NEWS
Geräte aus mehreren Subnetzen einbinden?
-
Moin,
wie bekomme ich es hin, Geräte aus anderen Subnetzen als dem des IOBrokers einzubinden?
Nehmen wir an, IOBroker hat eine Adresse im Netz 192.168.70.0/24, aber einige Geräte befinden sich im Subnetz 192.168.80.0/24. Wie binde ich Geräte aus letzterem Subnetz ein? Die Gerätesuche findet dort ja nichts, weil sie standardmäßig nur im Subnetz von IOBroker (192.168.70.0/24) sucht.
Danke
Wenn man die iot Geräte welche auf den Iobroker zugreifen dürfen geschickt mit den ip Adressen zuordnet dann kann man in dem iot subnet auch nur einem Teil der Geräte gestatten auf den Iobroker zugreifen zu dürfen.
Hilfreich dafür ist der folgende Artikel
https://wiki.ubuntuusers.de/Router/Routing-Funktion/
Und der Netzwerktechnik von heise
https://www.heise.de/netze/tools/netzwerkrechner/Meine Adapter und Widgets
TVProgram, SqueezeboxRPC, OpenLiga, RSSFeed, MyTime,, pi-hole2, vis-json-template, skiinfo, vis-mapwidgets, vis-2-widgets-rssfeed
Links im Profil -
Wenn man die iot Geräte welche auf den Iobroker zugreifen dürfen geschickt mit den ip Adressen zuordnet dann kann man in dem iot subnet auch nur einem Teil der Geräte gestatten auf den Iobroker zugreifen zu dürfen.
Hilfreich dafür ist der folgende Artikel
https://wiki.ubuntuusers.de/Router/Routing-Funktion/
Und der Netzwerktechnik von heise
https://www.heise.de/netze/tools/netzwerkrechner/@oliverio Danke für die Antwort.
Der Teil ist einfach. Das grundlegende Problem ist, das IOBroker gar nicht erst Geräte im IoT-Netz findet.
-
Wenn man die iot Geräte welche auf den Iobroker zugreifen dürfen geschickt mit den ip Adressen zuordnet dann kann man in dem iot subnet auch nur einem Teil der Geräte gestatten auf den Iobroker zugreifen zu dürfen.
Hilfreich dafür ist der folgende Artikel
https://wiki.ubuntuusers.de/Router/Routing-Funktion/
Und der Netzwerktechnik von heise
https://www.heise.de/netze/tools/netzwerkrechner/ -
@oliverio Das funktioniert nur, wenn der Adapter das auch unterstützt. Viele suchen nur im lokalen Subnetz nach Geräten. Bei einigen kann man die IP's der Devices von Hand eintragen. Aber auch das funktioniert nicht immer.
@andygr42 Danke!
Hast Du diesbezüglich Erfahrungen mit Shelly?
-
@andygr42 Danke!
Hast Du diesbezüglich Erfahrungen mit Shelly?
@jörg-giencke Leider nicht. Ich nutze ESP und meinen eigenen Code, da würden Subnetze theoretisch sogar funktionieren. Ich hatte nur so viel Theater mit Hue, Nuki etc., dass ich iobroker irgendwann ins gleiche Netz gepackt habe und die "kritischeren" Geräte wie PC etc. separiert habe.
-
Moin,
wie bekomme ich es hin, Geräte aus anderen Subnetzen als dem des IOBrokers einzubinden?
Nehmen wir an, IOBroker hat eine Adresse im Netz 192.168.70.0/24, aber einige Geräte befinden sich im Subnetz 192.168.80.0/24. Wie binde ich Geräte aus letzterem Subnetz ein? Die Gerätesuche findet dort ja nichts, weil sie standardmäßig nur im Subnetz von IOBroker (192.168.70.0/24) sucht.
Danke
-
@ilovegym said in Geräte aus mehreren Subnetzen einbinden?:
@jörg-giencke im Router ne Static Route setzen vom iot zum iobroker und vom iobroker zum iot/24 zurück…?
Zum Verständnis: Geräte hier im 70er-Netz (das hiesige interne Netz) dürfen Verbindungen zu Geräten im 80er-Netz (das hiesige IoT-Netz) aufbauen und die angesprochenen Geräte dürfen antworten. Anders herum geht das aus Sicherheitsgründen nicht. Es sei denn, man erlaubt es einem Gerät oder einer Gruppe von Geräten explizit, sich - zum Beispiel zwecks Statusupdates - bei einem Gerät im internen Netz zu melden.
