openhab in welchem VLAN ?
- TorstenE
- Beiträge: 237
- Registriert: 12. Jan 2022 18:29
- Wohnort: Niederstaufen
openhab in welchem VLAN ?
Hallo Mitstreiter,
vermutlich habt Ihr auch Euer Netzwerk in unterschiedliche
VLANs unterteilt: Büro, IoT/Smarthome, Gast, Familie, etc.
In welches VLAN habt ihr den OH gepackt ?
Also nicht den Namen des VLANs das ist ja egal, sondern vom "Thema" her ?
Schönen Abend
Torsten
vermutlich habt Ihr auch Euer Netzwerk in unterschiedliche
VLANs unterteilt: Büro, IoT/Smarthome, Gast, Familie, etc.
In welches VLAN habt ihr den OH gepackt ?
Also nicht den Namen des VLANs das ist ja egal, sondern vom "Thema" her ?
Schönen Abend
Torsten
openHAB 4.0.4 auf einem Pi 4 mit openHABian
- udo1toni
- Beiträge: 13864
- Registriert: 11. Apr 2018 18:05
- Wohnort: Darmstadt
Re: openhab in welchem VLAN ?
Ich habe tatsächlich drei VLANs (äh... vier...), die Unterscheidung ist bei mir folgendermaßen:
VLAN 1 beherbergt alle kabelgebundenen Geräte,
VLAN 2 beherbergt die drahtlosen Geräte, die ins LAN dürfen (Internet geht natürlich auch - mein Smartphone, mein Laptop, das iPad usw.)
VLAN 3 beherbergt die drahtlosen Geräte, die nicht ins LAN dürfen (aber eben dennoch ins Internet, also quasi Gäste-WLAN aber auch so Sachen wie die Kindles)
VLAN 4 beherbergt die drahtlosen (IoT) Geräte, die nicht ins Internet dürfen.
Daraus ergibt sich, (hab ich ja schon in Klammern dazu geschrieben, dass VLAN 4 eine extra Route z.B. auf den MQTT Server eingetragen hat, damit überhaupt Kommunikation möglich ist.
Eine weitergehende Aufteilung ist für mich sinnfrei, da ich nach außen ausschließlich mittels Private Key geschützte Zugänge per ssh bzw. Wireguard anbiete, sprich, meine Server sind nicht von außen erreichbar. Dementsprechend brauche ich auch keine DMZ.
Die Kinder wollten gerne einen Minecraft Server, aber bisher habe ich das noch nicht zufriedenstellend zum Laufen gebracht. Das wäre aber definitiv ein Kandidat für die DMZ, die ich dann schaffen müsste.
VLAN 1 beherbergt alle kabelgebundenen Geräte,
VLAN 2 beherbergt die drahtlosen Geräte, die ins LAN dürfen (Internet geht natürlich auch - mein Smartphone, mein Laptop, das iPad usw.)
VLAN 3 beherbergt die drahtlosen Geräte, die nicht ins LAN dürfen (aber eben dennoch ins Internet, also quasi Gäste-WLAN aber auch so Sachen wie die Kindles)
VLAN 4 beherbergt die drahtlosen (IoT) Geräte, die nicht ins Internet dürfen.
Daraus ergibt sich, (hab ich ja schon in Klammern dazu geschrieben, dass VLAN 4 eine extra Route z.B. auf den MQTT Server eingetragen hat, damit überhaupt Kommunikation möglich ist.
Eine weitergehende Aufteilung ist für mich sinnfrei, da ich nach außen ausschließlich mittels Private Key geschützte Zugänge per ssh bzw. Wireguard anbiete, sprich, meine Server sind nicht von außen erreichbar. Dementsprechend brauche ich auch keine DMZ.
Die Kinder wollten gerne einen Minecraft Server, aber bisher habe ich das noch nicht zufriedenstellend zum Laufen gebracht. Das wäre aber definitiv ein Kandidat für die DMZ, die ich dann schaffen müsste.
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet
- TorstenE
- Beiträge: 237
- Registriert: 12. Jan 2022 18:29
- Wohnort: Niederstaufen
Re: openhab in welchem VLAN ?
