Geräte aus mehreren Subnetzen einbinden?
-
@oliverio sagte in Geräte aus mehreren Subnetzen einbinden?:
@andygr42 sagte in Geräte aus mehreren Subnetzen einbinden?:
@oliverio Der Router hat NICHT die Aufgabe die Netze zu trennen.
Na dann habe ich viele jahre was falsch gemacht.
Oder wir reden aneinander vorbei. Wenn ich zwei Netze logisch und / oder physikalisch trennen möchte, brauche ich keinen Router. Das kann ich schon auf Layer 1 machen und einfach zwei dumme Switche nehmen. Alternativ einen L3 Switch mit VLAN (L2 mit Port Gruppen würden auch reichen). In dieser Konstellation benötige ich keine weitere "Intelligenz". Die kommt erst ins Spiel wenn die beiden Netze kommunizieren möchten.
Du gehst vermutlich davon aus, dass die beiden Subnetze mit dem Internet verbunden, aber voneinander getrennt sind. Das ist ein völlig anderer Fall, da haben wir 3 Netz (eigentlich mehr, aber das spielt jetzt keine Rolle). Dann brauchst Du natürlich einen Router bzw. ein Gateway.
@andygr42
Wahrscheinlich
Ich hab nix von vlan oder andere komplexe Geschichten gesagt.
Für ihn reicht die lösung die ich oben geschrieben habe. Leider gibt es auch dafür nicht so eine einfache Lösung das er nur irgendwo ein Häkchen setzen muss. Er muss sich mit seinen beiden Netzwerken ein wenig auskennen und einberufe setzen. Fertig
Da brauch man auch an einem Firewall nix drehen der bei den meisten einfachen Routen nur nach innen gerichtet ist und man auch nicht wirklich was verstellen kann -
@andygr42
Wahrscheinlich
Ich hab nix von vlan oder andere komplexe Geschichten gesagt.
Für ihn reicht die lösung die ich oben geschrieben habe. Leider gibt es auch dafür nicht so eine einfache Lösung das er nur irgendwo ein Häkchen setzen muss. Er muss sich mit seinen beiden Netzwerken ein wenig auskennen und einberufe setzen. Fertig
Da brauch man auch an einem Firewall nix drehen der bei den meisten einfachen Routen nur nach innen gerichtet ist und man auch nicht wirklich was verstellen kann@oliverio Ich ging von VLAN aus, wenn mehrere Subnetze in Betrieb sind, die miteinander kommunizieren. Und ohne zweite NIC wäre es ja dann auch schlecht möglich, iobroker in beide Netze zu bringen, was vom Threadersteller aber nicht als unmöglich, sondern als nicht gewollt verworfen wurde.
Wenn es zwei Router wären, die jeder ein eigenes Netz aufspannen und dann noch dazwischen geroutet werden soll, wird es komplizierter. Dann würde der iobroker die Geräte im anderen Netz ja gar nicht sehen können, wenn bislang nicht geroutet wird. Und das scheint ja zu funktionieren, nur nicht UPNP/Bonjour.
Deshalb mein Vorschlag, iobroker in beide Netze zu setzen und per Firewall die IT-Geräte nur das sehen lassen, was sie sehen sollen/dürfen/müssen.Gruss, Jürgen
-
@andygr42
Wahrscheinlich
Ich hab nix von vlan oder andere komplexe Geschichten gesagt.
Für ihn reicht die lösung die ich oben geschrieben habe. Leider gibt es auch dafür nicht so eine einfache Lösung das er nur irgendwo ein Häkchen setzen muss. Er muss sich mit seinen beiden Netzwerken ein wenig auskennen und einberufe setzen. Fertig
Da brauch man auch an einem Firewall nix drehen der bei den meisten einfachen Routen nur nach innen gerichtet ist und man auch nicht wirklich was verstellen kann@oliverio sagte in Geräte aus mehreren Subnetzen einbinden?:
Ich hab nix von vlan oder andere komplexe Geschichten gesagt.
Für ihn reicht die lösung die ich oben geschrieben habe.Anscheinend ja nicht, sonst wären wir schon fertig. Bisher ist es auch eher eine Mutmaßung, dass die beiden Netze tatsächlich physikalisch (oder zumindest per VLAN) getrennt sind. Wenn nicht, dann wäre auch das Beharren auf die logische Trennung völlig sinnfrei. Zwei IP Subnetze auf dem gleichen, physikalischen LAN/VLAN sind nicht sicher getrennt. Das kann man auch lassen.
Wenn wir also davon ausgehen, dass es zwei physikalisch getrennte Netze sind, welche ein Routing Verhältnis haben (sonst wäre seine Frage in Post 1 vom Grundsatz her schon sinnfrei), geht es einzig und allein noch um die Frage nach UPNP etc. Und das geht nun mal nicht über zwei Subnetze.
Nun wäre es ein Ansatz, in den Server einen zweiten Netzwerkadapter einzubauen und diesen in das IoT Subnetz zu hängen. Wenn der eingehende Zugriff auf iobroker beschränkt werden soll, kann man das mit einer einfachen Firewall machen. Sogar mit der Windows Firewall. Alternativ, je nach Betriebssystem und Diensten, verhindert man die Bindung der lokalen IoT IP Adresse an kritische Dienste, die aus dem IoT Netzwerk nicht erreicht werden sollen. Das ist aber mehr Arbeit und unter Umständen nicht zu 100% möglich.
-
Man könnte ja auch eine Multihost-Konfiguration machen. Aus dem Subnetz wären ja dann nur wenige Ports zu Kommunikation notwendig? Bei meinem Monitoring nutze ich ständige abgesetzte Proxys.
Bzw. Warum muss es denn unbedingt die Gerätesuche sein? Kann an die Geräte nicht auch händisch anlegen? Ich bin da vielleicht unerfahren mit meiner Tasmota-Welt, da trage ich den ioBroker als MQTT-Broker ein und gut.
-
@oliverio sagte in Geräte aus mehreren Subnetzen einbinden?:
Ich hab nix von vlan oder andere komplexe Geschichten gesagt.
Für ihn reicht die lösung die ich oben geschrieben habe.Anscheinend ja nicht, sonst wären wir schon fertig. Bisher ist es auch eher eine Mutmaßung, dass die beiden Netze tatsächlich physikalisch (oder zumindest per VLAN) getrennt sind. Wenn nicht, dann wäre auch das Beharren auf die logische Trennung völlig sinnfrei. Zwei IP Subnetze auf dem gleichen, physikalischen LAN/VLAN sind nicht sicher getrennt. Das kann man auch lassen.
Wenn wir also davon ausgehen, dass es zwei physikalisch getrennte Netze sind, welche ein Routing Verhältnis haben (sonst wäre seine Frage in Post 1 vom Grundsatz her schon sinnfrei), geht es einzig und allein noch um die Frage nach UPNP etc. Und das geht nun mal nicht über zwei Subnetze.
Nun wäre es ein Ansatz, in den Server einen zweiten Netzwerkadapter einzubauen und diesen in das IoT Subnetz zu hängen. Wenn der eingehende Zugriff auf iobroker beschränkt werden soll, kann man das mit einer einfachen Firewall machen. Sogar mit der Windows Firewall. Alternativ, je nach Betriebssystem und Diensten, verhindert man die Bindung der lokalen IoT IP Adresse an kritische Dienste, die aus dem IoT Netzwerk nicht erreicht werden sollen. Das ist aber mehr Arbeit und unter Umständen nicht zu 100% möglich.
@andygr42
Ich denke ich hab schon verstanden was der Sinn ist und was er beabsichtigt.
Er hat ein iot subnetz, das darf nicht in Internet telefonieren
Er hat ein normales subnetz mit den anderen Clients, die ins Internet dürfen.
Die beiden subnetze müssen nicht unbedingt physikalisch getrennt sein, sondern nur logisch.
Das selbe habe ich mit openwrt auch gemacht. Mehrere LANs mehrer
WLANs ( ich muss nachbauen, aber ich glaube es sind 5 WLANs, alle parallel nebeneinander und 2 LANs, aber alles auf der selben Hardware
Wie gesagt der Router routet innerhalb eines subnetze die Päckchen nicht an andere subnetze ohne extra Anweisung. Alles was nicht andere subnetze ist wird vom Router nach upstream (also ist internet) geschickt. -
@andygr42
Ich denke ich hab schon verstanden was der Sinn ist und was er beabsichtigt.
Er hat ein iot subnetz, das darf nicht in Internet telefonieren
Er hat ein normales subnetz mit den anderen Clients, die ins Internet dürfen.
Die beiden subnetze müssen nicht unbedingt physikalisch getrennt sein, sondern nur logisch.
Das selbe habe ich mit openwrt auch gemacht. Mehrere LANs mehrer
WLANs ( ich muss nachbauen, aber ich glaube es sind 5 WLANs, alle parallel nebeneinander und 2 LANs, aber alles auf der selben Hardware
Wie gesagt der Router routet innerhalb eines subnetze die Päckchen nicht an andere subnetze ohne extra Anweisung. Alles was nicht andere subnetze ist wird vom Router nach upstream (also ist internet) geschickt.@BananaJoe Einige Adapter benötigen die Device Suche. Bei Manchen wurde die Möglichkeit zur Angabe der IP hinzugefügt. Wenn ich mich recht entsinne, hat das z.B. mit dem Harmony Adapter nie ohne Discovery funktioniert.
@oliverio Ob das IoT Netz ins Internet darf oder nicht ist hier nicht der Punkt. Geräte aus dem IoT Netz dürfen wegen Sicherheitsbedenken keinen Zugriff auf Dienste im "Server" Netz bekommen.
Was ist bei dir der Unterscheid zwischen physikalischer und logischer Trennung? Wenn Du mit logischer Trennung zwei oder mehr IP Subnetze auf demselben "Lankabel" meinst, dann dürfte das nicht den Sicherheitsanforderungen des TO entsprechen. Die Trennung ist dann mehr für's Auge. Beide Netze sind in diesem Fall in einer Broadcast Domain. Passiert hier etwas Schlechtes, z.B. ein Flooding durch eine amok laufende IP Cam, sind beide Netze down. Dazu kommen noch diverse, simple Angriffsmöglichkeiten, auch über die Subnetze hinweg. Im Prinzip ist es kaum besser als ein einzelnes IP Subnetz.
Eine sichere und saubere Trennung muss also mit einer eigenen Broadcast Domain je Subnetz beginnen. Alle Ports eines Switch, und damit alle angeschlossenen Geräte (auch über WLAN) sind in einer Broadcast Domain, sofern er nicht in VLAN's oder Portgruppen aufgeteilt wurde.
Selbst entsprechend getrennte Netze sind perse erstmal nicht (viel) sicherer, wenn sie voll grouted werden. Viele Angriffsmöglichkeiten werden erst mit einem Paketfilter, der grundsätzlich alles blockt und nur definierten Traffic durchlässt, unterbunden. Ein Router mit Firewall kann eine solche Funktion übernehmen. Oder ein Layer 3 Swich mit entsprechenden ACL Features.
Bei WLANS sind die einzelnen SSID's erstmal getrennt und daher ähnlich wie getrennte LAN Kabel oder VLAN's zu betrachten. Sie teilen sich lediglich die Airtime auf gemeinsam genutzten AP. Es sei denn, man nutzt für alle SSID's wieder die gleiche Broadcast Domain... Bei WLAN kann man natürlich noch mit isolation arbeiten, sofern der AP das hergibt. Das ist aber in diesem Szenario kaum zielführend.
-
@BananaJoe Einige Adapter benötigen die Device Suche. Bei Manchen wurde die Möglichkeit zur Angabe der IP hinzugefügt. Wenn ich mich recht entsinne, hat das z.B. mit dem Harmony Adapter nie ohne Discovery funktioniert.
@oliverio Ob das IoT Netz ins Internet darf oder nicht ist hier nicht der Punkt. Geräte aus dem IoT Netz dürfen wegen Sicherheitsbedenken keinen Zugriff auf Dienste im "Server" Netz bekommen.
Was ist bei dir der Unterscheid zwischen physikalischer und logischer Trennung? Wenn Du mit logischer Trennung zwei oder mehr IP Subnetze auf demselben "Lankabel" meinst, dann dürfte das nicht den Sicherheitsanforderungen des TO entsprechen. Die Trennung ist dann mehr für's Auge. Beide Netze sind in diesem Fall in einer Broadcast Domain. Passiert hier etwas Schlechtes, z.B. ein Flooding durch eine amok laufende IP Cam, sind beide Netze down. Dazu kommen noch diverse, simple Angriffsmöglichkeiten, auch über die Subnetze hinweg. Im Prinzip ist es kaum besser als ein einzelnes IP Subnetz.
Eine sichere und saubere Trennung muss also mit einer eigenen Broadcast Domain je Subnetz beginnen. Alle Ports eines Switch, und damit alle angeschlossenen Geräte (auch über WLAN) sind in einer Broadcast Domain, sofern er nicht in VLAN's oder Portgruppen aufgeteilt wurde.
Selbst entsprechend getrennte Netze sind perse erstmal nicht (viel) sicherer, wenn sie voll grouted werden. Viele Angriffsmöglichkeiten werden erst mit einem Paketfilter, der grundsätzlich alles blockt und nur definierten Traffic durchlässt, unterbunden. Ein Router mit Firewall kann eine solche Funktion übernehmen. Oder ein Layer 3 Swich mit entsprechenden ACL Features.
Bei WLANS sind die einzelnen SSID's erstmal getrennt und daher ähnlich wie getrennte LAN Kabel oder VLAN's zu betrachten. Sie teilen sich lediglich die Airtime auf gemeinsam genutzten AP. Es sei denn, man nutzt für alle SSID's wieder die gleiche Broadcast Domain... Bei WLAN kann man natürlich noch mit isolation arbeiten, sofern der AP das hergibt. Das ist aber in diesem Szenario kaum zielführend.
Support us
554
Online32.7k
Users82.5k
Topics1.3m
Posts