Multicast / SMA-EM / USG / Netztrennung
-
@unclesam ja, ich bin grad am Schauen beim unifi Forum.
Was ich eben noch gemacht habe, geschaut unter den Einstellungen direkt beim USG. Passt das soweit?
@lobomau Also den DNS auf 127.0.0.1 zu setzen ist waghalsig - aber es scheint zu gehen. Und die LAN-Einstellungen werden ja (wie es steht) eh vom Controller überschrieben.
Bitte bei Problemen mit meinen Adaptern, Issue auf GitHub erfassen: Loxone | I2C | Luxtronik2
♡-lichen Dank an meine Sponsoren -
@lobomau Also den DNS auf 127.0.0.1 zu setzen ist waghalsig - aber es scheint zu gehen. Und die LAN-Einstellungen werden ja (wie es steht) eh vom Controller überschrieben.
@unclesam was meinst du mit waghalsig? Vielleicht führt das ja zu Problemen? Wobei das habe ich nicht eingestellt und scheint normal? Localhost müsste doch in meinem Fall 192.168.1.1 entsprechen, oder? Ist doch die USG mit gemeint?
Host: NUC8i3 mit Proxmox:
- ioBroker CT Debian 13, npm 10.9.4, nodejs 22.21.0
- Slave: Pi4
-
@unclesam was meinst du mit waghalsig? Vielleicht führt das ja zu Problemen? Wobei das habe ich nicht eingestellt und scheint normal? Localhost müsste doch in meinem Fall 192.168.1.1 entsprechen, oder? Ist doch die USG mit gemeint?
@lobomau Ja, mich hat nur verwirrt, dass der USG auf sich selbst zeigt zur Namensauflösung, aber das wird schon stimmen.
Bitte bei Problemen mit meinen Adaptern, Issue auf GitHub erfassen: Loxone | I2C | Luxtronik2
♡-lichen Dank an meine Sponsoren -
@lobomau Ja, mich hat nur verwirrt, dass der USG auf sich selbst zeigt zur Namensauflösung, aber das wird schon stimmen.
@unclesam bin jetzt einen Schritt weiter. Ich glaube den Rest bekomme ich hin.
Ich habe mir ein Profil "test vlan profile" erstellt. Und wenn ich einen Port am switch damit tagge kommt auch die entsprechende IP aus dem IP range :-)
Geholfen hat mir das Video:
https://www.youtube.com/watch?v=uCO5ZTCy6zAHost: NUC8i3 mit Proxmox:
- ioBroker CT Debian 13, npm 10.9.4, nodejs 22.21.0
- Slave: Pi4
-
@unclesam bin jetzt einen Schritt weiter. Ich glaube den Rest bekomme ich hin.
Ich habe mir ein Profil "test vlan profile" erstellt. Und wenn ich einen Port am switch damit tagge kommt auch die entsprechende IP aus dem IP range :-)
Geholfen hat mir das Video:
https://www.youtube.com/watch?v=uCO5ZTCy6zA@lobomau Interessant. Was ist denn nun der Unterschied zwischen diesem Profil und den anderen? (Sorry, habe gerade keine Zeit 20 Minuten Youtube zu schauen)
Bitte bei Problemen mit meinen Adaptern, Issue auf GitHub erfassen: Loxone | I2C | Luxtronik2
♡-lichen Dank an meine Sponsoren -
@lobomau Interessant. Was ist denn nun der Unterschied zwischen diesem Profil und den anderen? (Sorry, habe gerade keine Zeit 20 Minuten Youtube zu schauen)
-
@unclesam da bringen die 20min Youtube auch keine Erkenntnis. Hab das nur bei anderen Videos auch mal so gesehen. Ich muss mich mal mit Thematik auseinandersetzen. Trunked, tagged und Co hab ich noch nicht ganz verstanden.
Für Multicast über alle Netzwerke habe ich unter Dienste den MDNS aktiviert. Alle Netzwerke, die irgendwie übergreifend sein müssen, z.B. zum Drucken, pihole, Mediaserver, etc., sind als Unternehmen eingerichtet. Getrennt werden die dann durch Firewall-Regeln. Exposed Host habe ich nicht genutzt. Das Doppel-NAT stört nicht. Im Gegenteil sehe ich das als weitere Hürde, falls die Fritzbox oder das USG mal eine Sicherheitslücke haben sollten.
