ich jetzt nochmal nachschauen, ob Software-Paket für RADIUS angeboten wird. Aber …

ist so eine Konfiguration recht kompliziert?

… immer relativ. Damit Du Dir selbst ein Bild machen kannst, hilft vielleicht dieser Artikel und dann neuere:

• Switch c’t 09/2013
• Switch c’t 10/2013
• Router c’t 14/2017 oder als c’t Netzwerke 2017

Anfangs installierst Du den Server auf einem Computer. Und Du kannst selbst entscheiden, wie kompliziert Du es Dir machen willst, also entweder

a) nur Benutzername/Passwort (EAP-MD5) oder​

b) sowohl den Server als auch die Clients über X.509-Zertifikat authentifizieren (EAP-TLS).​

Manche Endgeräte können noch weitere EAP-Verfahren, z. B. einfach Benutzername/Passwort aber zusätzlich den Server authentifizieren (EAP-TTLS). Ich würde an Deiner Stelle mit EAP-MD5 anfangen. Und nein, das ist nicht mit MD5 aus X.509-Zertifikaten gleichzusetzen. Auch würde ich den Server selbst aufsetzen. Ich meine das geht schneller, als einen Hersteller zu finden (und dann zu verstehen), der es ab Werk bietet.

Ist mit Ubiquiti auch die Möglichkeit gegeben O₂ DSL mit Telefonie ohne Router-Kaskade mit einer FRITZ!Box zu nutzen?

a) Wenn Du die FRITZ!Box als Internet-Router behalten willst, nimmst Du den UniFi Cloud Key Gen2 Plus (UCK-G2-PLUS).
b) Wenn Du einen anderen Internet-Router nimmst, aber die Festnetz-Telefonie behalten musst, dann schaltest Du die FRITZ!Box in den Modus IP-Client und die automatische Portweiterleitung (Punkt 8) ein.

Kann das von euch jemand als Gesamtpaket empfehlen?

Ehrlich? Nö. Teuer. Und soviel brauchst Du auch gar nicht. Dein Anforderungsprofil sehe ich noch in der Welt der FRITZ!-Produkte. Allein beim Außenzugang für die IP-Kameras brauchst Du einen Switch und Kameras, die 802.1X bieten. Jedenfalls am Start. Wenn das dann nicht mehr passt, geht es für Dich eher in Richtung pfSense.

 

[bender_]

Anstatt hier mit Kanonen auf Spatzen zu schießen, empfehle ich ne simple Routerkaskade.
Kameras am Slave Router betreiben und nur die entsprechenden Ports ins Hauptnetz routen. Fertig ist eine simple Firewall, die nicht unflexibel anschlussbasiert funktioniert, sondern eine Netzzone mit speziellen Eigenschaften ermöglicht.

 

[Raijin]

@bender_ :
Da bin ich bei dir. Es ist ja nicht so, dass es man als Laie so gar nicht hinbekommen kann, VLANs, o.ä. einzurichten, aber die Wartbarkeit geht gegen Null, wenn man zu 100% auf Hilfe aus dem Forum angewiesen ist, weil man nur mal irgendwo ein paar Begriffe aufgeschnappt hat aber deren Bedeutung gar nicht kennt. Eine Erstkonfiguration kriegt man mit Unterstützung sicherlich noch zusammen, aber sobald sich etwas ändert oder irgendetwas wider Erwarten doch nicht so funktioniert wie man dachte, guckt man dumm aus der Wäsche und muss für jede Änderung und jeden Handgriff wieder nachfragen.

Sicherheit kommt nicht durch die bloße Verwendung bestimmter Technologien wie VLANs, sondern durch die korrekte Konfiguration inkl. ACL, Firewall und so weiter und so fort. Machbar ist das, keine Frage, aber man darf das auch nicht unterschätzen.

 

[eehm]

Kameras am Slave Router betreiben und nur die entsprechenden Ports ins Hauptnetz routen. Fertig ist eine simple Firewall, die nicht unflexibel anschlussbasiert funktioniert, sondern eine Netzzone mit speziellen Eigenschaften ermöglicht.

Auch ein interessanter Ansatz und auch nicht sehr kompliziert.
Was würdest du dann hier als Slave Router in Kombination zur Fritzbox empfehlen?

