Habt Ihr Eure IoT-Geräte im LAN "isoliert" und wenn ja wie?

[Jim_OS]

Ich habe schon häufiger darüber nachgedacht endlich mal die IoT-Geräte hier zu "isolieren". Sei es per VLAN, Gastnetz, Exposed Host, Routerkaskaden usw. Ich habe hier zwar neben dem Asus XT8 Mesh-System - was z.Z. zwar im AP-Mode läuft aber auch einen vollwertigen Router beinhaltet - noch eine Fritzbox 7590 (aktuell der DSL-Zugangsrouter), div. Zyxel Switch (zwar mit VLAN aber leider nur Layer 2) und auch noch eine Fritzbox 7490 herumstehen, aber irgendwie komme ich da nicht auf einen grünen Zweig. Zumindest nicht ohne mir noch zusätzlich irgendwelche Layer 3 Geräte zu kaufen. D.h. an irgendetwas scheitert aktuell immer eine Trennung von IoT-Geräte und dem normalen LAN, weil alles ja irgendwie miteinander verknüpft/verbunden ist.

Um mal ein paar Geräte hier vor Ort zu nennen:
- Arbeits-PC
- Arbeits-Notebook
- Div. Tablets und Smartphone
- 2 x NAS
- NVR
Smarthome-Komponenten:
- Server mit Home Assistant
- Smart-TV
- Denon AVR
- Linux SAT-Receiver
- Mediaplayer
- Div. IP-Kameras
- Wolf Smarthome Heizungssteuerung
- Growatt Wechselrichter für PV-Anlage
- Google Nest Geräte
- Div. WLAN Smarthome-Geräte wie Shelly usw.

Klar könnte ich jetzt z.B. die Smarthome-Komponenten in ein gesondertes "IoT-LAN" packen, aber was mache ich mit dem "Rest", der ja ebenfalls auf IoT-Geräte zugreifen muss, oder z.B. auch mit den NAS oder dem NVR, auf die auch IoT-Geräte zugreifen müssen?

Ziele dabei sind u.a.:
- Die DECT-Funktionalität der Fritzbox 7590 soll erhalten bleiben.
- Eine Umsetzung mit möglichst geringen, oder noch besser mit keinen zusätzlich Kosten.
- Eine effektive Umsetzung bzw. spätere Nutzung, sprich alle Verbindungen im gesamten LAN/WLAN sollen ohne "große Verrenkungen" weiterhin erreichbar sein.

Grundlagen wie z.B. ein Layer 2 VLAN Konzept oder auch ein Layer 3 VLAN Konzept sind mir natürlich bekannt.

Mich würde daher mal (grob) interessieren wie Ihr das bei Euch gemacht habt? Vielleicht komme ich so ja auf eine passende Idee wie ich etwas bei mir umsetzen könnte.

VG Jim

 

[plang.pl]

Ich habe bei mir nur ein paar smarte Steckdosen & Lampen. Die sind bei mir im FritzBox Gastnetz. Und dort ist die Option "Geräte dürfen miteinander kommunizieren" aus. Zudem habe ich die Internetbandbreite fürs Gastnetz auf 10% limitiert. Vom normalen Netz aus kann man aber nicht aufs Gastnetz zugreifen. Die zugehörigen Befehle der Apps laufen eh über nen Relay-Server. Dadurch kann ich auch mit dem Smartphone im normalen Netz die smarten Geräte im Gastnetz steuern.
An der Fritte könnte man auch einen LAN-Anschluss als Gastzugang konfigurieren. Wenn das NAS zwei LAN-Ports hat, könnte man einen ins Gastnetz und einen ins normale Netz hängen. Letztlich erreichst du die Geräte im Gastnetz trotzdem nicht aus dem normalen Netz.
Wenn du noch einen Router rumfliegen hast: Router-Kaskade

 

[Iarn]

Bei mir sind mittlerweile die meisten Smart Home Komponenten von Fritz, wo ich dann sage ich muss dem Hersteller bzw. seiner Patchpolitik eh vertrauen.
Der Rest ist im Fritzbox Gastnetz. Das Gastnetz kommunziert untereinander mit einem unmanaged Switch und der den Haken "Geräte untereinander kommunizieren lassen" können auch Geräte vom WLAN innerhalb des Gastnetzes kommunizieren. Dieser Switch hängt auch bei einer Syno am 2. Port und hat für einen Ordner R/W Rechte. Damit ist alles sauber getrennt und über einen Wechsel von WLAN ins Gast WLAN kann ich auch einfach administrieren.
Ich persönlich habe alle Konfigurationen mit 2 Routern nach einer Weile wieder verworfen, weil irgendwas immer klemmt (double NAT ist einfach bäh). Der zweite Router ist bei mir nun als reiner AP konfiguriert.

