Fhem/Pivccu3 mit Ubiquiti im VLAN... Problematisch?

misux · 13 Februar 2024, 09:33:02

HAllööchen...

Ich habe siet geraumer Zeit FHEM und PIVCCU3 mit natürlich vielen weiteren Modulen (Alex, Echo, Proplanta, Wetter und so weiter) an meiner Fritzbox dran. Alles auf einer RAspberryPi4.

Nun bin ich dabei mein Netzwerk komplett auf Ubiquiti (unify) umzustellen ind das ein oder andere Gerät ins Vlan packen...

Hat jemand Erfahrungen diesbezüglich? Muss man auf gewisse Dinge achten?

juemuc · 13 Februar 2024, 09:43:09

Hallo misux,

das kommt ganz auf deine VLAN-Konfiguration an. Bei mir läuft es problemlos. Ich würde den PI als Testsystem weiter nutzen. Du musst halt die richtigen ACLs definieren, damit die Kommunikation zwischen den VLANs funktioniert.

Viele Grüße
Jürgen

misux · 13 Februar 2024, 09:47:20

wie meinst du das den PI als Testsystem?

Die Vlans werden im Ubiquiti Router erstellt... Die Raspberry ist für mein FHEm und alles was dazugehört... UNd das bleibt so wie es ist auf der Raspberry..

Ändern tut sich nur der Router... die Fritzbox kommt weg und die Dream Machine UDM-Pro kommt...

Und was sind ACLs?

Ajajajaj...

JudgeDredd · 13 Februar 2024, 10:22:12

Zitat von: misux am 13 Februar 2024, 09:33:02Nun bin ich dabei mein Netzwerk komplett auf Ubiquiti (unify) umzustellen ind das ein oder andere Gerät ins Vlan packen...
Hat jemand Erfahrungen diesbezüglich? Muss man auf gewisse Dinge achten?

Das hängt davon ab, wie Deine Geräte miteinander Kommunizieren.
Für routbaren UDP/TCP Traffik musst Du lediglich die Regeln (ACLs) auf der Firewall entsprechend anlegen.
Problematisch wird es lediglich bei Broadcastkommunikation. Diese ist auf Layer2 beschränkt und endet innerhalb des Subnetzes.

misux · 13 Februar 2024, 13:33:34

Ja, wenn ich das mal wüsste wie die Geräte miteinander kommunizieren...

WIe findet man das heraus?
Musste mir über sowas nie Gedenken machen... An die Fritzbox angeschlossen und fertig... $:-\$

juemuc · 13 Februar 2024, 14:40:11

Dann würde ich das mit den VLANs erst einmal bleiben lassen

Auf LINK gibt es einiges an Doku und Tipps zu VLANs. Wie die Geräte untereinander kommunizieren, solltest Du ebenfalls vorher in Erfahrung bringen. Nur zuhören wird nicht helfen

Viele Grüße
Jürgen

MadMax-FHEM · 13 Februar 2024, 14:46:40

Da es um Unifi geht werfe ich mal noch diese Videos ins Rennen:
https://www.youtube.com/watch?v=6ElI8QeYbZQ
https://www.youtube.com/watch?v=f_-iuY_xxFY

Denke bzgl. VLAN und Unifi ist es gut erläutert.

Allerdings musst du nat. noch rauskriegen welche Geräte/Dienste wie wo (Ports/Protokolle) kommunizieren und festlegen wer mit wem (in welche Richtung) "muss" bzw. soll bzw. "darf" -> Firewall-Regeln (und wenn du es wirklich sicher/gut/genau haben willst, können das schon ein paar werden

)

Das selbst zu lernen/verstehen wirst du nicht drumrum kommen...
...und auch mal (aus versehen) etwas aussperren

Oder: lassen.

Gruß, Joachim

JudgeDredd · 13 Februar 2024, 19:14:13

Zitat von: misux am 13 Februar 2024, 13:33:34Ja, wenn ich das mal wüsste wie die Geräte miteinander kommunizieren...
WIe findet man das heraus?

Als grobe Richtlinie kannst Du mal davon ausgehen, das alle Geräte die über App automatisch gefunden werden oder wie von "Geisterhand" in ihrer Anwendung auftauchen, dies über Broadcast erledigen. Das funktioniert über VLANs hinweg dann nicht mehr. Ebenso bei den gängigen Video wiedergaben (DLNA) wird Du Probleme bekommen.
In diesen Fällen musst Du dann schauen, ob man in den Geräten dann Ihren Serverdienst manuell über IP/FQDN einrichten kann oder eben den Server/Client ins gleiche Subnetz packen.
Als Beispiel kann ich da mal SONOS nennen. Wenn Du den Speaker aus FHEM steuern willst, dann nur wenn der SONOS und FHEM im gleichen Netz sind oder Du gehst über SONOS2MQTT.

Guybrush · 14 Februar 2024, 00:28:37

vlan läuft auf layer 2. davon bekommen applikationen gar nichts mit... vlans sind portbasiert. du musst da nur darauf achten, dass dein fhem server an einem port hängt, der in allen vlans eingebunden ist zu denen fhem kommunizieren können soll (eher schlechte variante) oder das ganze per routing in deiner ubiquiti UDM richtig eingerichtet lösen (sicherer, aber etwas komplexer).

wenn du sowas noch nie gemacht hast, würde ich da aber erstmal einen bogen drum machen. das kannst du später auch noch nachträglich einrichten. das macht im eigenheim auch nur wirklich sinn, wenn du im aussenbereich zugängliche netzwerkports, zb für kameras oder outdoor wlan, hast. die sollte man dann immer in seperaten vlans halten.

roedert · 14 Februar 2024, 09:33:47

Wenn du in der UniFi-Umgebung ein neuen Netz als VLAN anlegst, ist erstmal alle Kommunikation untereinander erlaubt, das kannst du im NAchinnein dann mit Firewall-Regeln eindämmen.
Da dir ACLs etc nichts sagen, stellt sich doch aber erstmal die Frage was du dir von der Umstellung auf VLANs erhoffst?

Zitat von: misux am 13 Februar 2024, 09:47:20Ändern tut sich nur der Router... die Fritzbox kommt weg und die Dream Machine UDM-Pro kommt...

Na so einfach ist es nicht - zumindest nicht bei DSL, da dir ja ein entsprechendes Modem fehlt. In der Fritzbox ist ein solches eingebaut, in der UDM nicht.

Guybrush · 14 Februar 2024, 10:51:12

Zitat von: roedert am 14 Februar 2024, 09:33:47Na so einfach ist es nicht - zumindest nicht bei DSL, da dir ja ein entsprechenden Modem fehlt. In der Fritzbox ist ein solches eingebaut, in der UDM nicht.

deswegen hängt man die fritzbox an den uplink der udm und gibt ihr ein eigenes ip netz. zb. 192.168.1.0/24 wenn man 192.168.0.0/24 im netzwerk nutzt. dann routing entsprechend in der udm konfiguieren und fertig.

wenn das läuft, dann kann man das auch mit 2 kabeln machen und erste vlan erfahrungen sammeln. das 2. kommt dabei dann an den port4 der fritzbox, bei der dieser port als Gastzugang konfiguiert wird. In der UDM dann ein eigenes vlan dafür anlegen, dem port zuweisen und dort den ip adressbereich 192.168.179.0/24 vergeben. so hat man dann am schnellsten/einfachsten ein gekapseltes netz für gäste, die auf layer 3 ebene dann allenfalls nur noch die fritzbox sehen. ip bereich für gäste lässt sich bei der fritzbox nicht ohne weiteres ändern und sollte daher aus gründen der einfachheit einfach so übernommen werden

misux · 14 Februar 2024, 11:33:37

Ah, ok, eine kleine INformation hat gefehlt....
Die Fritzbox ist eine 4060(eh ohne Modem) und hängt an einem ONT Glasfasermodem...

Die Fritte kommt wech, das Glasfasermodem bleibt und die UDM-Pro hängt mit dem Port 9 (Wan1) dran.
Sorry, wäre vielleicht hilfreich...

Naja, das mit dem VLAN ist so eine Sache.... Ich erhoffe mir etwas mehr "Sicherheit" richting Raspberry (Fhem und co.)...
Da ich recht viele IoT Geröäte habe hatte ich gehofft da n bisschen "sicherheit" und "Ordnung" reinzubrigen...
Die IoT Geräte (Alexas, Kühlschrank, Kaffezeugs usw) bekommen ihr eigenes Vlan mit einer Sperre Netzwerkintern dinge hin und her zu schieben...Die Dürfen nur raus ins INternet... Die Fhem Kommunikation zwischen Fhem und den Alexas läuft ja übers INternet, Ode? Denke der Gedankengang sollte gehen...Oder?

Meine IP Cams (Poe Cams 10 Stück) Sollen auch in ein VLan rein, diese sollen/müssen allerdings mit Fhem und dem Synology Modul kommunizieren können... Das wird spannend...

Die Synology soll mit den normalen PCs und Smartphones dann im gleichen Netz liegen welches keine Vlan ist... Vielleicht wäre es sinnvoll dann FHEM auch in diesem Netz zu lassen?

Ich meine: Ich greife ja nicht über irgendwelchen apps auf fhem zu... Nur FHem greift ab und an auf das eine oder andere Gerät im Netzwer zu wie : AVR, (dann Smartphones über das unify modul zur Anwesenheitserkennung), Tablets per FULLY Browser...

misux · 14 Februar 2024, 13:19:21

Zitat von: MadMax-FHEM am 13 Februar 2024, 14:46:40Da es um Unifi geht werfe ich mal noch diese Videos ins Rennen:
https://www.youtube.com/watch?v=6ElI8QeYbZQ
https://www.youtube.com/watch?v=f_-iuY_xxFY

Denke bzgl. VLAN und Unifi ist es gut erläutert.

Allerdings musst du nat. noch rauskriegen welche Geräte/Dienste wie wo (Ports/Protokolle) kommunizieren und festlegen wer mit wem (in welche Richtung) "muss" bzw. soll bzw. "darf" -> Firewall-Regeln (und wenn du es wirklich sicher/gut/genau haben willst, können das schon ein paar werden )

Das selbst zu lernen/verstehen wirst du nicht drumrum kommen...
...und auch mal (aus versehen) etwas aussperren

Oder: lassen.

Gruß, Joachim

JOu, Vielen Dank!

HAbe schin das eine und andere Video gesehen, Problem ist das die irgendwie fast alle auf der alten Oberfläche arbeiten die ich nicht habe und die sich nicht einschalten lässt..

Ist für nen UniFi Anfänger etwas anstrengend..

Huch, das zweite ist die neuere UI... Das schau ich mir mal in ruhe an...

roedert · 14 Februar 2024, 13:43:34

Zitat von: misux am 14 Februar 2024, 11:33:37Die Fritzbox ist eine 4060(eh ohne Modem) und hängt an einem ONT Glasfasermodem...

ok, wunderbar ... geklärt

Zitat von: misux am 14 Februar 2024, 11:33:37Naja, das mit dem VLAN ist so eine Sache.... Ich erhoffe mir etwas mehr "Sicherheit" richting Raspberry (Fhem und co.)...

Ok, Ziel erkannt. Die Aufteilung in VLANs sind dafür schon erstmal eine gute Voraussetzung, bringen aber in Punkto Sicherheit selbst noch nichts. Diese Sicherheit wird erst durch die richtige Konfiguration der Firewalls erreicht, die die Verbindung der einzelnen VLANs regeln.
Standardäßig ist erstmal alles erlaubt und somit sicherheitstechnisch "nutzlos". D.h. du musst genau festlegen welchen Trafiic du von wo nach wo erlauben bzw. verbieten möchtest ... und da kommst du an den ACLs nicht vorbei.

roedert · 14 Februar 2024, 13:48:19

Zitat von: Guybrush am 14 Februar 2024, 10:51:12deswegen hängt man die fritzbox an den uplink der udm und gibt ihr ein eigenes ip netz. zb. 192.168.1.0/24 wenn man 192.168.0.0/24 im netzwerk nutzt. dann routing entsprechend in der udm konfiguieren und fertig.

Kann man so machen (und ich selbst nutze genau diese Konfiguration). Man sollte sich aber bewußt sein, dass dies zu doppeltem NAT führt was durchaus zu Problemen führen kann und auch einige Dinge erschwert.
Sicherlich kann man NAT auf der UDM mit diversen commandline-Workarounds abschalten, aber dies ist vom Hersteller (noch) nicht vorgesehen und daher ungewiss ob es nach jedem Update noch funktioniert.