Shelly Vlan in den Docker ioBroker bekommen ?

[Ronny1978]

Hallo @ViperRt10 ,

ich weiß zwar nicht ganz genau wie du das meinst bzw. ob man Docker dahin "trimmen" kann. Aber ich glaube schon. Ich habe meine 2 Anschlüsse (DS918+) wie folgt aufgeteilt:

1. NIC 192.168.1.220
2. NIC 192.168.10.220 (VLAN)

Somit kann ich steuern, dass die normalen Arbeiten (meiner Frau/Kinder), also Word, Excel, Fotos usw. über die 192.168.1.220 gehen, denn so sind auch die Netzlaufwerke eingebunden, und das Anschauen der Filme über Jellyfin dann über die 192.168.10.220. Ist eine "Art Flusssteuerung".

So kannst du, wenn du das brauchst, auch die Firewall Regeln besser steuern. Ich könntest somit in der Firewall bei der IP 192.168.10.220 das DSM sperren und bei der 192.168.1.220 durchlassen. Ich habe zwar schon die Begrenzung der Apps und Ordner beim Benutzer drin, aber das wäre dann noch einmal eine zusätzliche Sperre.

Ich hoffe, ich konnte dir helfen und habe dich halbwegs richtig verstanden.

 

[metalworker]

Also Viper ,

als Admin von nem Größeren IT Netzt kann ich dir sagen , übertreib das mit den VLANS nicht.
Ich hab bei uns in der Firma nur 9 VLANS , und wir haben insgesamt über 500 Netzwerkgeräte.

Du musst dann alles über deine Unify Laufen lassen ,und dort massiv regeln schreiben.

Und nur für die Ordnung bei den wenigen Geräten die du hast , ist das eher nicht sinnvoll.


Du kannst bei der Synology nicht sagen das nen LAN Port nur für Docker ist. Über diesen Lanport ist auch immer die Synology direkt zu erreichen.
Maximal kannst halt über die DSM Firewall das blockieren.
Das was du willst könntest eher dann mit nem Proxmoxxo und co machen.

 

[Ronny1978]

übertreib das mit den VLANS nicht

dort massiv regeln schreiben

Hatte ich auch schon gesagt. Siehe Post #14 . Aber da bin ich mit meiner Ansicht wenigstens nicht alleine.

 

[ViperRt10]

Jungs, ich habe keine 100 VLans. aktuelle sind es 3 und mehr als 5 werden es nicht.
Ich gruppiere "innerhalb" des Lan (später einem Vlan) die Geräte.
Was ich suche ist eine sichere Verbindung von einem VLan (Shelly) zu meinem Docker (ioBroker), ohne dass die Syno offen ist für unbefugte Zugriffe.
Wenn ich euch da jetzt richtig interpretiere, wäre das folgender Weg:

1) 4. Lan Port der Syn erhält 192.168.130.199
2) in der Syno die Firewall Regel so einstellen, dass dieser 4. Lan Port nur zum Docker kommt
3) im Docker Netzwerk diesen Lan Port freischalten bzw. anlegen
4) im Container ioBroker die Netzwerkeinstellungen auf Bridge & die neue Lan-Schnittstelle

der ioBroker benötigt natürlich auch die std. Bridge um mit der Außenwelt und anderen Geräten zu kommunizieren. Kann durch die Verbindung zum neuen Lan.Port dann ein Bösewicht über diese Verbindung bei mir ins Lan?
Ja schon klar, hier suche ich das Kaninchen, mein restl. Netzwerk wird auch nicht so sicher sein, möchte es nur verstehen und wissen.

ich probiere dann man das mit der FW in der Syn, mal sehen wie weit ich komme.

 

[ViperRt10]

bei der Eingabe vom Docker Netzwerk, komm ich gleich nicht weiter, was soll hier eingestellt werden?

habs mal so eingestellt:

auch kann im Container nicht ein 2. Netzwerk angegeben werden. tja.

 

[ViperRt10]

Nein, im Docker muss nichts gemacht werden.

OK, es entpuppt sich gerade als ein Problem.
Entweder mqtt ist aktiv oder die Cloud.... WTF
das geht natürlich gar nicht, von der Shelly App muss das Teil bedienbar sein, aber aktiviert man Mqtt ist diese Verbindung aus.
Das ist ein grad ein Killer...

 

[Ronny1978]

Entweder mqtt ist aktiv oder die Cloud

Das war aber bei Shelly schon immer so. Ziel von einem Heimautomationssystem ist ja:

1. Mehrere System komfortabel zu verknüpfen.
2. Weniger Cloud.

Ich habe im Moment im Shelly selbst, kannst du ja über das Webinterface einstellen, auch noch die Cloud aktiv. Aber perspektivisch gehe ich hier auch zu MQTT über bzw. weder über MQTT noch Cloud. Über Home Assistant steuerst du ja intern über die IP.

 

[Ronny1978]

von der Shelly App muss das Teil bedienbar sein

Aber warum? Ziel ist es doch, wie schon gesagt, ALLES über das HAS zu steuern (bei dir ioBroker). Du willst doch nicht jedes Mal die Shelly App öffnen, um Shelly Geräte, Velux App um Velux Geräte usw. zu steuern, sondern NUR ioBroker. Oder nicht? Wozu dann die Shelly Cloud und wozu ZWINGEND die App???

 

[metalworker]

Das Routing zum Port des Containers machst nicht mit der Firewall der Synology sonder mit deiner zentralen Firewall .

Du machst am Ende ne Portweiterleitung vom Vlan zur Synology

 

[ViperRt10]

Das Routing zum Port des Containers machst nicht mit der Firewall der Synology sonder mit deiner zentralen Firewall .

Du machst am Ende ne Portweiterleitung vom Vlan zur Synology

hab aktuell keine Verbindung zwischen Shelly und ioBroker.
in der Firewall von Unifi hab ich noch nichts eingestellt, dachte die Kommunikation ist generell offen und muss verschlossen werden

 

[metalworker]

Das kommt drauf an wie du das eingestellt hast

 

[ViperRt10]

Das kommt drauf an wie du das eingestellt hast

tja, da bin ich dann noch DAU
die Syno hat auf Lan4 eine IP aus dem Shelly Vlan
Shelly Vlan ist aktuelle nicht isoliert
vom Laptop aus dem MGMT Lan kann ich den Shelly Plug S pingen, wo auch die anderen Lans der Syno sind.
ping aus dem Docker ioBroker fkt. nicht, unreachable - das hat aber schon mal fkt. ?
Netzwerk vom Docker ist host, also alles was die Syno kann
stelle ich die Firewall in der Syno aus, kein Unterschied

es sollte alles miteinander kommunizieren können, dh MGMT Lan zu allen Vlan und umgekehrt. keine Firewallregel die da etwas verbietet (außer Gast).
Vom Laptop aus fkt. der Ping, vom Docker der Syno nicht.

# was gefunden, wenn Lan4 eine IP im Shelly VLan hat, fkt. der ping nicht,

 

[Ronny1978]

Schau mal hier https://www.synology-forum.de/threa...e-lan-schnittstelle-binden.100407/post-832905

 

[ViperRt10]

OK, aber das will ich nicht, der Container ioBroker muss ja auch ins MGMT Lan kommen.

die Lan 4 in die IP des Shelly Vlan war jetzt ein Problem, ohne fkt. der Ping.
kA warum das so ist

jetzt isoliere ich in der Unifi das Vlan Shelly wieder
könntest du mir zeigen wie ich die Firewallregel einstellen muss?

 

[Ronny1978]

ioBroker muss ja auch ins MGMT Lan kommen

Jetzt frage ich mal blöd: Du willst unbedingt ISOLIEREN, um "böse" Buben fernzuhalten und dann soll ioBroker frei ins MgmLAN??? Wozu der Aufwand dann?

 

[ViperRt10]

das MGMT Lan ist mein allgemeines Lan, dort tummelt sich alles was ich brauche und haben will.
die Shelly's, würde ich gerne isolieren. dh die dürfen ins Internet funken, aber nicht auf mein MGMT.
so, wenn ich aber aus dem ioBroker den Plug S schalten will, tja, was mach ich...

ich habs jetzt mal, dass ioBroker per mqtt mit dem Shelly spricht - Scheunentor offen.
wenn ich jetzt das Shelly Vlan isoliere, muss ich eine Tür öffnen
dh eine Firewallregel einfügen, die es erlaubt auf die Syno mit Port: 188x zu zugreifen
ist das dann wieder Scheunentor offen?

 

[Ronny1978]

Also, dann brauchst du bei der Synology auch keine andere IP vergeben, wenn ioBroker ins MgmLAN soll und darf. Ich bin mir nicht sicher, ob man im Container Manager noch Einstellungen für das Netzwerk tätigen kann. Ansonsten:

DS 192.168.1.xxx MgmLAN
io Broker wäre mit host auch 192.168.1.xxx / Bridge soll besser und isolierter sein, aber ich habe die Einstellung nicht vor Augen und installieren tue ich den CM jetzt nicht erst
Shelly können ins VLAN 192.168.10.xxx

Unifi -> der Zugriff ioBroker auf VLAN Shelly und ggf. zurück muss laufen
Unifi -> der Zugriff MgmLAN auf ioBroker und zurück muss laufen
Unifi -> ggf. Zugriff von Laptop / PC auf VLAN Shelly -> nicht zwingend zurück auch einrichten

Ich kann noch nicht richtig identifizieren, wo das Problem bei der liegt, wenn jeder mit jedem "reden" darf?

 

[Ronny1978]

dass ioBroker per mqtt mit dem Shelly spricht

Nee eigentlich ist das Scheunentor ja zu. Aktivierst du MQTT im Shelly, ist die Cloud "tot".

 

[ViperRt10]

die Sache ist eigentlich ganz einfach
ioBroker tut alles, kann alles, braucht alles
die Shelly's sind eine Spielerei und sollen mit dem ioBroker kommunizieren, aber sollten nicht ins MGMT Lan kommen.

die Shellys sind "unhöflich", lt. meiner Unifi greifen sie auf andere Geräte im Lan zu... die Unifi blockt das ab, ist für mich aber auch ein Grund sie nicht mehr frei laufen zu lassen.

 

[Ronny1978]

dh eine Firewallregel einfügen, die es erlaubt auf die Syno mit Port: 188x zu zugreifen
ist das dann wieder Scheunentor offen

Also das halte ich für etwas "paranoid". Die Shelly dürfen nur mit Port 1883 in MgmLAN zum ioBroker. Selbst wenn dein Shelly gehakt wird, müsste ja der Haker böse Befehl per MQTT absetzen, oder?