Habt Ihr Eure IoT-Geräte im LAN "isoliert" und wenn ja wie?

[Jim_OS]

DHCP und Routing funktioniert aber immerhin.

Die in #36 geschilderten Probleme mit dem Tablet und dem Smartphone, sprich Routing scheinbar nach Lust und Laune der Fritzbox, waren dann der entscheidende Grund für keine weiteren Versuche. Wie vorher schon mal geschrieben muss und will ich wissen was bei mir im LAN/WLAN passiert und das immer und zuverlässig. Ist das nicht gegeben kommt es überhaupt nicht in Frage.

VG Jim

 

[w00dcu11er]

dann kommt eh ein "vernünftiger" Router ins Haus inkl. Sophos

OK eine Fritzbox ist halt ein Router für den Heimgebrauch

Dann her mit den Tipps der Routers. Bin nämlich auf der Suche nach einem in dieser Dimension angesiedelten Router ... ^^

 

[Jim_OS]

Da gebe es viele. Um das ggf. besser einzugrenzen wäre eine Angabe was Du max. bereit bist auszugeben nicht schlecht. Auch spielen m.M.n. die pers. Vorkenntnisse bzgl. eines Netzwerkaufbaus eine gewisse Rolle und wie sehr man bereit ist sich in etwas einzuarbeiten.

Edit: Das geht von sehr kostengünstig (z.B. Mikrotik Router + Switch) bis hin zu teuer für professionelle Firewall-Lösungen von Hersteller X, Y, oder Z.

VG Jim

 

[Jim_OS]

Im Moment tendiere ich dazu, da ich eh einen NUC mit HA 24/7 laufen habe, diesen durch eine Proxmox-Lösung zu ersetzen. D.h. Proxmox + OPNsense/pfSense + HA auf einem Gerät.

Proxmox + HA als VM wäre dann schon mal erledigt.


Falls das jemanden hier interessieren sollte: Ein kompl. Umzug eines bestehenden HAOS auf HA in einer VM unter Proxmox, war (bei mir) mit der HA Backup-/Restore-Funktion problemlos möglich. Nach einem Neustart von HA und der entsprechenden Proxmox HA VM, wurden alle Geräte, Integrationen, Add-ons usw. problemlos übernommen und das ohne jeglichen Fehler! Meinen Zigbee USB-Dongle hatte ich vorher natürlich in die HA VM eingebunden.



Lediglich die Mosquitto Broker IP musste bei ein paar externen Geräten (z.B. Tasmota Steckdosen) noch auf die neue IP der HA VM angepasst werden.

Ich bin gerade schwer begeistert von der Backup-/Restore-Funktion von HA. Ich hatte wirklich nicht gedacht das so eine Art von Restore (also ein kompl. Umzug in eine VM) so einfach und fehlerfrei funktioniert.

Die HA Systemauslastung meines NUC8I3 ist auch in der Proxmox VM weiterhin nicht der Rede wert.



Jetzt muss ich mir für OPNSense erst einmal eine zweite LAN-Schnittstelle für den NUC besorgen. Mit nur einer LAN-Schnittstelle und virtuellen Gateways, wollte/will ich eigentlich nicht arbeiten.

VG Jim

 

[Jim_OS]

In Zeiten in denen jede kWh "wertvoll" ist noch eine Info zum Stromverbrauch: Dieser hat sich durch den Wechseln von HAOS zu Proxmox + HA VM nicht signifikant erhöht.

Idle-Werte:
HAOS = 9 Watt
Proxmox + HA VM = Durchschnittlich 10 - 11 Watt



Wobei diese leichte Erhöhung ggf. auch damit zusammenhängen kann das ich von einer Crucial P1 NVMe PCIe SSD auf eine Crucial MX500 SATA SSD gewechselt habe, um den PCIe Steckplatz für einen zusätzlichen LAN-Adapter frei zu bekommen.

Wie schon erwähnt ist die Auslastung meiner I3-8109U CPU unter HA nicht der Rede wert. Hier noch die Daten von der HA Sys-Info.


Anm.: Aktuell habe ich rund 300 Entitäten unter HA.

Noch ein Tipp falls jemand ebenfalls Proxmox auf einem Intel NUC installieren will. Sollten im Syslog Fehler zu Intel NIC e1000 auftauchen dann ist das hier die Lösung.

Ich hatte zwar früher schon mal mit Proxmox "gespielt", aber für einen Anfänger kann diese Anleitung für den Einstieg ganz hilfreich sein.


PS: Falls sich jemand fragen sollte warum ich den NUC nutze und warum ich nicht einfach eine fertige Firewall-Lösung ala Protectli oder Ähnliches kaufe. Ganz einfach:
1. Hatte ich den NUC hier eh für HA im Einsatz und ihn weiter nur für HA zu nutzen wäre nicht wirklich sinnvoll/effektiv.
2. Kostet jede fertige Firewall-Lösung zusätzlich Geld und bei den günstigen (~ € 200 - € 300) Modellen bekommt man dann auch nur (meist) eine Celeron J4125 CPU. Diese hat dann zwar 4 Cores und die zusätzlichen LAN-Anschlüsse und ist auch etwas sparsamer beim Stromverbrauch, aber immer noch langsamer als meine betagte I3-8109U CPU aus 2018. D.h. will man z.B. Proxmox + OPNSense + HA + X laufen lassen ist bei einer Celeron J4125 CPU schnell Ende im Gelände.

PPS: Wer sich ggf. ebenfalls eine Firewall-Lösung bauen/zusammenstellen möchte, statt sich eine z.Z. a) schlecht lieferbare und b) recht teure fertige Firewall-Lösung zu kaufen, dem empfehle ich sich mal bei Refurbished Thin Clients (Stichwort: Geringer Stromverbrauch) um zu schauen. Diese Geräte - meist Leasing-Rückläufer - werden inzwischen ja auf div. Plattformen angeboten. Bei mydealz werden auch immer wieder entsprechende Angebote gepostet.
Ich pers. würde ein Lenovo ThinkCentre M720q oder M920q empfehlen, da dieses zusätzlich einen Steckplatz für eine Riser Card hat, der für weitere LAN-Adapter natürlich sinnvoll ist. Mit etwas Glück kann man ein Lenovo ThinkCentre Tiny m920q i3 8300t 8Gb Ram 128 Gb SSD für um die € 200 + X bekommen.
Eine gute Seite zu dem Thema gebrauchten Thin Clients wieder neues Leben einhauchen wäre z.B.: https://www.servethehome.com/tag/tinyminimicro/

VG Jim

 

[Jim_OS]

Anders sieht das natürlich aus wenn das heimische LAN/WLAN auch noch jede Menge andere Geräte - insbesondere IoT-Geräte - beinhaltet. Das IoT-Geräte ein größeres Sicherheitsrisiko darstellen ist wohl unbestritten, wenn sogar das BSI vor den möglichen Gefahren warnt und Hinweise dazu gibt wie man das Risiko verringern kann/könnte.

Da ich mich gerade damit befasst habe noch ein Beispiel: In meiner Wolf Heizungsanlage aus 2019 befindet sich ein SmartHome-Modul von Wolf (ISM7i). Die Wolf SmartHome-Module sind dafür vorgesehen sich per Internet mit der Wolf Cloud zu verbinden, um eben auch darüber seine Heizungsanlage steuern zu können. Alternativ kann man sie auch (z.T. eingeschränkt) per Windows-Software aus dem Jahr 2019, oder App aus dem Jahr 2020, nutzen.

Wolf verkauft seine SmartHome Module (ISM7i, ISM7e) weiterhin, nur das bei diesen bereits seit 2 - 3 Jahren keinerlei Softwarepflege mehr stattfindet, bzw. stattgefunden hat. D.h. es gibt weder Firmware- noch Software-Updates. In der WebGUI-Software findet man dann z.B. noch Uralt-Links zu Software eines chinesischen Ministeriums: miibeian.gov.cn is the website of a special management system of the Ministry of Information Industry

Bei solchen Produkten sollten man sich dann ggf. doch die Frage stellen wie sicher diese wohl (noch) sind und ob es wirklich eine gute Idee ist diese in seinem Heimnetzwerk, zusammen mit allen anderen Geräten, zu haben.

VG Jim

 

[Jim_OS]

Wer sich für das Thema interessiert kann auch mal hierauf einen Blick werfen: DIY-Firewall für 35 Euro

Dort wird IPFire eingesetzt und ich finde den Artikel sehr gut und verständlich geschrieben, sodass er für den ein oder anderen User vielleicht auch eine Hilfe, oder ein Ansatzpunkt ist.

VG Jim

 

[Sharknado]

Ich stelle demnächst alles auf Unifi um. Ab diesem Zeitpunkt wandern meine IOT Geräte in ein separates VLAN und ich schalte ggf. benötigte Ports frei. Smartphones und Co kommen ggf. ins gleiche VLAN da mache ich mir mal die nächsten Wochen einen genauen Plan.

Die Fritzbox bleibt dann noch für die DECT Steckdosen (Reichweite einfach mega). Alles andere kommt dann hinter den Unifi Router

 

[NSFH]

Meine Lösung:
Draytek VPN Router mit 2 WAN Eingängen
1.WAN geht ins normale LAN
2.WAN geht ins IoT

Zwischen LAN und IoT gibt es intern ein Routing zwischen einigen Komponenten. Jede Verbindung ist inbound und outbound durch Firewallregeln abgesichert. So besteht zB auch eine Verbindung auf einen Nw-Port der Syno nur für IoT. Firewallregeln sind hier das a und o.
Natürlich ist die Syno per Firewall auch so weit als möglich an beiden LAN Ports zu.
Da der Router ausgehenden Verkehr in der Firewall filtern kann geht auch nichts raus was nicht raus soll.

Die alternative Lösung: IoT und LAN im gleichen LAN betreiben aber im Router auch den ausgehenden IoT Verkehr zusätzlich mit Regeln verhindern und Zugriff von aussen in das LAN nur per VPN ermöglichen.
Da scheidet die Fritzbox natürlich aus, weil sowas nicht konfigurierbar ist. Allgemein halte ich alle Router für sicherheitstechnisch unzulänglich, wenn ausgehender Verkehr nicht kontrollierbar ist, bei IoT erst recht.

 

[plang.pl]

Auch bei der FritzBox kann man ausgehend Ports sperren. Das geht auch pro Gerät und auch URLs/IPs lassen sich sperren.

 

[Bevolf]

Hej,

Ich habe es ganz einfach geregelt.

- In meinem meinem Netzwerk sind all unsere Geräte, da diese miteinander reden können müssen und sollten (Macht keinen Sinn dafür ein extra Netz zubauen).

- Dann habe ich ein GAST-Netzwerk (WLAN, haben ja soweit alle Router diese Funktion) für alle Personen die "Gast" sind.

 

[NSFH]

Ports sperren reicht nicht, es müssen auch IPs genutzt werden plus Abhängigkeiten/Folgen innerhalb einer Regel. Das alles geht mit Fritz definitiv nicht!
Die Fritz ist und bleibt eine Blackbox. Wer wirklich Einfluss auf sein LAN haben möchte darf sich sowas nicht zulegen.

 

[Sharknado]

- In meinem meinem Netzwerk sind all unsere Geräte, da diese miteinander reden können müssen und sollten (Macht keinen Sinn dafür ein extra Netz zubauen).

Ich denke darüber anders. M.M.n ist doch genau dafür ein VLAN genau das RIchtige? Je nachdem was seine LAN Hardware kann, ist das doch unkompliziert eingerichtet und Handy, Apps und IOTs können sich weiterhin untereinander erreichen. Die Kommunikation untereinander kann man dann - je nach Fähigkeiten und/oder Vorliebe wieder einschränken.

Mit den Unifi ist das gut und schnell eingerichtet. Echos und Co funktionieren weiterhin problemlos.

Und wie immer im Leben - es gibt 1000 Wege die nach Rom führen . So kann jeder entscheiden, wie einfach, kompliziert, sicher etc. er es machen kann/möchte.

 

[Wiesel6]

Ich muss jetzt mal eine Verständnisfrage zum Thema VLAN stellen. Wenn ich hinter den Router am Port 1 einen managed Switch hänge, kann ich dann die Geräte, die am Router an Port 2 und 3 hängen auch einem Netz (VLAN) zuweisen?

Meine Vermutung, es geht nicht.


Andere Fragestellung. Hänge ich hinter den managed Switch an einen Port nochmal einen einfachen Switch mit z.B. 4 Geräten. Bekommen dann alle Geräte automatisch das VLAN „vom Port“ oder kann man die 4 Geräte jeweils einzeln einem VLAN zuordnen?

Meine Vermutung, alle 4 Geräte bekommen das VLAN, was dem Port zugewiesen ist.



Sorry, falls ich die Fachbegriffe nicht korrekt benutzt habe. Wenn nicht klar ist was ich meine, kann ich auch ein Bildchen malen.

 

[Sharknado]

@Wiesel6 kein Sorry nötig, dafür sind Foren da

Deine Vermutungen sind korrekt. Alle Ports am manged Switch kann man verschiedene VLANs zuweisen - hängt an einem VLAN konfiguriertem Port ein "einfacher" Switch dran, erhalten alle Geräte IPs aus diesem VLAN.

Ich konnte einige Erfahrungen mit Ubiquiti Unifi Geräte sammeln und bin sehr begeistert von deren System, weshalb ich das Ganze nun bei mir zu Hause ebenfalls einrichte. Ein Vorteil - Du musst das ganze "nur" auf einer Weboberfläche einrichten, man steuert alles über eine Weboberfläche und muss z.B. VLANs nur einmal einrichten - alle anderen Unifi Geräte können sich dann daran bedienen. Ich weiß, alles recht teuer, aber für mich lohnt sich das.

 

[EDvonSchleck]

Der Zug für Ubiquiti Unifi Geräte ist aber auch schon irgendwie abgefahren?

 

[Sharknado]

Ich finde es immer hilfreich wenn man den Grund seiner Kritik gleich mit dazu schreibt. Killerphrasen haben mir in der Vergangenheit nie weitergeholfen. Unifi ist auch nur meine persönliche Entscheidung. So kann sich jeder die Infos aus dem Thread nehmen, die ihm weiterhelfen

 

[EDvonSchleck]

Ubiquiti Unifi hat zuerst vieles richtig gemacht, auch der Ansatz zwischen Hard- & Software war interessant. In der Realität hat sich das aber meist als schwierig erwiesen. Es gab und gibt viele Probleme mit der Software. Das hat sich nicht wirklich geändert. Dazu kommen die überteuerten Preise. Auch kommen deutlich weniger Geräte auf den Markt, für aktuellen Bedürfnissen. Bewertungen, die man liest, sind sehr durchwachsen. Ein immer wiederkehrendes Problem ist die Software. Es ist sehr ruhig um diese Firma geworden. Einzig der Hype klingt noch nach. Denn die Ubiquiti Unifi-Jünger zahlen wie bei Apple fast jeden Preis.

Ich hatte vor/Anfang Corona auch damit geliebäugelt, bin aber davon abgekommen und die Entwicklung gibt mit ein bisschen recht. Kann ja jeder kaufen, was er mag, aber der Preis ist nicht gerechtfertigt. Erst recht nicht, wenn Ubiquiti etwas in der Software einbaut, was den Usern total gegen den Strich geht.

 

[NSFH]

Ich kann von Ubiqiti nur abraten!
Die Interfaces im Gerät selber sind kastriert. Läuft die zentrale Software nicht kann man das Device nicht administrieren.
Das Argument tolles Web-Interface: Welcher Hersteller hat sowas nicht in seinem Gerät verbaut, ausser natürlich U.?
Ich will jetzt keine Reklame machen, weil ich mich auf diesen Hersteller inzwischen eingeschossen habe, aber bei Draytek wird das gleiche geboten, wenn man einen Router der Firma nutzt. Dieser dient dann als zentrale Verwaltungsstation für alle anderen Drayteks im LAN und WAN. Man kann aber immer zu jeder Zeit die einzelnen Devices auch direkt mit voller Funktionalität ansprechen. Dazu bekommt man den VPN Client für alle Betriebssysteme und einen DDNS Zugang umsonst dazu.
Von daher ist Q. für mich inzwischen tot.

 

[Jim_OS]

Das Argument tolles Web-Interface: Welcher Hersteller hat sowas nicht in seinem Gerät verbaut, ausser natürlich U.?

TP-Link Omada - um noch einen Hersteller zu nennen. Ubiquiti war aber wohl der erste der das so umgesetzt hat. Wobei ich weder Werbung für TP-Link machen möchte, noch TP-Link Produkte mit Omada einsetze.

Irgendwann in der Zukunft wird die Administration der eigenen Geräte wohl nur noch über fremde Computer, sprich eine Cloud erfolgen.

VG Jim