EFH-Netzwerk - VLAN für "Smart-Geräte" sinnnvoll

[Elderian]

Hallo,

ich überlege gerade, wie ich das Heimnetz in unserem Neubau genau aufbaue.

Ich würde gerne Geräte wie beispielsweise den Staubsaugerroboter etc. in ein eigenes Netz "sperren", von dem aus diese dann gern nach Hause telefonieren können. Netzwerk-Ressourcen wie NAS und Drucker oder auch die Gegensprechanlage sollte der nicht sehen.

Würde das über VLANs funktionieren?

Derzeit nutze ich eine Fritzbox 7530, die restliche Netzwerkhardware muss ich noch besorgen. Die Fritzbox hat ja diesen Gast-Zugang, würde eine Trennung darüber funktionieren?

Was denkt Ihr dazu?

Elderian

 

[Jasmin83]

Einfach ein anderes Subnetz mit eigenem Adressbereich einrichten und fertig.

 

[CrazyT]

Jo, würde funktionieren.

 

[guzzisti]

FritzBox Gastzugang wäre die einfache Lösung.
Ansonsten halt VLAN-fähige Hardware anschaffen und die Netze entsprechend separieren.

 

[Z!mTst3rN]

Bei der Fritzbox kannst du auch das Gastnetz über Lan 4 oder Wlan verteilen. Per Lan 4 und Managed Switch könntest du dann über ein Kabel auch 2 Vlans verteilen, ohne dir gleich teure Hardware anschaffen zu müssen. In dem Fall müsstest du die FB nur mit 2 Lankabeln an den Switch klemmen -Lan 1 fürs normale Netz und Lan 4 fürs Gastnetz- Sollen allerdings mehrere Vlans Einzug halten und genaue Regeln definiert werden, was in welchem Vlan funktionieren soll, dann müsste andere Hardware her.

 

[Elderian]

Danke für die Antworten!

Einfach ein anderes Subnetz mit eigenem Adressbereich einrichten und fertig.

Reicht es dafür, den Geräten eine entsprechende feste IP zuzuweisen?

Ich bin eben gerade auf der Suche nach einem Switch fürs Heimnetz. Und da habe ich auch managed Switches gesehen. Da ich eh einen kaufen muss, würde ich das Geld lieber gleich investieren, als mich später zu ärgern.
VLAN können aber nicht alle managed switches, oder?

 

[DLMttH]

Sagen wir mal so, an einem nicht VLAN-fähigen Switch gibt es sehr wenig zu managen.

Ich würde dir bei Hardware (u.v.m.) grundsätzlich dazu raten, die Geizhals-Preissuchmaschine zu verwenden. Wenn du dort nach Switches suchst, kannst du noch diverse Suchfilter für VLAN und Portgeschwindigkeit und -anzahl setzen und siehst dann bei den Ergebnissen nicht nur die Produkteigenschaften, sondern auch die Händler nach Preis sortiert. Besser geht's eigentlich nicht.

 

[Jasmin83]

Reicht es dafür, den Geräten eine entsprechende feste IP zuzuweisen?

der DHCP Server im Router muss schon hergeben zwei oder mehrere Adressbereiche mit entsprechenden Subnetzen einzurichten. Ob die Fratzenbox das kann, weiß ich nicht, wie auch bei meinen Switchen zu Hause setze ich bei Router und anderer Netzwerkhardware auf Small Business Geräte, weil die sich besser, gerade mit solchen Spezialitäten konfigurieren lassen.

 

[0-8-15 User]

Ich würde gerne Geräte wie beispielsweise den Staubsaugerroboter etc. in ein eigenes Netz "sperren"

Wenn die Dinger alle via WLAN ans Internet angebunden sind, dann brauchst du ja eigentlich gar keine neue Hardware, sondern kannst sie einfach direkt ins Gast WLAN der FRITZ!Box packen und die Sache ist erledigt.

 

[Raijin]

Isoliert man den Staubsauboter im Gast-(W)LAN oder in einem separaten VLAN, muss man natürlich bedenken, dass man ihn nicht mehr über die App am Smartphone steuern kann, wenn dieses weiterhin mit dem Hauptnetzwerk verbunden ist. Im Falle des Gast-(W)LANs müsste man daher das Smartphone für die Bedienung ins Gast-WLAN verbinden und im Router muss explizit die Client-Isolation deaktiviert sein.

Einfach ein separater IP-Bereich für den Stauboter bringt überhaupt nichts. Zum einen bewegt er sich dann immer noch auf derselben Infrastruktur und zum anderen haben 08/15 Heimrouter wie Fritzboxxen nur eine einzige IP-Adresse und können daher gar kein Multi-Homing. Ergo hätte der Staubsauger dann auch keine Internetverbindung mehr, sofern er diese denn überhaupt benötigt. Aber auch in diesem Fall könnte man ihn nicht mehr via Smartphone steuern, wenn das Smartphone nicht ebenfalls eine IP aus dem Subnetz des Staubsaugers bekäme.

 

[hanse987]

Isoliert man den Staubsauboter im Gast-(W)LAN oder in einem separaten VLAN, muss man natürlich bedenken, dass man ihn nicht mehr über die App am Smartphone steuern kann, wenn dieses weiterhin mit dem Hauptnetzwerk verbunden ist.

Ich würde sagen kommt auf den Staubsaugerrobi an. Je nach Hersteller verbinden sich diese mit der Cloud des Herstellers und dann ist egal wo das Smartphone eingebucht ist. Ob die Cloud erstrebenswert ist, steht auf einem andern Blatt.

 

[Raijin]

Ja, das stimmt. Den Cloud-Part blende ich gedanklich immer aus, weil Clouds pöse sind. Danke für die Ergänzung

 

[F31v3l]

Clouds pöse sind.

Ich vermute eine Zuspitzung bei der du sicherlich nicht unrecht hast.
Die Geräte sind mit im intimsten Lebensbereich. Ob man Infos mit anderen teilen will, soll jeder für sich entscheiden. Eine Unterscheidung zwischen "guter" (Apple, Google = USA) und "böser" (China) Cloud ist eher ideologisch geprägt. Wenn die US-Regierung will, rücken auch dort die Unternehmen Daten raus.

Problem sehe ich eher, dass die Geräte ohne regelmäßige Updates und Patches eine erhebliche Sicherheitslücke darstellen. Darum ist die Idee Smart Home und das andere Gelumpe von seinem privaten Zeug zu trennen nachvollziehbar. Die Fritte kann das ja zum Glück zwei Netze.

 

[Raijin]

Das "pöse" war nicht allein auf "böse Clouds" im Sinne von Datenmissbrauch bezogen, sondern auch darauf, dass Clouds ein grundsätzliches Problem haben: Basiert ein Gerät konzeptionell auf einer Cloud, ist es unter Umständen ausschließlich mit Internetverbindung zu betreiben, vollkommen egal was das Gerät tut und ob es für seine eigentliche Funktion überhaupt Internet benötigt, ein rein lokaler Betrieb wäre somit nicht möglich.

Natürlich stellt sich bei einer Cloud grundsätzlich die Frage nach dem Datenschutz, aber wenn man das für sich akzeptiert hat, gibt es leider noch die Grundvoraussetzung, dass diese Cloud überhaupt noch existiert. Sollte zB der Hersteller in die Insolvenz gehen, geht früher oder später auch die Cloud down. Oder die Cloud bekommt ein Update für das neue Lineup und alte Geräte werden plötzlich nicht mehr unterstützt. In beiden Fällen ist das Gerät von heute auf morgen nicht mehr nutzbar.
Clouds als einschaltbare Zusatzfunktion (opt-in) finde ich super, weil so jeder selbst entscheiden kann ob er die Vorteile und Risiken von Clouds nutzen bzw. eingehen möchte. Sind sie essentieller Bestandteil des Geräts, bin ich eher skeptisch.

 

[Elderian]

Die erste Zeit wird der Staubsaugerroboter eh ohne Internet arbeiten müssen, der Telefonanschluss wird erst noch geschaltet.
Laut Eigenauskunft kommt der S7 ohne WLAN aus, bietet dann aber natürlich auch weniger Komfort-Funktionen... Das Isolieren des Geräts im Gast-WLAN samt Blocken des Internetzugangs wurde dann ja durch das Nutzen der App konterkariert...
Hm...

 

[norKoeri]

VLAN können aber nicht alle managed switches, oder?

Eigentlich schon. Aber nicht alle gleich gut verständlich … persönlich nutze ich nur Switche, die auch eine Port-basierte Zugangskontrolle bieten: 802.1X. Das wäre bei Zyxel die GS1920er-Serie, bei der dann die VLAN-Zuordnung aber wieder ganz anders aufgemacht ist. Aber, aber bei Deiner Beschreibung ist wirklich fraglich, ob Du überhaupt VLANs brauchst:

a) Staubsauger einfach weder ins Heimnetz noch ins Internet lassen.​

b) Falls Du den Staubsauger ins Heimnetz lassen möchtest, könntest Du ihm über die FRITZ!Box Kindersicherung das Internet entziehen.​

 

[hildefeuer]

Das gleiche gilt natürlich für Mähroboter, Heizungen usw. Die brauchen Internet. Das Smartphone muss nicht immer im gleichen Netz sein. Das mit der Kindersicherung geht nicht immer. Mit meinem Schleppach Robocut gehts nicht. Der braucht das Netz, damit die App funktioniert. Bei meiner Mitsui Wärmepumpe geht es auch nicht ohne Internet wg. App.
Gleiches Netz immer dann wenn ein Webinterface vorhanden ist. Dann wird keine Internet gebraucht. Wenn nur App ohne Webinterface, dann muss das Smartphone nicht im gleichen Netz sein, braucht aber Internet.
Bei Druckern geht das meistens, wenn man keine Cloud Anbindung hat, funktionieren die auch ohne Internet.

 

[Raijin]

Genau das ist ja die Schwierigkeit bei SmartHome im Allgemeinen. Netzwerke sind durch Broadcasts, Routing, NAT, Clouds, etc. so komplex, dass im Prinzip jedes SmartHome-System - sei es ein Mähroboter, ein Saugrobotoer, die smarten Rolläden, das smarte Licht oder dergleichen - anders gehandhabt werden muss. Deswegen ist es so schwierig, SmartHome pauschal zu isolieren. Baut man heute das Netzwerk so, dass man den Saugroboter problemlos ins Gastnetzwerk packen kann, geht das schon morgen mit den tollen WLAN-Lampen womöglich schon nicht mehr.

Smart Devices sind leider nicht immer so smart wie der Name impliziert :-/