Digitalisierungsbox und Telefonie bei 2 Familien

[neuber18]

Szeniario: In einem Mehrfamilienhaus wohnen 2 Familien (Verwandschaft). Zu jeder Wohnung läuft von einer im Keller montierten Digitalisierungsbox eine LAN-Verbindung und eine a/b-Schnittstelle sowie ein S0-Bus.

Für die Telefonie ist anfangs 2 SIP-Clients der Digitalisierungsbox (je 1 Client pro Amtsrufnummer) registriert und jeweils einer a/b-Schnittstelle zugeordnet.

Die Sache soll nun verfeinert werden und, weil jede Familie ihr eigenes LAN (nachgeschalteter Switch) betreibt, getrennt werden. Dazu ist vorgesehen, dass in jeder Wohnung ein a/b-VoIP-Telefonadapter (z.B. Grandstream HT814 angeschlossen wird, damit jeder seine Telefonie unabhängig vom anderen konfigurieren und betreiben kann.

Ist es möglich, die LAN-Ports (an der Digitalisierungsbox) komplett voneinander zu entkoppeln, ohne VLAN zu verwenden, aber dennoch den gleichen IP-Adressraum für Familie 1 und Familie 2 zu verwenden?

 

[Joe_57]

Was ist denn das für eine "Digitalisierungsbox" (Hersteller, Typ) und was wird denn da "digitalisiert"?
Bist du sicher dass von dieser Box 8 Drähte für LAN, 2 Drähte für a/b und 4 Drähte für ISDN in jede Wohnung laufen?

 

[neuber18]

Digitialisierungsbox Smart (Hersteller Bintec-Elmeg, Vertrieb Telekom)

Es ist alles so verdrahtet wie beschrieben.

 

[_tms]

Habe ich das richtig verstanden, dass die DigiBox die VoIP Konten nicht mehr verwalten soll?
In dem Fall brauchst Du doch eigentlich nur zwei LANs an der DigiBox einzurichten (entsprechende Sperre dazwischen) einrichten und die einzelnen LANs an die jeweiligen Wohnungen legen. Dort kann dann je ein Switch installiert werden, an dem VoIP-Adapter, Endgeräte, ggf. WLAN AccessPoint, usw. angeschlossen werden.
a/b und ISDN in die Wohnungen zu legen wird nur Sinn machen, wenn die Digibox die entsprechenden VoIP-Konten verwaltet, sie also im im PBX-Modus betrieben wird und die entsprechenden a/b und ISDN Schnittstellen konfiguriert werden.

Hinweis: Ich kenne nur die be.IP plus, gehe davon aus, dass die DigiBox sich in dieser Kofig gleich verhält.

 

[weißnix_]

Die be.ip / Digitalisierungsbox kann aber ebensogut als SIP-Registrar gegenüber dem internen Netz auftreten und so auch interne Telefonie incl. VMB bereitstellen.
Ist mE. deutlich flexibler.
So besteht die Möglichkeit die interen Telefonie analog, als S0 oder/und als VoIP zu betreiben. So würde ich das im geschilderten Fall aufbauen.
Warum für beide Netzwerke denn jetzt den gleichen Adressraum? Das gibt Konflikte wenn die Netze eigentlich getrennt sein sollen.
Die LAN-Ports lassen sich ohne VLAN voneinander unabhängig konfigurieren, also nicht als Bridge. VLAN ist hier nicht nötig, aber die Adressräume würden sich unterscheiden. Für das interne Routing (falls erforderlich) können ggf. Regeln eingerichtet werden. Ebenso für die Bandbreitenkontrolle (mE. nicht unwichtig in dieser Konfig).

Über QoS lässt sich einrichten, das jedem Netzwerk eine garantierte Minimalgeschwindigkeit zugeordnet wird und auch dem Telefon der nötige Vorrang eingräumt wird.

Zumindest bei der Digibox premium / be.ip plus lassen sich auch separate Benutzerzugänge zur GUI einrichten um den individuellen Zugang z.B. zur Voicemailbox sicherzustellen.

