Internet und Telefonie im Mehrfamilienhaus

uli-haas

Neuer User
Mitglied seit
18 Okt 2007
Beiträge
4
Punkte für Reaktionen
1
Punkte
3
Hallo Experten,
ich hab da mal eine Frage bezüglich der technischen Ausgestaltung unseres Wohnprojekts "Gemeinsam Wohnen im Alter":
Wir sind eine Baugemeinschaft von 18 Personen (12 Wohnungen in 2 verbundenen Häusern). im Herbst werden wir ins neue Haus einziehen.
Wir möchten für alle Wohnungen einen gemeinsamen Internetanschluss nutzen, momentan liegt schon Vodafone Kabel Internet im Keller (max. 1000 MBit), irgendwann 2024 kommt Glasfaser Deutschland.

Ich hab mir das folgendermaßen vorgestellt:
  • Der gemeinsame Router / Fritzbox (FB) mit den Zugangsdaten von Vodafone Kabel fürs gemeinsame Internet steht unten im Technikraum
  • von dort geht ein CAT7-Kabel zum Medienverteiler in jede Wohnung.
  • Im Medienverteiler befindet sich der private Router / FB und die Verteilung für die Netzwerkkabel in den Zimmern
  • der Eingang des privaten Routers muss natürlich auf WAN gestellt sein, da ja schon ein Netzwerksignal ankommt
  • wir werden wahrscheinlich einen Business Tarif von Vodafone wählen, damit es keinen Stress gibt wegen "Teilen des Internet-Anschlusses"
soweit ist mir eigentlich alles klar, nur bei der Telefonie gibts noch kleine Unklarheiten:
  • Am einfachsten ist es natürlich, ganz auf Festnetz-Telefonie zu verzichten.
  • Wer weiterhin Festnetz-Telefonie möchte, kann die alte Rufnummer zu einem Internet-Telefonie-Anbieter portieren (z.B. www.fonial.de oder Sipgate) und die Zugangsdaten dann in seinen persönlichen Router / FB eintragen. Abrechnung dann über diesen Anbieter
  • Anschluss der Telefonie-Hardware an die private FB
Das müsste doch so klappen, oder??
  • macht es Sinn, einen Vodafone-Tarif mit Telefonie zu wählen? Es hat ja sicher niemand Telefonie Hardware da unten im Technikraum angeschlossen...
Vielen Dank schon mal für die Hilfe!!
Uli
 
Bei Deiner reinen Netzwerkstruktur bekomme ich schon Bauchschmerzen:
Du musst(!) sicher stellen, dass keine Wohneinheit (WE) auf das Netzwerk anderer WE bzw deren Datenströme zugreifen kann. Alles andere ist fahrlässig und Du hältst deinen Kopf dafür hin!
Dafür benötigst Du zwingend eine entsprechende Hardware-Firewall mit entsprechenden Ports zu den einzelnen WE, einen korrekt parametrierten managed Switch... Du benötigst schon im Technikraum für jede WE ein von den anderen WE isoliertes Subnetz, also hier 12 Subnetze - das schafft keine Fritzbox, keine davon darf die Fritzbox managen können, dafür benötigst Du einen weiteren Zugang. Ein Bandbreitenmanagement muss auch vorhanden sein, um im Zweifelsfall die vorhandene Bandbreite gerecht aufzuteilen.
Gehe nicht vom einfachsten gemeinsamen / familiären Umgang mit den Daten der anderen aus, gehe vom worst case aus, alles andere bringt Dir nur unglaublichen Stress!
Ob Deine Telefonvorstellungen so klappen, kann ich pauschal nicht bestätigen:
Gerade hier macht die Struktur separate VoIP-Geräte (FB) hinter dem Router mit Anbindung zum externen VoIP-Server immer wieder Probleme, sodass ankommende Telefonate nicht immer zuverlässig funktionieren. Gerade, wenn die Bewohner selbst für deren Konfiguration verantwortlich sind, hast du da die nächste ewige Baustelle in Verbindung mit unzufriedenen Bewohnern
Ein Tarif mit Telefonie ist für unabhängige Parteien / WE nicht empfehlenswert, da es zwangsweise zu Abrechnungsproblemen kommen wird -> nächster vorprogrammierter Stress
 
Zuletzt bearbeitet:
Du musst(!) sicher stellen, dass keine Wohneinheit auf das Netzwerk anderer Wohneinheiten bzw deren Datenströme zugreifen kann.
Hat er:
  • Im Medienverteiler befindet sich der private Router / FB und die Verteilung für die Netzwerkkabel in den Zimmern
  • der Eingang des privaten Routers muss natürlich auf WAN gestellt sein, da ja schon ein Netzwerksignal ankommt
Sofern die FritzBox im Medienverteiler im Router Modus läuft (was ich aus dem Beitrag herauslese), ist das alles kein Problem.

Auch bei der Telefonie sehe ich keine Probleme, gerade in der Kombination Busieness Tarif, FritzBox als Hauptrouter, FritzBoxen in den einzelnen Wohneinheiten. Ggf. würde ich auf eine selbst gekaufte, freie FritzBox bestehen und keine vom Provider.

Es sollte aber jemand vor Ort bzw. greifbar sein, der das auch umsetzen kann.
 
Nö. da kommt das gemeinsame Subnetz der Fritz an und erst nach der dahinter geschalteten FB ist das private Subnetz.
Dieses erste SN darf aber garnicht im Zugriff der Wohneinheiten sein.
Selbst eine verschlossene FB pro Wohneinheit ist da nicht ausreichend, denn ich kann den WAN ja problemlos wieder als LAN in das gemeinsame SN eingliedern und schon bin ich im gemeinsamen SN und kann z.B. die anderen FB umkonfigurieren. Ich muss als Bewohner ja auch meine Telefonnummern und die Struktur (LAN- / Dect- / ISDN- / Analog-Fon, ABS Rufumleitung usw) verwalten können, ich administriere mein Box selbst
 
Und innerhalb dieses Subnetzes passiert was? Da liegen die FritzBoxen drin, auf die man nur aus dem jew. eigenen Netz Zugriff hat, auf die anderen nicht. Man kommt max. noch auf das Webinterface der Hauptbox.
 
Zum einen darf keiner aus einer WE auf die Konfig des zentralen Internetrouter zugreifen dürfen, zum anderen stelle ich meine FB auf Clientmode um, bin danach sofort im übergeordneten Subnetz und komme von dort auf den FB-WAN-Port aller anderen WE. Ist dort die Administration (aus welchen Gründen auch immer) nicht deaktiviert, dann kann ich dort rein. Und von der Fehlkonfiguration muss ich zwangsweise ausgehen, dass die privaten FB-Nutzer dort beim Einrichten auch Fehler machen - es sind halt alte Leute und keine IT-Profis, obwohl auch die immer wieder frappierende Lücken aufreißen. Das Internet ist voll von solchen Berichten...
Wenn ich den Startpost richtig gelesen habe, sind diese "Medienverteiler" auch in jeder Wohnung, damit habe ich automatisch Zugang zum übergeordneten SN. Immerhin stellen die dortigen FB ja auch DECT, WLAN, USB-Speicher usw den WE zur Verfügung. Die darf also nicht im Technikraum verschlossen sein sondern ist für die Bewohner zugänglich in den WE verbaut
 
[…] irgendwann 2024 kommt Glasfaser Deutschland.
Stelle in diesem Zusammenhang sicher (bspw. entspr. geeignete Kabelkanäle/Leerrohre einplanen), dass die Glasfaserleitung der DG in jede der 12 Wohneinheiten geführt wird/werden kann und dort entspr. ein Gf-TA montiert werden könnte. Selbst wenn dies (vorerst) nicht genutzt wird und nur ein zentraler Internetzugang realisiert werden soll.

Wer weiterhin Festnetz-Telefonie möchte, kann die alte Rufnummer zu einem Internet-Telefonie-Anbieter portieren (z.B. www.fonial.de oder Sipgate) und die Zugangsdaten dann in seinen persönlichen Router / FB eintragen. Abrechnung dann über diesen Anbieter
Ich hätte da zwar auch meine Bauchschmerzen aber wenn das so in Betracht gezogen wird sollte man in dem Zusammenhang auf VoIP-Anbieter achten die wirklich IPv6 unterstützen. BTW: Sipgate kann man mittlerweile wohl nicht mehr nennen, die wollen sich auf GK konzentrieren mit entspr. mtl. Grundpreisen, für solche Fälle dann (leider) unattraktiv geworden.
 
na ja, in besseren Hotels gibt es ja eine LAN-Buchse im Zimmer. Ich denke nicht dass dort jedes Zimmer ein eigenes VLAN hat.

Das LAN der gemeinsamen FritzBox dient als Transit-Netz zwischen den FritzBoxen. Dort sind nur die WAN-Interface der einzelnen Wohnungen.
Per Default ist die FritzBox über das WAN-Interface nicht erreichbar. Somit wäre diese Seite in Ordnung. Die Sicherheit wird hier über das NAT erreicht - NAT ist eigentlich kein Security-Feature - wird aber gerne dazu missbraucht.

Erreichbar ist über dieses Netz das in alle Wohnungen gezogen wird aber die LAN-Seite der gemeinsamen FritzBox.
D.h. dort kann jeder die Login-Seite sehen - ja, auch aus den Wohnungs-LAN.
Das gilt als unsicher - auch wenn keiner das Passwort hat.
Deshalb würde ich dort im Technik-Raum eine "richtige" Firewall einsetzen.

