ComputerBase Menü
Aktuelles

VLAN | Netzwerk | Hausautomatisierung | WebApp

1Up

1Up

Ensign
Registriert
Sep. 2005
Beiträge
215
Hallo liebes Forum!

Ich zerbreche mir gerade den Kopf, wie ich in unserem zukünftigen Haus das Netzwerk aufbaue. Natürlich habe ich das Forum durchsucht und keinen solchen Fall entdeckt. Letzten Endes geht es nur um einen konkreten Punkt.
Fangen wir aber vorne an...

... die Hardware ist noch nicht besorgt, es wird mit hoher Wahrscheinlichkeit der Hersteller Unify sein. VLANs sollen das Netzwerk und seine Geräte unterteilen. Momentan gibt es folgende:

VLAN1 - Management
  • Router, APs, ...
VLAN2 - Heimnetz
  • TV, mobile Geräte, Desktop, ...
VLAN3 - Hausautomatisierung
  • node-RED, MQTT Broker (?), WebApp(?), evtl. später hinzukommende MQTT-Clients
VLAN4 - "Schmarotzer"
  • Gästegeräte

Euch sind sicherlich die Fragezeichen aufgefallen.
Kurze Erläuterung. Ich habe die WebApp zur Anzeige und Steuerung mit Angular geschrieben. Diese soll ausschließlich von Geräten aus VLAN2 erreichbar sein. Die WebApp selbst "subscribed" und "published" sich auf Topics. Das heißt also, dass jeder Client, der diese App nutzt, Nachrichten verschickt oder abhört. Diese Lösung ist noch nicht fest.
Jetzt ist es jedoch möglich, dass man doch mal Freunde in das Heimnetz holt, damit sie ihre Fotos auf den TV schicken können. Ich möchte nicht, dass sie heimlich MQTT Nachrichten verfolgen können ( nein, ich bin nicht paranoid =] ).

Die Frage:
Wie verhindere ich das?

Mir sind folgende Möglichkeiten aufgefallen:
1. VLAN2 und VLAN3 dürfen untereinander kommunizieren. Der Broker akzeptiert nur bestimmte IPs aus dem Netz. Vielleicht kann man das auch über Unify regeln?
2. Es gibt eine DMZ. Nennen wir sie VLAN2.5. Sie darf mit VLAN2 und VLAN3 kommunizieren. Es gibt in VLAN2.5 einen Webservice. Die Clients der App kommunizieren mit dem Service, der Befehler weiterleitet. In diesem Fall, könnte jeder mit POSTMAN auf den Service zugreifen. Das Problem wäre nur verschoben. Sicherlich könnte ich die App auch mit Username und Password absichern.
3. Ihr seid gefragt.

Vielleicht sehe ich den Wald vor lauter Bäumen nicht. Könnt ihr mir helfen, den Blickwinkel zu erweitern?
Natürlich kann man MQTT auch über SSL verschlüsseln oder mit Username und Password.. eine Trennung auf Netzwerkebene wäre mir jedoch lieber.

Danke!
 
Vorweg: VLANs trennen Netze auf Layer 2. Was du eher willst, sind getrennte IP Netze (Layer 3). Das kann man mit und ohne VLANs realisieren. Die saubere Variante sind natürlich VLANs, wenn man die Netze nicht physisch trennen kann/will.

Zum Problem: Regel das über eine Firewall, dafür ist die da. Zusätzlich gehört heute Verschlüsselung und Authentifizierung einfach überall mit rein.
Ergänzung ()

1Up schrieb:
Jetzt ist es jedoch möglich, dass man doch mal Freunde in das Heimnetz holt,
Zum Vergrößern anklicken....
Damit muss es fast schon eine Authentifizierung geben, oder du verfrachtest den Fernseher und sonstige Kandidaten in ein eigenes Netz, auf das Gäste zugreifen dürfen.
 
  • Gefällt mir
Reaktionen: commandobot und derchris
Einfach die Firewall konfigurieren und nur bestimmte IPs von VLAN2 von und nach VLAN3 kommunizieren lassen.

Gäste die was am TV zeigen wollen können das über AirPlay machen, das geht auch so.

wenn du nach Unifi guckst, dann ist das einfach

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
  • Gefällt mir
Reaktionen: Raijin
KillerCow schrieb:
Zum Problem: Regel das über eine Firewall, dafür ist die da. Zusätzlich gehört heute Verschlüsselung und Authentifizierung einfach überall mit rein.
Zum Vergrößern anklicken....

Du gibst mir die Empfehlung, so umzusetzen, wie es auch @derchris vorschlägt? Danke übrigens :)

Am Ende bedeutet dies, dass alle Pakete im VLAN2 herumfliegen, jedoch nur bestimmte MAC-Adressen durch die Firewall kommen. Und um diese "Klartexte" zu umgehen, hilft nur TLS bei MQTT.

Das wäre ein gangbarer Weg. Gibt es noch Alternativen? Würdet ihr das auch so umsetzen oder sagt ihr: "Was hat er da eigentlich vor?"
 
Zuletzt bearbeitet:
1Up schrieb:
Am Ende bedeutet dies, dass alle Pakete im VLAN2 herumfliegen, jedoch nur bestimmte MAC-Adressen durch die Firewall kommen. Und um diese "Klartexte" zu umgehen, hilft nur TSL bei MQTT.
Zum Vergrößern anklicken....
Ich musste gerade erst mal gucken, was MQTT ist ... wenn das nur im VLAN3 rumfliegt, dann haben deine VLAN2 Geräte damit ja nix am Hut. Vielleicht dem Broker 2 NICs geben. eine NIC im VLAN3 und eine in VLAN2 oder VLAN1.
 
derchris schrieb:
Ich musste gerade erst mal gucken, was MQTT ist ... wenn das nur im VLAN3 rumfliegt, dann haben deine VLAN2 Geräte damit ja nix am Hut. Vielleicht dem Broker 2 NICs geben. eine NIC im VLAN3 und eine in VLAN2 oder VLAN1.
Zum Vergrößern anklicken....

Die haben leider schon etwas damit zu tun. Die App verwendet einen MQTT Client. Dieser wird auf jeden Gerät, dass die App nutzt, verwendet. Weißt du, was ich meine? Das ist natürlich ein Problem, dass sich durch Software lösen lässt. So ganz bin ich damit auch nicht zufrieden - es war der erste Testballoon.
 
1Up schrieb:
Die haben leider schon etwas damit zu tun. Die App verwendet einen MQTT Client.
Zum Vergrößern anklicken....
Ich dachte der Broker ist so etwas wie ein zentraler Knoten, der die Pakete empfangt und verarbeitet und vielleicht nur eine WebApp/API für ein smartphone App zur Verfügung stellt?
 
Ich frag mich ehrlich gesagt, warum du in einem "zukünftigen Haus" überhaupt MQTT brauchst? MQTT ist eine Retrofit Lösung (so wie alles das auf Funk basiert). Greife doch bitte zu einem ernsthaften SmartHome und verlege KNX.
 
  • Gefällt mir
Reaktionen: derchris und hanse987
majusss schrieb:
Greife doch bitte zu einem ernsthaften SmartHome und verlege KNX.
Zum Vergrößern anklicken....
KNX ist halt etwas teurer, aber ja bin bei dir.
 
majusss schrieb:
Greife doch bitte zu einem ernsthaften SmartHome und verlege KNX.
Zum Vergrößern anklicken....

Hätte ich gerne umgesetzt. Der Preis hat aber gewaltig dagegen gesprochen. Meiner Meinung nach muss das aber nicht viel teuerer sein als das Verlegen der "normalen" Elektrik. Ich war leider an den Elektriker gebunden.

Die Frage ist auch, ab wann man von "Smart" spricht. Es ist eher ein Anzeigen von Information und Reagieren auf wenige Dinge wie das Herunterfahren der Raffstores bei zu starkem Wind.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
Netzwerk Setup, um Internetanschluss zu teilen
Antworten
16
Aufrufe
1.109
h00bi
h00bi
D
Netzwerk separieren / sicherer machen
Antworten
7
Aufrufe
629
Raijin
Raijin
A
"Tragbares" Netzwerk - Welche Hardware?
Antworten
11
Aufrufe
2.078
Raijin
Raijin
D
Fritz und VLAN für IoT+SmHo
Antworten
16
Aufrufe
5.557
Raijin
Raijin
S
Eigenes Netzwerk absichern / Einliegerwohnung / Fritz!Box
Antworten
13
Aufrufe
2.875
sxhor
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz