Nach VLAN HA nicht mehr erreichbar

[maustru]

Hallo zusammen

Ich habe gestern abend meine vlans erstellt (unfi). Funktioniert soweit sogut. Die IP adressen werden beim verbinden ins entprechende WLAN ebenfalls richtig verteilt usw.
Mein HA läuft auf einer Syno mit einer VM. Dort musste ich ja ebenfalls das neue VLAN mit Nummer eingeben.
Nun komme ich von aussen (über VPN geht es logischer weise noch) nicht mehr auf mein HA drauf. Ich gehe sher schwer davon aus der er z.b. die Stanadrt Gateway oder sowas nicht weiss.

Aussehen tut das ganze so:







Hab hier nochwas gefunden:
https://community.home-assistant.io/t/setup-vlan-and-ha-tutorial/87705/111

aber das bringt mich ebenfalls nicht weiter, bzw. will bei mir irgendwie nicht.
Hat da jemand ne idee?

Gruss

 

[blurrrr]

Nun komme ich von aussen (über VPN geht es logischer weise noch) nicht mehr auf mein HA drauf. Ich gehe sher schwer davon aus der er z.b. die Stanadrt Gateway oder sowas nicht weiss.

Das VPN-Netz sollte eigentlich ein eigenes sein. Somit wäre eine Kommunikation zwischen 2 Netzen notwendig und sofern man keine extrea Routen definiert hat, sollte auch HA per Default bei einem unbekannten Netz (VPN) die Daten an sein Standardgateway schicken.

Vielleicht klärst Du uns einfach mal über Deine Infrastruktur auf, das dürfte es wesentlich einfacher machen

 

[frosch2]

Ohne detaillierte Angaben über deine IP-Bereiche der VLANs, wird es schwierig dir zu helfen.
Bitte auch angeben im welchem Netz sich HA und der Client, von dem du zugreifen möchtest, befinden.

 

[maustru]

Hallo zusammen
denke das Bild sagt eigentlich alles aus was ihr wissen wollt:



Wie gesagt: Die VLans laufen problemlos. die iOT geräte sehe ich alle im richtigen VLan usw.

Vor der erstellung der VLans kam ich problemlos drauf.
Die IPs sind geforwardet vom HA.

Gruss und danke schonmal

 

[blurrrr]

Das Bild sagt erstmal aus, dass es recht komisch aussieht (Switch nur über die Syno mit der Firewall verbunden?)

Warum hat HA "2" IPs? Wäre es nicht zielführender, wenn man die HA-Instanz einfach "nur" in das IOT-Netz steckt? Jegliche "Sicherheitsgedanken" bzgl. dem IOT-Netz sind eh überflüssig, denn:

Internet <-> HA <-> IOT-Netz
Internet <-> HA <-> LAN

Wird die HA-Instanz übernommen, ist man auch direkt in beiden Netzen (IOT+LAN). Insofern... zum Schutz des LAN wäre HA im IOT-Netz besser aufgehoben (oder ggf. in einem komplett eigenen Netz). Somit kann sich ein Angreifer noch im IOT-Netz austoben, aber nicht im LAN.

Ich "vermute" einfach mal, dass das IOT-Netz "nicht" nach draussen darf (so wäre es zumindestens bei mir, hätte ich ein IOT-Netz)? Dann sollte bei den 2 IP-Adressen der HA-Instanz auch nur bei dem Netz 192.168.0.0/24 das Standardgateway gesetzt werden.. Alternativ halt die Metrik anpassen, aber keine Ahnung, wie das bei HA funktioniert (und ob man da überhaupt dran kommt). So wie ich das sehe, hängt HA ja auch "nur" mit einer Seite im IOT-Netz, damit der Zugriff auf die Gerätschaften innerhalb dieses Netzes möglich ist, dafür braucht es auf diesem Interface kein Standardgateway.

Ansonsten: Auf der Firewall müssen für den Zugriff 1-2 Dinge vorhanden sein:

1) Firewall-Regel, welche den Zugriff von aussen auf HA erlaubt (gilt für IPv4 und IPv6)
2) DNAT-Regel: WAN-IP der Firewall -> LAN-IP der HA-Instanz (gilt nur für IPv4)

Besser wäre es allerdings - sofern die Firewall das unterstützt - wenn die Firewall direkt als Reverse-Proxy agieren würde (oder ggf. übernimmt das auch die Syno in Deinem Konstrukt?). Somit würden die Regeln nicht mehr für HA gelten, sondern für den Reverse-Proxy, womit die Kommunikation mit extern dann wie folgt aussieht:

Internet <-> Reverse-Proxy <-> HA-Instanz

Allerdings muss man HA dazu noch entsprechend anpassen, mehr dazu findest Du hier: https://www.home-assistant.io/integrations/http/ ("x_forwarded_for" dabei nicht vergessen). Zudem kannst Du die SSL-Geschichte dann auch getrost dem Reverse-Proxy überlassen.

Hoffe der kleine Überblick hat ein bisschen geholfen

 

[maustru]

Vielen Dank blurrrr!
Das Bild oben war natürich falsch... Die Linie sollte von der UDM auf den Switch gehen und nicht nur aufs NAS.
Ich will das HA in beiden Netzen drin haben, da ich nicht alles im iOT habe was brauche, sondern noch zwei drei sachen im normalen LAN.

Hab es war eine kleine Einstellung in der UDM die da tatsälich mir einen strich durch die Rechnung gemacht hat.
Ich hatte das "Multicast DNS" nicht eingestellt... anscheinent ist dies aber essensitell wichtig...

 

[blurrrr]

Keine Ahnung, was mDNS mit der Unerreichbarkeit eines Systems zu tun haben soll, aber ok - wenn es nun für Dich klappt, ist ja alles im Lot