Neuaufbau Heimnetzwerk - Bitte um Tipps beim Aufteilung/HW-Kauf

[Raijin]

@norKoeri : Ok, verstanden. Der Hinweis mit der Belastbarkeit der Antworten in öffentlichen Foren ist auf jeden Fall richtig und wichtig, da sind wir definitiv einer Meinung - offensichtlich, wenn du sogar meinen Beitrag verlinkst

@eehm :
Bevor du nun aber losläufst und dir 6(!) APs kaufst, kauf erstmal 2-3 und teste die Abdeckung. Man kann jederzeit weitere dazukaufen, wenn es doch nicht reicht.

Wenn ein zentraler AP das Stockwerk nicht vollständig abdecken kann, ist es auch einen Versuch wert, die APs versetzt zu positionieren, um unnötige Überschneidungen zu vermeiden und mehr von der stockwerkübergreigenden Abdeckung der APs zu profitieren. Erst dann, wenn man sicher ist, dass man wirklich mehr APs braucht, kann man sich weitere Geräte anschaffen, um die Abdeckung zu vergrößern.

   _______
 /  x      \
/___________\
|     |  x  |
|     |     |
|_____|_____|
|  x  |     |
|     |     |
|_____|_____|

Dennoch möchte ich auch noch darauf hinweisen, dass man sich manchmal zu viel Gedanken über Gäste macht. Du solltest du dir also gut überlegen wo und in welchem Maße du überhaupt Gast-(W)LAN benötigst. Wenn zB das Gästezimmer im 1. OG links ist, reicht es meiner Ansicht nach auch aus, nur dort für ausreichend Gast-Abdeckung zu sorgen. Auch das kann das gesamte Setup ein wenig vereinfachen, weil man das Gastnetzwerk nicht zwingend in jeden Winkel des Hauses/Grundstücks verteilen muss.

 

[bender_]

Jedenfalls wüsste ich nicht, wie man das jemals sauber hinbekommt. Bzw. es ist soviel Arbeit, dass Du auch gleich richtig über konfigurierbaren Switch plus Mini-Server lösen kannst

Hatte ich in #27 erklärt wie das geht.
Was ich vermisse ist deine Erklärung was ein "Mini-Server" sein soll, wie der ins Netzwerk des TE integriert werden soll, welche Dienste darauf benötigt werden und wie man die dann konfiguriert. Einfach "Mini-Server" ist kein selbsterklärender Begriff.

Einige WLAN-Hersteller machen das falsch, weil sie nicht ein Gast-Netz über das ganze WLAN hinweg erzeugen, also die Gäste nur innerhalb eines WLAN-Access-Points aber nicht Netz-weit isolieren. AVM macht es nicht falsch. Daher hier bitte eine Lösung nehmen, die das auch sicher bietet, aber …
… dann doch lieber VLANs. Aber Du brauchst nur zwei Segmente.

Egal ob Ubiquiti, TP-Link, Zyxel, Netgear, Arubu oder sonst welcher Anbieter von PoE fähigen APs machen das gleich. Es heißt nur nicht immer "Gastnetz" sondern manchmal schlicht Multi SSID und es bedarf auch keines separat konfigurierbaren VLANs um ein "Gastnetz" nach Anforderungen des TE zu erstellen. Da ist eine Standardfunktion der APs und des notwendigen Controllers.
Auch bei AVM ist das so implementiert nur mit weniger Konfigurationsmöglichkeiten, wahrscheinlich aus dem einfachen Grund es auch für Laien beherrschbar zu machen.

Ergänzung (3. Januar 2023)

Und auch zur allgemeinen Warnung, denn wir können hier keine Sicherheitsberatungen leisten. Siehe auch unseren alten Thread …

Witzig. Genau dort hast Du dich ja als besonders trollig präsentiert mit deiner Idee zu nem HowTo für Hotelbesitzer wie man sein Hotel WLAN DSGVO konform bekommt:

Das wäre es auch mal … ein HowTo … „Was machen Hotels so alles falsch? Die zehn+x Tests, die man (als Wirt) machen sollte“.

...oder und der schrägen These, dass Systemhäuser keine Vodafone Business Anschlüsse betreuen würden:

dass Du heute kein System-Haus mehr bekommst, wenn irgendwo nur ansatzweise das Stichwort „Vodafone Cable“ fällt. Die nehmen einfach reiß aus, weil die alle inzwischen genug Kunden betreuen. Die machen sich auch nicht die Arbeit irgendwas in einen Bridge-Mode zu versetzen. Jedenfalls kenne ich das so. Kann örtlich anders sein. Daher meine Tipps, wie man „Vodafone Cable“ weg-abstrahieren könnte, so dass man es nicht mehr gegenüber dem Dienstleister erwähnen muss.

 

[eehm]

Dann würde ich das mit einer Router-Kaskade nicht lösen. Jedenfalls wüsste ich nicht, wie man das jemals sauber hinbekommt. Bzw. es ist soviel Arbeit, dass Du auch gleich richtig über konfigurierbaren Switch plus Mini-Server lösen kannst, also mein Tipp hier 802.1X/Radius/EAP-MD5.

Das ist jetzt eigentlich wieder der "komplizierte" Ansatz ohne Kaskade. Den hatte ich eigentlich schon abgehackt.
Kannst du vielleicht dennoch kurz Skizieren, wie das mit einem Mini-Server aufgebaut werden könnte und was der Mini-Server wäre?

Du nennst jetzt Zyxel und TP-Link.
Hier werden noch weitere "namhafter" Marken genannt.

Egal ob Ubiquiti, TP-Link, Zyxel, Netgear, Arubu oder sonst welcher Anbieter von PoE fähigen APs machen das gleich.

Haben für mich z.B. Cisco, Arubu oder Ubiquiti einen Vorteil? Ggf. gibt es einen Hersteller der am "intuitivsten" zu bedienen ist?

@norKoeri : Ok, verstanden. Der Hinweis mit der Belastbarkeit der Antworten in öffentlichen Foren ist auf jeden Fall richtig und wichtig, da sind wir definitiv einer Meinung - offensichtlich, wenn du sogar meinen Beitrag verlinkst

Danke, dass ihr darauf hinweist.
Und ihr habt mir schon echt richtig viel geholfen, danke. Es ist natürlich selbstverständlich, dass die Entscheidung und Verantwortung am Ende immer ich treffe!

Bevor du nun aber losläufst und dir 6(!) APs kaufst, kauf erstmal 2-3 und teste die Abdeckung. Man kann jederzeit weitere dazukaufen, wenn es doch nicht reicht.

Guter Punkt. Ich werde dann mit nur einem anfangen und mal sehen, ob mir der überhaupt zusagt und wie weit er ggf. am Ende schon reicht!

 

[bender_]

Das ist jetzt eigentlich wieder der "komplizierte" Ansatz ohne Kaskade

Tja, leider hats @norKoeri geschafft die Kanonen wieder auszupacken. Ich dachte auch, wir hätten sie eigentlich weggeräumt.

Haben für mich z.B. Cisco, Arubu oder Ubiquiti einen Vorteil? Ggf. gibt es einen Hersteller der am "intuitivsten" zu bedienen ist?

Nein. Das ist Geschmacksache.
Ich empfehle Privatanwendern gerne PoE APs die ohne externen Controller auskommen, da sie sich in der grundsätzlichen Bedienung unwesentlich von Consumer APs unterscheiden.
Zyxel NWA und TP-Link Omada APs bieten das, haben aber trotzdem die Option auch von einem externen Controller gesteuert zu werden.
Beide Reihen bieten moderne HW nach Wi-Fi 6. Wie viel Bumms bestimmt dein Budget.
Schau dir die Teile aber genau an. Ein Omada EAP660 ist beispielsweise größer als manch ein Suppenteller. Will sich auch nicht jeder an die Decke hängen.

 

[norKoeri]

Kannst du vielleicht dennoch kurz Skizzieren, wie das mit einem Mini-Server aufgebaut werden könnte und was der Mini-Server wäre?

Du hast einen Computer im Netz, der dauernd läuft. Darauf ist der RADIUS-Server installiert. Das kann ein erweiterbarer Internet-Router sein. Oder ein anderes Gerät. Die ersten Schritte, wie das einzurichten ist, steht in den verlinkten c’t-Artikeln. Also bei einer Port-basierten Authentifikation brauchst Du (leider) immer einen Server.

Ich werde dann mit nur einem anfangen und mal sehen, ob mir der überhaupt zusagt und wie weit er ggf. am Ende schon reicht!

Noch ein Tipp: Ich arbeite hier mit 2,4 GHz für die Fläche, also mit einem WLAN-Access-Point pro Stockwerk. Und dann mit 5 GHz für die Lümmelecken. Entsprechend kommen einige WLAN-Access-Points zusammen, weil alle im Single-Mode laufen. Und ich überschneide sogar absichtlich, aber auf anderen WLAN-Kanälen. Vorteil: Ich brauche kein Access-Point-Steering.

gibt es einen Hersteller der am "intuitivsten" zu bedienen ist?

Nicht wirklich. Hier mal ein Post zu dem Thema … der Dir leider nicht weiterhilft, weil jeder Hersteller verschiedene Serien, Generationen und Software-Plattform hat. Also das aus dem Video nicht übertragbar ist, weil Du eine andere Switch-Plattform nehmen müsstest.

Du musst Dich immer auf eine Denke einlassen, die des Herstellers. Diese Geräte sind eigentlich für ITK-Systemhäuser. Deren Mitarbeiter haben eine (mehrjährige) Ausbildung und werden vom Hersteller speziell auf ihre Geräte nachgeschult. Daher bleiben viele Häuser auch ausschließlich in ihrer Hersteller-Welt.

Und Du hast zwei weitere Probleme: Firmware-Updates (und leider auch Security-Updates) werden oft schon nach der Abschreibe-Zeit eingestellt (5 Jahre, manchmal schon 3 Jahre). Weiteres Problem ist, dass Du quasi keine Hersteller-Unterstützung bekommst.

Entscheidung und Verantwortung am Ende immer ich treffe!

… und hoffentlich auf ordentlicher Basis. Ich glaube, Du siehst ja bereits am Schreibsteil, wer was ist.

 

[bender_]

Hier mal ein Post zu dem Thema … der Dir leider nicht weiterhilft

Stimmt, da gehts nicht mal um APs sondern um VLANs, die wir eigentlich weggeräumt hatten...

Du musst Dich immer auf eine Denke einlassen, die des Herstellers.

Wenn man verstanden hat, wie das Netzwerk funktioniert muss man nur die Vokabeln der Hersteller lernen. Die Funktion dahinter ist immer die selbe. Du hingegen stellst deinen unnötig komplizierten Lösungsansatz als unnötig kompliziert umsetzbar dar, anstatt ihn zu vereinfachen. Wie genau soll das helfen?

 

[Radde]

Ich habe mich (auch als Laie) in unserem Haus für TP-link Omada entschieden.
Warum?

• Weil es eine zentrale Bedienung für alle Switche und APs bietet
• Weil es aus einer Hand ist und eine reibungslose Zusammenarbeit aller Einzelgeräte wollte
• Weil es in Tests sehr gut abgeschnitten hat und bislang auch absolut stabil läuft
• auch wenn ich heute nur die wenigsten Funktionen brauche und bei weitem nicht alle Optionen verstehe kann man sich immer weiterbilden
• und nicht zuletzt: weil es deutlich billiger als Ubiquity ist

Mein Netzwerk ist wirklich einfach, trotzdem bin ich mir der Lösung absolut zufrieden und habe nicht das Gefühl Geld aus dem Fenster geworfen zu haben.
Hier im Einsatz:

• Router: Telekom Speedport
• Switch: TP-link TL-SG2008P (8 Ports, davon 4x POE)
• AP: TP-link EAP620 HD Zentral im OG
• AP: TP-link EAP615-Wall im Wohnzimmer
• Omada-Controller: Raspberry Pi 3B+

Ganz interessant zum Einstieg ist vielleicht das hier: Raspberry Pi Cloud: TP-Link OMADA (SDN) der UniFi Killer? Hardware Review & Cloud Dashboard
Mehrere vlans können erstellt und in Gruppen zusammengefasst werden. Die Gruppe wird dann einem oder mehreren APs/Switch-Ports zugewiesen. Der Controller übernimmt dann zentral die Provisionierung der Geräte.

 

[eehm]

Wenn man verstanden hat, wie das Netzwerk funktioniert muss man nur die Vokabeln der Hersteller lernen. Die Funktion dahinter ist immer die selbe. Du hingegen stellst deinen unnötig komplizierten Lösungsansatz als unnötig kompliziert umsetzbar dar, anstatt ihn zu vereinfachen. Wie genau soll das helfen?

Ja so langsam weiß ich wirklich gar nichts mehr.
Jetzt dachte ich eigentlich ich/wir hätten eine gute, pflegbare und zur Not auch aufbohrbare Lösung und jetzt bin ich fast schon wieder bei der Vollfettstufe inkl. Radius Server.
Ich hätte nie geglaubt, das Netzwerk so kompliziert sein kann!

• AP: TP-link EAP620 HD Zentral im OG
• AP: TP-link EAP615-Wall im Wohnzimmer

Hast du den EAP620 an der Decke und den EAP615 an der Wand montiert?
Ich frage deshalb, ob die unterschiedliche Abstrahlbereiche haben, wenn man den Access Point in der abgehängten Decke versteckt, dann wird es ganz klar der EAP620.
Aber was ist, wenn man ihn z.B. unter der Küchenzeile oder auf einen Kleiderschrank legen will. Passt dann besser der EAP615?
Hast du ggf. hier ein wenig experimentiert?

 

[rezzler]

Ich hätte nie geglaubt, das Netzwerk so kompliziert sein kann!

Wenn man tief genug in die Materie eintaucht ist jedes Fachgebiet kompliziert 😉

Ich würde es versuchen, einfach zu halten. So ein Netzwerk ist ja im Normalfall etwas, was erst auffällt, wenn’s nicht mehr geht und ansonsten im Hintergrund läuft. Ergo hat man damit selten zu tun und muss sich bei Problemen/Änderungen immer wieder neu reindenken und das sollte als einfacher Nutzer so einfach wie möglich sein.

 

[Raijin]

Ich hätte nie geglaubt, das Netzwerk so kompliziert sein kann!

Das liegt einfach daran, dass Fritzboxxen und Co vielleicht 5% des Themenbereichs "Netzwerk" für den Anwender zur Konfiguration stellen, während 95% unsichtbar im Hintergrund passieren oder tatsächlich gar nicht implementiert sind. Nicht mal der Punkt "Firewall" zeigt wirklich die Firewall, sondern nur die benutzerdefinierten Regeln, aber die Systemregeln sieht man nicht. Auch dieser Thread kratzt tatsächlich nur an der Oberfläche

Nicht ohne Grund haben Netzwerkadministratoren eine Ausbildung oder gar ein Studium hinter sich. Die installieren nämlich nicht nur Laptops und Drucker

jetzt bin ich fast schon wieder bei der Vollfettstufe inkl. Radius Server.

Deswegen habe ich ja nochmal darauf hingewiesen, dass ein Gastnetzwerk nicht zwingend auch noch bis in den Keller oder hinter die Gartenlaube reichen muss. Streichst du diese Anforderung von der Liste, brauchst du im Prinzip keinerlei VLANs und kannst die Kameras einfach hinter einem kaskadierten Router betreiben. APs mit PoE kann man ja trotzdem einsetzen und die können in der Regel dann auch gleichzeitig VLANs, die man erstmal unkonfiguriert lässt. Man hat aber für später die Option in der Hinterhand, wenn man das ganze doch aufbohren möchte.

