Shelly Vlan in den Docker ioBroker bekommen ?

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.866
Punkte für Reaktionen
765
Punkte
128
kann man eine einem Lan nur Zugriff auf Docker geben?
Vermutlich dann über die Firewallregeln in der Synology. Aber bringt - wie schon gesagt - erst einmal Struktur in der Netzwerk, BEVOR du AN DIESER Stelle schon wieder weiter machst.
 

ViperRt10

Benutzer
Mitglied seit
16. Aug 2009
Beiträge
1.500
Punkte für Reaktionen
31
Punkte
74
Jungs, danke, an dem Punkt bin ich, wo ich genau weiß, was ich will und das habe ich hier gefühlt tausend mal geschrieben. Die Gesamtstruktur habe ich, ja und auch aufgeschrieben, genauso das Video angesehen (tu mir da mit der Geschwindigkeit und englisch etwas schwer... und genau das was ich will, hat er nicht gezeigt, das muss ich wieder wo anders raus finden.... usw....)

ein letztes, dann gebe ich auf. VLan Shelly ist isoliert, ein Port 188x soll zum Lan MGMT geöffnet werden.
das betrifft die Unifi Firewall, muss das jetzt rausfinden, wie das geht. Ja schreiben, dass es geht ist schön, bringt mich leider nicht weiter.

in der Syno Firewall - kenne ich noch genauso wenig - eine Regel diesen Port ausschließlich zum Docker umzuleiten.

mir geht es hier um das Lernen, verstehen wie es geht, wird mich in Summe nicht wirklich sicherer machen, da genug andere Stellen Scheunentore sind, aber der Anfang es zu verstehen, darum geht es mir. Da bringt es mich aber nicht weiter, ja das geht zu sagen...
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.866
Punkte für Reaktionen
765
Punkte
128
VLan Shelly ist isoliert, ein Port 188x soll zum Lan MGMT geöffnet werden
Also sitzt der ioBroker im MgmLAN?
und genau das was ich will, hat er nicht gezeigt, das muss ich wieder wo anders raus finden
Hast du ioBroker und die Shellys in den VLANs? Hast du dein Handy/Laptop im MgmLAN? Firewallregeln NICHT gesetzt? Können die Geräte miteinander kommunizieren -> Ja oder Nein??? Wenn nein, dann ist hier was nicht richtig.

in der Syno Firewall - kenne ich noch genauso wenig - eine Regel diesen Port ausschließlich zum Docker umzuleiten
Das kommt als ALLER LETZTES, um das System ggf. noch weiter zu härten.
mir geht es hier um das Lernen, verstehen wie es geht, wird mich in Summe nicht wirklich sicherer machen, da genug andere Stellen Scheunentore sind, aber der Anfang es zu verstehen, darum geht es mir
Dann musst DU uns erstmal mit einer Übersicht helfen. Die 11 VLANs hast du ja wieder "eingestampft". Also wie sieht es JETZT aus. Das du die Übersicht hast, ist ja schön, aber wir haben sie nicht. Also noch einmal:

Welche VLANs hast du?
Welches Geräte sind da drin?
Und welches VLAN soll mit welchem kommunizieren dürfen?
Ja schreiben, dass es geht ist schön, bringt mich leider nicht weiter
Also bloß um das von vornherein klar zu stellen: Ich versuche dir schon zu helfen, aber die Regeln in deiner Unifi SE musst du schon selbst schreiben. Da gibt es genügend Video bei Youtube und noch mehr Anleitungen im Internet. Ein bisschen in die Materie einlesen muss DU DICH SCHON, wenn du es auch verstehen willst. Ich habe hier nicht wirklich Zeit dir einen 2 Stunden Grundkurs über die SE und Firewallregeln zu geben, wenn alles schon im Internet tausendfach erklärt wurde.

Also ich warte mal auf deine neue Übersicht mit der Erklärung wer, was, wohin. Und mal nicht gleich in jedem Gerät einen potentiellen Feind sehen. Die Kommunikation der Geräte muss stehen UND dann geht es an das härten.
ein Port 188x soll zum Lan MGMT geöffnet werden
Und das reicht schon mal nicht. Dann kann nämlich der Shelly nur MQTT Befehle an den ioBroker schicken. Der kommt aber nicht zurück. Die Freigabe des ioBrokers, deshalb vielleicht separates VLAN, ZUM Shelly muss ja auch stehen. Aber soweit sind wir noch gar nicht.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.866
Punkte für Reaktionen
765
Punkte
128
Und noch ein Tipp zum Verstehen:

Einfach mit hier reinschauen. Da gibt es genügend Einträge für das Grundverständnis. (y)

und hier speziell und hier
 
  • Like
Reaktionen: ViperRt10

ViperRt10

Benutzer
Mitglied seit
16. Aug 2009
Beiträge
1.500
Punkte für Reaktionen
31
Punkte
74
Ich habe und hatte nie 17 Vlans, ich habe IP-Gruppen innerhalb des Lan und 2 Vlan #17 #24
1 Lan MGMT - dort ist aktuell alles drin, in IP-Gruppen sortiert
2 Vlan Guest - Gastnetz, von der Unifi reglementiert und isoliert
3 Vlan Shelly - isoliert, nur Internet
und das ist auch schon alles.
dh die Syno mit Docker ist im MGMT, die Firewall muss den Port (beide Richtungen) für Mqtt 188x öffnen
(ich informiere mich natürlich auch im Unifi-Forum, habs aber noch nicht geschafft die FW-Regle perfekt hin zu bekommen. Ist ja nicht nur der Port, es soll auch der hostname verwendet werden und kein fixe IP usw...
sollte sich jemand hier mit Unifi auskennen, bitte ich darum)
in der Syno soll dieser offene Port nur zum Docker ioBroker gelangen, kein Zugriff auf die Syno und deren Inhalt selbst.

In der DSM - Sicherheit - Firewall - gibt es das default FW-Profil, dort nehme ich das "custom" das muss ich dann abändern. da kann ich Ports zulassen, dh ich muss vorher alle schließen?

# die Anleitung habe ich gesucht, die ackere ich gerade ab :)
 

Anhänge

  • Bildschirmfoto 2024-10-27 um 07.16.14.png
    Bildschirmfoto 2024-10-27 um 07.16.14.png
    122,7 KB · Aufrufe: 2
  • Bildschirmfoto 2024-10-27 um 07.16.24.png
    Bildschirmfoto 2024-10-27 um 07.16.24.png
    118,3 KB · Aufrufe: 3
  • Bildschirmfoto 2024-10-27 um 07.21.37.png
    Bildschirmfoto 2024-10-27 um 07.21.37.png
    175,3 KB · Aufrufe: 3
  • Bildschirmfoto 2024-10-27 um 07.22.05.png
    Bildschirmfoto 2024-10-27 um 07.22.05.png
    45,7 KB · Aufrufe: 3
  • Bildschirmfoto 2024-10-27 um 07.25.35.png
    Bildschirmfoto 2024-10-27 um 07.25.35.png
    55,8 KB · Aufrufe: 3
  • Bildschirmfoto 2024-10-27 um 07.26.18.png
    Bildschirmfoto 2024-10-27 um 07.26.18.png
    58,7 KB · Aufrufe: 2
  • Bildschirmfoto 2024-10-27 um 07.26.33.png
    Bildschirmfoto 2024-10-27 um 07.26.33.png
    59 KB · Aufrufe: 2

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.866
Punkte für Reaktionen
765
Punkte
128
Warum hast du jetzt schon wieder die Shellys isoliert? Außer dem Gastnetz brauchst du in der Grundeinstellung erstmal nix zu isolieren. Das willst du doch dann mit den Regeln machen. Ein geht bei den Einstellungen der SE erst einmal um den Grundaufbau. Du haust dir hier schon wieder Stöcke in deine Beine.

Auch das Multicasting-Zeug würde ich NICHT VON ANFANG einstellen. Das ist ALLES feintuning ZUM SCHLUSS. Wenn du so vorgehst, bekommst du nie Struktur rein, weil vorher schon Fehler in der Kommunikation da sind.

Auch die Firewallregeln der Synology kommen GANZ ZUM SCHLUSS. Du weißt doch gar nicht, warum dann eigentlich Fehler auftreten, wenn du an allen Schrauben gleichzeitig drehst!!!
 
  • Like
Reaktionen: ViperRt10

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.866
Punkte für Reaktionen
765
Punkte
128
Wenn ich das richtig interpretiere, isoliert die SE bereits das Shelly Netz. Die SE arbeitet, glaube ich, von oben nach unten ab. Somit werden die Shellys NIE kommunizieren dürfen, außer mit der Cloud von Shelly.

VLAN Shelly.jpg
 

ViperRt10

Benutzer
Mitglied seit
16. Aug 2009
Beiträge
1.500
Punkte für Reaktionen
31
Punkte
74
bei mir ist jetzt alles aus bzw. in Grundstellung, alles fkt., jeder hat zu jedem Zugriff.
der erste Schitt wäre mM die FW-Regel in der Unifi, Vlan Shelly zu isolieren bzw. nur den Port durchlassen.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.866
Punkte für Reaktionen
765
Punkte
128

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.866
Punkte für Reaktionen
765
Punkte
128
Geht es voran? Kommst du zurecht? Helfen die Hinweise aus Unifi Forum?
 

ViperRt10

Benutzer
Mitglied seit
16. Aug 2009
Beiträge
1.500
Punkte für Reaktionen
31
Punkte
74
hab nicht so viel Zeit dafür wie ich gerne hätte, kA ob ich heute weiter machen kann... ist ja alles sehr zeitintensiv
 
Zuletzt bearbeitet von einem Moderator:

ViperRt10

Benutzer
Mitglied seit
16. Aug 2009
Beiträge
1.500
Punkte für Reaktionen
31
Punkte
74
das wäre jetzt mein Plan:

Lan - Allgemein 192.168.0.0/24 Gateway: 192.168.0.1 255.255.255.0. DHCP .100-254
1. VLan 10 - MGMT 10.10.0.0/16 Gateway: 10.10.0.0.1 255.255.0.0 kein DHCP
2. VLan 20 - IOT 10.20.0.0/16 Gateway: 10.20.0.1 255.255.0.0 kein DHCP
3. VLan 30 - Shelly 10.30.0.0/16 Gateway: 10.30.0.1 255.255.0.0 DHCP .100-254
x. VLan - Gast 172.16.0.0/24 Gateway: 172.16.0.1 DHCP .2-254
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Warum machst du da so verschiedene Subnetze ?
Vorallem warum nen Claas B ? Wie viele tausend Geräte hast du denn?
 

ViperRt10

Benutzer
Mitglied seit
16. Aug 2009
Beiträge
1.500
Punkte für Reaktionen
31
Punkte
74
damit ich gruppieren kann und nicht alle Geräte in einer Wurscht hängen
nein, ich habe keine tausend, aber sehr viel verschiedene die aber zusammengehören
Bsp. Victron, da sind die Stromzähler, Cerbo, RS485, .... die bekommen dann zBsp. 10.10.10.x
Bsp. PC, Macs... die bekommen 10.10.20.x
usw...
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
ja du hast aber geschrieben 10.10.0.0 mit ner 255.255.0.0. er Maske . Das ist nen Class B Netz .
Das macht man nur wenn man wirklich viele Geräte im Netz hast . und ni nur 100 oder 200 .
Da hast ne echt große Broadcast Domain.

Wenn du schon sortieren musst .dann machst doch dir einfach
Vlan 1 192.168.1.0
Vlan 10 192.168.10.0
Vlan 11 192.168.11.0


Und alles mit ner 255.255.255.0 Maske
 
  • Like
Reaktionen: Ronny1978

ViperRt10

Benutzer
Mitglied seit
16. Aug 2009
Beiträge
1.500
Punkte für Reaktionen
31
Punkte
74
das würden unzählige VLans sein, meine IP-Gruppierung ist innerhalb eines VLans
die Unifi und die Geräte die ich habe, sind mW sogar auf 4 oder 5 VLans begrenzt
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Aha da wirst noch viel Spaß haben
 
  • Haha
Reaktionen: Ronny1978

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.866
Punkte für Reaktionen
765
Punkte
128
hab nicht so viel Zeit dafür wie ich gerne hätte
stell dir mal vor, du hättest es bei den VLANs in Post #13 gelassen. ;)

Ich muss aber @metalworker recht geben: Ich hätte auch die 192.168. er Netze für die VLANs gewählt und dann mittels DHCP fix gesetzt. Sonst kannst du schöne Bereiche bilden. Die 10.10.er Netze behalte ich mir für Wireguard vor. Auch hier habe ich wieder geteilt. Zum Beispiel:

192.168.1.2 - 192.168.1.50 statisch OHNE DHCP
192.168.1.51 - 59 meine Geräte
192.168.1.60 - 69 die Geräte meiner Frau

192.168.10.2 - 192.168.10.50 wieder statisch
192.168.10.90 - 110 alle Shelly
192.168.10.111 - 130 alle Tasmota
192.168.10.131 - 150 alle Gosund und der China Kram
usw.

10.10.10.10 - 19 Wireguard alle meine Geräte
10.10.10.20 - 29 Wireguard alle Geräte meiner Frau
usw.

Ich hoffe, es ist klar rausgekommen, was ich will.
sehr viel verschiedene die aber zusammengehören
Wie viele IoT Geräte sind es denn IM WLAN zusammen? Ich habe mit Servern und Unifi APs/Switchen insgesamt 95 (zu Weihnachten insgesamt 110) Geräte und dachte, dass wäre schon viel? Sind das bei dir soviel mehr???
 

ViperRt10

Benutzer
Mitglied seit
16. Aug 2009
Beiträge
1.500
Punkte für Reaktionen
31
Punkte
74
Nein und nochmal, mehr als die 3 oder 4 VLans mache ich nicht, habe ich auch nie gesagt.
Ihr wollt das mit der IP-Gruppierung nicht (verstehen) ? was ist das Problem, ich sehe jedenfalls keines.
Im Prinzip machst du es ja, nur in einer Wurscht 100-130, 130-160,... ich möchte es mit ..1.x und ..2.x
was soll das Thema daran sein ?
Was macht den Unterschied ob ein Vlan /24 oder /18 ist... ?
 

ViperRt10

Benutzer
Mitglied seit
16. Aug 2009
Beiträge
1.500
Punkte für Reaktionen
31
Punkte
74
Morgen, ist euer Schweigen eine stille Zustimmung?

das sind jetzt aktuell meine Überlegungen: Allgemein wird dann reduziert, sobald alle Geräte zugeordnet sind.
werde jetzt mal die Wurscht bedienen, alles nacheinander, mal sehen ob mir das gefällt...
 

Anhänge

  • Bildschirmfoto 2024-10-29 um 06.41.40.png
    Bildschirmfoto 2024-10-29 um 06.41.40.png
    89,9 KB · Aufrufe: 5
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat