iobroker u. a. IoT Geräte abschotten - Frage dazu...
-
Vielen Dank für die Rückmeldung und Erklärung.
Mein Plan war, im Prinzip ein gleiches Netzwerk aufzubauen, wie es jetzt besteht, darin halt nur die IoT-Geräte reinpacken. Warum können die dann nicht mehr nach draußen senden? Kann man das nicht einstellen?
Ich könnte doch auch theoretisch alle Geräte ins Gastnetzwerk der Fritzbox (WLAN+LAN-Port4) packen. Die müssten dann doch noch nach draußen arbeiten können. (würde das allerdings über ein managed switch lösen) -
@android51 sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:
Vielen Dank für die Rückmeldung und Erklärung.
Mein Plan war, im Prinzip ein gleiches Netzwerk aufzubauen, wie es jetzt besteht, darin halt nur die IoT-Geräte reinpacken. Warum können die dann nicht mehr nach draußen senden? Kann man das nicht einstellen?Ich bin nicht so der VLan Experte. Daher weiss ich nicht ob der Traffic aus einem VLan automatisch nach aussen geroutet wird.
Auf einem Managed Switch musst du meiner Meinung nach das Routing für deine VLans explizit angeben. Da macht es Sinn das das IOT VLan nach aussen kommunizieren darf, nicht aber auf deine anderen internen Netze. Der ioBroker Rechner braucht dann ggf. 2 Netzwerk-interfaces, damit er einmal im IOT VLan und einmal in deinem Internen Netz verfügbar ist.Ich könnte doch auch theoretisch alle Geräte ins Gastnetzwerk der Fritzbox (WLAN+LAN-Port4) packen. Die müssten dann doch noch nach draußen arbeiten können. (würde das allerdings über ein managed switch lösen)
Solltest du z.Bsp. das Gastnetz der Fritz-Box nutzen wäre das der Fall (alle können nach aussen kommunizieren) - allerdings können sie untereinander dann ggf. nicht kommunizieren, und (viel wichtiger) deine Netzwerk Geräte können nicht auf die Geräte im Gast-Netz zugreifen. Da gibt es eine relativ harte über Routen eingestellte Trennung.
A.
Nachtrag: Du solltest ggf. einmal genau definieren was du mit den VLans erreichen willst. Es gibt da reichlich Optionen, die letztendlich bestimmen wie deine Routen in den VLans aussehen.
Man kann das fast beliebig kompliziert aufsetzen, und dabei die Kommunikation bestimmte Geräte, Gerätegruppen oder VLans zum Internet / zum internen Netz kontrollieren.
Die Grenze ist da dein Ziel und der Aufwand den du bereit bist auf dich zu nehmen.
A.
-
@asgothian
Zwei Netzwerkkarten sind meiner Meinung nach überflüssig. Der iobroker soll sich auch nur im abgeschotteten Bereich bewegen. Warum soll der auf das Hauptnetzwerk zugreifen.
Vielmehr benötige ich eine Option, mit meinem Rechner (Hauptnetzwerk) auf den IoT Bereich zugreifen zu können. Möchte ja schließlich auf den iobroker zugreifen.
Gibt es dafür eine Lösung?
Ich merke schon, IoT und VLANs sind keine guten Freunde.Was ich konkret erreichen möchte, ist, dass ich dem ganzen IoT Kram sicherheitstechnisch nur bedingt traue und daher die Angriffsmöglichkeiten weitestgehend vom Hauptnetzwerk trennen möchte.
-
VLan kann die Fritzbox nicht, das muß deswegen über die Switche realisiert werden.
Da sowohl VLANs für das Heimnetz als auch für das Gästenetz erzeugt werden sollen, die Fritzbox nicht VLAN-fähig ist, muss der Switch sowohl an das Heimnetz der Fritzbox (z. B. Port 2) als auch an das Gästenetz (Port 4) angeschlossen werden. -
allsoooooo.... um das richtig zu machen.. brauchst du
a) etwas mehr Netzwerk Grundkentnisse - was sind Vlans, was sind firewalls, was sind traffic&firewall Rules
b) schreib dir ein Netzwerk-Design, welche Devices nur lokal sind, welche nach draussen senden muessen, und schaue dann, wo du dein iobroker platzierst, der ist nichtnur lokal, der mag auch updates machen, also muss er, sofern du nicht jedesmal deine Firewall rules aendern willst, auch raus senden..
c) die richtige Netzkwerk Hardware, nur managed switchs, wifi AP's mit vlan support, firewall, gateway, etc.Mit AVM Hardware nicht umzusetzen, vergiss das.
-
@nashra sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:
VLan kann die Fritzbox nicht, das muß deswegen über die Switche realisiert werden.