Da bin ich bei dir. Es ist ja nicht so, dass es man als Laie so gar nicht hinbekommen kann, VLANs, o.ä. einzurichten, aber die Wartbarkeit geht gegen Null, wenn man zu 100% auf Hilfe aus dem Forum angewiesen ist, weil man nur mal irgendwo ein paar Begriffe aufgeschnappt hat aber deren Bedeutung gar nicht kennt.

Wenn man am Ende durch die VLANs keinen wirklichen Vorteil an Sicherheit gewinnen kann, dann bringt es mir am Ende auch nicht wirklich einen Mehrwert. Da hast du natürlich vollkommen recht.
Aber das Thema ist trotzdem wesentlich schwieriger zu erschlagen als ich gedacht habe!

 

[Raijin]

VLANs sind ja sogesehen einfach nur normale Netzwerke, die sich nur dadurch von physischen Netzwerken unterscheiden, dass sie dieselbe Infrastruktur (Switches, Kabel, Access Points, etc) verwenden.

Nur mal zum besseren Verständnis wie zB ein Setup mit einer Fritzbox und 2 (V)LANs aussehen würde:

Ohne VLANs:

Fritzbox
(LAN 1) ---- Switch #1 mit 16 Ports ---- Heimnetzwerk
(LAN4 als Gast) ---- Switch #2 mit 8 Ports ---- Gastnetzwerk


Mit VLANs:

Fritzbox
(LAN 1) ---- (P1 mit VLAN 10) Switch #1 (P2-16 mit VLAN 10) ----- Heimnetzwerk
(LAN 4) ---- (P17 mit VLAN 20) Switch #1 (18-24 mit VLAN 20) ----- Gastnetzwerk


Im Beispiel mit VLANs kommt nur ein einziger Switch zum Einsatz, der mittels VLAN-Konfiguration in zwei virtuelle Switches aufgeteilt wurde, nämlich 1-16 = 16-Port-Switch und 17-24 = 8er Switch. Beide Setups funktionieren absolut identisch, nur dass eben durch VLANs der Switch gemeinsam genutzt werden kann.

Was hat das nun mit Sicherheit zu tun? Nichts. Die Sicherheit in Bezug auf die Zugriffe Heim <> Gast wird in beiden Setups über die Fritzbox und ihre interne Firewall geregelt. Der VLAN-Switch tut einfach nur so als wenn er 2 Switches ist.


Möchtest du das nun noch weiter aufdröseln, stößt die Fritzbox wie gesagt an ihre Grenzen, weil sie selbst keine VLANs unterstützt und eben nur maximal 2 Schnittstellen für Heim- und Gastnetzwerk zur Verfügung stellt. Ein drittes Netzwerk gibt es da schlicht und ergreifend nicht. Nun käme daher fortgeschrittene Hardware ins Spiel, die eben doch weitere Netzwerke unterstützt oder einzelne Ports/Geräte auf andere Art und Weise reglementiert. Während das Gastnetzwerk der Fritzbox aber komplett fertig konfiguriert ist, muss man das bei VLANs, Layer3-Switches, fortgeschrittenen Routern und dergleichen selbst machen. Wie gesagt, die Sicherheit kommt durch die fachgerechte Konfiguration und nicht durch den Begriff VLAN (o.ä.) allein

 

[bender_]

Was würdest du dann hier als Slave Router in Kombination zur Fritzbox empfehlen?

Einen mit genügend Anschlüssen.
Auf dem Gebrauchtmarkt findest Du massenweise Geräte mit Gigabit WAN und meist 4 Gigabit LAN Anschlüssen, die alle für deine Zwecke taugen. Ob die noch WLAN an Bord haben oder nicht, kann dir egal sein. Wenn Du Geräte mit integriertem Modem ausschließt, kannst Du fast nix falsches kaufen.
Konsultiere im Vorfeld die Anleitung. Ich würde wahrscheinlich ein Modell von ASUS nehmen, da die Möglichkeiten für Routing und Firewall recht umfangreich sind ich sie aber dennoch für Laien beherrschbar finde.
Sehr einfach ist zum Beispiel eine whitelist für Dienste. Bei einem aktuellen ASUS Modell würde das dann so aussehen:

Du würdest jetzt alle LAN-zu-WAN Verbindungen blockieren und nur die IP Adressen der Kameras und deren benötigte Ports durchlassen.

Je nach dem, für welches Gerät Du dich entscheidest sieht die Konfiguration ein wenig anders aus. Bei manchen ist es nicht möglich, das Routing von Port 80/443 ins WAN zu unterbinden, was aber immer noch einen reichlich kleinen Angriffsvektor darstellt. Das Prinzip ist aber immer das selbe.

 

[eehm]

Nur mal zum besseren Verständnis wie zB ein Setup mit einer Fritzbox und 2 (V)LANs aussehen würde:

Ohne VLANs:

Fritzbox
(LAN 1) ---- Switch #1 mit 16 Ports ---- Heimnetzwerk
(LAN4 als Gast) ---- Switch #2 mit 8 Ports ---- Gastnetzwerk


Mit VLANs:

Fritzbox
(LAN 1) ---- (P1 mit VLAN 10) Switch #1 (P2-16 mit VLAN 10) ----- Heimnetzwerk
(LAN 4) ---- (P17 mit VLAN 20) Switch #1 (18-24 mit VLAN 20) ----- Gastnetzwerk

Danke dir.
Aber ohne VLANs stößt doch der WLAN-Bereich auch sofort auf Probleme/Grenzen.
Mit VLANs können doch die APs einfach an den Switch und die Endgeräte werden je nach Filterung (z.B. SSID oder MAC Filter) in die entsprechenden VLANs eingeordnet.
Z.B. SSID1 des AP geht auf VLAN10 (LAN1) und SSID2 geht auf VLAN20 (LAN4) oder Laptop mit bekannter MAC wird dann in VLAN10 gepackt und ist somit mit LAN 1 der Fritzbox verbunden.
Ansonsten bräuchte ich doch separate APs für LAN1 und LAN4 der Fritzbox oder mache ich hier wieder einen Denkfehler?

Und noch eine Frage zum Radius Server. Kann man bei den Switches z.B. zwei Ports auswählen an denen der Zugang nur über Radius authentifiziert wird oder muss man dann immer alle Port per Radius bedienen?

 

[omavoss]

oder mache ich hier ... einen Denkfehler?

Insgesamt meine ich, ohne den gesamten Thread intensiv studiert zu haben, dass der größte Denkfehler darin liegt, WLAN und Netzwerk auseinanderzudividieren.

WLAN ist eine drahtlose Zugriffstechnologie zum LAN, also zum Netzwerk; Ethernet-Kabel sind eine drahtgebundene Zugriffstechnologie zum Netzwerk.

Kurz gesagt: man darf WLAN und LAN nicht voneinander trennen, beides sind Zugriffstechnologien auf das LAN. Welchen Zugangspunkt man dafür wählt, regelt die Hardware. Für Kabel sind das Switches, für WLAN Accesspoints.

Irgendwann wird jedem User die Wartung und Pflege seines (VLAN)Netzwerkes "ankotzen"; vor allem, wenn der User älter wird. Denn das Ganze läuft nicht reibungslos ohne ständige Pflege; sei es mit dem Austausch gegen modernere Hardware, sei es durch die Pflege der Software mittels allfälliger Updates. Jetzt ist das vielleicht noch Hobby, dann nach wenigen Monaten oder Jahren lästige Pflicht und am Ende "Kotz" und wird zurückgebaut. Im Laufe eines Lebens ändern sich die Interessen . . .

Aber jeder so, wie er (oder sie) es mag.

 

[eehm]

WLAN ist eine drahtlose Zugriffstechnologie zum LAN, also zum Netzwerk; Ethernet-Kabel sind eine drahtgebundene Zugriffstechnologie zum Netzwerk.

Kurz gesagt: man darf WLAN und LAN nicht voneinander trennen, beides sind Zugriffstechnologien auf das LAN. Welchen Zugangspunkt man dafür wählt, regelt die Hardware. Für Kabel sind das Switches, für WLAN Accesspoints.

Genau das ist ja der Punkt.
Selbst wenn ich jetzt nur ein LAN1 (Alles) und LAN2 (Gast) in der Fritz Box im Haus aufteilen will, wie will ich dann ohne VLANs und ohne jeden AP doppelt zu kaufen die WLAN Geräte in LAN1 (Alles) oder LAN2 (Gast) der Fritz Box eingliedern?
Der AP kann ja nur an einem Port hängen der zum Switch geht.

 

[Raijin]

Selbst wenn ich jetzt nur ein LAN1 (Alles) und LAN2 (Gast) in der Fritz Box im Haus aufteilen will, wie will ich dann ohne VLANs und ohne jeden AP doppelt zu kaufen die WLAN Geräte in LAN1 (Alles) oder LAN2 (Gast) der Fritz Box eingliedern?

Mit FritzRepeatern (als Repeater oder AP) ginge das auch ohne VLANs, weil AVM bei der Verteilung von Haupt- und Gast-WLAN eine proprietäre Technik einsetzt, also AVM-only. Bei APs anderer Hersteller ginge das ohne VLANs in der Tat nur mit "doppelten" APs bzw Repeatern, die dann jeweils mit LAN1 (Haupt) bzw LAN4 (Gast) verbunden werden oder eben die jeweiligen SSIDs repeaten. Mit einem VLAN-Switch wie in #26 beschrieben kann man hingegen einen der Switch-Ports mit beiden VLANs konfigurieren und dort einen VLAN-fähigen AP anschließen.

Aber wie gesagt, das zieht einen ziemlichen Rattenschwanz hinter sich her, insbesondere dann, wenn man weitere Netzwerke hinzufügen möchte. Nicht ohne Grund spricht man daher häufig vom KISS-Prinzip.
Routerkaskaden wie von @bender_ vorgeschlagen, können eine einfachere Alternative sein, weil sie weitestgehend nur mit WAN- und LAN-Ports zusammengestöpselt werden und durch die Werkseinstellung der Firewall in den Routern bis auf kleinere Anpassungen (falls nötig, wie in #27 beschrieben) bereits fertig konfiguriert sind.

 

[eehm]

Aber wie gesagt, das zieht einen ziemlichen Rattenschwanz hinter sich her, insbesondere dann, wenn man weitere Netzwerke hinzufügen möchte. Nicht ohne Grund spricht man daher häufig vom KISS-Prinzip.
Routerkaskaden wie von @bender_ vorgeschlagen, können eine einfachere Alternative sein, weil sie weitestgehend nur mit WAN- und LAN-Ports zusammengestöpselt werden und durch die Werkseinstellung der Firewall in den Routern bis auf kleinere Anpassungen (falls nötig, wie in #27 beschrieben) bereits fertig konfiguriert sind.

Da hast du schon vollkommen recht.
Einzig mit den AP von Fritz werde ich nicht wirklich warm, weil die auch alle noch ein separates Netzteil haben.
Ich habe gestern auch mal mit einem Tool zur WLAN Abdeckung gespielt. Ich werde eher 6 als 3 AP brauchen und das wäre dann mit POE schon viel einfacher. Das kann die Fritz ja leider nicht. Hier würde ich wohl eher noch in den sauren Apfel beissen und mich mit den VLANs einarbeiten. Da sehe ich einen Nutzwert, weil es das mit den AP schon viel leichter macht.
SSIDs der Fritz Box wäre natürlich die einfachste Lösung, aber das wird denke ich eher langsam und sinnfrei bei vielen AP oder?

Der Vorschlag mit der Router-Kaskade nur für die Kameras gefällt mir hingegen super, weil er sehr einfach ist und bis auf den Mehrverbrauch an Strom durch den neuen Router kein Nachteil entsteht. Allerdings wird das viel einfacher, weil dieses Konstrukt ein einfaches, kleines und zur Not abklemmbares Netz unter sich bleibt.
Und durch die Whitelist Firewall lasse ich nur die Ports der beiden Kameras in das Hauptnetz der Fritzbox und kann mit allen Geräten im VLAN Internet auf die Kameras zugreifen.
Somit kann ich mir eigentlich auch den Radius Server oder ähnliches sparen, weil es so auch genauso sicher ist?
Die Topologie würde dann so aussehen.

Wäre das so sinnvoll?
Einzig der zweite POE-Injektor stört hier, aber dazu wieder auf den POE-Switch gehen würde es wieder stark verkomplizieren richtig?

Du würdest jetzt alle LAN-zu-WAN Verbindungen blockieren und nur die IP Adressen der Kameras und deren benötigte Ports durchlassen.

Je nach dem, für welches Gerät Du dich entscheidest sieht die Konfiguration ein wenig anders aus. Bei manchen ist es nicht möglich, das Routing von Port 80/443 ins WAN zu unterbinden, was aber immer noch einen reichlich kleinen Angriffsvektor darstellt. Das Prinzip ist aber immer das selbe.

Welches Geräte setzt du dann hier ein, dann könnte ich ggf. dieses kaufen, wenn die Port Sperre hier komplett möglich ist?

 

[bender_]

Welches Geräte setzt du dann hier ein

Gar keins, da ich diesen Anwendungsfall nicht habe. Wie beschrieben können es aktuelle ASUS Geräte.
Maximale Einstellmöglichkeiten wenn ASUS Merlin unterstützt wird. Liste hier: https://www.asuswrt-merlin.net/
Jeder andere Router auf dem alternative Firmware wie xx-WRT läuft hat ungefähr den gleichen Funktionsumfang ist dann aber schon wieder schwieriger zu administrieren.

Wäre das so sinnvoll?

Ich finde nicht. Diesen Stunt mit dem Auftrennen des Fritzbox Gastnetzes kannst Du dir sparen. Der Einsatz von semiprofessionellen APs ermöglicht ebenfalls Gastnetze. Ich gehe mal davon aus, Du willst deinen Gästen einfach ein WLAN mit Internetzugang zur Verfügung stellen, ohne dass sie darüber Zugriff auf andere Geräte in deinem Netzwerk haben und genau diese Funktion bieten eigentlich alle diese Systeme. Hier am Beispiel von Unifi: https://www.andysblog.de/ubiquiti-unifi-network-controller-mach-mal-schnell-gast-wlan
Die einzige Einschränkung dadurch: Es gibt kein Gast LAN, was ich aber eh für überflüssig halte. Deine Gäste werden wohl kaum ständig LAN Anschlüsse brauchen, oder?

Persönlich stehe ich dem Gast WLAN Konstrukt generell skeptisch gegenüber. Entweder ich traue meinem Gast oder nicht. Wenn ich ihm traue, lasse ich ihn in mein Netzwerk, so dass er auch meinen Drucker benutzen kann, auf meine Kameras schauen darf und auch gerne mal DJ oder VJ an AVR oder Glotze spielen darf, wenn er will.
Sensible Daten sind sowieso auf NAS oder PC mit zusätzlichen Benutzerkonten gesichert. Wenn er die wirklich abschöpfen wollen würde, ist auch ein Gastnetz keine Hürde. Dann darfst Du denjenigen schlicht erst gar nicht als Gast in deinen 4 Wänden willkommen heißen.
Alle anderen Gäste, denen ich nicht traue, bekommen weder das WLAN Passwort noch Zugriff auf LAN Anschlüsse. In Zeiten von Smartphone und in der Regel zweistelligen Gigabyte an Datenvolumen in üblichen Smartphoneverträgen, hat sich noch keiner meiner Gäste beklagt, dass er keinen Internetzugang bekommt.

Dieser Umstand ändert sich natürlich dann, wenn man Zimmer oder Ferienwohnung regelmäßig auf Airbnb oder so anbietet und dabei Internet zur Verfügung stellen möchte. Da ergibt ein ganzheitliches Gastnetzkonzept dann Sinn und dafür ist meiner Ansicht nach die Funktion auch gedacht. Für rein private Anwendung ist das eher Spielkram ohne wirklichen Mehrwert.

 

[h00bi]

Einzig mit den AP von Fritz werde ich nicht wirklich warm, weil die auch alle noch ein separates Netzteil haben.

Es gibt neben PoE Injektoren auch PoE Splitter, die den Strom wieder extrahieren.
https://www.heise.de/hintergrund/Ge...das-Netzwerk-mit-Strom-versorgen-4655824.html
Viele PoE Splitter können allerdings nur 100Mbit/s Fast Ethernet.
Ich habe den hier bei mir im Einsatz (an nicht-AVM Hardware)
https://www.tp-link.com/de/business-networking/accessory/tl-poe10r/
Generell war mir hier Gigabit und 12V/1A wichtig weil z.B. AVM 3000: Leistungsaufnahme: maximal 11,4 Watt
AVM Geräte haben wohl einen 5,5/2,5mm Hohlstecker.


Selbst wenn ich einem Gast vertraue, dass er/sie in meinem Netz keinen Schmu treiben würde, traue ich der mitgebrachten, tragbaren (potentiellen) Virenschleuder nicht.

 

[norKoeri]

SSIDs der FRITZ!Box wäre natürlich die einfachste Lösung, aber das wird […] eher langsam und sinnfrei bei vielen AP oder?

Ich kenne jetzt keine Begrenzung bei der Anzahl der Access-Points – müsste man mal testen. Die Anzahl der IP-Adressen ist im FRITZ!-Gastnetz auf 180 Stück begrenzt.

Radius: Kann man bei den Switches z.B. zwei Ports auswählen an denen der Zugang nur über Radius authentifiziert?

Ja.

Bitte bedenke, dass in öffentlichen Foren nicht unbedingt alle Thread-Teilnehmer Dir bzw. der Community im Allgemeinen wohlgesonnen sind. Daher sind auch in Fach- bzw. Technik-Foren Falschinformationen üblich geworden. Ein anderes Problem ist, dass man als Fragender manchmal Fragen stellt, die den Thread in die falsche Richtung abgleiten lassen. Lassen wir mal kurz den ganzen Lösungsraum weg (VLANs, 802.1X, FRITZ!, …) und gehen nochmal zurück in den Problemraum: Du möchtest

1. drei Außenkameras. Diese sind nicht über WLAN angebunden sondern verkabelt. Deren Ethernet-Ports möchtest Du nicht „frei“ herumliegen haben; ein Verbrecher, der sich dort ansteckt soll nicht auf Dein Heimnetz kommen. Richtig?
2. dass Hausgäste nicht auf Dein Heimnetz kommen. Sie soll einfach ins Internet. Richtig?
3. Betreten wir langsam den Lösungsraum: Nicht an allen Orten hast Du sowohl Ethernet als auch Stromdose. Folglich bräuchtest Du PoE-gespeiste WLAN-Access-Points. Richtig?

 

[eehm]

Lassen wir mal kurz den ganzen Lösungsraum weg (VLANs, 802.1X, FRITZ!, …) und gehen nochmal zurück in den Problemraum: Du möchtest

1. drei Außenkameras. Diese sind nicht über WLAN angebunden sondern verkabelt. Deren Ethernet-Ports möchtest Du nicht „frei“ herumliegen haben; ein Verbrecher, der sich dort ansteckt soll nicht auf Dein Heimnetz kommen. Richtig?
2. dass Hausgäste nicht auf Dein Heimnetz kommen. Sie soll einfach ins Internet. Richtig?
3. Betreten wir langsam den Lösungsraum: Nicht an allen Orten hast Du sowohl Ethernet als auch Stromdose. Folglich bräuchtest Du PoE-gespeiste WLAN-Access-Points. Richtig?

1. Richtig
2. Richtig
3. Genau, ich habe auch Netzwerkkabel in den abgehängten Decken, aber da nicht ohne großen Aufwand 230V

 

[Raijin]

Wenn die Kameras am kaskadierten Router hängen, der wiederum im Gastnetzwerk hängt, ist das allerdings nur bedingt sinnvoll, weil jedwede Kommunikation zwischen Heim- und Gastnetzwerk von der Fritzbox unterbunden wird - auch das Speichern von Aufnahmen auf einem NAS/Server im Heimnetz oder die Bedienung durch ein Smartphone, o.ä. im Heimnetz. Beides müsste daher auch im Netz des KameraRouters passieren - also NAS und Bedien-Smartphone, o.ä. am KameraRouter.

