HA Migration von IoT Netzwerk in Management Netzwerk

    Hi,

    Ich habe ein recht aufwändiges Unifi Netzwerk mit mehreren Netzwerken/Subnets und Firewall settings.

    Alle Shellies sind zusammen mit weiteren IoT Geräten in einem IoT Netzwerk. Anfänglich habe ich meinen Home Assistant Server ebenfalls im IoT Netzwerk aufgesetzt damit dieser z.B. die Shellies automatisch erkennt. Eigentlich versuche in IoT und Management (z.B. Pihole, InfluxDB Server etc.) in separaten Netzwerken zu halten und nur die notwendigen Ports zur Kommunikation zwischen diesen Netzwerken freizugeben. Das Management Netzwerk hat uneingeschränkten Zugriff auf das IoT Netzwerk, das IoT Netzwerk kann hingegen nur mit bestimmten Servern und über bestimmte Ports im Management Netzwerk kommunizieren.

    Nun möchte ich gerne meinen Home Assistant Server ins Management Netzwerk migrieren.

    Ich denke dass dies im Prinzip simpel sein sollte, doch bevor ich diesen recht umfangreichen Schritt (mit über 30 Shellies, ESPeasys, ESPHomes, Aqara...) mache und am Ende nichts mehr funktioniert, könnte mir jemand sagen worauf ich noch achten muss?

    Ich gehe davon aus dass ich das Folgende ändern muss:

    - ColoT Adresse in allen Shellies anpassen

    (- Port 5683 in das Management Netzwerk erlauben)

    Noch etwas?

    Die Adresse der Shellies in HA änder sich nicht, da die Shellies dort bleiben wo sie sind. Oder gibt es da evtl. noch Probleme an die ich nicht gedacht habe?

    Vielen Dank!

    Ich würde den Home-Assistant nicht aus dem IoT-VLAN herausnehmen. Die Kommunikation zwischen verschiedensten IoT-Devices und Home-Assistant erfolgt über dermaßen viele Wege, Ports, Protokolle und Methoden, dass es mir zu aufwändig wäre eine entsprechende Firewall zu pflegen. Also ich meine jetzt nicht nur Shelly, sondern auch die vielen anderen Devices. Ich habe z.B. auch meine Smart-TVs im IoT-VLAN. Es gibt noch MDNS, Broadcasts, Bonjour, usw. usw. was da alles eventuell funktionieren muss.

    Die Kommunikation zwischen Home-Assistant und Admin-VLAN und/oder normalem VLAN für PC, Händi, usw. beschränkt sich hingegen auf HTTP, HTTPS und SSH – sehr überschaubar.

    Hintergrund: Über die unifi network integration ist es anscheinend möglich PoE powered devices zu schalten.

    IoT devices sind generell nicht vertrauenswürdig, weshalb mein IoT Netzwerk nicht nur isoliert ist, sondern auch jegliche corss-network/vlan Kommunikation und internet Zugang der IoT devices blocked. HA im gleichen Netzwerk zu haben war mir schon lange ein Dorn im Auge. Wenn ich nun noch HA erlaube per site admin permissions meine Switches teilweise zu kontrollieren, dann muss es definitiv raus. (würde momentan eh nicht gehen da mein IoT Netzwerk nicht mit Gateway sprechen darf, von daher müssten ohenhin firewall rules angepasst werden).

    Aufwand ist für mich ok, wenn es Sicherheit schafft.

    Zitat

    IoT devices sind generell nicht vertrauenswürdig

    Sehe ich genauso.

    Zitat

    Aufwand ist für mich ok, wenn es Sicherheit schafft.

    Dann bleibt wohl nur – neben den ohnehin bekannten Freischaltungen – das Firewall-Log nach Drops zu durchforsten.

    • bei CoIoT das Multicasting abschalten – also Home-Assistant-Adresse und Port 5683 konkret angeben,
    • MQTT, wenn du das benutzt,
    • an NTP denken – am besten NTP vom Device, wo auch die Firewall läuft,
    • darüber nachdenken, wie die IoT-Devices an Software-Updates kommen sollen (geht bei Shelly auch von einem lokalen Webserver)
    • ohne Internet können die Shellys keine Auto-Sommerzeit, was für shelly-lokale Zeitpläne relevant ist, aber mit Home-Assistant braucht man die auch nicht,

    .

    Sorry für die späte Antwort!

    Merci vielmals!

    Das mit der Sommerzeit ist ein guter Punkt darüber hatte ich noch nicht nachgedacht.

    Die Update Geschichte kenne ich schon, das geht auch jetzt schon nicht, aber ist auch kein grosses Problem. Grundsätzlich bin ich der Meinung "never change a running system", da ich mir auch schon vieles durch updates zerschossen habe (z.B. weil irgendwo der default mqtt topic tree geändert wird), aber wenn es wifi sicherheits fixes geben sollte ist das natürlich ein wichtiger punkt.