Da sowohl VLANs für das Heimnetz als auch für das Gästenetz erzeugt werden sollen, die Fritzbox nicht VLAN-fähig ist, muss der Switch sowohl an das Heimnetz der Fritzbox (z. B. Port 2) als auch an das Gästenetz (Port 4) angeschlossen werden.was
a) schnell dazu fuehrt, dass du dir irgenwas was brueckst - dann hast du eine Netzwerkschleife
b) alles nur verkabelt sein kann -
@ilovegym sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:
@nashra sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:
VLan kann die Fritzbox nicht, das muß deswegen über die Switche realisiert werden.
Da sowohl VLANs für das Heimnetz als auch für das Gästenetz erzeugt werden sollen, die Fritzbox nicht VLAN-fähig ist, muss der Switch sowohl an das Heimnetz der Fritzbox (z. B. Port 2) als auch an das Gästenetz (Port 4) angeschlossen werden.was
a) schnell dazu fuehrt, dass du dir irgenwas was brueckst - dann hast du eine Netzwerkschleife
b) alles nur verkabelt sein kannDas lässt sich in der Fritte einstellen, der 4er ist dann Gastnetz und da passiert gar nichts.
Das VLan muß in den Switchen dann entsprechend eingestellt werden.
Aber, da sollte man dann auch wirklich Ahnung von der Materie haben und
ich würde so einen Krampf nicht mit einer Fritte machen, da gibt es bessere Hardware
die sowas dann auch richtig händelt zB Unifi. -
@android51 sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:
@asgothian
Zwei Netzwerkkarten sind meiner Meinung nach überflüssig. Der iobroker soll sich auch nur im abgeschotteten Bereich bewegen. Warum soll der auf das Hauptnetzwerk zugreifen.
Der iobroker sollte aber schon auf das Hauptnetz oder zumindest im „abgeschotteten“ Netz auf das Internet zugreifen können. Wie willst Du sonst Updates einspielen oder mal einen neuen Adapter installieren?
Also ja, iobroker sollte in beiden Netzen sein, dann spart man sich das Gefrickel, in einer Firewall irgendwelche Löcher zu stechen, damit iobroker raus kommt. Und mit Routen muss man dann auch nix tun, da der iobroker ja nativ beide Netze sieht.Ich habe bei mir iobroker in Proxmox, und da hat er 3 virtuelle Netzwerkkarten. Eine für das Smarthome-Netz, in welchem die Geräte im Normalfall keine anderen Netze sehen, geschweige denn Internet, eine für das normaloe Netz, damit iobroker Internetzugang hat und auch Zugriff auf ein paar Dinge. welche ich im normalen Netz habe und ein Proxmox-internes Netz für die Kommunikation mit den Containern für influx, redis, mosquitto und so, damit der Verkehr den Proxmox-Host erst gar nicht verlässt.
Als Router einen Edgerouter 4.
Gruss, Jürgen
EDIT: Mit einer Fritzbox und eventuell einem managed switch würde ich solche Versuche erst gar nicht anstellen. Ich würde mich als angehenden Netzwerk-Profi bezeichnen, aber dasd wäre mir zu kompliziert.
-
@android51 sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:
@asgothian
Zwei Netzwerkkarten sind meiner Meinung nach überflüssig. Der iobroker soll sich auch nur im abgeschotteten Bereich bewegen. Warum soll der auf das Hauptnetzwerk zugreifen.
Vielmehr benötige ich eine Option, mit meinem Rechner (Hauptnetzwerk) auf den IoT Bereich zugreifen zu können. Möchte ja schließlich auf den iobroker zugreifen.
Gibt es dafür eine Lösung?
Ich merke schon, IoT und VLANs sind keine guten Freunde.Was ich konkret erreichen möchte, ist, dass ich dem ganzen IoT Kram sicherheitstechnisch nur bedingt traue und daher die Angriffsmöglichkeiten weitestgehend vom Hauptnetzwerk trennen möchte.
Ja, 2 physikalische Netzwerk Karten sind nicht unbedingt notwendig, ggf. Tun es auch 2 interfaces auf der gleiche Karte. Wenn es allerdings um Sicherheit geht bist du mit 2 getrennten Karten besser als 2 interfaces - dann kannst du 2 physikalisch voneinander getrennte Netzwerke auf machen, anstatt nur “logisch” voneinander getrennte Netzwerke zu haben.
A.
-
Wenn ich hier immer wieder Fritzbox und Gastnetz lesen:
Nach meinem Wissensstand erlaubt die Fritzbox keinerlei Datenaustausch vom "Hauptnetz" mit dem Gastnetz. Wenn der ioBroker Host im Gastnetz hängt erreichst du ihn von deinem "Hauptnetz" aus nicht. Wenn er im normalen Netz der Fritte hängt erreicht er keine IOT im Gastnetz.
Ja, theoretisch müsste es gehen den ioBroker Hiost mit 2 Netzwerkinterfaces in beide Netze einzubinden. Davon hab ich aber bisher abgesehen, da ich zumindest mir nicht zutraue den Pi so einzurichten dass er dann nicht gleich Gast- und Normalnetzt 1:1 verbindet ...