Dann die Firewall-Regeln hauptsächlich in LAN IN ergänzt. Also welches Netzwerk darf auf welches Netzwerk, oder auch nur Einzelgerät, zugreifen. Dann habe ich noch die IP-Adresse der Fritzbox selbst für die meisten Netzwerke gesperrt.
In LAN OUT ist nur die Regel für die Geräte mit Internetverbot ergänzt.
In WAN IN nur zusätzlich die eine Regel für die SIP-Telefonie. Dafür braucht es in der Fritzbox auch noch eine Route. Die Portweiterleitungen für das VPN sind auch in der Fritzbox einzutragen.
Trunk ist der Kofferraum, wo alles drin ist. Also Management LAN ohne TAG, alle anderen Netzwerke getaggt. Da nicht alle Geräte mit getaggten VLANs klar kommen, werden diese an den Ports wieder "enttaggt". Für die Endgeräte ist das dann wie ein "normales" Netzwerk. Die PVID setzt man dann, um den Daten vom Endgerät in den Trunk wieder ein TAG zu verpassen. Die ist also normal gleich der VLAN -ID. Bei Unifi nicht nötig, bei den von mir auch eingesetzten managebaren Zyxel-Switchen schon.
Proxmox kann mit den Tags umgehen. Das heißt, der NUC hängt an einem Trunk-Port. Proxmox selbst läuft dann im Management LAN, die virtuellen Maschinen dann auf den VLANs, die man bei den Netzwerkkarten konfiguriert.
Gruß
Peterfido
Proxmox auf Intel NUC12WSHi5
ioBroker: Debian (VM)
CCU: Debmatic (VM)
Influx: Debian (VM)
Grafana: Debian (VM)
eBus: Debian (VM)
Zigbee: Debian (VM) mit zigbee2mqtt -
Für Multicast über alle Netzwerke habe ich unter Dienste den MDNS aktiviert. Alle Netzwerke, die irgendwie übergreifend sein müssen, z.B. zum Drucken, pihole, Mediaserver, etc., sind als Unternehmen eingerichtet. Getrennt werden die dann durch Firewall-Regeln. Exposed Host habe ich nicht genutzt. Das Doppel-NAT stört nicht. Im Gegenteil sehe ich das als weitere Hürde, falls die Fritzbox oder das USG mal eine Sicherheitslücke haben sollten.
Dann die Firewall-Regeln hauptsächlich in LAN IN ergänzt. Also welches Netzwerk darf auf welches Netzwerk, oder auch nur Einzelgerät, zugreifen. Dann habe ich noch die IP-Adresse der Fritzbox selbst für die meisten Netzwerke gesperrt.
In LAN OUT ist nur die Regel für die Geräte mit Internetverbot ergänzt.
In WAN IN nur zusätzlich die eine Regel für die SIP-Telefonie. Dafür braucht es in der Fritzbox auch noch eine Route. Die Portweiterleitungen für das VPN sind auch in der Fritzbox einzutragen.
Trunk ist der Kofferraum, wo alles drin ist. Also Management LAN ohne TAG, alle anderen Netzwerke getaggt. Da nicht alle Geräte mit getaggten VLANs klar kommen, werden diese an den Ports wieder "enttaggt". Für die Endgeräte ist das dann wie ein "normales" Netzwerk. Die PVID setzt man dann, um den Daten vom Endgerät in den Trunk wieder ein TAG zu verpassen. Die ist also normal gleich der VLAN -ID. Bei Unifi nicht nötig, bei den von mir auch eingesetzten managebaren Zyxel-Switchen schon.
Proxmox kann mit den Tags umgehen. Das heißt, der NUC hängt an einem Trunk-Port. Proxmox selbst läuft dann im Management LAN, die virtuellen Maschinen dann auf den VLANs, die man bei den Netzwerkkarten konfiguriert.
440
Online32.7k
Users82.5k
Topics1.3m
Posts