Fritzbox (LAN4 / Gast-WLAN) --- Gastnetzwerk mit ganz vielen bösen Fremdgeräten
(LAN1-3 / Heim-WLAN)
|
+--- Smartphone, Tablet, Laptop, PC, etc
+--- (WAN) KameraRouter (LAN/WLAN) ----- Kameras

So hängt der KameraRouter über seinen WAN-Port im Heimnetzwerk und man kann die Firewall des KameraRouters entsprechend konfigurieren, dass die Kameras nur Kamerasachen im Heimnetzwerk/Internet machen dürfen und andersherum Portweiterleitungen einrichten, um die Kameras vom Heimnetzwerk aus mit einem Smartphone, Laptop, etc zu bedienen. Dabei bräuchte man auch keinen (smart) managed Switch, egal ob man ihn mit VLANs, Radius oder sonstwas betreibt.

Ich werde eher 6 als 3 AP brauchen und das wäre dann mit POE schon viel einfacher.

Wait, what? 6 AP? Viele Quadrat(kilo)meter willst du denn mit WLAN versorgen? Ein AP kann in der Regel eine Wohnung mit ~80-100 m² relativ gut abdecken. Deswegen reicht in den meisten Häusern auch ein zentral positionierter AP pro Stockwerk. Nicht selten kann dieser AP aber sogar noch das Stockwerk darüber/darunter halbwegs vernünftig versorgen (abhängig von Position, Bausubstanz, etc).

Es ist korrekt, dass AVM keinerlei PoE unterstützt. Das kann man aber ggfs mit PoE-Splittern regeln, wenn nötig. Natürlich kann man dennoch mit einem VLAN-Switch und VLAN-APs inkl. PoE arbeiten, wenn man denn möchte.

@norKoeri : Was sollte bitte der Link zu "Troll" ??

 

[eehm]

Wenn die Kameras am kaskadierten Router hängen, der wiederum im Gastnetzwerk hängt, ist das allerdings nur bedingt sinnvoll, weil jedwede Kommunikation zwischen Heim- und Gastnetzwerk von der Fritzbox unterbunden wird - auch das Speichern von Aufnahmen auf einem NAS/Server im Heimnetz oder die Bedienung durch ein Smartphone, o.ä. im Heimnetz. Beides müsste daher auch im Netz des KameraRouters passieren - also NAS und Bedien-Smartphone, o.ä. am KameraRouter.

Sorry, das habe ich schlecht gezeichnet.
Der kaskadierte Router sollte in der Grafik an LAN2 der Fritzbox hängen und LAN1-LAN3 sind doch alle das selbe Netz. Also sollte die Zeichnung eigentlich deinem Vorschlag entsprechen.
Auf den Mehrpreis eines managed Switches bin ich auch nicht unbedingt scharf, aber wie kann ich dann mit APs (außer Fritz) das WLAN-Netz in Haupt und Gastnetz teilen ohne die APs doppelt zu kaufen?

Wait, what? 6 AP? Viele Quadrat(kilo)meter willst du denn mit WLAN versorgen? Ein AP kann in der Regel eine Wohnung mit ~80-100 m² relativ gut abdecken. Deswegen reicht in den meisten Häusern auch ein zentral positionierter AP pro Stockwerk.

Ich habe zu versorgen:

• KG: ca. 130 qm
• EG: ca. 130 qm
• DG: ca. 80 qm

Somit befürchte ich, dass für das KG und EG ein AP zu knapp ist. Im DG reicht sicher einer und dann wollte ich noch einen im Haus sehr nahe am Gartenbereich.

 

[bender_]

aber wie kann ich dann mit APs (außer Fritz) das WLAN-Netz in Haupt und Gastnetz teilen ohne die APs doppelt zu kaufen?

Siehe #33

 

[norKoeri]

Was sollte bitte der Link zu "Troll" ?

Wer das fragt, ist keiner. Und auch zur allgemeinen Warnung, denn wir können hier keine Sicherheitsberatungen leisten. Siehe auch unseren alten Thread …

1. Ethernet-Buchsen außerhalb des Hauses

Dann würde ich das mit einer Router-Kaskade nicht lösen. Jedenfalls wüsste ich nicht, wie man das jemals sauber hinbekommt. Bzw. es ist soviel Arbeit, dass Du auch gleich richtig über konfigurierbaren Switch plus Mini-Server lösen kannst, also mein Tipp hier 802.1X/Radius/EAP-MD5.

