HAllööchen...
Ich habe siet geraumer Zeit FHEM und PIVCCU3 mit natürlich vielen weiteren Modulen (Alex, Echo, Proplanta, Wetter und so weiter) an meiner Fritzbox dran. Alles auf einer RAspberryPi4.
Nun bin ich dabei mein Netzwerk komplett auf Ubiquiti (unify) umzustellen ind das ein oder andere Gerät ins Vlan packen...
Hat jemand Erfahrungen diesbezüglich? Muss man auf gewisse Dinge achten?
Hallo misux,
das kommt ganz auf deine VLAN-Konfiguration an. Bei mir läuft es problemlos. Ich würde den PI als Testsystem weiter nutzen. Du musst halt die richtigen ACLs definieren, damit die Kommunikation zwischen den VLANs funktioniert.
Viele Grüße
Jürgen
wie meinst du das den PI als Testsystem?
Die Vlans werden im Ubiquiti Router erstellt... Die Raspberry ist für mein FHEm und alles was dazugehört... UNd das bleibt so wie es ist auf der Raspberry..
Ändern tut sich nur der Router... die Fritzbox kommt weg und die Dream Machine UDM-Pro kommt...
Und was sind ACLs?
Ajajajaj... :-X
Zitat von: misux am 13 Februar 2024, 09:33:02Nun bin ich dabei mein Netzwerk komplett auf Ubiquiti (unify) umzustellen ind das ein oder andere Gerät ins Vlan packen...
Hat jemand Erfahrungen diesbezüglich? Muss man auf gewisse Dinge achten?
Das hängt davon ab, wie Deine Geräte miteinander Kommunizieren.
Für routbaren UDP/TCP Traffik musst Du lediglich die Regeln (ACLs) auf der Firewall entsprechend anlegen.
Problematisch wird es lediglich bei Broadcastkommunikation. Diese ist auf Layer2 beschränkt und endet innerhalb des Subnetzes.
Ja, wenn ich das mal wüsste wie die Geräte miteinander kommunizieren... :))
WIe findet man das heraus?
Musste mir über sowas nie Gedenken machen... An die Fritzbox angeschlossen und fertig... :-\
Dann würde ich das mit den VLANs erst einmal bleiben lassen 8)
Auf LINK (http://administrator.de) gibt es einiges an Doku und Tipps zu VLANs. Wie die Geräte untereinander kommunizieren, solltest Du ebenfalls vorher in Erfahrung bringen. Nur zuhören wird nicht helfen ;D
Viele Grüße
Jürgen
Da es um Unifi geht werfe ich mal noch diese Videos ins Rennen:
https://www.youtube.com/watch?v=6ElI8QeYbZQ
https://www.youtube.com/watch?v=f_-iuY_xxFY
Denke bzgl. VLAN und Unifi ist es gut erläutert.
Allerdings musst du nat. noch rauskriegen welche Geräte/Dienste wie wo (Ports/Protokolle) kommunizieren und festlegen wer mit wem (in welche Richtung) "muss" bzw. soll bzw. "darf" -> Firewall-Regeln (und wenn du es wirklich sicher/gut/genau haben willst, können das schon ein paar werden ;) )
Das selbst zu lernen/verstehen wirst du nicht drumrum kommen...
...und auch mal (aus versehen) etwas aussperren ;)
Oder: lassen.
Gruß, Joachim
Zitat von: misux am 13 Februar 2024, 13:33:34Ja, wenn ich das mal wüsste wie die Geräte miteinander kommunizieren... :))
WIe findet man das heraus?
Als grobe Richtlinie kannst Du mal davon ausgehen, das alle Geräte die über App automatisch gefunden werden oder wie von "Geisterhand" in ihrer Anwendung auftauchen, dies über Broadcast erledigen. Das funktioniert über VLANs hinweg dann nicht mehr. Ebenso bei den gängigen Video wiedergaben (DLNA) wird Du Probleme bekommen.
In diesen Fällen musst Du dann schauen, ob man in den Geräten dann Ihren Serverdienst manuell über IP/FQDN einrichten kann oder eben den Server/Client ins gleiche Subnetz packen.
Als Beispiel kann ich da mal SONOS nennen. Wenn Du den Speaker aus FHEM steuern willst, dann nur wenn der SONOS und FHEM im gleichen Netz sind oder Du gehst über SONOS2MQTT.
vlan läuft auf layer 2. davon bekommen applikationen gar nichts mit... vlans sind portbasiert. du musst da nur darauf achten, dass dein fhem server an einem port hängt, der in allen vlans eingebunden ist zu denen fhem kommunizieren können soll (eher schlechte variante) oder das ganze per routing in deiner ubiquiti UDM richtig eingerichtet lösen (sicherer, aber etwas komplexer).
wenn du sowas noch nie gemacht hast, würde ich da aber erstmal einen bogen drum machen. das kannst du später auch noch nachträglich einrichten. das macht im eigenheim auch nur wirklich sinn, wenn du im aussenbereich zugängliche netzwerkports, zb für kameras oder outdoor wlan, hast. die sollte man dann immer in seperaten vlans halten.
Wenn du in der UniFi-Umgebung ein neuen Netz als VLAN anlegst, ist erstmal alle Kommunikation untereinander erlaubt, das kannst du im NAchinnein dann mit Firewall-Regeln eindämmen.
Da dir ACLs etc nichts sagen, stellt sich doch aber erstmal die Frage was du dir von der Umstellung auf VLANs erhoffst?
Zitat von: misux am 13 Februar 2024, 09:47:20Ändern tut sich nur der Router... die Fritzbox kommt weg und die Dream Machine UDM-Pro kommt...
Na so einfach ist es nicht - zumindest nicht bei DSL, da dir ja ein entsprechendes Modem fehlt. In der Fritzbox ist ein solches eingebaut, in der UDM nicht.
Zitat von: roedert am 14 Februar 2024, 09:33:47Na so einfach ist es nicht - zumindest nicht bei DSL, da dir ja ein entsprechenden Modem fehlt. In der Fritzbox ist ein solches eingebaut, in der UDM nicht.
deswegen hängt man die fritzbox an den uplink der udm und gibt ihr ein eigenes ip netz. zb. 192.168.1.0/24 wenn man 192.168.0.0/24 im netzwerk nutzt. dann routing entsprechend in der udm konfiguieren und fertig.
wenn das läuft, dann kann man das auch mit 2 kabeln machen und erste vlan erfahrungen sammeln. das 2. kommt dabei dann an den port4 der fritzbox, bei der dieser port als Gastzugang konfiguiert wird. In der UDM dann ein eigenes vlan dafür anlegen, dem port zuweisen und dort den ip adressbereich 192.168.179.0/24 vergeben. so hat man dann am schnellsten/einfachsten ein gekapseltes netz für gäste, die auf layer 3 ebene dann allenfalls nur noch die fritzbox sehen. ip bereich für gäste lässt sich bei der fritzbox nicht ohne weiteres ändern und sollte daher aus gründen der einfachheit einfach so übernommen werden
Ah, ok, eine kleine INformation hat gefehlt....
Die Fritzbox ist eine 4060(eh ohne Modem) und hängt an einem ONT Glasfasermodem...
Die Fritte kommt wech, das Glasfasermodem bleibt und die UDM-Pro hängt mit dem Port 9 (Wan1) dran.
Sorry, wäre vielleicht hilfreich...
Naja, das mit dem VLAN ist so eine Sache.... Ich erhoffe mir etwas mehr "Sicherheit" richting Raspberry (Fhem und co.)...
Da ich recht viele IoT Geröäte habe hatte ich gehofft da n bisschen "sicherheit" und "Ordnung" reinzubrigen...
Die IoT Geräte (Alexas, Kühlschrank, Kaffezeugs usw) bekommen ihr eigenes Vlan mit einer Sperre Netzwerkintern dinge hin und her zu schieben...Die Dürfen nur raus ins INternet... Die Fhem Kommunikation zwischen Fhem und den Alexas läuft ja übers INternet, Ode? Denke der Gedankengang sollte gehen...Oder?
Meine IP Cams (Poe Cams 10 Stück) Sollen auch in ein VLan rein, diese sollen/müssen allerdings mit Fhem und dem Synology Modul kommunizieren können... Das wird spannend...
Die Synology soll mit den normalen PCs und Smartphones dann im gleichen Netz liegen welches keine Vlan ist... Vielleicht wäre es sinnvoll dann FHEM auch in diesem Netz zu lassen?
Ich meine: Ich greife ja nicht über irgendwelchen apps auf fhem zu... Nur FHem greift ab und an auf das eine oder andere Gerät im Netzwer zu wie : AVR, (dann Smartphones über das unify modul zur Anwesenheitserkennung), Tablets per FULLY Browser...
Zitat von: MadMax-FHEM am 13 Februar 2024, 14:46:40Da es um Unifi geht werfe ich mal noch diese Videos ins Rennen:
https://www.youtube.com/watch?v=6ElI8QeYbZQ
https://www.youtube.com/watch?v=f_-iuY_xxFY
Denke bzgl. VLAN und Unifi ist es gut erläutert.
Allerdings musst du nat. noch rauskriegen welche Geräte/Dienste wie wo (Ports/Protokolle) kommunizieren und festlegen wer mit wem (in welche Richtung) "muss" bzw. soll bzw. "darf" -> Firewall-Regeln (und wenn du es wirklich sicher/gut/genau haben willst, können das schon ein paar werden ;) )
Das selbst zu lernen/verstehen wirst du nicht drumrum kommen...
...und auch mal (aus versehen) etwas aussperren ;)
Oder: lassen.
Gruß, Joachim
JOu, Vielen Dank!
HAbe schin das eine und andere Video gesehen, Problem ist das die irgendwie fast alle auf der alten Oberfläche arbeiten die ich nicht habe und die sich nicht einschalten lässt..
Ist für nen UniFi Anfänger etwas anstrengend..
Huch, das zweite ist die neuere UI... Das schau ich mir mal in ruhe an...
Zitat von: misux am 14 Februar 2024, 11:33:37Die Fritzbox ist eine 4060(eh ohne Modem) und hängt an einem ONT Glasfasermodem...
ok, wunderbar ... geklärt
Zitat von: misux am 14 Februar 2024, 11:33:37Naja, das mit dem VLAN ist so eine Sache.... Ich erhoffe mir etwas mehr "Sicherheit" richting Raspberry (Fhem und co.)...
Ok, Ziel erkannt. Die Aufteilung in VLANs sind dafür schon erstmal eine gute Voraussetzung, bringen aber in Punkto Sicherheit selbst noch nichts. Diese Sicherheit wird erst durch die richtige Konfiguration der Firewalls erreicht, die die Verbindung der einzelnen VLANs regeln.
Standardäßig ist erstmal alles erlaubt und somit sicherheitstechnisch "nutzlos". D.h. du musst genau festlegen welchen Trafiic du von wo nach wo erlauben bzw. verbieten möchtest ... und da kommst du an den ACLs nicht vorbei.
Zitat von: Guybrush am 14 Februar 2024, 10:51:12deswegen hängt man die fritzbox an den uplink der udm und gibt ihr ein eigenes ip netz. zb. 192.168.1.0/24 wenn man 192.168.0.0/24 im netzwerk nutzt. dann routing entsprechend in der udm konfiguieren und fertig.
Kann man so machen (und ich selbst nutze genau diese Konfiguration). Man sollte sich aber bewußt sein, dass dies zu doppeltem NAT führt was durchaus zu Problemen führen kann und auch einige Dinge erschwert.
Sicherlich kann man NAT auf der UDM mit diversen commandline-Workarounds abschalten, aber dies ist vom Hersteller (noch) nicht vorgesehen und daher ungewiss ob es nach jedem Update noch funktioniert.
Zitat von: roedert am 14 Februar 2024, 13:48:19Kann man so machen (und ich selbst nutze genau diese Konfiguration). Man sollte sich aber bewußt sein, dass dies zu doppeltem NAT führt was durchaus zu Problemen führen kann und auch einige Dinge erschwert.
Sicherlich kann man NAT auf der UDM mit diversen commandline-Workarounds abschalten, aber dies ist vom Hersteller (noch) nicht vorgesehen und daher ungewiss ob es nach jedem Update noch funktioniert.
der "Nachteil" ist hier ja nur in soweit vorhanden, als dass Routing auf der Fritzbox von außen nach innen ausgehebelt würde. Das ist aber eh ohne Relevanz, da man so oder so nur per VPN von außen auf die UDM connecten sollte. Insofern sehe ich keinen Nachteil. Läuft jedenfalls wunderbar bei mir so ;-)
Zitat von: roedert am 14 Februar 2024, 13:43:34Die Aufteilung in VLANs sind dafür schon erstmal eine gute Voraussetzung, bringen aber in Punkto Sicherheit selbst noch nichts. Diese Sicherheit wird erst durch die richtige Konfiguration der Firewalls erreicht, die die Verbindung der einzelnen VLANs regeln.
kann ich mich nur anschließen. das ist auch der Grund warum es für die allermeisten Heimnetze überflüssig ist und wenn doch, dann nie richtig gemacht wird. Am Ende stellt sich nämlich die Frage was man wirklich erreichen will. Bei dir zu Hause in deiner Wohnung etwas abzusichern ist wohl kaum nötig. Wenn da jemand drin ist, nimmt er im Zweifel die Geräte selbst mit und "hackt" sich nicht in dein Netzwerk :)) Es gegen Besucher "abzusichern" ist wiederrum ok, aber dafür reicht 802.1x mit mac based auth völlig aus.
Das einzige wo es meiner Meinung nach wirklich Sinn macht ist, dass man alle Außenkameras und alle Wlan AP absichert. Bei mir ist es z.b. so konfiguiert, dass alles was nach außen geht default im Gästenetz (dediziertes VLAN) ist und erst bei erfolgreicher 802.1x auth die Geräte entsprechend ihrer Konfiguration in das richtige VLAN geschubst werden. so ist jedenfalls sichergestellt, dass niemand einfach seinen laptop in einen netzwerkport einer außenkamera stecken kann oder was auch immer und beim Wlan kein preshared key genutzt werden muss. Alles was darüber hinaus geht halte ich bestenfalls für Spielerrei, um sowas zu lernen. Das macht aber meistens keinen Spaß weil Sicherheit immer mit Einschränkungen einher geht.
Ach, ich finde es schon interessant das man die Möglichkeit hat alle IOT Geräte in einem VLan zu packen (auch mit getrennter SSID für diese Geräte)und denen die Kommmunikation im INternen Netzwerk zu verbieten.
Alle meine Echos, die Kaffemaschine, der Kühlschrank und unwichtige Tablets sind nur in diesem Wlan Netz per eigener SSID und im eigenem VLAN mit der Sperre im INternen Netzwerk rumzuwerkeln...
Alle miene IPCams bekommen auch ihr eigenes VLAN sowie der Synology Server allerdings darf dieser dann auf das Lan der IPCams zugreifen um den RTSP Stream abzugreifen... Andersrum dürfen die Cams nicht auf das benachbarte Netz zugreifen, müssen sie auch nicht.
Meine Raspis mit Fhem bekommen auch ein VLan mit den dazugehörigen Tablets drin um alles Nötige zur anzeige zu bringen...
Ich finde es interessant , natürlich vermutlich mit viel Arbeit verbunden und am Anfang mit Problemen aber irgendwannn läuft auch das ...
Ich möchte zum Beispiel auch nicht das mein Sohnemann sich mit seinem Rechner ins ganze andere Lan sowie da wo die Fhem uns Raspis sind rumtreibt... Das muss er auch nicht also bekommt er auch sien eigenes VLAN und auch sein eigenes WLAN für ihn und seine Kumpels...
Dadurch erhoffe ich mir etwas "Sicherheit" sodass wenn einer gehackt wird oder nen Virus bekommt das dieser nicht gleich das Ganze Netz verseucht... Hoffe der Gedanke ist so richtig...
Die Außenkameras sind so hoch, da braucht man schon ne Leiter... und da kann er auch gleich das Fenster nehmen...
WObei bei den Ports habe ich auch eine MAC sperre eingeschaltet... Da funktioniert nur die Cam und sonst nix....
Das wird n Spaß.... ;D O:-)