Lösung für eine Netzwerkstruktur gesucht

    Hallo,


    Problem:
    Ein Mehrfamilienhaus mit 11 Einheiten wird komplett mit Automatisierung ausgestattet.
    Die einzelnen Wohnungen werden jeweils mit einer separaten Steuerung ausgestattet, das Haus an sich bekommt eine Übergeordnete. Diese sind alle über Ethernet verbunden.
    Jede Steuerung einer Wohnung muss mit der Übergeordneten kommunizieren können, um zb. an Wetterdaten zu kommen. Jeder Wohnungsmieter soll auf seine eigene Steuerung zwecks Visualisierung zugreifen können, jedoch nicht auf die anderen Steuerungen. Alle Steuerungen können mittels individuellem Zugang geschützt werden.
    Das Haus bekommt seinen "eigenen" Internetanschluss zur Fernwartung.
    Wie bekomme ich das in Einklang mit den Internetanschlüssen der Mieter? Gedacht war pro Wohnung ein Wlan AP, nur steht dann ja andauernd das wechseln zwischen privatem AP und Visu AP an.
    Dann sehe ich noch die Möglichkeit das die alle über das Internet "von außen" auf die Steuerungen zugreifen, heißt aber -> viele Portweiterleitungen... :(
    Oder jeder bekommt ein 100€ Android Tablet an die Wand, setzt aber auch WLAN vorraus und lässt sich schlecht Fernwarten.


    Was meint Ihr? Wie bekommt man das "sicher"


    Chris

    Zugriff "von außen" ist garnicht so verkehrt. Wozu brauchst du da Portweiterleitungen? Packe irgendwo eine passwortgeschützte Webseite hin über die der Mieter mit seinem Benutzernamen/Passwort einloggen kann.

    Zitat von chriszero

    Was meint Ihr? Wie bekommt man das "sicher"


    Warum einfach, wenn es kompliziert geht!? :D


    Also, Du verwendest für die Steuerung einen IP-Bereich wie 10.120.0.0/16.
    In jeder Wohneinheit verbindest Du galvanisch das Netz von der Steuerung mit dem Netz der Wohnung, also Stecker ins Fritz!Box/Speedport des Mieters.
    Der PC, welcher die Steuerung ansprechen soll, bekommt einen zusätzlichen IP, z.B. 10.120.0.100/16.
    Ab jetzt braucht er die Steuerung nur per IP anzusprechen. Sie beide befinden sich in selben Netz, daher gilt die direkte Adressierung auf MAC Basis.


    Albert

    Na jede Steuerung hat ihre eigene IP/Hostname sowie einen eigenen Webserver mit der dazugehörigen Visu.
    Wenn ich die alle über eine externe IP erreichen möchte muss ich ja zb. Port 100 bis 111 jeweils auf Port 80 der internen IP's der Steuerungen leiten.
    Ansonsten muss ja noch eine Art Reverse Proxy dazwischen das ich das mittels Subdomains oder "Unterverzeichnisse" mache, zb. example.com/wohnung1 oder wohnung1.example.com
    Eventuell Router mit flexiblem Linux wie dd-wrt oder openwrt?


    Bedeutet aber das der Technisch unbedarfte Mieter bei jedem neuem Gerät auf Hilfe angewiesen ist. Windows, Linux und Mac ok, aber Andriod & iOS?

    Zitat von chriszero

    Bedeutet aber das der Technisch unbedarfte Mieter bei jedem neuem Gerät auf Hilfe angewiesen ist.


    Ja, nichts ist für die Ewigkeit.


    Zitat von chriszero

    Andriod & iOS


    Entweder von außen über’s Internet ins Steuerungsnetz oder in jede WE en Access Point und der WLAN wird manuell ausgewählt. Letzteres erscheint mir nicht sooo elegant.


    Albert

    Zitat von ATD


    In jeder Wohneinheit verbindest Du galvanisch das Netz von der Steuerung mit dem Netz der Wohnung, also Stecker ins Fritz!Box/Speedport des Mieters.


    Da hat sicher jeder andere Ansichten aber genauso wenig wie ich als Vermieter einem Mieter einen Internetanschluss bereitstellen wollte, würde ich als Mieter vom Vermieter eine Leitung in mein privates LAN haben wollen.


    Bevor ich sowas dulden würde, würde ich auf so Spielereien wie "Haussteuerung" eher verzichten. Ich hoffe doch das der Mieter auch ohne solchen "modernen Kram" noch so grundlegendes wie "Raumtemperatur" regeln kann?


    Zitat von chriszero


    Ansonsten muss ja noch eine Art Reverse Proxy dazwischen das ich das mittels Subdomains oder "Unterverzeichnisse" mache, zb. example.com/wohnung1 oder wohnung1.example.com
    Eventuell Router mit flexiblem Linux wie dd-wrt oder openwrt?


    Genau so. Eventuell kann man für sowas auch einen Mini-Rechner wie Cubieboard, Beagleboard oder Raspberry hernehmen. Mit einem Apache-HTTPD kannst du neben der Proxy-Geschichte auch die Authentifizierung erledigen.


    Weiterhin dient der Apache dann als eine Art "Firewall". Mögliche "Angreifer" kommen erstmal nur bis zum Apachen und wenn die Benutzername/Passwort-Kombinationen nicht allzu einfach sind, können mögliche Lücken in der Steuerung nicht von außen ausgenutzt werden.

    Zitat von chriszero

    Dann sehe ich noch die Möglichkeit das die alle über das Internet "von außen" auf die Steuerungen zugreifen, heißt aber -> viele Portweiterleitungen... :(


    Weil Du die Smartphones ins Spiel gebracht hast, halte ich doch den Zugriff über das Internet am sinnvollsten. Es sind dann genau 11 Forwards notwendig, deswegen muss man nicht gleich weinen.


    Du händigst für jeden und für „immer“ link:port aus.


    Albert

    Zitat von chriszero

    Jede Steuerung einer Wohnung muss mit der Übergeordneten kommunizieren können, um zb. an Wetterdaten zu kommen. Jeder Wohnungsmieter soll auf seine eigene Steuerung zwecks Visualisierung zugreifen können, jedoch nicht auf die anderen Steuerungen.


    Wenn es wirklich sicher sein soll, muss jede Wohnungssteuerung 2 Netzwerkanschlüsse haben die jeweil in einem Netz hängen. Einer wird mit allen anderen Wohnungssteuerungen und der Haussteuereung zu einem Hausnetz verbunden, dafür dann natürlich einen managebaren Switch nehmen. Der andere Anschluss wird einfach mit dem privaten Netz der Wohnung vwebunden. Zwischen diesen beiden Netzwerkanschlüssen wird nichts geroutet, so können die Bewohner der einzelenen Wohnungen nicht auf die Steuerungen der anderen Wohnungen zugreifen und auch nicht auf die Haussteuerung. Jeder kann aber innerhalb seiner Wohnung mit jedem Gerät im seinem normalen Netz auf seine Wohnungssteuerung zugreifen, auch mit im W-Lan eingebuchten Andtoiden.

    Zitat von halbfertiger

    muss jede Wohnungssteuerung 2 Netzwerkanschlüsse haben


    Soll das jetzt ein Wunsch sein!?


    Albert

    Moin,


    ich wüsste da schon eine "saubere" Möglichkeit...die ist allerdings relativ aufwändig und auch nicht ganz billig ;)


    Ich würde in jede Wohnung einen Accesspoint hängen, aber nicht im Clientmode, sondern im Repeater Mode. Der Accesspoint in der Wohnung müsste dann per Kabel mit einem Switchport oder dem Router des jeweiligen Heimnetzes verbunden werden. Auf der "anderen Seite", also über APs im Hausgang oder in einem zentralen Raum (kommt darauf an, wie gut der Empfang aus den jeweiligen Wohnungen ist), sammelst du die ganzen APs aus den Wohnungen wieder ein. Diese APs müssen per Kabel mit einem zentralen Router / Firewall verbunden sein, der genügend Ports hat und der auch Verbindung zu deinem Automatisierungsnetz hat. Alternativ kannst du natürlich auch jede Wohnung aus einem zentralen Raum mit einem Kabel anfahren...


    Auf dem Router bzw. der Firewall musst du nun die ganzen einzelnen Heimnetze so NATten, dass die Kommunikation mit deiner Automatisierung möglich ist. Du brauchst auf jeden Fall Destination NAT, damit du die Adresse der Automatisierung auf eine jeweililge Heimnetzadresse übbersetzen kannst, wahrscheinlich auch Source NAT, da jeder Heini 192.168.0.0/24 benutzt ;) Die IP der Automatisierung wäre also in jedem Heimnetz eine per Layer2 erreichbare Adresse.


    Über FW Regeln kannst du dann auch den Zugriff regeln und erreichen, dass die Heimnetze sauber voneinander getrennt sind.


    Passende Hardware dafür müsste man mal suchen...mit nem Cisco Router würde das gehen, wohl auch mit ner Linux Eigenbau Büchse.


    Ciao Louis

    Louis, er schrieb doch in der Eingangspost:


    Zitat von chriszero

    Diese sind alle über Ethernet verbunden.


    Das mit dem NAT wird wohl erst mit einem Router der Mittelklasse möglich sein. Ich habe Zweifel, dass ein Fritzebox oder Speedport so was unterstützen. Außerdem schraubst Du mit einem ständigen WLAN Bridge die "Sicherheit" deutlich herunter.


    Albert

    Zitat von ATD

    Louis, er schrieb doch in der Eingangspost:


    Noch besser, dann kann er sich die APs im Hausgang sparen, aber ggf. in der Wohnung per WLan zum Switch oder Router bridgen.


    Zitat

    Das mit dem NAT wird wohl erst mit einem Router der Mittelklasse möglich sein. Ich habe Zweifel, dass ein Fritzebox oder Speedport so was unterstützen. Außerdem schraubst Du mit einem ständigen WLAN Bridge die "Sicherheit" deutlich herunter.


    Wo schreibe ich denn was von einer Fritzbox??? Ich schrieb, dass es nicht ganz billig wird, weiter unten schreibe ich Cisco. Du musst Posts schon vollstãndig lesen und verstehen...


    Und das Wlans unsicher sind, ist Heutzutag Bullshit, man muss es halt richtig machen und ordentliches Equipment mit ausreichend Features benutzen.


    Ciao Louis

    Zitat von 3PO

    Ich verstehe nicht, weshalb eine "Hausautomatisierung" über Ethernet erfolgen soll, so macht man, wenn es keine Bastellösung sein soll, mit KNX.


    Die einzelnen Wohnungssteuerungen sind mit der Haussteuerung per Ethernet verbnden, so ungewöhnlich finde ich das nicht. Wie dann die Verbindung zu den Sensoren und Aktoren ist steht nirgends.

    Zitat von 3PO


    Das wird wohl daran liegen, dass Du so etwas noch nie gemacht hast.


    Stimmt, das liegt aber daran, dass Haussteuerungen bei mir keinen "haben wollen" oder gar "haben muss" Effekt erzeugen.


    Die ursprüngliche Fragestellung deutet aber sowieso eher auf eine Bastellösung als auf 'nach dem Einsatzhandbuch eines großen Herstellers errichtet' hin.

    Schau dir mal die Sache mit privat VLANs an, sollte eigentlich das hierarchische Konzept abbilden. Über alles wird ein primary VLAN gespannt und jede Wohnung kommt in ein eigenes community VLAN. In das primary kommt dann auch die übergeordnete Haussteuerung und das Gateway zum Internet. Mal ganz grob angedeutet...


    Davon ab würde ich so etwas an eine Firma übergeben die sich damit auskennt und das ganze auch supportet. Ich möchte keine Mieter in einer Wohnung sein wenn a) die Datensicherheit nicht gewährleistet ist und b) der reibungslose Betrieb nicht garantiert wird.


    Zitat von louis

    Und das Wlans unsicher sind, ist Heutzutag Bullshit, man muss es halt richtig machen und ordentliches Equipment mit ausreichend Features benutzen.


    So was. Ich habe mal aus reiner Neugier eine Kombination aus zwei Programmen (deren Namen ich nicht aussprechen kann) und eine kleine Bibliothek mit einem i5 Notebook mit nVidia alle Nachbarnetze durchgecheckt. Die längste Zeit bei WPA(2) war knappe 20 Minuten, bis das PW gefunden wurde (12 Stellen, recht Kryptisch). Was nicht ging, das war eduroam, aber das ist eine Enterprise Lösung mit Zertifikat.


    Zitat von meikelmoeller

    Schau dir mal die Sache mit privat VLANs an, sollte eigentlich das hierarchische Konzept abbilden. Über alles wird ein primary VLAN gespannt und jede Wohnung kommt in ein eigenes community VLAN. In das primary kommt dann auch die übergeordnete Haussteuerung und das Gateway zum Internet. Mal ganz grob angedeutet...


    Ist es nicht so, dass allein VLAN kostenintensive Switche voraussetzt, die aber nicht zwingend die PVLAN Extension bieten!?


    Zitat von meikelmoeller

    Davon ab würde ich so etwas an eine Firma übergeben die sich damit auskennt und das ganze auch supportet.


    Da bin ich voll deiner Meinung.


    Albert

    Eine Bastellösung ist das nicht. Das wird auch in großen Hotels verwendet. Das mit dem WLAN/Ethernet Zugang ist alleinig für die Visualisierung auf Smartphones. In dem besagten Hotel hat halt jedes Zimmer seinen AP. Die Wohnungen an sich sind in KNX ausgeführt.
    Bei der Steuerung handelt es sich um Loxone. Eine Smarthome Lösung die wir schon oft in Einfamilienhäusern eingesetzt haben.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden