update von FHEM in einem isolierten Netz

ujaudio · 29 Mai 2019, 09:24:01

Ich betreibe mein FHEM komplett in einem eigenen Netzwerk (Fritzbox ohne DSL-Anschluss) einschließlich aller Geräte, die da ebenfalls im Netzwerk sein müssen. Daneben gibt es noch eine weitere Fritzbox, die ein zweites Netzwerk für meinen PC und über WLAN mein Tablet und mein Mobiltelefon bereitstellt. Das ist alles für mich soweit gut und richtig - aber eben nicht optimal.
Ein Update von FHEM läuft bei mir wie folgt ab:
* Das "lokale" Ethernetkabel am Raspberry abziehen und statt dessen das "Internet"-Ethernetkabel anstecken.
* Reboot des Raspberry
* Update FHEM
* Ethernetkabel wieder umstecken
* Reboot des Raspberry
Naja, einfach ist anders. Ich habe aber gute Gründe, warum ich 2 Netze habe und werde notfalls bei dieser Lösung bleiben. Aber wäre denn nicht eine Firewall die ganz genau diese eine einzige Verbindung (nur dieser Raspberry auf der einen Seite und nur der "FHEM-Server" auf der anderen Seite) zulässt eine Lösung? Wie kann man diese mit vernünftigem Aufwand erstellen? Unterschiedliche IP-Adressräume haben die beiden Fritzboxen schon (192.168.178.xxx die eine, 192.168.148.xxx die andere).

CoolTux · 29 Mai 2019, 09:49:31

zweite Netzwerkkarte in den FHEM Raspi und diese mit der Fritzbox mit dem Internet verbinden?
auf dem Raspi mittels iptables sämtliche Verbindungen nach innen und aussen verbieten mit Ausnahme der 443 Rausverbindung zum FHEM SVN Server.

Beta-User · 29 Mai 2019, 10:02:26

Hmm, es scheint (?) doch so zu sein, dass Fritte 1 (ohne inet) eine Verbindung zu Fritte 2 (mit inet) hat, oder?

Dann wäre die Frage, wie der Pi in der Fritte 1 konfiguriert ist (Kindersicherung?), und was Verbindungen via Fritte 1 über Fritte 2 dürfen.

Das ist im Moment aber heiteres Verbindungsraten

.

Zu der "Turnschuh-Lösung" noch:
Da sollte es a) nicht notwendig sein, den Pi jeweils neu zu booten (sondern nur kurz nach dem Abstöpseln des Kabels zuzuwarten, bis das nächste angesteckt wird) und b) wenn schon, auch das OS jeweils upgedated werden - was ggf. tatsächlich einen reboot sinnvoll machen _kann_ (je nachdem, was alles neu wird).
(Das ganze "riecht" irgendwie auch nach einem GUI-System, was m.E. auch suboptimal ist)

ujaudio · 29 Mai 2019, 10:11:08

Zitat von: Beta-User am 29 Mai 2019, 10:02:26
Hmm, es scheint (?) doch so zu sein, dass Fritte 1 (ohne inet) eine Verbindung zu Fritte 2 (mit inet) hat, oder?

Nein, die beiden haben außer dem Netzstecker über 230V AC keine Verbindung.

Zitat von: Beta-User am 29 Mai 2019, 10:02:26Dann wäre die Frage, wie der Pi in der Fritte 1 konfiguriert ist (Kindersicherung?), und was Verbindungen via Fritte 1 über Fritte 2 dürfen.

Das ist im Moment aber heiteres Verbindungsraten .

Ich habe nichts explizit konfiguriert, nur den Pi angestöpselt - fertig.

Zitat von: Beta-User am 29 Mai 2019, 10:02:26Zu der "Turnschuh-Lösung" noch:
Da sollte es a) nicht notwendig sein, den Pi jeweils neu zu booten (sondern nur kurz nach dem Abstöpseln des Kabels zuzuwarten, bis das nächste angesteckt wird) und b) wenn schon, auch das OS jeweils upgedated werden - was ggf. tatsächlich einen reboot sinnvoll machen _kann_ (je nachdem, was alles neu wird).
(Das ganze "riecht" irgendwie auch nach einem GUI-System, was m.E. auch suboptimal ist)

Linux update mache ich (fast) immer auch. Aber ohne Reboot findet sich der Pi in dem jeweils anderen Netz nicht wieder, die bisherige IP-Adresse ist ja falsch.

ujaudio · 29 Mai 2019, 10:13:11

Zitat von: CoolTux am 29 Mai 2019, 09:49:31
zweite Netzwerkkarte in den FHEM Raspi und diese mit der Fritzbox mit dem Internet verbinden?
auf dem Raspi mittels iptables sämtliche Verbindungen nach innen und aussen verbieten mit Ausnahme der 443 Rausverbindung zum FHEM SVN Server.

So etwas: UGREEN LAN Adapter USB 2.0 Netzwerk USB zu RJ45 Ethernet Adapter 10/100Mbps geeignet für Surface Pro 3, MacBook, Rasberry Pi usw. kompatibel mit Windows 10, Win 8.1, Linux ,Wii, Wii U Schwarz (https://www.amazon.de/dp/B00MYT481C/ref=psdc_1626220031_t1_B0019CZGZW)?

Dann muss ich noch eine USB-Erweiterung anschließen, denn alle 4 USB sind bei mir schon belegt (CuL, HM-USB, Z-Wave, Speicher)

Beta-User · 29 Mai 2019, 10:19:58

Zitat von: ujaudio am 29 Mai 2019, 10:11:08
Nein, die beiden haben außer dem Netzstecker über 230V AC keine Verbindung.

Na ja, wenn du eine direkte update-Verbindung haben willst, mußt du das ändern und dann eben die Firewall-Einstellungen in Fritte 1 anpassen oder eben wie vorgeschlagen die Verbindung über eine weitere (USB-) Netzwerkschnittstelle machen (oder übergangsweise das WLAN dazu nutzen, das sollte auf dem Pi3 ja auch vorhanden sein)...

ZitatAber ohne Reboot findet sich der Pi in dem jeweils anderen Netz nicht wieder,die bisherige IP-Adresse ist ja falsch.

Deswegen hatte ich geschrieben, dass du etwas zuwarten mußt nach dem Abstöpseln. Der Pi bzw. die Netzwerkschnittstelle steht doch auf DHCP, oder? Das OS sollte nach einer gewissen Zeit (10 Sek. aufwärts) erkennen, dass die Verbindung weg ist, und dann bei erneutem Anstöpseln eine neue Adresse ziehen.

CoolTux · 29 Mai 2019, 10:30:23

Entweder USB Netzwerkkarte, habe ich auch. Oder Du machst WLAN

Da Du anscheinend DHCP am Pi machst, sollte es reichen wenn Du den networking.service neu startest.

nils_ · 29 Mai 2019, 11:26:16

andere Frage:
wie kommst du denn an dein FHEM wenn der pi im isolierten netz läuft?

ujaudio · 29 Mai 2019, 17:05:27

Ich verbinde meinen PC mal mit dem einen, mal mit dem anderen Netz. Wenn ich hier etwas schreibe kann ich nicht gleichzeitig auf mein FHEM zugreifen. Die Anzeige läft über ein Tablet, welches nur am isolierten Heimnetz hängt.

ujaudio · 29 Mai 2019, 17:07:03

Zitat von: Beta-User am 29 Mai 2019, 10:19:58...Das OS sollte nach einer gewissen Zeit (10 Sek. aufwärts) erkennen, dass die Verbindung weg ist, und dann bei erneutem Anstöpseln eine neue Adresse ziehen.

Mhm, eher "aufwärts als 10 Sekunden, vermutlich bin ich zu ungeduldig.

Beta-User · 29 Mai 2019, 17:18:25

Zitat von: ujaudio am 29 Mai 2019, 17:07:03
Mhm, eher "aufwärts als 10 Sekunden, vermutlich bin ich zu ungeduldig.

War das jetzt als Bestätigung zu verstehen, dass der Reboot nicht notwendig ist, wenn man "etwas" wartet?!? (Sollte jedenfalls schneller gehen als rebooten

)

Martin Fischer · 30 Mai 2019, 15:05:15

Zitat von: ujaudio am 29 Mai 2019, 09:24:01
Naja, einfach ist anders. Ich habe aber gute Gründe, warum ich 2 Netze habe und werde notfalls bei dieser Lösung bleiben. Aber wäre denn nicht eine Firewall die ganz genau diese eine einzige Verbindung (nur dieser Raspberry auf der einen Seite und nur der "FHEM-Server" auf der anderen Seite) zulässt eine Lösung? Wie kann man diese mit vernünftigem Aufwand erstellen? Unterschiedliche IP-Adressräume haben die beiden Fritzboxen schon (192.168.178.xxx die eine, 192.168.148.xxx die andere).

Hier mal ein Denkanstoss. Folgendes habe ich im Einsatz:

3 FritzBoxen in einer Router Kaskade. Das kann man auch mit nur zwei Zonen genau so aufbauen. Doppeltes NAT funktioniert, so dass ich auch von aussen via VPN in das innere Netz ("Home") komme. Alle Netze sind voneinander abgeschottet und haben einen eigenen Adresspool. Wenn man vernünftige Switches mit VLAN Unterstützung hat, klappt das auch ohne aufwändige Verkabelung. Mittels Portforwarding kann bei Bedarf auch auf andere Netze zugegriffen werden. Natürlich geht auch ein "Sprunghost" im 1. Netz, der dann z.B. über Bridging und virtuellen Netzdevices in allen Netzen vertreten ist. Hier muss dann je nach Bedarf "gefirewallt" werden

1. FritzBox "Edge" - "externes Netz"
- Verbindung zum Internet
- LAN & WLAN für IoT Geräte "ausser Haus" (z.B. IP-Cams am Haus, Bewässerungssteuerung, Rasenmäher, Alexa, etc.) und für Gäste
- ...

2. FritzBox "Home" - "internes Netz"
- Verbindung zum Internet über FritzBox "Edge" ("Anschluss an externes Modem oder Router über LAN 1")
- NAS (3x)
- Multimedia via Kodi oder SatBoxen
- Smartphones
- FHEM "Sateliten" via MQTT für Displays
- ...

3. FritzBox "Grid" - "Hausautomationsnetz Netz"
- Verbindung zum Internet über FritzBox "Edge" ("Anschluss an externes Modem oder Router über LAN 1")
- 1 FHEM Hauptinstanz
- mehrere FHEM Instanzen via RasPi (Garage 1, Garage 2, KG, EG, OG, DG) für verschiedene Anwendungen (OWFS, Presence, etc.)
- ...

Nur mal so als Anregung...

Viel Erfolg!

Mitch · 30 Mai 2019, 15:12:55

Deine erster Fehler ist schonmal die Fritzbox

Und auf die Idee zu kommen, gleich drei von den Dingern zu benutze....oh gott.

Ich habe mein FHEM auch in einem eigenen "logischen" Netz (VLAN).
Ein weiteres für alle IOT Devices, eins für Produktiv, eines für Gäste und eines für Geräte die kein Internet haben sollen.

Mit der "richtigen" Hardware geht das alles ganz einfach.

drhirn · 03 Juni 2019, 14:10:37

Na, dann erzähl mal, was du unter "richtiger" Hardware verstehst.

Mitch · 03 Juni 2019, 14:16:29

Will ja keine Werbung machen

Ich benutze Unifi, aber andere Enterprise Geräte gehen auch.

ujaudio · 28 Juni 2019, 09:49:47

Das wird bei mir dann ein "Winterprojekt"

ujaudio · 30 September 2019, 15:25:40

Zitat von: Mitch am 30 Mai 2019, 15:12:55
Deine erster Fehler ist schon mal die Fritzbox
...Mit der "richtigen" Hardware geht das alles ganz einfach.

Hallo,

nun möchte ich mich mal an mein "Winterprojekt" machen.

Eine Fritzbox brauche ich schon mal zum Telefonieren und da möchte ich möglichst gar nichts machen. Diese spannt auch das Gäste-WLAN auf, welches konkret nur meine erwachsenen Kinder nutzen, wenn sie mal auf Besuch sind. An dieser Fritzbox sind auch noch GBit-Anschlüsse frei - da kann dann nun weiteres Gerät angeschlossen werden.

Nun habe ich noch keine Idee, welches Unifi (oder anderes Gerät) genau das richtige ist.

Zitat von: Martin Fischer am 30 Mai 2019, 15:05:15
...Folgendes habe ich im Einsatz:

3 FritzBoxen in einer Router Kaskade. Das kann man auch mit nur zwei Zonen genau so aufbauen. Doppeltes NAT funktioniert, so dass ich auch von aussen via VPN in das innere Netz ("Home") komme. Alle Netze sind voneinander abgeschottet und haben einen eigenen Adresspool. Wenn man vernünftige Switches mit VLAN Unterstützung hat, klappt das auch ohne aufwändige Verkabelung. Mittels Portforwarding kann bei Bedarf auch auf andere Netze zugegriffen werden. Natürlich geht auch ein "Sprunghost" im 1. Netz, der dann z.B. über Bridging und virtuellen Netzdevices in allen Netzen vertreten ist. Hier muss dann je nach Bedarf "gefirewallt" werden

Wie ich die 2. Box an die erste anschließe und dass die 2. dann einen eigenen Adressbereich hat, ist mir klar. Aber wie ich dann einstelle, dass mein FHEM-Raspberry ein update/upgrade machen darf, andere Geräte aber nicht ins Internet kommen und auf diese auch nicht von außen zugegriffen werden können, ist mir unklar. Da habe ich in derAVM-Doku (noch?) nichts gefunden.

Meine Überlegung: ich könnte ja auch alles in einem Heimnetz betreiben und eine Firewall zum Internet sorgt für die Kontrolle. Als Laie stelle ich mir vor:

Raspberry mit IP192.168.178.123 darf auf IPxxx (wo die SW liegt) über Port y zugreifen
Mein DMX-Gerät am LAN ist vom Internet nicht erreichbar und kann auch nicht ins Internet, nur Verbindungen innerhalb 192.168.178.xxx sind möglich
Mein PC darf alles wie bisher
usw

Ihr seht, hier spricht der immer noch Unwissende. Ich habe schon einiges im Netz gelesen, aber fast jeder Artikel enthält auch wieder Begriffe, die ich mir erst noch ergoogeln muss. Es bleibt spannend, aber ich leren hinzu, nöglicherweise nur langsam...