Theoretisch sollte es also für IOBroker technisch ein leichtes sein, Geräte auch im IoT-Netz zu finden. Wenn man denn IOBroker sagen könnte auch dort zu suchen.
@jörg-giencke sagte in Geräte aus mehreren Subnetzen einbinden?:
Theoretisch sollte es also für IOBroker technisch ein leichtes sein,
Nö. Das upnp Protokoll funktioniert nur innerhalb eines Subnetzes. Da das sehr häufig eingesetzt wird, schließt das schon einige Geräte aus.
Meistens werden die Autodiscovery Methoden geblockt und manche Geräte sind darauf angewiesen, also schließt das schon einige aus.
-
@oliverio Das funktioniert nur, wenn der Adapter das auch unterstützt. Viele suchen nur im lokalen Subnetz nach Geräten. Bei einigen kann man die IP's der Devices von Hand eintragen. Aber auch das funktioniert nicht immer.
@andygr42 sagte in Geräte aus mehreren Subnetzen einbinden?:
@oliverio Das funktioniert nur, wenn der Adapter das auch unterstützt. Viele suchen nur im lokalen Subnetz nach Geräten. Bei einigen kann man die IP's der Devices von Hand eintragen. Aber auch das funktioniert nicht immer.
Äh, ne, da kann der Adapter nix machen. Anderes subnet ist nicht aus einem subnet erreichbar. Der Router hat die Aufgabe die subnetze strikt zu trennen. Wenn du dem Router aber sagst, das er die Pakete aus einem sub netz zu einem anderen ebenfalls transportieren soll, dann macht er das auch. Das erreicht man in dem man eine Route einträgt.
-
@oliverio Eine Route zwischen den Netzen ist natürlich die Voraussetzung dafür. Der Router hat NICHT die Aufgabe die Netze zu trennen, das würde mit zwei Switchen (oder einem managed Switch und VLAN's) viel einfacher funktionieren. Der Router oder L3 Switch stellt die Verbindung her zwischen Subetzen her. Alternativ auch ein Gateway oder eine Firewall mit Filter Funktionen.
Bei einigen Adaptern (z.B. Nuki im Bridge Mode) kann die IP angegeben werden. Sofern eine Route besteht, funktioniert das auch über Subnetze hinweg. Hier wird schlicht eine REST API angesprochen. Wie von Jey Cee beschrieben nutzen die meisten Adapter aber UPNP, da funktioniert das natürlich nicht.
-
@oliverio Eine Route zwischen den Netzen ist natürlich die Voraussetzung dafür. Der Router hat NICHT die Aufgabe die Netze zu trennen, das würde mit zwei Switchen (oder einem managed Switch und VLAN's) viel einfacher funktionieren. Der Router oder L3 Switch stellt die Verbindung her zwischen Subetzen her. Alternativ auch ein Gateway oder eine Firewall mit Filter Funktionen.
Bei einigen Adaptern (z.B. Nuki im Bridge Mode) kann die IP angegeben werden. Sofern eine Route besteht, funktioniert das auch über Subnetze hinweg. Hier wird schlicht eine REST API angesprochen. Wie von Jey Cee beschrieben nutzen die meisten Adapter aber UPNP, da funktioniert das natürlich nicht.
-
@andygr42 sagte in Geräte aus mehreren Subnetzen einbinden?:
@oliverio Der Router hat NICHT die Aufgabe die Netze zu trennen.
Na dann habe ich viele jahre was falsch gemacht.
@oliverio sagte in Geräte aus mehreren Subnetzen einbinden?:
@andygr42 sagte in Geräte aus mehreren Subnetzen einbinden?:
@oliverio Der Router hat NICHT die Aufgabe die Netze zu trennen.
Na dann habe ich viele jahre was falsch gemacht.
Oder wir reden aneinander vorbei. Wenn ich zwei Netze logisch und / oder physikalisch trennen möchte, brauche ich keinen Router. Das kann ich schon auf Layer 1 machen und einfach zwei dumme Switche nehmen. Alternativ einen L3 Switch mit VLAN (L2 mit Port Gruppen würden auch reichen). In dieser Konstellation benötige ich keine weitere "Intelligenz". Die kommt erst ins Spiel wenn die beiden Netze kommunizieren möchten.
Du gehst vermutlich davon aus, dass die beiden Subnetze mit dem Internet verbunden, aber voneinander getrennt sind. Das ist ein völlig anderer Fall, da haben wir 3 Netz (eigentlich mehr, aber das spielt jetzt keine Rolle). Dann brauchst Du natürlich einen Router bzw. ein Gateway.
-
Um dem Threadersteller @Jörg-Giencke ein bisschen zu helfen. Was spricht dagegen, dem iobroker jeweils eine IP aus beiden Netzen zu geben und dann mittels Firewall nur das durchzulassen, was auch durch soll? Dann sehen die ganzen Geräte aus dem Smarthome-Netz auch nur das aus dem iobroker, was sie sehen sollen (beispielsweise nur bestimmte Ports) bzw. müssen und gut. Wenn gar nix durch soll, sehen sie ja den iobroker nicht und es kann eh nix funktionieren.
So habe ich das auch gelöst und funktioniert. Da Du ja mehrer VLANS zu haben scheinst, ist da wohl keine Fritzbox tätig sondern ein halbwegs vernünftiger Router, der sowas auch mitbringen sollte?!Gruss, Jürgen
-
Um dem Threadersteller @Jörg-Giencke ein bisschen zu helfen. Was spricht dagegen, dem iobroker jeweils eine IP aus beiden Netzen zu geben und dann mittels Firewall nur das durchzulassen, was auch durch soll? Dann sehen die ganzen Geräte aus dem Smarthome-Netz auch nur das aus dem iobroker, was sie sehen sollen (beispielsweise nur bestimmte Ports) bzw. müssen und gut. Wenn gar nix durch soll, sehen sie ja den iobroker nicht und es kann eh nix funktionieren.
So habe ich das auch gelöst und funktioniert. Da Du ja mehrer VLANS zu haben scheinst, ist da wohl keine Fritzbox tätig sondern ein halbwegs vernünftiger Router, der sowas auch mitbringen sollte?!Gruss, Jürgen
-
@oliverio sagte in Geräte aus mehreren Subnetzen einbinden?:
@andygr42 sagte in Geräte aus mehreren Subnetzen einbinden?:
@oliverio Der Router hat NICHT die Aufgabe die Netze zu trennen.
Na dann habe ich viele jahre was falsch gemacht.
Oder wir reden aneinander vorbei. Wenn ich zwei Netze logisch und / oder physikalisch trennen möchte, brauche ich keinen Router. Das kann ich schon auf Layer 1 machen und einfach zwei dumme Switche nehmen. Alternativ einen L3 Switch mit VLAN (L2 mit Port Gruppen würden auch reichen). In dieser Konstellation benötige ich keine weitere "Intelligenz". Die kommt erst ins Spiel wenn die beiden Netze kommunizieren möchten.
Du gehst vermutlich davon aus, dass die beiden Subnetze mit dem Internet verbunden, aber voneinander getrennt sind. Das ist ein völlig anderer Fall, da haben wir 3 Netz (eigentlich mehr, aber das spielt jetzt keine Rolle). Dann brauchst Du natürlich einen Router bzw. ein Gateway.
@andygr42
Wahrscheinlich
Ich hab nix von vlan oder andere komplexe Geschichten gesagt.
Für ihn reicht die lösung die ich oben geschrieben habe. Leider gibt es auch dafür nicht so eine einfache Lösung das er nur irgendwo ein Häkchen setzen muss. Er muss sich mit seinen beiden Netzwerken ein wenig auskennen und einberufe setzen. Fertig
Da brauch man auch an einem Firewall nix drehen der bei den meisten einfachen Routen nur nach innen gerichtet ist und man auch nicht wirklich was verstellen kann -
@andygr42
Wahrscheinlich
Ich hab nix von vlan oder andere komplexe Geschichten gesagt.
Für ihn reicht die lösung die ich oben geschrieben habe. Leider gibt es auch dafür nicht so eine einfache Lösung das er nur irgendwo ein Häkchen setzen muss. Er muss sich mit seinen beiden Netzwerken ein wenig auskennen und einberufe setzen. Fertig
Da brauch man auch an einem Firewall nix drehen der bei den meisten einfachen Routen nur nach innen gerichtet ist und man auch nicht wirklich was verstellen kann@oliverio Ich ging von VLAN aus, wenn mehrere Subnetze in Betrieb sind, die miteinander kommunizieren. Und ohne zweite NIC wäre es ja dann auch schlecht möglich, iobroker in beide Netze zu bringen, was vom Threadersteller aber nicht als unmöglich, sondern als nicht gewollt verworfen wurde.
Wenn es zwei Router wären, die jeder ein eigenes Netz aufspannen und dann noch dazwischen geroutet werden soll, wird es komplizierter. Dann würde der iobroker die Geräte im anderen Netz ja gar nicht sehen können, wenn bislang nicht geroutet wird. Und das scheint ja zu funktionieren, nur nicht UPNP/Bonjour.
Deshalb mein Vorschlag, iobroker in beide Netze zu setzen und per Firewall die IT-Geräte nur das sehen lassen, was sie sehen sollen/dürfen/müssen.Gruss, Jürgen
-
@andygr42
Wahrscheinlich
Ich hab nix von vlan oder andere komplexe Geschichten gesagt.
Für ihn reicht die lösung die ich oben geschrieben habe. Leider gibt es auch dafür nicht so eine einfache Lösung das er nur irgendwo ein Häkchen setzen muss. Er muss sich mit seinen beiden Netzwerken ein wenig auskennen und einberufe setzen. Fertig
Da brauch man auch an einem Firewall nix drehen der bei den meisten einfachen Routen nur nach innen gerichtet ist und man auch nicht wirklich was verstellen kann@oliverio sagte in Geräte aus mehreren Subnetzen einbinden?:
Ich hab nix von vlan oder andere komplexe Geschichten gesagt.
Für ihn reicht die lösung die ich oben geschrieben habe.Anscheinend ja nicht, sonst wären wir schon fertig. Bisher ist es auch eher eine Mutmaßung, dass die beiden Netze tatsächlich physikalisch (oder zumindest per VLAN) getrennt sind. Wenn nicht, dann wäre auch das Beharren auf die logische Trennung völlig sinnfrei. Zwei IP Subnetze auf dem gleichen, physikalischen LAN/VLAN sind nicht sicher getrennt. Das kann man auch lassen.
Wenn wir also davon ausgehen, dass es zwei physikalisch getrennte Netze sind, welche ein Routing Verhältnis haben (sonst wäre seine Frage in Post 1 vom Grundsatz her schon sinnfrei), geht es einzig und allein noch um die Frage nach UPNP etc. Und das geht nun mal nicht über zwei Subnetze.
Nun wäre es ein Ansatz, in den Server einen zweiten Netzwerkadapter einzubauen und diesen in das IoT Subnetz zu hängen. Wenn der eingehende Zugriff auf iobroker beschränkt werden soll, kann man das mit einer einfachen Firewall machen. Sogar mit der Windows Firewall. Alternativ, je nach Betriebssystem und Diensten, verhindert man die Bindung der lokalen IoT IP Adresse an kritische Dienste, die aus dem IoT Netzwerk nicht erreicht werden sollen. Das ist aber mehr Arbeit und unter Umständen nicht zu 100% möglich.
-
Man könnte ja auch eine Multihost-Konfiguration machen. Aus dem Subnetz wären ja dann nur wenige Ports zu Kommunikation notwendig? Bei meinem Monitoring nutze ich ständige abgesetzte Proxys.
Bzw. Warum muss es denn unbedingt die Gerätesuche sein? Kann an die Geräte nicht auch händisch anlegen? Ich bin da vielleicht unerfahren mit meiner Tasmota-Welt, da trage ich den ioBroker als MQTT-Broker ein und gut.
-
@oliverio sagte in Geräte aus mehreren Subnetzen einbinden?:
Ich hab nix von vlan oder andere komplexe Geschichten gesagt.
Für ihn reicht die lösung die ich oben geschrieben habe.Anscheinend ja nicht, sonst wären wir schon fertig. Bisher ist es auch eher eine Mutmaßung, dass die beiden Netze tatsächlich physikalisch (oder zumindest per VLAN) getrennt sind. Wenn nicht, dann wäre auch das Beharren auf die logische Trennung völlig sinnfrei. Zwei IP Subnetze auf dem gleichen, physikalischen LAN/VLAN sind nicht sicher getrennt. Das kann man auch lassen.
Wenn wir also davon ausgehen, dass es zwei physikalisch getrennte Netze sind, welche ein Routing Verhältnis haben (sonst wäre seine Frage in Post 1 vom Grundsatz her schon sinnfrei), geht es einzig und allein noch um die Frage nach UPNP etc. Und das geht nun mal nicht über zwei Subnetze.
Nun wäre es ein Ansatz, in den Server einen zweiten Netzwerkadapter einzubauen und diesen in das IoT Subnetz zu hängen. Wenn der eingehende Zugriff auf iobroker beschränkt werden soll, kann man das mit einer einfachen Firewall machen. Sogar mit der Windows Firewall. Alternativ, je nach Betriebssystem und Diensten, verhindert man die Bindung der lokalen IoT IP Adresse an kritische Dienste, die aus dem IoT Netzwerk nicht erreicht werden sollen. Das ist aber mehr Arbeit und unter Umständen nicht zu 100% möglich.
@andygr42
Ich denke ich hab schon verstanden was der Sinn ist und was er beabsichtigt.
Er hat ein iot subnetz, das darf nicht in Internet telefonieren
Er hat ein normales subnetz mit den anderen Clients, die ins Internet dürfen.
Die beiden subnetze müssen nicht unbedingt physikalisch getrennt sein, sondern nur logisch.
Das selbe habe ich mit openwrt auch gemacht. Mehrere LANs mehrer
WLANs ( ich muss nachbauen, aber ich glaube es sind 5 WLANs, alle parallel nebeneinander und 2 LANs, aber alles auf der selben Hardware
Wie gesagt der Router routet innerhalb eines subnetze die Päckchen nicht an andere subnetze ohne extra Anweisung. Alles was nicht andere subnetze ist wird vom Router nach upstream (also ist internet) geschickt. -
@andygr42
Ich denke ich hab schon verstanden was der Sinn ist und was er beabsichtigt.
Er hat ein iot subnetz, das darf nicht in Internet telefonieren
Er hat ein normales subnetz mit den anderen Clients, die ins Internet dürfen.
Die beiden subnetze müssen nicht unbedingt physikalisch getrennt sein, sondern nur logisch.
Das selbe habe ich mit openwrt auch gemacht. Mehrere LANs mehrer
WLANs ( ich muss nachbauen, aber ich glaube es sind 5 WLANs, alle parallel nebeneinander und 2 LANs, aber alles auf der selben Hardware
Wie gesagt der Router routet innerhalb eines subnetze die Päckchen nicht an andere subnetze ohne extra Anweisung. Alles was nicht andere subnetze ist wird vom Router nach upstream (also ist internet) geschickt.@BananaJoe Einige Adapter benötigen die Device Suche. Bei Manchen wurde die Möglichkeit zur Angabe der IP hinzugefügt. Wenn ich mich recht entsinne, hat das z.B. mit dem Harmony Adapter nie ohne Discovery funktioniert.
@oliverio Ob das IoT Netz ins Internet darf oder nicht ist hier nicht der Punkt. Geräte aus dem IoT Netz dürfen wegen Sicherheitsbedenken keinen Zugriff auf Dienste im "Server" Netz bekommen.
Was ist bei dir der Unterscheid zwischen physikalischer und logischer Trennung? Wenn Du mit logischer Trennung zwei oder mehr IP Subnetze auf demselben "Lankabel" meinst, dann dürfte das nicht den Sicherheitsanforderungen des TO entsprechen. Die Trennung ist dann mehr für's Auge. Beide Netze sind in diesem Fall in einer Broadcast Domain. Passiert hier etwas Schlechtes, z.B. ein Flooding durch eine amok laufende IP Cam, sind beide Netze down. Dazu kommen noch diverse, simple Angriffsmöglichkeiten, auch über die Subnetze hinweg. Im Prinzip ist es kaum besser als ein einzelnes IP Subnetz.
Eine sichere und saubere Trennung muss also mit einer eigenen Broadcast Domain je Subnetz beginnen. Alle Ports eines Switch, und damit alle angeschlossenen Geräte (auch über WLAN) sind in einer Broadcast Domain, sofern er nicht in VLAN's oder Portgruppen aufgeteilt wurde.
Selbst entsprechend getrennte Netze sind perse erstmal nicht (viel) sicherer, wenn sie voll grouted werden. Viele Angriffsmöglichkeiten werden erst mit einem Paketfilter, der grundsätzlich alles blockt und nur definierten Traffic durchlässt, unterbunden. Ein Router mit Firewall kann eine solche Funktion übernehmen. Oder ein Layer 3 Swich mit entsprechenden ACL Features.
Bei WLANS sind die einzelnen SSID's erstmal getrennt und daher ähnlich wie getrennte LAN Kabel oder VLAN's zu betrachten. Sie teilen sich lediglich die Airtime auf gemeinsam genutzten AP. Es sei denn, man nutzt für alle SSID's wieder die gleiche Broadcast Domain... Bei WLAN kann man natürlich noch mit isolation arbeiten, sofern der AP das hergibt. Das ist aber in diesem Szenario kaum zielführend.
Support us
734
Online32.5k
Benutzer81.8k
Themen1.3m
Beiträge