ESPHome Geräte aus anderem Netzwerk einbinden (VLANs)
- Ersteller michael_n1986
- Erstellt am
michael_n1986
New member
@the other Werde ich bestimmt nochmal drauf zurück kommen. Ich habe aber gerade schon einmal die ersten Erfolge bei den ersten Regeln. Mag für die Profis hier, eher "langweilig" sein. Aber für jemand der sich damit bislang nur am Rande beschäftigt hat ein Anfang.
Aktuell bin ich am Aufbau des "Grundstocks" und es läuft großteils zumindest wie gewünscht. Ich habe wie folgt aktuell die Regeln:
kurzer Nachtrag:
Erster Lernerfolg ist auch da, meine Laborumgebung sitzt hinter der FritzBox aktuell noch. Heißt unterm Strich ich bekomme eine "Private IP" als WAN IP und somit kam ich nicht mehr ins Internet, außer über das Managment LAN. Aber naja so lernt man wenigsten was, wenn auch mal etwas nicht läuft wie gewollt.
Aktuell bin ich am Aufbau des "Grundstocks" und es läuft großteils zumindest wie gewünscht. Ich habe wie folgt aktuell die Regeln:
- Erlaube bestehende und zugehörige Verbindungen
- Erlaube dem Managment LAN den Zugriff auf Alle Netzwerke
- Erlaube dem Hauptnetzwerk den Zugriff aufs IoT Netzwerk
- Verbiete alle Lokalen Netzwerke zueinander
kurzer Nachtrag:
Erster Lernerfolg ist auch da, meine Laborumgebung sitzt hinter der FritzBox aktuell noch. Heißt unterm Strich ich bekomme eine "Private IP" als WAN IP und somit kam ich nicht mehr ins Internet, außer über das Managment LAN. Aber naja so lernt man wenigsten was, wenn auch mal etwas nicht läuft wie gewollt.
michael_n1986
New member
Nur leider komme ich noch nicht so richtig auf die Lösung des Problems.
Ich habe die Regel vor der Verbieten Regel platziert. Nur leider ohne Erfolg, vielleicht kann mir jemand auf die Sprünge helfen?
Ich habe die Regel aufgebaut wie folgt:
Hinter der Gruppe "Neu_FB Gruppe" befindet sich das Netzwerk 192.168.178.0/24, ich habe es auch mit der IP Range von 192.168.178.1-192.168.178.200 versucht. Nur die Verbindung ins Internet auf dem Handy bleibt tot.
Ich habe das Handy mir dazu geholt, welches im "Hauptnetzwerk" sich befindet um so den PC weniger oft hin und her zu stöpseln und zusätzlich wollte ich da parallel was gegooglet haben nur ohne Internet kein Google
Ich habe die Regel vor der Verbieten Regel platziert. Nur leider ohne Erfolg, vielleicht kann mir jemand auf die Sprünge helfen?
Ich habe die Regel aufgebaut wie folgt:
Hinter der Gruppe "Neu_FB Gruppe" befindet sich das Netzwerk 192.168.178.0/24, ich habe es auch mit der IP Range von 192.168.178.1-192.168.178.200 versucht. Nur die Verbindung ins Internet auf dem Handy bleibt tot.
Ich habe das Handy mir dazu geholt, welches im "Hauptnetzwerk" sich befindet um so den PC weniger oft hin und her zu stöpseln und zusätzlich wollte ich da parallel was gegooglet haben nur ohne Internet kein Google
the other
Well-known member
Moinsen,
es kommt auch immer etwas auf das Gerät (die firewall) an: die erste Regel zB muss ich nicht extra einrichten. Ein Verbindungsaufbau wird erlaubt, dann ist er auch erlaubt und braucht hier keine manuell angelegte Regel, um nicht plötzlich unterbrochen zu werden. Variiert eben, je nach Firewall, ist ja auch oft nur ein Firmen-Sprech der Herstellerfirma in der GUI. Und wie dann "zugehörige" Verbindungen definiert werden, muss ja auch erst geklärt werden.
Davon ab: wenn deine unifi Geräte (Router, switch, AP) im VLAN M(anagement) sind, deine PC aber im VLAN H(auptnetz), dann denk natürlich dran, da ggf. entweder Regeln einzubauen (zB nur IP des PC darf auf VLAN M zugreifen). Oder du stöpselst weiter um am switch (doof) oder löst es ganz anders...je nach Netzaufbau und deinen Intentionen dahinter. Meist wählen die unifi Geräte ja das default VLAN (VLAN 1) als ihr Management VLAN aus. Da das VLAN 1 aber auch eben das default VLAN ist, wird oft vermieden, da mehr als unbedingt nötig anzusiedeln (möglichst weniger produktiver Datenverkehr). Es ist zwar möglich, den unifi Geräten ein ganz eigenes VLAN als Management Netzwerk zu geben...ist aber eben auch wieder etwas Handarbeit. Hatte das hier mit dem cloudkey und 2 APs mal verlegt vom default in ein eigenes VLAN.
