Hallo,
ich habe hier mal eine allgemeine Netzwerk Frage.
Meine HomeAssistant Instanz hab ich auf einem Proxmox Server als VM laufen.
Diese hat eine IP-Adresse in meinem Netzwerk.
Jetzt möchte ich alle iot Geräte (Shelly, Tasmota usw.) in ein eigenes Netzwerk stecken (eigener Wlan Hotspot) damit diese nicht im “normalen” Heimnetz verfügbar sind oder sich ins Internet verbinden können. Ich brauche hier keine Cloud Funktionen.
In der VM kann ich ja eine weitere Netzwerkkarte hinzufügen welche dem Hoas dann zur Verfügung stehen sollte. Kann ich diese dann im HOAS auch konfigurieren - denn hier hab ich noch keine Einstellung gefunden.
Quasi ein HOAS mit zwei Netzwerkkarten 1x extern und 1x internes Netz für IOT
Nein das ist nicht möglich. Du kannst eine HA Version/Installation nicht für zwei unterschiedliche IPs aus unterschiedlichen IP-Bereichen einrichten.
Außerdem würde das ja auch wenig Sinn machen/ergeben, sprich wenn so ein Zugriff möglich wäre, wäre das ja dann auch keine Trennung zwischen IoT- und Heimnetz. Der Sinn bei einer Trennung ist ja gerade der das man von dem einen nicht auf das andere Netz zugreifen kann.
Was Du möchtest, ist mit VLANs zu realisieren, womit Du Dein Netzwerk in mehrere virtuelle Netzwerke aufteilen kannst. Dabei ist es dann für gewöhnlich auch möglich, bestimmten Geräten oder ganzen VLANs den Kontakt in andere Bereiche und / oder ins Internet zu verweigern.
Ich hatte es auch so aufgebaut, dass alle IoT-Geräte ein eigenes VLAN erhalten haben und aus diesem VLAN heraus ausschließlich Home Assistant mit dem normal genutzten Netzwerk (VLAN) und dem Internet kommunizieren durfte.
Mit einer Fritz!Box (allein) wirst Du dies allerdings nicht realisieren können, sondern brauchst richtige Netzwerkhardware.
Ich empfand damals TP-Link Omada für den Einstieg sowohl vom Preis als auch der Lernkurve her als sehr angenehm.
Ok - dann also Vlan - auf jeden Fall möchte ich beide Netze trennen.
Aber kann HomeAssistant dann damit umgehen? Darauf zielte ja meine Frage ab - im Endeffekt hat dieser dann ja zwei IP-Adressen (1x Vlan IOT) (1x Vlan Heimnetz)
Ich kann mich da jetzt nicht erinnern das irgendwo gelesen zu haben in den Einstellungen vom HomeAssitant
Home Assistant bekommt davon nichts mit und erhält auch nur eine IP-Adresse.
Ich hatte es so gelöst, dass ich meinen HA mit ins IoT-VLAN gehängt und per Regeln festgelegt habe, dass dieses Gerät, entgegen dem grundsätzlichen Verbot, in eines der anderen VLAN und ins Internet kommunizieren darf.
Damit hatte ich Probleme bei der automatischen Erkennung usw. direkt umgangen.
Abhängig davon, was Du jetzt an Netzwerktechnik einsetzt, wirst Du diese erweitern bzw. ersetzen / austauschen müssen, um VLANs erstellen / nutzen zu können. An der Stelle geht es dann deutlich tiefer in die Netzwerktechnik, unabhängig von der Hausautomatisierung.
Auf YouTube gibt es aber auch sehr schöne Videos, die schon mal die Grundprinzipien von VLANs erklären.
Aktuell hab ich noch einen LongShine GS9420 im Einsatz - der mir alles im Keller im kleinen Netzwerkschrank an die Lan Dosen verteilt.
Wlan mässig muss ich eh mal umrüsten - da läuft noch das Wlan von der Fritze mit 2 weitere Repeatern (Lan Bridge)
Das das dann keine Trennung ist sollte klar sein. Aber ok ich will mich hier auch gar nicht mehr weiter einmischen und dann setz das mal so per VLAN um.
Naja - die IOT Geräte würde dann nur bis zum HomeAssitant kommen und nicht ins “normale” Netz bzw. dann Internet - das wäre halt dann am Home Assistant ohne Routing schluss - so mein ursprüglicher Gedanke
Ich denke wir brauchen hier keine Diskussion zum Thema Grundlagen der Netzwerksegmentierung.
Das Thema war ja eigentlich “IOT Geräte vom Heimnetz trennen” und
Wenn man dann aber wieder dafür sorgt das ein Gerät auf LAN A und auf LAN B zugreifen kann und darf, weil man schreibt und scheinbar möchte
hat das herzlich wenig mit einer Netzwerktrennung zu tun.
Dafür braucht man kein VLAN, sondern dafür kann man auch einfach den IoT-Geräten den WAN-Zugrff sperren. Ansonsten könnte man dafür
auch einfach ein Gast-WLAN nutzen, sofern z.B. der Router dieses bietet. Alle Geräte im Gast-WLAN können untereinander kommunizieren und haben keinen Zugriff auf das Internet.
Aber wie schon gesagt: Solange man dafür sorgt - egal ob mit oder ohne VLAN - das Geräte sowohl auf LAN A und LAN B Zugriff haben, bzw. haben sollen oder müssen, hat das nichts mit einer Netzwerktrennung zwischen dem normalen Netzwerk und dem IoT-Netzwerk zu tun und im Prinzip könnte man sich das dann auch direkt sparen. Sofern eine Trennung vom normalen Netzwerk und IoT-Netzwerk aus Sicherheitsüberlegungen stattfinden soll - was ja eigentlich eher üblich und der Grund dafür ist - und nicht nur weil man ggf. irgendetwas irgendwie übersichtlicher oder was auch immer haben möchte.
Aber da @ZwoVierZwo jetzt ja scheinbar irgendeine Lösung gefunden hat die seinen Vorstellungen entspricht hat sich das Thema jetzt ja auch erledigt.
Entschuldigung, @Jim_OS … Hast Du nur sehr selektiv gelesen oder möchtest Du meine Aussagen falsch verstehen?
Es geht um eine Segmentierung. IoT-Geräte sollen keinen Zugriff auf das Internet und andere Geräte im Netzwerk haben, sondern ausschließlich über Home Assistant angesteuert werden können. Man möchte die Geräte, logischerweise, sehr wohl noch steuern können, über HA. Sprich HA ist die Ausnahme / Verbindung, während der Rest getrennt ist.
Und für genau diesen Zweck nutzt man VLANs.
Gast-WLAN sind meines Wissens zumeist so eingerichtet, dass die Geräte in diesem VLAN nur auf das Internet zugreifen können und untereinander keinen Zugriff / Sichtbarkeit haben, was genau dem Gegenteil von dem entspricht, was in diesem Fall gewünscht ist.
Aber ok ich will mich hier auch gar nicht mehr weiter einmischen und dann setz das mal so per VLAN um. 
