Kein Zugriff von IoT- ins Heimnetz (Nas, sat ip server)

Es gibt 18 Antworten in diesem Thema, welches 4.663 mal aufgerufen wurde. Der letzte Beitrag () ist von exit.

    Moin @ all.

    Erstmal muss ich natürlich nochmal ein großes Danke an Naichbindas ausgeben.

    Hintergrund: Da bei mir ja ein Hardware Upgrade ausstand, nutzte ich gleich die gelegenheit und schmiss meinen uckg2+ raus und ersetzte ihn durch die udm se.

    Er war so nett und bot mir an gleich alle Netzwerke sauber einzurichten und konnte mir hier noch einiges erklären was mich in vielerlei Hinsicht schon wieder ein stück weiter gebracht hat um vieles besser zu verstehen :smiling_face:

    Netze haben wir nun sauber aufgeteilt in Iot, Cam, Heimnetz, MGMT und natürlich Gast.....

    Alle Geräte haben auch eine Feste IP bekommen.

    Firewall Regeln natürlich auch erstellt. Soweit läuft auch alles wunderbar . Zwischendurch wollte ich nochmal auf meinen Speedport zugreifen , ging natürlich nicht...neue Firewall Regel erstellt und sofort zugriff.

    Wunderbar, alles wie es sein soll.....aber.....jetzt kommt leider das Problem.


    Ich habe keine Chance von meinen TV Geräten aus dem IOT Netz auf mein Nas zuzugreifen. Am Ende soll auch nur noch mein Qnap 4 Bay existieren aber übergangsweise hängt hier auch noch ein WD My Cloud Nas mit drin...auch hier leider kein Zugang auf mein Nas....


    Dann habe ich ein Problem mit einem zweiten Gerät...meinem Kathrein Sat IP Server.


    Diesen nutze ich auf zwei TV's im Haus, da ich hier kein Sat Kabel habe.

    Zudem nutze ich es auch auf dem Laptop in der Werkstatt und auf dem Smartphone/Tablet im Garten.

    Hier genauso überhaupt kein Zugriff möglich.


    Schmeiße ich jetzt den TV ins Heimnetz...sofort Zugriff aufs Nas möglich in vollem Umfang wie ich es brauche...

    Das gleiche auch mit meinem Sat IP Server.....geht dieser aus dem IOT Netz heraus und in das Heimnetz, klappt es auch.


    Unterm Strich könnte ich natürlich alle in das gleiche Netz schmeißen aber das ist natürlich überhaupt nicht im Sinne des Erfinders.


    Irgendwo muss also ein Fehler in meiner Firewall sein.


    Ganz daneben können wir mit unserer Grundidee nicht gewesen sein denn z.b. die Freigabe für meinen Admin Computer auf den Speedport hat ja hier super geklappt.


    Ich stelle hier mal ein paar Screens von den Firewall einstellungen ein und hoffe das ihr irgendwas drauf erkennen könnt :thinking_face:

    Die IP Adressen der Geräte habe ich mehrmals nach Korrektheit überprüft, manchmal bemerkt man ja den blödesten Zahlendreher nicht...


    Irgendwo muss da ein ganz blöder Fehler hinter stecken...


    Ich merke immer mehr das ich bezüglich Netzwerktechnik eher der Monteur als der Programmierer bin :smiling_face: Aber ich denke das ist ok...irgend jemand muss ja auch mal raus und sich um das Handwerkliche Kümmern :smiling_face:


    Das ganze ist schon ein bisschen her aber nun würde ich doch gerne mal ran um alle Clienten endgültig ins richtige netz zu packen und die Hardware mal ein bisschen Arbeiten zu lassen für ihr Geld :grinning_face_with_smiling_eyes:

    Hm hier vill. Fehler meinerseits bezüglich der schlechten Beschreibung?


    Also ich habe ja die Gruppe erstellt :" Freigabe TV zum Nas(Foto Gruppe3.jpg) "Dort sind die IP Adressen von 3 TV's hinterlegt die auf das Nas zugreifen sollen...z.b. 192,168.20.6 /...20.22 usw....

    Dann in der Regel "Verbindung Nas->TV Gewähren(Foto 2.jpg ) die Gruppe reingenommen mit den TV's die ich freigeben will und Destination "192.168.10.12".

    Was die Adresse von meinem Nas ist.....


    Vill liegt es an meiner schlechten Beschreibung ....dann sollte doch eigentlich soweit alles richtig sein? Oder hab ich was noch falsch verstanden?

    Weil du ja meintest in die andere Richtung muss es auch noch freigegeben werden?

    Ist es aber doch eigentlich? Adressen sind ja alle eingetragen.




    Gleiches ist ja auch mit dem SAT IP Server....hier geht es ja auch nicht.... Änder ich die Adresse und setze sie ins gleiche VLAN , funktioniert alles sofort.....


    Beim Sat ip Server ist es der 20.8 und in den Gruppen habe ich alle Endgeräte zusammengefasst die auf den Sat ip Server zugreifen dürfen...192.168.10.10 ....10.12.....usw.......

    sollte doch eigentlich klappen?

    Du meinst also überall die IPv4 Adressen, also in den Regeln und den erstellen Gruppen, rausnehmen und gegen die mac adressen tauschen?

    Geht das so einfach?

    Dachte man kann nur IP Adressen eintragen.


    Muss ich nach Feierabend mal in der Oberfläche anschauen, mit der Network App geht das ja leider nicht.

    Zitat von iTweek

    Quelle die mac und ziel das vlan

    Immer noch nicht ganz verstanden :thinking_face:


    Also genau andersherum eintragen?

    jetzt ist ja quelle die gruppe und das ziel das gerät( in meinem fall dann z.b. das nas mit der 192.168.10.12).


    Du meinst jetzt also ich soll das tauschen?

    Quelle ist die mac vom nas und das ziel die vlan gruppe die ich freigeben will? :smiling_face:


    Sorry aber ich war schon immer ziemlich schwer von verstand :winking_face_with_tongue:

    In dieses Firewall Thema muss ich irgendwie erstmal reinkommen....



    [edit]


    Oder die Regeln alle so lassen und eine neue anlegen?

    Moin, also wenn ich die Firewallregeln richtig verstanden habe, dan brauche ich doch nur eine und nicht zwei, also in jede Richtung eine, oder doch.

    Wenn ich durch die Firewallregel sage, Fernseher Stube als Beispiel, aus dem IOT Netz darf auf den Synology im Heimnetz zugreifen, weil dort Filme drauf sind, müsste das doch völlig ausreichen oder nicht? Umgekehrt ist doch keine weitere Verbindung notwendig weil a: habe ich doch schon die Verbindung von Tv zu Synology erlaubt, und b: Greift der TV dort ja nur auf Dateien zu die auf dem NAS liegen. Umgekehrt muss doch die Synology nicht unbedingt auf den TV zugreifen, denn dort ist ja nix was die Synology brauchen kann. Und wie shon gesagt, wenn ich in der Firewall schon sage, die beiden Geräte dürfen mit einander sprechen, dann tun die das ja auch das soll heissen, TV fragt bei Synology nach, ich will den Film abspielen und umgekehrt sagt die Synology, ja hier ist der Film. Sonst würde ja von vorneherein nix funktionieren. Also wäre eine weitere Firwallregel eigentlich unütz bzw. nur doppelt. Aber klärt mich bitte auf.

    so viel erstmal zum Thema Firewallregel auch in die andere Richtung.

    Zum Thema MAC Adressen, arbeiten. Das hilft nur dann, wenn ich expliziet will das nur dieses eine Gerät in der Firwallregel kommunizieren darf. Soll heissen, ich könnte keine andere NAS drann hängen, der dann die IP Adresse wieder zu teilen, was nix bringt weil die MAC Adresse sich ja ändert.