-
Okay, danke dir die Rückmeldungen. So kompliziert habe ich mir das nicht vorgestellt.
Ich dachte, ich könnte ein unmanged switch an den lan 4 der fritzbox hängen und zusätzlich alle IoT Devices, die wlan haben über den wlan Gastzugang verbinden. Ich dachte, dann hätte ich alles nach meiner Vorstellung im Gastzugang abgeschottet.
Alternativ hätte ich mir ein managed switch geholt und darüber VLANs eingerichtet. Dann habe ich aber noch kein vlan WiFi.
Gut, ich glaube, ich stelle mir nochmal intensiv die Frage, wie wichtig mir das ist und welchen Aufwand ich dafür betreiben möchte. Denn nach den ersten Antworten kann der iobroker zwar raussenden, aber nichts von außen reinkommen. Also schon relativ safe.
Stellt sich nur die Frage, was mit so tv Geräten, Kameras, Google home etc. ist, die sich zurzeit im Netzwerk befinden. Was können die anrichten, wenn man das kritisch betrachtet? -
@android51 said in iobroker u. a. IoT Geräte abschotten - Frage dazu...:
Okay, danke dir die Rückmeldungen. So kompliziert habe ich mir das nicht vorgestellt.
Ich dachte, ich könnte ein unmanged switch an den lan 4 der fritzbox hängen und zusätzlich alle IoT Devices, die wlan haben über den wlan Gastzugang verbinden. Ich dachte, dann hätte ich alles nach meiner Vorstellung im Gastzugang abgeschottet.Ja, nur kommst du dann mit deinem Handy das im normalen WLAN hängt nicht mehr ran ...
Außerdem hat das Gast Netz der Fritte m.W. nach keine Möglichkeit fixe Adressen via DHCP einzustellen.
-
Das ganze Thema ist mit erheblicher Vorsicht zu genießen.
Wenn man sich mit der Materie nicht wirklich auskennt, ist die Gefahr beim Versuch etwas besonders sicher zu machen, dass man sogar ein Loch in das bisherige reisst.
-
@android51 sagte in iobroker u. a. IoT Geräte abschotten - Frage dazu...:
Okay, danke dir die Rückmeldungen. So kompliziert habe ich mir das nicht vorgestellt.
Stellt sich nur die Frage, was mit so tv Geräten, Kameras, Google home etc. ist, die sich zurzeit im Netzwerk befinden. Was können die anrichten, wenn man das kritisch betrachtet?
Das hängt davon ab wie weit du der Firmware traust. Wenn der Router (FRITZ!Box) richtig eingerichtet ist bekommst du keine ungefragten Verbindungen von außen in dein Netz. Wenn aber eines der Smart Geräte über eine back-door in der Firmware verfügt kann sie durchaus in deinem Netz Schindluder treiben. Vom abhören des Netzes und versenden nach irgendwo hin bis zum infizieren von Windows Rechnern über Schwachstellen in Windows oder installierten Programmen.
Wohlgemerkt - kann - die meiste Firmware ist ok. Es gibt eher wenig echte “Bad actors”. Aber möglich ist das. Sich dagegen zu schützen ist allerdings aufwändig und kommt oft mit Komfort Verlust einher. Dem Smart-tv den Weg in das Internet zu verbieten sichert das Netz gegen das Gerät ab, macht es aber gleichzeitig auch weniger smart - als Beispiel.
Am Ende ist es eine Vertrauensfrage. Weißt du von wem die Firmware stammt, vertraust du denen und glaubst du das die netz Zugriffe notwendig sind.
Ein Beispiel wie ich es mache:
- das Smart TV wurde dumm gemacht - einfach per Mac address Filter auf der FRITZ!Box - kein Zugriff aufs externe Netz, sowie via blacklist auf dem adguard - keinen namensauflösung per DNS.
- Die wenigen smarten wlan Geräte die ich habe arbeiten mit den gleichen Einschränkungen, und sind damit lokal gezwungen - kriegen aber auch keine Firmware Updates.
- Für den Medien-Konsum hab ich einen dedizierten Medien-Player - der darf ins Netz.
Smart-Geräte mit “Remote API” (sonoff mit original Firmware, TuYa wifi und so weiter) hab ich keine - absichtlich nicht - da fehlt das Vertrauen vollständig. - Die eine wlan Kamera die ich habe ist auch vom Netz und vom DNS abgekoppelt. Diese kann ich nur lokal nutzen (rtsp stream)
- Voice-assistants die immer lauschen gibt es bei mir aus Prinzip nicht - ich mag keine Wanzen.
A.
P.s. die Einstellungen sind auf mich und mein Paranoia-Level angepasst - ich will damit mit Nichten schreiben das andere das so machen müssen.
