Shelly Vlan in den Docker ioBroker bekommen ?

[Ronny1978]

kann man eine einem Lan nur Zugriff auf Docker geben?

Vermutlich dann über die Firewallregeln in der Synology. Aber bringt - wie schon gesagt - erst einmal Struktur in der Netzwerk, BEVOR du AN DIESER Stelle schon wieder weiter machst.

 

[ViperRt10]

Jungs, danke, an dem Punkt bin ich, wo ich genau weiß, was ich will und das habe ich hier gefühlt tausend mal geschrieben. Die Gesamtstruktur habe ich, ja und auch aufgeschrieben, genauso das Video angesehen (tu mir da mit der Geschwindigkeit und englisch etwas schwer... und genau das was ich will, hat er nicht gezeigt, das muss ich wieder wo anders raus finden.... usw....)

ein letztes, dann gebe ich auf. VLan Shelly ist isoliert, ein Port 188x soll zum Lan MGMT geöffnet werden.
das betrifft die Unifi Firewall, muss das jetzt rausfinden, wie das geht. Ja schreiben, dass es geht ist schön, bringt mich leider nicht weiter.

in der Syno Firewall - kenne ich noch genauso wenig - eine Regel diesen Port ausschließlich zum Docker umzuleiten.

mir geht es hier um das Lernen, verstehen wie es geht, wird mich in Summe nicht wirklich sicherer machen, da genug andere Stellen Scheunentore sind, aber der Anfang es zu verstehen, darum geht es mir. Da bringt es mich aber nicht weiter, ja das geht zu sagen...

 

[Ronny1978]

VLan Shelly ist isoliert, ein Port 188x soll zum Lan MGMT geöffnet werden

Also sitzt der ioBroker im MgmLAN?

und genau das was ich will, hat er nicht gezeigt, das muss ich wieder wo anders raus finden

Hast du ioBroker und die Shellys in den VLANs? Hast du dein Handy/Laptop im MgmLAN? Firewallregeln NICHT gesetzt? Können die Geräte miteinander kommunizieren -> Ja oder Nein??? Wenn nein, dann ist hier was nicht richtig.

in der Syno Firewall - kenne ich noch genauso wenig - eine Regel diesen Port ausschließlich zum Docker umzuleiten

Das kommt als ALLER LETZTES, um das System ggf. noch weiter zu härten.

mir geht es hier um das Lernen, verstehen wie es geht, wird mich in Summe nicht wirklich sicherer machen, da genug andere Stellen Scheunentore sind, aber der Anfang es zu verstehen, darum geht es mir

Dann musst DU uns erstmal mit einer Übersicht helfen. Die 11 VLANs hast du ja wieder "eingestampft". Also wie sieht es JETZT aus. Das du die Übersicht hast, ist ja schön, aber wir haben sie nicht. Also noch einmal:

Welche VLANs hast du?
Welches Geräte sind da drin?
Und welches VLAN soll mit welchem kommunizieren dürfen?

Ja schreiben, dass es geht ist schön, bringt mich leider nicht weiter

Also bloß um das von vornherein klar zu stellen: Ich versuche dir schon zu helfen, aber die Regeln in deiner Unifi SE musst du schon selbst schreiben. Da gibt es genügend Video bei Youtube und noch mehr Anleitungen im Internet. Ein bisschen in die Materie einlesen muss DU DICH SCHON, wenn du es auch verstehen willst. Ich habe hier nicht wirklich Zeit dir einen 2 Stunden Grundkurs über die SE und Firewallregeln zu geben, wenn alles schon im Internet tausendfach erklärt wurde.

Also ich warte mal auf deine neue Übersicht mit der Erklärung wer, was, wohin. Und mal nicht gleich in jedem Gerät einen potentiellen Feind sehen. Die Kommunikation der Geräte muss stehen UND dann geht es an das härten.

ein Port 188x soll zum Lan MGMT geöffnet werden

Und das reicht schon mal nicht. Dann kann nämlich der Shelly nur MQTT Befehle an den ioBroker schicken. Der kommt aber nicht zurück. Die Freigabe des ioBrokers, deshalb vielleicht separates VLAN, ZUM Shelly muss ja auch stehen. Aber soweit sind wir noch gar nicht.