Genau genommen sehe ich es gar so, dass ich nicht für die Smartphones meiner Gäste verantwortlich bin. Ich habe zur Zeit zum Beispiel ganze 11 VLANs (Berufskrankheit), aber kein Gastnetzwerk, weil es nicht mein Problem ist, wenn der Besuch mit seinem 5€ Vertrag und 200 MB schon nach ein paar Tagen im Monat an die Grenze stößt...

 

[eehm]

Das liegt einfach daran, dass Fritzboxxen und Co vielleicht 5% des Themenbereichs "Netzwerk" für den Anwender zur Konfiguration stellen, während 95% unsichtbar im Hintergrund passieren oder tatsächlich gar nicht implementiert sind. Nicht mal der Punkt "Firewall" zeigt wirklich die Firewall, sondern nur die benutzerdefinierten Regeln, aber die Systemregeln sieht man nicht. Auch dieser Thread kratzt tatsächlich nur an der Oberfläche

Das sehe ich technisch ein und akzeptiere auch, dass ich mir das aktuell nicht zutraue eine komplette Firewall sicher selbst zu konfigurieren (wie z.B. pfSense).
Also wird es wohl auf eine Router-Kaskade aus Fritz-Box und einem anderen Router hinauslaufen. Dann bin ich jedenfalls halbwegs sicher, weil die Fritz-Box das schlimmste zum Internet hin abblockt.

Ein Ansatz wäre ggf. noch der Diskussion wert und zwar die Router-Kaskade.
Es wurde als zweiter Router schon z.B. ein Asus empfohlen.
Gibt es ggf. einen Router mit Modem (ähnlich der Fritz-Box) der mich zum Internet halbwegs sicher abschottet ich aber zugleich noch eine Firewall für die IP-Kameras einrichten kann um diese von meinem Hauptnetz zu trennen?
Dann würde ich mir die Pflege und den Stromverbrauch von einem zusätzlichen Router sparen können. Also der All-in-One-Router?

 

[rezzler]

Gibt es ggf. einen Router mit Modem (ähnlich der Fritz-Box) der mich zum Internet halbwegs sicher abschottet ich aber zugleich noch eine Firewall für die IP-Kameras einrichten kann um diese von meinem Hauptnetz zu trennen?
Dann würde ich mir die Pflege und den Stromverbrauch von einem zusätzlichen Router sparen können. Also der All-in-One-Router?

Ich würde behaupten, das es den gibt, aber in deutlich teurer und komplexer als 2 einzelne FritzBoxen.

 

[Raijin]

Allmählich kommen wir aber wirklich vom Hundertstel ins Tausendstel.

Gibt es ggf. einen Router mit Modem (ähnlich der Fritz-Box) der mich zum Internet halbwegs sicher abschottet ich aber zugleich noch eine Firewall für die IP-Kameras einrichten kann um diese von meinem Hauptnetz zu trennen?

Mittlerweile habe ich den Überblick verloren ob du DSL oder Kabelinternet hast, wenn das überhaupt schon zur Sprache kam. Bei DSL kämen wohl Router von Draytek in Frage, da diese u.a. aucv VLANs unterstützen. Ich wundere mich aber über deine Formulierung.

1. Fritzboxxen und Co schützen dein Heimnetzwerk nicht nur halbwegs sicher, sondern sicher. Wenn du dich nicht auskennst, solltest du dahingehend auch keine Vermutungen anstellen. Gefühlt 99,9999999% aller erfolgreichen Angriffe auf ein Heimnetzwerk hinter einer Fritzbox sind auf blauäugige Portweiterleitungen auf unsichere Dienste innerhalb des Netzwerks zurückzuführen, zB wenn jemand das Webinterface seines Media-Receivers naiv offen ins Internet stellt.

