Welche Netze habt Ihr? Trennung von Gerätegruppen. MultiSSID Accesspoints?


  • Nach dem ich in diesem Thema https://forum.pfsense.org/index.php?topic=124187.0 überzeugt wurde ein eigenes Netz für die IoT aufzuziehen, würde ich gerne wissen wie ihr das bei Euch getrennt habt, bzw. wie Eure Meinungen dazu ausschaut.

    Momentan schaut es bei mir noch so aus:
    Netz 1: WAN
    Netz 2: LAN
    Netz 3: DMZ

    Im Netz 1 sind: WAN Anschluss, FritzBox, Freifunk Router
    Im Netz 2 sind: Ubuntu-Server, Laptops (alles Linux), Smartphones und Tablets (alles Android), Desktop-Rechner (alles Linux), Amazon Fire TV, Logitech Hub und andere IoT
    Netz 3: ein Debian Server mit Wordpress, Zugriffsteuerung durch .htaccess Datei zum Austausch von Kinderfotos mit den Großeltern, temporärer FTP

    Ich werden nun ein 4. Netz aufziehen, für die IoT Geräte, Ich frage mich vor allem, wo seht ihr Smartphones oder Tablets am besten aufgehoben? Ich überlege ob ich die mit ins IoT-Netz 4 stelle, oder vielleicht sogar einfach ins Freifunk Netz lasse. Irgendwie müssen dann aber die Bilder in mein LAN. Entweder den Umweg über Airdroid oder ein Seafile oder so was in die DMZ stellen.
    Momentan gehen meine VPN Tunnel auch alle in das LAN, das würde ich wohl auch aufsplitten, Die Laptops ins LAN und die Smartphones ins IoT?

    Hm, so ganz sicher bin ich mir noch nicht, wie habt ihr das geregelt?

    Ach, noch eine Frage:
    Nutzt Ihr Accesspoints mit MultiSSID und VLAN? Was kann man empfehlen an AC Geräten? Ubiquiti AC-Lite? Oder kann man auch mit günstigeren Geräten seine Freude haben?


  • Ich habe hier (und das ist daheim) derzeit:
    LAN, WLAN_Gast, Control (IoT), Management.
    Dabei nutze ich AccessPoints mit MultiSSIDs für LAN in 2,4 & 5GHz und Gast nur in 2,4GHz. Control wird als weitere SSID in Kürze wohl dazukommen.
    In der Firma habe ich zusätzlich noch DMZ, Laden, Projekt, …

    Als APs nutze ich gern Ruckus von eBay. Früher 7363 (die sind in der Bucht sau-günstig zu haben) und aktuell 3x 7372, wobei der Controller dazu gerade defekt ist. Geht auch ohne, nur Handover ist natürlich nicht so schön (aber wer braucht auch schon 3 APs in einem Haus?  ;-)


  • @BigChris:

    Nutzt Ihr Accesspoints mit MultiSSID und VLAN? Was kann man empfehlen an AC Geräten? Ubiquiti AC-Lite? Oder kann man auch mit günstigeren Geräten seine Freude haben?

    Ich hab jeweils einen Mikrotik wAP AC und hAP AC als Accesspoints mit Multi SSID. Die sind zwar nicht so megaschnell im AC Bereich (mit nem MacBook Pro (3x3) gibts maximal 430 MBit/s), aber dafür günstig, 100% stabil (mit grösstenteils Apple Geräten) und haben einen Funtionsumfang, den ich bisher noch nie irgendwo gesehen habe. Man muss sich aber etwas reinarbeiten in die Konfiguration…


  • Vielen Dank schon mal, schönes Forum hier :)

    Und wo habt ihr Eure Smartphones? Im normalen LAN oder sind die irgendwie separiert?


  • Ich hab eigentlich fast alles im LAN, bis auf die Fritzbox von Unitymedia (WAN ohne Zugriff aufs LAN) und den Horizon Recoder von Unitymedia (ganz abgeklemmt, das Ding kann einfach viel zuviel um sicher zu sein) :)
    Mein Mail / Owncloud Server ist in ner DMZ.

    Man muss sich halt immer fragen, was besonders schützenswert ist. Bei mir ist das mein NAS, dessen Inhalte, meine VMs und das WLAN.