 

[Ronny1978]

Und noch ein Tipp zum Verstehen:

Einfach mit hier reinschauen. Da gibt es genügend Einträge für das Grundverständnis.

und hier speziell und hier

 

[ViperRt10]

Ich habe und hatte nie 17 Vlans, ich habe IP-Gruppen innerhalb des Lan und 2 Vlan #17 #24
1 Lan MGMT - dort ist aktuell alles drin, in IP-Gruppen sortiert
2 Vlan Guest - Gastnetz, von der Unifi reglementiert und isoliert
3 Vlan Shelly - isoliert, nur Internet
und das ist auch schon alles.
dh die Syno mit Docker ist im MGMT, die Firewall muss den Port (beide Richtungen) für Mqtt 188x öffnen
(ich informiere mich natürlich auch im Unifi-Forum, habs aber noch nicht geschafft die FW-Regle perfekt hin zu bekommen. Ist ja nicht nur der Port, es soll auch der hostname verwendet werden und kein fixe IP usw...
sollte sich jemand hier mit Unifi auskennen, bitte ich darum)
in der Syno soll dieser offene Port nur zum Docker ioBroker gelangen, kein Zugriff auf die Syno und deren Inhalt selbst.

In der DSM - Sicherheit - Firewall - gibt es das default FW-Profil, dort nehme ich das "custom" das muss ich dann abändern. da kann ich Ports zulassen, dh ich muss vorher alle schließen?

# die Anleitung habe ich gesucht, die ackere ich gerade ab

 

[Ronny1978]

Warum hast du jetzt schon wieder die Shellys isoliert? Außer dem Gastnetz brauchst du in der Grundeinstellung erstmal nix zu isolieren. Das willst du doch dann mit den Regeln machen. Ein geht bei den Einstellungen der SE erst einmal um den Grundaufbau. Du haust dir hier schon wieder Stöcke in deine Beine.

Auch das Multicasting-Zeug würde ich NICHT VON ANFANG einstellen. Das ist ALLES feintuning ZUM SCHLUSS. Wenn du so vorgehst, bekommst du nie Struktur rein, weil vorher schon Fehler in der Kommunikation da sind.

Auch die Firewallregeln der Synology kommen GANZ ZUM SCHLUSS. Du weißt doch gar nicht, warum dann eigentlich Fehler auftreten, wenn du an allen Schrauben gleichzeitig drehst!!!

 

[Ronny1978]

Wenn ich das richtig interpretiere, isoliert die SE bereits das Shelly Netz. Die SE arbeitet, glaube ich, von oben nach unten ab. Somit werden die Shellys NIE kommunizieren dürfen, außer mit der Cloud von Shelly.

 

[ViperRt10]

bei mir ist jetzt alles aus bzw. in Grundstellung, alles fkt., jeder hat zu jedem Zugriff.
der erste Schitt wäre mM die FW-Regel in der Unifi, Vlan Shelly zu isolieren bzw. nur den Port durchlassen.

 

[Ronny1978]

alles fkt., jeder hat zu jedem Zugriff

Na siehst und ... und weiter geht es.

Shelly zu isolieren bzw. nur den Port durchlassen

Dann aber bitte mit Regeln und NICHT mit dem Haken "isolieren". Die Regeln findest du im Unifi Forum, was ich dir geschickt habe.

 

[Ronny1978]

Geht es voran? Kommst du zurecht? Helfen die Hinweise aus Unifi Forum?

 

[ViperRt10]

hab nicht so viel Zeit dafür wie ich gerne hätte, kA ob ich heute weiter machen kann... ist ja alles sehr zeitintensiv

 

[ViperRt10]

das wäre jetzt mein Plan:

Lan - Allgemein 192.168.0.0/24 Gateway: 192.168.0.1 255.255.255.0. DHCP .100-254
1. VLan 10 - MGMT 10.10.0.0/16 Gateway: 10.10.0.0.1 255.255.0.0 kein DHCP
2. VLan 20 - IOT 10.20.0.0/16 Gateway: 10.20.0.1 255.255.0.0 kein DHCP
3. VLan 30 - Shelly 10.30.0.0/16 Gateway: 10.30.0.1 255.255.0.0 DHCP .100-254
x. VLan - Gast 172.16.0.0/24 Gateway: 172.16.0.1 DHCP .2-254

 

[metalworker]

Warum machst du da so verschiedene Subnetze ?
Vorallem warum nen Claas B ? Wie viele tausend Geräte hast du denn?

 

[ViperRt10]

damit ich gruppieren kann und nicht alle Geräte in einer Wurscht hängen
nein, ich habe keine tausend, aber sehr viel verschiedene die aber zusammengehören
Bsp. Victron, da sind die Stromzähler, Cerbo, RS485, .... die bekommen dann zBsp. 10.10.10.x
Bsp. PC, Macs... die bekommen 10.10.20.x
usw...

 

[metalworker]

ja du hast aber geschrieben 10.10.0.0 mit ner 255.255.0.0. er Maske . Das ist nen Class B Netz .
Das macht man nur wenn man wirklich viele Geräte im Netz hast . und ni nur 100 oder 200 .
Da hast ne echt große Broadcast Domain.

Wenn du schon sortieren musst .dann machst doch dir einfach
Vlan 1 192.168.1.0
Vlan 10 192.168.10.0
Vlan 11 192.168.11.0


Und alles mit ner 255.255.255.0 Maske

 

[ViperRt10]

das würden unzählige VLans sein, meine IP-Gruppierung ist innerhalb eines VLans
die Unifi und die Geräte die ich habe, sind mW sogar auf 4 oder 5 VLans begrenzt

 

[metalworker]

Aha da wirst noch viel Spaß haben

 

[Ronny1978]

hab nicht so viel Zeit dafür wie ich gerne hätte

stell dir mal vor, du hättest es bei den VLANs in Post #13 gelassen.

Ich muss aber @metalworker recht geben: Ich hätte auch die 192.168. er Netze für die VLANs gewählt und dann mittels DHCP fix gesetzt. Sonst kannst du schöne Bereiche bilden. Die 10.10.er Netze behalte ich mir für Wireguard vor. Auch hier habe ich wieder geteilt. Zum Beispiel:

192.168.1.2 - 192.168.1.50 statisch OHNE DHCP
192.168.1.51 - 59 meine Geräte
192.168.1.60 - 69 die Geräte meiner Frau

192.168.10.2 - 192.168.10.50 wieder statisch
192.168.10.90 - 110 alle Shelly
192.168.10.111 - 130 alle Tasmota
192.168.10.131 - 150 alle Gosund und der China Kram
usw.

10.10.10.10 - 19 Wireguard alle meine Geräte
10.10.10.20 - 29 Wireguard alle Geräte meiner Frau
usw.

Ich hoffe, es ist klar rausgekommen, was ich will.

sehr viel verschiedene die aber zusammengehören

Wie viele IoT Geräte sind es denn IM WLAN zusammen? Ich habe mit Servern und Unifi APs/Switchen insgesamt 95 (zu Weihnachten insgesamt 110) Geräte und dachte, dass wäre schon viel? Sind das bei dir soviel mehr???

 

[ViperRt10]

Nein und nochmal, mehr als die 3 oder 4 VLans mache ich nicht, habe ich auch nie gesagt.
Ihr wollt das mit der IP-Gruppierung nicht (verstehen) ? was ist das Problem, ich sehe jedenfalls keines.
Im Prinzip machst du es ja, nur in einer Wurscht 100-130, 130-160,... ich möchte es mit ..1.x und ..2.x
was soll das Thema daran sein ?
Was macht den Unterschied ob ein Vlan /24 oder /18 ist... ?

 

[ViperRt10]

Morgen, ist euer Schweigen eine stille Zustimmung?

das sind jetzt aktuell meine Überlegungen: Allgemein wird dann reduziert, sobald alle Geräte zugeordnet sind.
werde jetzt mal die Wurscht bedienen, alles nacheinander, mal sehen ob mir das gefällt...