Multicast / SMA-EM / USG / Netztrennung
-
Hallo zusammen,
ich versuche gerade mein Netz mittels Unifi-USG zu trennen.
iobroker läuft auf Synology-NAS im Docker-Container in einem Netz (LAN), verschiedene IoT-Geräte sollen in ein anderes Netz (IoT).
Ich habe 3 Geräte von SMA (PV-Technik - Sunny Home Manger (SHM) und 2 Wechselrichter) in das IoT-Netz verschoben.
Die beiden Wechselrichter sind über die modbus-Adapter weiterhin grün.
Der SHM im SMA-EM-Adapter steht auf gelb und ist unter Objekte auch auf connection = false.
Da der SHM über Multicast funkt habe ich in den beiden Netzen im Unifi-Controller IGMP aktiviert, IGMP header validation auf disabled gesetzt im Unifi-24-Switch.
Außerdem in den Firewall-Regeln (LAN IN) das Protokoll IGMP auf akzeptieren in beide Richtungen gesetzt.
Ansonsten sind bei den Firewall-Regeln noch die Standardeinstellungen aktiv (alles erlaubt).
Hat jemand eine Idee, weshalb bei mir Multicast nicht über die USG funktioniert?
Viele Grüße. onkel-ede -
@onkel-ede Multicast wird grundsätzlich an Netzwerkgrenzen nicht weiter gereicht. Wenn ich mich nicht irre, gibt es eine Einstellung bei Ubiquity, aber da weiss ich auch gerade nicht weiter.
Grundsätzlich würde ich mir aber überlegen, den ioBroker (zumindest zusätzlich) in das IoT Netz zu nehmen. Denn nur so kannst du die Netzwerke sauber voneinander trennen. Wenn du nämlich vom normalen Netzwerk ins IoT kommst, ist genau einer der Angriffsvektoren nicht abgesichert.
-
@UncleSam Heißt, den Container per MACVLAN in das IoT-Netz integrieren?
-
@onkel-ede Ups, "Container" habe ich überlesen... aber ja, ein macvlan Netz sollte gehen - habe ich aber noch nie versucht.
-
Hallo ede,
bist du schon weiter gekomme ? ich habe im Grunde das gleiche Problem mit dem Logitech adapter. Und suche auch noch selbst im UNifi wie man das richtig einstellt. Es soll auf jedenfall gehen.
Gruß
Marhal -
Google sagt:
https://community.ui.com/questions/VLAN-inter-accessibility-for-MultiCast-devices-SONOS-Chromecast-Airtame-etc/f4d7a07c-d4ea-4238-8265-38ccd6e904c7#answer/580cbac3-dd41-4b04-879f-f8cb1cc11410
oder eventuell: https://community.ui.com/questions/Multicast-Routing-across-VLANS-subnets-not-working/fb2a335e-4c9e-4c86-b5d5-bc0adcf88071Ich habe es selber noch nie versucht, aber das könnte helfen. Beide Beiträge sind schon recht alt, vielleicht gibt es heue eine einfachere Lösung.
-
@marhal Ich bin leider noch nicht weiter gekommen. Die von @UncleSam verlinkte Anleitung sieht jedoch vielversprechend aus.
Ich werde jedoch erstmal einen anderen Ansatz probieren.
Mein iobroker läuft auf Synology-NAS im Docker-Container nach der Super-Anleitung von buanent / @andre
Jedoch habe ich den Container noch über host und nicht mit macvlan laufen, was ich am Wochenende ausprobieren werde.
Hier muss ich aber noch etwas das Forum durchforsten, da ich noch folgende Fragen klären muss:- wenn der iobroker-Container eine IP über macvlan bekommt und sich im IoT-Netz befindet, kann ich dann die iobroker-Daten trotzdem auf den NAS-Host mounten?
- funktioniert Multicast über macvlan?
Hier mal noch mein grobes Netzschema:
-
@onkel-ede sagte in Multicast / SMA-EM / USG / Netztrennung:
- wenn der iobroker-Container eine IP über macvlan bekommt und sich im IoT-Netz befindet, kann ich dann die iobroker-Daten trotzdem auf den NAS-Host mounten?
Dateisystem Mounts (oder wie die in Docker heissen: Volumes) sind unabhängig vom Netzwerk. Damit sollte das kein Problem sein. Wichtig ist einfach, dass du ein Verzeichnis als Volume angibst und nicht ein anonymes Volumen.
funktioniert Multicast über macvlan?
Habe ich nie ausprobiert, aber das wäre ja eigentlich die Daseinsberechtigung für macvlan
-
@UncleSam sagte in Multicast / SMA-EM / USG / Netztrennung:
Dateisystem Mounts (oder wie die in Docker heissen: Volumes) sind unabhängig vom Netzwerk. Damit sollte das kein Problem sein. Wichtig ist einfach, dass du ein Verzeichnis als Volume angibst und nicht ein anonymes Volumen.
Hat geklappt, habe eine bestehende Installation in /opt/iobroker gemountet.
funktioniert Multicast über macvlan?
Habe ich nie ausprobiert, aber das wäre ja eigentlich die Daseinsberechtigung für macvlan
Habe die Installation gemäß Anleitung von @andre mit Portainer und macvlan gemacht.
Der iobroker-Container läuft mit der Kennung "healty", genau wie der jacobalberty-unifi-Container.
Die für macvlan vergebene IP-Adresse taucht auch in meinem unifi-controller auf, allerdings steht der falsche Netzwerkname dahinter (der zum Managed-LAN gehörende Name, nicht der Name des IoT-Netzes). Anpingen oder im Browser aufrufen kann ich diese IP auch nicht.Ich muss wohl mal das "[HowTo] ioBroker unter Docker auf Synology DiskStation" durchwühlen, sind ja auch nur 2.200 Beiträge
Der iobroker -Container hat folgenden Eintrag im Log:
This error originated either by throwing inside of an async function without a catch block, or by rejecting a promise which was not handled with .catch(). The promise rejected with the reason:, , Error: connect EHOSTUNREACH 192.168.1.10:8443, at TCPConnectWrap.afterConnect [as oncomplete] (net.js:1145:16), ,Der unifi-controller wirft folgenden Fehler:
,{"_id":"5f35547fe4e4981984303ddd","attr_no_delete":true,"attr_hidden_id":"LAN","name":"LAN","site_id":"5f355478e4e4981984303dcd","vlan_enabled":false,"purpose":"corporate","ip_subnet":"192.168.1.1/24","ipv6_interface_type":"none","domain_name":"localdomain","is_nat":true,"dhcpd_enabled":true,"dhcpd_start":"192.168.1.6","dhcpd_stop":"192.168.1.254","dhcpdv6_enabled":false,"ipv6_ra_enabled":false,"lte_lan_enabled":true,"networkgroup":"LAN","dhcpd_leasetime":86400,"dhcpd_dns_enabled":false,"dhcpd_gateway_enabled":false,"dhcpd_time_offset_enabled":false,"ipv6_pd_start":"::2","ipv6_pd_stop":"::7d1","gateway_type":"default","igmp_snooping":false,"enabled":true,"dhcp_relay_enabled":false} -
@onkel-ede ich sehe du hast am Anfang einen ähnlichen Aufbau wie ich. Ich probiere gerade mein Netz aufzuteilen bekomme es aber bisher nicht hin.
Bisher bei mir:
ISP -> Fritzbox 192.168.178.1 -> Unifi USG 192.168.1.1 -> Unifi Switch -> 2 Unifi AP-Pro: Alle Geräte (außer Fritze) sind unter 192.168.1.0/24 zu erreichen.Folgendes Ziel habe ich und frage mich ob das überhaupt geht:
AP-Pro-Nr.1: soll 3 WLAN-Netze öffnen, also drei SSIDs. Ich stelle mir vor dass jedes WLAN auf ein anderes Netzwerk zugreift:
Netzwerk1: kann alles
Netzwerk2: hat keinen Zugang auf das internet (z.B. sonoffs)
Netzwerk3: Gäste-NetzwerkBei mir ist bisher das Problem, dass wenn ich z.B. einen Sonoff ins Netzwerk2 schiebe er keine IP bekommt (eigentlich sollte es ein vlan20 Netz sein mit der IP 192.168.20.0/24)
-
@lobomau Kannst du mal deine Konfiguration der einzelnen Netze hier posten? Im Controller unter Settings > Networks > Local Networks ein Screenshot machen und dort dann die einzelnen Netzwerke bearbeiten und nochmals Screenshots machen.
