NEWS
-
Hallo zusammen,
Es hat zwar eigentlich nichts mit Iobroker direkt zu tun, aber ich denke hier gibt es einige Leute die sowas bereits umgesetzt haben.
Ich habe eigentlich vor alle IoT Geräte von meinen Hauptnetzwerk zu trennen. Es kommen im Moment immer mehr Geräte hinzu und die müssen ja nicht unbedingt sehen, was so alles im Hauptnetzwerk passiert.
Folgende Geräte sind bereits vorhanden, die getrennt werden sollen, falls das überhaupt soweit Sinn macht.
1. Hue Gateway
2. Xiaomi Gateway und Sauger
3. Einige Teile mit Tasmota
4. CCU2
5. Vu+
6. Kindle, FireTV
7. Sonos
8. Harmony Hub
9. Denon
Da ich in meinen Netzwerk nur Unifi Geräte im Einsatz habe ist das eigentlich recht einfach. Vlan einrichten, neues Wlan aufspannen und eine Firewallregel erstellen, die es nicht erlaubt in meinen Hauptnetzwerk einzugreifen, aber umgekehrt. Somit kann iobroker zwar auf die IoT zugreifen aber nicht umgekehrt und da kommen auch schon die Probleme. Die Tasmotageräte können sich nicht mehr verbinden. Leider weiß ich auch nicht, was ich in der Firewall einstellen muss, damit es wieder klappt, ohne das gleich alles wieder offen ist.
Oder sollte der iobroker auch in das IoT Netz rein inkl. SQL Server?
Wie macht ihr das so? Oder ist das alles einfach nur übertrieben.
Vielen Dank für eure Unterstützung.
-
Hallo ple,
ich habe mein Netzwerk ähnlich aufgebaut. Hatte auch Bedenken was die Sicherheit anbetrifft.
Mit Unify ein IOT-WLAN, eins für alle nicht IOT-Geräte und ein Gast-WLAN. Alles mit einem Ubiquit Router voneinander getrennt. Das auch im LAN über entsprechende VLan‘s. Die ioBroker sind mit im IOT-Vlan. Insofern gibts da keine Zugriffsprobleme.
VG
ThomasLPZ
Gesendet von iPhone mit Tapatalk
-
Moin,
kurzer Hinweis bzgl. Unifi-Netzwerk dazu:
Sofern die LANs als Corporate-LAN (und nicht als Guest-LAN) eingerichtet sind, ist erst mal alles offen!
Nur ein Guest-LAN wird erst mal automatisch komplett vom Rest abgeschottet.
Nicht das man sich hier in falscher „Scicherheit“ wähnt.
Gruß,
Eric
Von unterwegs getippert
-
@ple:Nun gut, dann plan ich erstmal die Vlan für die Geräte und dann kommen die da erst mal alle rein, dann sollten die von meinen Hauptnetzwerk getrennt sein. `
Soweit ich weiß aber nur, wenn Du überall die jeweilige VLANs angibst. Ansonsten könne alle Ports alle VLANs (Trunking).Gruß,
Eric
-
Man muss Verkehr zwischen den VLANs über Firewall Rules blockieren, Corporate hat Standard Verbindung mit jedem Corporate.
Nach der deny rule kann man spezifische allow Rules erstellen zB für den Rechner mit ioBroker das diese wohl miteinander reden dürfen
Sent from my iPhone using Tapatalk
-
Wobei, ich glaub ich teil es anders auf.
vlan 0 = Home (Macbooks, Iphones, Unifi Controller, iobroker)
vlan 10 = media (firetv, Vu+ usw.)
Vlan 20 = IoT (Tasmota, XIAOMI usw)
Vlan 50 = Gast
Dann rules erstellen, dass die vlans untereinander getrennt sind.
Danach dann eine rule, dass die einzig auf den iobroker zurgreifen dürfen.
andernfalls müsste ich vlan 10 und 20 zusammenlegen, damit die Kommunikation zwischen iobroker und anderen Geräten funktioniert.
-
Ich habe von unifi nur zwei AP-Pro. Reicht das zum Einrichten von vlans, die Einstellung gibt es jedenfalls. Oder braucht man unbedingt noch einen Router von unifi? `
Dafür benötigt man unbedingt eine USG anders geht es nicht !
Sent from my iPhone using Tapatalk
-
siehe auch hier :
https://help.ubnt.com/hc/en-us/articles … g-Hardware
The USG can be used to manage DHCP server, routing, and VLANs on your network. It would also use the Settings > Networks area to define subnets. A corporate network has no restrictions, whereas a guest network cannot communicate with other subnets on your network. The guest control settings are also applied to guest networks (i.e. wired guest portal). The default physical LAN interface's network is, by default, using untagged VLAN 1\. There can be multiple VIFs (virtual interface/VLANs) per physical LAN interface. You cannot edit the VLAN ID of the untagged subnet (it is 1 or 4010, depending on if it's LAN or VoIP subnet). The settings window looks similar for both corporate and guest networks, so we'll only picture a corporate network. Basically, enter the desired IP with CIDR, and then choose your VLAN ID. -
-
Hi,
also es muss nicht unbedingt ein Unifi USG sein. Es geht mit jedem Router, der VLANs beherrscht. Wenn dann noch Switche mit ins Boot kommen, sollten diese auch VLAN-fähig sein (was managed Switche meist sind). Aber zwingen Unifi USG ist nicht nötig.
Bei mir läuft ein Edgerouter 4, 3x Zyxel-Switche und 2 AP AC von Unifi problemlos.
Gruss, Jürgen
-
das stimmt unifi benutzt den algemeinen VLAN standard was bedeutet das jedes geraet mit diesem standard integrierbar ist.
Aber man kan ueber den unifi controller nur netzwerke/vlans einrichten wen eine USG vorhanden ist.
Also wen man andere geraete als eine USG benutzt kan man die netzwerkconfigurationen nicht im controller vornehmen.
MAn muss sich auch im klaren sein das managed switche notwendig sind fuer VLAN's, normale switchen routen diese meist nicht weiter
-
Also ich kann auch ohne USG im Unifi Controller ein neues Wireless LAN einrichten und diesem auch eine VLAN-ID mitgeben. Solange also ein Router im Netzwerk ein LAN mit der passenden VLAN-ID verwaltet und für diese z.B. DHCP bereitstellt und den Adressbereich festlegt, fehlt da nichts, wofür ein USG nötig wäre.
Was ohne USG nicht geht, ist das Anlegen eines neuen LANS, aber genau das macht ja dann auch jeder andere Router genausogut.
Dass es dann nicht über den Unifi Controller geht (das Einrichten des LAN) ist klar, aber zwingend nötig ist ein USG zum Einrichten und Betrieb eines Netzes mit mehreren LAN/VLAN und WLAN-Netzen nicht. Auch nicht, wenn man Unifi-AP verwendet und diese mit dem Unifi Controller verwaltet.
Wenn es nicht geht, hätte ich ein Problem, denn bei mir läuft das so. :mrgreen:
Gruss, Jürgen
-
Ich schaue mal ob ich mein System mal upgrade. Ist halt "nice" wenn alles unter dem unifi-controller läuft.
Noch eine Frage zum unifi-Adapter. Kann man damit auch schalten? Ich habe bisher irgendwie nur Werte rausgelesen, aber es nicht hinbekommen zu schalten.
Ich fände es interessant dann z.B. wenn ich einen Unifi-PoE-switch hätte, zu bestimmten Anlässen den Strom und damit den AP-Pro dahinter abzuschalten. Geht das?
-
Ich glaube ändern ist nicht möglich nur Read (Vermutung)
Und zur algemein discussion, ich habe niemals behauptet das VLAN usw nicht mit anderen Geräten als einer USB geht.
Aber die Frage war bezüglich Unifi Infrastruktur und wen man es in diese Ökosystem integrieren möchte (also alles aus Controller bedienen) ist man abhängig von der USG usw
Sent from my iPhone using Tapatalk
-
Ich bezog mich auch nur auf die Aussage von lobomau, ob zwingend zum Einrichten von VLANs alles von Unifi sein muss, und da lautet die Antwort schlicht NEIN.
Klar, wer gerne alles in einer Oberfläche oder gar im ioBroker mit dem Adapter sehen will, kommt dann um komplette Unifi-Hardware nicht rum. Aber, wer ur sein Netzwerk erweitern will, der ist nicht zwingend darauf angewiesen.
Also, alles gut.
Gruss, Jürgen
-
Wenn man bereits Unifi AP's hat und man eh einen VLAN fähigen Router und eventuell Switch anschaffen will, macht eine Erweiterung mit Unifi Hardware ja absolut sinn! Das Zeug funktioniert wie geschnitten Brot!
-
Prinzipiell ja, und ich hatte anfangs auch einen USG. Aber nach und nach stellte sich heraus, dass die Hardware nicht ganz so potent ist, was man bei solchen Dingen merkt, wenn Daten nicht mehr via Hardware offloading sondern durch den Prozessor geleitet werden. Zudem nervte es zunehmend, bei jeder (!) kleinsten Änderung die komplette Neuprovisionierung abzuwarten und bei Änderungen der config.gateway.json, welche leider sehr oft nötig ist, da die Unifi-Controller-GUI viel gar nicht einstellen lässt, zu hoffen, dass der USG die Änderungen auch übernimmt und nicht plötzlich etwas anderes vergisst, was leider immer öfter vorkam.
Deshalb kaufte ich den Edgerouter 4, der muss nicht nach jeder Änderung mehrere Minuten neu provisionieren sondern frisst sie sofort und ist auch vielfach potenter, was die Hardware angeht.
Wie in den meisten Unifi-Tests auch das Fazit: Wem die Settings des Unifi-Controller und die Hardware des USG reichen, der soll das nehmen und sich freuen, dass er alles unter einam Dach hat. Wer mehr will, der sucht sich halt das Passende aus verschiedenen Welten.
BTW, UNMS (Ubiquiti Management-System abseits von Unifi) soll anscheinend Unifi langfristig auch integrieren, so wäre auch mit anderer Ubiquiti-Hardware doch alles unter einem Dach. Aber das nur am Rande…
Ansonsten würde ich den USG dennoch empfehlen, wer ihn nur einmal einrichtet und danach keine Spielchen mehr treiben will, der wird auch damit glücklich werden.
Ich werde meinen demnächst bei Ebay einstellen und gut ist...
Gruss, Jürgen
Support us
414
Online32.4k
Users81.4k
Topics1.3m
Posts