Toon posts:

Gastnetwerk en HA

Pagina: 1
Acties:

Vraag

woensdag 18 oktober 2023 16:57

Acties:
  • +1 Henk 'm!
  • JME
  • Registratie: Maart 2004
  • Laatst online: 10:04

JME

zeg maar Jamie

Topicstarter
Ik ben sinds kort aan het stoeien met Home Assistant. Betreft een thin client met de generic X86-64 versie van HA, deze hangt bedraad aan het netwerk. Nu loop ik er tegenaan dat deze geen devices kan vinden die in het wifi gastnetwerk hangen. Mijn instelmogelijkheden zijn op dit moment zeer beperkt: ik heb een Experiabox V10 met 2 KPN SuperWifi punten. Het gastnetwerk krijgt weliswaar ip-adressen uit hetzelfde subnet als het hoofdnetwerk, maar door een mij onbekende vorm van isolatie kunnen hoofdnetwerk en gastnetwerk elkaar niet zien (precies het idee van een gastnetwerk natuurlijk). Daarnaast kan ik nog wel een extra wifi-netwerk opzetten, maar dat is niet meer dan een extra SSID op hetzelfde netwerk, dus de toegevoegde waarde daarvan ontgaat mij enigszins.
De eenvoudigste oplossing (zonder nieuwe apparatuur te kopen dan) is waarschijnlijk om mijn domotica devices in te laten loggen op het hoofdnetwerk. Maar dat voelt gek. Hoe risicovol is dat? De "vaagste" apparatuur die ik heb zijn een (geroote) TOON thermostaat, een GoodWe omvormer, een WiZ lamp en een handvol TP-Link Tapo smart plugs. Die zitten momenteel dus allemaal op het wifi gastnetwerk. Tegelijk heb ik ook een Samsung TV en een Denon AVR die wel gewoon aan het hoofdnetwerk hangen, want bedraad. Maak ik het mezelf nu onnodig ingewikkeld, of is het risico reëel en moet ik omzien naar een meer fundamentele oplossing met strikt gescheiden VLANs, dure apparatuur en weet ik wat niet meer?

Alle reacties

woensdag 18 oktober 2023 20:38

Acties:
  • 0 Henk 'm!
  • dhrto
  • Registratie: Juni 2001
  • Laatst online: 12:28

dhrto

Dat het gastnetwerk niet kan communiceren met je hoofdnetwerk lijkt me by design. Ik zou me zorgen maken als het niet zo was. Wat ik wel raar vind, is dat het gastnetwerk kennelijk in hetzelfde subnet zit als je hoofdnetwerk. Dat zorgt alleen maar voor problemen met routeren zou ik zeggen.

De vraag is, wat wil je precies met het smarthome/iot spul? Als je ze niet vertrouwt, dan is een gescheiden netwerk (eventueel zonder toegang tot internet, of alleen voor bepaalde devices) aan te raden. Homeassistant wil je waarschijnlijk wel in je hoofdnetwerk hebben, om er bij te kunnen vanaf. Zorg dan dat HA tevens een interface in het gastnetwerk heeft. Daarom zou je gastnetwerk op een ander subnet moeten zitten.

Hier draai ik HA op een VM. HA heeft twee interfaces. Eentje op het hoofdnetwerk en eentje op het dedicated iot netwerk (gescheiden vlans). Apparatuur op het iot netwerk kan niet communiceren met internet (in de firewall geregeld), op een apparaat na (is ook niet nodig voor de werking ervan in mijn opzet). De iot apparaten kunnen ook niet rechtstreeks praten met het hoofdnetwerk. Alles gaat via HA.