 

[Thorfinn]

Man muss immer abwägen. Halt eine klassische Risikobewertung: Wie hoch ist die Wahrscheinlichkeit? Was ist die Konsequenz?
Wenn der Sat-TV Recorder nicht läuft dann stirbt keiner. Wenn die Brandschutzklappen der Ventilationsanlage nicht funktionieren ist das kritischer.

Für Haustechnik am Wohnort (GLT - Gebäudeleittechnik) habe ich ein vLAN. Das hat keine Verbindung zum WAN. Da kann mir also keiner reipfuschen, aber ich von aussen auch nicht nachschauen ob die Warmwasserbereitung läuft oder wie hoch die Vorlauftemperatur der Heizung ist.
Komfort vs. Sicherheit ist abgewägt.

Für die Haustechnik meines Sommerhauses habe ich weniger Sicherheit. Kennst du die Telefonnmmer der Steuerzentrale und du rufst da an geht der Sollwert der Raumtemperatur für 4 Stunden von "Frostschutz" auf "Komfort".
Risikokonsequenz sind ca. 8 kWh Mehrverbrauch an Strom je Ereignis.
Die Risikowahrscheinlichkeit liegt bei 2..3 Ereignissen im Jahr ("Tschuldigung hab mich verwählt, Call Center,...)
Saumässig geringe Sicherheit, aber sehr sehr hohen WAF (wife acceptance faktor).

> Eine effektive Umsetzung bzw. spätere Nutzung, sprich alle Verbindungen im gesamten LAN/WLAN sollen
> ohne "große Verrenkungen" weiterhin erreichbar sein.

Das ist die Krux. Je höher du integrieren willst (z.B. Lichtscenen nach Unterhaltungselektronik) dann muss das miteinander kommunizieren können.
Je mehr Firewalls zwischen vLAN setzt, je mehr musst du dokumentieren und aufpassen, dass du die richtigen Löcher ins Firewall gebohrt hast.

Also: Mache dir eine Anlagenliste - und die Funktionsbeschreibungen der Anlagen und Komponenten.
(Eine Anlage ist z.B. "Unterhaltungselektronik" oder "Surveillance")
Dann kennst du die Abhänigigkeiten und kannst überlegen was muss, und wie gross die "Verrenkungen" werden.

Wenn du "Komfort vs. Sicherheit" philosofischer Angehen willst: Lese Kirkegaard

 

[Monacum]

Zudem habe ich die Internetbandbreite fürs Gastnetz auf 10% limitiert.

Bitte nochmal lesen, die Bandbreite wird nur dann limitiert, wenn sie nicht für das Heim- und Gastnetz gemeinsam ausreicht, steht so auch in den Einstellungen der Box unter Internet > Filter > Priorisierung:

Hier können Sie festlegen, wie viel Bandbreite für die Geräte im Heimnetz reserviert werden soll. Die für das Heimnetz reservierte Bandbreite kann im Gastnetz nur dann genutzt werden, wenn sie im Heimnetz nicht benötigt wird.

Das Gastnetzwerk nutzt also bis zu 100 % Bandbreite, wenn das Heimnetz keine Daten sendet oder empfängt.

 

[plang.pl]

Das ist mir bekannt. Bin ich nur oben nicht drauf eingegangen. Wenn ich die Bandbreite nicht brauche, ist mir das egal. Mir ist wichtig, dass wenn ich sie brauche, nicht irgendwas Unnötiges im Gastnetz passiert

 

[Jim_OS]

Danke Euch bis hier hin für die Infos. Ja die übliche/klassische/richtige Herangehensweise wäre ja eine Trennung zwischen IoT-Geräten und dem Rest und dann kommt das Thema Komfort vs Sicherheit ins Spiel. Ein weiterer Punkt ist welche Geräte bekommen Zugang zum WAN und welche Geräte müssen und dürfen untereinander kommunizieren.

