:strip_icc():strip_exif()/u/629554/crop60f58e64ec8d1_cropped.jpg?f=community)
Hallo Tweakers,
Binnen UniFi heb ik een aantal netwerken aangemaakt waaronder een apart IoT netwerk. In dit IoT netwerk heb ik zaken zoals een Raspberry Pi hangen, een Apple TV, PlayStation en ook een IKEA DIRIGERA hub.
Ik krijg echter alleen verbinding met de IKEA hub als ik met mijn telefoon op het IoT netwerk zit. Als ik in het Default netwerk zit kan de hub niet worden gevonden. De hub aansturen via Homekit (via de Apple TV, welke ook in het IoT netwerk zit) lukt wel.
Ik vraag mij nu af hoe ik dit kan oplossen. Ik heb de volgende firewall rules ingesteld:
Allow esteblished / related connections (LAN in)
Alles wat de status 'established' of 'related' is wordt toegestaan, ongeacht welk adres, netwerk of port group het is.
Accept LAN to anywhere (LAN in)
Hiervoor heb ik een RFC-1918 address group aangemaakt bestaande uit de volgende regels:
192.168.0.0/16
172.16.0.0/12
10.0.0.0/8
Alles vanuit het Default network mag communiceren met deze interne adressen. Aangezien elk device in elk netwerk met 192.168 begint zou elk device in het default netwerk dit moeten kunnen benaderen.
Block Inter-VLAN traffic (LAN in)
Als source en als destination heb ik de RFC-1918 groep toegevoegd en hierbij de actie drop gekozen.
Dit zou ervoor moeten zorgen dat elk netwerk, anders dan het Default netwerk niet met elkaar kan communiceren.
De regels worden ook in deze volgorde uitgevoerd,
Tenslotte heb ik nog een tweetal LAN local rules aangemaakt. Dit zijn:
Block IoT to gateway (LAN in)
Hierbij is ingesteld dat alles binnen het IoT netwerk alleen met de gateway van het IoT netwerk mag praten. De gateway adressen van de andere netwerken zijn ingesteld om geblokkeerd te worden.
Block IoT from UniFi OS access
Hierbij worden de porten 80, 443 en 22 geblokkeerd vanuit het IoT netwerk zodat de UniFi OS inlogpagina niet benaderd kan worden.
Ik heb al e.e.a. gezocht en volgens mij is het alleen een kwestie van bepaalde poorten voor devices open gooien, maar dat lukt niet ik. Zo las ik dat IKEA het CoAP protocol op port 5684 zou gebruiken. Ik netjes een firewall rule aangemaakt waarbij het IP-adres en MAC-adres van de hub (uiteraard met fixed IP) wordt toegestaan om via die poort te communiceren, dat werkt niet.
Uiteraard heb ik deze LAN in regel wel boven de "Block inter-VLAN traffic" regel gezet.
Hoe kan ik nu voor zorgen dat sommige IoT devices, zoals de IKEA DIRIGERA, toch kunnen communiceren met bijvoorbeeld mijn telefoon in het Default netwerk?
Zie ik zaken over het hoofd? Ik hoor het graag!
Binnen UniFi heb ik een aantal netwerken aangemaakt waaronder een apart IoT netwerk. In dit IoT netwerk heb ik zaken zoals een Raspberry Pi hangen, een Apple TV, PlayStation en ook een IKEA DIRIGERA hub.
Ik krijg echter alleen verbinding met de IKEA hub als ik met mijn telefoon op het IoT netwerk zit. Als ik in het Default netwerk zit kan de hub niet worden gevonden. De hub aansturen via Homekit (via de Apple TV, welke ook in het IoT netwerk zit) lukt wel.
Ik vraag mij nu af hoe ik dit kan oplossen. Ik heb de volgende firewall rules ingesteld:
Allow esteblished / related connections (LAN in)
Alles wat de status 'established' of 'related' is wordt toegestaan, ongeacht welk adres, netwerk of port group het is.
Accept LAN to anywhere (LAN in)
Hiervoor heb ik een RFC-1918 address group aangemaakt bestaande uit de volgende regels:
192.168.0.0/16
172.16.0.0/12
10.0.0.0/8
Alles vanuit het Default network mag communiceren met deze interne adressen. Aangezien elk device in elk netwerk met 192.168 begint zou elk device in het default netwerk dit moeten kunnen benaderen.
Block Inter-VLAN traffic (LAN in)
Als source en als destination heb ik de RFC-1918 groep toegevoegd en hierbij de actie drop gekozen.
Dit zou ervoor moeten zorgen dat elk netwerk, anders dan het Default netwerk niet met elkaar kan communiceren.
De regels worden ook in deze volgorde uitgevoerd,
Tenslotte heb ik nog een tweetal LAN local rules aangemaakt. Dit zijn:
Block IoT to gateway (LAN in)
Hierbij is ingesteld dat alles binnen het IoT netwerk alleen met de gateway van het IoT netwerk mag praten. De gateway adressen van de andere netwerken zijn ingesteld om geblokkeerd te worden.
Block IoT from UniFi OS access
Hierbij worden de porten 80, 443 en 22 geblokkeerd vanuit het IoT netwerk zodat de UniFi OS inlogpagina niet benaderd kan worden.
Ik heb al e.e.a. gezocht en volgens mij is het alleen een kwestie van bepaalde poorten voor devices open gooien, maar dat lukt niet ik. Zo las ik dat IKEA het CoAP protocol op port 5684 zou gebruiken. Ik netjes een firewall rule aangemaakt waarbij het IP-adres en MAC-adres van de hub (uiteraard met fixed IP) wordt toegestaan om via die poort te communiceren, dat werkt niet.
Uiteraard heb ik deze LAN in regel wel boven de "Block inter-VLAN traffic" regel gezet.
Hoe kan ik nu voor zorgen dat sommige IoT devices, zoals de IKEA DIRIGERA, toch kunnen communiceren met bijvoorbeeld mijn telefoon in het Default netwerk?
Zie ik zaken over het hoofd? Ik hoor het graag!
