Sinnvolle Trennung des Netzwerks

Wir haben ein ähnliches Setup. Und nur weil du via seperaten Accesspoint / Repeatern ein separates (IoT)-WLAN aufspannst, muss das ja nicht zwangsweise bedeuten, dass es sich dabei um einen separaten IP-Adressbereich handelt. Bei uns laufen beispielsweise die Netatmo Außenkameras sowie alle Shellys (sowie alle anderen „stationären“ Geräte in einem separaten WLAN (also andere SSID und nur 2,4GHz), die mit einem seperaten Accesspoint mit dem Router verbunden sind. Da der Router für die Festlegung des IP-Bereichs sorgt, hängen die jeweiligen Geräte im gleichen IP-Adressbereich. Funktioniert mit prima.

Den Vorteil sehe ich darin, dass das normale (von den mobilen Geräten benutze WLAN) auf Mesh-Funktionalitäten ausgerichtet werden kann und so „stabiler“ läuft. Bei uns war es in der Vergangenheit auch so (als die IoT-Devices ebenfalls noch im gleichen WLAN waren), dass ich off Verbindungsprobleme hatte. Das gehört in den getrennten Szenario bei uns der Vergangenheit an.

WillyWurst eine interessante Lösung hast du da

Wie kann ich das auch mit LAN-Devices machen, z.B. 2 RPi‘s, 2 iMac’s und Laserdrucker, verschiedene LAN-Bridges (Tradfri, MiLight ESP8266, ConnAir ....)? Kennst du da eine Lösung?

Ich habe momentan alles in einem Netzwerk (nur ein IP-Adressbereich 192.168.2.0 - 255) laufen mit 2 LTE Router als getrennte Gateways ins iNet (DHCP und DNS über Pi-hole am RPi per LAN). Natürlich auch eine ATV4k als Zentrale (WLAN) für Homekit.

Es sind dann noch ca. 5 iOS Geräte per WLAN und verschiedene andere Devices (Plugs, Staubsauger, Waschmaschine, Luftbefeuchter, Nuki, 3 Alexas, TV‘s uvm.) im Netzwerk unterwegs.

Außerdem streame ich das SAT-Signal per SAT>IP (LAN) in dieses Netz (für iOS-Devices, iMacs, AppleTV) und es läuft ja auch der LiveStream der 6 IP-Cams (WLAN, da keine LAN-Kabel möglich) da rein.

Ist also eine Menge los bei mir . Es tummeln sich da schon mal 45-50 Geräte im Netz (LAN und WLAN). Läuft zwar noch recht stabil, aber eine sinnvolle Trennung unter Beibehaltung aller Funktionalitäten wäre super.

Ach so... für WLAN (AP-AC LR) und LAN (Switch verwende ich Geräte von UniFi. WLAN wird nur über den AP gesendet (an den Routern deaktiviert). Teilweise wird das LAN auch per PowerLAN betrieben.

Für eine „Trennungs“-Lösung bin ich also absolut offen und für jeden Tipp dankbar.

Bin jetzt aber nicht der Netzwerkprofi. Habe mich da eher so reingearbeitet und verstehe zwar einiges aber sehr vieles nicht, zB. das Thema VLAN...

Zitat von mono

Ich verstehe das so, dass nur der Zugang zum selben IP Netz ein Anderer ist. Du hast also eine SSID für Clients und eine SSID für IoT-Geräte. Über beide SSID bekommen Geräte IP-Adressen aus dem selben IP-Netzwerk/V-LAN.

Jawoll.

Zitat von mono

Damit könnte ich auch den W-LANs andere Zeiten geben. IoT - 24h mit 2,4GHz und Clients von beispielsweise 5:00 bis 23:00Uhr mit 5 und 2,4 GHz. Apples Features blieben erhalten.

Genau.

Zitat von mono

Als Nachteil sehe ich für mich, dass ich das W-LAN Nachts gern komplett abschalte. Könnte ich zwar immer noch einrichten, aber für IoT-Geräte eher ungünstig. Wobei es jetzt auch funktioniert.

Das könntest du ja trotzdem machen. Insbesondere, wenn du das jetzt auch schon machst. Da machen die getrennten Netze ja keinen Unterschied. Wenn du das WLAN für die IoT-Sachen ausschaltest, kannst du diese Nachts halt nicht steuern und Automationen laufen ins "leere". Aber grundsätzlich sollte das unproblematisch sein.