2. isolierte Gäste

Einige WLAN-Hersteller machen das falsch, weil sie nicht ein Gast-Netz über das ganze WLAN hinweg erzeugen, also die Gäste nur innerhalb eines WLAN-Access-Points aber nicht Netz-weit isolieren. AVM macht es nicht falsch. Daher hier bitte eine Lösung nehmen, die das auch sicher bietet, aber …

3. PoE

… dann doch lieber VLANs. Aber Du brauchst nur zwei Segmente.

Folglich könntest Du erstmal bei einem Internet-Router bleiben, der zwei Segmente an seinen Ethernet-Ports erlaubt (FRITZ!Box, Keenetic, Synology, DrayTek, Lancom, …). Dazu gibt es in der aktuellen c’t einen Artikel, der frei zugänglich ist … (Tabelle: „Netzwerkzonen auch im LAN“; also der zweite Punkt braucht einen Haken). Randbemerkung: Die dort beschriebene FRITZ!Box 5530 hat einen Haken, weil die eine der ganz wenigen FRITZ!Boxen ohne Gast im LAN ist. Bearbeitet: Hat AVM nachgereicht …

Die Frage ist jetzt, welche WLAN-Access-Points bzw. Kameras Du konkret nimmst. Puh. Der Markt ist riesig. Bei WLAN auf „Multi-SSID“ bzw. „VLAN“ achten. Bei der Kamera im Datenblatt auf „802.1X“ oder „Radius“ oder „EAP-MD5“.

Ich werde eher 6 als 3 AP brauchen

Dann mein Tipp, nicht mehr mit PoE-Injektoren zu arbeiten, sondern mit einem PoE-Switch.

Mal Butter bei die Fische, wie ich das angehen würde:

Zyxel:

• 20 € für die Digitalisierungsbox Basic als DSL-Modem, gebraucht
• 40 € für die FRITZ!Box 4040 als Internet-Router, gebraucht
• 450 € für den Zyxel GS1920-24HP als PoE-Switch
• 500 € für sechs Zyxel NWA50AX als WLAN-Access-Points
• Kameras überlasse ich Dir.

TP-Link:

• 20 € für die Digitalisierungsbox Basic
• 40 € für die FRITZ!Box 4040
• 300 € für den TP-Link TL-SG2428P
• 500 € für sechs TP-Link Omada EAP615-Wall (Wand) oder TP-Link Omada EAP610 (Decke)
• Kameras überlasse ich Dir.

Der Preisunterschied beim Switch entsteht durch die Gesamtzahl an Ethernet-Ports. Du bräuchtest eigentlich 17, weil 15 Dosen erstmal einfach bestückt und zwei Uplinks. Und durch das Gesamt-Power-Budget für PoE. Der Zyxel hat hier mehr Reserven und die 1920er-Serie ist eine andere, bessere Software-Plattform. TP-Link habe ich anhand der Datenblätter zusammengeklickt. Zyxel auch, aber hier habe ich Erfahrung mit der vorherigen Serien. Wie Du siehst, kannst Du hier beliebig am Preis drehen, sowohl

• runter z. B. die Zyxel 1900er-Serie mit weniger Gesamt-Power. Oder
• beim WLAN hochdrehen, mit mehr Kanalbreite (80 MHz versus 160 MHz) und Spatial-Streams …

Durch das extra DSL-Modem (mit mehr als einem Ethernet-Port), kannst Du jederzeit mit anderen Internet-Routern spielen. Bei der Telekom Deutschland mindestens zwei Minuten warten, dann ist der alte Internet-Router automatisch abgemeldet. Bei 1&1 geht es dank Mehrfach-Einwahl auch parallel. Bei O₂ weiß ich es leider nicht. Ausprobieren.

Bei den WLANs könntest Du sogar noch tiefer stapeln, weil aktuell einige Technologie-Wechsel anstehen: Multi-Gig-Ethernet, 6 GHz-WLAN, WLAN-Access-Points mit vier Funkmodulen. Das ist aktuell noch unbezahlbar, aber ich vermute in weniger als drei Jahren wohl der neue Standard. Kaufst Du heute das WLAN schlechter, fällt es Dir leichter es wieder rauszuwerfen.