Bei mir klappt das alles einwandfrei. Hat halt 5 Versuche gebraucht, bis das eingerichtet war.
Lustigerweise ist seit heute der Teleport Punkt in der Wifiman App verschwunden. VPN kann ich jetzt nur noch über die iPhone Einstellungen aktivieren. Aber wie gesagt, ist halt noch Beta.
Wenn sie das ordentlich hinbekommen, ist das auf jeden Fall eine schöne Sache.
Find ich sehr komisch, dass du da nicht ins Internet kommst. Wie verhält sich das, wenn du VPN erst nach dem Verlassen vom WLAN aktivierst? Zumindest habe ich das jetzt so verstanden, dass du das VPN bisher immer an hattest.
Ja, das mit dem Abschalten der Weak Ciphers haben sie in der 1.12.13 eingeführt. Da solltest mal schauen, ob du auf deinem Android auch andere sichere Cipher einstellen kannst. Wäre auf jeden Fall eine sichere Sache
Gerade eben ist ein Update der Wifiman Android App eingetrudelt. Das Problem war definitiv die App. Es kam ein weiterer Punkt “Teleport” dazu.
Jetzt war es ein Kinderspiel, den erzeugten Link direkt in Wifiman einzufügen. Die VPN Verbindung baute sich augenblicklich auf. Auch der Eintrag in den VPN Verbindungen ist jetzt vorhanden. Ich werde beobachten, ob das System ähnliche Zicken wie bei Dirk macht.
Das VPN funktioniert sogar aus dem eigenen Wlan und setzt keine zwingende Verbindung mit mobilen Daten voraus.
Ich hätte noch ein paar Fragen dazu…
Ich habe erst einmal neben dem “normalen” LAN ein Netzwerk für “Gast” und “Cloud” angelegt. Das Gast-Netzt ist im Gast-Wlan eingetragen. Für die Cloud-Geräte (Echos, WLAN-Kameras) ist ein neues Wifi angelegt.
Damit sind die Gast- und Cloud-Geräte erst einmal separiert.
Du sagtest, der Zugriff zwischen den Netzwerken ist erst einmal möglich. Hast du ein Beispiel zu den angepassten Regeln? Ich würde gern vermeiden, dass ich mich selbst aussperre.
Wie ist deine Abgrenzung zu smarten Cloud/-NonCloud-Geräten?
Sind Cloud-Geräte nur diejenigen, die Cloud-only laufen (Echos…). Smarte Hauhaltsgeräte hast du dann vermutlich im Normalen LAN?
Wie hast du das mit dem Management-LAN gemacht? Auch ein separates IP-Netz oder nur VLAN?
Funktioniert es auch, die APs in ein separates Netz zu legen, auch wenn der Controller im anderen Netz liegt? Das wird dann vermutlich nur mit Regeln gehen, die den Zugriff in beide Richtungen erlauben, oder?
Edit:
Würde eine Regel zum Zugriffs-Block aus dem Smart- ins Privatnetz so korrekt sein?
Schlagt mich, ist es aber nicht so, dass jedes Gastnetzwerk automatisch keinen Zugriff auf die anderen Netzwerke hat.
Die anderen Netzwerke haben gegenseitigen Zugriff, auch dein Cloud Netzwerk, sofern du es nicht als Gastnetz konfiguriert hast.
Ich habe beispielsweise den ganzen Echo Schrott in ein eigenes Netzwerk und Wlan rein geschmissen und das Lan, sowie das Wlan als Gastnetzwerk konfiguriert. Die Echos sehen nur sich untereinander, sonst nichts.
Stimmt, das wäre auch eine Lösung.
Schöner wäre das natürlich als “normales” Lan mit Routingregeln, wo man z.B. ins Cloud-Netz rein kommt, aber keine Cloud-Geräte zurück. Nur falls man doch mal ein Gerät von Homey oder HA direkt aufrufen will, z.B. Kamerastreams. Aber es führen auch mehrere Wege zum Ziel.
Neue Network Application am Start. Ich freue mich darüber, dass ich endlich alte Clients über die neue GUI “vergessen” kann. Sonst musste man dafür immer in die alte GUI gehen.
Für den Teleport Kram gibts auch ein paar Verbesserungen.
Nein, habe ich noch nicht. Das ist ein Thema für sich. Ich hatte tatsächlich noch nicht die Zeit und Lust mich mit dem Thema ausführlich zu beschäftigen.
Ich habe mal ein paar Youtube Videos dazu angesehen.
Eben auch beim Google befragen folgendes gefunden:
Denke, das ist doch ganz gut erklärt.
Beim Anlegen von neuen Netzen wird das hier automatisch generiert:
Also alles wird erlaubt.
Wenn man das anpasst, müssten an erster Stelle des Regelwerks dann die Ports/IP’s mit Grant Regeln stehen. Im Anschluss dann die Deny Regeln. Die Regeln werden wohl von oben nach unten abgearbeitet.
Wenn du zb den Homey zum HA kommunizieren lassen willst, erstellst du als erstes eine Regel, die das erlaubt.
Als zweite Regel kommt dann eine Deny Regel, die alles blockiert.
So habe ich das verstanden.
In meinem Cloud Only Netz sind alle smarten Geräte, die nur über Cloud ansprechbar sind, also alle meine Echo Geräte. Ich hatte da noch meine Netatmo Wetterstation am Laufen, aber momentan ist diese im normalen Netz, da ich Homekit ausprobiere.
Hier kannst du dann auf den einfachen Trick vom Uwe zurückgreifen, einfach das Netz als Guest Network deklarieren und schon ist es dicht und die Geräte können nur ins Internet. Untereinander können sie übrigens auch nicht kommunizieren. Wenn du allerdings z.B. bei den Echogeräte Multiroom nutzen möchtest, dann klappt das mit dem Gast Netzwerk nicht, da die beteiligten Echos miteinander im LAN kommunizieren müssen.
Diese Regeln werden automatisch erstellt, wenn du Guest Network aktivierst:
Einige Geräte habe ich tatsächlich im normalen Netz. Meine Shelly’s gehören dazu. Allerdings nutze ich nicht die Cloud und spreche sie direkt an (Home Assistant / Homey).
Dann gibt es halt noch solche Geschichten wie die Hue Bridge oder Tradfri Bridge. )Hat zwar erstmal nix mit Cloud zu tun, aber wäre auch von Vorteil sowas vom normalen Netz zu trennen.) Um mit den Smartphone Apps auf diese zuzugreifen, müssen die im gleichen Netz sein. Das macht es schon etwas schwieriger. Gibt vermutlich auch dafür eine Lösung, aber so der Netzwerker bin ich auch nicht.
Um alles richtig abzutrennen, bräuchte es eigentlich 5 WLAN’s (zumindest bei mir)
Clients (Smartphone, Tablet, Laptops)
Gast
Smartes mit Cloud (Echo’s, Blink, Netatmo, Tuya, Somfy)
Dann könnte man das Smarte ohne/teilweise Cloud und Kamera Netz sauber zu machen und nur bestimmte Ports auf HA und Homey zulassen. Smartes mit Cloud kommt dann eh über Internet zum HA / Homey und kann komplett abgedichtet werden.
Aber leider kann ein Unifi AP nur max. 4 WLAN’s bereitstellen und schon fängt es mit dem Mischmasch an
Naja, die UDM Pro hat Standardmäßig die 192.168.1.1 und das erste Netz ist somit bei der Erstinbetriebnahme da. Also VLAN ID 1 und Subnet 192.168.1.0/24.
Da die UDM Pro den Controller mitbringt, musste ich da gar nicht soviel nachdenken, wie ich das mache. Genau dieses Netz nutze ich jetzt als Management.
Ich habe dann nach und nach meine Unifi Geräte ins Netzwerk integriert. Dabei habe alle Uplink Ports bei den Switches das Portprofil auf “All” stehen gelassen. Damit sind die angeschlossenen AP’s/Switches automatisch im Management Netz (VLAN ID 1) und lassen auch alle weiteren VLAN ID’s durch.
In diesem Netz sind sozusagen nun alle Unifi Geräte beheimatet. Wenn du einen Cloud Key hast, würde ich den auch dort betreiben.
Danach habe ich meine weiteren Netze konfiguriert. Bei kabelgebunden Clients habe ich dann die Ports auf das entsprechende VLAN gestellt.
Müsste reintheoretisch eigentlich klappen. Sicher bin ich mir aber nicht.
Ich glaube du musst Drop nehmen. Sonst würde ich sagen, ja.
Ich hab auf dem Handy Wifiman als permanent eingeschaltetes VPN. Das funktioniert noch nicht ganz zufriedenstellend.
Der Wechsel von Wlan zu mobilen Daten klappt ganz gut, das VPN aktiviert sich nach dem Wechsel von alleine wieder. Es kann aber im Moment sein, dass aus noch nicht identifizierten Gründen das VPN aus ist. Es verbindet sich dann auch nicht wieder von selbst und muss manuell neu eingeschaltet werden. So lässt sich aber im Moment damit leben.
So ganz zufrieden bin ich mit dem Filter noch nicht. Damit werden auch die Antworten geblockt, wenn man ein Gerät in dem Cloud-Netzt ansprechen will.
Ich will ja nur verhinderb, dass die Cloud-Geräte eine Verbindung in andere Netze aufbauen können, aber ich möchte ‘von außen’ gern auf das Netzt zugreifen können.
Mal schauen, was die Parameter unter den manuellen Einstellungen bewirken…
Ich hab deine Anregung übernommen und alle Alexas, die Tuya Bridge usw. In ein eigenes, abgeschottetes Netzwerk geschmissen, um die ganze Sache zu separieren. Dabei hab ich ein ganz normales Netzwerk konfiguriert, ohne die Geschichte mit einem Gastnetzwerk zu beschränken. In dem abgeschotteten Netzwerk ist es mir völlig egal, was die Geräte nach Hause spammen, da sie sich ja eh nur selbst sehen.
Die Alexas und Tuyas, kann Homey aber trotzdem ansprechen, da die eigentliche Verbindung ja über eine Cloud erfolgt.
Ich mach bei Gelegenheit aber noch ein Netzwerk, rein für Smart Home. Das lasse ich auch offen, dass ich über mein normales Netzwerk darauf zugreifen kann.
Ich denke, dass ich hier einen Denkfehler hatte. Die Blockierung betreffen ja vermutlich immer alle Verbindungen. Ich kann da wohl nicht unterscheiden, ob es eine “Antwort” auf einen Aufruf von außen ist oder eine Verbindung vom Cloud-Netz aus.
Es läuft dann wohl darauf hinaus, dass man das gesamte Netz blockt und dann eine “Erlaubt”-Regel für einzelne Geräte anlegt (auf die MAC).
PS: Da stellt sich natürlich die Frage, warum man das Gerät dann nicht gleich in das Privat-LAN aufnimmt. Für die Regel ist ja egal, ob das Gerät vom LAN angesprochen wird unt nur antwortet oder ob es aktiv selbst die Verbindung aufbaut. Genau das will man ja eigentlich verhindern. An der Stelle bin ich noch etwas ratlos…
Ich hab gerade ein Problem.
Ich habe ein Netzwerk Cloud erstellt. Das Netzwerk sollte anhand der Regel nicht mit anderen Netzwerken kommunizieren.
Gleichmaßen läuft ein Wlan Cloud.
Ich melde eine Alexa an diesem Netzwerk an, was sie auch frisst. Sie bekommt eine IP des Cloudnetzwerkes.
Sobald diese Alexa aber vom Strom getrennt wird und sich erneut einbucht, ist sie wieder in meinem normalen Netzwerk verbunden.
Wo hab ich einen Denkfehler ?
Edit:
Das Gleiche passiert, wenn ich einen Tuya Plug vom Strom trenne. Er meldet sich auch im default Netz an, anstatt wieder auf das Cloud Netzwerk zu gehen
Hast du für das Netzwerk (nicht WLAN) einen neuen Netzwerkbereich gewählt? Die 192.169.4.x ist neu, richtig?
Ich habe “auto scale” deaktiviert, um das Subnetz angeben zu können (x.x.50.x).
Melden sich die Clients am alten WLAN an?
Welche IP bekommen sie über DHCP?
Die EchoShow können mehrere WLANs speicher, Nicht dass sich der Echo dann ein WLAN aussucht. Da am besten das alte WLAN löschen. Dann sollte die Anmeldung nur noch im neuen CloudWLAN erfolgen.
Und dem WLAN ist ja das CloudNetzwerk zugeordnet. D.h. es sollte eine IP aus dem CLoudNetzwerk verwendet werden.
DCHP für das CloudNetz ist korrekt angegeben?
Hast du auch ggf. alte feste IP-Zuweisungen im UnifiController gelöscht? Nicht dass die Clients trotz netzwerkvorgaben eine feste IP verwenden.
Ich konnte zumindest nach EInstellen des neuen WLAN bei den Echos im UnifiController direkt die neue IP sehen.