Was auch passieren kann: in einer Wohnung wird (versehentlich oder absichtlich) das Kabel statt in WAN in eine LAN-Buchse gesteckt.
Die Wohnung läuft dann im LAN der gemeinsamen FritzBox statt im eigenen LAN. Es sind dann zwei DHCP-Server aktiv - was wiederum andere Wohnungen stören kann wenn auf den WAN-Interfaces der ganzen Wohnungen mit DHCP gearbeitet wird.
Deshalb: Switch der DHCP-Snooping anbietet, Mit Port-Security auf den Switch-Ports definieren welche MAC-Adresse dort zugelassen wird.
Also im Technik-Raum: managebarer Switch (der dann auch gemanagt wird) und eine professionelle Firewall.

Wenn man dann schon in eine professionelle Firewall investiert könnte man sich natürlich schon Gedanken machen die 12 FritzBoxen einzusparen und stattdessen 12 VLANs einzurichten. In den Wohnungen müsste man dann nur einen Switch anhängen und evtl. noch einen Access-Point.
Zur Telefonie würde man dann IP-Telefone nutzen. Der SIP-Traffic hätte sicher nichts dagegen wenn er nicht durch ein doppeltes NAT muss.
So würde sich finanziell auch die Firewall leicht bezahlen lassen wenn alle die eingesparten FritzBox-Scheine zusammenlegen.
 
Zum einen darf keiner aus einer WE auf die Konfig des zentralen Internetrouter zugreifen dürfen
Alle ins LAN4 Gastnetz.
zum anderen stelle ich meine FB auf Clientmode um, bin danach sofort im übergeordneten Subnetz
Zu deinem eigenen Schaden. Die Anderen sind davon nicht betroffen.
Ist dort die Administration (aus welchen Gründen auch immer) nicht deaktiviert, dann kann ich dort rein.
Bis auf die Loginseite der FritzBox, richtig. Das Passwort dafür ist verschlossen hinter der Wohnungstür, im Medienverteiler (=Schrank) auf der Unterseite der FritzBox. Wer hat die Administration überhaupt aktiviert?
 
Per Default ist die FritzBox über das WAN-Interface nicht erreichbar. Somit wäre diese Seite in Ordnung. Die Sicherheit wird hier über das NAT erreicht - NAT ist eigentlich kein Security-Feature - wird aber gerne dazu missbraucht.
Grundsätzlich richtig. Die Sicherheit wird hier aber nicht über NAT erreicht denn IPv6 sollte man nicht vergessen. Zudem dann mit DG (bzgl. IPv4) nicht nur Doppel-NAT sondern gar 3-fach NAT vorhanden wäre (wegen CGN). Aber dazu ist ja IPv6 da…
 
stattdessen 12 VLANs einzurichten
Der nächste Punkt wäre dann Internet-Fernsehen, welches Probleme machen kann, Stichwort Magenta-TV und VLAN
Das Passwort dafür ist verschlossen hinter der Wohnungstür, im Medienverteiler
Du glaubst an das Gute im Menschen - sehr lobenswert. Das ist der Punkt, den ich mit "gemeinsamen / familiären Umgang" meinte.
Leider zeigt die Realität, dass man das nicht kann und darf. => Das ist fahrlässig:
Auch in der Gruppe der Rentner sind immer mehr "Hacker", deren Enkel wollen ja auch nur spielen oder Bewohner, die ihren Enkeln imponieren wollen.
 
Zuletzt bearbeitet:
Jetzt werden schon Probleme erfunden, die gar nicht gefragt wurden :p MagentaTV VLAN bei Vodafone Kabel soso ...
 
Der gemeinsame Router / Fritzbox (FB) mit den Zugangsdaten von Vodafone Kabel fürs gemeinsame Internet steht unten im Technikraum
Von Fritzbox würde ich hier ganz klar abraten. Die proprietäre Software auf diesen Boxen ist mit dem Teilen einer hohen Anzahl von Verbindungen sehr schnell überfordert. Das wird Enttäuschungen geben. Da würde ich eine Preiskategorie höher ins Router-Regal greifen, um 12 WE zuverlässig mit Internet zu versorgen.
 