Bei rund 60 Clients hier vor Ort, die dann auch noch per LAN und/oder WLAN Verbindung haben und bei div. vorhandener Hardware die man möglichst für den Netzaufbau (weiter)verwenden will, muss ich zugeben das die Planung doch etwas aufwendiger ist. Nicht umsonst schiebe ich das schon "ewig" vor mir her. Ich werde mich wohl wirklich mal hinsetzen müssen und eine Planung schriftlich skizzieren. Ansonsten komme ich da immer wieder ins "trudeln" und habe dann wieder keinen Bock mehr weiter darüber nachzudenken.

Wie ich in meinen Eingangsposting ja bereits geschrieben hatte ist meine Anfrage hier im Forum dazu gedacht Erfahrungswerte von anderen Usern zu bekommen wie diese es bei sich zu Hause umgesetzt haben. Auch wenn die Ziele immer in die gleiche Richtung gehen, so gibt es halt unterschiedliche Lösungsansätze und an den ein oder anderen Ansatz hat man selber vielleicht noch gar nicht gedacht.

VG Jim

 

[the other]

Moinsen,
ja, habe ich getrennt. Hier sind alle IoT Dinger (Home Assistant, Sonos, TV, AVR usw) im eigenen VLAN. Von dort kommen die auch nirgendwo hin, nicht einmal ins Internet. Sollte mal wieder ein Updatecheck anstehen, wird das vorher kurz erlaubt, dann wieder zugemacht.
Im VLAN befindet sich auch ein altes NAS, welches die Datenbank für die diversen Sensoren bereitstellt und als zentrale Quelle für Musik und Bilder dient. Da somit der Kram in EINEM Subnetzsegment ist, ist es recht isoliert...

 

[Monacum]

Du steuerst das vermutlich über einen Unifi-Controller?

 

[w00dcu11er]

Komfort vs Sicherheit

Der Einfachheit halber habe ich alle IoT ins 2,4 GHz Netz reingeworfen, alle anderen (PC, Laptops, Smartphones etc.) sind nur per 5 GHz WLAN verbunden. Außerdem gibts auch noch ein Gast - WLAN.
Also so ganz sauber und sicher ist es zwar nicht, aber für meine Konstellation zumutbar.
Wenn ich einen neuen Router (wird diesmal dann wohl eine Fritzbox sein ^^) habe, werde ich auch die VLAN-Methodik anwenden.

 

[plang.pl]

Eine Fritte bietet aber auch keine VLAN-Funktionalität, sondern nur einen Gastzugang.
Ob 2,4GHz oder 5GHz ist erst einmal egal. Das sagt nix darüber aus, ob die Geräte miteinander kommunizieren können oder nicht. Wenn ich in der Fritte Geräte mit dem 2,4GHz WLAN verbinde, können die auch mit Geräten im 5GHz Frequenzband kommunizieren. Ebenso mit LAN-Geräten.

 

[Jim_OS]

Vorab: Die zwischenzeitlich erstellen Posting - danke dafür - habe ich noch nicht gelesen.


Um noch einmal die "Problematik" zu zeigen nehme ich einfach mal eine IP-Kamera als Beispiel für den Ist-Zustand:

Die Kamera ist in Home Assistant eingebunden. --> Der HA Server muss Zugriff auf die Kamera haben.
Die Kamera ist mit dem NVR verbunden und speichert dort z.B. Aufnahmen ab. --> Der NVR muss Zugriff auf die Kamera haben.
Die Kamera ist bei einem NAS mit eingebunden. --> Das NAS sollte Zugriff auf die Kamera haben. (Anm.: Könnte entfallen.)
Der Live-Stream der Kamera wird auf meinem Smart-TV dargestellt. --> Der Smart-TV muss Zugriff auf die Kamera haben.
Der Live-Stream der Kamera wird mir auf meinem Arbeits-PC im Fenster dargestellt. --> Der Arbeits-PC sollte Zugriff auf die Kamera haben.
Der Live-Stream der Kamera wird mir auf meinem Arbeits-Notebook im Fenster dargestellt. --> Das Arbeits-Notebook sollte Zugriff auf die Kamera haben.
Der Live-Stream der Kamera wird auf div. Google Nest Hub (Displays) dargestellt. --> Die Google Nest Hubs müssen Zugriff auf die Kamera haben.
Der Live-Stream wird über zwei Tablets und Smartphones abgerufen. --> Tablets und Smartphones müssen Zugriff auf die Kamera haben.
Einstellungen im WebGUI der Kamera mache ich über den Arbeits-PC. --> Der Arbeits-PC muss/sollte Zugriff auf die Kamera haben.

