Draadloos IoT apparaat -> VLAN vs GeoIP filtering

Eddie the Eagle

UniFier
Berichten
643
Oplossingen
1
Waarderingsscore
267
Punten
63
Ik heb hier een warmtepomp met een draadloze module die momenteel via UAP met mijn default LAN verbonden is. Ik kan `m zo aan- en uitzetten via een app en ook temperatuur e.d. uitlezen. Het werkt, echter.....zoals ik al verwacht had is het ding van dubieuze makelij en loopt de communicatie altijd via de cloud en....... China servers, zowel binnen als buiten de deur. Ik kom daar zojuist achter omdat ik GeoIP filtering heb aangezet en China natuurlijk met stip op nummer 1 blocked staat. Je raad `m al, met China traffic blocked kom ik niet meer bij de pomp, met China traffic allowed wel.

Ik wil langzaam mijn netwerk gaan dichttimmeren en dit was de eerste kandidaat om op IoT VLAN te plaatsen. Dat heeft natuurlijk totaal geen zin zolang het bovenstaande GeoIP actief is want dat overruled de communicatie, toch ?

Welke opties heb ik en wat adviseren jullie ? Mijn camera`s zijn bv ook van Chinees fabrikaat (Hikvision) maar de cloud access gaat via hun EU-servers dus dat werkt gewoon.
 

Luciano

UniFier
Berichten
527
Waarderingsscore
272
Punten
63
GeoIP filtering is eigenlijk met een bazooka op een mug schieten en dus niet echt gewenst maar volgens mij is er ook een mogelijkheid om een ip range van china te blokken via de firwall en dan die ene die nog is doorlaten maar ik heb dit niet getest en ben er dus ook niet 100% zeker van dus zelf even kijken.
 

Eddie the Eagle

UniFier
Berichten
643
Oplossingen
1
Waarderingsscore
267
Punten
63
  • Topicstarter Topicstarter
  • #4
GeoIP filtering is eigenlijk met een bazooka op een mug schieten en dus niet echt gewenst maar volgens mij is er ook een mogelijkheid om een ip range van china te blokken via de firwall en dan die ene die nog is doorlaten maar ik heb dit niet getest en ben er dus ook niet 100% zeker van dus zelf even kijken.
top, thx, liever te veel dicht en iets openzetten. Als ik het goed begrijp is GeoIP dus alles of niks voor een land, je kunt het niet voor enkele IP`s openzetten die je toch wilt bereiken, dat moet dan dus per definitie via firewall.

Ander vraagje hierbij: hoe kom ik erachter waar dat apparaat heen gaat ?
 

Luciano

UniFier
Berichten
527
Waarderingsscore
272
Punten
63
Ik heb eigenlijk nooit getest of een allow firewall rol de GeoIP overruled dus je zou dat kunnen testen.

Ps. Ik gebruik dus zelf niet GeoIP dus je moet zelf even testen.
 

Eddie the Eagle

UniFier
Berichten
643
Oplossingen
1
Waarderingsscore
267
Punten
63
  • Topicstarter Topicstarter
  • #7
Dank je, dit is nieuwe materie voor me; ik was al totaal verbijsterd dat ik de remote user VPN zo snel werkende kreeg. Dit deel plus VLAN is de volgende stap.
 
Laatst bewerkt:

Eddie the Eagle

UniFier
Berichten
643
Oplossingen
1
Waarderingsscore
267
Punten
63
  • Topicstarter Topicstarter
  • #11
Je kent het IP adres van die module en je hebt een pihole dan is het toch simpel om te zien welke externe verbindingen die module maakt.
ow echt, ben nog niet in alle features gedoken maar realiseer me ook net dat ik dat helemaal niet hoef te weten. Firewall regels kan ik toch op basis van het apparaat zelf instellen (mac, ip) of niet ?
 

Stiibun

UniFier
Berichten
264
Waarderingsscore
115
Punten
43
Pihole admin en dan kijken bij top clients (helemaal onderaan het dashboard) voor 192.168.1.8 en daarop klikken en dan kan je zien welke aanroepen die module allemaal maakt. Staat deze niet in de top clients lijst dan klik je links in menu structuur op query log en in die log filteren op dat IP adres.

Je wou toch weten welke servers die module allemaal aanroept, of misschien begrijp ik je vraag niet helemaal.
 

Eddie the Eagle

UniFier
Berichten
643
Oplossingen
1
Waarderingsscore
267
Punten
63
  • Topicstarter Topicstarter
  • #15
Pihole admin en dan kijken bij top clients (helemaal onderaan het dashboard) voor 192.168.1.8 en daarop klikken en dan kan je zien welke aanroepen die module allemaal maakt. Staat deze niet in de top clients lijst dan klik je links in menu structuur op query log en in die log filteren op dat IP adres.

Je wou toch weten welke servers die module allemaal aanroept, of misschien begrijp ik je vraag niet helemaal.
klopt inderdaad, mijn bedoeling is om te kijken of ik een gaatje kan prikken in die GeoIP filtering door de firewall specifiek open te zetten voor deze verbinding zodat het apparaat kan verbinden met de cloud server. Ik heb gisteren een LAN-in en LAN-out accept regel gemaakt voor het mac adres van dat apparaat maar dat werkte niet. Ik weet ook niet of het de juiste gedachte is om de firewall regel vanuit het apparaat zelf (LAN regel) te maken.
 

Eddie the Eagle

UniFier
Berichten
643
Oplossingen
1
Waarderingsscore
267
Punten
63
  • Topicstarter Topicstarter
  • #16
Got it, Tencent cloud server in Zhengzhou area. Ok, nu heb ik de server waarmee hij connect en mijn apparaat. Welke firewall regels zou ik nu moeten opzetten ?
 

Stiibun

UniFier
Berichten
264
Waarderingsscore
115
Punten
43
Als je kan beperken tot bepaalde poorten is dat wel de beste oplossing, want de gaten die in je firewall prikt zijn best zo klein mogelijk.

Maar wordt wellicht wel wat opzoekwerk welke poorten die module precies aanroept op die cloud server. Misschien eerst eens de usual suspect instellen en dat is poort 80 naar IP adres van die server. En dan kijken of dit werkt of niet. Twijfel er sterk aan dat dit Chinees spul een veilige connectie maakt op 443. Maar zou ook zomaar kunnen dat het echt een specifieke poort is, vandaar dat ik zeg dat het wellicht wel opzoekwerk wordt.
 

Stiibun

UniFier
Berichten
264
Waarderingsscore
115
Punten
43
Andere oplossing is natuurlijk een IoT netwerk aanmaken en daar die module instoppen. Dan mag dat spul wat mij betreft overal op internet lopen rotzooien :) maar blijft die wel uit je main LAN.
 

Eddie the Eagle

UniFier
Berichten
643
Oplossingen
1
Waarderingsscore
267
Punten
63
  • Topicstarter Topicstarter
  • #19
Andere oplossing is natuurlijk een IoT netwerk aanmaken en daar die module instoppen. Dan mag dat spul wat mij betreft overal op internet lopen rotzooien :) maar blijft die wel uit je main LAN.
Ja dat gaat ook zeker gebeuren, het probleem is meer andersom: ik heb China traffic geblocked via GeoIP filtering en wil kijken of ik deze als enig open kan zetten. Vraag is of dat kan.
 
Bovenaan