Wichtig eben: sperr dich nicht aus, erlaub aber auch nur das, was wirklich muss.
Und Ports am switch, die nicht benötigt werden, werden einfach deaktiviert oder weisen maximal nur ins Gastnetz.
es kommt auch immer etwas auf das Gerät (die firewall) an: die erste Regel zB muss ich nicht extra einrichten. Ein Verbindungsaufbau wird erlaubt, dann ist er auch erlaubt und braucht hier keine manuell angelegte Regel, um nicht plötzlich unterbrochen zu werden. Variiert eben, je nach Firewall, ist ja auch oft nur ein Firmen-Sprech der Herstellerfirma in der GUI.
Und wie dann "zugehörige" Verbindungen definiert werden, muss ja auch erst geklärt werden. Davon ab: wenn deine unifi Geräte (Router, switch, AP) im VLAN M(anagement) sind, deine PC aber im VLAN H(auptnetz), dann denk natürlich dran, da ggf. entweder Regeln einzubauen (zB nur IP des PC darf auf VLAN M zugreifen). Oder du stöpselst weiter um am switch (doof) oder löst es ganz anders...je nach Netzaufbau und deinen Intentionen dahinter. Meist wählen die unifi Geräte ja das default VLAN (VLAN 1) als ihr Management VLAN aus. Da das VLAN 1 aber auch eben das default VLAN ist, wird oft vermieden, da mehr als unbedingt nötig anzusiedeln (möglichst weniger produktiver Datenverkehr). Es ist zwar möglich, den unifi Geräten ein ganz eigenes VLAN als Management Netzwerk zu geben...ist aber eben auch wieder etwas Handarbeit. Hatte das hier mit dem cloudkey und 2 APs mal verlegt vom default in ein eigenes VLAN.
Wichtig eben: sperr dich nicht aus, erlaub aber auch nur das, was wirklich muss.
Und Ports am switch, die nicht benötigt werden, werden einfach deaktiviert oder weisen maximal nur ins Gastnetz.
blurrrr
Well-known member
Komm, ich mach auch nochmal... "Zettel + Stift".... oder auch: "Erst gründlich darüber nachdenken, dann machen". Zettel und Stift dienen dabei auch nur zur Visualisierung. Zur allgemeinen Visualisierung hilft vllt auch dieser Thread noch weiter:
https://forum.heimnetz.de/threads/software-zum-erstellen-von-netzwerk-plaenen-uebersichten.2352/
Und merke: NIX geht über eine vernünftige Doku
https://forum.heimnetz.de/threads/software-zum-erstellen-von-netzwerk-plaenen-uebersichten.2352/
Und merke: NIX geht über eine vernünftige Doku
the other
Well-known member
Moinsen,
ohne jetzt die Router oder Firewall Lösungen von unifi zu kennen:
versuch im screenshot mal statt "NeueFB Gruppe" ein any...
diese Regel sollte HINTER den Regeln kommen, die den Zugriff auf andere VLANs verbieten.
Mal zum Testen...
Musst du ggf. bei Source Type etwas konkretisieren (welche IP, welcher Port?)? Wie sind die anderen Auswahlmöglichkeiten?
Wie gesagt, das ist immer sehr Herstellerabhängig, auch wenn die Grundidee dahinter gleich ist...und die Oberfläche, Möglichkeiten, Einschränkungen und Definitionen von unifi kenne ich nicht. Aber: sollte ja dokumentiert sein (Handbuch, Herstellerwebsite). Da kenn ich mich nicht zu aus.
ohne jetzt die Router oder Firewall Lösungen von unifi zu kennen:
versuch im screenshot mal statt "NeueFB Gruppe" ein any...
diese Regel sollte HINTER den Regeln kommen, die den Zugriff auf andere VLANs verbieten.
Mal zum Testen...
Musst du ggf. bei Source Type etwas konkretisieren (welche IP, welcher Port?)? Wie sind die anderen Auswahlmöglichkeiten?
Wie gesagt, das ist immer sehr Herstellerabhängig, auch wenn die Grundidee dahinter gleich ist...und die Oberfläche, Möglichkeiten, Einschränkungen und Definitionen von unifi kenne ich nicht. Aber: sollte ja dokumentiert sein (Handbuch, Herstellerwebsite). Da kenn ich mich nicht zu aus.
michael_n1986
New member
@the other Habe ich gemacht, läuft auch wieder. Also das Internet beim "Hauptnetzwerk" aber damit wird die Drop Regel nie erreicht. Ist halt im Moment etwas doof zu testen, wenn ich als WAN IP eine IP von der FB bekomme und keine öffentliche.
Weil die Regel hier verbietet den Datenverkehr unter den VLANs:
Und die Gruppe "Neu_Alle Privaten Netzwerke (RFC1918)" wäre diese hier:
Ich denke ich werde die Gruppe etwas "verfeinern" müssen. Also nicht das komplette Netz 192.168.0.0/16 sondern eben die IP Bereiche meiner VLANs die ich Verwende /24. Teste es gleich mal und gucke was passiert.
Weil die Regel hier verbietet den Datenverkehr unter den VLANs:
Und die Gruppe "Neu_Alle Privaten Netzwerke (RFC1918)" wäre diese hier:
Ich denke ich werde die Gruppe etwas "verfeinern" müssen. Also nicht das komplette Netz 192.168.0.0/16 sondern eben die IP Bereiche meiner VLANs die ich Verwende /24. Teste es gleich mal und gucke was passiert.
benutzt du keine WebUIs?
Man braucht die ja selten mal, aber wenn, gehen die ohne Netz nicht, weil die Zeug nachladen (um den begrenzten Platz auf dem ESP zu sparen).
Da denke ich immer man müsste die Adressen mal umbiegen und lokal zur Verfügung stellen...
Die Shellies dürfen bei uns nur für die Updates mal mit kurzzeitig geänderter Firewallregel ins Netz. NTP über HA Addon chrony.
michael_n1986
New member
Ich wollte mich noch zurückmelden, nun läuft es. Ich habe die "Sperr" Gruppe wie folgt angepasst:
Und die Gruppe für Zugriff auf IoT und Internet wie folgt:
Und die Regel ist wie oben Any auf Gruppe "Neu_IoT und FB Internet".
Nun läufts was geplant war. Alle Netzwerke die oben inbegriffen sind kommen nicht an die anderen Netze aber ins Internet kommt man trotzdem. Wie gesagt die Regeln sind aktuell nur so definiert, da ich noch keine öffentliche IP am UniFi Router habe. Nun gehts dann weiter an die nächsten Verbindungen die ich ermöglichen möchte, wie Zugriff auf DNS Server (PiHole), dann Zugriff vom "Hauptnetzwerk" auf einzellne Dienste im Servernetzwerk (habe dort Testweise paar Sachen über Docker gebaut wie Heimdal Dashboard, MeTube und ähnlichem. Die möchte ich natürlich gerne auch aus dem Hauptnetzwerk nutzen können).
Aber alles eins nach dem anderen.
Und die Gruppe für Zugriff auf IoT und Internet wie folgt:
Und die Regel ist wie oben Any auf Gruppe "Neu_IoT und FB Internet".
Nun läufts was geplant war. Alle Netzwerke die oben inbegriffen sind kommen nicht an die anderen Netze aber ins Internet kommt man trotzdem. Wie gesagt die Regeln sind aktuell nur so definiert, da ich noch keine öffentliche IP am UniFi Router habe. Nun gehts dann weiter an die nächsten Verbindungen die ich ermöglichen möchte, wie Zugriff auf DNS Server (PiHole), dann Zugriff vom "Hauptnetzwerk" auf einzellne Dienste im Servernetzwerk (habe dort Testweise paar Sachen über Docker gebaut wie Heimdal Dashboard, MeTube und ähnlichem. Die möchte ich natürlich gerne auch aus dem Hauptnetzwerk nutzen können).
Aber alles eins nach dem anderen.
blurrrr
Well-known member
Sperr nicht etliche Sachen, sondern erlaube einfach weniger. Explizite Erlaubnisse und unten drunter die deny-all-Regel, fertig. Das macht es auch wesentlich übersichtlicher.
Alternativ machste halt etwas in diese Richtung:
1. Anti-Lockout (selbst nicht aussperren, allow)
2. <Regeln bzgl. des rein "internen" Verkehrs, allow>
3. RFC1918 <-> RFC1918 verbieten
4. Allow-Regeln bzgl. extern (ein- und ausgehend, allow)
5. Cleanup (deny all)
Dazu nimmst Du am besten auch direkt noch Abstand von irgendwelchen vordefinierten/automatischen Regeln, dann weisste wenigstens warum was geht (oder auch nicht).
Regel 1 gehört eigentlich mit zu Regel 2, wird aber gern nochmal extra aufgeführt, da es ansonsten ggf. auch böse ins Auge gehen kann. Bzgl. Regel 4 wäre so ein "klassisches" Szenario eigentlich in Richtung "RFC1918 -> any -> allow", womit direkt allen privaten Netzbereich der Internetzugriff gewährt wird. Geht sicherlich auch noch wesentlich granularer (z.B. mit einzelnen Protokollen/Zielen), durch Regel 3 wurde das "any" als Ziel schon soweit eingeschränkt, dass es nur noch externe (nicht-RFC1918) Netze betrifft.
Alternativ machste halt etwas in diese Richtung:
1. Anti-Lockout (selbst nicht aussperren, allow)
2. <Regeln bzgl. des rein "internen" Verkehrs, allow>
3. RFC1918 <-> RFC1918 verbieten
4. Allow-Regeln bzgl. extern (ein- und ausgehend, allow)
5. Cleanup (deny all)
Dazu nimmst Du am besten auch direkt noch Abstand von irgendwelchen vordefinierten/automatischen Regeln, dann weisste wenigstens warum was geht (oder auch nicht).
Regel 1 gehört eigentlich mit zu Regel 2, wird aber gern nochmal extra aufgeführt, da es ansonsten ggf. auch böse ins Auge gehen kann. Bzgl. Regel 4 wäre so ein "klassisches" Szenario eigentlich in Richtung "RFC1918 -> any -> allow", womit direkt allen privaten Netzbereich der Internetzugriff gewährt wird. Geht sicherlich auch noch wesentlich granularer (z.B. mit einzelnen Protokollen/Zielen), durch Regel 3 wurde das "any" als Ziel schon soweit eingeschränkt, dass es nur noch externe (nicht-RFC1918) Netze betrifft.
michael_n1986
New member
@blurrrr Danke für dein Hinweis. Ich bin gerade etwas am "verzweifeln". Ich dachte es funktioniert wie es soll. Ich habe die Gruppe "Neu_Alle Privaten Netzwerke (RFC1918)" mittlerweile soweit entleert, dass nur noch die Netzwerke drin sind, die ich aktiv nutze und nicht das ganze 192.168.0.0 Netzwerk. Trotzdem blockt er mir das Internet was aktuell über meine "WAN" IP Adresse 192.168.178.104 bzw. DNS 192.168.178.1 läuft. Halt eben über die FritzBox.
Weil kurz zu dem, wie ich es eigentlich verstehe:
Wenn ich eine Gruppe mit 192.168.10.0/24, 192.168.20.0/24, 192.168.70.0/28, usw. aber NICHT das Netzwerk 192.168.178.0/24 in diese Gruppe hinzufüge. Im Anschluß als letzte Regel setze sperre allen Verkehr von dieser Gruppe zu dieser Gruppe. Dann sollte er doch eigentlich das 192.168.178.0 Netz total "ignorieren" oder liegt da mein Problem?
Ich habe es auch versucht im Bereich "Internet IN/OUT/LOCAL" von Any zu der Gruppe 192.168.178.0/24 dies zu erlauben. (Natürlich habe ich gewartet bis der DreamRouter wieder Grün leuchtet in der Anzeige, bevor ich andere Dinge ausprobiert habe) Oder muss ich explizit die IP 192.168.178.1 und 192.168.178.104 in einer Gruppe packen um das Internet frei zu geben? Also nicht das Netzwerk als ganzes, sondern nur die beiden IPs?
Ich denke das mit der Lokalen IP Adresse als WAN Adresse ist egal wie mans dreht und wendet mein größtes Problem.
Eine andere Sache nur des Verständnishalbers, also das ich es richig verstehe. Die Firewall im Dreamrouter gibt grundsätzlich ja alles Frei, wenn nichts anderes definiert ist. Anders als PfSence / OpnSence, die Sperren erstmal alles und man muss explizit das frei geben, was man benötigt.
Also das nur nachgefragt, das ich das was ich mir erlesen habe auch richtig verstanden habe.
Ich werde aber für heute glaub ich erstmal was anderes machen und den Kopf bisschen frei bekommen. Ich hab die "Sperrregel" erstmal pausiert.
Weil kurz zu dem, wie ich es eigentlich verstehe:
Wenn ich eine Gruppe mit 192.168.10.0/24, 192.168.20.0/24, 192.168.70.0/28, usw. aber NICHT das Netzwerk 192.168.178.0/24 in diese Gruppe hinzufüge. Im Anschluß als letzte Regel setze sperre allen Verkehr von dieser Gruppe zu dieser Gruppe. Dann sollte er doch eigentlich das 192.168.178.0 Netz total "ignorieren" oder liegt da mein Problem?
Ich habe es auch versucht im Bereich "Internet IN/OUT/LOCAL" von Any zu der Gruppe 192.168.178.0/24 dies zu erlauben. (Natürlich habe ich gewartet bis der DreamRouter wieder Grün leuchtet in der Anzeige, bevor ich andere Dinge ausprobiert habe) Oder muss ich explizit die IP 192.168.178.1 und 192.168.178.104 in einer Gruppe packen um das Internet frei zu geben? Also nicht das Netzwerk als ganzes, sondern nur die beiden IPs?
Ich denke das mit der Lokalen IP Adresse als WAN Adresse ist egal wie mans dreht und wendet mein größtes Problem.
Eine andere Sache nur des Verständnishalbers, also das ich es richig verstehe. Die Firewall im Dreamrouter gibt grundsätzlich ja alles Frei, wenn nichts anderes definiert ist. Anders als PfSence / OpnSence, die Sperren erstmal alles und man muss explizit das frei geben, was man benötigt.
Also das nur nachgefragt, das ich das was ich mir erlesen habe auch richtig verstanden habe.
Ich werde aber für heute glaub ich erstmal was anderes machen und den Kopf bisschen frei bekommen. Ich hab die "Sperrregel" erstmal pausiert.
blurrrr
Well-known member
Wenn Du RFC1918 sagst, musst Du auch RFC1918 "meinen", was bedeutet: 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16. Mach es lieber direkt so, dann musst Du hinterher auch nicht wieder etliche Stellen deswegen anfummeln.
Ich frage erstmal andersrum: Läuft für die RFC1918-Netze "ausgehend" auf dem WAN-Interface der Firewall noch zusätzlich NAT? Das ist gern automatisch implementiert, hat in Deinem aktuellen Setup aber nichts verloren. Da trägst Du die statischen Routen auf der Fritzbox zu den Netzen hinter der Firewall ein und als Gateway in diese Netze das WAN-Interface der Firewall. Somit hast Du NAT genau an einer einzigen Stelle und das wäre der Übergang ins Internet. Ansonsten läuft einfach alles sauber durch. Auch hier ist übrigens ein "RFC1918<->RFC1918 -> deny" hilfreich, denn so darf erstmal niemand in das Fritzbox-Netzwerk (ausser, Du erlaubst es explizit).
Was das "blocken" angeht, "ist" das so (s. Firewall-Log), oder kriegst Du vielleicht nur einfach keine Antwort zurück? Wenn Du kein NAT laufen hast und die Routen nicht in der Fritzbox eingetragen hast, weiss die Fritzbox nicht, wohin sie die Antwort schicken soll. Wenn Du ohne NAT unterwegs bist, müssen "alle" Netze hinter der Firewall der Fritzbox bekannt sein.
Blockt die Firewall tatsächlich den Internetzugriff (und das unerwünschter Weise) ist entweder eine Regel an der falschen Stelle (die erste passende Regel greift (von oben nach unten), der Rest wird ignoriert), oder es stimmt ggf. was bzgl. Routing/NAT nicht.
Ich hab ja nicht ohne Grund von Zettel und Stift gesprochen, das ganze will wohl durchdacht sein
Vielleichst ist es für den Anfang doch etwas leichter, wenn Du erstmal hingehst und für Dein LAN eine Regel in Form von "LAN -> Any -> Any-> allow" machst und die nach ganz oben packst. Dann guckste erstmal, dass "alles andere" vernünftig läuft und dann kannst Du die LAN-Regel (bei Bedarf) auch noch weiter verfeinern michael_n1986
New member
Der DreamRouter hängt als „normaler Client“ hinter der FRITZ!Box ohne weitere Konfiguration.
Und was mich irritiert ist, solange die Regel „verbiete Alles aus der Gruppe gegen alles aus der Gruppe“ deaktiviert ist bzw. keine Regeln aktiv sind läuft Internet und sonst alles wie normal. Erst sobald Regeln ins Spiel kommen was blockieren angeht ist mit Internet nichts mehr.
Also das betrifft auch nur die VLANs die angelegt sind. Das Managment Netzwerk 192.168.1.0/24 was vorhanden war, bevor ich überhaupt irgendetwas konfiguriert hatte.
Bevor das UniFi Zeug in den produktiv Einsatz geht, wollte ich eh alles nochmal auf Werkseinstellungen zurücksetzen um „Blödsinn“ vom probieren los zu werden.
Aber was RCF1918 bedeutet ist mir klar, ich wollte nur nicht nochmal umbenennen.
Ich hab deine Antwort nochmal gelesen und ich weiß nicht ob du darauf hinaus wolltest, in dem DreamRouter ist bei WAN DHCP eingetragen.
Und was mich irritiert ist, solange die Regel „verbiete Alles aus der Gruppe gegen alles aus der Gruppe“ deaktiviert ist bzw. keine Regeln aktiv sind läuft Internet und sonst alles wie normal. Erst sobald Regeln ins Spiel kommen was blockieren angeht ist mit Internet nichts mehr.
Also das betrifft auch nur die VLANs die angelegt sind. Das Managment Netzwerk 192.168.1.0/24 was vorhanden war, bevor ich überhaupt irgendetwas konfiguriert hatte.
Bevor das UniFi Zeug in den produktiv Einsatz geht, wollte ich eh alles nochmal auf Werkseinstellungen zurücksetzen um „Blödsinn“ vom probieren los zu werden.
Aber was RCF1918 bedeutet ist mir klar, ich wollte nur nicht nochmal umbenennen.
Ich hab deine Antwort nochmal gelesen und ich weiß nicht ob du darauf hinaus wolltest, in dem DreamRouter ist bei WAN DHCP eingetragen.
Zuletzt bearbeitet:
michael_n1986
New member
Meine Frau schmeißt mich irgendwann nochmal aus dem Schlafzimmer 
Um 3 Uhr kam mir die Lösung, zumindest glaube ich das. Muss ich heute Abend mal testen. Mein Problem dürfte der PiHole (der Vergessene DNS Server) 192.168.100.100 gewesen sein. Der ist im Servernetzwerk. Und mein PC hat ip 192.168.20.45 (DNS bekommt er vom DHCP mitgeteilt vom Router) und in Firewall gab es noch keine Regel für DNS Server
und als ich im 3 nachts wurde und wohl etwas lauter „Scheisse“ sagte fand meine Frau nicht so toll 
Heute Abend wenn ich nach der Arbeit wieder zuhause bin teste ich das und gebe Rückmeldung, die relativ sicher positiv sein wird.
Um 3 Uhr kam mir die Lösung, zumindest glaube ich das. Muss ich heute Abend mal testen. Mein Problem dürfte der PiHole (der Vergessene DNS Server) 192.168.100.100 gewesen sein. Der ist im Servernetzwerk. Und mein PC hat ip 192.168.20.45 (DNS bekommt er vom DHCP mitgeteilt vom Router) und in Firewall gab es noch keine Regel für DNS Server
und als ich im 3 nachts wurde und wohl etwas lauter „Scheisse“ sagte fand meine Frau nicht so toll Heute Abend wenn ich nach der Arbeit wieder zuhause bin teste ich das und gebe Rückmeldung, die relativ sicher positiv sein wird.
Zuletzt bearbeitet:
azrael783
Active member
Uff, da pennst du Abends einmal auf der Couch ein und schon ist der Thread leicht explodiert 
Ich habe jetzt aus Zeitgründen nicht alles gelesen, wollte aber zumindest die Port Freigaben für ESPHome noch nachliefern.
Also mein Home-Assistant steht im VLAN 140, die ESPs im VLAN 150. Damit Home-Assistant mit den ESPs reden kann musst du dem VLAN 140 den Port 6053 im VLAN 150 freigeben. Um die OTA Updates machen zu können brauchst du ebenfalls den Port 8266 (gleiche Richtung) und wenn du den Webserver auf den ESPs nutzen möchtest, brauchst du noch den Port 6052. Alles auf TCP Ebene.
Generell kann ich aber auch sagen, dass eine zu detaillierte Aufteilung nur Probleme macht, oder du eben doch fast alles wieder frei geben musst. Ich würde daher alles was mit Home-Assistant zu tun hat in ein VLAN stecken
Ich habe jetzt aus Zeitgründen nicht alles gelesen, wollte aber zumindest die Port Freigaben für ESPHome noch nachliefern.Also mein Home-Assistant steht im VLAN 140, die ESPs im VLAN 150. Damit Home-Assistant mit den ESPs reden kann musst du dem VLAN 140 den Port 6053 im VLAN 150 freigeben. Um die OTA Updates machen zu können brauchst du ebenfalls den Port 8266 (gleiche Richtung) und wenn du den Webserver auf den ESPs nutzen möchtest, brauchst du noch den Port 6052. Alles auf TCP Ebene.
Generell kann ich aber auch sagen, dass eine zu detaillierte Aufteilung nur Probleme macht, oder du eben doch fast alles wieder frei geben musst. Ich würde daher alles was mit Home-Assistant zu tun hat in ein VLAN stecken
blurrrr
Well-known member
Könnte man doch erstmal als Service zusammenfassen:
"ESP-Services" -> 6052,6053,8266/TCP
Dazu die Regel: HA ---ESP-Services---> IOT-Netz (oder besser die Gruppe "ESP-Devices"), auf der anderen Seite soll HA vermutlich sowieso an alles im IOT-Netz, von daher wäre ggf. auch etwas in Richtung "HA ---any---> IOT" nicht ganz so verkehrt, keine Ahnung.
Wenn noch z.B. Broadcasts im Spiel sind, wäre dem definitiv so. Auf der anderen Seite ist HA evtl. auch von extern erreichbar (und nicht nur von intern/via VPN), dann würden solche Einschränkungen schon irgendwo Sinn machen. Glaube z.B. nicht, dass HA Zugriff auf das Webinterface bräuchte (oder z.B. SSH), so dass man dann eben nur das "notwendige" für HA freigibt, Webinterface der ESP-Devices ist dann z.B. nur aus dem LAN/Management-Netz erreichbar. Aber ich sag ja... Zettel+Stift, erstmal hinsetzen und einen ordentlichen Plan ausklügelnGenerell kann ich aber auch sagen, dass eine zu detaillierte Aufteilung nur Probleme macht, oder du eben doch fast alles wieder frei geben musst. Ich würde daher alles was mit Home-Assistant zu tun hat in ein VLAN stecken
michael_n1986
New member
@azrael783 Danke für deinen Nachtrag. Und ja irgendwie ist man von Ports für ESP auf Firewall gekommen Hat sich irgendwie ergeben.
@blurrrr Der Smarthomeserver (egal ob Homeassistant in zukunft oder aktuell ioBroker), die sind beide grundsätzlich nur vom LAN erreichbar. Evtl. kommt noch in ferner Zukunft die Möglichkeit dazu, dass man sich mittels VPN ins Netzwerk einwählt und so dann aufs Smarthome zugreift, aber geplant war das bislang nicht. Also ich hatte noch kein Bedarf dazu gehabt.
Aber nun das aller wichtigste. Ich habe nun wieder alle Regeln komplett drin. Inklusive der vollständigen und originalen 1918 Regel. Und meiner Regel, die ich aktuell benötige um ins Internet zu kommen habe ich auch drin. Das erste was ich vorhin gemacht habe, den DNS Eintrag im DHCP gelöscht und im Anschluß habe ich versucht mit dem Handy ins Internet zu gelangen und ich muss sagen, es geht. Was so ein PiHole, an den man nicht denkt alles für Probleme bereiten kann
Nun heißt es dann noch für dem Servernetzwerk den Zugriff auf das 192.168.178.0/24 Netzwerk zu erlauben und im Anschluß muss ich dann dem Hauptnetzwerk erlauben auf dem DNS Server zugreifen zu dürfen. Aber das ist eigentlich kein Hexenwerk. Zumindest so der Plan
Hat sich irgendwie ergeben.@blurrrr Der Smarthomeserver (egal ob Homeassistant in zukunft oder aktuell ioBroker), die sind beide grundsätzlich nur vom LAN erreichbar. Evtl. kommt noch in ferner Zukunft die Möglichkeit dazu, dass man sich mittels VPN ins Netzwerk einwählt und so dann aufs Smarthome zugreift, aber geplant war das bislang nicht. Also ich hatte noch kein Bedarf dazu gehabt.
Aber nun das aller wichtigste. Ich habe nun wieder alle Regeln komplett drin. Inklusive der vollständigen und originalen 1918 Regel. Und meiner Regel, die ich aktuell benötige um ins Internet zu kommen habe ich auch drin. Das erste was ich vorhin gemacht habe, den DNS Eintrag im DHCP gelöscht und im Anschluß habe ich versucht mit dem Handy ins Internet zu gelangen und ich muss sagen, es geht. Was so ein PiHole, an den man nicht denkt alles für Probleme bereiten kann
Nun heißt es dann noch für dem Servernetzwerk den Zugriff auf das 192.168.178.0/24 Netzwerk zu erlauben und im Anschluß muss ich dann dem Hauptnetzwerk erlauben auf dem DNS Server zugreifen zu dürfen. Aber das ist eigentlich kein Hexenwerk. Zumindest so der Plan
michael_n1986
New member
Klar das auf jedem Fall. Aber dann könnte ich es mir auch alles sparen, weil UniFi ja von Werk aus diese Form von "Regel" hat.
Aber zumindest ist die Adminoberfläche vernünftig flink, anders als bei meiner FB
Aber zumindest ist die Adminoberfläche vernünftig flink, anders als bei meiner FB
michael_n1986
New member
Okay die Regel wo ich Zugriff auf das Netzwerk 192.168.178.0/24 einräume benötige ich nicht, obwohl der Dreamrouter eine IP aus dem Bereich bekommen hat für den WAN Port. Also als schein "öffentliche" IP. Also selbst wenn ich die vollständige Regel RFC1918 aktiv habe läuft die Verbindung ins Internet.
Ich hab gerad dem IoT Netzwerk mal den "Stecker" zum Internt gezogen um zu gucken ob das klappt. Aber das funktioniert wohl deutlich besser über die "Traffic Rules".
Der DNS Server ist auch wieder aktiv, also der zuletzt die Probleme gemacht hatte und mich den Schlaf gekostet hat Ich habe eine Allow Regel gemacht für die Quelle Any Ziel Gruppe "IP Adressen von DNS Server" und Gruppe "Ports für DNS Server". Und auch das läuft problemlos. Ich hätte nicht unbedingt eine Gruppe machen müssen für IP Adressen von DNS Server, aber ich habe vor in zukunft statt 1 PiHole ein Zweiten als Backup laufen zu lassen. In der FB konnte man ja nur 1 eintragen. Bei Unifi sind bis zu 4 möglich, aber 2 reichen.
Hatte im "Aktiven" Netzwerk mit der Fritzbox schon mal ein verschlucken vom PiHole und meine Frau kam nicht mehr ins Internet, erst als ich wieder zuhause war und dem PiHole neu gestarten hatte. Daher kommt ein Backup PiHole zum tragen.
Nun gehts weiter in der Firewall mit Sperren des Zugriffs auf die Weboberfläche vom Dreamrouter für Netzwerke, die es nicht brauche. Unter anderem IoT und Gast (was erst kommt, wenn es an den Produktiven Einsatz von UniFi kommt.)
@blurrrr Aber deinen Hinweis mit Papier und Stift möchte ich nicht unterschätzen. Für die ersten Planung ist sowas viel wert. Nur man sollte in dem Fall auch an alles denken Weil sonst funktioniert es in der Theorie nur nachher in der Praxis nicht. Wie in meinem Fall mit dem PiHole den ich vergessen hatte. Aber Stift und Zettel hat mir geholfen um abzuschätzen, wie groß die jeweiligen Netze sein müssen. Also ob das "übliche" /24 Netz überall ausreicht oder vielleicht doch hier und da etwas an die grenzen stoßen könnte.
Ich hab gerad dem IoT Netzwerk mal den "Stecker" zum Internt gezogen um zu gucken ob das klappt. Aber das funktioniert wohl deutlich besser über die "Traffic Rules".
Der DNS Server ist auch wieder aktiv, also der zuletzt die Probleme gemacht hatte und mich den Schlaf gekostet hat
Ich habe eine Allow Regel gemacht für die Quelle Any Ziel Gruppe "IP Adressen von DNS Server" und Gruppe "Ports für DNS Server". Und auch das läuft problemlos. Ich hätte nicht unbedingt eine Gruppe machen müssen für IP Adressen von DNS Server, aber ich habe vor in zukunft statt 1 PiHole ein Zweiten als Backup laufen zu lassen. In der FB konnte man ja nur 1 eintragen. Bei Unifi sind bis zu 4 möglich, aber 2 reichen.Hatte im "Aktiven" Netzwerk mit der Fritzbox schon mal ein verschlucken vom PiHole und meine Frau kam nicht mehr ins Internet, erst als ich wieder zuhause war und dem PiHole neu gestarten hatte. Daher kommt ein Backup PiHole zum tragen.
Nun gehts weiter in der Firewall mit Sperren des Zugriffs auf die Weboberfläche vom Dreamrouter für Netzwerke, die es nicht brauche. Unter anderem IoT und Gast (was erst kommt, wenn es an den Produktiven Einsatz von UniFi kommt.)
@blurrrr Aber deinen Hinweis mit Papier und Stift möchte ich nicht unterschätzen. Für die ersten Planung ist sowas viel wert. Nur man sollte in dem Fall auch an alles denken
Weil sonst funktioniert es in der Theorie nur nachher in der Praxis nicht. Wie in meinem Fall mit dem PiHole den ich vergessen hatte. Aber Stift und Zettel hat mir geholfen um abzuschätzen, wie groß die jeweiligen Netze sein müssen. Also ob das "übliche" /24 Netz überall ausreicht oder vielleicht doch hier und da etwas an die grenzen stoßen könnte.
Zuletzt bearbeitet:
