Eigenes Netzwerk für smarthome

  • Hi,


    ich lese immer mal wieder Beitraege in denen Nutzer den Mehrwert von eigenen Netzwerken fuer iot devices im Heimnetzwerk erklaeren. Da mein Netzwerkwissen sehr oberflaechlich ist, wollte ich hier mal nachfragen, ob ihr das auch habt? Wird das Ganze am Ende stabiler oder schneller? Gibt es Probleme beim Erkennen der devices untereinander? Ist es grundlegend einfach sicherer? Ueber input oder praktische Beispiele waer ich froh um zu sehen ob das einen wirklichen Mehrwert hat.

  • Ich habe es noch nicht, werd es aber bald auch bei mir umsetzen. Stabiler ist das am ende nicht denke ich, hat aber den charme, dass Besucher oder Geräte die untereinander nicht kommunizieren sollen, sich auch nicht gegenseitig sehen.

    Stichwort ist hierbei VLAN.


    Geräte die sich untereinander erkennen müssen dann natürlich in die gleiche VLAN ID haben bzw. Zugriff drauf haben.


    Hardwaretechnisch möchte ich dabei auf die Unifi Produkte setzen, da man eine gute Software hat, die alle Netzwerkgeräte (von Unifi) gleichzeitig verwaltet.

  • Ich hab es zwar auch noch bin, bin aber dabei die Grundlagen gerade dafür zu schaffen.

    Im 1. Step hat mein Haus eine eigene AppleID über die alles läuft.

    Im 2. Step werde ich die Netze trennen


    Die eigene AppleID für Haus ist ein kontroverses Thema und nicht unbedingt notwendig. Für uns zu Haus ist es aber genau das Richtige.


    Durch die Trennung der Netze soll das Sicherheitslevel erhöht werden.


    Mein Netzwerk besteht komplett aus UniFi Komponenten.


    liebe Grüße


    Torben

  • Da mein Netzwerkwissen sehr oberflaechlich ist

    Meins ist nicht ganz so oberflächlich, aber auf den ersten Blick wüsste ich nicht, wie man das mit Standard-Netzwerkequipment (sprich: dem Zeugs, dass du von deinem Provider hingestellt bekommen hast) hinbekommen will.

  • Gründe so etwas zu wollen gibt es ja genügend.


    Angefangen von dem IOT device mit Cloud Anbindung bei dem man nicht will das es mit Zuhause telefoniert, z.B. Koogeek, Ring oder Xiaomi Produkte vom Roboter bis hin zum sprachgesteuerten Assistenten.

    Hier reicht evtl. eine restrikte Port Begrenzung welche ja definitiv mit Standart-Provider-Netzwerkequipment umsetzbar ist


    Bis hin zur absoluten Angst vor gruseligem Eigenleben mancher IOT devices (siehe Beispiel: Malware Mirai auf Raspberry Pi ) wo es dann vielleicht nicht mehr reicht nur den Internet Port zu sperren sondern man eben auch vermeiden möchte, dass das device die anderen Geräte wie Büro PC und Co. bestalkt.



    Für mich reicht es aus alle meine IOT devices die keine Cloud benötigen einfach vom Internet zu kappen.

    Der Zugriff von aussen erfolgt ausschließlich über Homekit und damit icloud

    Zu meiner ungesperrten IOT Cloud Geräte Liste gehört demnach:

    # Apple TV

    # Frau Alexa

    # Herr Yamaha Musiccast


    Ist eh schon sehr viel Vertrauen in die drei und mehr will ich auf keinen Fall! Billig IOT devices die ne eigene Cloud benötigen alla Steckdose, LED Leiste und Co. kommen bei mir sicher nicht in die Bude

  • sschuste : Stimmt, mit den Standardequipment könnte es schon ziemlich schwer werden.

    Auch muss ein bestimmter Wissensstand was Netzwerke angeht vorhanden sein.


    Genau in dieser „Lücke“ versuchen jetzt ja einige Hersteller mit Security Routern der Markt zu erobern.


    Wie z.B.:


    https://www.avira.com/de/safethings


    https://www.f-secure.com/en/web/home_global/sense


    https://www.getcujo.com/setup/


    liebe Grüße


    Torben

  • Ich bin seit mehreren Monaten dabei, die Kreise zu trennen und gegen das Internet abzusichern.

    Ziel ist die Nutzung gebräuchlicher Geräte wie Fritz!Box 7590 und Speedport Pro.

