Zugriff auf andere VLANs

Hi,

ich habe ein Cloud Gateway Ultra, dass als Router arbeitet. Ich hab drei VLANs dafür angelegt, ein Hauptnetz (in dem meine Home Assistant Instanz ist, Subnetz 192.168.1.x) und ein VLAN für die IoT Geräte (192.168.4.x).

Nun möchte ich, dass ich ein IoT Gerät auch im Home Assistant bedienen kann (also, dass sowohl Daten von Geräten im IoT Netzwerk ans Home Assistant gesendet als auch empfangen werden können).

Dafür habe ich unter Sicherheit die folgenden Firewall Regeln erstellt:

1. LAN IN
   
   • Akzeptieren
   • Quelltyp: IP-Adresse
   • Straße: IP-Adresse vom Home Assistant Gerät
   • Zieltyp: Netzwerk
   • Netzwerk: IoT
   • Netzwerktyp: IPv4-Subnetz (hier habe ich aber auch schon Gateway-IP-Adresse ausprobiert, ohne Erfolg)
2. LAN Out
   • Akzeptieren
   • Quelltyp: Netzwerk
   • Netzwerk: IoT
   • Netzwerktyp: IPv4-Subnetz (hier habe ich aber auch schon Gateway-IP-Adresse ausprobiert, ohne Erfolg)
   • Zieltyp: IP-Adresse
   • Straße: IP-Adresse vom Home Assistant Gerät

Leider lassen sich die Geräte im IoT Netz aber nicht vom Home Assistant anpingen, hier muss ich dann ja was falsch eingestellt haben.

Die beiden Regeln jeweils ganz oben, also Regel 1 steht bei den LAN IN an erster Stelle und Regel 2 bei den LAN Out an erster Stelle.

Danke, so geht es.

Quote from DoPe

LAN_OUT kannst Du schon mal löschen.

Was hast Du in der Firewall generell konfiguriert?

Die Regel in LAN_IN sieht schon mal gut aus (mit IPv4 Subnet!). Die gleiche Regel dann nochmal bei LAN_IN umgekehrt also IOT IPv4 Subnet als Quelle und Home Assist IP als Ziel. Wird aber auch nur benötigt wenn Du die VLANs getrennt hast.

Das ist aber nur quick and dirty,

Hi, ich hab dann doch nochmal eine Rückfrage, irgendwas mache ich wohl falsch:

Ich habe dem Smartphone meiner Freundin eine feste IP-Adresse vergeben (192.168.2.6). Die Soundbar hat ebenfalls eine feste IP Adresse im anderen VLAN (192.168.1.7).

Jetzt wollte ich erneut 2 Regeln anlegen (beide LAN In in beide Richtungen, damit meine Freundin die Soundbar in der Spotify App sehen kann).

In den Screenshots ist die Konfiguration.

Aber irgendwie kann sie die Soundbar trotzdem nicht finden.

Was habe ich hier falsch gemacht?

Quote from Naichbindas

Hallo

Das kommt drauf an.

Wenn ich das richtig sehe, scheint deine Soundbar im Netz von Unifi zu sein???

Also im 192.168.1.0/24 Netz?

Wenn du noch andere Regeln hast die vorher schon den VLAN´s den Zugriff auf das MGMT (192.168.1.0) verbietet, dann kann es zu Problemen kommen.

Hast du auch deine Regeln in der Reihenfolge richtig eingesetzt, also erlauben vor blockieren?

Display More

Ja genau die Soundbar ist in dem VLAN Netz wo auch das Cloud Gateway drin ist.

Die Reihenfolge habe ich wie im Screenshot zu sehen ist angeordnet. Eigentlich müsste die Regel dann ja zuerst greifen?

Quote from Naichbindas

Warum ist die im Unifi Netzwerk und nicht im IoT wo sie eigentlich sein sollte???

Das sind doch nicht alle Firewallregeln die u hast oder ?

Achso sorry, da war noch der Filter für LAN drin (dachte das sind die relevanten). Habe jetzt mal alle angefügt.

Ehrlich gesagt habe ich die Unifi in meinem Hauptnetz (192.168.1.X), günstige China IoT Geräte im IoT Netz (192.168.4.X) und für Gäste das 192.168.2.X Netz.

So muss ich für meine Geräte im Hauptnetz nicht immer manuell eine Regel hinzufügen und kann auf die Unifi zugreifen.

Aber das sollte ja prinzipiell keine Rolle spielen, die Regeln sollten ja in alle Richtungen funktionieren?

Muss ich vielleicht noch etwas anderes als LAN In freigeben?

Quote from DoPe

Möglicherweise kann die App den Soundbar gar nicht VLAN übergreifend finden. Kommt halt auf die Sucherei der Geräte an, siehe Sonos ... Warum ist das Handy deiner Freundin denn in einem anderen LAN? Ist die Freundin nicht vertrauenswürdig?!?

Doch doch, aber das "Problem" dabei ist, jedes mal wenn wir Besuch kriegen und diejenigen ins WLAN wollen, will sie das gerne teilen können (also bei Apple kann man ja andere ins gleiche Netz holen in dem man auch ist). Hatten wir probiert, aber dann hat man Gäste im Hauptnetz.

Da hab ich sie lieber selbst im Gäste Netz und für sie ist das auch okay, sie braucht nur Internet und sonst keinen Zugang zu anderen Smarthome Dingen o.ä. im Netz. Nur auf die Soundbar würde sie trotzdem gerne zugreifen

Geht um Spotify Connect, vielleicht spielt das ja eine Rolle.

Quote from Naichbindas

Ok sehe das sind alles Standard Rgeln die da sind und du selber hast nur vier eigene Regeln drinn und die Netzwerkisolation drinn.

Endgeräte würde ich niemals in ein Unifi Netzwerk legen, sondern immer in einem VLAN rein.

Da Unifi eigetlich offen ist wenn nix anderes geregelt wurde, dann sollte deine Regel eigentlich gehen.

Ich denke aber im diesem Fall sperrt dir die Netzwerkisolation vlt den Zugriff.

Aber hast du mall alles neu gestartet nach der Einrichtung ?

Du meinst für die Unifi ein eigenes VLAN (192.168.1.1) und für alle Geräte dann ein weiteres eigenes VLAN (192.168.X.X)?

Ja die Soundbar hab ich mal vom Strom genommen und das Smartphone neu verbunden per WLAN. Ich muss die Regeln morgen mal durchgehen, an sich sollte das alles ja auch egal sein und man sollte doch einstellen können, dass eine bestimmte IP mit einer anderen IP eines anderen VLANs kommunizieren kann.

Ich hab das ganze jetzt nochmal mit dem IoT VLAN getestet und kann mit der Regel LAN In (wenn aktiviert) per Terminal (Macbook ist im Haupt-VLAN) ein altes iPhone (zu Testzwecken im IoT VLAN) anpingen. Pausiere ich die Regel gibts einen Timeout, also scheint das erstmal so zu passen.

Ich muss jetzt mal gucken ob das an Spotify Connect liegen könnte oder ob das Gast VLAN noch irgendeine Besonderheit hat, die über das reine isolieren hinausgeht.