    NAS: Platte läuft im Mirror, damit es beim Plattencrash hoffentlich nicht ganz stirbt. Wenns einer klaut, dann kann er damit hoffentlich nichts anfangen, da die Partitionen verschlüsselt sind.
    Backup von NAS und VMs läuft inkrementell täglich auf eine verschlüsselte VM und hält mehrere Wochenbackups vor. Ausserdem wird der aktuelle Stand nachts in die Cloud ge-rcloned, ebenfalls verschlüsselt, falls das NAS mal wegkommt oder die Bude brennt. Durch das inkrementelle Backup hat ein Verschlüsselungstrojaner also auch nicht soviel Glück. Kostet maximal die neuen Daten des Vortages.

    WLAN: überall mind 63 Zeichen Kauderwelsch WPA2 Key. Kann man ggf. mit EAP-TLS noch etwas sicherer machen. Soll halt niemand über meine Verbindungs surfen dürfen, sonst wirds ggf. teuer.


  • @athurdent:

    …zwar nicht so megaschnell im AC Bereich...

    Ganz ehrlich: ich halte AC, speziell Wave2 für maßlos übertrieben und in den allermeisten Fällen für vollkommen unsinnig.
    In meiner Heim-Umgebung durellieren sie meine APs mit über 30 anderen, von denen scheinbar niemand auch nur den hauch einer Ahnung hat, was er/sei/es da tut. Vermutlich stehen sie alle seit der Auslieferung auf Auto-config. Wenn ich in dem HF-Getümmel sauberes AV-Streaming hinbekomme, dann ist das komplett ausreichend. Sollte ich wirklich mehr Durchsatz benötigen, dann nehme ich halt ein Kabel.


  • @jahonix:

    In meiner Heim-Umgebung durellieren sie meine APs mit über 30 anderen

    Wow, soviele AC oder überhaupt 5GHz hab ich nicht in der Nachbarschaft. 5GHz reicht ja auch nicht so weit. 2.4 sind aber schon so 30-40…
    Wie auch immer, auf Kanal 116 80 MHz bin ich eh alleine. :)


  • Ich war in meiner Gegend der Einzige, der im 5GHz Bereich überhaupt APs in Betrieb hatte.
    Die nächsten die kamen lagen -Du darfst raten- natürlich auf den Kanälen, die ich verwendete. Also bin ich umgezogen. Wenn ich mir jetzt die SSIDs anschaue, dann werden die in 95% der Fälle überhaupt nicht genutzt und nerven nur durch die Gegend. Telekom.fonero und Vodafone's Gast-WLAN, dazu noch Arcadyan und O2 Gedöns, die parallel die gleichen SSIDs in 2,4 und 5GHz betreiben. Wenn ich den Traffic anschaue (Kanel-Auslastung), dann schwirren da vor allem Broadcasts aus dem Lan herum…

  • LAYER 8 Moderator

    Da gehts mir beim WLAN ähnlich wie Jahonix, bei mir tauchen in der Nachbarschaft derart viele APs auf - die teilweise so grauenhaft BS konfiguriert sind (Hey Kanal 1 ist belegt, ich nehm mal 2… oder 3...) - dass es echt keine Freude ist. 5GHz hat den Reichweiten Malus und ist deshalb "noch" relativ ruhig, aber lang wird das auch nicht mehr so gehen. Ich habe deshalb und weil per WLAN keine richtig großen Bandbreiten drin waren, teils Kabel und teils PowerLAN (zwangsweise) genutzt, damit kann ich wenigstens Streaming in guter Qualität abfackeln ohne WLAN Einbußen zu haben und die meisten Boxen (älteren) haben auch eher LAN als WLAN.

    Das sonstige Netz ist noch recht unspektakulär, wird sich aber demnächst stark ändern, da ich freudig neue Hardware bekommen habe, die ich demnächst dann einbauen kann und im Zuge dessen wird nochmal ordentlich ausgemistet. Dann wandern Server und Services in ein VLAN, Clients/LAN ein ein weiteres, Consolen etc. in ein Drittes und sonstiger IoT Spielkrams getrennt. MultiSSID bzw. VLAN-fähiges WLAN wäre schön, aber ist gerade nicht drin und in dem Fall auch nicht so sehr nötig. Gäste bekommen dann das WLAN auf der Kabel-FB aktiviert und sind ganz raus aus meinem Netz (und auf der Kabel-FB ein wenig limitiert), andere 2/5GHz Devices kommen dann ins LAN zu den Clients, da ich keine Smart-Geräte o.ä. als WLAN habe (soweit es geht hat alles nen Kabel). Und irgendwelche Projektnetze oder Zusatznetze liegen dann brav auf der pfSense mit eigenem Interface oder eben VLAN auf :) (da freut man sich, wieder 6 Interfaces zu haben :D )

    Grüße


  • Joh, meine Streaming Boxen etc habe ich auch alle per Kabel verbunden. Beim Einzug hab ich damals überallhin zumindest ein Kabel gezogen, das war ne gute Idee. Was sich per Kabel anbinden lässt, sollte auch möglichst so angebunden werden.

