ESPHome Geräte aus anderem Netzwerk einbinden (VLANs)

M

michael_n1986

New member
Hey Leute,

ich bin vorhin etwas angefangen mal mit Home Assistent etwas anzufangen und auszuprobieren. Aktuell nutze ich noch ioBroker, aber an manchen stellen bin ich da etwas "unzufrieden" und wollte mal gucken was es so gibt. Meine ersten Versuche waren garnicht mal so schlecht gewesen, nur ein Problemchen habe ich.

Zur Erklärung, mein Server läuft im VLAN 100 IP Bereich 192.168.100.0/24 und meine IoT Geräte haben ein eigenes Netzwerk inkl. WLAN. Das ist das VLAN 10 mit dem IP Bereich 192.168.10.0/24. So an sich läuft auch alles tadellos nur bei ESPHome gibt es Probleme. Also der Shelly schaltet ganz normal hin und her, dieser befindet sich auch im IoT Netzwerk. Nur wenn ich den HA im Servernetzwerk starte wird bei den Geräten offline angezeigt, wenn ich den Server testweise ins IoT Netzwerk stecke ist plötzlich alles Online und ich kann auch schön über OTA Software installieren und so weiter.

Hat jemand ein Tipp für mich wie ich das ändern kann?
 
Da müsste vermutlich erstmal geklärt werden, wie geprüft wird, ob die Geräte online sind. Habe mal kurz geschaut und anscheinend kann man zwischen mDNS und Ping wählen bzgl. der Erkennung. Zur Zeit scheint es so, dass mDNS eingesetzt wird. Stell das mal um auf Ping (und sorg dafür, dass die Firewall einen Ping ins IOT-Netzwerk nicht blockiert) :)
 
Ich habe bei den Addons wo der ESPHome Teil liegt in den Konfigurationen den Punkt "Use ping for status" aktiviert. Falls das gemeint ist.

Aber hinsichtlich Firewall habe ich da glaube ich aktuell zusätzlich ein Problemchen ;-) Ist alles aktuell noch eine Testumgebung, aber bin froh das auch mal Probleme auftauchen, bevor ich es in den Produktiveinsatz bringe. Also die Netzwerkhardware, aktuell läuft im Produktivsystem alles über meine Fritz Box, die soll aber auf kurz oder lang ersetzt werden.

In der Testumgebung habe ich mir ein paar Geräte von UniFi aufgebaut und bin da noch am rumspielen und testen ;-)

Ich habe erstmal alle Firewall Regeln und Traffic Regeln im Dream Router entfernt um das Problem von da auszuschließen. Den Sensor an sich kann ich anpingen, aber im Reiter ESPHome wird der Sensor trotzdem als Offline angezeigt. Muss ich ggf. da noch irgendwo ein Punkt aktivieren, damit er über das "lokale" Netzwerk hinausgucken kann?
 
Zuletzt bearbeitet:
michael_n1986 schrieb:
Muss ich ggf. da noch irgendwo ein Punkt aktivieren, damit er über das "lokale" Netzwerk hinausgucken kann?
Zum Vergrößern anklicken....
Also erstmal beide Netzwerke lokal (vermute ich mal, ein anderes VLAN heisst ja nun nicht, dass es nicht mehr lokal ist) 😜

Innerhalb eines Netzwerkes können sich die Teilnehmer z.B. auch über OSI-Layer 2 austauschen, sobald es darüber hinaus geht (OSI-Layer 3), braucht es eine Routing-Funktionalität. Das ist aber alles schon gegeben, denn wenn Du von einem Gerät in Netzwerk 1 erfolgreich z.B. einen Ping auf ein Gerät in Netzwerk 2 durchführen kannst, ist die "Strecke" soweit schon mal funktional.

Wenn die Erkennung/Überprüfung in ESPHome auf "Ping" eingestellt ist, vielleicht legst mal eine Regel an in Form von: "Netzwerk 1 (HA) -> Netzwerk 2 (IOT) -> alles erlauben" und schaltest für diese Regel explizit das Logging ein, damit jeglicher Verkehrt von Netz1 zu Netz2 dokumentiert wird. Ist die Regel scharf geschaltet (sollte ggf. auch einfach an erster Stelle stehen), schaust Du mal in die Logs und kannst dort ggf. nachvollziehen, wann da was in welcher Form verschickt wird. Wenn da kein Ping in regelmässigen Abständen zu den ESP-Devices geht, scheint das ggf. mit der Umstellung von mDNS auf Ping nicht richtig funktioniert zu haben. Ich gehe aber erstmal davon aus, dass die Logs schon einen gewissen Erkenntnisgewinn bringen werden :)
 
Ich hab nochmal etwas gegooglet und selber parallel rum Probiert. Ich hab musste in der yaml Datei eine Statische IP hinterlegen, damit die kommunikation und Update klappt. Ist eigentlich etwas nervig, wenn ich da jedem Gerät manuell eine IP vergeben muss, aber wenn es so ist, ist es nunmal so.

Nur Protokolltechnisch wollte er mir so nix rausgeben. Heißt nur wohl unterm Strich, ich muss gucken wie ich das mache. Weil sobald mein Server wieder im "richtigen" VLAN sitzt wird bei "Benachrichtigung" nicht mehr angegeben, er hat was gefunden. Wo der Server aber im IoT Netzwerk war, hat er weiter Geräte selbständig gefunden.

Das irritiert gerde noch etwas. Also er durchsucht den "Bereich" im Servernetz wohl vernünftig, aber sobald es im anderen IP Bereich ist, merkt er nichts, wenn was neues dazu kommt.
 
Das liegt "vermutlich" an der Broadcast-Domäne (OSI-Layer 2). Stell Dir vor es gibt 2 Räume (Netzwerke), Du in einem (HA), anderweitige Personen im anderen Raum (IOT). Nun fragst Du: "Wer ist noch hier?" und alle im Raum - wo Du Dich derzeit aufhälst - antworten Dir. Die Personen im "anderen" Raum können Dich allerdings nicht hören, da eine Tür (Router) dazwischen ist. Dieses "ins Netz brüllen" (aka Broadcast) funktioniert halt immer nur innerhalb eines Netzes.

Es wäre z.B. auch eine Option, einfach den gesamten Traffic vom HA-Host mitzuschneiden und sich das mal explizit anzuschauen. Da kannst Du dann zumindestens auch genau sehen, was diesbezüglich passiert.
 
Okay ich werde mir mal verschiedenes angucken, probieren und so.

Aktuell läuft ja schonmal der eine "TestESP" mit dem Temp-Sensor. Heißt wohl erstmal noch viel arbeit bevor ich da wirklich "Licht" am Ende des ganges sehe. Aber danke bis hier hin schon einmal.

Ggf. muss ich mir überlegen ob das der "beste Weg" ist den Smarthome Server nicht im IoT Netzwerk zu lassen. Nur wenn ich z.B. Ping Befehle ausführen möchte, um zu gucken ob gewisse Geräte noch "da sind", muss ich ggf. dann ein Port vom IoT Netzwerk ins Servernetzwerk und andere öffnen. Also zumindest wo ich etwas abgreifen möchte.

Ich dachte eigentlich das wäre eine "gute" Entscheidung den HA ins Servernetzwerk zu packen und nicht mehr im IoT, nur im Moment bin ich etwas am überlegen.
 
Hi,

ich habe mein Netzwerk ähnlich aufgebaut (Server in VLAN x, ESPs in VLAN y) und dann entsprechend Regeln erstellt, dass die ESPs zb nicht ins Internet kommen. Damit die ESPs jetzt aber vernünftig laufen, musst du die entsprechenden Ports in der Firewall freigeben. Das sind meine ich 6052, 6053 und 8266 - kann die aber heute abend auch nochmal kontrollieren ;)
 
@azrael783 Danke für deine Bemühung mir da so zu helfen. Ich werde da auf jedem Fall mal einiges hier und da mal testen.

Ganz entschlossen habe ich mich zwar am Ende noch nicht, wie ich das am Ende löse. Hatte die Nacht paar Überlegungen und so in meinen Träumen angestellt :unsure: Weil wie gesagt, wenn ich den ioBroker bzw. Home Assistant ins Servernetzwerk packe müsste ich eine ganze Sammlung an Ports für die IP vom ioBroker / HA ins IoT Netzwerk frei geben.

Ich habe mir mal ein paar Geräte aufgeschrieben, welche da betroffen sind und sicherlich auch verschiedene zum Teil mit Anzahl n.

  • CCU3 sind mindestens 4 oder 5 Ports
  • Philps Hue
  • Shellys
  • ESPHome
  • MqTT (habe ich parallel zum ESPHome, da manche Anwendungen etwas "komplexer" sind oder den Smarthomeserver zum Teil nur "informieren" und dieser weniger eingreift)
  • Siemens LOGO8
  • Sonoslautsprecher (diese müssten zusätzlich Zugriff auf die Freigabe von der NAS bekommen, da weiß ich gerade nicht ob die SMB oder was die nutzen, bzw. worüber ich das eingebunden habe.) [hier wären also Ports zu öffnen für Freigabe und die für die "Steuerung" der Sonos Geräte wie Text2Ausgabe, Steuerung der Wiedergabe usw.]
  • ggf. den Panasonic TV
  • ZigBee / Conbee2 Stick (je nachdem ob ich ein eigenen "Serverdienst" für diesen mache oder einfach per USB direkt an den Server hänge. Bei ioBroker gehen beide Wege, beim HA muss ich da gucken.
  • Irgendetwas habe ich hier bestimmt noch vergessen :cool:

Wenn ich den ioBroker / HA ins IoT Netzwerk stecke müsste ich lediglich folgende Ports öffnen:

  • Ping in alle Netzwerke (kann man ja auch Blocken wenn man es möchte, aber damit kann man bei HA wunderbar prüfen ob Geräte "aktiv" sind.
  • Wake on LAN, da weiß ich noch nicht genau ob da Ports für benötigt werden muss ich noch nachlesen. Steht noch weiter hinten auf der ToDo Liste
  • Wenn man die "Systemdaten" haben möchte wären das noch für:
    • NAS (1x Synology u. 1x WD)
    • Proxmox
    • PiHole

Was man natürlich auch machen könnte, den ioBroker / HA ins IoT Netzwerk packen und dem "vollen" Zugriff aufs Netzwerk einräumen. Abgesichert mit Fester IP und MAC Adresse. ggf. nicht der "optimalste Weg". Aber wäre auch eine Möglichkeit.

Und zum Thema Internet für ioT sperren, wäre auch eine Möglichkeit, bin ich aber nicht ganz sicher, weil so Updates für Shellys, CCU3 und co auch nicht mehr so einfach möglich sind. Aber dafür kann man sich ja auch noch 2 IP Gruppen erstellen innerhalb vom IoT Netzwerk, eine Gruppe an IoT Geräten darf ins I-Net die andere wie ESPs oder so, die es nicht brauchen eben nicht. Heißt ich muss IPs manuell vergeben, kann aber ggf. auch Vorteile ergeben.

Aber ich warte erstmal auf die Antwort von azrael783 und werde parallel mich mit meinem UniFi Netzwerk intensiver beschäftigen. Werde mich damit wohl auch erst nochmal etwas mehr als gedacht beschäftigen dürfen, bevor ich es tatsächlich in den Produktiveinsatz packe. War eigentlich zeitnah geplant. Aber ich gucke mal. Vielleicht fange ich auch erstmal nur mit "klein". Ich guck mal was die nächsten Tests und "Übungssenarion" bringen
 
Moinsen,
nur als Input gemeint:
ich habe hier den Home Assistant solitär (also sonst nix) auf dem Raspi. Dieser steht (ebenso wie die IoT Geräte selbst) im IoT VLAN, daher entfallen alle Regeln in der Firewall und alles bzgl IoT und Home Assistant ist in einem Netz. Andere Clients (tablet, smartphone usw) dürfen dann (via Firewall geregelt) auf den Home Assistant Server zugreifen...fand ich damals für mich so praktisch, es laufen aber wie gesagt auch sonst keinerleit Anwendungen auf der Himbeere... :)
 
@the other Danke für den Input, ich muss mir da echt nochmal tief Gedanke machen. Aber der ioBroker / HA sind auch auf einem seperaten "virtuellen" Gerät, welches dann mittels VLAN im entsprechenden Netzwerk sitzen kann. Also das berührt den Server an sich erstmal nur am Rande.

Ich habe für den Port am Switch wo der Server dran hängt ein "VLAN Profil" gebaut, in dem ist das Server VLAN das "Haupt VLAN" und solange ich in Proxmox und ähnlichem keine VLANs angebe kommt alles in Server. Neben dem Server VLAN ist eben das IoT VLAN und das "Hauptnetzwerk" noch in dem Profil enthalten. Hauptnetzwerk ist für VMs die ich am Server betreibe, die aber im normalen Netzwerk unterwegs sein sollen.
 
Moinsen,
kleine Ergänzung zu WoL (Wake on LAN):
einfach so funktioniert ein WoL nicht über Netzwerkgrenzen hinweg, soll bedeuten: wenn dein IoT Kram im VLAN IoT ist und du mit dem smartphone aus VLAN X ein Gerät im anderen VLAN wecken willst...nö! Wenn du es über den zentralen Router machst (der ja mit seinen LAN Ports idR in jedem VLAN steht, logo), dann geht es natürlich. Aber das klassische Versenden von Magic Packets über Netzgrenzen geht nur mit etwas Handarbeit... :)

edit: eben erst deinen 2. Post gesehen. Mit Proxmox und dem virtualisierten Kram ;) (vermutlich MACVLAN am Start?) hab ich keine eigenen Erfahrungswerte. Sicher: wenn die Dienste bereits in den MACVLANs (nenn ich es jetzt mal) sitzen, dann sollte das auch so funktionieren. Solange du da die Übersicht hast, die VLANs sauber konfiguriert sind und das Regelwerk stimmt... ;)
 
the other schrieb:
Moinsen,
kleine Ergänzung zu WoL (Wake on LAN):
einfach so funktioniert ein WoL nicht über Netzwerkgrenzen hinweg, soll bedeuten: wenn dein IoT Kram im VLAN IoT ist und du mit dem smartphone aus VLAN X ein Gerät im anderen VLAN wecken willst...nö! Wenn du es über den zentralen Router machst (der ja mit seinen LAN Ports idR in jedem VLAN steht, logo), dann geht es natürlich. Aber das klassische Versenden von Magic Packets über Netzgrenzen geht nur mit etwas Handarbeit... :)
Zum Vergrößern anklicken....
Danke für den Hinweis. Aber naja das steht ganz weit am Ende der ToDo / Wunschliste. Erstmal ist mein Plan, was ich noch testen möchte im UniFi Netzwerk testen und am Ende soll die FritzBox ersetzt werden. Die Dect Telefonie übernimmt schon eine Go Box von GigaSet. Aktuell ist die Thematik die mich primär "penetriert" die Firewall zu konfigurieren und mich damit mehr beschäftigen. Leider ist das übliche Problem die man hat, die Zeit. Der Tag hat bei mir auch nur 24h, leider manchmal.
 
Moinsen,
das mit dem WOL "Problem" relativiert sich, wenn du zB dich zum HA einlogst und dieser bereits im IoT VLAN sitzt...dann kannst du aus HA per WOL Richtung "IoT-Gerät Nummer 5" arbeiten (ist ja in einem Segment/VLAN).

Ich dachte da an die typische Variante mit HA auf Raspi in VLAN x, das IoT Geraffel aber in VLAN Y, bzw. HA mit Raspi und Geraffel in VLAN X, Handy für direktes WOL aber in VLAN Z...

Kurz: am einfachsten wäre WOL, wenn es innerhalb des Segmentes erfolgt. Sonst eben mit Tricks und Regeln...ist dann aber wie oben gesagt etwas Gefriemel nötig. :)
 
Moinsen,
michael_n1986 schrieb:
die Thematik die mich primär "penetriert" die Firewall zu konfigurieren
Zum Vergrößern anklicken....
Der Penetration Test kommt meist erst NACH dem Einrichten der Firewall...sorry für den Flachwitz. 🤪
Ja, das ist ein ganz eigenes Thema, das auch Zeit und Lesen und Einarbeitung benötigt.
Zeit ist immer knapp, gerade für die lieben Hobbies...das kenn ich auch.
Solange du das alles nach und nach nebeneinander machen kannst, ist doch super. Keine Eile nötig...
Telefonie hast du ja anscheinend schon umgezogen und es läuft, top!
Von außen kommend ist dank NAT dein Heimnetz weiter dicht, top! (Via Fritzbox, dann eben in dem unifi Router vorher dafür sorgen, dass da auch NAT läuft, wenn die Fritzbox abgelöst wird.)
Du kannst ins Internet, erreichst alle Seiten, top!
Du erreichst deine gesamten Geräte im Heimnetz, top!
Ist doch schon jede Menge...

Dann eben noch bei Bedarf das große Netz in diverse aufteilen (aber nicht zu sehr kompliziert machen, an eine gute Dokumentation denken, die Aufteilung mehrfach kritisch überdenken, denn erst teilen und dann tausend "allow" Regeln setzen ist ja auch eher doof).
Später ggf. VPN einrichten oder eine andere Lösung für den externen Zugriff...

Falls du dich mit einer Unterteilung deines Heimnetzes auseinandersetzen willst: meiner bescheidenen Erfahrung nach ist es sinnstiftender, sich erst richtig gut und auch lange zu überlegen (was du ja gerade machst!!), welche Geräte wo sitzen sollen, welche Geräte aus welchen anderen VLANs zugreifen, ob die Aufteilung FÜR DICH dann so wirklich sinnig ist...mach dir eben genau die Gedanken, die du jetzt bzgl HA und Proxmox und IoT Clients machst für alle anderen ebenso...nimm Zettel und Stift, mal es dir auf, mach kleine Notizen...das eigentliche Einrichten am Gerät ist dann ein Kinderspiel.
;)
 
Naja ganz "dicht" ist meine FritzBox von außen nicht :cool: Auf meinem Server läuft ein kleiner Webserver für ne einfache Webseite (nur zum Spaß), dann als Subdomain Nextcloud und ein NGNIX Proxy Manager. Also ist schon etwas vorhanden was am Ende auch im UniFi so sein muss. Aber denke das ist nochmal ein anderes Thema.

VPN ist auf dauer aber auch noch auf der Liste. Aber wie du sagst, eines nach dem anderen. Und aktuell nutze ich die UniFi umgebung ja auch zum Testen, weil immer nur alles aufschreiben find ich etwas "doof" und Langweilig. Damit ich mich nicht Aussperre habe ich mir ein klein Switch nahe des Arbeits PCs vorbereitet, der an Port 1 im VLAN1 (Managment) liegt und den nutze ich als "Uplinkport".

Port 2 ist das "Hauptnetzwerk"
Port 3 Managment
Port 4 IoT
Port 5 Gast

So kann ich den PC hin und herstecken und wechsel so am einfachsten die VLANs und solange ich keine Sperren aufs Managment LAN baue, sollte nicht vorkommen, das ich nicht mehr rein komme ;) soll dem ein oder anderen ja auch bestimmt mal passiet sein.

Also zu beginn möchte ich nun erstmal anfangen und ausprobieren, was passiert wenn ich die VLANs seperiere und dann nach und nach verschiedene Ports / IP Adresse und Gruppen freigebe oder explezit sperre. Sprich wann komme ich aus dem IoT nicht mehr auf die Oberfläche vom Gateway, aber trotzdem ins Internet, usw.

Aber das nur als kleinen Einblick in meinem gerade vorhandenen Setup, wo ich vor sitze :giggle:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 59 (Mitglieder: 2, Gäste: 57)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.585
Beiträge
63.289
Mitglieder
6.817
Neuestes Mitglied
Sascha2494

Teilen

Zurück
Oben