Home Assistant und VLANs – was gilt es zu beachten?

Allgemein
1

Hallo liebe Community. :slight_smile:
Kennt sich hier jemand damit aus und mag mir ein paar Tipps geben?

Bald zieht ein Unifi AP bei uns ein, der das komplette WLAN übernehmen wird. (Ja, der wird auch an einem Switch stecken, der VLAN unterstützt, sowie die restliche relevante Netzwerkarchitektur.)

VLAN als Thema ist allerdings neu für mich. Zwei grundsätzliche Fragen:

  1. Wissend das VLAN an vielen Komponenten konfiguriert werden muss, wo findet die Hauptverwaltung der VLAN statt? Bzw. wo würdet ihr das in meinem Setup machen? OPNsense oder Unifi Server s.u.
  2. Was gilt es zu beachten, damit Home Assistant noch auf alle Geräte zugreifen kann trotz Aufteilung in versch. VLAN?

Wie macht ihr das? Und welchen Fehler hättet ihr am liebsten am Anfang vermieden, als ihr Euch mit dem Thema vertraut gemacht habt?

Mein Setup (grob):

  • HA als VM auf Proxmox
  • Unifi Network Server als LXC auf der selben Proxmox Node wie HA
  • OPNsense auf dedizierter Hardware als Firewall, Router, NAT, DNS und DHCP server
  • Kabelmodem im Bridgemodus
  • Unifi Wifi AP
  • VLAN-fähige Switches (zumindest weitestgehend)

Aktuell plane ich erst mal klein zu starten mit wenigen VLAN:

  • Default (alle vertrauenswürdigen Geräte)
  • Gäste (alles eingeschränkt bis auf Sonos + Internet)
  • Kinder (Jugendschutzfilter über adguard home)
  • IoT (alle “smart home” Geräte)

Vielen Dank für alle sachdienlichen Hinweise :smiley:

2

Kurz und knapp: Die Firewallregeln müssen passen. :wink: Die HA muss das erreichen können, was du steuern oder auslesen möchtest möchtest. Ich habe das gleiche Konstrukt. Überall nach Möglichkeit einen separaten Nutzer ha_user anlegen (zum Beispiel für OpnSense / Synology usw.

OpnSense → Proxmox → HA (VM) / Unifi LXC und es läuft.

P.S. Solltest du Fragen haben, einfach fragen. Ich denke, hier und da kann ich unterstützen. :slight_smile:

3

zu 1.) Was meinst du mit Hauptverwaltung, keiner kann alles (in diesem Aufbau)
OPNsense braucht die Routen und Reglen (wer darf wohin)
UniFi muss wissen welche SSID auf welches Netz
Und auch ALLE Switche dazuwischen müssen damit umgehen können (bzw. die VLAN’s kennen)

4

Danke Euch beiden. Aktuell gehe ich davon aus:

  1. Initiales Setup der VLAN in Unifi:
    1a) VLAN/SSID
    1b) Zuweisung der Clients zu VLAN

  2. Firewall-Regeln der VLAN in OPNsense, da ich keine zweite Firewall neben OPNsense nutzen möchte, um die Komplexität zu reduzieren.

Ist das richtig gedacht? Oder richte ich die VLAN und Gerätezuordnung erst in OPNsense ein inkl. Firewall-Regeln und weise in einem zweiten Schritt nur die unterschiedlichen SSID den VLAN in unifi zu?