woensdag 18 oktober 2023 20:43

Acties:
  • 0 Henk 'm!
  • Will_M
  • Registratie: Maart 2004
  • Niet online

Will_M

Intentionally Left Blank

JME schreef op woensdag 18 oktober 2023 @ 16:57:
Ik ben sinds kort aan het stoeien met Home Assistant. Betreft een thin client met de generic X86-64 versie van HA, deze hangt bedraad aan het netwerk. Nu loop ik er tegenaan dat deze geen devices kan vinden die in het wifi gastnetwerk hangen. Mijn instelmogelijkheden zijn op dit moment zeer beperkt: ik heb een Experiabox V10 met 2 KPN SuperWifi punten. Het gastnetwerk krijgt weliswaar ip-adressen uit hetzelfde subnet als het hoofdnetwerk, maar door een mij onbekende vorm van isolatie kunnen hoofdnetwerk en gastnetwerk elkaar niet zien (precies het idee van een gastnetwerk natuurlijk). Daarnaast kan ik nog wel een extra wifi-netwerk opzetten, maar dat is niet meer dan een extra SSID op hetzelfde netwerk, dus de toegevoegde waarde daarvan ontgaat mij enigszins.
De eenvoudigste oplossing (zonder nieuwe apparatuur te kopen dan) is waarschijnlijk om mijn domotica devices in te laten loggen op het hoofdnetwerk. Maar dat voelt gek. Hoe risicovol is dat? De "vaagste" apparatuur die ik heb zijn een (geroote) TOON thermostaat, een GoodWe omvormer, een WiZ lamp en een handvol TP-Link Tapo smart plugs. Die zitten momenteel dus allemaal op het wifi gastnetwerk. Tegelijk heb ik ook een Samsung TV en een Denon AVR die wel gewoon aan het hoofdnetwerk hangen, want bedraad. Maak ik het mezelf nu onnodig ingewikkeld, of is het risico reëel en moet ik omzien naar een meer fundamentele oplossing met strikt gescheiden VLANs, dure apparatuur en weet ik wat niet meer?
Dat gastennetwerk op je KPN Experia Doosje doet niet veel meer spannends buiten 'client-isolation'. Da's ook meteen voldoende om de 'gasten' met niks anders dan alléén de gateway binnen het eigen subnet te kunnen laten praten.

Boldly going forward, 'cause we can't find reverse

donderdag 19 oktober 2023 08:50

Acties:
  • 0 Henk 'm!
  • JME
  • Registratie: Maart 2004
  • Laatst online: 10:04

JME

zeg maar Jamie

Topicstarter
dhrto schreef op woensdag 18 oktober 2023 @ 20:38:
De vraag is, wat wil je precies met het smarthome/iot spul? Als je ze niet vertrouwt, dan is een gescheiden netwerk (eventueel zonder toegang tot internet, of alleen voor bepaalde devices) aan te raden. Homeassistant wil je waarschijnlijk wel in je hoofdnetwerk hebben, om er bij te kunnen vanaf. Zorg dan dat HA tevens een interface in het gastnetwerk heeft. Daarom zou je gastnetwerk op een ander subnet moeten zitten.
Prima samenvatting van mijn probleem. HA toegang geven tot het gastnetwerk gaat alleen niet helpen, vermoed ik, omdat de Experiabox alle devices op het gastnetwerk individueel isoleert en die devices onderling dus ook niet kunnen kletsen.
Zonder mijn complete netwerk opnieuw in te richten en apparatuur bij te kopen, kom ik telkens terug bij de “oplossing” om de aan HA toe te voegen devices dan maar op te nemen in het hoofdnetwerk. Wat mij terugbrengt bij die andere vraag: is dat smart? :) Het gaat om TP-Link, Eneco en GoodWe. Tricky? Of niet erger dan Samsung en Denon die ook gewoon aan het hoofdnetwerk hangen?

donderdag 19 oktober 2023 09:13

Acties:
  • +1 Henk 'm!
  • dhrto
  • Registratie: Juni 2001
  • Laatst online: 12:28

dhrto

Als je niks aan je netwerk wilt/kunt veranderen om wat voor reden dan ook (gedoe, kosten, tijd, etc.) dan is de 'simpelste' tussenweg denk ik om inderdaad alle devices aan het hoofdnetwerk te hangen, MAAR dan wel het internet te blokkeren voor de devices die je niet/minder vertrouwt.

