UDR UDR - IoT LAN volledig afscheiden van persoonlijk LAN - Doe ik het goed?

Komodo

UniFier
28 jul 2021
1.068
993
163
UniFerse
Hi All,

Intro:
Heb je eenmaal allemaal UniFi devices gekocht, moet je er natuurlijk wel wat meer mee doen dan het simpelweg aansluiten van al je devices en het Internet opgaan ;) Eén van de redenen om over te stappen op UniFi is om mijn ChingLing IoT devices af te scheiden van de rest van het netwerk. Dat spul kletst me iets te veel en iets te vaak met diensten waarvan ik niet weet wat het achterliggende doel is. Nee, ik heb geen alu hoedje op maar Xiaomi en Tuya devices houd ik toch liever buiten de rest van het netwerk ;)

De situatie:
Ik heb een stofzuiger van Xiaomi en een thermostaat van Tuya (nu ja, niet echt Tuya maar één van de ziljoen producenten die Tuya meuk maken). Beiden hebben een eigen SSID/WiFi waarop ze kunnen kletsen met de buitenwereld. De twee SSID's zijn gekoppeld aan een eigen LAN (IDIot - briljante naam van Chris van Crosstalk Solutions). De devices kunnen communiceren met de buitenwereld en ik kan ze aansturen met de app op mijn telefoon.

1638106258685.png

1638106328742.png

De vraag:
Het kan natuurlijk gebeuren dat de servers van Xiaomi en Tuya worden gehackt en dat onverlaten daarmee toegang kunnen krijgen tot mijn devices. Dat an sich is niet zo'n probleem maar ik wil natuurlijk niet dat de voornoemde onverlaten toegang kunnen krijgen tot de rest van het netwerk. Is het dan genoeg dat de devices op hun eigen LAN zitten of moet ik nog regels instellen op de vuurmuur (firewall) om de grens tussen mijn privé LAN en IDIot volledig dicht te timmeren? Ik heb een half uur durende sessie van Chris bekeken maar daar raakte ik de weg behoorlijk van kwijt. Tijd dus om de hulp van jullie in te roepen.

Tot slot:
Ben ik informatie vergeten toe te voegen of heb je baat bij plaatjes? Laat het mij weten en ik voeg ze toe.

Alvast reuze bedankt voor jullie input/feedback!
 
Laatst bewerkt:
  • Leuk
Waarderingen: m4v3r1ck en PcRene
Je moet inderdaad firewall regels aanmaken anders kan IoT VLAN nog steeds overal bij. Dat hier uitschrijven wordt een heel verhaal vrees ik 😂 . Ik heb die tutorial van Crosstalk ook gezien, wat snap je er niet aan ? Je moet het deel over LAN IN gebruiken, niet over LAN LOCAL, dat is leuk voor later. Je moet er wel even rustig voor gaan zitten natuurlijk; leuk voor de zondagmiddag ;). Het is alleen even puzzelen met de new interface; die tutorial is in de classic, dat maakt het wel wat lastig.
 
  • Leuk
Waarderingen: m4v3r1ck en PcRene
De tutorial van Chris ging er met name over dat hij vanuit zijn IoT netwerk nog bij zijn private LAN moest kunnen. Daar heb ik geen behoefte aan.

Je hoeft het niet voor mij uit te schrijven maar als je een goede tut hebt dan hou ik me aanbevolen voor een linkje ;)
 
De tutorial van Chris ging er met name over dat hij vanuit zijn IoT netwerk nog bij zijn private LAN moest kunnen. Daar heb ik geen behoefte aan.
Hebben we wel naar dezelfde tutorial gekeken ? Ik bedoel deze; die is wel voor de UDM-P maar maakt niks uit voor het principe. Idee is juist dat IoT niet meer bij main-LAN kan maar omgekeerd wel.
 
