Geräte aus mehreren Subnetzen einbinden?
-
Moin,
wie bekomme ich es hin, Geräte aus anderen Subnetzen als dem des IOBrokers einzubinden?
Nehmen wir an, IOBroker hat eine Adresse im Netz 192.168.70.0/24, aber einige Geräte befinden sich im Subnetz 192.168.80.0/24. Wie binde ich Geräte aus letzterem Subnetz ein? Die Gerätesuche findet dort ja nichts, weil sie standardmäßig nur im Subnetz von IOBroker (192.168.70.0/24) sucht.
Danke
-
@jörg-giencke Zweites Netzwerk-Interface und den ioBroker in beide Netze packen z.B.
-
@haus-automatisierung said in Geräte aus mehreren Subnetzen einbinden?:
@jörg-giencke Zweites Netzwerk-Interface und den ioBroker in beide Netze packen z.B.
Das geht aus Sicherheitsgründen nicht. Damit öffne ich allen Geräten, die im 80er-Netz (das hiesige IoT-Netz) laufen, Tür und Tor zu dem Server auf dem IOBroker läuft. Auf dem Server laufen aber auch noch andere Dienste, von denen IoT-Geräte nichts zu wissen haben.
-
@jörg-giencke im Router ne Static Route setzen vom iot zum iobroker und vom iobroker zum iot/24 zurück…?
-
@jörg-giencke Aus eigener Erfahrung mit diversen Adaptern kann ich sagen, das funktioniert nie zu 100% zufriedenstellend. Einige Adapter unterstützen geroutete Netze überhaupt nicht. Für mich ist iobroker auch IoT und gehört zu den Devices in ein Netz. Den HTTPs Zugriff auf iobroker kann man problemlos über ein anderes Subnetz konfigurieren.
Je nach Server könnte man überlegen, iobroker als VM laufen zu lassen und einen zweiten LAN Adapter nur innerhalb der VM zur Verfügung zu stellen.
-
@ilovegym said in Geräte aus mehreren Subnetzen einbinden?:
@jörg-giencke im Router ne Static Route setzen vom iot zum iobroker und vom iobroker zum iot/24 zurück…?
Zum Verständnis: Geräte hier im 70er-Netz (das hiesige interne Netz) dürfen Verbindungen zu Geräten im 80er-Netz (das hiesige IoT-Netz) aufbauen und die angesprochenen Geräte dürfen antworten. Anders herum geht das aus Sicherheitsgründen nicht. Es sei denn, man erlaubt es einem Gerät oder einer Gruppe von Geräten explizit, sich - zum Beispiel zwecks Statusupdates - bei einem Gerät im internen Netz zu melden.
Theoretisch sollte es also für IOBroker technisch ein leichtes sein, Geräte auch im IoT-Netz zu finden. Wenn man denn IOBroker sagen könnte auch dort zu suchen.
-
Wenn man die iot Geräte welche auf den Iobroker zugreifen dürfen geschickt mit den ip Adressen zuordnet dann kann man in dem iot subnet auch nur einem Teil der Geräte gestatten auf den Iobroker zugreifen zu dürfen.
Hilfreich dafür ist der folgende Artikel
https://wiki.ubuntuusers.de/Router/Routing-Funktion/
Und der Netzwerktechnik von heise
https://www.heise.de/netze/tools/netzwerkrechner/ -
@oliverio Danke für die Antwort.
Der Teil ist einfach. Das grundlegende Problem ist, das IOBroker gar nicht erst Geräte im IoT-Netz findet.
-
@oliverio Das funktioniert nur, wenn der Adapter das auch unterstützt. Viele suchen nur im lokalen Subnetz nach Geräten. Bei einigen kann man die IP's der Devices von Hand eintragen. Aber auch das funktioniert nicht immer.
-
@andygr42 Danke!
Hast Du diesbezüglich Erfahrungen mit Shelly?
-
@jörg-giencke Leider nicht. Ich nutze ESP und meinen eigenen Code, da würden Subnetze theoretisch sogar funktionieren. Ich hatte nur so viel Theater mit Hue, Nuki etc., dass ich iobroker irgendwann ins gleiche Netz gepackt habe und die "kritischeren" Geräte wie PC etc. separiert habe.
-
@All dürfte es nicht reichen im Router die Subnetzmaske auf 255.255.0.0 zu setzen
-
@spacerx Dann hat er aber die (erforderliche) Trennung der Subnetze nicht mehr.
