Netzwerkeinstellungen - myGEKKO NET
Inhalt
myGEKKO NET im Mehrparteiengebäude
Bei Verwendung des myGEKKO Net in einem bspw. Mehrfamilienwohnhaus oder Bürokomplex mit verschiedenen Parteien sind gewisse Sicherheitsvorkehrungen zu treffen und Netzwerkrichtlinien zu befolgen. Nur dadurch kann die Sicherheit der Anlage und der persönlichen Daten gewährleistet werden.
Um die einzelnen Parteien innerhalb des Techniknetzwerkes zu trennen und nur die erforderlichen Daten und Zugänge zu ermöglichen, ist es notwendig mit sogenannten VLANs zu arbeiten. Diese müssen auf einem bzw. allen betroffenen aktiven Netzwerkkomponenten eingerichtet werden. Zusätzlich müssen Sicherheitsrichtlinien erstellt werden, um festzulegen welche Daten, sprich Ports zwischen den VLANs ausgetauscht werden dürfen.
Es gibt zwei unterschiedliche Topologien, die normalerweise genutzt werden:
Internetzugang über das Techniknetzwerk
In dieser Topologie wird der Internetzugang für alle Controller und technischen Gewerke im Gebäude direkt über das Techniknetzwerk bereitgestellt.
Dabei wird eine separater Internetzugang für das Techniknetzwerk eingerichtet, der keine Verbindung mit den privaten Internetzugängen der einzelnen Parteien hat.
Dies bedeutet, dass die Parteien auch keinen lokalen Zugriff von einem privaten Gerät auf ihren Controller haben (Viewer/QueryAPI über lokales Netzwerk). Falls der Controller gesteuert werden will, muss dies über die Plus Services und das Internet geschehen. Dies gewährleistet die höchste Sicherheit, da sich die Benutzer sich nicht direkt ins Techniknetzwerk einwählen können und unter keinen Umständen mit den Controllern anderer Parteien in Berührung kommen.
Verwendungszwecke im Techniknetzwerk:
- Kommunikation der Controller untereinander im myGEKKO NET
- Kommunikation der Controller zu myGEKKO NODEs
- Kommunikation mit anderen Geräten im Gebäude
wie bspw. Gemeinsame SIP Türsprechstelle, Wärmepumpe, Klimagerät über Modbus TCP/BacnetIP - Kommunikation mit dem myGEKKO Plus Server und Verwendung der verschiedenen myGEKKO Plus Services
bspw. den Zugang über App für die einzelnen Parteien oder die REST-API - Internetzugang für die Controller
für bspw. Anzeige von Webcams, E-Mail-Server, usw.
Internetzugang über das private Netzwerk der Parteien
In dieser Topologie hat das Techniknetzerk im Regelfall keinen direkten Internetzugang.
Falls gewünscht, kann aber hier auch ein Internetzugang konfiguriert werden. Dieser Internetzugang würde aber nur für den Hauptcontroller und die daran angeschlossenen Geräte verwendet werden. Die untergeordneten Controller bei den Parteien verwenden NICHT diesen Zugang.
Verwendungszwecke im Techniknetzwerk:
- Kommunikation der Controller untereinander im myGEKKO NET
- Kommunikation der Controller zu myGEKKO NODEs
- Kommunikation mit anderen Geräten im Gebäude
wie bspw. Gemeinsame SIP Türsprechstelle, Wärmepumpe, Klimagerät über Modbus TCP/BacnetIP - Fernanzeige zwischen Controllern
Liste der notwendigen VLANs und Ports zur Konfiguration der Firewall und Netzwerkgeräte
Notwendige VLANs:
1..n VLAN X = Eigenes VLAN für jedes Partei/Einheit (1 physisches Port je Einheit) ohne DHCP
1x VLAN GM = Eigenes VLAN für Gemeinschaftsbereich (x physische Ports) mit DHCP
Firewall Regeln zwischen den VLANs
- VLAN X <<< --- UDP 5004 --->>> VLAN GM (myGEKKO NET)
- VLAN X <<< --- UDP 554 (RTSP) + UDP/TCP 8557 + UDP 8881+8882 + UDP 5353 (Bonjour) + UDP 4900-4963 (RTP 2N), UDP/TCP 5060-5062 (SIP) --->>> VLAN GM (SIP Sprechstelle + Audio-+Videostream)
- VLAN X --- TCP 80+443 --->>> VLAN GM (http/s myGEKKO Anzeige Bild Sprechstelle)
- VLAN X<<< --- TCP 5001 --- >>> myGEKKO Viewer auf Allgemeine myGEKKO (für Remotezuordnung Türen)
Optional wenn das Techniknetzwerk über einen gemeinsamen Internetzugang verfügt
- VLAN X --- TCP 9090..9095* --->>> Internet (myGEKKO Plus Zugang)
- VLAN GM --- TCP 9090..9095*--->>> Internet (myGEKKO Plus Zugang)
- VLAN X --- TCP/UDP *--->>> Internet (Webcams, E-Mail-Server, Doorbird Cloud Zugang, …)
- 4. VLAN GM --- TCP/UDP * --->>> Internet (Webcams, E-Mail-Server, Doorbird Cloud Zugang, …)
*Die Blockierung bzw. Filterung des ausgehenden Verkehrs ins Internet ist nur in speziellen Fällen notwendig. Die myGEKKO GreenSecure Switches mit integrierter Firewall werden ohne ausgehende Beschränkungen ausgeliefert.