Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

Brannmur, tillate trafikk fra IoT til HS


bjornepappa

Anbefalte innlegg

Som nevnt i denne tråden er eg i ferd med å sette opp nettverk i heimen basert på Unifi-serien til Ubiquiti, og eg prøver meg no på å opprette separat IoT-nettverk (med WiFi). 

Har fulgt denne guiden og har forsåvidt laga eit Corporate-nettverk som er adskilt frå primærnettverket, men dette må jo ha visse unntak for å fungere som tiltenkt. Eg har ein del Arduino-kort på nettverket som skal sende (og potensielt motta) data til HS. HS brukar port 80, og om eg forstår det rett må eg vel då opne port 80 frå IoT-nettverket inn i primærnettverket der (bl.a.) HS-serveren står. 

 

Eg trur eg må opprette ein ny regel under "LAN IN" i Unifi-settings, men deretter er eg nokså blank.

Har oppretta ei "gruppe:

image.png.7342390035c4f8d023005fe6fe86b1d9.png

 

Og har prøvd på å opprette ein regel under "LAN IN", men er svært usikker på om alt er rett (er vel i grunn nesten sikker på at mykje er feil):

image.thumb.png.0e58bf652d8d2e6811281060653e887e.png

Er det nokon som har tips for å få meg på rett spor?

Endret av bjornepappa
Lenke til kommentar
Del på andre sider

Hei

 

Det jeg har gjort hos meg er å lage eget "IoT" corporate-nettverk på eget vlan, og de andre nettverkene på andre vlan.

Så har jeg satt opp i brannmuren, at jeg blokker alle vlan mot hverandre, brukt denne guiden.

Og så har jeg åpnet opp for ip eller port i mellom vlan'ene for det som trengs å kommunisere mot Home Assistant.

Sånn har jeg det i min brannmur:

image.thumb.png.2f34c5b2f4fedfe331dc9b9d3fe38dde.png

Om dette er 100% riktig/galt for noen andre svare på :)

Håper noen andre også kan komme med noen innspill.

 

Endret av Offpiste
mulig skrivefeil
Lenke til kommentar
Del på andre sider

2 timer siden, Offpiste skrev:

Hei

 

Det jeg har gjort hos meg er å lage eget "IoT" corporate-nettverk på eget vlan, og de andre nettverkene på andre vlan.

Så har jeg satt opp i brannmuren, at jeg blokker alle vlan mot hverandre, brukt denne guiden.

Og så har jeg åpnet opp for ip eller port i mellom vlan'ene for det som trengs å kommunisere mot Home Assistant.

Sånn har jeg det i min brannmur:

image.thumb.png.2f34c5b2f4fedfe331dc9b9d3fe38dde.png

Om dette er 100% riktig/galt for noen andre svare på :)

Håper noen andre også kan komme med noen innspill.

 

 

Eg fant den samme guiden som du har brukt, har no gjort det på liknande vis.

Har endra litt ift. mitt første innlegg, og trur no port 80 skal være open fra IoT (VLAN 107) til LAN (VLAN 1). Eller har denne regelen opna opp meir enn eg trur?

image.thumb.png.a9d3326a0d536e1a713aa41f5898a84e.png

 

På samme måte som deg har eg sperra all kommunikasjon mellom alle VLAN (regel 2004), men har opna for kommunikasjon frå LAN (VLAN 1) til IoT (VLAN 107) og Internett (nettverket "Internett", VLAN 100) (hhv regel 2001 og 2002). Regel 2003 er den som er vist ovanfor.

image.thumb.png.1b6a60cb28110db8a0e94dad5079422f.png

 

Nettverket "Internett" (VLAN 100) er forresten satt opp som Guest, dette nettet blir bl.a. brukt til ungane sine nettbrett og har i grunn ikkje tilgang til meir enn Internett. Innspel?

 

Som ein heilt sikkert kan skjønne er eg på litt tynn is her, så kom gjerne med tilbakemeldingar på ting som kan/bør endrast, fjernast eller leggast til :)

Endret av bjornepappa
Lenke til kommentar
Del på andre sider

Er en av mine regler der jeg tillater at Home Assistant får tilgang til Cloudkey'en for å hente ut litt info.(ip til ip, alle porter åpne)

Så mener at det skal ikke av hukes noe inne på states inne på advanced, som du har gjort. 

image.thumb.png.c0eb1e3f05745c95e6b28f29be66a782.png

.

 

Ser at du deler ut nett til hver enkelt vlan(regel 2001 og 2002), vis du ser på min regel 2001, så får alle vlan nett ved hjelp av en regel. Vil tro det det går like fint på begge måter.

