Solved

Speedport Smart 3 mit 2 LAN-IP-Netzen betreiben

9 months ago

Hallo,

ich habe mein privates LAN mit allen Geräten an einem Speedport Smart 3 angeschlossen. Nun habe ich schon länger einen digitalen Stromzähler mit einem Smart-Meter, der in einem anderen IP-Netz liegt. Diesen möchte ich ebenfalls an dem Speedport Smart 3 per Netzkabel anschließen und ein Routing einrichten. Den Traffic möchte ich aber zusätzlich über eine Firewall so absichern, dass nur aus meinem Home-LAN über bestimmte Ports auf den Smart-Meter mit dem Tool TRuDI (https://www.ovag-netz.de/stromzaehler/visualisierung/trudi.html) zugegriffen werden kann.

 

Kann ich das mit dem Speedport Smart 3 realisieren und wenn nein, was können Sie mir für ein günstiges Gerät empfehlen?

 

Beste Grüße und vielen Dank im Voraus

Andreas Paulat

 

588

0

19

  • Accepted Solution

    accepted by

    9 months ago

    Grundsätzlich sind alle Geräte im LAN des Speedports nur aus dem LAN erreichbar. Will man ein Gerät aus dem Internet erreichbar machen, muss man explizite Portweiterleitungen einrichten.

     

    Einen zweiten lokalen IP-Adressbereich kann der Speedport aber nicht verwalten, dazu brauchst du einen ganz anderen Router oder einen zweiten Router, der mit dem Speedport einen Routerkaskade bildet.

    8

    Answer

    from

    9 months ago

    Andreas Paulat

    Der Smart-Meter hat aber die IP-Adresse 192.168.10.2

    Der Smart-Meter hat aber die IP-Adresse 192.168.10.2
    Andreas Paulat
    Der Smart-Meter hat aber die IP-Adresse 192.168.10.2

    Lässt die sich nicht ändern?

     

    Andreas Paulat

    Da das Auslesen der Verbräuche über ein sogenanntes PowerWAN-Ethernet-Interfaces durchgeführt wird, also der Netzbetreiber auf den Smart-Meter über dieses Interface zugreift, möchte ich es verhindern, das über das HAN-Ethernet-Interface auf mein Home-LAN zugegriffen werden kann. Deswegen die Firewall dazwischen, in der ich nur die ausgehenden Ports aus Sicht meines Home-LANs auf den Smart-Meter zulassen möchte, die ich dafür benötige und keinerlei eingehenden Traffic.

     

    Da das Auslesen der Verbräuche über ein sogenanntes PowerWAN-Ethernet-Interfaces durchgeführt wird, also der Netzbetreiber auf den Smart-Meter über dieses Interface zugreift, möchte ich es verhindern, das über das HAN-Ethernet-Interface auf mein Home-LAN zugegriffen werden kann. Deswegen die Firewall dazwischen, in der ich nur die ausgehenden Ports aus Sicht meines Home-LANs auf den Smart-Meter zulassen möchte, die ich dafür benötige und keinerlei eingehenden Traffic.

    Andreas Paulat

     

    Da das Auslesen der Verbräuche über ein sogenanntes PowerWAN-Ethernet-Interfaces durchgeführt wird, also der Netzbetreiber auf den Smart-Meter über dieses Interface zugreift, möchte ich es verhindern, das über das HAN-Ethernet-Interface auf mein Home-LAN zugegriffen werden kann. Deswegen die Firewall dazwischen, in der ich nur die ausgehenden Ports aus Sicht meines Home-LANs auf den Smart-Meter zulassen möchte, die ich dafür benötige und keinerlei eingehenden Traffic.


    Das wäre mit dem Anschluss des Stromzählers an den Gastzugang einer Fritz!Box möglich, die Fritz!Box route den das Gast-LAN nur ins Internet aber nicht in Richtung des regulären LAN. Allerdings vewendet die Fritz!Box für das Hauptnetz und das Gastnetz Adressen aus dem gleichen IP-Bereich, deshalb oben die Frage ob sich die IP-Adresse des Stromzählers ändern lässt.

     

    Falls nicht könntest du natürlich auch einfach den ganzes LAN in den IP-Adressbereich 192.168.10/24 verlegen. Für die Sicherheit es jedenfalls nicht notwendig, dass der Stromzähler eine IP-Adresse aus einem anderen Adressbereich als das restliche Netzwerk erhält.

     

    Andreas Paulat

    Eigentlich suche ich nach einem Layer3-Switch, der VLAN auf Port-Basis unterstützt, und ferner ein Routing zwischen den VLAN's ermöglicht, die aber über Firewall-Regeln eingeschränkt werden können.

    Eigentlich suche ich nach einem Layer3-Switch, der VLAN auf Port-Basis unterstützt, und ferner ein Routing zwischen den VLAN's ermöglicht, die aber über Firewall-Regeln eingeschränkt werden können.
    Andreas Paulat
    Eigentlich suche ich nach einem Layer3-Switch, der VLAN auf Port-Basis unterstützt, und ferner ein Routing zwischen den VLAN's ermöglicht, die aber über Firewall-Regeln eingeschränkt werden können.

    Was soll das nützen? Wenn Du den Switch an einen Router ohne VLAN-Support anschließt können am Ende über den Switch im Router doch wieder alle Geräte miteinander kommunizieren. Du bräuchtest also sowieso einen neuen Router mit VLAN-Support. Und wenn Du den sowieso brauchst, kannst du den Stromzähler auch direkt dort anschließen und die Netze im Router trennen. Oder gibt es noch weiter Nebenbedingungen, die Du bisher nicht erwähnt hast?

    0

    Answer

    from

    9 months ago

    Nein, die IP-Adresse des Smart-Meters lässt sich nicht so einfach ändern. Dazu müsste SH-Netz wieder einen Techniker beauftragen, der das dann u.U. ändern könnte. Ferner macht es auch keinen Sinn, wenn der Smart-Meter in meinem Home-LAN-IP-Adressbereich wäre, da dann keine Firewall dazwischen geschaltet werden kann. Ich möchte ja mein Home-LAN gegebnüber dem Smart-Meter schüten.

     

    Unterschiedliche IP-Netze können ohne Routing nicht miteinander kommunizieren, auch nicht über VLAN-Grenzen hinweg.

     

    Ein VLAN ist ein virtuelles LAN auf einem Switch, das nur die Geräte sieht, die sich im gleichen LAN befinden. Es ist so, als würde man mehrere Switche haben, die nicht verbunden sind. Deshalb muss man zwischen den VLAN's routen und die Firwall ist dafür da, dass die LAN-Geräte nur über TCP/IP-Ports kommunizieren, die in der Firewall erlaubt sind.

     

    Ein Router hat in der Regel für jedes Interface eine separate Gateway-IP-Adresse und mit dem richtigen Routing, kann man die Verbidnung unterschiedlicher IP-Netze in das jeweilige andere Netz routen. Wenn sich alle Geräte in dem gleichen IP-Netz befinden braucht man keinen Router und eine Firewall nützt einem dann auch nicht.

    0

    Answer

    from

    9 months ago

    Andreas Paulat

    Nein, die IP-Adresse des Smart-Meters lässt sich nicht so einfach ändern. Dazu müsste SH-Netz wieder einen Techniker beauftragen, der das dann u.U. ändern könnte. Ferner macht es auch keinen Sinn, wenn der Smart-Meter in meinem Home-LAN-IP-Adressbereich wäre, da dann keine Firewall dazwischen geschaltet werden kann. Ich möchte ja mein Home-LAN gegebnüber dem Smart-Meter schüten.

    Nein, die IP-Adresse des Smart-Meters lässt sich nicht so einfach ändern. Dazu müsste SH-Netz wieder einen Techniker beauftragen, der das dann u.U. ändern könnte. Ferner macht es auch keinen Sinn, wenn der Smart-Meter in meinem Home-LAN-IP-Adressbereich wäre, da dann keine Firewall dazwischen geschaltet werden kann. Ich möchte ja mein Home-LAN gegebnüber dem Smart-Meter schüten.
    Andreas Paulat
    Nein, die IP-Adresse des Smart-Meters lässt sich nicht so einfach ändern. Dazu müsste SH-Netz wieder einen Techniker beauftragen, der das dann u.U. ändern könnte. Ferner macht es auch keinen Sinn, wenn der Smart-Meter in meinem Home-LAN-IP-Adressbereich wäre, da dann keine Firewall dazwischen geschaltet werden kann. Ich möchte ja mein Home-LAN gegebnüber dem Smart-Meter schüten.

    Wie gesagt, dafür brauchst du keine Firewall sondern einen ganz einfachen Heimrouter der ein Gast-LAN zur Verfügung stellt.

     

    Andreas Paulat

    Ein VLAN ist ein virtuelles LAN auf einem Switch, das nur die Geräte sieht, die sich im gleichen LAN befinden. Es ist so, als würde man mehrere Switche haben, die nicht verbunden sind. Deshalb muss man zwischen den VLAN's routen und die Firwall ist dafür da, dass die LAN-Geräte nur über TCP/IP-Ports kommunizieren, die in der Firewall erlaubt sind.

     

    Ein VLAN ist ein virtuelles LAN auf einem Switch, das nur die Geräte sieht, die sich im gleichen LAN befinden. Es ist so, als würde man mehrere Switche haben, die nicht verbunden sind. Deshalb muss man zwischen den VLAN's routen und die Firwall ist dafür da, dass die LAN-Geräte nur über TCP/IP-Ports kommunizieren, die in der Firewall erlaubt sind.

    Andreas Paulat

     

    Ein VLAN ist ein virtuelles LAN auf einem Switch, das nur die Geräte sieht, die sich im gleichen LAN befinden. Es ist so, als würde man mehrere Switche haben, die nicht verbunden sind. Deshalb muss man zwischen den VLAN's routen und die Firwall ist dafür da, dass die LAN-Geräte nur über TCP/IP-Ports kommunizieren, die in der Firewall erlaubt sind.


    Kannst Du alles machen. Aber weißt Du, was auch nicht ohne Routing miteinander kommunizieren kann: Physisch getrennte Geräte. Warum willst Du VLAN-Switche einsetzen, wenn Du den Stromzähler auch einfach über ein eigenes Netzwerkkabel zum Router führen kannst?

     

    Andreas Paulat

    in Router hat in der Regel für jedes Interface eine separate Gateway-IP-Adresse und mit dem richtigen Routing, kann man die Verbidnung unterschiedlicher IP-Netze in das jeweilige andere Netz routen. Wenn sich alle Geräte in dem gleichen IP-Netz befinden braucht man keinen Router und eine Firewall nützt einem dann auch nicht.

    in Router hat in der Regel für jedes Interface eine separate Gateway-IP-Adresse und mit dem richtigen Routing, kann man die Verbidnung unterschiedlicher IP-Netze in das jeweilige andere Netz routen. Wenn sich alle Geräte in dem gleichen IP-Netz befinden braucht man keinen Router und eine Firewall nützt einem dann auch nicht.
    Andreas Paulat
    in Router hat in der Regel für jedes Interface eine separate Gateway-IP-Adresse und mit dem richtigen Routing, kann man die Verbidnung unterschiedlicher IP-Netze in das jeweilige andere Netz routen. Wenn sich alle Geräte in dem gleichen IP-Netz befinden braucht man keinen Router und eine Firewall nützt einem dann auch nicht.

    Gerade nochmal geguckt, die Fritz!Box nutzt natürlich doch einen eigenen IP-Adressbereich für die Gastgeräte, und der kann auch nicht geändert werden sondern liegt fest bei 192.168.179/24, das ist also tatsächlich nichts für Dich.

     

    Warum Du unbedingt was mit VLANs machen willst erschließt sich mir nicht. In einer Dream Machine kannst Du auf zwei Netzwerkanschlüssen zwei Netzwerke definieren die beide ins Internet aber nicht zueinanander geroutet werden.  An den einen Anschluss schließst Du dann den Stromzähler an, an den anderen den Switch für Dein LAN. VLAN ergibt höchstens Sinn wenn der Stromzähler über ein gemeinsamens Netzwerkkabel mit Geräten aus dem Heimnetz laufen muss, z.B. weil zu wenige Netzwerkkabel vom Keller in Richung Router führen.

    0

    Unlogged in user

    Answer

    from

Popular tags last 7 days

Cookies and similar technologies

We use cookies and similar technologies (including ) on our website to save, read out and process information on your device. In doing so, we enhance your experience, analyze site traffic, and show you content and ads that interest you. User profiles are created across websites and devices for this purpose. Our partners use these technologies as well.


By selecting “Only Required”, you only accept cookies that make our website function properly. “Accept All” means that you allow access to information on your device and the use of all cookies for analytics and marketing purposes by Telekom Deutschland GmbH and our partners. Your data might then be transferred to countries outside the European Union where we cannot ensure the same level of data protection as in the EU (see Art. 49 (1) a GDPR). Under “Settings”, you can specify everything in detail and change your consent at any time.


Find more information in the Privacy Policy and Partner List.


Use of Utiq technology powered by your telecom operator


We, Telekom Deutschland GmbH, use the Utiq technology for digital marketing or analytics (as described on this consent notice) based on your browsing activity across our websites (only if you are using a supported internet connection provided by a participating telecom operator and consent on each website).

The Utiq technology is privacy centric to give you choice and control.

It uses an identifier created by your telecom operator based on your IP address and a telecom reference such as your telecom account (e.g., mobile number).

The identifier is assigned to the internet connection, so anyone connecting their device and consenting to the Utiq technology will receive the same identifier. Typically:

  • on a broadband connection (e.g., Wi-Fi), the marketing or analytics will be performed based on the browsing activities of consenting household members’.
  • on mobile data, the marketing will be more personalised, as it will be based on the browsing of the individual mobile user only.

By consenting, you confirm that you have permission from the telecom account holder to enable the Utiq technology on this internet connection.

You can withdraw this consent anytime via "Manage Utiq" at the bottom of this site or in Utiq’s privacy portal (“consenthub”). For more, see Utiq's privacy statement.