Ich habe gestern angefangen ein IOT Netzwerk in meiner Unifi Dream Machine Pro anzulegen.
Dann habe ich angefangen meine Shelly Plugs mit dem IOT Netzwerk zu verbinden.
Die Plugs haben dann, weil sie vorher im Default Netzwerk waren, eine neue IP Adresse erhalten und waren auch sofort online.
Jetzt habe ich folgendes Problem, dass die Shellys in Home Assistant offline sind. Klar, sie haben auch eine neue IP erhalten. Die neuen IP‘s nimmt Home Assistant aber nicht an.
Muss der Home Assistant Server jetzt auch in mein IOT Netzwerk?
Hallo,
nicht zwingend, aber HA muss natürlich mit den Geräten im “IOT Netzwerk” kommunizieren können. Ich kenne die Unifi Dream Machine Pro nur dem Namen nach, kann Dir also leider nicht genau sagen wie/wo die nötigen Regeln dazu zu definieren sind.
Checke am besten erstmal, dass „Isolate Network“ in den IPv4 Einstellungen nicht aktiviert ist.
VG
U
Ok, das war bei mir aktiviert. Werde es gleich mal versuchen, ob es jetzt funktioniert.
Melde mich wieder
Update:
Es hat funktioniert.
Alle Shellys sind wieder erreichbar in HA.
Danke für die Hilfe!
by HarryP: Zusammenführung Doppelpost (bei Änderungen oder hinzufügen von Inhalten bitte die „Bearbeitungsfunktion“ anstatt „Antworten“ zu nutzen)
Najaaaaa…,
die eigentliche Idee ein eigenes Subnetz für seine IoT Geräte zu betreiben ist doch für gewöhnlich folgender:
Viele Geräte am Markt beherbergen teils drastische Sicherheitslücken und/oder sicherheitsbedenkliche Funktionen, die teils spät, oft genug auch gar nicht gefixed werden.
Damit man diese Sicherheitslücken nicht mit seinen anderen Netzwerkgeräten, von denen man z.Bsp. Banking betreibt, im selben Netz hat, legt man ein separates Netz für diese Geräte an.
Wenn man hinterher aber den Traffic zwischen beiden Netzen uneingeschränkt zulässt, kann man sich den Aufwand m.E. auch sparen.
3 „Gefällt mir“
Zufälle gibts… 
Habe gestern dasselbe gamcht… Ich bin der Meinung, dass es aber sinnvoller ist, für die Shellies nicht nur ein eigenes IoT VLAN, sondern auch ein eigenes WLAN zu erstellen. Dem WLAN dann das VLAN zuordnen.
In der Firewall sollte man dann auch entsprechend die Zugriffe erlauben, bzw nicht erlauben
Standardmäßig ist im Unifi Controller ja sonst immer alles erlaubt, da hätte das ja dann gar keinen Effekt.
Edit:
@knitterpitti hab übersehen das du schon geantwortet hattest… wir meinen dasselbe, denke ich
1 „Gefällt mir“
das hatte ich vergessen zu erwähnen. Ich habe natürlich auch ein eigenes IOT-WLAN angelegt und es dem VLAN zugeordnet.
Du schreibst noch was von der Firewall und entsprechende Zugriffe. Kannst du mir hier noch ein paar Tipps geben, wo und wie ich es einstellen soll?
Da bin ich noch nicht weitergekommen. Zumal es auch auf der Dream Machine in der letzten Zeit ein paar Updates gegeben hat.
Mit der neuen Oberfläche habe ich so meine Probleme durchzusteigen
Es müsste doch hier anzulegen sein. Nur bin ich mir nicht sicher, wie ich es anstellen soll?
@Mola7272, vielleicht hilft dir das für den Start…
Ich habe heute bei mir aufgeräumt da ich den Durchblick verloren hatte.
Letztlich habe ich mir eine „Isolierte“-Zone erstellt und alle entsprechenden VLANS (nicht vertrauenswürdig) dort rein geschmissen… so ist erstmal alles geblockt.
Anschließend nach belieben die „Erlaubnisse“ erteilen.
So empfinde ich es als sehr übersichtlich, wartungsfreundlich und es wird nur das erlaubt was benötigt wird.
1 „Gefällt mir“
Ich hatte das bei mir ohnehin dokumentiert, wie ich das zusammengebaut habe:
IoT VLAN erstellen.txt (4,5 KB)
Bitte beachten: Ich habe einen eigenen DNS Server im Netzwerk mit PiHole und unbound. Der läuft auf der .1.35.
Das dann einfach weglassen, oder anpassen falls es das bei dir auch geben sollte.
1 „Gefällt mir“
Super. Vielen Dank für die Datei.
Kannst du mir vielleicht noch erklären, wie ich den Punkt 2 eingeben muss?
Das IoT VLAN soll mit dem DNS Server kommunizieren dürfen inkl. Antwort.
Den ersten Punkt hast du ja super beschrieben. Vielen Dank im Voraus!!!
Im Prinzip ist es eine Richtlinie, die analog zu der beschriebenen erstellt wird.
Intern - Intern
Die Quelle ist Netzwerk (IoT VLAN)
Aktion: Zulassen und Rückkehrenden Verkehr ebenfalls automatisch zulassen
Das Ziel ist eine IP
Dort deinen DNS Server hinzufügen.
das wars eigentlich. Welche Probleme gibts denn da bei dir?
Das wichtigste ist aber am Ende die Richtlinie zum Blockieren, sonst bleibt im Prinzip alles bei Allow all.
1 „Gefällt mir“
Genau das ist mein Verständnisproblem.
Was ist genau gemeint mit dem DNS Server?
Ist das die IP der Unifi Dream Machine?
Welches Gerät ist dein lokaler DNS-Server (IP)?
Wer in deinem Netzwerk DNS-Server ist können wir, Stand jetzt, nicht wissen.
Was steht denn in den Einstellungen deiner Netzwerkclients als DNS?
z.Bsp. in HA: “Einstellungen → System → Netzwerk”
Wenn der Internetzugriff mit HA problemlos funktioniert, ja.
Läuft!
Lieber eine neue Adresse nehmen oder wie kommst du darauf?
??? 
Sorry, die Frage versteh ich nicht…
Ich habe in meinem Netzwerk einen eigenen DNS Server. Die UDM ist bei mir nicht der DNS Server, sondern ein PiHole übernimmt die Aufgabe. Außerdem habe ich unbound als Resolver. Der DNS Server liegt bei mir auf .1.35, der ist in der UDM auch eingetragen.
Bei dir ist das anders. Die UDM ist selbst der DNS Server.
In dem Fall musst du keine separate Richtlinie dafür erstellen. Das wird ja wahrscheinlich dein Hauptnetz, bzw dein Verwaltungsnetz sein. Dafür gab es ja schon eine Richtlinie.
Deswegen schrieb ich ja, wenn kein eigener - separater - DNS Server betrieben wird, dann die Richtlinie weg lassen.
Stattdessen musst du entscheiden, ob das IoT VLan Zugriff auf dein Hauptnetz haben soll.
Ich untersage bei mir den Zugrff vom VLAN IoT zum Haupnetz. Das ist die Blockierregel. Anders herum darf zugegriffen werden. Da kann man dann entscheiden wie restriktiv man das aufbauen möchte… nur von bestimmten Geräten, oder vom gesammten Netz auf VLAN IoT bspw…
Das musst du dir im Prinzip ja überlegt haben, als du das VLAN erstellt hast.
1 „Gefällt mir“