    Das mit den überlappenden Kanälen liegt aber schon auch an den Herstellern/Providern. Ich glaube kaum, dass unsere neuen Nachbarn, die laut eigener Aussage neulich "WLAN bekommen" haben, da viel mehr gemacht haben als den Code von unter der Vodafone Box in das Handy zu tippen. Aber Ihr habt recht, die 5GHz WLANs nehmen leider zu. Meist sind sie aber auf den unteren 4 Kanälen, zumindest wenn es keine Firmeninstallationen sind.

  • LAYER 8 Moderator

    Das mit den überlappenden Kanälen liegt aber schon auch an den Herstellern/Providern.

    Da würde ich dir ja theoretisch recht geben, aber praktisch legt sich ein AP in AUTO Einstellung von selbst eigentlich nicht in Zwischenbänder wie 2,3,5 o.ä. rein, eben weil die Automatik weiß, dass sie bei 1,6,11 brav +2/-2 Bänder für störungsfreien Betrieb offen lassen sollte :( Ich verstehe daher eh nicht, warum die APs seit Jahren die Freiheit geben das zu selektieren, wenn jeder mit etwas tiefergehender Ahnung von Funk und Wellen sofort frenetisch den Kopf schüttelt und sagt die Bänder sollen sich nicht überlagern/stören. Warum dann nicht die APs auch auf 1/6/11 oder notfalls noch 1/5/9/13 soweit möglich limitieren, dann hätte man zwar multiple APs auf einem Kanal, aber die können sich dann wenigstens ordentlich die Bandbreite teilen und stören sich bei der Frequenz nicht.


  • Ich will das AC eigentlich nicht wegen der höheren Geschwindigkeit, sondern weil 2,4GHz WLAN und Bluetooth sich in einem Gerät manchmal gegenseitig stören.


  • Moin,

    @BigChris:

    …Nutzt Ihr Accesspoints mit MultiSSID und VLAN? Was kann man empfehlen an AC Geräten? Ubiquiti AC-Lite? Oder kann man auch mit günstigeren Geräten seine Freude haben?

    Ich hatte den AC Lite eine Weile im Einsatz bis ihn mir ein Kumpel abgequatscht hat und ich aus Spieltrieb den AC Pro gekauft habe, für den täglichen Einsatz mit Smartphone, Tablett und Labtop ist der Lite eigentlich vollkommen ausreichend. Er lieferte eine bessere Funkabdeckung als jede Fritte oder mein Archer C7. Er deckte als alleiniger  AP die Wohnung komplett ab wo ich vorher immer 2-3 im Einsatz hatte. Du bist halt auf maximal 4 SSIDs beschränkt.

    Momentan habe ich 4 SSIDs im Einsatz:  Lan, Gastnetz, Kind 1 und Kind 2. IoT Geräte habe ich überwiegend verkabelt und z.Z. im LAN da open Source Projekte. 2 closed Source Geräte habe ich im Gastnetz vom LAN isoliert. Sobald eine SSID durch Auszug frei wird kommen alle IoTs in ein eigenes VLan.

    -teddy

  • LAYER 8 Moderator

    Momentan habe ich 4 SSIDs im Einsatz:  Lan, Gastnetz, Kind 1 und Kind 2

    Ohne zu weit OT zu gehen: Du weißt, dass du SSIDs "sparen" kannst, wenn du eine SSID mit Radius based VLANs nutzt? :) Einfach auf WPA2 Enterprise mit User/Passwort Login umstellen und jedem User per Radius dann das gewünschte VLAN verpassen -> Tadaa :D


  • Moin Jens,

    habe ich schon von gelesen ;)
    Da aber im Gastnetz nicht sonderlich viel los ist habe ich es aus Bequemlichkeit nicht weiter verfolgt.
    So kann ich, bei Bedarf, per FHEM eine oder beide SSID abschalten, quasi als Not-Aus, wenn die Zwerge nicht auf Muttis Wünsche reagieren und der Admin gerade nicht greifbar ist weil er sich mal wieder in die Spätschicht verpieselt hat :o

    -teddy


  • Warum nicht einfach feste DHCP Leases für die Geräte der Kinder vergeben, einen Alias pro Kind einrichten und eine entsprechende Allow Regel mit diesem Alias schreiben? Die Regel kannst Du bei Bedarf manuell oder automatisch mit dem Scheduler abstellen.
    Weiterer Vorteil: so könnt Ihr auch noch mehr Kinder bekommen :)


  • Welchen Vorteil hat man, wenn man bspw. Smart-TV's in ein separates VLAN verbannt? Ich meine, wenn man etwas gegen jede Art von ausspionierung hat, dann sollte man dem Fernseher doch gleich den Internetzugang abdrehen. So ist man dann auch sicher gegen Hacker Angriffe auf seinen TV geschützt.

    Aber VLAN wäre doch nur eine halbe Sache oder nicht? Denn dann ist der TV zwar sicher von den anderen Gerätschaften abgetrennt und hat keinen Zugriff auf diese, andererseits kann man auch nicht mal eben die Photos vom Smartphone auf dem TV anzeigen lassen oder per FernbedienungsApp darauf zugreifen und die Sache mit der Privatsphäre ist auch dann noch offen.


  • Smart-TVs wurden genannt und sind daher in der Diskussion.
    Viel entscheidender erachte ich die diversen Geräte des Smarthomes/IoT/…, die zum Teil erheblichen Broadcast-Traffic verursachen. Und die Geräte (wie Crestron Prozessoren), die damit nicht besonders gut umgehen können. Ich kann einen Crestron Control-Prozessor zum rebooten bringen, wenn ich ihn nur mit genügend UDP Traffic beschieße (*). Das kommt dann einem denial-of-service Angriff gleich.
    Daher ist es sinnvoll, solche Geräte oder Gerätegruppen voneinander zu trennen. Beschränkt auf Smart-TVs ist das nicht, das war ein Beispiel mit hohem Verbreitungsgrad.

    (*)
    wenn der Prozessor zu viele UDP-Pakete bewerten und wegschmeißen muss, dann fehlt ihm die Zeit für interne Prozesse. Das bekommt der Watchdog mit und bootet das Gerät vorsorglich neu, da es ja scheinbar nicht mehr reagiert.


  • enn dann ist der TV zwar sicher von den anderen Gerätschaften abgetrennt und hat keinen Zugriff auf diese, andererseits kann man auch nicht mal eben die Photos vom Smartphone auf dem TV anzeigen lassen oder per FernbedienungsApp darauf zugreifen und die Sache mit der Privatsphäre ist auch dann noch offen.

    Daher muss man drüber nachdenken, was man an "Komfort" will und wie viel Sicherheit man bereit ist dafür aufzugeben.


  • Ich plane einige Netzwerke mit meinem apu2

    Ich betreibe ein Netzwerk für 2 Personen, 6 Gästehäuser, wlan, media Netzwerk und eins für Überwachungskameras.

    Meinen Kumpel mit seine Windows Kisten und allen anderen ( ich telefoniere nach hause) Geräte inklusive allein mobile device habe ich in einem eigenen Vlan weg gesperrt.
    Ich betreibe ausschließlich Linux und habe meine mobilen Geräten ebenfalls separiert, also noch mal 2 Netzen.
    Eins für die Media Geschichte und Fernseher, eins für die Überwachungskameras und nochmal eins für die Gästehäuser.

    Insgesamt 6 getrennte Netzwerke, teils über Vlan Lösung.

    Bin leicht fanatisch was Sicherheit angeht, daher alles getrennt was ich nicht kontrollieren kann von meinen internen Netzwerk.
    Wenn es gehen würde, würde ich sogar noch alles per MAC Adressierung festlegen, zumindest wäre dann keine Manipulationen durch Laien möglich.


  • @xidendt:

    Wenn es gehen würde, würde ich sogar noch alles per MAC Adressierung festlegen

    Das könntest Du über Port-security der Switche machen, ist dann aber schon ganz schön Fort-Knox…


  • @arthurdent

    klar geht das, ist mir auch alle klar, aber so können sie in "ihrem" Netz ranhängen was sie wollen, wenn sie meinen einem Freund den Zugang zu gewähren bitte, ihre Verantwortung (Nutzungsvertrag existiert!), auch das sollen sie begreifen und lernen, das klappt auch sehr gut. Sie müssen nur kurz Bescheid geben das ich die Mac Zügel am Switch lockere. Zudem kann ich jedem Interface per Traffic Shaper Grenzen auferlegen die sie sich dann ggf. mit ihrem Freund teilen müßen, ohne das Mutti wie ein tasmanischer Teufel durch die Bude tobt weil das Fratzenbuch laggt  ;) Machmal habe ich das Gefühl Home Admin zu sein ist die Grundausbildung für Diplomatie  :P dabei bin ich eher der Poltergeist. Noch mehr Kinder? Wir sind froh das die Beiden jetzt 14 & 17 sind, jetzt noch mal wieder von vorne Anfangen ???

    -teddy


  • @jahonix:

    @xidendt:

    Wenn es gehen würde, würde ich sogar noch alles per MAC Adressierung festlegen

    Das könntest Du über Port-security der Switche machen, ist dann aber schon ganz schön Fort-Knox…

    Danke, werde ich mich doch gleich mal damit befassen.

    Fort Knox finde ich toll, nicht das ich groß etwas zu verheimlichen hätte. Ich habe etwas dagegen meine Daten ungefragt mit der Welt zu teilen.

  • LAYER 8 Moderator

    @arthurdent

    Warum nicht einfach feste DHCP Leases für die Geräte der Kinder vergeben, einen Alias pro Kind einrichten und eine entsprechende Allow Regel mit diesem Alias schreiben?

    Weil die Zwege mitunter gar nicht doof auf den Kopf gefallen sind und sowas rausbekommen und ändern können ;) Jaa natürlich kann man die Recht beschneiden etc. aber naja. Und jedes Gerät der Kids per MAC einzufangen ist gar nicht so leicht mitunter. Handy, Handheld Console, Laptop etc., da ist ein eigenes Kids VLAN mitunter wirklich einfacher :)

    …mehr Kinder

    DAS allerdings ist immer gut :D

    @un1que

    Welchen Vorteil hat man, wenn man bspw. Smart-TV's in ein separates VLAN verbannt? Ich meine, wenn man etwas gegen jede Art von ausspionierung hat,
    dann sollte man dem Fernseher doch gleich den Internetzugang abdrehen. So ist man dann auch sicher gegen Hacker Angriffe auf seinen TV geschützt.

    Prinzipiell nicht doof, praktisch gibts einige seltsame TVs die das brauchen, andere möchte oder muss man ggf. updaten wegen TV Tuner etc. und muss damit ein Firmware update machen. Dann ist eigenes VLAN und Block Regel, die man dann temporär aufheben kann, einfacher.

    Aber VLAN wäre doch nur eine halbe Sache oder nicht? Denn dann ist der TV zwar sicher von den anderen Gerätschaften abgetrennt und hat keinen Zugriff auf diese, andererseits kann man auch nicht mal eben die Photos vom Smartphone auf dem TV anzeigen lassen oder per FernbedienungsApp darauf zugreifen und die Sache mit der Privatsphäre ist auch dann noch offen.

    Warum nicht? Man kann den Zugriff AUF den TV VON anderen VLANs ja durchaus an lassen, das heißt ja aber nicht dass der TV VON sich aus ins Internet was senden darf :) Und das geht im eigenen VLAN einfacher abzuriegeln als wenn man ihn auf eigene feste IP zwingen müsste und diese dann aus dem LAN rausblockt. Da kann immer mal was dazwischen kommen. IP ändert sich nach Firmware Update auf DHCP, jemand verstellts, ändert die Regel etc.

    @xidendt:

    Bin leicht fanatisch was Sicherheit angeht, daher alles getrennt was ich nicht kontrollieren kann von meinen internen Netzwerk.
    Wenn es gehen würde, würde ich sogar noch alles per MAC Adressierung festlegen, zumindest wäre dann keine Manipulationen durch Laien möglich.

    So fanatisch finde ich das gar nicht. Gerade im InternetofTimebombs weiß man mitunter gar nicht, welches Gerät das nächste ist, welches irgendeinen Mist macht.
    BTW: Dein Wunsch nach MAC Blocking wäre eigentlich ein Fall für 802.1x - wäre schön wenn es da Geräte gäbe die auch für den Heim-/kleinen Officebetrieb machbar sind und keinen Kleinkredit bräuchten ;)

    @magicteddy:

    Admin zu sein ist die Grundausbildung für Diplomatie  :P dabei bin ich eher der Poltergeist. Noch mehr Kinder? Wir sind froh das die Beiden jetzt 14 & 17 sind, jetzt noch mal wieder von vorne Anfangen ???

    Admin sein heißt immer Diplomat zu sein ;) Willkommen im Job :P
    Und beim letzten Absatz noch schlimmer: Stell dir vor es wäre (noch?) ein Mädchen… :D


  • Weil die Zwege mitunter gar nicht doof auf den Kopf gefallen sind und sowas rausbekommen und ändern können
    

    Meine Zwerge sind noch zu klein dafür, aber mein Ansatz für später ist:
    Estmal so einrichten. Wissen, was passieren kann, überwachen. Wenn das Monitoring anschlägt, Kind gratulieren und nächstes Level einläuten.
    So lernen sie wenigstens was. :)

    MAC Blocking wäre eigentlich ein Fall für 802.1x - wäre schön wenn es da Geräte gäbe die auch für den Heim-/kleinen Officebetrieb machbar sind und keinen Kleinkredit bräuchten
    

    Können die SG-300 SMB Switches von Cisco das nicht? Die sind halbwegs bezahlbar…

  • LAYER 8 Moderator

    Wenn das Monitoring anschlägt, Kind gratulieren und nächstes Level einläuten.
    So lernen sie wenigstens was. :)

    Stimmt :D
    Achievement unlocked: "Outbreak" - At least one of your children gained the ability to circumvent a MAC-2-IP address lock-in.


  • @JeGr:

    …mehr Kinder

    DAS allerdings ist immer gut :D

    Wie im Arbeitsalltag: üben für den Ernstfall, immer und immer wieder. Und wenn es klappt, dann gleich nochmal!  ;D  SCNR


  • @athurdent:

    Können die SG-300 SMB Switches von Cisco das nicht? Die sind halbwegs bezahlbar…

    Klar. Am einfachsten mit ACLs, die gibt es dort auf MAC- und IP-Ebene (also L2 und L3).

  • LAYER 8 Moderator

    @athurdent:

    MAC Blocking wäre eigentlich ein Fall für 802.1x - wäre schön wenn es da Geräte gäbe die auch für den Heim-/kleinen Officebetrieb machbar sind und keinen Kleinkredit bräuchten
    

    Können die SG-300 SMB Switches von Cisco das nicht? Die sind halbwegs bezahlbar…

    Klar. Am einfachsten mit ACLs, die gibt es dort auf MAC- und IP-Ebene (also L2 und L3).

    Aaah schön zu wissen. Und das geht ohne extra Lizenz, Erweiterung oder sonstige Extra Tools die wieder mehr kosten? (muss man ja leider fragen ;))


  • Bei den Small Business Geräten gibt es keine zukaufbaren Optionen. Entweder etwas geht oder sie können es nicht.


  • Alles inklusive, kannst Dir ja mal das Manual ansehen. Ist nicht so wie bei unseren Cisco Nexus, die mich immer wieder an die alten Textadventures erinnern. Man tippt was ein und sie sagen "You can't do that here". Erstmal den blauen Diamanten besorgen, dann gehts :)
    Meine beiden SG-300 halten übrigens auch schon Jahre und bekommen immer noch regelmässig Updates…


  • @BigChris:

    enn dann ist der TV zwar sicher von den anderen Gerätschaften abgetrennt und hat keinen Zugriff auf diese, andererseits kann man auch nicht mal eben die Photos vom Smartphone auf dem TV anzeigen lassen oder per FernbedienungsApp darauf zugreifen und die Sache mit der Privatsphäre ist auch dann noch offen.

    Daher muss man drüber nachdenken, was man an "Komfort" will und wie viel Sicherheit man bereit ist dafür aufzugeben.

    Ich betreibe alle Fernseher mit einem Mediaserver namens Kodi, das kann alles und kommuniziert nur das was ich will. Fernseher haben heute zwar einen Netzwerk und sogar wlan an board die bei mir unbenutzt bleiben.

    Mir geht schon die gezielte Werbung auf den Keks aus meinen gesammelten Daten der mobil Geräte gesammelt wird.

  • LAYER 8 Moderator

    @xidendt:

    Ich betreibe alle Fernseher mit einem Mediaserver namens Kodi, das kann alles und kommuniziert nur das was ich will. Fernseher haben heute zwar einen Netzwerk und sogar wlan an board die bei mir unbenutzt bleiben.

    Mir geht schon die gezielte Werbung auf den Keks aus meinen gesammelten Daten der mobil Geräte gesammelt wird.

    Jep, Kodi ist großartig. Habe ich auch 4 Instanzen von - vor allem wenn man noch ein NAS oder anderes Device rumstehen hat, und die Kodis dann via MySQL o.ä. sync'ed eine ganz eigene Liga.

    Auch dafür eignet sich das mit VLANs wieder, damit man aus WLAN bspw. via Yatse (großartige Kodi Fernbedienung) auf die Kodi Instanzen kommt und Kodi selbst Streaming bzw. zu NAS o.ä. kommt. Abschotten und klar definieren wer wo hin darf. :)


  • @JeGr:

    Jep, Kodi ist großartig. Habe ich auch 4 Instanzen von - vor allem wenn man noch ein NAS oder anderes Device rumstehen hat, und die Kodis dann via MySQL o.ä. sync'ed eine ganz eigene Liga.

    Auch dafür eignet sich das mit VLANs wieder, damit man aus WLAN bspw. via Yatse (großartige Kodi Fernbedienung) auf die Kodi Instanzen kommt und Kodi selbst Streaming bzw. zu NAS o.ä. kommt. Abschotten und klar definieren wer wo hin darf. :)

    So ist es und es kommt sogar "veraltete" Hardware wie z.B. Fernseher der ersten Generation mit HDMI Anschluß zum Einsatz die noch kein Radio oder Media Dateien abspielen konnten. RPI3 + Tastatur + Kodi OpenElec image für unter 100€ und dein oller Fernseher is "pimped" zu einem High End Gerät.
    Die Pi3's dienen mir auch als Überwachungskameras und lassen sich dank open source beliebig konfigurieren.


  • Was hab ich denn für eine TV Generation? Ich hab noch keinen HDMI, dafür Zeilentrafo usw.  ::)


  • @JeGr:

    ….
    @xidendt:

    Bin leicht fanatisch was Sicherheit angeht, daher alles getrennt was ich nicht kontrollieren kann von meinen internen Netzwerk.
    Wenn es gehen würde, würde ich sogar noch alles per MAC Adressierung festlegen, zumindest wäre dann keine Manipulationen durch Laien möglich.

    So fanatisch finde ich das gar nicht. Gerade im InternetofTimebombs weiß man mitunter gar nicht, welches Gerät das nächste ist, welches irgendeinen Mist macht.
    BTW: Dein Wunsch nach MAC Blocking wäre eigentlich ein Fall für 802.1x - wäre schön wenn es da Geräte gäbe die auch für den Heim-/kleinen Officebetrieb machbar sind und keinen Kleinkredit bräuchten ;)

    Einnere mich gerade an ein Gespräch mit einem Bekannten der über 4G mit 6GB daten Volumen im Vertrag online geht wie ich. Er beschwerde sich das sein Volumen schon seit 10 Tagen aufgebraucht ist mit eine wenig im Netz rumstöbern. Ich erklärte ihm das es an seinen "Nachausetelefonierunddatensyncronisier" OS liege. Ich benötige bei intensiver Nutzung maximal 200MB pro Sitzung am Tag, sitze ich nicht am Rechner macht er auch nichts im Internet.

  • LAYER 8 Moderator

    @xidendt:

    RPI3 + Tastatur + Kodi OpenElec image für unter 100€ und dein oller Fernseher is "pimped" zu einem High End Gerät.

    Tipp: meine Kisten rennen inzwischen besser mit Libreelec ;) Nachdem Openelec ewig mit neuer Version nicht in Tritt kam, hab ich das umgestellt.


  • Moin,

    wenn wir jetzt schon abdriften  ;), hat hier Jemand Kodi im Zusammenspiel mit dem VDR im Einsatz?
    Wir haben einen headless Server mit Ubuntu und der Empfangshardware am Laufen und schauen über einen Raspi mit MLD als Client, läuft auch fast perfekt, die Timer werden automatisch auf dem Server angelegt u.s.w, nur ist mir die Oberfläche auf dem TV ein wenig zu träge … Ich gebe ehrlich zu, das ist Jammern auf sehr hohem Niveau  :D

    -teddy