 

Sånn har jeg satt opp mitt gjeste nett:

image.thumb.png.5d9d65dc7a46689d9e006043505efde7.png

Da blir det også egen regler inne guest på firewall.

Har også slått på mDNS, sånn at chromecast kan nåes på alle vlan.

Man har også muligheten til å slå av gjeste wifi f.eks om natten.

Og man kan sette opp en "tryggere" DNS-server på det nettet som mer barnevennlig. 

 

Lenke til kommentar
Del på andre sider

Takk for tilbakemelding.

Eg får fortsatt ikkje trafikken til å flyte IOT -> Hovednettverk. Har fjerna alle brannmurreglane eg laga til, så prøver eg å innføre éin og éin igjen for å sjå kor tid det blir stopp.

Fekk tips frå IT-personell på jobb om at det kan være nødvendig å sette opp port forwarding og/eller ruter under "Static Routes", sidan det er separate VLAN  med forskjellig IP-range. Men trudde at det i Unifi-verden var fri flyt mellom alle Corporate-nettverk. Erfaring med dette?

Lenke til kommentar
Del på andre sider

På 2.8.2019 den 15.31, Preference skrev:

Sett denne videoen?

Tror han lager tilsvarende oppsett som du prøver deg på.

Takk for den. Trudde eg hadde sett samtlige YouTube-filmar om emnet, men denne var ny. Tredje del av serien var den mest relevante, og eg fekk eit par tips til oppsett av nettet, bl.a. ifm Google Home og Chromecast som no er isolerte på IoT-nettet og det fungerer fint. Derimot har eg fortsatt ikkje klart å få data frå Arduino-kort frå det som har blitt til "NoT- nettverk", sjølv om eg har satt opp regel som eg trur skal gi frie sluser (som eit forsøk på å få trafikken til å flyte). 

Screenshot_20190804_184156.jpg

Lenke til kommentar
Del på andre sider

På 4.8.2019 den 18.45, bjornepappa skrev:

Takk for den. Trudde eg hadde sett samtlige YouTube-filmar om emnet, men denne var ny. Tredje del av serien var den mest relevante, og eg fekk eit par tips til oppsett av nettet, bl.a. ifm Google Home og Chromecast som no er isolerte på IoT-nettet og det fungerer fint. Derimot har eg fortsatt ikkje klart å få data frå Arduino-kort frå det som har blitt til "NoT- nettverk", sjølv om eg har satt opp regel som eg trur skal gi frie sluser (som eit forsøk på å få trafikken til å flyte). 

Screenshot_20190804_184156.jpg

Er det fra Arduino-kortet på "NoT- nettverk" mot LAN eller mot de andre VLAN du ikke får trafikk i mellom?

Lenke til kommentar
Del på andre sider

2 timer siden, Offpiste skrev:

Er det fra Arduino-kortet på "NoT- nettverk" mot LAN eller mot de andre VLAN du ikke får trafikk i mellom?

Det er frå Arduino-kortet på NoT-nettverket (VLAN 107) til LAN (hovednettverket, VLAN 1) eg ikkje får trafikken til å gå.

Lenke til kommentar
Del på andre sider

2 timer siden, bjornepappa skrev:

Det er frå Arduino-kortet på NoT-nettverket (VLAN 107) til LAN (hovednettverket, VLAN 1) eg ikkje får trafikken til å gå.

 

Kan være at du har noe feile adresser i adresse gruppene dine. Du kan prøve å velge "network" istedenfor og velge hele vlan'et, får å se om du for noe trafikk da.

image.png.c9a7702eabe2b79e499662b5ad3595f5.png

Lenke til kommentar
Del på andre sider

20 timer siden, Offpiste skrev:

 

Kan være at du har noe feile adresser i adresse gruppene dine. Du kan prøve å velge "network" istedenfor og velge hele vlan'et, får å se om du for noe trafikk da.

image.png.c9a7702eabe2b79e499662b5ad3595f5.png

Takk for tipset, det er allerede prøvd ut. Har også prøvd med konkrete IP-adresser for sendar og mottakar utan at det hjelper ?

Lenke til kommentar
Del på andre sider

Oppdaga i dag at Arduino-plugin har fått støtte for OneWire på NodeMCU. Det er pga mangel på denne støtta at eg har brukt løysinga som denne tråden er basert på.

Eg satte opp eit kort med på samme NoT-nettverk som eg ikkje har fått kommunikasjonen til å gå, og no fungerer det perfekt! Kan ikkje heilt skjønne kvifor, det må muligens være andre portar. Trur eg skal basere meg på å flytte alle Arduino-korta over i HS via Arduino-plugin frå no av.

  • Like 1
Lenke til kommentar
Del på andre sider

  • 2 uker senere...

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.