Ubiquitit - Wie konfiguriere ich meine Netze "Shelly-freundlich"

  • Hallo,

    ich besitze neben einem gefährlichen Netzwerk-Halbwissen eine Unifi-Netzwerkinfrastruktur mit

    - UDM Pro

    - 24 Port PoE-Switch

    - 4 AP 6 Lite und ein AP AC Lite

    Ich betreibe neben diversen anderen IoT-Geräten (Kameras, Sonos-Boxe etc...) ca. 70 Shelllies. Außerdem habe ich einen alten PC mit Proxmox am Laufen. Dort betreibe ich jeweils auf einem eigenen Container IOBroker, Homebridge und noch ein paar andere Dinge.

    Bislang hatte ich alles Geräte in einem Netzwerk. Dieses musste ich aufpumpen, da die mir die IP-Range von 256 Adressen etwas knapp geworden ist. D.h. ich hatte ein LAN mit der Maske 192.168.0.0/22. Damit konnte ich von 192.168.0.0 bist 192.168.3.255 insgesamt 1024 Adresse vergeben. Ich vergebe gerne feste IP-Adressen, um die Übersicht zu behalten. Meine Shellies waren alle in 192.168.2.x und dort nach Räumen sortiert. Dieses war aber kein eigenes Netzwerk sondern lediglich eine IP-Range in meinem großen Netzwerk.

    Jetzt reicht mein Halbwissen, um einzusehen, dass es sinnvoller ist, echte Netze oder zumindest VLANs einzurichten. Das habe ich jetzt gemacht und folgende Netze eingerichtet:

    - Privat: 192.168.20.0/24 => Für alle Devices wie PCs, Smartphones etc.

    - IoT: 192.168.30.0/24 => Kameras...

    - shelly: 192.168.40.0/24 => Für alle Shelly Devices

    Mein Admin-LAN soll dann auf 192.168.1.0/24 "downgegraded" werden. Dort sollen dann nur noch Router, Accesspoint etc. Drin sein.

    Für die Einrichtung der Netzwerke habe ich mich an folgende Anleitung gehalten: https://www.youtube.com/watch?v=xUr2djOtgt0

    Die Netze sollen untereinander komplett offen sein und geroutet werden. Grundsätzlich klappt das auch. Von meinem Smartphone im "Privat"-Netz kann ich über die Shelly-App die Shellies im "shelly"-Netz steuern, sowohl über die Web-UI als auch über die Shelly-App. Es ist nur ziemlich zäh und dauert echt lange...

    Das erste "echte" Problem ist aber, dass mein IOBroker, den ich im "Privat"-Netz-platziert habe, die Shellies nicht mehr steuert.

    Beispiel: Ich nutze mit dem Button 1 als Action einen HTTP-Api-Call beim IOBroker (192.168.20.201:8087/set/0_userdata.0.Schalter.Button3.push?value=true). Ich kann sehen, dass das der Wert von "Button3" auf "true" gesetzt wird, d.h. der Shelly erreicht per http den IOBroker im benachbarten Netz.

    Das Script versucht dann bei einem ShellyOne den Werte "Relay0.switch" auf "true" zu setzen. Der Wert bleibt aber rot, wird also nicht vom Gerät bestätigt. In diesem Shelly1 steht auch unter "hostname" immer noch die alte IP.

    Meine Fragen daher:

    - Was muss ich netzwerkseitig noch konfigurieren, damit IO-Broker und Shellies in verschiedenen Netzen kommunizieren können? MulticastDNS ist in beiden Netzwerken aktiviert; Netzwerkisolation ist deaktiviert

    - Oder muss der IOBroker auch zwingend in mein Shelly-Netz?

    - Wer hat denn UniFi von euch am Laufen? Wie habt ihr die Netze konfiguriert?

    Ein letztes: Bevor jetzt wieder kommt "Glaskugel, wir kennen Deine Konfiguration nicht..." Was müsst Ihr von meiner Konfiguration noch wissen?

  • Vorab, ich habe von Ubiquiti und VLAN umgestellt.

    Ubiquiti, gerne Ubiklicki genannt, hat mir doch zu viele Probleme bereitet, die VLANs erwiesen sich als nicht sinnvoll, wenn eh alles untereinander kommunizieren darf und im Fehlerfall produzieren diese einen Mehraufwand.

    Ich habe ein 10er Netz (10.xxx.xx.xxx/18) aufgespannt und habe alles per DHCP am laufen und lasse den bekannten Geräten per DHCP immer die selben IPs zuweisen.

    In diesem Netz ist ausreichend Platz, um jedem Raum seine knapp über 250 IPs zu geben.

    Das vorletzte Segment ist meine Raumnummer 0-9 für das KG, 10-19 für das EG, 20-29 für das OG etc. Wo ich Bereiche, sprich Räume, anlege, bekommen die immer die Raumnummer vorangestellt.

    Vielleicht ist das schon ein Schritt für dich, den du in Erwägung ziehen möchtest. Grundsätzlich sollte man es so simpel wie möglich halten, ansonsten stehst du mit deinem Halbwissen irgendwann da und verbrätst Stunde für Stunde.

  • VLANs erwiesen sich als nicht sinnvoll, wenn eh alles untereinander kommunizieren darf

    Dass alles untereinander kommunizieren darf, ist ja auch nicht der Sinn von VLANs, Schubbie.

    Bei mir funktionieren die VLANs so:

    • es gibt ein VLAN „IoT“ und ein VLAN für meine Rechner und Händis – nennen wir es mal „Privat“
    • mein Homeassistant steht in „IoT“ und darf von dort ins Internet und auch nach „Privat“
    • aus „IoT“ heraus ist ersteinmal alles (auch Internet) verboten
    • NTP auf den Router ist für „IoT“ erlaubt
    • zusätzlich dürfen die Shellys die Shelly-Server erreichen, sonst nichts
    • von „Privat“ nach ganz „IoT“ dürfen nur ausgewählte Geräte
    • Homeassistant in „IoT“ dürfen jedoch alle Geräte aus „Privat“ erreichen
    • Smart-TVs stehen in „IoT“, und die Smart-TVs dürfen auch ins Internet

    Dann habe ich noch ein VLAN „Gast“ und ein VLAN „Admin“, in dem die Infrastrukturgeräte wie die Accesspoints und die Switches liegen.

    Firewall ist bei mir „OPNsense“, aber eine „Dream-Machine“ sollte das ebenso leisten.

  • Ja, das liest sich ungefähr so, wie ich es auch eigentlich gerne hätte haben wollen... aber ich breche mir halt gerade die Finger. Ich wäre ja schon froh, wenn die Variante "Alles ist offen", gut funktionieren würde...

    Ich komme von meinem Laptop aus meinem "Privat"-Netz auf die Shellies... aber es ist grotten Lahm. Man spürt quasi, dass sich das Netz nicht wohl fühlt da irgendetwas Amok läuft, ich habe nur keine Ahnung, was. Ich habe jetzt mehrmals schon den Router neu gestartet, dann wird es manchmal besser und dann auch wieder schlechter. Ich glaube, ich schmeisse auch wieder alles in ein Netz, wie Schubbie...

  • „grottenlahm“ ist halt recht diffus. Stelle doch mal ein bekanntes Gerät ins Iot-VLAN, z.B. einen Läptop. Ist von „Privat“ dorthin die Kommunikation ebenso grottenlahm?

    ping, traceroute, iperf3, …

    mehrmals schon den Router neu gestartet

    Damit meinst du die UDM Pro?

  • Dieses Thema enthält 23 weitere Beiträge, die nur für registrierte Benutzer sichtbar sind, bitte registrieren Sie sich oder melden Sie sich an um diese lesen zu können.