  • Leuk
Waarderingen: Komodo
Nope! We hebben naar verschillende tutorials gekeken. Ik ga deze eens op mijn gemak bekijken (heb nu een dingetje met mijn ZigBee netwerk (wat vast niets te maken heeft mijn UDR tweaking :p ))
 
Ik heb die established/related helemaal aan het begin zitten, wat de toturial ook aangeeft. Hier die van mij:

1638114910742.png

2000: wat al bestaat mag blijven
2001: Main LAN mag naar IoT (die moet echt anders kom ik niet bij de IoT apparaten)
2003: IoT mag naar de RPi (DNS server & Tijdklok) ander geen internet voor IoT & geen tijdsync (alarm, cams)
2004: IoT mag NIET naar Main LAN (dat is die van jou hierboven)
2005: Mijn camera`s (in IoT) mogen mails uitsturen
2006: Mijn camera`s mogen niks anders naar internet, dus niet naar buiten
4000: al het overige met bestemming van alle netwerken is niet toegestaan

de vet gedrukte zouden ook bij jou van toepassing moeten zijn.
 
Als ik me niet vergis wordt in die tutorial nog een verschil gemaakt tussen IoT en NoT. De eerste mag alleen naar buiten, de 2e juist niet (bv camera`s). Ik heb die 2 in hetzelfde VLAN zitten (IoT) en de camera`s apart geblocked voor internet.
 
Offtopic:
Een thermostaat met internet verbinding kan ik me nog iets bij voorstellen. Ik heb er ook eentje van Honeywell. Die kletst overigens ook best veel met zijn thuisfront. Zelfs als er een hikje in het wifi-netwerk optreed als ik wat aan het experimenteren ben, krijg ik een melding dat "we" (wie dat dan ook mag zijn) geen verbinding kunnen maken met de thermostaat.

Maar een stofzuiger met wifi? Wat moet ik me daar bij voorstellen? Is dat een robotzuiger, dan? Of kan je op de bank gaan zitten en je stuurt de zuiger door het huis via je mobiel? Dan wil ik die ook
;)
 
tsja.. hoever wil je gaan, stofzuiger die automatisch stofzuigerzakken besteld als ze op zijn… SAAS (stofzuigen as a service)
 
  • Leuk
Waarderingen: Larsonski
tsja.. hoever wil je gaan, stofzuiger die automatisch stofzuigerzakken besteld als ze op zijn… SAAS (stofzuigen as a service)
Als je niet inhoudelijk op de post van de OP kunt/wilt reageren, sla dan liever helemaal dit topic dan even over. Zo jammer weer dit, waarom steeds weer dat azijn in je mededeling?
 
*snip* Als je niks meer kunt, dan weet je dat je je zelf hebt buitengesloten via de firewall, dan zit er zo`n mooi knopje aan de onderkant van de UDR 😂 .
Daar gaat het wel naar toe :( Ik heb geen controle meer over mijn ZigBee netwerk en dat lijkt te maken te hebben met de firewall regels(die ik inmiddels allemaal heb uitgezet)). Leren is leuk maar een botbreuk tijdens het leerproces...
 
Als je niet inhoudelijk op de post van de OP kunt/wilt reageren, sla dan liever helemaal dit topic dan even over. Zo jammer weer dit, waarom steeds weer dat azijn in je mededeling?
Waar komt u de azijn tegen? Ik reageer inhoudelijk op een bericht van @Masimo over stofzuigers en dat je er van kunt staan te kijken wat handig is met een ‘smart’ stofzuiger.

Helaas helemaal off-topic en ik stuur u daarom een PB om dit topic niet verder lastig te vallen maar er schijnt geen normale discussie mogelijk te zijn. Jammer….
 
Waar komt u de azijn tegen? Ik reageer inhoudelijk op een bericht van @Masimo over stofzuigers en dat je er van kunt staan te kijken wat handig is met een ‘smart’ stofzuiger.

Helaas helemaal off-topic en ik stuur u daarom een PB om dit topic niet verder lastig te vallen maar er schijnt geen normale discussie mogelijk te zijn. Jammer….
Als ik je bericht helemaal verkeerd heb gelezen/geïnterpreteerd en dus ook verkeerd gereageerd heb, dan bied ik je in het openbaar ook mijn excuses aan.

OP: Excuses voor mijn offtopic reactie. ☺️
 
  • Leuk
Waarderingen: PcRene
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..