    Da ich den eBlocker mit VPN verwende, hat sich das Experiment etwas hingezogen, die Beeinflussungen auszuschalten.

    HomeKit läuft zurzeit über die Fritz!Box per Ethernet und WLAN mit eigenem Routing hinter dem Speedport Pro.

    Zu HomeKit gehören natürlich auch AppleTV und HomePod, die entsprechende zuverlässige Verbindungen brauchen.

    Macs, iPads und iPhones hatte ich zuerst über das WLAN/ Ethernet des Speedport laufen. Hier gab es aber Probleme.

    Der eBlocker beeinflusste auch HomeKit, obwohl er natürlich ausgenommen war...

    Da sich das Gastnetz des Speedport leider nicht umfangreich konfigurieren lässt, kam vor einigen Tagen wieder die Fritz!Box ins Spiel.

    Die 7590 trennet nicht nur das GastNetz gegen HomeKit ab, sondern hat auch einen zuteilbaren EthernetPort. Auf diesem Wege läßt

    sich nicht nur der eBlocker, sondern auch der iMac etc über einen Switch einbinden.

    Bisher bin ich mit dem Ergebnis zufrieden, HomeKit läuft störungsfrei.

    Eigentlich wollte ich dieses Thema schon länger aufmachen, aber ich war bisher noch nicht "rund" damit.

    Mit relativ geringen Mitteln bin ich auf jeden Fall schon einen guten Schritt weiter. Vor allem,

    wenn man die InternetAnbindung über DSL und LTE als Sicherheit sieht !

  • Ich bekomm heute meinen AP. Dann fehlt mir nur noch die USG und dann gehts bei mir auch los.

    Vielleicht find ich ja die Zeit und kann das bisschen dokumentieren.

  • Ich hab nen Unifi Cloud key Gen2 Plus

    Hallo,
    wie ist es bei dir jetzt ausgegangen hat alles funktioniert?

    Ich drehe ich hier total im Kreis. Ich habe auch das komplette Unifi setup. Erfahrungen mit Netzwerk sind bei mir auch da, aber so wie es laufen müsste geht es nicht.

    Folgendes habe ich vor:

    Mehrer VLANS
    1. IOT/Smarthome
    2. APPLE Geräte

    Ich habe jetzt meine Hue Bridge im VLAN 1 und meinen Apple TV im VLAN 2.

    Leider bekommt die Hue Bridge zum Apple TV keine Verbindung bzw. in der Home APP steht bei den Geräten "keine Antwort"

    Ich befinde mich auch mit meinem iPad im VLAN 2 und kann ohne Probleme über die Hue Bridge zugreifen, nur Apple TV und Hue Bridge funktioniert nicht.


    Nehme ich jetzt den Apple TV in das selbe VLAN wie die Hue Bridge funktioniert alles.

    Firewall Regeln sind noch keine Aktiv, dass wäre eigentlich den nächste Schritt.

    Irgendeins der beiden Geräte scheint ein Problem damit zu haben. Ich will aber unbedingt die zwei Geräte voneinander trennen, weil ich später vor das Vlan IOT das Internet sperren will usw.

    Jemand eine Idee oder ein selbes Problem gehabt?

  • Hallo, ja wenn ich das mache funktioniert es bei mir auch, aber ich wollte den Apple TV gerne von den IOT Geräten trennen ;/


    Die Frage ist ja auch liegt es an HomeKit oder an HUE.

    Vllt hast du ja lust einen test zu machen und mal deine Hue in ein anderes VLAN zu hängen und vllt noch ein andere Bridge/Gerät. Dann würde man genau sehen ob du das selbe Problem hast bzw. wer das Problem verursacht Apple TV oder hue Bridge.

    Ich würde es selbst machen, habe aber aktuell nur die Hue Bridge hier, weil ich gerade damit erst beginnen mein Smarthome aufzubauen.

    • Hilfreich

    So nach einigen Stunden suchen habe ich die Lösung gefunden.

    APPLE Geräte arbeiten mit mDNS anfragen. Ohne mDNS Funktion ist es mit dem IPAD oder Apple TV nicht möglich über verschiedene Subnetze/VLANS eine Verbindung mit anderen Geräten (z.B.: Hue Bridge) herzustellen.

    Leider können viele Geräte dieses Leistungsmerkmale überhaupt nicht, aber zum Glück gibt es bei Unifi dafür einen Punkt :)

    zu finden unter Einstellungen -> Dienste ->mDNS

    Jetzt kann ich alle IOT Geräte in ein eigenes Netz/VLAN stecken.


    Für alle die es interessiert - ich habe jetzt folgendes eingerichtet
    1. alle Smarthome Geräte in das VLAN 50 gesteckt.
    2. Alle Apple Geräte sowie mein Apple TV als Home Hub ins VLAN 20 gesteckt

    3. weiter (insgesamt 10) VLANs erstellt

    Jetzt habe ich dem VLAN 20 und somit allen Smart Home Geräte die Verbindung ins internet verboten (können nicht mehr nach Hause funken) und auch die Verbindung zu allen anderen VLANS und somit allen Geräte die es bei mir im Haus gibt.

    Danach habe ich noch eingerichtet, dass der Apple TV mit der Hue Bridge oder anderen Geräten im VLAN 20 kommunizieren darf.

    UND es funktioniert jetzt!

    Als nächsten Schritt habe ich ein eigenes VLAN für die Videoüberwachung erstellt und auch die Verbindung ins Internet sowie zu allen anderen VLANS und Geräten verboten. Nur zum Apple TV besteht eine Verbindung. War mir hier sehr wichtig, die Videoüberwachung komplett von allen zu isolieren aus Sicherheitsgründen.

    Der letzte Schritt war, mehrer WLANS/SSID zu erzeugen und auch in die einzelnen VLANS zu stecken. Also auch hier WLAN für IOT, APPLE Geräte etc. mit entsprechendem VLAN erstellt.

    Um das ganze sicherer zu machen, habe ich alle SSIDs auf nicht sichtbar gestellt. Danach noch mit WPA2 verschlüsselt und ein Passwort vergeben.
    Um das ganze noch sicherer zu machen habe ich für alle WLANS noch den MAC Filter eingerichtet, sprich selbst wenn jemand meine versteckten SSIDs finden sollte und dann auch noch das Passwort haben sollte, kommt er trotzdem nichts ins Netz ;)

    Nach dem jetzt mein ganzes Netz steht und dieIOT Geräte nicht mehr ins internet kommen, sowie kein anderes Device in meinem Netzwerk, kann ich jetzt mein Smart Home aufbauen ;P

    Natürlich können alle Devices auch aus der Ferne gesteuert werden, das übernimmt der Home Hub Apple TV.

    Mir ist bewusst das ich viel aufwand hier betrieben habe, aber ich gehe das Projekt Smart-Home etwas anders an als die meisten, den ICH will bestimmen welches Gerät was machen darf und was nicht.
    Auch wenn ich ein großer Freund von Smart-Home bin ist mir die Sicherheit doch wichtiger :)


    Naja vllt. hilft es dem einen oder anderen und gibt euch einen paar Ideen für euer Netzwerk/Smart-Home!

  • Klingt gut, bleibt nur eine Frage fuer mich offen:


    Was machst du wenn es Firmware Updates fuer IOT devices gibt? Die kommen ja nicht ins Internet! ?

  • Super Arbeit! Ich wusste, dass mDNS der springende Punkt ist, aber du hast es ja selber herausgefunden :thumbup:. Danke für die geile Detailinfo, dass man das mit Unifi umsetzen kann.

    Um das ganze sicherer zu machen, habe ich alle SSIDs auf nicht sichtbar gestellt.

    Ob das sicherer ist, wage ich zu bezweifeln. Nur weil eine SSID nicht sichtbar ist, heißt das ja nicht, dass sie nicht existiert. Das WLAN kann immer aufgespürt und aufgelistet werden, nur hat es halt keinen Namen. Der wird aber bei der Anmeldung eines Clients an dieses WLAN übermittelt. Vielleicht interessiert dich deshalb das hier.


    Nicht sichtbare WLANs dämpfen schon mal die Begehrlichkeiten des 13-jährigen Nachbarsjungen, was ja auch etwas für sich hat, aber möglicherweise nicht den Expansionsdrang des 17-jährigen Hackers mit der Nerdbrille von gegenüber.


    Naja vllt. hilft es dem einen oder anderen und gibt euch einen paar Ideen für euer Netzwerk/Smart-Home!

    Aber ganz sicher, nochmal: danke für deinen hilfreichen Beitrag. Ich hätte nicht gedacht, dass es sich so einfach verwirklichen lässt.


    Stefan