Ik heb geen ervaring met de Experiabox, maar het lijkt me dat je op zijn minst firewall regels kan toevoegen om bepaalde apparaten / IP's van je netwerk te blokkeren om op internet te kunnen komen. De devices kun je dan of via een DHCP reservering in je Experiabox altijd hetzelfde IP laten krijgen of in het device zelf een vast IP instellen (in dit laatste geval 'blokkeer' je toegang tot internet praktisch al door geen default gateway op het apparaat in te stellen).

[ Voor 11% gewijzigd door dhrto op 19-10-2023 09:16 ]

vrijdag 20 oktober 2023 08:06

Acties:
  • 0 Henk 'm!
  • JMS 450
  • Registratie: Februari 2003
  • Niet online

JMS 450

De Experia box staat het niet toe om een "3e netwerk" te bedienen. Enkel je hoofd domein en een gasten domein kunnen worden opgezet. Binnen het gast domein is enkel communicatie naar buiten mogelijk.

Dan even een vraag, voor veel mensen met HA is het not done om dingen via de cloud te regelen maar als je de apparaten niet in je eigen netwerk vertrouwd is dat een betere.

Persoonlijk vertrouw ik de apparaten wel zolang ze niet aan het internet hangen en wil ik niets delen met de cloud. Dus ik draai unifi (duur maar geen cent spijt van) met een apart VLAN dat niet naar internet gaat maar wel (enkel) met mijn HA mag praten. Overigens heb ik mijn HA bekabeld in mijn privé netwerk zitten en de wifi in het iot deel omdat ESPHome graag in het zelfde netwerk wil zitten...

Wil je je domotica gescheiden houden maar wel benaderbaar dan moet toch gaan kijken naar een andere router. Wil je dingen simple houden kijk dan naar een router die je achter je Experia zet. Of vervang je hele router met iets van een Fritzbox.

vrijdag 20 oktober 2023 10:00

Acties:
  • 0 Henk 'm!
  • JME
  • Registratie: Maart 2004
  • Laatst online: 10:04

JME

zeg maar Jamie

Topicstarter
dhrto schreef op donderdag 19 oktober 2023 @ 09:13:
Ik heb geen ervaring met de Experiabox, maar het lijkt me dat je op zijn minst firewall regels kan toevoegen om bepaalde apparaten / IP's van je netwerk te blokkeren om op internet te kunnen komen.
Ja, dat zou je denken, hè? KPN denkt daar helaas anders over..
De devices kun je dan of via een DHCP reservering in je Experiabox altijd hetzelfde IP laten krijgen of in het device zelf een vast IP instellen (in dit laatste geval 'blokkeer' je toegang tot internet praktisch al door geen default gateway op het apparaat in te stellen).
Dat kan inderdaad nog net wel. Voor maximaal 10 devices (zucht..) kan ik een fixed IP instellen. Kun je uitleggen hoe je daarmee toegang tot internet praktisch blokkeert? Neem bijvoorbeeld een Tapo smart plug. Die moet verbinding maken met een server van TP-Link. En dat lukt 'm net zo goed vanaf een fixed IP. Dan heeft die plug toch toegang tot internet?
JMS 450 schreef op vrijdag 20 oktober 2023 @ 08:06:
De Experia box staat het niet toe om een "3e netwerk" te bedienen. Enkel je hoofd domein en een gasten domein kunnen worden opgezet. Binnen het gast domein is enkel communicatie naar buiten mogelijk.
Check!
Wil je je domotica gescheiden houden maar wel benaderbaar dan moet toch gaan kijken naar een andere router. Wil je dingen simple houden kijk dan naar een router die je achter je Experia zet. Of vervang je hele router met iets van een Fritzbox.
Eigenlijk hou ik het liefst mijn KPN setup, want ondanks (of dankzij?) alle beperkingen is het wel onwijs stabiel. Maar ik heb nog wel een ASUS router uit een vorige setup over. Zou het mogelijk zijn om die aan de Experiabox te hangen en dan op de ASUS een extra netwerk uitsluitend voor domotica op te zetten? Of komt dat net zo goed weer allemaal bij elkaar via de verbinding tussen de ASUS en de Experiabox?

