Fhem/Pivccu3 mit Ubiquiti im VLAN... Problematisch?

[Guybrush]

Kann man so machen (und ich selbst nutze genau diese Konfiguration). Man sollte sich aber bewußt sein, dass dies zu doppeltem NAT führt was durchaus zu Problemen führen kann und auch einige Dinge erschwert.
Sicherlich kann man NAT auf der UDM mit diversen commandline-Workarounds abschalten, aber dies ist vom Hersteller (noch) nicht vorgesehen und daher ungewiss ob es nach jedem Update noch funktioniert. 

der "Nachteil" ist hier ja nur in soweit vorhanden, als dass Routing auf der Fritzbox von außen nach innen ausgehebelt würde. Das ist aber eh ohne Relevanz, da man so oder so nur per VPN von außen auf die UDM connecten sollte. Insofern sehe ich keinen Nachteil. Läuft jedenfalls wunderbar bei mir so

[Guybrush]

Die Aufteilung in VLANs sind dafür schon erstmal eine gute Voraussetzung, bringen aber in Punkto Sicherheit selbst noch nichts. Diese Sicherheit wird erst durch die richtige Konfiguration der Firewalls erreicht, die die Verbindung der einzelnen VLANs regeln.

kann ich mich nur anschließen. das ist auch der Grund warum es für die allermeisten Heimnetze überflüssig ist und wenn doch, dann nie richtig gemacht wird. Am Ende stellt sich nämlich die Frage was man wirklich erreichen will. Bei dir zu Hause in deiner Wohnung etwas abzusichern ist wohl kaum nötig. Wenn da jemand drin ist, nimmt er im Zweifel die Geräte selbst mit und "hackt" sich nicht in dein Netzwerk Es gegen Besucher "abzusichern" ist wiederrum ok, aber dafür reicht 802.1x mit mac based auth völlig aus.

Das einzige wo es meiner Meinung nach wirklich Sinn macht ist, dass man alle Außenkameras und alle Wlan AP absichert. Bei mir ist es z.b. so konfiguiert, dass alles was nach außen geht default im Gästenetz (dediziertes VLAN) ist und erst bei erfolgreicher 802.1x auth die Geräte entsprechend ihrer Konfiguration in das richtige VLAN geschubst werden. so ist jedenfalls sichergestellt, dass niemand einfach seinen laptop in einen netzwerkport einer außenkamera stecken kann oder was auch immer und beim Wlan kein preshared key genutzt werden muss. Alles was darüber hinaus geht halte ich bestenfalls für Spielerrei, um sowas zu lernen. Das macht aber meistens keinen Spaß weil Sicherheit immer mit Einschränkungen einher geht.

[misux]

Ach, ich finde es schon interessant das man die Möglichkeit hat alle IOT Geräte in einem VLan zu packen (auch mit getrennter SSID für diese Geräte)und denen die Kommmunikation im INternen Netzwerk zu verbieten.

Alle meine Echos, die Kaffemaschine, der Kühlschrank und unwichtige Tablets sind nur in diesem Wlan Netz per eigener SSID und im eigenem VLAN mit der Sperre im INternen Netzwerk rumzuwerkeln...

Alle miene IPCams bekommen auch ihr eigenes VLAN sowie der Synology Server allerdings darf dieser dann auf das Lan der IPCams zugreifen um den RTSP Stream abzugreifen... Andersrum dürfen die Cams nicht auf das benachbarte Netz zugreifen, müssen sie auch nicht.

Meine Raspis mit Fhem bekommen auch ein VLan mit den dazugehörigen Tablets drin um alles Nötige zur anzeige zu bringen...

Ich finde es interessant , natürlich vermutlich mit viel Arbeit verbunden und am Anfang mit Problemen aber irgendwannn läuft auch das ...

Ich möchte zum Beispiel auch nicht das mein Sohnemann sich mit seinem Rechner ins ganze andere Lan sowie da wo die Fhem uns Raspis sind rumtreibt... Das muss er auch nicht also bekommt er auch sien eigenes VLAN und auch sein eigenes WLAN für ihn und seine Kumpels...
Dadurch erhoffe ich mir etwas "Sicherheit" sodass wenn einer gehackt wird oder nen Virus bekommt das dieser nicht gleich das Ganze Netz verseucht... Hoffe der Gedanke ist so richtig...

Die Außenkameras sind so hoch, da braucht man schon ne Leiter... und da kann er auch gleich das Fenster nehmen...
WObei bei den Ports habe ich auch eine MAC sperre eingeschaltet... Da funktioniert nur die Cam und sonst nix....


Das wird n Spaß....