Shelly Vlan in den Docker ioBroker bekommen ?

[metalworker]

Also nochmal
Du hast dein Vlan für die Shellys
Und eins wo deine DS ist .
Und dann schreibst ne Route für den Port von Vlan 1 auf die 2.

 

[ViperRt10]

Also das halte ich für etwas "paranoid". Die Shelly dürfen nur mit Port 1883 in MgmLAN zum ioBroker. Selbst wenn dein Shelly gehakt wird, müsste ja der Haker böse Befehl per MQTT absetzen, oder?

ja, das frage ich ja, ich bin kein Netzwerkingenieur und sehe nur so Hollywood Filme, wo die bösen Jungs mit div. Code über alles überall reinkommen. Das meine ich mit Scheunentor offen. Wenn das aber schon recht "dicht" ist mit mqtt, sehe ich kein Problem darin.

 

[Ronny1978]

Shelly's sind Spielerei und sollen mit dem ioBroker kommunizieren, aber sollten nicht ins MGMT Lan kommen

Also ich fände es sinnvoller den gesamten ioBroker in ein separates VLAN zu stecken und nur Geräten AUS dem MgmLAN Zugriff IN RICHTIG VLAN ioBroker zu geben, aber nicht rückwärts. So habe ich es mit meinem Home Assistant gemacht. Und wenn die Shelly auch in dem VLAN sind, dann können sie bequem mit ioBroker quatschen, aber eben nicht mit MgmLAN.

So einfach fände ich es.

 

[ViperRt10]

dann kannst du aber nur anzeigen und nichts steuern, retour ist ein must have für mich.

 

[Ronny1978]

nur so Hollywood Filme, wo die bösen Jungs mit div. Code über alles überall reinkommen

Die, die das können gehen über dein Handy oder PC. Dann haben sie nämlich Zugriff auf alles.

 

[Ronny1978]

dann kannst du aber nur anzeigen und nichts steuern

Wieso soll das nicht gehen? Bring mal bitte ein Beispiel!

 

[ViperRt10]

Die, die das können gehen über dein Handy oder PC. Dann haben sie nämlich Zugriff auf alles.

das ist mein nächster Schritt, erst mal verstehen und lernen mit den Shellys, was kann man, was ist sinnvoll, was bringts....

 

[ViperRt10]

Wieso soll das nicht gehen? Bring mal bitte ein Beispiel!

Wallbox, ich regle den Ladestrom per ioBroker, die Infos bekomme ich von Stromzählern, WR...
die Victronanlage steuere ich und benötige alle Infos davon, usw.

 

[metalworker]

Pack doch einfach alles IOT Zeug in ein Vlan und fertig

 

[ViperRt10]

Shelly ist ja das Beispiel. Nun soll ein Shelly aber doch.... kommunizieren.

 

[Ronny1978]

Das rede ich die ganze Zeit...

ich regle den Ladestrom per ioBroker

Victronanlage steuere ich

Alles in VLAN IoT auch den ioBroker. Du kannst doch NACH WIE VOR den ioBroker steuern!!!

 

[Ronny1978]

Nun soll ein Shelly aber doch.... kommunizieren

Jaaaa, mit dem ioBroker im GLEICHEN VLAN!!! Und du kommunizierst und steuerst den ioBroker. Du kannst doch dann auch später in Unifi festlegen, dass du zum Shelly kommst, aber der Shelly NICHT ZURÜCK.

 

[ViperRt10]

versteht ihr mich nicht ??
alles in einem VLan hatte ich ja, super toll und die Shelly gleich mit rein oder was??
wovon rede ich die ganze Zeit, die Shellys eben!!!!!! nicht im selben Vlan zu betreiben

gut, ich versuche gerade eine Firewallregel in der Unifi zu erzeugen, die es den Shellys über den Port erlaubt zu kommunizieren, steh im Wald wie das geht....

 

[metalworker]

Ja was spricht denn dagegen .
Mal angenommen einer macht sich bei dir den Aufwand und bricht ein über den Shelly . Da kommt er nur aufs iot Zeug und ni weiter

 

[ViperRt10]

Ja was spricht denn dagegen .
Mal angenommen einer macht sich bei dir den Aufwand und bricht ein über den Shelly . Da kommt er nur aufs iot Zeug und ni weiter

so einfach ist das aber nicht, ein Handy ja OK -> aber da läuft die Fotosicherung auf die Syno, geht schon nicht mehr im isolierten IoT

 

[metalworker]

Wieso das Handy hast doch dann in deinem normalen vlan

 

[metalworker]

Ich hab's Gefühl dir fehlen einfach die Basics dafür was du machen willst

 

[ViperRt10]

was ich machen will, ist doch klar.
wie, ist noch die Frage.

 

[metalworker]

Na haben wir dir ja geschrieben wie du das machen kannst .

Aber vermutlich brauchst du eine ganz genaue Schritt für Schritt Anleitung

 

[Ronny1978]

was ich machen will, ist doch klar

Ehrlich gesagt, langsam nicht mehr. Tut mir sehr leid. Hast du dir das Video von MacTelecomm auch richtig angeschaut? Ich glaube, du verrennst dich hier selbst, indem du immer wieder hin und her schwankst zwischen Abschotten (Scheunentor schließen) und wieder durchlassen, weil "ist ein must have". Mein Vorschlag:

Mach dir doch erstmal einen Plan, welches VLAN mit welchem kommunizieren soll UND welche Geräte dann doch rein sollen. @metalworker hat vollkommen recht: Was hat die Fotosicherung des Handys mit der Synology zu tun? Im Regelfall lässt man die im gleichen (V)LAN. Ich hatte dir ja schon gesagt, in welches VLAN ICH was packen würde. Wenn du es dann aus Gründen der Paranoia anders siehst, ist das ja ok, aber dann musst du in der SE auch entsprechend alles anlegen.

Im Video ist auch zu sehen, dass er testet. Ich befürchte bald, dass machst du nicht. Du willst alles und alles auf einmal und das wird nix. Beginne in der SE erstmal die entsprechenden VLAN anzulegen UND AUCH die entsprechenden WLANs die auf die VLANs "zeigen". Wenn du das gemacht hast, kannst du mal noch einmal einen Screenshot reinposten, so wie du es schon einmal gemacht hast.

Firewall in der Synology dann aus und Regeln in der SE hast du angeblich auch keine geschrieben. Dann sollte alle Geräte mit allen kommunizieren können. Wenn das nicht geht, ist hier schon was anderes im argen.

MgmLAN (Unifi Geräte und DS)
VLAN 10 (Handys, Laptops, Drucker, Telefonanlagen und alle Hauptgeräte) -> ggf. auch im MgmLAN lassen
VLAN 20 (ggf. ioBroker selbst, Victron, Wallbox und der andere IoT kram)
VLAN 30 (alle Shellys)
VLAN 40 (Gast)

Welche IP hat der ioBroker eigentlich? Vielleicht macht für UNS auch mal eine Übersicht sind, welche Geräte hier mit welche IP und in welchem VLAN unterwegs sein. Und vielleicht es auch mal für dich Sinn. Ich habe zum Beispiel eine Excel Tabelle, wo meine IP drinstehen. Und ich habe auch fast alle statisch bzw. durch den DHCP reserviert vergeben.

Aber wenn du dir das mal auf Papier aufzeichnest, hast du es vielleicht leichter später die Regeln zu schreiben. Denn das musst du dann schon selbst machen.

P.S. Ich bin immer noch der Meinung, dass das 18er Netz hier fehl am Platz ist und schon immer war. Das ist nämlich genau das: Du willst abschotten und wieder nicht.