vrijdag 20 oktober 2023 11:35

Acties:
  • +1 Henk 'm!
  • dhrto
  • Registratie: Juni 2001
  • Laatst online: 12:28

dhrto

Als de Tapo smart plug (en eventuele andere smart home apparaten) toegang tot internet nodig heeft, dan houdt het hele verhaal inderdaad op.

Dan zou je je netwerk anders moeten inrichten met een apart vlan voor smart/iot devices, met eigen toegang tot internet. Je HA moet twee interfaces hebben: 1 op je hoofdnetwerk en 1 op het aparte vlan voor smart/iot. Hiervoor heb je dus andere/extra hardware nodig.

Met de Asus router kun je wellicht iets vergelijkbaars inrichten.
- Alle smart apparaten op de LAN kant van de Asus.
- De WAN kant van de Asus op het gastennetwerk van de Experia (weet niet of je een LAN-poort van de Experia ook als gastennetwerk poort kan configuren, dit is dan wel een must).
- Je HA zowel een interface geven op het hoofdnetwerk als een interface op de LAN kant van de Asus.

Met bovenstaande kunnen de smart apparaten via het gastennetwerk naar internet en niet bij je hoofdnetwerk. Tegelijkertijd is je HA via je hoofdnetwerk bereikbaar, maar kan HA ook bij de smart apparaten die aan de Asus hangen.

vrijdag 20 oktober 2023 15:13

Acties:
  • 0 Henk 'm!
  • brxm
  • Registratie: Augustus 2006
  • Laatst online: 21-09 20:27

brxm

Ikzelf heb achter de router van de provider een eigen small business router, daarachter mijn LAN met eigen Wifi AP. Alle IoT devices zitten op het LAN.

Ik werk met IP ranges, niet met VLAN's. Alle IoT devices vallen in de IP range 50-99, DHCP heeft 100-199. Binnen de ranges 0-99 en 200-254 werk ik met vaste IP's. Ik heb totnutoe geen reden gehad om mijn IoT devices te blokkeren vwb cloud, maar als ik dat wil is het simpel - ik definieer een IP range 50-99 in de router en blokkeer internet toegang voor die range.

Misschien maakt jouw Asus router bovenstaande mogelijk. Als je IP ranges kunt instellen en internet toegang blokkeren per IP range, dan moet het kunnen. Zo niet moet je een meer geavanceerde router kopen.

maandag 18 december 2023 00:24

Acties:
  • 0 Henk 'm!
  • biomass
  • Registratie: Augustus 2004
  • Laatst online: 01:53

biomass

@JME Je zou kunnen overwegen een Fritzbox te nemen (zelf kopen kan ook) bij de KPN, geschikt voor ADSL/glasvezel, heb zelf de 7583) Die moeten ze kennen daar .. :) Daar gebruik ik een IP range van het thuisnetwerk voor IOT, met daarbij alle verkeer naar buiten geblokkeerd, behalve Network Time Protocol door middel van Application Profiles

Op die manier kunnen die apparaten zich niet zomaar uitzichzelf updaten of data gaan spuwen naar buiten.
Ik weet even niet hoeveel van je devices verplicht met externe cloud werken, maar als dat niet hoeft, is alleen een accurate tijd noodzakelijk voor zo'n apparaat (vandaar NTP Only profiel).

Als ik wil voorkomen dat de IOT devices gehacked worden door een malafide webpagina, zal ik toch echt iets met VLAN moet gaan doen, want binnen je thuisnetwerk kunnen alle apparaten elkaar gewoon zien.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq