Raspberry Pi 3 als WLAN Router für FHEM Peripherie

igami · 23 Oktober 2016, 08:18:25

Hi zusammen,

ich habe vor meinen neu erworbenen Pi 3 als neue FHEM Zentrale einzusetzten. Da dieser einen integrierten WLAN Chip hat und via LAN im Netzwerk hängt ist mein Plan, dass dieser ein WLAN Netzwerk bereitstellt indem dann die ganzen IoT Sachen hängen (HUE Bridge, Harmony Hub, AV-Receiver).
Ich fange gerade erst an mich mit dem Thema zu beschäftigen.
Solche Themen wie

Zitat von: CoolTux am 06 Oktober 2016, 22:18:41
Ich habe einen BananaPi Router mit selbstgeschriebenen iptables Firewallregeln, squid3 und Squidguard.
In FHEM kann ich einen Dummy schalten und für das Handy und Tablet meiner Tochter gehen die Internetlichter aus. Handy Spiele, WhatsApp, Youtube und alles andere wird gesperrt. Nicht mal mehr eine App lässt sich installieren.
FHEM regelt auch die Internetzeit der Kinder.

finde ich dabei ganz interessant, damit die Geräte nicht nach Hause telefonieren.

Vielleicht kann mir hierzu ja jemand ein gutes Tutorial empfehlen.

Mein Ziel ist es, dass ich dann für jeden WLAN Client einen dummy habe um Internet ein und aus zu schalten.

Grüße
igami

CoolTux · 23 Oktober 2016, 10:20:01

Hallo,

Das ist aber eine Menge Arbeit wenn Du jeden WLan Client an und abschalten willst

Aber mal zum wesentlichen. Deine Idee an sich ist gut, aber Du gehst es meiner Meinung nach falsch an.
Dein FHEM Server ein ein Anwendungsserver und wenn Du andere Clients/Anwendungen sperren willst, so macht man das auf einem separaten Knotenpunkt (Router/Firewall).
Bei einem strickt geregelten Netzwerk wie Du es vor hast solltest Du niemals zulassen das Clients direkt miteinander verbunden sind. In Deinem Fall wäre es aber so.

Das ist kein Muß, man kann es auch so machen wie Deine Idee ist, nur ist dann die "Gefahr" größer, da die Clients auf jeden Fall an Deine Türe klopfen dürfen. So können Angreifer Deine Tür abklopfen und Schwachstellen finden. Und ein Anwendungsserver wie FHEM hat eine Menge offener Ports die ja gebraucht werden, und offene Ports sind immer Einfallstore. Wenn Du aber eine zentrale Stelle hast wo Du genau regeln kannst wo welcher Client mit welcher Portanfrage hin darf dann können keine ungewollten Zugriffe auf FHEM vorkommen.

Also überlege mal was Du genau machen willst (wie viel Sicherheit Du brauchst/willst) und schauen wir weiter nach einer Strategie.

Grüße

igami · 23 Oktober 2016, 11:41:21

Zitat von: CoolTux am 23 Oktober 2016, 10:20:01
Wenn Du aber eine zentrale Stelle hast wo Du genau regeln kannst wo welcher Client mit welcher Portanfrage hin darf dann können keine ungewollten Zugriffe auf FHEM vorkommen.

Ich habe Buffalo WHR-HP-G300N WLAN Router mit DD-WRT als Firmware, damit sollte das auch machbar sein, habe mich nur noch nicht damit beschäftigt.
Momentan sieht mein Setup so aus, dass ich nur ein Netzwerk habe in dem alles uneingeschränkt miteinander kommunizieren kann.
Ich möchte die Geräte ja nicht von FHEM trennen, sondern vom Internet. Harmony, HUE und AV-Receiver werden von FHEM gesteuert und sollen nur für Updates eine Verbindung zum Internet bekommen.
Der Pi soll also ein Netzwerk für FHEM Peripherie bereitstellen.

justme1968 · 23 Oktober 2016, 11:58:34

du willst aber vermutlich auch noch ab und zu dir jeweiligen apps verwenden. d.h. nicht nur fhem soll auf die geräte zugreifen. dann wäre die absicherung am eintrittspunkt einfacher.

gruss
andre

CoolTux · 23 Oktober 2016, 12:01:08

So habe ich das auch. Ich habe den FHEM mit einem zweiten Bein in einem separaten Netzwerk wo die Netzwerk Peripherie dran hängt und wirklich nur mit dem FHEM kommunizieren kann. Updates lasse ich dann bei Bedarf durch.
Ansonsten sind auch alle anderen Clients in einem separaten Netzwerk am Router und bekommen nur eingeschränkt Zugang zum FHEM. Die Tablets/Handys der Kinder brauchen keinen WEB Zugang zum FHEM über 8083 oder so. Aber FTUI haben sie über 8080 auf nen nginx laufen. Ausserdem haben die noch den AMAD Zugriff über 8090 und das war es dann auch schon.

Ich habe ein Segment für jeweils
Eltern Computer
Eltern Handy
Eltern Tablet
Kinder Computer
Kinder Handy
Kinder Tablet
Multimediageräte (Fernsehr und Spieleboxen)

Ich gehe mal davon aus das im Router Image auch eine Firewall drin ist mit der man bequem über eine Oberfläche arbeiten kann.
Dann bist Du mir gegenüber im Vorteil, ich muss alles von Hand zu Fuss machen

Grüße

igami · 23 Oktober 2016, 12:31:18

Zitat von: justme1968 am 23 Oktober 2016, 11:58:34
du willst aber vermutlich auch noch ab und zu dir jeweiligen apps verwenden. d.h. nicht nur fhem soll auf die geräte zugreifen.

Kommt bisher nicht vor. Für HUE und AV-Receiver verwende ich die App gar nicht, für Harmony nur zum update.

Zitat von: CoolTux am 23 Oktober 2016, 12:01:08
Ich habe den FHEM mit einem zweiten Bein in einem separaten Netzwerk wo die Netzwerk Peripherie dran hängt und wirklich nur mit dem FHEM kommunizieren kann.

ist es dann nicht egal, dass der FHEM Server das Netzwerk bereistellt und verwaltet?

Zitat von: CoolTux am 23 Oktober 2016, 12:01:08
Ich habe ein Segment für jeweils
[...]

Was bedeutet Segment? Netzwerk oder Regeln?

Zitat von: CoolTux am 23 Oktober 2016, 12:01:08
Ich gehe mal davon aus das im Router Image auch eine Firewall drin ist mit der man bequem über eine Oberfläche arbeiten kann.

Ja, hat er, habe ich mich aber noch nicht mit beschäftigt. Siehe Screenshot im Anhang.

Gibt es denn eine eindeutige Antwort auf die Frage: "Ist es sinnvoll den Pi 3 als FHEM Zentrale einzusetzten und ein WLAN Netzwerk für die Peripherie aufzubauen, welches mittels ip tables eingeschränkt wird?"

Ein Hintergedanke war auch, dass ich bestimmt nicht der einzige bin, der sich nicht um sein Netzwerk kümmert aber einen Pi 3 hat

CoolTux · 23 Oktober 2016, 12:46:41

Zitat von: igami am 23 Oktober 2016, 12:31:18
ist es dann nicht egal, dass der FHEM Server das Netzwerk bereistellt und verwaltet?

Nur wenn es um das Netzwerk der Fhem Geräte geht. Andere Clients wie Handy Tablet sollten physikalisch von fhem getrennt sein.

Das hätte ich erwähnen soll, ich unterscheide hier zwischen physikalischer Verbindung und Dienstverbindung. Also ich empfehle keine physikalische Verbindung von Tablets und fhem Server zum Beispiel. Sprich fhem als Accespoint und Tablet an dem Accespoint dran.

Zitat
Was bedeutet Segment? Netzwerk oder Regeln?

Schau mal im Netz/Wikipedia nach Subnetze und VLANs

Zitat
Ja, hat er, habe ich mich aber noch nicht mit beschäftigt. Siehe Screenshot im Anhang.

Das ist ja nur für das Internet. Da werden sicherlich Clients nur auf Applikationsebene gesperrt. Zu meist nur http https und die üblichen anderen.

Zitat
Gibt es denn eine eindeutige Antwort auf die Frage: "Ist es sinnvoll den Pi 3 als FHEM Zentrale einzusetzten und ein WLAN Netzwerk für die Peripherie aufzubauen, welches mittels ip tables eingeschränkt wird?"

Nein gibt es nicht. Das hängt immer vom eigenen Empfinden ab.

Grüße

igami · 23 Oktober 2016, 13:13:30

Zitat von: CoolTux am 23 Oktober 2016, 12:46:41
Nur wenn es um das Netzwerk der Fhem Geräte geht. Andere Clients wie Handy Tablet sollten physikalisch von fhem getrennt sein.

Genau darum geht es mir ja

Ich werde mich erst mal ein bisschen durch die verschiedenen HowTo's Pi als Router und ip tables lesen und das dann mal einfach ausprobieren, fragen wenn ich nicht weitrer komme und berichten.

chris1284 · 23 Oktober 2016, 13:25:14

ich meine dieses szenario (wifilight und andere haustechnik-netzwerkclient am wlan des pi 3 in einem "fhemwlan") hatte betateilchen hier im forum schon als seine lösung vorgstellt. nur fhem hat auf dieses wlan zugriff und es ist vom lan des pi getrennt. diese geräte kommen garnicht ins hausnetz oder das internet. somit braucht man auch keine firwalls/iptabels pflegen weil die beiden netzwerke eh nicht miteinander verbunden sind. für die apps (weiss nicht warum man die noch brauchen sollte bei tui) müsste man diese natürlich verbinden

igami · 23 Oktober 2016, 13:47:21

Zitat von: chris1284 am 23 Oktober 2016, 13:25:14
ich meine dieses szenario (wifilight und ander haustechnik-netzwerkclient am wlan des pi 3 in einem "fhemwlan") hatte betateilchen hier im forum schon als seine lösung vorgstellt. nur fhem hat auf dieses wlan zugriff und es ist vom lan des pi getrennt. diese geräte kommen garnicht ins hausnetz oder das internet

Dass er das macht habe ich hier (Meine neue fhem Zentrale) gelesen, aber nicht wie er das macht.

chris1284 · 23 Oktober 2016, 13:49:16

ganz einfach. lan und wlan des pi sind 2 netzwerke die einfach nicht miteinander verbunden sind (außer du baust ne brücke aus lan und wlan).
dann reisst du auf dem pi einen accesspoint auf und damit verbindest du die wlan clients. vorzugsweise mit festen ip's, dann brauchst du nicht noch den dhcp server für das wlan-netz.

somit braucht man auch keine firwalls/iptabels pflegen weil die beiden netzwerke eh nicht miteinander verbunden sind. für die apps (weiss nicht warum man die noch brauchen sollte bei tui) müsste man diese natürlich verbinden

CoolTux · 23 Oktober 2016, 14:06:34

Von Hause aus sind sie verbunden da automatisch eine Route angelegt wird. Diese Route müsste entfernt werden damit die Packete vom WLan nicht ins LAN geroutet werden.

igami · 23 Oktober 2016, 14:23:20

Zitat von: chris1284 am 23 Oktober 2016, 13:49:16
für die apps (weiss nicht warum man die noch brauchen sollte bei tui) müsste man diese natürlich verbinden

Die Apps braucht man z.B. zum updaten des Harmony Hub

chris1284 · 23 Oktober 2016, 16:31:19

da würde ich den hub mal ebend ins wlan mit dem inet heben

ZitatVon Hause aus sind sie verbunden da automatisch eine Route angelegt wird. Diese Route müsste entfernt werden damit die Packete vom WLan nicht ins LAN geroutet werden.

echt? istdas bei linux so? bei windows müsstets du erst beide adapter verbinden

CoolTux · 23 Oktober 2016, 16:33:09

Ich denke es kommt auf die Distri an, bei Debian ist es jedenfalls so.