Netzwerk Frage
-
@veleen sagte in Netzwerk Frage:
es gibt eine Möglichkeit aber die scheint umständlich oder gar unsicher
kein Plan was Du damit meinst weil wir ja noch nicht so genau wissen WAS Du jetzt so alles und WARUM Du das Unbekannte vorhast... wir helfen ja gerne aber jetzt versuch nochmals zu erklären was wir nicht wissen können
@veleen sagte in Netzwerk Frage:
mein Heimisches WLAN-Netz zu entlasten
Also doch Performance... ???
-
irgendwie wird da nur um den heissen Brei geredet. Welche Hardware steht denn überhaupt zur Verfügung, bzw um welche Art Sensoren handelt es sich( mqtt, tasmota, shelly.....)
manches geht Netzwerkübergreifend und manches nicht -
Okay ich versuch es nochmal aufzudröseln.
also wie bei jedem von euch wird im WLAN so einiges an Geräten hängen (Fernseher, Fire-TV-Stick etc.) das schluckt ja schon Performance. Mein Gedanke ist mein WLAN Netz damit zu entlasten, und so die Performance aufrechtzuerhalten.
Im Moment stellt das noch keine große Gefahr da da sich nur mein iOBroker (auf RPI) und ein D1 mini mit Temp-Sensoren (mit Tasmota-Firmware) und 3 Tasmota-Steckdosen zusätzlich im WLAN befinden. was sich aber mit der Zeit ändern wird.
Deshalb die Frage ob es die Möglichkeit gibt, die Sensoren in einem eigenständigen Netzwerk laufen zu lassen (mit dem RPI sozusagen als Server) und ich den RPI via LAN in meinem Netzwerk (zurzeit noch über WLAN) sodas ich auf die Webkonsole von PC aus zugreifen kann. -
@veleen sagte in Netzwerk Frage:
zurzeit noch über WLAN
Warum ??? Der Host sollte immer im LAN betrieben werden ... Dann kauf Dir halt nen zusätzlichen RPI den Du dann per MQTT mit dem Server verbindest... aber ich sehe da jetzt trotzdem keine Sinn drin.. Performance sparst Du da eher nicht... das ist meine Meinung...
Und wie immer kann ich mich auch täuschen
-
Ich möcht mich hier auch mal einmischen.
In div. Zeitschriften (z.B. Heise Ct) wird immer wieder empfohlen ALLE iot Geräte (das sind de facto primär die Sensoren) in ein eigene Netzwerk auszulagern. Insbesondere wenn diese Geräte Zugriff auf das Internet / eine Hersteller Cloud haben. Diese Geräte (z.B. Shellys, Heizkörpersensoren, ...) sollten KEINEN internen Zugriff auf der private Netzwerk, z.b. NAS haben.
Sinn: eh klar: Wenn so ein Sensor / SmartSwitch einen SW Fehler hat kann ein Angreifer diesen als Relays missbrauchen und so an deine privaten Daten rankommen. Wenn der Senor / Smartswitch genausowenig auf den LAN zugreifen kann wie ein x-beliebiger Nutzer im Internet, dann ist das zusätzliche Risiko durchr die Smart Systeme reduziert.
ABER:
Natürlich soll meine ioBroker Zentrale (Raspberry) vom privaten LAN erreichbar sein. Und sinnvoller Weise sollte der Pi auch Backups ins LAN machen können. Usw. Der ioBroker Server müßte daher dann in 2 Netzwerken angesiedelzt sein.Zusätzlich stellt sich bei mir die Frage ob / wie ich die mit em existierenden Equipment (Fritzbox) lösen könnte. Na ja FB hat ein GAST LAN und ein GAST WLAN. Nur das ist 100% abgeschotet - da geht weder ein Zugriff vom Gastnetz ins private LAN / WLAN (ok so) noch umgekehrt.
Ergo:
Ich habe keine Lösung für eine saubere Trennung - aber wenn wer da eine Idee hat wär ich dankbar. (Allerdings würd ich ungern noch ein zwetes mesh WLAN im ganzen Haus installieren - sonst wärmt sich das Essen schon beim reinen Transport an den Tisch
-
@mcm57 @Veleen
So eine Fritz!Box und ein "Mesh WLAN" ist doch prima. ioBroker-Hardware an die FritzBox Netzwerkanschlüsse, die ganzen Sensoren etc. über das WLAN.
Ihre wollt nicht das die China-Kracher nach Hause telefonieren?
Stellt auf diesen entweder eine feste IP-Adresse ein oder sorgt dafür das diese immer die gleiche Adresse bekommen (auf der Box im Heimnetz das Gerät auswählen und Haken setzen)
Und dann nehmt Ihr die Kindersicherung - erstellt ein Profil ohne Internetzugang und weist es diesen Geräten zu (Anleitung gibt es bei AVM, auf der Oberfläche oder bei google).Beachtet: Dann können sich diese Geräte auch nicht mehr die aktuelle Uhrzeit aus der Cloud holen, wenn möglich da auch die FritzBox als Zeitserver einstellen.
Das ist zwar rudimentär, aber als Anfänger überschaubar. Klar, die könnten dann immer noch das interne Netzwerk scannen, können das dann aber niemanden erzählen.
Soll das wirklich alles getrennt werden, kommt man halt mit einer FritzBox + deren AccessPoints nicht weit.
Alternativ wäre eben keine Hardware einzusetzen die böse Dinge tut wie nach Hause telefonieren. Deshalb habe ich alle meine Geräte mit Tasmota geflasht bzw. nur gezielt Geräte damit gekauft.
Edit: Und wenn es um die WLAN-Performance geht: Der Fernseher (und andere Videoanwendungen) sollten über ein LAN Kabel laufen, nicht über WLAN. Bei uns hatten damals (FireTV Stick erste Generation) die Filme auch angefangen zu ruckeln wenn meine Frau mit Ihrem Handy anfing.
-
@bananajoe genauso habe ich es auch gemacht, wobei ich sowieso nur minimale WLAN Geräte habe (daikin klima, go-e, und ein wiffi)
und bei der Streamingbox bin ich direkt auf nvidia shield pro gegangen um vernünftigen LAN Anschluss nutzen zu können -
@veleen
Da kommst um einen Router, der vlan managen kann (oder einen entsprechenden managed Switch)
nicht herum.
Zusätzlich musst dann mit Firewall - Regeln die vlan miteinander verbinden.
Das ist kein Fritz.box-Thema, wenn's aber erstmal läuft, knorke! -
@veleen sagte in Netzwerk Frage:
Fire-TV-Stick
gibt es nen Adapter, dann kannst du diesen per Lan anschliessen.
@veleen sagte in Netzwerk Frage:
ob es die Möglichkeit gibt, die Sensoren in einem eigenständigen Netzwerk laufen zu lassen
natürlich, per mqtt kannste deine Daten hin schicken wo de willst
wie schon geschrieben wurde, Möglichkeit bei der Fritzbox ist mit Einschränkungen gegeben, ansonsten ist Unifi stark vertreten, das geht dann allerdings ins Geld
letztendlich bis du dein Wlan ausgereizt hast, bedarf es einige Sensoren, da ist viel Luft nach oben.
-
@meister-mopper sagte in Netzwerk Frage:
oder einen entsprechenden managed Switch)
nicht herum.mit rinem kommst du dann nicht aus, wenn du wie ich in einem Haus mit minimaler Leerohrkaüazität wohnst und per Daisychaining über 4 Ebenen in alle Zimmer willst.
@meister-mopper sagte in Netzwerk Frage:
Zusätzlich musst dann mit Firewall - Regeln die vlan miteinander verbinden.
und da sind wir beim Thema mit einer falschen Einstellung alles zu verschlimmbessern
-
@bananajoe
Danke für die Infos.Ja, ich halte es derzeit auch so, dass ich die meisten Geräte per FB Kindersicherung gesperrt habe.
Und ja ja, die FB ist mein Timeserver z.B. für die Shellys.Leider gibt es ein paar Dinge die ohne Cloud nicht gehen. Die Somfy Box kann mit der App nur über die Cloud
(Ok, ev. werd ich mal das ganze auf ioBroker umstellen - aber ich hab nicht unendlich Zeit und die Rollos manche Dinge will ich aus der Entfernung auch bedienen können.)
