Eigenes IoT VLAN

    Hallo an alle,


    Bin ganz neu hier im Forum und möchte mein Smarthome mehr auf Apple/Siri ausbauen. Stand der Dinge ist, dass ich sämtliche Lampen und Raffstoren mit Shellys smart gemacht habe und diese bis dato mit der Shelly App bedient habe. In den letzten Wochen hab ich mir Homey angesehen, jedoch denke ich dass ich mit Apple Homekit für meine Ansprüche gut auskommen sollte, da meine Frau nur Siri als Voice Control akzeptiert und keine Alexa oÄ :D Meine Frau und ich benutzen beide iPhones und iPads und am WE hab ich mir den ersten Homepod Mini bestellt. Mir ist klar dass ich mit Homebridge die Shelly‘s ins AppleHome integrieren muss. Bevor ich das alles angehe, werde ich aber noch mein Netzwerk aufbauen. Plan dabei ist ein Unifi Cloud Gateway Max, sowie Switch und 2 APs im Haus zu installieren.


    Was ist den momentan Stand der Dinge bei einem IoT VLAN - ich hab versucht in diesem Forum und auf Reddit zu lesen, aber ganz schlau bin ich nicht geworden und zT sind die Einträge schon älter.


    Also meine Frage:

    Macht es für euch Sinn die IoT Geräte in einem eigenen VLAN zu haben? Ist die Kommunikation zwischen Homepod/Siri im Haupt-VLAN und den Geräten im IOT VLAN nach wie vor kompliziert oder hat sich da in letzter Zeit was getan und funktioniert das gut? Oder findet ihr dass das alles quatsch ist und einfach alles in ein Netzwerk zusammen laufen sollte?


    Danke für eure Hilfe :)

    Das kommt darauf an, was genau Du bezwecken möchtest. Ich geh mal davon aus, es geht um das Thema Sicherheit. Hier stellt sich die Frage, vor was willst Du Dein Netzwerk schützen?

    Willst Du es vor Zugriff Dritter schützen, die genehmigten Zugriff auf Dein physisches Netzwerk haben (bsp. Gäste-WLAN, Kinder,...) oder willst du es vor Zugriff von Aussen schützen (Fremde ohne genehmigten Zugriff)?

    Zugriff von Aussen kannst Du mMn schon ausreichend mit guten Passwörtern und Firewall. Da fände ich persönlich jetzt übertrieben eine weitere Sicherheitsstufe einzubauen.

    Aber eben, das kommt auf Dein (und Deiner Frau) persönliches Sicherheitsempfinden an. Wenn Ihr Euch damit wohler fühlt, dann mach es ...

    Also ich möchte für die Gäste ein eigenen Guest-VLAN haben und einerseits Schutz gegen außen und andererseits möchte ich dass alles etwas aufgeräumter wirkt und mehr Struktur hat. Wenn das aber zu Lasten von Kompatibilität und Stabilität geht, muss ich mir das natürlich überlegen.


    Abends werde ich mir mal das Video anschauen:

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    Vielleicht werde ich dann schlauer..


    Die Grundsatzfrage ist ob die Kommunikation von einem Homepod im Main-VLAN und zB den Shellies im IoT VLAN problemlos einzustellen ist.

    Das wurde ja hier und da auch schon mal diskutiert. Da du schreibst du hast hier und auf Reddit schon was dazu gelesen aber nicht was genau verlinke ich noch folgendes Thema: Apple HomePod Mini und WLAN SSID VLAN und Subnet und die dort von mir velinkten Seiten im ersten Beitrag von mir.

    Auch wenn Beiträge "etwas älter" sind hat das erstmal wenig mit der Aktualität zu tun. Evtl. hat sich seit dem einfach nichts geändert (Weder zum guten noch zum schlechten hin).

    Langer Text - so ganz verstanden habe ich dich nicht.


    Du hast nur Shelly?

    Du willst sie mit Home steuern?


    Homebridge mit Shelly Plug.

    Shelly Firmware.


    Das wären die zwei möglichen Lösungen.


    Walta

    Ich hab Shelly und bis jetzt die Shelly App genutzt. Nun möchte ich tiefer in das Smarthome einsteigen und da bietet sich für meine Bedürfnisse Apple Home an, da ich erstens über den Homepod einen Hub habe und zweitens möchte ich gerne mit Siri diverse Szenen und Automationen ablaufen lassen. Weitere Homekit-Geräte werden folgen (Bewegungsmelder, Light-Strips, Steckdosen,…)


    Meine Frage ist, ob es gängige Praxis ist mit mehreren VLANs zu arbeiten oder ob es dadurch zu Problemen mit dem Homepod kommen kann wenn das in zwei separaten VLANs läuft. Dass man das am Router natürlich freigeben muss ist mir klar. Möchte wissen ob das jemand so betreibt oder ob das ein Schuss ins Knie wird. Wenn ich das Smarthome aufbaue möcht ichs von Anfang an gscheit machen und nicht dann immer hinten nach ausbessern. Also wenn möglich, dann wäre mein Wunsch: Haupt-VLAN, Guest-VLAN, IoT-VLAN wobei hoffentlich die Geräte untereinander komptabel sind.

    Also bei mir läuft das alles über das gleiche WLAN. Die smarten Geräte funken mit 2,5ghz und die Rechner meistens mit 5 ghz. Das läuft stabil. Gästeneztwerk kann ich am Router nach Bedarf einschalten.

    Wichtig ist eine gute Abdeckung. Das hab ich mit ein paar 2,5 ghz Repeater gemacht.


    Walta

    Vorsicht: VLAN ist nicht WLAN.

    Zitat von schaddudel

    Meine Frage ist, ob es gängige Praxis ist mit mehreren VLANs zu arbeiten

    VLAN zuhause ist es wohl in den seltensten Fällen Praxis. Ich weiß nicht mal, ob das mit HomeKit geht. Einfach ins Blaue geraten würde ich sagen, dass es Probleme mit der Namensauflösung über den mDNS geben könnte. Du hast bei HomeKit kein Log, es ist nahezu unmöglich, Probleme auf Apple-Seite zu debuggen.

    Moin,


    nach meinen Verständnis funktionieren Namensauflösung und Kommunikation im Homekit wie Sschuste schreibt über mDNS.


    Auch bei aktivierten mDNS sind die Netzwerksegmente, also deine VLANs, dabei Grenzen die nicht von alleine überwunden werden.


    Ich glaube Du musst dafür dann einen mDNS Reflector verwenden. Den dann aber so konfigurieren, dass mDNS zwischen Deinem iot Vlan und dem Vland von den Steuerzentralen funktioniert (und nicht über alle Vlans).


    Mit Unifi sollte sowas gehen. Ich würde ab Deiner Stelle nochmal mit den Stichworten Unifi, Homekit und mDNS Reflector (möglicherweise auch Repeater?) die Google-Suche oder ChatGPT bemühen :)

    Ich denke auch nicht, dass das "gängige Praxis" ist, aber ich meine, hier geistern ein paar Leute rum, die das einsetzen (ich gehöre nicht dazu). Es hat sich nur noch keiner von denen hier im Thread gemeldet. Grundsätzlich geht es. Ist halt erstmal Konfigurationsaufwand, aber du hast schon recht: Wenn das Smarthome sich erst im Aufbau befindet, wäre *jetzt* der richtige Zeitpunkt. Wichtig ist, dass die Hubs sich im "Core" oder "Main" VLAN befinden. Und dann halt Firewallregeln -schreibst du ja aber auch selbst. Ich fand den Artikel hier ganz gut. Warum ich es selber nicht nutze? Wenn der Kram erstmal so läuft, wie es jetzt ist, dann ist sowas bei mir immer ein Projekt für "sollte ich irgendwann mal machen". ;)

    walta Ich mache das genau so wie du oder zumindest ähnlich. Getrennte SSIDs und gut ist. Erleichtert einem das Leben bei smarten Geräten und hindert unsere Macs daran, das 2,4 GHz Netzwerk als "stabiler" einzustufen in Bereichen, wo Wände schräg durchdrungen werden müssen, 5 GHz aber trotzdem deutlich performanter ist .

    Mit UniFi ist das kein großes Problem, man muss nur mDNS in den entsprechenden Netzwerken (VLAN-ID) in den Multicast-Einstellungen erlauben. Dadurch finden sich alle Geräte wie in einem einzigen Netzwerk. Im Gastnetzwerk sollte das natürlich deaktiviert sein 😉.


    Schlage mich aktuell mit ähnlichem Problem rum und zich Videos angeschaut komme ich zu einem Problem. Habe ca 35 shellys, homekit, iobroker usw auf raspi inkl unifi Server aufm Raspi. Dazu 3x Unifi Access points. Wenn ich das alles richtig verstanden habe, müsste es ja so sein, dass der raspi inkl den ganzen shellys in ein eigenes VLAN und einer eigenen SSID gehört. Damit man aber die Homekit Sachen steuern kann, braucht es ja einen Homepod oder Apple TV. Die müsste sich auch dann in diesem Netzwerk befinden. Da sich dieses Geräte unter den WLAN's nicht unterhalten dürfen is ja dann quasi ein Airplay auf eine Apple TV nicht möglich. Ausser man besorgt sich eben nur eine Homekitfähigen Zentrale nur für diesen Zweck. Ich hätte 2x ATV und 2x Homepods könnte man ja einen dafür benutzen. Ausserdem wäre es ja so, dass jedesmal wenn ich mich am Raspi einloggen möchte das WLAN wechseln müsste. Mein Raspi sowie MacBook laufne über WLAN.


    Grundsätzlich muss ich sagen, ich habe keine Probleme bei mir mit den WLAN, nur eine SSID 2,4Ghz, 5GHz und 6Ghz bin aber immer offen für Optimierungen. Vielleicht mache ich mir da einen zu großen Kopf um den ganzen Quatsch. Allein schon die ganzen Shellys neue SSID vergeben usw. ist schon Aufwand. Wenn es danach nicht läuft darf man ja alles wieder rückgängig machen.


    Was ja auch geht 3 SSID's eröffnen, eines privat, IoT und Gast. Man kann kann "Isolate Netwotk" anklicken dann kommt man auch nicht auf das andere Netzwerk. Wofür ein VLAN überhaupt gut sein soll verstehe ich nicht so ganz. Vermutlich macht das erst Sinn ab einer gewissen Anzahl von Geräten oder wenn man Gruppen erstellen möchte für die Gewisse Bedingungen gelten sollen. In meinem Fall, 2 Personen Haushalt ca 50 WLAN clients. Da reicht ja eine IP.


    MAcht es denn einen Unterscheid fürs WLAN ob ich ein 2,4GHz aufmache und dort alle IoT reinpacken und ein separates 5Ghz für alle anderen Sachen? Ausser dass evtl übersichtlich er ist aber gibt es noch was? Es heisst ja die ganze IoT senden die ganze Zeit und verursachen eine Art Last im Netztwerk. Die Frage ist, wird das durch 2 Wlan's besser von einem AP oder ist das egal oder ist das zu vernachlässigen?

    Einmal editiert, zuletzt von waterchill ()

    Zitat von waterchill

    ich habe keine Probleme bei mir mit den WLAN


    Warum willst Du dann etwas ändern?


    Zitat von waterchill

    Wofür ein VLAN überhaupt gut sein soll verstehe ich nicht so ganz.


    Mit VLANs unterteilt man ein Netzwerk in getrennte Segmente - weniger aus Gründen der Verfügbarkeit, als vielmehr zu Gunsten der Sicherheit. In der Regel nimmt man einen "Managed Switch", da Hardware für "Consumer" dafür kaum Unterstützung bieten. Auch das vielbesungene Gäste-Netzwerk der FritzBox stellt kein VLAN zur Verfügung! Trotzdem ist es hilfreich, um nicht jedem netzbegehrlichen Besucher gleich Zutritt in die private Sphäre gewähren zu müssen.


    Was also macht man, wenn kein teurer und stromhungriger "Managed Switch" angeschafft werden kann, man aber die Unverletzlichkeit der Rechner im Home-Office gegenüber allerlei fragwürdiger IoT-Gerätschaft made in Schlitzohristan sicherstellen muß oder schlimmer noch sich vor den den neugierigen Experimenten adoleszenter Bratzen schützen will, die sich Dank halbstarker YT-Videos plötzlich mit Hoody bekleidet als "Häggor" definieren? Man könnte zum Beispiel ne abgelegte FritzBox nehmen und diese hinter die primäre Fritte hängen. Hier ist beschrieben, wie durch die Kaskadierung von Fritzens Schachteln so eine Art VLAN für Arme entstehen kann. Die primäre Box ist dann DMZ. Von dort kommt man auf das innere Segment nicht drauf, umgekehrt aber schon. Natürlich muss alles, was sich auf Homekit reimt in die DMZ. Bei mir hängen nur die Rechner, die Drucker und ein Server innen, die iOS, TVOS und sonstig unwichtige Gerätschaft befindet sich außen. Da darf dann auch mal was schief gehen, das wäre mir weitestgehend egal.


    Zitat von waterchill

    MAcht es denn einen Unterscheid fürs WLAN ob ich ein 2,4GHz aufmache und dort alle IoT reinpacken und ein separates 5Ghz für alle anderen Sachen?


    Ist insofern sinnvoll, als daß Dein IoT-Geraffel von der größeren Reichweite des 2,4er Netzes profitiert, den geringeren Durchsatz aber problemlos verkraftet.


    Zitat von waterchill

    Es heisst ja die ganze IoT senden die ganze Zeit und verursachen eine Art Last im Netztwerk.


    Natürlich wird da ständig hin- und hergepingt. Sofern ein Netzwerk aber ordentlich funktioniert, sind die paar Bytes im Vergleich zu Backups oder Videostreams nur Peanuts. Fast alle meine Sensoren und Aktoren sind per WLAN angebunden. Geschätzt drölfzig Stück. Keine Probleme.