Das das alles dann nicht mehr so funktionieren wird wenn ich z.B. zwei LAN-Bereiche einrichte dürfte klar sein. Also muss ich das alles irgendwie aufteilen und "entwirren". Dazu kommt dann noch die genutze Verbindung eines Gerätes (LAN oder WLAN), die Frage welches Gerät muss oder darf ins WAN und wie sieht es mit Remote-Zugriffen (z.B. von unterwegs) aus.

und eine Planung schriftlich skizzieren.

Ohne das jetzt schon gemacht zu haben habe ich eben noch ein wenig über das Thema Gastnetzwerk nachgedacht. Ich hatte z.B. nicht (mehr) auf dem Radar das die FB ja auch ein Gastnetz auf LAN Port 4 ermöglicht. Ich hatte immer nur das WLAN Gastnetz im Hinterkopf. Das Fritz LAN Gastnetz ist ja kompl. vom Rest getrennt und bekommt von der Fritzbox per DHCP seinen eigenen IP-Bereich?

AVM schreibt dazu ja auch noch: Voraussetzungen / Einschränkungen
- Der LAN-Gastzugang steht nicht zur Verfügung, wenn die FRITZ!Box als Mesh Repeater oder im IP-Client-Modus betrieben wird.
- Die IPTV-Wiedergabe und die Nutzung einzelner FRITZ!Box-Funktionen (z.B. Portfreigaben, Telefonie) sind im Gastnetz nicht möglich.
- Die Geräte im Gastnetz sind für den automatischen Bezug der IP-Einstellungen per DHCP eingerichtet.

Ok das Thema keine Portfreigaben möglich müsste ich natürlich im Hinterkopf behalten was z.B. die Remote-Zugriffe betrifft. Ansonsten sind für meine IoT-Geräte eh keine Portfreigaben notwendig. Ohne damit bisher Erfahrungen gesammelt zu haben: Für alle Geräte im Gastnetz gilt dann NAT, abgesehen davon das es keine Portfreigaben gibt?

Aktuell grübel ich gerade darüber nach ob und wie ich mein Asus ZenWiFi-AX-System ggf. mit dem LAN Gastnetz der Fritzbox kombinieren kann.

Fritzbox 7590 = WAN + LAN + WLAN + DECT + Gastnetz
Akueller Stand: WAN + LAN + DECT aktiv

Asus ZenWiFi-AX-System = LAN + WLAN + Gastnetz
Aktueller Stand: AP-Mode mit LAN-Port und WLAN aktiv (Anm.: Ließe sich auch als vollwertiger Router einrichten/nutzen)

Spontan ohne es wirklich zu Ende gedacht zu haben:

Grüner Bereich
Fritzbox 7590 (aktiv = WAN + LAN + WLAN + Gastnetz)
- Switch
- Arbeits-PC per LAN
- Arbeits-Notebook über WLAN Auswahl
- Tablets und Smartphones über WLAN Auswahl
- NAS 1 und/oder NAS 2 per LAN

Roter Bereich
Asus ZenWiFi-AX-System (aktiv = LAN + WLAN) an Fritzbox LAN Gastnet
- Switch
- Arbeits-PC per WLAN über WLAN Auswahl
- Arbeits-Notebook über WLAN Auswahl
- Tablets und Smartphones über WLAN Auswahl
- NAS 1 und/oder NAS 2 per LAN
- IoT-Geräte per LAN und WLAN

Wenn ich nicht einen Gedankenfehler gemacht habe sollte ich dann haben:
Grüner Bereich = Fritzbox = WAN + LAN + WLAN X + DECT
Roter Bereich = Asus XT 8 = WAN über Fritz Gastnetz + LAN + WLAN Y

D.h. ich könnte mich z.B. mit meinem Arbeits-PC per LAN mit dem Grünen Bereich verbinden oder per WLAN Auswahl mit dem grünen oder roten Bereich. Das gleiche gilt für das Arbeits-Notebook. Tablets oder Smartphones könnten sich dann ebenfalls mit beiden Bereich per WLAN Auswahl verbinden. Das man - wenn man es streng nehmen würde - mit einem PC (Client) aus dem grünen Bereich nicht auf Geräte aus dem roten Bereich zugreifen sollte sei mal dahingestellt.

Soweit richtig ober habe ich einen Denkfehler gemacht? Wie gesagt: Fritz Gastnetz war bisher noch kein Thema für mich.


Noch ein Nachtrag: Ich hatte ja ganz zu Anfang bereits geschrieben "Eine Umsetzung mit möglichst geringen, oder noch besser mit keinen zusätzlich Kosten." Ja sicherlich wäre es schön wenn man "aus dem Vollen schöpfen" könnte und hier mit z.B. OPNsense/pfSense, Layer 3, VLAN usw. arbeiten könnte, aber ich versuche erst einmal was ich mit dem bereits vorhandenen Klimbim anstellen kann. Es ärgert mich immer ein wenig wenn man so viele Dinge herumliegen hat und muss/will sich trotzdem schon wieder etwas Neues kaufen. Bei vorhandenen Fritzbox 7590 + Fritzbox 7490 + Fritzbox 7390 + Asus XT 8 Router/Mesh-System + 2 x Zyxel Switch mit VLAN (kein Layer 3) + div. weitere kleine Switche + div. weitere WLAN APs sollte es eigentlich auch noch andere alternative Möglichkeiten geben, auch wenn die dann nicht ein Optimum ergeben.

VG Jim

 

[Thorfinn]

Nicht umsonst schiebe ich das schon "ewig" vor mir her. Ich werde mich wohl wirklich mal hinsetzen müssen und eine Planung schriftlich skizzieren. Ansonsten komme ich da immer wieder ins "trudeln" und habe dann wieder keinen Bock mehr weiter darüber nachzudenken.

Wie ich in meinen Eingangsposting ja bereits geschrieben hatte ist meine Anfrage hier im Forum dazu gedacht Erfahrungswerte von anderen Usern zu bekommen

Zu ersten. Leider ja. 60 Clients die MAC adressen per Hand abschreiben, blablabla ist dann leider nicht mehr "mal eben". Doku ex post zu erstellen war nie eine Freude. Denk an Skalierbarkeit deiner Dokumentation. Das wird nicht weniger Geraffel.
In der Werbung und auf der Papschachtel sieht das alles viel viel einfacher aus. Aber auch His Steevness bekam Ärger als er auf Realitet traf.
mein Beileid. Glückwunsch mit der Arbeit.
Für die Zukunft; Nutze die Vorfreude! In der Zeit in der eine Papschachtel zu dir unterwegs ist, kannst du die Doku erstellen, ein paar Adressen sind schnell eingefügt während du das aufbaust.

Netzwerk
Ich habe ein Netzwerk mit Unifi Hardware. Die vLans verwalte ich damit. Anfangs war ich erschlagen von den Funktionen, nach und nach machten mehr und mehr Funktionen Sinn. Mein Haushalt zählt 2 Teenager - Deren Bedürnisse sind hinreichend erforscht.
Mein Kram soll halt stabil laufen, egal was die Gören machen. Zentrale Verwaltung ist ein Segen.

vLan für GLT!
Einige neue Geräte haben die Abart "nach Hause zu telefonieren". Aus einem vLAN ohne WAN können sie es nicht.
Einiges meines ioT Geraffel ist so alt, dass es seit einem Jahrzeht kein update mehr bekommt. WEP verschlüsseltes wLAN - mehr gab es nicht vor 20 Jarhen, die CPU schafft nicht mehr. Eine modbus-TCPIP Brücke läuft seit xy Jahren - Das fest eingebrannte admin password ist "0000" - Noch Fragen?
Wenn man alle 5 Jahre alle Standarts und Verschlüsselungen hochschraubt, dann muss man Hardware tauschen.
Neu war war das "ooo und neu - schau mal was das kann" eine Motivation. 10 Jahre später ist man froh wenn es halt nicht kaputt ist. Die ganzen Funktionen neu aufzusetzen ist dann nur noch Arbeit und kostet Zeit.

vLAN für audiovideo?
Leider ja. Meine Teile sind zu alt. Die alten d/a converter sind aber Ohrensahne. Das WLAN für die Teile ist somit ein vLAN. Aus dem "produktiv vLAN" kommt man aber rüber damit man die Dinger steuern kann. Das rüberkommen ist eine ewige Baustelle voller Krücken und "von Hinten durch die Brust ins Auge" Lösungen. <sülz>Die Auflösung der Höhen des d/a converters ist aber..... also das was da an Teilen.....</sülz>

vLAN für Gäste?
Ja. Ich will meine Gäste doch nicht mit dem Geraffel in meinem Netzwerk, lokalen IPs, broadcasts etc. erschlagen. Die sollen ankommen und sich wohlfühlen.


Was nicht:
Was gar keinen Sinn macht sind Funktionen bei denen man keinen organisatorischen Plan hat.
Ein Beispiel: Die Rauchwarnmelder in meinem Sommerhaus sind nicht in die "GLT" dort eingebunden. Der Aufwand wäre 2m 2*0,35 quadrat Kabel in 10 min. angenagelt. Nur was soll ich zu Hause mit einem Mobiltelefon was bimmelt und mir sagt "Die Hütte brennt"? Soll ich hinfahren und mit den Feuerwehrleuten auf einen lodernden Glutrest urinieren?
Surveillance? Was soll denn passieren wenn? Alles was Surveillance kann, können meine Nachbarn besser, ausserdem können sie handeln.



ps.: Ich bekomme Geld dafür Leuten mit GLT zu helfen. zZ. u.a. Renovierung eines Objekt mit +100.000 m² mit z.T recht komplexen Regelungen. Die Teile sind vom Hersteller nun seit 10 Jahrne abgemeldet und jetzt repariert er nur noch bei gut zureden. Also: alle PLC neu, alle i/o testen, alle Funktionen neu programieren, vernetzen, testen, loop tunen, testen ... wie gesagt: dafür bekomm ich (zu wenig) Geld.
Wenn die Doku bei der Hand ist (und sei sie mit Schreibmaschine geschrieben und handschriftlich berichtigt) = kein Problem nur Arbeit, alles plan- und kalkulierbar.
Aber nur 80% der Funktionen sind dokumentiert. Der Rest ist nie angefertigt, verschollen oder besteht aus 6 vergilbten Klebeetikken die auf dem Boden der Tafel mit 6 PCL liegen. Wer spielt gerne Memory? Da kommen dann die unbeliebten Wörter: "Änderung des Leistungsumfangs", "besondere Vergütung", "Nachtrag" und "Fristenverlängerung".
Dann noch das ".. ja das wollten wir damals so weil .... heute brauchen wir.... " - wenn der Kunde so kommt, muss er die Geldbörse mitbringen.
Wir machen für Kunden auch Surveillance und Zugangskontrolle. Der Sch... kommt mir nicht ins eigene Haus.

So, genug gekotzt, jetzt ist Wochenende.

 

[Thorfinn]

Bei vorhandenen Fritzbox 7590 + Fritzbox 7490 + Fritzbox 7390 + Asus XT 8 Router/Mesh-System + 2 x Zyxel Switch mit VLAN (kein Layer 3) + div. weitere kleine Switche + div. weitere WLAN APs

Vorweg: AVM ist nicht meine Welt.

Da hast du dir ja einen gediegenen Kleintierzoo mit vielen netten eierlegenden Wollmilchsäuen zugelegt. Ich befürchte das vermehrt sich wie Kanickel auf der Geest. Da hoppelt viel, aber wenig kann zum grossen Sprung ansetzen.

Wenn du uns die Geometrie des Gebäudes zeigt, würde ich fast vermuten das man da mit einer Unifi Dream Machine und 1 AP auskommt.
Es muss ja nicht Cisco oder HP Aruba sein. Wer wenig Geld und viel Ahnung hat nutzt MikroTik.

 

[Jim_OS]

So, genug gekotzt, jetzt ist Wochenende.

So genug gegrübelt, jetzt ist Wochenende. Mir schwirrt nämlich schon wieder der Kopf vor lauter geht - geht nicht - geht - geht wieder nicht - geht auch nicht ... usw.

Danke für die zwischenzeitlich erstellten Postings.


Edit @Thorfinn
Der Zoo ist mir natürlich im Laufe der Jahre zugelaufen, aber ich kann mich so schlecht von etwas trennen. Insbesondere wenn es noch funktioniert. Ich habe gerade vor ein paar Tagen erst eine ca. 10 Jahre alte Zyxel USG Firewall und das Gegenstück von Draytek dazu (Vigor Pro 5500) im Elektroschrott entsorgt und selbst dabei habe ich überlegt ob ich eins von beiden nicht doch noch irgendwie gebrauchen könnte.

VG Jim

 

[Thorfinn]

Der Zoo ist mir natürlich im Laufe der Jahre zugelaufen, aber ich kann mich so schlecht von etwas trennen.

Ich hab auch Museen als Kunden. Denen geht das genauso.
(richtig haarige Surveillance und Zugangskontrolle mit anti passback und pipapo)

Das mit dem Zulaufen kenn ich. Ich habe mal ein paar Controller für Zugangskontrolle vor dem Schrott bewahrt. Nein, den Nerv wollte ich dann doch nicht und mache das mechanisch. Aus eigener Erfahrung: Je älter die Geburtsurkunde - je Messi.

 

[the other]

Moinsen,
Na, wenn du soviel altes Kram haste, dann könntest du aus den drei fritzboxen schon drei Netzwerke aufbauen, als einfache Routerkaskade plus Gast Netzwerk. Ist und bleibt dann aber IMHO immer ein gedankliches Gefrickel mit viel Arbeit. Und verbraucht dann auch mehr Strom. Dann doch eher einen potenteren Router wie draytek, mikrotik oder pfsense/opensense.
Und ich hab ein paar Jahre mit einer Routerkaskade gelebt. Ist eben sehr unflexibel und gerade bei dem von dir geschilderten setting wäre es mir den Hirn#%×÷&? nicht wert.
Jm2c

 

[Iarn]

Ohne das jetzt schon gemacht zu haben habe ich eben noch ein wenig über das Thema Gastnetzwerk nachgedacht. Ich hatte z.B. nicht (mehr) auf dem Radar das die FB ja auch ein Gastnetz auf LAN Port 4 ermöglicht. Ich hatte immer nur das WLAN Gastnetz im Hinterkopf. Das Fritz LAN Gastnetz ist ja kompl. vom Rest getrennt und bekommt von der Fritzbox per DHCP seinen eigenen IP-Bereich?

AVM schreibt dazu ja auch noch: Voraussetzungen / Einschränkungen
- Der LAN-Gastzugang steht nicht zur Verfügung, wenn die FRITZ!Box als Mesh Repeater oder im IP-Client-Modus betrieben wird.
- Die IPTV-Wiedergabe und die Nutzung einzelner FRITZ!Box-Funktionen (z.B. Portfreigaben, Telefonie) sind im Gastnetz nicht möglich.
- Die Geräte im Gastnetz sind für den automatischen Bezug der IP-Einstellungen per DHCP eingerichtet.

Ok das Thema keine Portfreigaben möglich müsste ich natürlich im Hinterkopf behalten was z.B. die Remote-Zugriffe betrifft. Ansonsten sind für meine IoT-Geräte eh keine Portfreigaben notwendig. Ohne damit bisher Erfahrungen gesammelt zu haben: Für alle Geräte im Gastnetz gilt dann NAT, abgesehen davon das es keine Portfreigaben gibt?

Ja das Gastnetz hat einen eigenen Adressbereich (und eine eigene DHCP Lease Time falls von Belang).

Das Gastnetz ist hat genauso eine NAT wie das Primärnetz (quasi jeder Router NATed, aber kein doppeltes NAT).

 

[Jim_OS]

Danke. Ich werde als erstes mal den Fritzbox Gastzugang testen da dieser - sofern er so funktioniert wie ich mir das vorstelle - keine weiteren Investitionen bedeutet.

Variante 2 wäre dann ggf. so etwas einzubinden wie z.B. einen MikroTik Router, Ubiquiti EdgeRouter X, TP-LINK ER605, ...

Variante 3 wäre dann ein Mini-PC/Thin Client mit OPNsense/pfSense ...

VG Jim

 

[Jim_OS]

Ich poste hier noch ein wenig weiter, für den Fall das sich jemand mal ähnliche Gedanken macht wie er das ggf. umsetzen könnte.

Ich habe gestern mal ein wenig mit dem Gastnetz der Fritzbox herumgespielt. Dabei ist mir dann etwas aufgefallen an das ich vorher nicht gedacht hatte: Bei der Verwendung des Gastnetzes bekomme ja alle darin befindlichen Clients von der Fritzbox per DHCP eine neue IP - also z.B. 192.168.179.x OK - da ich schon immer mit statischen IPs arbeite müsste ich bei allen Clients im Gastnetz auf eine DHCP-Vergabe wechseln. Macht zwar etwas Arbeit, aber das ist nicht so schlimm. Was schlimmer ist ist das ja dann auch bei sämtlicher eingesetzer Hard- und Software die IPs für die (IoT-)Geräte angepasst werden müssen.

Beispiele:
- Bei jeder Hard- oder Software die z.B. auf die IP-Kameras zugreift (z.B. Smart-TV) müssen die geänderten IPs eingetragen werden.
- Bei Home Assistant Server müssen alle relevaten Integrationen auf die neuen IPs angepasst werden.
- Da der Home Assistant Server ja auch eine neue IP bekommt, gilt dies z.B. auch für den darauf laufenden Mosquitto Broker. D.h. bei allen Geräte die per MQTT Daten an HA liefern (z.B. Tasmota Geräte) müssen die MQTT Parameter auf die neue IP geändert werden.

Das alles ist dann schon (hier bei ca. 60 Clients) deutlich mehr Arbeit.

Was mir gestern während der testweisen Umstellung auch noch aufgefallen ist, ist das die Fritzbox (mal wieder) ins trudeln kommt was das anzeigen der vorhandenen Netzwerkgeräte betrifft. Gastnetz war aktiviert und es gab dafür keinerlei Beschränkungen. Der Asus XT8 im AP-Mode, der dann ja auch im Fritzbox Gastnetz war, hat alle anderen in dem Moment mit ihm verbundenen Clients mit der entsprechenden 179.x IP korrekt angezeigt. Auszug:



Ebenso war ein Zugriff auf alle Clients im IP Bereich 179.x möglich. D.h. die Fritzbox hat per DHCP-Server Funktion an alle Clients im Gastnetz eine IP aus dem Bereich 179.x vergeben.

Bei der Fritzbox wurde unter Internet --> Filter --> Zugangsprofile --> Gast --> Zugeordnete Netzwerkgeräte ledglich 8 Clients im Gastnetz angezeigt und unter Heimnetz --> Netzwerk --> Netzwerkverbindungen wurden nur 5 Clients mit einer 179.x IP angezeigt. Das blieb auch so nach einem Reboot der Clients, mehreren Reboots der Fritzbox und nach einer längeren Wartezeit. Die Fritzbox meinte unter Netzwerk --> Netzwerkverbindungen weiterhin das es lediglich 5 Clients gibt die aktuell mit einer 179.x IP eine Netzwerkverbindung mit ihr hätten.

Noch etwas was mir bei der Fritzbox aufgefallen ist:
- Der Client hatte bisher eine IP aus dem Bereich 1.x
- Die Clients im Gastnetz bekommen die IPs per DHCP-Funktion der Fritzbox.
- "Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen." ist bei der Fritzbox für den Client nicht aktiviert.
- Client hat eine Verbindung über den Asus XT8 AP zu der Fritzbox und wird in seinem WebGUI und bei dem Asus XT8 AP mit einer IP 179.x korrekt angezeigt.

Jetzt gibt es zwei Varianten:
1. Der Client wird bei der Fritzbox mit einer IP 179.x angezeigt - was korrekt wäre.
2. Der Client wird bei der Fritzbox immer noch mit einer IP 1.x angezeigt - was falsch wäre.

Richtig "lustig" wurde es dann nach einen Reboot der Fritzbox. Obwohl das Gastnetz weiterhin aktiv war wurde bei allen Clients, bei denen bisher unter Netzwerk --> Netzwerkverbindungen eine IP 179.x angezeigt wurde und die nachweislich lt. Asus XT8 AP oder WebGUI des Clients, aktuell auch eine IP aus dem Bereich 179.x hatten, nach dem Reboot der Fritzbox plötzlich wieder die alte IP aus dem Bereich 1.x mit dem Hinweis "gültig ab der nächsten Anfrage" angezeigt.

OK das war dann der Punkt wo ich erst einmal keinen Bock hatte noch weiter zu machen. Wenn man selber ganz sicher keinen Fehler bei der Konfiguration gemacht hat, aber die Fritzbox irgendwelches "wirres Zeug" anzeigt, dann ist das keine gute Basis für einen sauberen Netzaufbau. So gut wie eine Fritzbox für die normale Heimanwendung auch ist, aber sie kommt (scheinbar) irgendwann an ihre Grenzen. Woran das jetzt genau liegt, bzw. was genau die Ursache dafür ist, ist mir eigentlich egal. So kann/will ich nicht arbeiten.

Nach den Erfahrungswerten mit dem Fritzbox Gastnetz und den damit notwendig werdenden Änderungen bei den Clients, werde ich wohl doch auf eine andere Lösung setzen.

PS: Nein es gab im gesamten LAN keinen anderen/weiteren DHCP-Server.

VG Jim