...Probleme erfunden, die gar nicht gefragt wurden [...] MagentaTV VLAN bei Vodafone Kabel
Er frug um unsere Meinung und Tipps. die er beachten sollte. Ja, ich denke, auch diese und viele andere Dinge (die mir nicht spontan in den Sinn kommen) gehören heutzutage zum Umgang mit dem Internet dazu. Auch, wenn der TE diese erst einmal nicht bedachte. ;)
Letztendlich ging es mir bei dem Beispiel VLAN auch um ein vielleicht mal auftretendes Problem. Wer weiß, ob da nicht in 10 Jahren mal die Telekom den Internetzugang stellt oder DG eigene Dienste (wie z.B. die Medienverteilung) mit einem vorgegebenen VLAN anbietet. Dann ist die Anforderung auf einmal ganz anders. ;)
in besseren Hotels gibt es ja eine LAN-Buchse im Zimmer. Ich denke nicht dass dort jedes Zimmer ein eigenes VLAN hat.
Da richte ich mich auch nicht häuslich ein, max ein Notebook kommt da dran. Obwohl ich auch hier immer(!) den eigenen Hotspot vom Mobiltelefon bevorzuge.
[Edit]
Kleine Hotels/Gasthäuser bieten meist ja nur WLAN an und größere bessere Hotels haben eine ausgewachsene IT, über deren LAN ja auch oft der Fernseher läuft. Ob die da nicht mit getrennten VLANs arbeiten, bin ich mir nicht sicher. Immerhin sind sie dann ein Stück weit für daraus entstehende Probleme verantwortlich.
Einmal habe ich dort einen IP-Scan durchlaufen lassen und dort gab es da nur 3 Geräte. Mein Notebook, das Gateway und den Fernseher bei mir. Wie die einzelnen Zimmer von einander isoliert waren, habe ich jedoch nie geschaut.
 
Zuletzt bearbeitet:
ok Resümee:
alle Geräte auf denen die bekannten drei Buchstaben stehen wegdenken.
prof. Firewall und Switch in den Technikraum. 12 VLANs konfigurieren.
Management-Netz definieren mit entsprechender Zugriffseinschränkung.
Mit diesem Konzept lassen sich z.B. auch die Stromzähler problemlos an das LAN der jeweiligen Wohnung bringen.
Auch Geräte aus der Gebäudeinfrastruktur die Internetzugang benötigen lassen sich sauber von den Wohnungen abschotten.

Eine Investition in Wohnungsrouter würde nur Sinn machen wenn dann auch jede Wohnung ihre eigene public IP bekommen würde (für selbst konfigurierbaren Zugriff von aussen auf eigene Dienste).
Ohne das wäre es nur eine Routerkaskade mit einem privaten Netz am Wohnungs-WAN-Interface die mehr Probleme als Nutzen abwirft.
Auch in den Kosten passt die Relation zum Endergebnis einfach nicht.
 
alle Geräte auf denen die bekannten drei Buchstaben stehen wegdenken.
prof. Firewall und Switch in den Technikraum.
Ein Systemhaus liefert da eine maßgeschneiderte Lösung inkl. Hardware und Wartungsvertrag - der auf 12 Einheiten umgelegt in den Nebenkosten auch nicht groß aufscheint. Wird auf jeden Fall günstiger, als wenn alle ihren Einzelvertrag bei der DG machen.
 
Letztendlich ging es mir bei dem Beispiel VLAN auch um ein vielleicht mal auftretendes Problem. Wer weiß, ob da nicht in 10 Jahren mal die Telekom den Internetzugang stellt oder DG eigene Dienste (wie z.B. die Medienverteilung) mit einem vorgegebenen VLAN anbietet.
Was jedoch keine Hürde darstellen sollte. Zudem sich die Telekom bei IPTV von einem separaten VLAN auch wieder verabschiedet hat. Abgesehen davon sollte in einem solchen Fall sowieso nicht der IPTV-Zugang des Hauptanschlusses verwendet werden, es gibt ja auch "freie" IPTV Anbieter und selbst die Telekom bietet ihr IPTV mittlerweile für andere/beliebige Internetanschlüsse an:
https://www.telekom.de/magenta-tv/iptv
(Siehe dort unter "Unabhängig vom Internetanbieter")
 
TV wird doch wenn überhaupt über Koaxialkabel per DVB-C verteilt. Wenn es diese Koaxleitungen nicht gibt, gibt es halt nur das, was der Smart-TV sich halt selbst über einen Standardinternetzugang streamen kann.
 
Vielen Dank für die vielfältigen Antworten!
hier meine Anmerkungen:
  • TV steht absolut nicht zur Debatte, es gibt eine DVB-S Infrastruktur (Koaxialkabel)
  • dass jemand in der Wohnung den WAN-Port wieder umkonfiguriert, finde ich doch ziemlich weit hergeholt...
  • ich bevorzuge die Produkte von AVM, weil sie zuverlässig sind und leicht zu administrieren
  • aus diesem Grund habe ich dort auch mal angefragt und bin gespannt, was der Support dazu sagt
  • Glasfaser bis in die Wohnung finde ich doch etwas oversized, CAT 7 Kabel wird und muss reichen
 
  • Like
Reaktionen: chrsto
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.