LUPUS 10 Zoll Smarthome Display Einbau

[bastelheini]

(28-01-2026 23:55)Snakie schrieb:  Man kann das tablet nicht abschotten so das es nur mit der Alarmanlage kommuniziert?

Klar, aber nicht durch die reine Anwesenheit eines Switches.

Üblicher Weg ist, dass die EMA (und andere zugehörige Komponenten wie IP-basierte Zugangssysteme) in ein eigenes sog. VLAN kommen. Dieses wird dann vom übrigen Netz abgeschottet und (normalerweise erstellt man dann auch gleich weitere Netze, z.B. für IoT Geräte mit Cloud, IoT Geräte lokal (z.B. dieses Wand-Tablet), Gäste Wlan, HomeOffice-Netze usw...)

Für dieses EMA Netz sperrt man den jegliche Zugriffe von innen und von außen. Dann gibt man wieder Stück für Stück frei, was gebraucht wird, z.B. eben der Zugriff auf http/s:443 eingehend vom Tablet aus inkl. Antwort-Traffic ausgehend. Ausgehend würde man Traffic zu Mail-Servern oder der Leitstelle erlauben.

Dass so etwas geht, braucht es aber mehr als nur einen DSL-Router und einen Switch. Du brauchst halt ein gutes Gateway mit Stateful-Firewall für die Netzseparierung als zentrales Element im Netzwerk. Das kann man mit Linux pur machen (iptables), diverse Opensource Projekte wie OpnSense oder was fertiges wie von TPLink Omada oder ein Unifi Gateway. Hat aber alles eine gewisse technische Tiefe und bedeutet, dass das Heimnetzwerk erstmal auf Links gedreht wird.

Das reicht aber nicht. Die Switches dahinter müssen managed sein und mindestens VLAN nach 802.1q unterstützen. Daneben gibt es weitere sinnvolle Funktionen, die aus meiner Sicht nötig im Switch sind, z.B. Port-Security-Funktionen, um einen Port auf eine gewisse Anzahl (idR 1) MAC-Adressen zu sperren, so dass das Anstecken eines anderen Gerätes eben keinen Zugang zum Netz ermöglicht (dann auch gerne ohne DHCP arbeiten). Klassischer Fall sind hier draußen hängende IP-Cams oder - super geil - die Kamera-Klingel direkt an der Straße. Die Dinger gehen ja recht einfach ab und sind mit einem stumpfen LAN-Kabel angeschlossen. Wenn diese Leitung nicht in einem gut gepflegten Netzwerk oder ebenso gut gepflegten Gerät vom Hersteller (weil von dort kann man über Lücken auch weiter hoppsen) terminieren, bin ich von vor der Gartenforte im Heimnetz. Und mach dann halt von dort die EMA unscharf und vielleicht auch gleich mit nem angeschlossenen smarten Schloss die Tür auf... Juhu! (Wer jetzt wieder schreit, dafür hätte da keiner Zeit - Pustekuchen und es gibt entsprechende Tools, die das Netz gut abscannen - und Passwörter? Ihr wisst, die meisten Leute haben Probleme mit ihren Passwörtern. Dabei haben sie nur eins!)

Entsprechend kompatible WLAN-Accesspoints (Multi-SSID & 802.1q neben heutigen WLAN-Features selbst) gehören dann mit zur Anschaffungsliste. Die laufen idR mit POE -> also muss der Switch / die Switches auch POE tauglich sein, wenn man nicht noch mit Injektoren hantieren will.