-
@jörg-giencke sagte in Geräte aus mehreren Subnetzen einbinden?:
Theoretisch sollte es also für IOBroker technisch ein leichtes sein,
Nö. Das upnp Protokoll funktioniert nur innerhalb eines Subnetzes. Da das sehr häufig eingesetzt wird, schließt das schon einige Geräte aus.
Meistens werden die Autodiscovery Methoden geblockt und manche Geräte sind darauf angewiesen, also schließt das schon einige aus.
-
@andygr42 sagte in Geräte aus mehreren Subnetzen einbinden?:
@oliverio Das funktioniert nur, wenn der Adapter das auch unterstützt. Viele suchen nur im lokalen Subnetz nach Geräten. Bei einigen kann man die IP's der Devices von Hand eintragen. Aber auch das funktioniert nicht immer.
Äh, ne, da kann der Adapter nix machen. Anderes subnet ist nicht aus einem subnet erreichbar. Der Router hat die Aufgabe die subnetze strikt zu trennen. Wenn du dem Router aber sagst, das er die Pakete aus einem sub netz zu einem anderen ebenfalls transportieren soll, dann macht er das auch. Das erreicht man in dem man eine Route einträgt.
-
@oliverio Eine Route zwischen den Netzen ist natürlich die Voraussetzung dafür. Der Router hat NICHT die Aufgabe die Netze zu trennen, das würde mit zwei Switchen (oder einem managed Switch und VLAN's) viel einfacher funktionieren. Der Router oder L3 Switch stellt die Verbindung her zwischen Subetzen her. Alternativ auch ein Gateway oder eine Firewall mit Filter Funktionen.
Bei einigen Adaptern (z.B. Nuki im Bridge Mode) kann die IP angegeben werden. Sofern eine Route besteht, funktioniert das auch über Subnetze hinweg. Hier wird schlicht eine REST API angesprochen. Wie von Jey Cee beschrieben nutzen die meisten Adapter aber UPNP, da funktioniert das natürlich nicht.
-
@andygr42 sagte in Geräte aus mehreren Subnetzen einbinden?:
@oliverio Der Router hat NICHT die Aufgabe die Netze zu trennen.
Na dann habe ich viele jahre was falsch gemacht.
-
@oliverio sagte in Geräte aus mehreren Subnetzen einbinden?:
@andygr42 sagte in Geräte aus mehreren Subnetzen einbinden?:
@oliverio Der Router hat NICHT die Aufgabe die Netze zu trennen.
Na dann habe ich viele jahre was falsch gemacht.
Oder wir reden aneinander vorbei. Wenn ich zwei Netze logisch und / oder physikalisch trennen möchte, brauche ich keinen Router. Das kann ich schon auf Layer 1 machen und einfach zwei dumme Switche nehmen. Alternativ einen L3 Switch mit VLAN (L2 mit Port Gruppen würden auch reichen). In dieser Konstellation benötige ich keine weitere "Intelligenz". Die kommt erst ins Spiel wenn die beiden Netze kommunizieren möchten.
Du gehst vermutlich davon aus, dass die beiden Subnetze mit dem Internet verbunden, aber voneinander getrennt sind. Das ist ein völlig anderer Fall, da haben wir 3 Netz (eigentlich mehr, aber das spielt jetzt keine Rolle). Dann brauchst Du natürlich einen Router bzw. ein Gateway.
-
Um dem Threadersteller @Jörg-Giencke ein bisschen zu helfen. Was spricht dagegen, dem iobroker jeweils eine IP aus beiden Netzen zu geben und dann mittels Firewall nur das durchzulassen, was auch durch soll? Dann sehen die ganzen Geräte aus dem Smarthome-Netz auch nur das aus dem iobroker, was sie sehen sollen (beispielsweise nur bestimmte Ports) bzw. müssen und gut. Wenn gar nix durch soll, sehen sie ja den iobroker nicht und es kann eh nix funktionieren.
So habe ich das auch gelöst und funktioniert. Da Du ja mehrer VLANS zu haben scheinst, ist da wohl keine Fritzbox tätig sondern ein halbwegs vernünftiger Router, der sowas auch mitbringen sollte?!Gruss, Jürgen
-
@wildbill Siehe Antwort in Post #3. Wobei du natürlich recht hast. Da sollte eigentlich schon die lokale FW des Server ausreichen.
@Jörg-Giencke Was ist das für ein Server? Windows? Linux?