Verstehe, die einfachste Variante wäre vermutlich:
VLAN 1 - managed (nur sofern vorhanden)
VLAN 2 - PC, Laptop, SmartPhone, usw.
VLAN 3 - Gäste
VLAN 4 - SmartHome/IoT
Das würde dann ja bedeutet, ich packe den OH in das VLAN 4 und mach den Zugriff darauf von VLAN 2 über die Ports auf die eben zum nutzen von OH notwendig sind.
Aber dann kann ich z.B. die App der Wetterstation auch nur dann nutzen, wenn das Smartphone im WLAN von VLAN 4 ist, oder ist hier dann wirklich gezieltes Port-öffnen angesagt, dass man vom VLAN 2 alles mögliche Zugriffe wieder auf VLAN 4 einrichten muss.
Ich denke halt daran, ob man sich damit nicht einen riesen Aufwand bastelt, der kompletter Blödsinn ist.
Udo bei Deinem Beispiel, wo packst Du z.B. die ganzen Geräte für die Heizung, Solar usw. hin. Die gehören doch auch zu IoT und sind aber per Kabel angebunden ?
Schönes Wochenende
Torsten
VLAN 1 - managed (nur sofern vorhanden)
VLAN 2 - PC, Laptop, SmartPhone, usw.
VLAN 3 - Gäste
VLAN 4 - SmartHome/IoT
Das würde dann ja bedeutet, ich packe den OH in das VLAN 4 und mach den Zugriff darauf von VLAN 2 über die Ports auf die eben zum nutzen von OH notwendig sind.
Aber dann kann ich z.B. die App der Wetterstation auch nur dann nutzen, wenn das Smartphone im WLAN von VLAN 4 ist, oder ist hier dann wirklich gezieltes Port-öffnen angesagt, dass man vom VLAN 2 alles mögliche Zugriffe wieder auf VLAN 4 einrichten muss.
Ich denke halt daran, ob man sich damit nicht einen riesen Aufwand bastelt, der kompletter Blödsinn ist.
Udo bei Deinem Beispiel, wo packst Du z.B. die ganzen Geräte für die Heizung, Solar usw. hin. Die gehören doch auch zu IoT und sind aber per Kabel angebunden ?
Schönes Wochenende
Torsten
openHAB 4.0.4 auf einem Pi 4 mit openHABian
- udo1toni
- Beiträge: 13864
- Registriert: 11. Apr 2018 18:05
- Wohnort: Darmstadt
Re: openhab in welchem VLAN ?
Ich lasse openHAB einfach im LAN laufen, openHAB ist von sich aus nicht geschwätzig.
Heizung (der Kessel) und Solar müssen mit dem Hersteller kommunizieren können (wg. Garantieverlängerung...), entsprechend sind die tatsächlich ganz normal im LAN. Ich bin da vielleicht etwas naiv, aber bisher haben diese Geräte noch nie von sich aus mit anderen Geräten im LAN gesprochen, also gehe ich erst mal davon aus, dass sie keine Angriffe auf man LAN fahren werden.
Falls das doch passiert, bin ich ein reicher Mann, denn meine Firewall würde das mitloggen, es wäre also beweisbar. Und wie rufschädigend kann es für einen großen deutschen oder österreichischen Hersteller werden, wenn bekannt wird, dass sie gezielt Netze ausspionieren? Da müssten dann schon extreme Ausgleichszahlungen für mein Schweigen fließen (ja, ich bin bestechlich, wenn die Summe hoch genug ist).
Am ehesten ist noch der Fernseher lästig (Samsung), immerhin hat er weder Gesten- noch Spracherkennung, und auch der spricht nur mit dem Hersteller, nicht aber mit anderen Geräten in meinem Haus (außer der Medienfreigabe, und das ist nun mal sein Job).
Heizung (der Kessel) und Solar müssen mit dem Hersteller kommunizieren können (wg. Garantieverlängerung...), entsprechend sind die tatsächlich ganz normal im LAN. Ich bin da vielleicht etwas naiv, aber bisher haben diese Geräte noch nie von sich aus mit anderen Geräten im LAN gesprochen, also gehe ich erst mal davon aus, dass sie keine Angriffe auf man LAN fahren werden.
Falls das doch passiert, bin ich ein reicher Mann, denn meine Firewall würde das mitloggen, es wäre also beweisbar. Und wie rufschädigend kann es für einen großen deutschen oder österreichischen Hersteller werden, wenn bekannt wird, dass sie gezielt Netze ausspionieren? Da müssten dann schon extreme Ausgleichszahlungen für mein Schweigen fließen (ja, ich bin bestechlich, wenn die Summe hoch genug ist).
Am ehesten ist noch der Fernseher lästig (Samsung), immerhin hat er weder Gesten- noch Spracherkennung, und auch der spricht nur mit dem Hersteller, nicht aber mit anderen Geräten in meinem Haus (außer der Medienfreigabe, und das ist nun mal sein Job).
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet
-
- Beiträge: 44
- Registriert: 17. Nov 2020 22:38
Re: openhab in welchem VLAN ?
Habe es in etwa so wie Udo, nur mit 7 Segmenten:
MGMT
Das Segment, wo das Management der Switche, IPMI, USV und APs laufen. hier hängt ein Proxmox Node und verteilt versch. Hosts in den Netzwersegmenten
MAIN
Hier tummelt sich alles rum, PCs, Phones, Drucker, Mediaplayer, usw...
VOIP
Tja, das Festnetztelefon. Früher ne alte Fritze als DECT Station, aktuell ne Gigaset Box
SECURITY
Bereich der IP Kameras inkl. ein Host, wo die Bilder und Videos gespeichert werden
GAMING
Netzwerksegment für die Konsolen, kann mangels Konsolen eigentlich aufgelöst werden
IOT
Das ganze Geraffel von Shelly, Tasmota, Kaffemaschine, Mäh- und Saugroboter, Wetterstation, usw..., was nichts darf, außer existieren. Hier tummelt sich auch openHAB rum. Nur die Saugroboter dürfen raus, weil ich es nicht geschissen kriege, sie ohne Internetzugang zu steuern.
GUEST
Ehemaliges Gästenetzwerk was raus, aber drinne nichs zu suchen hat. Bei der aktuellen Gesetzeslage für alle bis auf elitäre Gäste zu, der Android TV ist auch hier.
Bis auf MAIN darf kein Netzwerk auf das andere zugreifen.
Könnte man kleiner gestalten, aber jeder so wie er meint.
Wichtig ist, daß das IoT Gelumpe nichts kann. Shelly will nach Hause telefonieren, Grafana ebenfalls und garantiert etliche Devices auch.
MGMT
Das Segment, wo das Management der Switche, IPMI, USV und APs laufen. hier hängt ein Proxmox Node und verteilt versch. Hosts in den Netzwersegmenten
MAIN
Hier tummelt sich alles rum, PCs, Phones, Drucker, Mediaplayer, usw...
VOIP
Tja, das Festnetztelefon. Früher ne alte Fritze als DECT Station, aktuell ne Gigaset Box
SECURITY
Bereich der IP Kameras inkl. ein Host, wo die Bilder und Videos gespeichert werden
GAMING
Netzwerksegment für die Konsolen, kann mangels Konsolen eigentlich aufgelöst werden
IOT
Das ganze Geraffel von Shelly, Tasmota, Kaffemaschine, Mäh- und Saugroboter, Wetterstation, usw..., was nichts darf, außer existieren. Hier tummelt sich auch openHAB rum. Nur die Saugroboter dürfen raus, weil ich es nicht geschissen kriege, sie ohne Internetzugang zu steuern.
GUEST
Ehemaliges Gästenetzwerk was raus, aber drinne nichs zu suchen hat. Bei der aktuellen Gesetzeslage für alle bis auf elitäre Gäste zu, der Android TV ist auch hier.
Bis auf MAIN darf kein Netzwerk auf das andere zugreifen.
Könnte man kleiner gestalten, aber jeder so wie er meint.
Wichtig ist, daß das IoT Gelumpe nichts kann. Shelly will nach Hause telefonieren, Grafana ebenfalls und garantiert etliche Devices auch.
openHAB 3.4.0 auf Debian 11 als VM unter Proxmox
- TorstenE
- Beiträge: 237
- Registriert: 12. Jan 2022 18:29
- Wohnort: Niederstaufen
Re: openhab in welchem VLAN ?
Hallo Ihr beiden,
wenn die Geräte im "IoT" VLAN nichts dürfen, wie macht ihr es dann mit den Updates ?
wenn die Geräte im "IoT" VLAN nichts dürfen, wie macht ihr es dann mit den Updates ?
openHAB 4.0.4 auf einem Pi 4 mit openHABian
- udo1toni
- Beiträge: 13864
- Registriert: 11. Apr 2018 18:05
- Wohnort: Darmstadt
Re: openhab in welchem VLAN ?
Ich nutze Tasmota. Ich habe einen Docker Container mit TasmoAdmin, dieser Docker Container ist aus dem "IoT VLAN" heraus erreichbar.
Ich nutze OPNSense, da ist das leicht zusammengeklickt.
Ich nutze OPNSense, da ist das leicht zusammengeklickt.
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet
-
- Beiträge: 44
- Registriert: 17. Nov 2020 22:38
Re: openhab in welchem VLAN ?
Klar dürfen die, ihren Job machen.
Dafür braucht es für vieles kein Internet. Einiges looft ja nicht ohne, Gardena Smart oder Bosch Smart Gelumpe. Das muss aber jeder für sich selber entscheiden. Für mich habe ich entschieden, es den Firmen so schwer wie möglich zu machen, um an meine Daten/Profile whatever zu kommen.
Updatestrategie ähnlich wie bei Udo, Update Url bleibt intern auf nen kleinen dafür gedachten Webserver. Nutze allerdings pfSense.
Brauchst ja nicht jedes neuste Release von Tasmota und Co. Wenn die Dinger seit Jahren ihren Job machen, wird es mit der neusten FW nicht besser/schneller. Wenn nichts fehlt, "never touch a running systen"
openHAB 3.4.0 auf Debian 11 als VM unter Proxmox
- udo1toni
- Beiträge: 13864
- Registriert: 11. Apr 2018 18:05
- Wohnort: Darmstadt
Re: openhab in welchem VLAN ?
Prinzipiell stimme ich Dir zu, allerdings geht es mir immer total auf den Zeiger, wenn ich drölfzig verschiedene Versionen der selben Software/Firmware habe. Deshalb flashe ich regelmäßig alle Tasmota Geräte auf die jeweils neueste Version (ich hatte mal das Problem, dass ich einzelne Geräte sechs mal unmittelbar hintereinander flashen musste, um überall den gleichen Stand zu bekommen - und bei zwei Geräten musste ich "Gewalt" anwenden, sprich, ich musste sie per seriellem Interface flashen und dann doch wieder komplett neu einrichten (also WLAN konfigurieren, Gerät definieren usw.) also lieber ein- zweimal im Jahr "automatisches" Upgrade von Systemen, die eigentlich kein Upgrade brauchen.
Ähnliches gilt auch für Windows und meine Linux Systeme, ein Glück ist das bei Windows mit winget jetzt ein wenig einfacher geworden (bei den Linux Systemen ist es eh vergleichsweise unkompliziert).
openHAB4.1.2 stable in einem Debian-Container (bookworm) (Proxmox 8.1.5, LXC), mit openHABian eingerichtet
-
- Beiträge: 44
- Registriert: 17. Nov 2020 22:38
Re: openhab in welchem VLAN ?
Wenn es neue Hardware gibt, wird hier alles auf den aktuellen Stand gebracht. Alle halbe Jahre Updates zeugt ja nicht auf eine Jagd nach den neusten Versionen und Releases.
Und ja, manche Teile sind echt zickig.
Frage an @TorstenE
Bei Fragen zu VLAN und Netzwerksegmentierung hast Du sicherlich die FritzBox Ära hinter dir gelassen. Wie sieht dein Setup aus, wenn ich fragen darf?
Und ja, manche Teile sind echt zickig.
Frage an @TorstenE
Bei Fragen zu VLAN und Netzwerksegmentierung hast Du sicherlich die FritzBox Ära hinter dir gelassen. Wie sieht dein Setup aus, wenn ich fragen darf?
openHAB 3.4.0 auf Debian 11 als VM unter Proxmox