Home Assistant in IoT of default

ChrisVrolijk

ChrisVrolijk

Donateur
Silver
UniFier
10 sep 2019
70
8
8
Hoi,
Ik zit te overwegen in welk netwerk ik mijn home assistant moet plaatsen.
Alle IoT devices (cloud en local) zitten allemaal in het IoT netwerk.
Maar mijn SONOS speakers, en mobiele telefoon of tablet in het default netwerk.

Ik heb veel gelezen over SONOS verkeer routeren en problemen daarmee dus ik overweeg mijn HA in default te zetten en verkeer tussen HA en IoT toe te staan beide kanten op.
Is dat een veilige methode of is er een betere? Stap 2 wordt dan uitzoeken hoe ik inter vlan communicatie en firewall regels configureer in de UDM Pro

Dank zover!
 
miranov zei:
als je maar MDNS heb kan je je verkeer forwarden tussen de VLANS. heb ik positieve ervaring mee. Weet niet hoe de andere dat hebben.
Klik om te vergroten...

Eerlijk gezegd geen idee. Heb de term wel een keer voorbij zien komen. Zal eens gaan kijken wat het doet.
 
ChrisVrolijk zei:
ik overweeg mijn HA in default te zetten en verkeer tussen HA en IoT toe te staan beide kanten op.
Klik om te vergroten...
Ik heb dat precies zo, HA in default en alle IoT apparaten in een apart VLAN. Uiteindelijk zijn het die apparaten die je wilt isoleren....HA zelf krijgt aan de lopende band (veiligheids)updates dus ik zie geen reden om deze als systeem/server ook te isoleren.
 
  • Leuk
Waarderingen: Winehome en HermanW
Eddie the Eagle zei:
Ik heb dat precies zo, HA in default en alle IoT apparaten in een apart VLAN. Uiteindelijk zijn het die apparaten die je wilt isoleren....HA zelf krijgt aan de lopende band (veiligheids)updates dus ik zie geen reden om deze als systeem/server ook te isoleren.
Klik om te vergroten...
Ik was ook aan het twijfelen of ik mijn nieuwe Athom Homey in het IoT netwerk of in het Main netwerk zou plaatsen.

Met een Firewall rule zou het moeten lukken in IoT maar je hebt me op andere gedachten gebracht.
Het wordt dus Main Netwerk

Dank voor jouw argumentatie.
 
  • Leuk
Waarderingen: Eddie the Eagle
Ik heb mijn Homey in het IoT netwerk zitten, juist omdat het meeste IoT gebeuren dus ook in dat netwerk zit.

Ik heb geen enkel probleem met de communicatie van Homey met die paar zaken die bij mij in het hoofd netwerk zitten, zoals bijvoorbeeld Sonos. Dat alles zonder allerlei speciale firewall regels.

In IoT:
- Homey
- IoT zaken zoals Hue, Dirigera, Shelly, HomeWizard, Netatmo, Tado

In Main netwerk
- Sonos

Bediening vindt plaats via telefoons en tablets in Main netwerk.

Via firewall regels kan een apparaat in het IoT netwerk alleen communiceren met het Main netwerk als de verbinding wordt geinitieerd vanuit het Main netwerk. Een apparaat in het IoT netwerk kan niet zelf een verbinding opbouwen naar Main.
 
Laatst bewerkt:
  • Leuk
Waarderingen: Davey400
Nog even wat aanvullende details:
Sonos: De communicatie van HomeAssistent of Homey naar Sonos gebruikt de Sonos API. Als je via die API een verbinding opzet naar een speaker dan loopt dat altijd in eerste instantie via het internet en niet lokaal. Vandaar dat er geen aanvullende firewall regels noodzakelijk zijn.

Hue: Als de Hue bridge in hetzelfde netwerk zit dan loopt de verbinding lokaal. Als de Hue bridge in een ander VLAN zit dan gaat ook die verbinding via internet.
 
Hofstede zei:
Ik heb mijn Homey in het IoT netwerk zitten, juist omdat het meeste IoT gebeuren dus ook in dat netwerk zit.

...........
Klik om te vergroten...
Dat was ook mijn gedachte, maar omdat ik een aantal functies van mijn UDM pro wil gebruiken in flows is het makkelijker om het Main netwerk te gebruiken ipv allerlei uitzonderingsregels te schrijven om toegang te krijgen tot de deurbel/camera/aanwezigheid enz in Unifi OS.
 
Maar je kunt in het IoT netwerk toch ook alles van Unifi OS rechtstreeks benaderen door het gateway IP van het IoT netwerk te benaderen?
(Default is de web interface van Unifi OS vanuit elk VLAN te benaderen via het gateway IP).
 
Ja, klopt in Default. Maar ik heb regels gemaakt dat apparaten in welk Vlan dan ook nimmer toegang hebben tot de Gateway van Main.
Extra voorzorg vanwege de vele Chinese apparaten die ik niet vertrouw.

Dus mijn Homey op Main, die ik wel toevertrouwd.
 
Misschien heb je iets aan de manier waarop ik het heb ingericht:
Ik gebruik een Raspberry Pi5 waar o.a. Home Assistant op draait, deze heb ik met 2 verschillende mac adressen geconfigureerd zodat HA zowel in het server VLAN (40) als in het IoT VLAN (20) zit:
Code: 
auto eth0.40
iface eth0.40 inet static
  address 192.168.40.25
  netmask 255.255.255.0
  vlan-raw-device eth0
  hwaddress ether <mac address 1>

auto eth0.20
iface eth0.20 inet static
  address 192.168.20.25
  netmask 255.255.255.0
  vlan-raw-device eth0
  hwaddress ether <mac address 2>

De reden is dat ik NGINX als reverse proxy draai om remote bij HA te kunnen, dit timmer ik dan dicht door ModSecurity en de OWASP ruleset te gebruiken icm Geo IP. (In mijn geval worden alleen connecties toegestaan als het IP intern is, of uit NL komt en de mobiele provider de mijne is en de user agent die van Home Assistent is. Daarop heb ik 1 uitzondering: de alexa user agent en regio zodat ik via Alexa commando's naar HA kan sturen. Mocht je hierin interesse hebben, dit is de Docker container met NGINX die ik gemaakt heb (je moet zelf een nginx.conf schrijven, wil die van mij evt ook wel delen).

In Home Assistant kun je kiezen welk netwerk je voor integraties wil gebruiken:
1728981882435.png

Voor Sonos in IoT VLAN:
Ik gebruik een python script waarmee Sonos icm firewall regels perfect werkt in IoT netwerk.
In mijn geval zitten de client devices in vlan10 en IoT is vlan20 (default is bij mij management netwerk) en dan gebruik ik de volgende syntax:
Code: 
#!/usr/bin/env bash
# requires multicast-relay.py script, place it in /data/on_boot.d/settings/
# wget https://github.com/alsmith/multicast-relay/raw/master/multicast-relay.py
# br10 i my devices lan, br20 is my IoT VLAN...
python3 /data/on_boot.d/settings/multicast-relay.py  --noMDNS --interfaces br10 br20

Staat ook op mijn github repo als je makkelijk wil copy/paste-en, uiteraard moet je br10 en br20 even aanpassen aan jouw situatie.

Tenslotte de firewall rules voor Sonos:
1728982155904.png

1728982186623.png

1728982204801.png

Sonos devices een vast ip gegeven (via Unifi) en in groep gezet:
1728982320701.png
 
Hofstede zei:
Via firewall regels kan een apparaat in het IoT netwerk alleen communiceren met het Main netwerk als de verbinding wordt geinitieerd vanuit het Main netwerk. Een apparaat in het IoT netwerk kan niet zelf een verbinding opbouwen naar Main.
Klik om te vergroten...
Juist om die reden maakt het dan toch ook niet uit dat de server (homey / fibaro / home assistant / domoticz etc etc) zich in het Main netwerk bevindt zou je zeggen. Het IoT apparaat mag alleen established & related verkeer beantwoorden dat van de server af komt maar niet zelf initieren. Althans zo heb ik het dus.
 
Het enige "nadeel" is dat alle communicatie via de (in mijn geval) UDM Pro loopt. Bij mij blijft alles in huis ook gewoon werken als de UDM Pro niet beschikbaar is.
 
  • Leuk
Waarderingen: Eddie the Eagle
Eddie the Eagle zei:
Juist om die reden maakt het dan toch ook niet uit dat de server (homey / fibaro / home assistant / domoticz etc etc) zich in het Main netwerk bevindt zou je zeggen. Het IoT apparaat mag alleen established & related verkeer beantwoorden dat van de server af komt maar niet zelf initieren. Althans zo heb ik het dus.
Klik om te vergroten...
Afhankelijk van hoe je IoT apparaat werkt kan deze ook zelf verkeer richting je server initiëren, denk bijv. aan slimme speaker die huidige track doorgeeft. Daarnaast is er vaak sprake van discovery al dan niet mbv broadcast, als je server en je IoT devices in hetzelfde (v)LAN zitten werkt dat het makkelijkst.
 
Hofstede zei:
Het enige "nadeel" is dat alle communicatie via de (in mijn geval) UDM Pro loopt. Bij mij blijft alles in huis ook gewoon werken als de UDM Pro niet beschikbaar is.
Klik om te vergroten...
Klopt, als je meerdere VLAN's gebruikt dan ben je afhankelijk van je router of layer3 switch(es). Maar goed als je router eruit ligt dan heb je meestal wel grotere problemen dan IoT. De gebruikers hier thuis zullen iig meteen escaleren als er geen internet is :D
 
Ik denk (weet) dat als het licht niet meer aan gaat “omdat jij zonodig alles slim moest maken” ook niet bepaald goed valt bij de gemiddelde wederhelft. 🥴
 
Davey400 zei:
Ik denk (weet) dat als het licht niet meer aan gaat “omdat jij zonodig alles slim moest maken” ook niet bepaald goed valt bij de gemiddelde wederhelft. 🥴
Klik om te vergroten...
Neuh de WAF neemt dan wel flink af!

Daarom kies ik bij voorkeur voor non-cloud IoT spullen met een local api en shelly switches in fysieke schakelaar zodat alles nog steeds "analoog" te bedienen is.
 
  • Leuk
Waarderingen: Davey400
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.

Vergelijkbare onderwerpen

T
Homey in IoT, IP-adres controleren in Default netwerk!
Reacties
3
Weergaven
774
Domotica
Eddie the Eagle
Eddie the Eagle
SandyBee
G4 Doorbell Chime over Sonos apparatuur (Home Assistant)
Reacties
3
Weergaven
990
Protect
Koffie
Koffie
Bovenaan Onderaan
Terug