Zitat von mono

Ich habe konkret folgende zusätzliche Bridges: Hue, Velux und Bosch. Diese müssten ja nur mit der Homekit Zentrale ( Apple TV oder wechseln Homepods) und mit dem Internet kommunizieren. Gibt es Mechanismen, mit denen man das genau so einschränken kann?

Ich habe hier nur hue im Einsatz und ich würde denken, dass die Bridge auch funktioniert, wenn diese keine Internetverbindung hat. Wie das mit Velux und Bosch aussieht, kann ich nicht sagen.

Ich habe mal irgendwo gelesen, dass die HomeKit-zertifizierten Router genau diese Steuerung (Internet ja/nein oder nur Loka. etc.) ermögliche sollen. Hier gab es zu Jahresbeginn mal einen schönen Artikel dazu (https://smartapfel.de/homekit-router/).

Hallo z-smoker uiuiui, da "tummeln" sich ja in der Tat eine Menge Geräte.

das von mir beschriebene Setup löst ja auch "nur" das Problem der WLAN-Verbindung von unseren stationären Geräten. Ich habe das gemacht, weil das Setup für das Mesh zwar super für unsere mobilen Geräten funktionierte aber auch irgendwie immer dazu geführt hat, dass die "stationären" Geräte immer mal wieder an irgendeinem Accesspoint hingen, der so weit weg war, dass die Datenrate miserabel war und deshalb die Geräte schlecht erreichbar waren. Ich habe damit also nach wie vor - genau wie in deinem Setup - das Problem, dass der Stream der Cams, die ich habe, durch das ganze Netzwerk geht. Genauso wie TV etc. (hab ich auch).

Ich bin auch kein ausgewiesener Netzwerkspezialist aber VLANs sind da meiner Ansicht nach - wie du auch schreibst - das Mittel der Wahl, um das Netzwerk "aufzuteilen" und ein wenig zu optimieren, um bspw. zu verhindern das Broadcast-Pakete durch das gesamte Netzwerk "geschubst" werden. Mit den Unify-Teilen müsste das doch einzurichten sein, oder? Ich habe die selbst nicht und kann daher dazu nicht viel beitragen. Die Konfiguration der VLANs ist halt schon ein wenig komplex, da man entweder portbasiert oder inhaltsbasiert mit statischer oder dynamischer Zuordnung routen kann .. naja, wie man erkennt, habe ich keine Ahnung und habe mich an das Thema auch noch nicht herangetraut. Im Moment läuft es ja auch noch ..

Vielleicht kannst du dich dem Thema ja stückweise nähern, indem du zunächst mit der "WLAN-Welt" anfängst und dort nach "IoT" und mobilen Geräten trennst. Und dich dann mit der "LAN-Welt" und VLANs auseinandersetzen.

Zitat von mono

Wie teilt ihr eure Netzwerke?

Da die FritzBox leider keine echte DMZ bietet und AVM nach eigenem Verlauten auch nicht im Entferntesten daran denkt, ihren "Konsjumer-Produkten" eine solche angedeihen zu lassen, habe ich zwei Fritten kaskadiert. Eine Anleitung dazu findet sich hier bei Heisens.

In der DMZ darf sich nun alles tummeln, was sich mit dem Buzzword "smart" als Spielerei zu erkennen gibt. Die IoT-, tvOS- und iOS-Gerätschaft hat somit ihre gemeinsame Gummizelle (wobei Raspi, iOS und tvOS sogar Ausgangserlaubnis haben, der Rest nicht).

Die OSX-Produktivsysteme, Drucker und Fileserver hängen per LAN an der inneren FritzBox im "save harbour". Da ich die Hütte strukturiert verkabelt habe, kann ich jenseits der DMZ auf WLAN gut verzichten. Von der sicheren Fritte komme ich zwar in die DMZ, nicht aber umgekehrt. Kann also vom MacBook per SSH auf den HB-Raspi zugreifen, die iOS-Geräte aber nicht drahtlos mit der OSX-Welt syncen. Das ist der einzige Nachteil, den ich aber in Kauf nehme. Dafür sind die Welten sauber getrennt:

Das Gäste-WLAN für Besucher

Die DMZ für die Spielerei

Eine "MZ" für den Ernst des Lebens

Hier auch, obwohl ursprünglich lediglich dazu gedacht, schnell mal vom an Wochenenden überlasteten 2,4er aufs 5er wechseln zu können. Und - surprise, surprise - die zickige Alexa läuft prima über die 2. SSID und arbeitet brav mit der anderen zusammen.