 

[neuber18]

Warum für beide Netzwerke denn jetzt den gleichen Adressraum? Das gibt Konflikte wenn die Netze eigentlich getrennt sein sollen.
Die LAN-Ports lassen sich ohne VLAN voneinander unabhängig konfigurieren, also nicht als Bridge. VLAN ist hier nicht nötig, aber die Adressräume würden sich unterscheiden. Für das interne Routing (falls erforderlich) können ggf. Regeln eingerichtet werden. Ebenso für die Bandbreitenkontrolle (mE. nicht unwichtig in dieser Konfig).

Die Familien besitzen derzeit ein und das selbe LAN, die Geräte eine statische IP-Adresse. Das Standard-Gateway ist fest eingestellt. DHCP ist nur für Smartphones verwendet.

So soll das auch bleiben, da IP-Adress-bezogene Regeln in der nächsten Aufbaustufe von einer zwischengeschalteten Firewall ausgewertet werden sollen.

Der Vorteil darin, dass gleiche IP-Adressräume verwendet werden liegt in der Einfachheit der (statischen) IP-Adresse-Einstellungen. Familie 1 kann den an LAN1 betriebenen "Smart-TV" mit dem entsprechenden Gerät von Familie 2 von LAN2 tauschen, ohne jegliche Einstellungen ändern zu müssen. Entsprechend geht das auch mit den PCs.

Die Problematik (unabhängig von der Telefonie), die gelöst werden soll ist also: isolierter Betrieb zweier LANs mit gleichem IP-Adressraum.

 

[neuber18]

Habe ich das richtig verstanden, dass die DigiBox die VoIP Konten nicht mehr verwalten soll?
I

Ja, das war mein Ansatzpunkt. Die 2 Nutzergruppen sollten unabhängig voneinander ihre LANs und Telefonie nutzen können. Vielleicht ist es auch gut, wenn die Konfiguration der im Keller installierte "Router-Hardware" gar nicht von LAN1 und LAN2 aus umkonfiguriert werden kann, sondern man dazu einen "Wartungszugang" über LAN5 schafft. Dann könnte man die Betreuung der Router auch später einmal extern vergeben ...

 

[weißnix_]

Die Problematik (unabhängig von der Telefonie), die gelöst werden soll ist also: isolierter Betrieb zweier LANs mit gleichem IP-Adressraum.

Geht nicht. Wie soll der Router korrekt Routen?
Hier wäre also der Aufbau zweier komplett getrennter Netze unter Austausch der vorgesehenen Switche gegen eigene Router pro Familie erforderlich. Inclusive aller damit verbundenen Probleme wie Double-NAT, verdreifachter Adminiistrationsaufwand usw.

Statische IP-Vergabe im Heimnetz auf Clientseite würde ich heute ebenfalls vermeiden. DHCP ist ein gutes Hilfsmittel den Adminaufwand gering zu halten und zu zentralisieren. Ein guter Router kann eine MAC statisch an eine IP binden. Damit werden dann wieder IP-basierte Regelketten möglich.
Die Digibox hat mE. übrigens eine ganz brauchbare Firewall. Warum also noch ein Gerät zwischenschalten?

 

[weißnix_]

[...] Familie 1 kann den an LAN1 betriebenen "Smart-TV" mit dem entsprechenden Gerät von Familie 2 von LAN2 tauschen, ohne jegliche Einstellungen ändern zu müssen. Entsprechend geht das auch mit den PCs.[...]

Fairerweise muss ich sagen: Für dieses Szenario fehlt mir die Phantasie...

 

[derfloh81]

Wenn Du später noch in eine zusätzliche Firewall investieren würdest, dann könntest Du stattdessen auch eine weitere Digitalisierungsbox anschaffen. Dann hättest Du je Familie eine Box, die unter Umständen auch jede Familie selbst administrieren kann. Eine Box stellt dann den zentralen Internetzugang her.

So könnten mit geschickter NAT-Konfiguration sogar beide Familien identische Adressbereiche nutzen, auch wenn ich das nicht empfehlen würde und auch eher zu einer DHCP-Lösung tendieren würde.

Die Frage ist ja, ob die Familien wirklich „spontan“ ihre Fernseher austauschen würden, wenn es zwingend verlangt ist, dass die Netze voneinander getrennt sind ;-)

 

[neuber18]

Wenn Du später noch in eine zusätzliche Firewall investieren würdest, dann könntest Du stattdessen auch eine weitere Digitalisierungsbox anschaffen. Dann hättest Du je Familie eine Box, die unter Umständen auch jede Familie selbst administrieren kann. Eine Box stellt dann den zentralen Internetzugang her.

Das ist prinzipiell eine Erwägung wert. Ob allerdings die Digitalisierungsbox portbasierte Regeln für bestimmte IP-Adressen, Adressbereiche, Adressgruppen für ein- und ausgehenden Datenverkehr bietet wie ich mir das vorstelle, muss noch erkundet werden. Es müsste alles über die Menüpunkte "Firewall \ Richtlinen" und "Netzwerk \ NAT-Konfiguration" in der Box realisiert werden können ...

Momentan wäre erstmal am Switch der Digitalisierungsbox der LAN1- und LAN2-Port so zu entkoppeln, dass Nutzer in LAN1 nicht Geräte von LAN2 sehen und umgekehrt. Da fehlt mir momentan der richtige Ansatz. Wie man gelesen hat, könne man nicht die gleichen IP-Adressbereiche in den beiden LANs verwendet. Das würde mich aber schon wundern, wenn man die LAN-Ports nicht (nur) entkoppeln könnte.

 

[weißnix_]

Du kannst die LAN-Ports vollständig entkoppeln. (Du kannst die Routing-Regel von Netz 1 zu Netz 2 und umgekehrt dann löschen oder/und per Firewall den Zugriff unterbinden.)
Entkoppeln heißt: getrennte Netzadressen. Die Hostadresse kann ja gleich sein (bsp. 192.168.1.100 und 192.168.2.100 im /24 er Netz).
Für den Adressbereich bleibt es aber ein Router, d.h. mit gleichen Adressen hat der Router im internen Netz zweimal Teilnehmer "A". Um eingehende Pakete korrekt zuordnen zu können muss der Router die Teilnehmer aber unterscheiden können ( Tln. "A" und "B").

IP- und dienstbasierte Regelsets verwaltet die Box problemlos, getrennt für IPv4 und IPv6. Das gaanze geht sehr fein granular. Adressgruppen lassen sich definieren. IPv6 ist deaktivierbar einzeln für LAN und WAN. Es ist also sogar möglich nur einen Teil der internen Netze mit v6 zu betreiben.
Sofern Du die Anschaffung einer weiteren Box in Erwägung ziehst rate ich zur "großen" Version (DB premium oder besser be.ip plus).

Da Du auch getrennte WLANs benötigst ist die Anschaffung eines WLC tauglichen AP-Systems zu überlegen. So würdest Du trotz getrennter Netze eine optimale Abdeckung erreichen.
Dabei bist Du nicht auf die unterstützeten bintec-AP's beschränkt.

 

[_tms]

Ich habe solche Szenarien schon oft umgesetzt.
Mit den bintec lässt sich sehr granular regeln, wer von welchem LAN auf welches (oder wohin) zugreifen kann.
Grundsätzlich wird erstmal die komplette Kommunikation zwischen den LANs geblockt. Anschließend erstellt man Regeln für die einzelnen Zugriffe, die dann vor den "Block"-Regeln platziert werden.
Für einen Freund habe ich bei mir z.B. auch einen VPN Zugang eingerichtet. Er darf aber nur auf die NAS und nur per ftp zugreifen. Alles andere wird geblockt.
In wie weit diese Konfigmöglichkeiten auch auf den Digiboxen möglich sind, kann ich nicht sagen. Ich verwende aus Prinzip nur die "echten" Binteg-Router.
Wenn bei der Digibox aber die Menüpunkte "Firewall" und darunter "Richtlinien", "Schnittstellen"; "Adressen", "Dienste" sowie "Netzwerk" und darunter "Zugriffsregeln" existieren, dann sollte es auch damit möglich sein.