2. Willst du die Kameras nun vom Hauptnetz trennen im Sinne von abschotten? Ich hatte es so verstanden, dass die Kamera trotzdem ihre Aufnahmen irgendwo abspeichern sollen und du ggfs das Livebild der Kameras anschauen möchtest? Das ist nämlich das Gegenteil von "trennen". Trennen ginge nämlich ganz simpel über das Gastnetzwerk, aber für reglementierte Zugriffe zwischen Haupt- und Kameranetz brsuchst du dazwischen eine konfigurierbare Firewall wie sie zB im empfohlenen Asus-Router vorhanden wäre - oder in einem Draytek, aber bei den Kisten stecke ich offen gestanden 0,null drin.

 

[eehm]

Mittlerweile habe ich den Überblick verloren ob du DSL oder Kabelinternet hast, wenn das überhaupt schon zur Sprache kam.

Es ist VDSL

1. Fritzboxxen und Co schützen dein Heimnetzwerk nicht nur halbwegs sicher, sondern sicher.

OK, das war mir wirklich nicht bewusst, weil man ja öfters was ließt, dass nötige Sicherheitsupdates gemacht werden um Lücken zu schließen.
Aber freut mich wirklich zu hören, dann kann ich mich hier wirklich sicher fühlen!

2. Willst du die Kameras nun vom Hauptnetz trennen im Sinne von abschotten? Ich hatte es so verstanden, dass die Kamera trotzdem ihre Aufnahmen irgendwo abspeichern sollen und du ggfs das Livebild der Kameras anschauen möchtest?

Nein, du hast das alles richtig verstanden. Ich möchte darauf so sicher wie möglich (im Rahmen meiner Kenntnisse) von meinem Hauptnetz darauf zugreifen.
Deshalb habt ihr mich ja auf den guten Vorschlag mit der Kaskade gebracht.

Trennen ginge nämlich ganz simpel über das Gastnetzwerk, aber für reglementierte Zugriffe zwischen Haupt- und Kameranetz brsuchst du dazwischen eine konfigurierbare Firewall wie sie zB im empfohlenen Asus-Router vorhanden wäre - oder in einem Draytek, aber bei den Kisten stecke ich offen gestanden 0,null drin.

OK, dann wird es die Kaskade.
Die Fritz-Box ist schon mal sicher und was ich dann mit den LAN1 und LAN4 der Fritz-Box und mit dem zweiten Router für die Kameras mache, ist aus Sicherheitssicht zum Internet erst mal vollkommen egal.
Hier macht erst mal die Fritz-Box alles sicherheitstechnisch notwendige für mich.
Heißt bei Fehlern hinter der Fritz-Box kann sich entweder wer an meine abgebaute Kamera hängen oder ein böser Gast einen Drucker ansteuern. Alles eigentlich sehr theoretisch und keine wirkliche und großartige Bedrohung!

 

[Radde]

Hast du den EAP620 an der Decke und den EAP615 an der Wand montiert?
Ich frage deshalb, ob die unterschiedliche Abstrahlbereiche haben, wenn man den Access Point in der abgehängten Decke versteckt, dann wird es ganz klar der EAP620.
Aber was ist, wenn man ihn z.B. unter der Küchenzeile oder auf einen Kleiderschrank legen will. Passt dann besser der EAP615?
Hast du ggf. hier ein wenig experimentiert?

Sie sind beide an der Wand montiert.
Hat sich leider so ergeben, weil hier die Netzwerkkabel viel einfacher verlegt werden konnten ohne Schlitze stemmen zu müssen. Das Kabel zum EAP620 läuft z. B. im Türrahmen hoch, der AP ist dann direkt oberhalb der Türe.
Ich selbst habe keine Tests durchgeführt, aber TP-Link hat die Infos auf seiner Homepage Ab Seite 27 im EAP Datasheet sind die Infos zur Abstarhlung. Sieht so aus, als wäre der EAP660 der beste AP von TP-Link.

 

[norKoeri]

VDSL

Du brauchst nur ein DSL-Modem.
Das kannst Du als externes DSL-Modem oder als Kombination in einem DSL-Router haben. Ich empfehle Ersteres, weil Du dann flexibler beim Internet-Router bist und sogar mehrere Internet-Router gleichzeitig betreiben kannst. DrayTek bekommst Du mit oder ohne DSL-Modem. Hat es DSL-Modem, kannst Du es abschalten. Dort ist der Radius-Server schon mit an Bord, aber rudimentär, jedenfalls bei meinem Vigor2865.

Vollfettstufe inkl. Radius Server

Ich empfinde das als viel einfacher. Einmal eingerichtet, und es läuft. Hängt es irgendwo, kannst Du einen Kollegen fragen, denn Du arbeitest in der Informatik. Und ich wüsste nicht ansatzweise, wie die Router-Kaskade hier klappen sollte, denn …

die IP-Kameras einrichten kann um diese von meinem Hauptnetz zu trennen?

… das ist der Lösungsraum. Im Problemraum hattest Du beschrieben, dass es Ethernet-Buchsen außerhalb des Hauses sind. Von dort soll niemand ins Haus kommen. Das machst Du, indem Du die IP-Kameras an die Ethernet-Buchse bindest – durch eine Port-basierte Zugangskontrolle. Mein Tipp: Kauf Dir die c’t 8/2017 oder alternativ die c’t Netzwerke 2017. Ich bin der Meinung, dass jener Zeitschriften-Artikel eine gute Grundlage bietet und durch das Praxis-Beispiel auch konkret genug ist, dann weitere Fragen zu stellen.

 

[bender_]

Und ich wüsste nicht ansatzweise, wie die Router-Kaskade hier klappen sollte

Im Gegensatz zu dir, haben alle anderen im Thread es offensichtlich verstanden.
Macht ja nix, Du kannst bei dir zuhause ja gerne mit deinen DrayTeks und Mini Servern spielen, wie Du lustig bist.

 

[eehm]

Macht ja nix, Du kannst bei dir zuhause ja gerne mit deinen DrayTeks und Mini Servern spielen, wie Du lustig bist.

Genau hier sehe ich auch ein Hauptproblem zuzüglich der Komplexität.
Wenn der Server mal nicht läuft, dann geht nichts!

Noch eine Frage hätte ich zur Router-Kaskade.
Muss ich da aufpassen, dass die Apps mit denen ich auf die Kameras zugreifen will ohne Broadcasts auskommen oder würden Broadcasts ohne Probleme zu den Kameras durchgehen, wenn der Port in der Firewall des zweiten Routers geöffnet ist?

 

[Raijin]

Muss ich da aufpassen, dass die Apps mit denen ich auf die Kameras zugreifen will ohne Broadcasts auskommen oder würden Broadcasts ohne Probleme zu den Kameras durchgehen, wenn der Port in der Firewall des zweiten Routers geöffnet ist?

Broadcasts werden weder durch eine Routerkaskade noch durch einen VLAN-Router durchgehen, weil sie nicht geroutet werden. Das Problem hättest du daher so oder so, wenn die App der Kameras mit Broadcasts arbeiten und Smartphone und Kameras sich in verschiedenen Netzwerken befinden. Das ist beispielsweise auch der Grund warum viele IoT-Geräte in gerouteten Netzwerken häufig nicht funktionieren, da die Hersteller die smarten Funktionen oftmals nur zukaufen und keinerlei eigenes KnowHow besitzen - da geht man dann gerne vom 08/15 Heimnetzwerk mit 1 Netzwerk aus.

Um die Kameras in einem anderen Netzwerk bedienen zu können, muss die App daher die Möglichkeit bieten, IP+Port der Kamera manuell einzugeben.

Es gibt Möglichkeiten, Broadcasts zu routen - Broadcast Relays - aber dann wird's nochmal ne Stufe komplexer.

 

[norKoeri]

Wenn der [Radius-] Server mal nicht läuft, dann geht nichts!

Nur die IP-Kameras bekommen dann nicht mehr ins Netz. Wobei ich jetzt auch nachschauen müsste, wie oft bzw. wann genau der Radius-Server überhaupt befragt wird.