SSID "umleiten"

Marcel_R · 14 September 2021, 00:33:01

Grüezi,
Bitte nicht böse sein - meine Frage hat nur am Rand etwas mit FHEM zu tun:
Schalte via Shelly eine Beleuchtung mit der Haupt-SSID (auf die auch FHEM zugreift). Das klappt gut.

Es wäre schön, wenn auch Gäste diese Beleuchtung schalten könnten - sie sind jedoch mit der Gast-SSID unterwegs.

Ist das möglich, ohne dass ich die Shelly jeweils umprogrammieren muss und ein zweites FHEM unter der Gast-SSID am Laufen habe?

Danke für Hinweise (schon dankbar, für Hinweise unter welchen Stichwörtern ich googelnd fündig werde!).

Marcel

MadMax-FHEM · 14 September 2021, 08:00:09

Was hast du denn für eine Infrastruktur?

Stichwort: Router

Also "irgendwas" muss zwischen den unterschiedlichen Netzwerken routen.

Eine SSID umleiten geht nicht...

ABER:
- dann macht ja Gästenetz gar keinen Sinn, wenn die auch ins "normale" Netz kommen...
- Gästenetz hat ja meist einen einfacheren Zugangsweg? -> auch andere kommen/kämen ja dann leichter ins Gästenetz...

Wenn du "vernünftige" Netzwerkinfrastruktur hast, dann:

Hauptnetz -> VLAN1
Gästenetz -> VLAN2 (das normalerweise "nur" Internet darf, also bei mir und auch Bandbreitenbeschränkt)

Router/Firewall, der/die die Teilnehmer im Gästenetz NUR auf den einen (oder mehrere) Shelly zusätzlich lässt...
...oder auf fhem mit einem zusätzlichen FHEMWEB, was eingeschränkt ist auf NUR die Shelly o.ä.

Also ich habe folgendes:

Hauptnetz: VLAN1
IoT-Netz: VLAN2
Gäste: VLAN3

(mit jeweils eigener SSID)

Shelly sind im IoT-Netz und dürfen sich gegenseitig (weil andere Teilnehmer dort wegen diverser anderer Funktionalität, z.B. Multiroom, das brauchen) aber sonst erst mal nichts.

Per Firewall dürfen aber natürlich meine mqtt-Clients im IoT-Netz auf fhem bzw. NUR auf den fhem-MQTT-Server/Port zugreifen...
Meine Fire-TV-Sticks (ebenfalls IoT-Netz) dürfen nat. auf meine Media-Box (Hauptnetz) zugreifen...

Gäste dürfen nix außer Internet (könnte ich per Firewall ändern aber dann würde ich die eher ins IoT-Netz packen als das Gäste-Netz "aufreißen")...

Aber:

- hast du keine Schalter?
- warum sollen Gäste mit dem Handy rumfummeln und Lichter schalten können (wollen)?

Also kurz: wenn die Netzwerkinfrastruktur passt (Router/Firewall, Switche etc.), kann man das machen...

Gruß, Joachim

laberlaib · 14 September 2021, 10:36:32

Gude,

ich schlage mich gerade mit einem ähnliche Problem rum: Ich würde gerne einen RFID-Türöffner auf der Terrasse anbringen. Wenn der nun per WLAN angebunden wird, dann kann den jemand klauen und kann den WLAN-Schlüssel auslesen. Daher würde ich gerne ein "Zwischen-WLAN" dazwischen hängen. Wenn der Türöffner entwendet wird, dann kennt man maximal den WLAN-Key des Zwischennetzes, den ich ohne aufwand ändern kann, und vom Zwischennetz gibt es eh nur Zugriffe auf ein FHEMWEB mit Port und basicauth und allem, was da noch dazugehören kann.

Das wäre ja auch hier so in der Art der Fall:
Gäste ins Gastnetz und Zugriff auf Internet und im lokalen Netz auf ein so konfiguriertes FHEMWEB, welches nur die Shellys schalten lässt oder so.

Da die Fritzbox genau das nicht hinbekommt, also eine teilweise Verbindung zwischen Gastnetz und "Produktivnetz" bin ich derzeit damit am rumexperimentieren:

https://github.com/martin-ger/esp_wifi_repeater

Das ist ein WLAN-Repeater auf ESP-basis den man in 2 Minuten geflasht hat, quasi nix kostet, mit dem man rumexperimentieren kann und den man per AccessControlList eigentlich so einstellen können müsste:

https://github.com/martin-ger/esp_wifi_repeater#firewall

Also ohne das bisher getestet zu haben:

Code Auswählen

acl from_sta clear
acl from_sta IP any 255.255.255.255 allow
acl from_sta UDP any any any 53 allow
acl from_sta TCP any any IP.VON.FHEMWEB.KASTRIERT POrtvonFHEMWEBKASTRIERT allow
acl from_sta IP any SUBNET.VOM.RESTLICHEN.LAN/24 deny
acl from_sta IP any any allow

1+2 sind für DHCP und DNS
3 erlaubt Zugriff von alle auf das FHEMWEB
4 blockt den restlichen Traffic ins private Netz
5 erlaubt dann den Rest
Ist im Grunde das Beispiel auf der Seite, erweitert um den Zugriff auf das FHEM-Interface.

Das ist ungetestet und in der Entwicklung - ich möchte diesen Repeater gerade auf einen Sonoff SV flashen um damit gleich schalten zu können, das klappt aber derzeit nicht, auf einem Wemos D1 läufts problemlos.

Philipp

MadMax-FHEM · 14 September 2021, 10:49:51

@Philipp:

klingt interessant (zum Rumspielen / hmm, werde ich mal ausprobieren

) und ist für die Anbindung EINES (RFID-)Gerätes bzw. weniger Geräte durchaus "interessant" aber ich bezweifle, dass so ein ESP wirklich viel Traffic (also ein echtes weiteres Netzwerk aufspannen) kann...

Bis zur Hälfte deiner Beschreibung war ich auch sofort auf: WLAN-AP/Extender/...

@all:

Da gibt es auch günstige mit etwas potenterer HW (und Funktionalität): GL.iNet GL-MT300N-V2 (habe ich im Einsatz) oder GL.iNet GL-AR300M Mini Travel Router usw.
Inkl. Firewall etc.

Aber selbst das ist (finde ich) nichts für ein echtes, zusätzliches (Gäste-WLAN/)IoT-WLAN...

Was geht (ohne gleich viel in Infrastruktur zu investieren) einen "potenten" Accesspoint/Router nehmen, den mit OpenWRT/DDWRT zu flashen und dann damit ein (Gäste-)IoT-WLAN inkl. Routing/Firewall zum bestehenden Netz (per Kabel) zu nutzen...

Aber trotzdem: ein Gäste-WLAN ist (für mich) ein Gäste-WLAN wo niemand nichts darf außer Internet

(und selbst das noch zumindest Bandbreitenbeschränkt

)

Gruß, Joachim

betateilchen · 14 September 2021, 17:26:36

Für 3,50 Euro im Monat einen MQTT Broker auf einer Lightsail Instanz bei Amazon Webservices aufsetzen, dann ist es völlig wurscht, von wo aus man das Shelly per MQTT schaltet.

Helmi55 · 14 September 2021, 17:42:20

Das geht aber dann nur für MQTT Shellies und nicht für FHEM bzw. IoT?
Oder?

Helmut

MadMax-FHEM · 14 September 2021, 18:20:20

Zitat von: Helmi55 am 14 September 2021, 17:42:20
Das geht aber dann nur für MQTT Shellies und nicht für FHEM bzw. IoT?
Oder?

Helmut

Man kann doch "jedes" fhem Device per MQTT steuern?
(also nicht "einfach so" aber mit den MQTT2-Boardmitteln)
Viele verbinden ja fhem (Devices) per mqtt mit anderen Systemen: NodeRed, ioBroker, Homeassitant, ...

Gruß, Joachim

betateilchen · 14 September 2021, 18:56:19

es sind übrigens gar nicht 3,50 Euro pro Monat, sondern nur 3,50 US$

Helmi55 · 14 September 2021, 22:02:53

Hallo Joachim
Da muss ich aber dann jeden Aktor und Sensor über MQTT einbinden.
Ich meinte ,,naiv" die gesamte IP von FHEM. Sozusagen den Pi
Gruß Helmut

MadMax-FHEM · 14 September 2021, 22:16:26

Zitat von: Helmi55 am 14 September 2021, 22:02:53
Hallo Joachim
Da muss ich aber dann jeden Aktor und Sensor über MQTT einbinden.
Ich meinte ,,naiv" die gesamte IP von FHEM. Sozusagen den Pi
Gruß Helmut

Du musst nicht den Aktor in fhem mittels mqtt anbinden, du kannst auch bereits anders eingebundene Devices per mqtt steuern/steuerbar machen...

Und dann die einfach per mqtt steuern wie betateilchen geschrieben hat.

Wie genau was mit mqtt in/mit fhem geht weiß ich nicht aber es könnte sogar sein (geht bestimmt, weil so vermutlich die erwähnten Anbindungen zu anderen Systemen wie ioBroker, Homeassistant etc. gelöst sind), dass ein MQTT2Server/Broker in fhem alleine reicht diese Devices dann "nach außen" steuerbar zu haben...
...selbst wenn diese nicht per mqtt an fhem angebunden sind.
EDIT: https://forum.fhem.de/index.php/topic,122816.msg1174855.html#msg1174855

EDIT: hier mal noch ein Link zu dem Thema https://forum.fhem.de/index.php/topic,115279.msg1095372.html#msg1095372

Und: in SW geht (fast) alles

Geht aber hier wohl zu weit...
...suchen im Forum oder anderen Thread aufmachen ist verm. besser.

Aber der TE hat 1tens nach Shelly gefragt (und die können per se mqtt und es ging auch nur um (klang zumindest so) ein paar wenige Geräte...

Gruß, Joachim

Helmi55 · 15 September 2021, 17:25:53

alles klar führt zu weit hier
Danke dir aber trotzdem. nach dem Urlaub mal einlesen

Servus