    GAnz zu schweigen, da es eh nicht möglich ist weil bei exit die IP Adressen zu dem zugehörigen MAC Adressen zugeteil werden. Das heist ein anderes Gerät hatt eine andere MAC Adresse und kann nicht eine IP Adresse bekommen die einer anderen MAC zugeteilt wurde.

    Also ist das zuteilen der MAC Adresse in einer Firewallregel nur ein weitere Sicherheitsaspekt, und nur als zusätzlich an zu sehen. Ich seh darin keine Verbesserung seiner Firewallproblematic.


    Deshalb, zu exit seinen Problem: Er hatt TV im IOT Netz, und Synology und seinen IPTV Satreceiver vvon Kathrein im Heimnetz.

    Eine Firewallregel wurde erstellt. Und der Zugrif der TV Geräte aus dem IOT Netz auf die beiden Geräte wurden autorisiert.

    Er kann auch mit "Ping" seine Geräte erreichen, was schonmal ein gutes Zeichen ist. Aber, jetzt das aber - funktioniert die Kommunikation doch nicht ganz perfekt. Und zwar wenn man auf dem TV einen IPTV Sattuner auswählen möchte, wird er nicht angeboten, das heist der TV indet den IPTV Satserver nicht. Das scheint irgendwie noch entweder ein Portproblem zu sein, oder es ist durch die Anwendung / Software des SatIP Servers geschuldet. Ich vermute vlt eher ein DNS Problem, oder irgendein Protokoll was da nicht mitspielt. Man weiss ja nie wie gut die Hersteller ihre Software programiert haben, bzw sich an Standards gehalten haben.

    Denn wenn die Firewall schon sagt, ihr dürft reden, und die Kommunikation ansich ja auch funktioniert, siehe Ping, dann scheinen die Geräte nur nicht die selbe Sprache zu sprechen.

    Das gleiche Problem hatt er mit seinen TV und dem NAS. Dort nutzt er bei den älteren Geräten / TV´s den DLNA Medienserver, weil die Geräte schlichtweg keinen Plex oder sonstwas können. Da das gleiche die Geräte können miteinander reden tun es aber nicht konsequent genug.

    ich hoffe konnte so einigermassen erklären wo das Problem liegt.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Gefällt mir 1
    Zitat von iTweek

    exit kann es mir mal anschauen am weekend.


    Habe auch tv und tvserver im anderen netze vlan umd per firewall gemacht ohne probleme

    Sehr gerne....da muss ja irgendwann ein blöder kleiner Fehler sein der alles Blockiert.

    Viele haben ja hier deutlich Anspruchsvollere Config's und die laufen Problemlos....


    Naichbindas


    Sehr gut beschrieben und im großen und ganzen fast Richtig :smiling_face:

    Syn.habe ich nicht sondern qnap und bei den clienten geht es nur um die Mobilen.... Die TV's funktionieren ja via Sat ip Server da sie sich im gleichen Vlan befinden.

    Will ich jetzt den Sat IP Server auf bspw dem Laptop nutzen... hole ich mir den Server in mein "Heimnetz" weil sich darin die Mobilen Endgeräte befinden....

    Dann geht logischerweise der TV nicht mehr via SAT IP Server...erst wenn ich den server dann wieder ins IOT netz stelle...logischerweise....


    Gleiches in Grün mit dem Qnap Nas....


    Irgendwo ist der Fehler....


    Wie auf dem Foto zu sehen geht "anpingen" auch nicht.... Erst wenn sich die Geräte im gleichen VLAN befinden.....


    Bei den TV's ist es übrigens auch völlig egal ob es ein altes 10 Jahre altes Gerät ist oder der ganz moderne, mit neuester Technik ausgestatteter , Panasonic TV... Keiner kann egal in welcher Form auch immer auf das Nas zugreifen...außer natürlich hier , ich hole den TV aus dem IOT Vlan und setze ihn ins Heimnetzwerk....

    iTweek hat doch schon in die richtige Richtung gedeutet: Wenn Gerät A mit Gerät B kommunizieren soll, beide Geräte aber in unterschiedlichen, voneinander abgeschotteten Subnetzen hängen, braucht es eine Firewall-Regel für A->B und für B->A. Wie soll eine ICMP-Antwort (Ping) ansonsten A erreichen, wenn lediglich A mit B reden darf, umgekehrt aber nicht?

    Zitat von Networker

    iTweek hat doch schon in die richtige Richtung gedeutet: Wenn Gerät A mit Gerät B kommunizieren soll, beide Geräte aber in unterschiedlichen, voneinander abgeschotteten Subnetzen hängen, braucht es eine Firewall-Regel für A->B und für B->A. Wie soll eine ICMP-Antwort (Ping) ansonsten A erreichen, wenn lediglich A mit B reden darf, umgekehrt aber nicht?

    Dann ging das ganze ehrlicherweise an mir vorbei.... Hab ich missverstanden.

    Dachte bei einer Freigabe ist die Richtung nicht entscheidend..sondern eine Freigabe ist eine Freigabe.....


    Klar leuchtet mir auch ein...das beinhaltet aber das ich bei jedem Weg den ich zu einem anderen Gerät Freigebe, das ganze Doppelt anlegen muss korrekt?

    Also Bspw nicht nur :

    TV-> Nas

    sondern danach direkt noch eine zweite Regel und hier die Reihenfolge umdrehen:

    Nas->TV


    Bedeutet bei einem großen Netzwerk mit vielen Freigaben , doppelt so viele Regeln Korrekt?



    Nehme hier meinen Lesefehler super gerne an und probiere das ganze nacher mal aus ... kaputt gehen kann ja nicht viel :face_with_tongue:

    Ja, genau so sollte es funktionieren. Prinzipiell auch ohne Weiteres auf IP-Adress-Ebene, aber Konfiguration mit MAC-Adressen ist noch einmal eine mögliche Fehlerquelle weniger.

    Und ja, der Regelsatz verdoppelt sich knapp. Ich benenne die Regeln meistens nach dem Schema "Zugriff auf XY zulassen eingehend" / "Zugriff auf XY zulassen ausgehend" - so wird es nicht unübersichtlich.


    Viel Erfolg!

    Am We habe ich Zeit und dann setze ich mich nochmal dran.... mal gucken was iTweek noch ergänzen kann , da er ja gleiches/ähnliches setup hat...

    Zitat von Networker

    Ja, genau so sollte es funktionieren. Prinzipiell auch ohne Weiteres auf IP-Adress-Ebene, aber Konfiguration mit MAC-Adressen ist noch einmal eine mögliche Fehlerquelle weniger.

    Und ja, der Regelsatz verdoppelt sich knapp. Ich benenne die Regeln meistens nach dem Schema "Zugriff auf XY zulassen eingehend" / "Zugriff auf XY zulassen ausgehend" - so wird es nicht unübersichtlich.


    Viel Erfolg!

    Die Regeln sauber und klar aufzuschreiben ist Gold wert, sonst steigt man irgendwann gar nicht mehr durch...tipp mit ein/ausgehend ist wirklich ganz gut...




    Interessanterweise hatte ich ja z.b. das gleiche problem das ich nicht auf meinen speedport gekommen bin, da logischerweise 192.168.2.1 und im anderen netz...


    Dann einfach eine Regel eingerichtet mit der Gruppe der Admin Geräte ( mein laptop und rechner ) und eine neue regel eingerichtet das auf die 2.1 zugegriffen werden darf.

    Quelle : Meine Admin geräte

    Ziel: IP vom speedport.

    Hat dann sofort geklappt mit dem zugriff...auch nur in eine Richtung die Regel angelegt...

    Somit dachte ich das es doch auch beim Sat ip server und bei dem Nas auch direkt klappen müsste?

    Alles sehr merkwürdig bei mir