Der Shelly 3em kann history nur via Cloud - ok, ginge auch im ioBroker aber dazu müßte ich mich endlich mal tiefer in visuslisierung einarbeiten...usw. usw.
Ich hab mich hier nur mal angeschlossen, weil mich das Thema auch interessiert. Hätte ja sein können, dass wer einen (sicheren) Trick kennt. der zumindest nicht mehr aufmacht als die homecalling iot Geräte schon jetzt. Und ja Port Forwarding incoming ist tabu. Wozu gibt es VPNs...
-
@mcm57 sagte in Netzwerk Frage:
Wozu gibt es VPNs...
und selbst da trauen sich viele nicht ran.
Wenn man auf alles verzichten kann, was potentiell (eher) schädlich sein könnte ist natürlich gut. -
@homoran
Meinst du viele trauen sich VPNs einzurichten nicht zu oder meinen VPNs sind zu unsicher?Also ich mach mir eher weniger Sorgen dass jemand mein vpn zur Fritzbox knackt als dass die FB an sich ein Loch hat das wer benutzen könnte. In dem Fall kann ich dann nur hoffen, dass die Firewalls in den Synology NAS halten und alle Zugriffe von externen IPs blocken ...
Wobei via Relay über ein anderes Gerät gibts immer noch Wege. Nur glaub ich ehrlich gesagt nicht, dass mein Heimnetz einen manuell agierenden Hacker interessiert. Und (halb-)automatische Scripts sollten scheitern.
Auf die (online) Backups der NAS Server im Haus und in der Cloud haben alle auf den Windows PCs existierednden Accoutn skeinen Zugriff. Dort dürfen nur Accounts hin die es nur am NAS gibt (und auf jedem NA ein anderer Accountname / Pwd.
Merh Sorgen macht mir da ein bösartige Webseite. Weil jedesmal zum Browsen auf eine VM zu gehen - das ist mir zu mühsam.
Na ja - im Notfall gibts da dann noch die offline usb disks vom letzten Monat im Brandschutztresor... Nur hoff ich nicht, dass ich die je brauche.
Die wirklich wichtigen Daten hoff ich hab ich damit halbwegs sicher.
Und die Videosammling ... ist ein anderes Thema
McM
-
@veleen sagte in Netzwerk Frage:
Eine Trennung würde schon gehen.
Sagen wir mal dein Heimnetzwerk wäre 192.168.1.x
dein Sensorennetzwerk wäre 192.168.2.x
Bei einer Netzwerkmaske 255.255.255.0 wären das 2 voneinander getrennte Netze.
Das heißt der Router würde Päckchen aus dem einen Netzwerksegment nicht an das andere weiterleiten.
iobroker soll aber aus beiden Netzwerksegmenten erreichbar sein.
Dann benötig man auf dem Router eine zusätzliche Route aus dem Sensorennetzwerk zur IP des IO-Brokers (und zwar nur dahin)
Vorteil Sensoren können mit iobroker kommunizieren, aber nicht mehr mit dem Internet (wenn sie dann noch funktionieren)
Dann benötigst du noch 2 virtuelle WLAN-Netze, damit deine Geräte im Heimnetzwerk auch noch erreichbar sind. Und wenn der Router das kann, dann auch auf unterschiedlichen Frequenzen. Ich glaub da brauch man einen mit mehreren Antennen.
ggfs. sind dann noch Firewall-Einstellungen auf dem Router vorzunehmenGrundsätzlich sollte die Technik der Router das immer können, ob der Hersteller diese Funktionen auch an den Nutzer über die Oberfläche preisgibt ist spannend.
Mit OpenWRT habe ich das vor längerer Zeit mal realisiert, kann mich an die Detailschritte, besonders zur Einrichtung der Route, aber nicht mehr erinnern.
-
@mcm57 sagte in Netzwerk Frage:
Merh Sorgen macht mir da ein bösartige Webseite. Weil jedesmal zum Browsen auf eine VM zu gehen - das ist mir zu mühsam.
dafür hatte ich den BitBox Browser. Aber leider gibt es die private Version nicht mehr
-
This post is deleted! -
This post is deleted! -
This post is deleted! -
This post is deleted! -
This post is deleted!
