Ausnahmen für VLAN "Smart Home"

Es gibt 5 Antworten in diesem Thema, welches 2.653 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

    Hallo,


    ich habe mir im Forum schon einige Vorschläge zur VLAN-Einrichtung durchgelesen, habe aber noch eine generelle Frage dazu.


    Ich will meine Geräte sinnvoll über VLANs voneinander abschotten (Management, Clients, Smart Home, Kinder, Guest).

    Ich habe einen ioBroker auf einem RasPi im Einsatz, der sich mit sehr vielen Geräten (Xiaomi Gateway, AV-Receiver, Smart TV, Shelly Plug usw.) verbinden können muss. Der ioBroker soll natürlich für die Einrichtung und Steuerung über meine Clients (PC, Notebook, Tabelt oder Smartphone) erreichbar sein.

    Wie würdet ihr hier sinnvollerweise vorgehen?


    Möglichkeit 1:

    ioBroker mit allen Geräte ins VLAN "Smart Home" packen und dann Ausnahmen für die Clients einrichten, die vom Clients VLAN aus auf ioBroker zugreifen können sollen?


    Möglichkeit 2:

    Oder sollen nur die eigentlichen Smart Home Gateways in das "Smart Home" VLAN und der ioBroker (RasPi übrigens) stattdessen ins Clients VLAN mit entsprechender Ausnahme, dass er aufs "Smart Home" zugreifen kann?


    Danke für eure Hilfe!


    Viele Grüße

    Flo

    Möglichkeit 1 ist ganz klar die richtige, falls du mehrere Server hast oder auch gateways auf denen du von den Clients aus zugreifen willst, würde ich diese in Gruppen packen und öffnen


    Ein Tipp, Smart speaker und andere broadcasting devices müssen komplett geöffnet werden damit sie gut mit den Clients funktionieren, hier muss man probieren was die an sperren mitmachen und trotzdem reibungslos laufen

    Ich habe dann die 'falsche' Variante genommen. Bei mir ist der ioBroker im Server-Segment und hat Zugriff auf die entsprechenden Ports in IoT-Netz per Firewall-Regeln. Gateway (Hue, Rademacher), Steckdosen, Smartspeaker sind im IoT-Netz. Es hängt evtl auch davon ab was du für Adapter verwendest. Der Logitech Harmony Adapter muss z.B. im gleichen Netz wie der ioBroker sein (nix anderes VLAN).

    wie uboot21 schon sagte, Variante 1 passt schon, das gute ist, wenn Du den Raspberry auch in das IoT-Netz setzt, dann kann er ohne Probleme mit allen Geräten kommunizieren.

    Aus dem Client-Netz gibst Du nur den Zugriff auf die Geräte frei die Du administrieren musst und auf den ioBroker natürlich.

    Ziel der Übung ist ja, das aus dem IoT-Netzt nicht irgendwer unkontrolliert raus funkt.


    darkman242 - falsch ist es ja auch nicht, ich habe den ioBroker auch auf dem NAS welches im Servernetz ist. Da macht es eben mehr Arbeit die Zugänge zu jedem Gerät zu definieren.

    Es ist nur einfacher wenn es schon "nur" ein Raspberry für ioBroker ist, diesen dann auch in das IoT-Netz zu setzen.

    Super, vielen Dank euch für die Vorschläge. Ich glaube, ich werde es mit der Variante versuchen, bei der der ioBroker und alle IoT Geräte im VLAN "Smart Home" sind und den Zugang dann von den Clients her freischalten.

    Kann man bei der Gruppe der "erlaubten" Clients nur per LAN angebundene Geräte freischalten oder auch per WLAN angebundene Geräte wie z.B. Smartphones und Tablets?

    Zitat von flotux

    Möglichkeit 2:

    Oder sollen nur die eigentlichen Smart Home Gateways in das "Smart Home" VLAN und der ioBroker (RasPi übrigens) stattdessen ins Clients VLAN mit entsprechender Ausnahme, dass er aufs "Smart Home" zugreifen kann?

    Ich nutze bei mir diesen Weg. Mein Server ( IP-Symcon und Testsystem ioBroker ) steht im Server-VLAN und der Rest wie Gateway, Clients usw. im SmartHome-VLAN. Mit Firewall-Regeln hab ich die entsprechende Zugriffe erlaubt, begrenzt auf IP's und Port's