EFH inkl. Smart Home

Hallo an alle!

Wie ich in meiner Vorstellung kurz angesprochen hatte, befinde ich mich aktuell in der Planungsphase für ein Einfamilienhaus. Nach aktuellem Planungsstand wird ebenfalls ein Smart-Home System von Loxone realisiert. In diesem Sinne beschäftige ich mich auch mit der internen Vernetzung und vor allem auch mit der Absicherung.

Meine Ausgangssituation ist, dass ich ein WLAN-Netz über 3 Stockwerke aufspannen möchte, sowie die einzelnen Räume mit festen Netzwerkanschlüssen ansteuern möchte. Soweit auch erst mal keine allzu große Aufgabe. Weiter sollte das Smart Home ja ebenfalls angesteuert werden können ... und da fangen meine Schwierigkeiten schon an.

Leider sind ja viele unserer modernen Haushaltshelfer und Komfortelektronik doch teilweise recht geschwätzig, sodass ich diese gerne zum einen von den sensiblen Bereichen trennen möchte und zum anderen so dumm wie irgendwie möglich halten will.

Der Grundgedanke wäre dabei, verschiedene VLANs anzulegen, wie z.B. Main / Guest / IoT / Smart Home usw.

Bis zu diesem Step komme ich soweit auch mit und es gibt ja mittlerweile einige Anleitungen dazu im Netz und auch auf Youtube.

Nun zu meiner hauptsächlichen Frage: Wie kann ich die Kommunikation zwischen den VLANs am Besten/sinnvollsten/sichersten lösen?

So möchte ich zwar, dass meine IoT Geräte zwar möglichst dumm und einsam in ihrem VLAN rumdümpeln, aber dennoch soll ja der Staubsaugerrobert irgendwie mitbekommen, dass er losmarschieren soll oder der AV-Receiver, sowie Fernseher meinen Airplay-Stream empfangen.

Auch würde ich gerne den Komfort genießen, bei Bedarf Funktionen des Smart Home auch vom normalen Smartphone zu bedienen - oder auch da bietet Loxone wohl seit Anfang des Jahres Airplay.

Eventuell soll das Smart Home auch per VPN von außen erreichbar sein oder die Möglichkeit bestehen sich mal auf eine Kamera zu schalten etc.

Ein NAS in Form einer Synology Diskstation soll ebenfalls eingebunden werden.

Mir ist absolut bewusst, dass meine genannten Wünsche auch immer etwas im Gegensatz zum Sicherheitswunsch stehen. Daher hoffe ich auch auf euren Input, was wie möglich ist und was man vielleicht besser bleiben lässt, sowie die dafür benötigte Hardware.

Von der Grundidee dachte ich hardwareseitig an:

- UDM Pro

- USW 24 (Pro) Gen2 mit PoE

- eventuell noch ein kleines Switch zur Unterverteilung im Wohnzimmer-Rack, da ich sonst zu viele Kabel an diese Stelle ziehen müsste

- pro Stockwerk einen AP - entweder nanoHD oder AP 6 Lite (wobei da bis Baubeginn eh noch Änderungen kommen können)

Beim Switch stellen sich mir schon die ersten Fragen: Wenn ich es richtig gelesen habe, benötige ich Layer-3, um zwischen VLANs kommunizieren zu können (korrigiert mich gerne), sodass eigentlich nur die Pro-Varianten in Frage kommen, oder?

Wie könnte ich weiter verhindern, dass mir jemand durch Manipulation der Türklingel (IP-Anschluss mit PoE angedacht) das Switch zerschiessen bzw. mein Netzwerk lahmlegen kann?

Hoffe ich habe jetzt nichts vergessen

Viele Grüße

Erst mal lieben Dank für die Mühe, sich meinen Beitrag anzutun

Was mir noch nicht ganz klar ist, wie die Vermittlung zwischen den einzelnen VLANs konkret aussieht. Ich steig bei dieser Layer-2 und Layer-3 Geschichte auch nach diversen Videos und Internetseiten nicht durch - liegt vielleicht daran, dass dieser Bereich schon spezieller wird, als das was der normale Heimanwender so braucht und ich auch bisher keine Möglichkeit habe, mich mit der Software/Hardware selbst zu beschäftigen.

Um meine Fragestellung mal an einem konkreten Beispiel festzumachen:

Ich möchte Musik vom Smartphone oder Macbook auf dem AV-Receiver abspielen.

Sowohl Smartphone, als auch Macbook würden sich im VLAN "Main" befinden. Der AV-Receiver z.B. im VLAN "Media". Diese verhalten sich ja im Prinzip jeweils wie physisch getrennte Netzwerke - sehen sich also vm Grundprinzip nicht.

Ist es denn möglich, dass meine Devices den Receiver sehen und ansteuern können, der Receiver jedoch ohne Ansteuerung erst mal "niemanden" sieht? Weiter im Szenario müsste er ja, sofern er angesprochen wird, antworten können und einen stream aufbauen.

Ist das überhaupt so umsetzbar oder befinde ich mich da auf dem Holzweg?

Kann die UDM Pro in diesem Szenario zwischen den VLANs vermitteln oder benötige ich dafür noch zusätzliche Hardware?

Danke für eure Geduld mit mir

Zitat von fred05

für den Außenbereich IP Station wie MOBOTIX etc

https://www.lanline.de/netzkom…n-aussenbereich.9846.html

Danke für den Tipp - leider wohl eine recht kostspielige Variante (470€ auf der Seite von baudisch). Da gilt es dann abzuwägen, ob es einem das in einem Privathaushalt wert ist.

Zitat von fred05

Gerne doch was soll es denn werden für ein Smarthome etwas HUE oder KNX

Finde es ist Sicherheit bei KNX kein Kompromiss eingehen, kauft man sich nicht alle Tage dann.

Ich hab die Info in meinem Anfangspost zwischen viel Text gut versteckt: es soll ein "richtiges" Smart Home mit Loxone werden.

Ich frage mich, was passieren könnte. Killt es mir im Zweifelsfall nur das Switch (Attacke mit einem Elektroschocker), ist das super ärgerlich, aber verschmerzbar. Da muss ich dann keine 470€ ausgeben, um ein Switch im Wert von 400€ (non-Pro) bis 700€ (Pro) abzusichern.

Anders sieht es aus, wenn auch alle weiteren ans Switch angeschlossenen Geräte hops gehen könnten.

Vielleicht sehe ich es falsch, aber was macht das Teil so teuer? Eine galvanische Trennung durch z.B. Glasfaser kann es eigentlich nicht sein.

So oder so ist die Sicherheit der Eingangstür nicht gefährdet, da die Öffnung an anderer Stelle stattfindet.

Kurzer Nachtrag noch zur Sache:

Bin gerade auf das hier gestoßen https://www.reichelt.de/de/de/…YbEpv6BoCH4IQAvD_BwE&&r=1

Sofern man dann noch einen PoE-Injektor dahinter hängt, sollte das Thema auch durch sein.

Zitat von Samhain

Von welchem Szenario gehst Du dabei aus?

Warum sollte das jemand machen?

Naja, ein Stück weit sind das ja immer konstruierte Szenarien.

Viele nutzen ja als Nebeneffekt auch Funktionen des Smart Homes als einfache "Alarmanlage". So kann man ja durchaus Bewegungs- und Präsenzmelder bei Abwesenheit dazu nutzen, um den Innenraum zu überwachen. Es ist absolut unstrittig, dass das keine richtige Alarmanlage ersetzen kann (da gelten einfach andere Standards).

Weiter hängen ja auch die meisten Überwachungskameras im Netzwerk.

Daher denke ich schon, dass man sich darüber zumindest mal Gedanken machen sollte.

Zitat von Samhain

Ist umsetzbar. Die UDM pro vermittelt zw. den VLANs via Firewall.

Na das klingt doch schon mal sehr gut.