Frage zu VLANs, Homebridge und IOBroker

Moin,

ich habe mein Netzwerk in verschiedene Segmente unterteilt, z.B. für

• Smarthome (IoT)
• Mobilgeräte
• Privat (="echte" Arbeitsgeräte wie PCs, Notebooks, etc.)
• Gäste

Um Hardware zu sparen basiert das Ganze letztlich auf VLANs. Im Prinzip ist bei mir 1 Subnetz = 1 VLAN = 1 IP-Adressbereich = 1 WLAN.

Warum habe ich die Netze voneinander getrennt bzw. die Kommunikation zwischen den Subnetzen beschränkt?

• Netzwerksegmentierung ist ein wichtiges Konzept im Bereich der IT-Sicherheit. Gerade mit IoT-Geräten gehen im Allgemeine zahlreiche neue Sicherheitsprobleme einher.
• Mittels Netzwerksegmentierung kann z.B. die Ausbreitung einer Schadsoftware isoliert oder zumindest verlangsamt werden.
• Aber: Das Ganze ist immer ein Kompromiss aus Komfort und Sicherheit. Eine vollständige Isolation ist zwar sehr sicher, aber wenig komfortabel. Bei mir sieht der Kompromiss z.B. so aus, dass kein Gerät aus dem Smarthome-Subnetz in andere Subnetze oder das Internet kann; aber umgekehrt das Privat-Subnetz oder Mobilgeräte-Subnetz auf das Smarthome-Subnetz und Internet zugreifen können.
• Meine Firewall habe ich prinzipiell so konfiguriert, dass alles verboten ist, was nicht explizit erlaubt ist (es gibt auch die umgekehrte Herangehensweise).

Welche Netze und Kommunikationsbeziehungen du benötigst, kannst du dir vermutlich am besten anhand einer Skizze überlegen (Segmente, Geräte, was machen die Geräte, usw.). Jede Kommunikationsbeziehung bedeutet letztlich ein Loch mehr in der Firewall.

Genauso wie mein Smarthome noch wachsen wird, werde ich auch mein Netzwerk weiter ausbauen und dort z.B. zukünftig zusätzliche Firewalls usw. installieren.

Wenn dann mal was nicht läuft:

• Bei Kommunikationsproblemen zuerst die Firewall-Regeln kontrollieren, ggf. dort das Logging einschalten um zu schauen, welche Pakete verworfen werden.
• Ansonsten einfach kurz mit einem Notebook mit dem jeweiligen Netz verbinden und von da aus mal schauen, was du alles anpingen kannst (sozusagen austesten). Neben Firewall-Regeln könnte auch fehlerhafte Routen eine Ursache sein.

Gruß,

Dreibein

Zitat

Mein Homebridge-Server im "HeimNetz" findet die Shellies aber nicht mehr. Wenn ich die Homebridge ins "iot"-LAN umziehe, findet Homebridge die Sonos-Boxen im "HeimNetz" nicht mehr, wenn ich die wiederum ins "iot"-Netz umziehe, findet die Sonos-App auf meinem Handy die Sonos-Boxen nicht mehr, wenn ich mein Handy auch ins "iot"-Netz umziehe, habe ich wieder aller Geräte im selben Netz.

ja, so ist das mit dem UDP-Protokoll und Multicast-Nachrichten (mDNS & Coap).. die werden nicht geroutet und sind (genau wie Broadcasts) nur im lokalen Netz sichtbar.

Stand jetzt: eine mögliche Lösung wäre ein Multicast-Proxy, der die Coap und mDNS Nachrichten von einem ins andere VLAN weiterleitet..

Mit Firmware Version 1.10 wird der Shelly auch Coap-Unicast-Nachrichten schicken können, die kannst du dann (sofern das Routing stimmt) an jede x-beliebige IP senden lassen, egal ob im Heimnetz, im IoT-Netz oder im Internet.

Beim ShellyMotion klappt das sogar jetzt schon (Internet & Security Settings - Coiot)

Zitat

ja, so ist das mit dem UDP-Protokoll und Multicast-Nachrichten (mDNS & Coap).. die werden nicht geroutet und sind (genau wie Broadcasts) nur im lokalen Netz sichtbar.

Vielleicht verstehe ich es falsch und ich bin auch kein Netzwerker, aber ... wieso kann UDP nicht geroutet werden? UDP und TCP sitzen eine Schicht über IP (=Layer 3). Das Routing erfolgt auf L3. Beide, UDP und TCP nutzen es.

Wenn die Kommunikation im Kontext von Homebridge IP-basiert läuft, dann ist es wurscht in welchen Teilnetz sie stehen, so lange sie an einem Router angeklemmt sind. Wenn die Kommunikation anders erfolgt, z.B. mittels MAC-Adressen o.ä., ja dann geht das nur im selben Teilnetz.

UDP allgemein (z.B. Unicast) kann natürlich geroutet werden aber UDP-Multicast wird es meines Wissens per Default nicht, daher die Anregung einen Proxy zu nutzen und die Nachrichten von einem VLAN ins andere VLAN zu forwarden.