-
@unclesam Danke schonmal, mach ich gerne. Auf die Schnelle kann ich was zeigen über VPN und das Handy. Danach liefere ich gerne Details.
Übersicht:
LAN:
IoT:
NoT:
wie IoT, nur anderer IP-Bereich und VLAN 30.Das Orangene irritiert mich etwas bei WAN:
-
@onkel-ede sagte in Multicast / SMA-EM / USG / Netztrennung:
Anpingen oder im Browser aufrufen kann ich diese IP auch nicht.
Da ich aktuell auch alle einzelnen Dienste auf meinem NUC, aufgrund diverser Port-Kollisionen, nun in einzelne docker container gelegt habe, die per MACVLAN eine eigene IP-Adresse im Netz haben, noch folgende Besonderheit:
Der MacVLAN-Treiber simuliert ja ein oder mehrere Netzwerkkarten auf deinem Host-System. Standardmäßig kann der Hos nicht mit einem der Container und umgekehrt kommunizieren, da das Netz keine Pakete an die gleiche physische Adresse routet. Umgehen kann man das, indem man auf dem Host die beiden Interfaces miteinander verbinden.
https://blog.oddbit.com/post/2018-03-12-using-docker-macvlan-networks/
Abschnitt Host Access -
-
@lobomau Danke für die Screenshots. Ich sehe nicht, was das Problem sein könnte. Hast du schon mal versucht, einen PC an einen Port mit VLAN zu stecken? Bekommt der eine IP? Und wie sieht es mit dem IoT WLAN aus, bekommt ein PC/Laptop/Handy eine IP Adresse?
Hast du etwa noch irgendwelche Firewall Rules eingerichtet?
-
Firewall Rules habe ich keine eigenen. Habe ich mal mit rumprobiert, aber erstmal gelassen, um es erstmal ans Laufen zu bekommen.
@unclesam ich habe das Erste mal ausprobiert. Ich habe beim switch einen freien Port genommen und dem das Netz IoT zugewiesen mit VLAN 20:
Hier habe ich eine synology DS215j angeschlossen und neugestartet.
Die bekommt auch keine IP:
Aber die DS215 war vorher bereits im 192.168.1.0/24 mit fester IP.:
Ich hab den Haken raus genommen. Aber passiert nichts.
Datenfluss findet wohl statt:
-
@lobomau OK DHCP geht nicht. Ganz komisch! Hast du noch andere Switches als Unifi im Einsatz? Wie sieht die physikalische Verkabelung von Router über USG zu deinem Switch aus? An welchem Port hängt was genau?
-
@unclesam generel geht DHCP, aber nur im LAN Netz mit 192.168.1.0./24:
Router ist eine Fritzbox 7530, die ich über 192.168.178.1 erreiche. Im Netzwerk der Fritzbox erscheint die Unifi USG unter 192.168.178.100 als exposed host:
Die Fritzbox macht selbst auch DHCP. Kann das einen Einfluss haben auf das Netz dahinter? (Edit: ohne geht gar nicht mehr. Grad ausprobiert)
Von der Fritzbox geht ein LAN-Kabel bei der USG rein über den WAN Aschluss. Und vom LAN-Anschluss der USG geht es weiter zu meinem Unifi 24 Switch:
-
@lobomau sagte in Multicast / SMA-EM / USG / Netztrennung:
generel geht DHCP, aber nur im LAN Netz mit 192.168.1.0./24:
Ja, sorry, da war ich nicht präzise genug.
Das ist wirklich schräg, es scheint als würde der DHCP auf dem VLAN (obschon er eingeschaltet ist) nicht funktionieren.
Da bin ich nun wirklich am Ende. Vielleicht versuchst du es mal in einem Unifi Forum. Vielleicht ist es ein Bug oder andere haben das auch schon erlebt.
-
@unclesam ja, ich bin grad am Schauen beim unifi Forum.
Was ich eben noch gemacht habe, geschaut unter den Einstellungen direkt beim USG. Passt das soweit?
