Hi andiroid
ich versuche mal, ein paar Fragen zu beantworten 😉 :
andiroid Was meinst du mit “Sammelfreigabe”?
Es gibt zwei Strategien, mit denen man auf der IB Portweiterleitungen konfigurieren kann:
Entweder man richtet für jeden benötigten Port eine Weiterleitung an ein bestimmtes Gerät weiter. Also eine Portweiterleitung für den NAS-Zugriff von aussen, eine weitere Portweiterleitung für den VPN-Dienst, usw. Das hat den Vorteil, dass man portgenau und selektiv weiterleiten kann. Das kann aus sicherheitstechnischer Sicht Sinn machen.
Oder du nimmst ein Gerät (bei mir ist das mein kaskadierter Router hinter der IB) in die "DMZ". Dann wird grundsätzlich alles was von aussen an der IB ankommt, ungefiltert direkt an das Gerät in der DMZ weitergeleitet (es gibt Ausnahmen: wenn du z.B. auf der IB Wireguard für VPN konfigurierst, wird der Standardport 51820 für Wireguard nicht weitergeleitet, weil auf der IB bereits verwendet). Mein kaskadierter Router ist in der DMZ konfiguriert, ich lasse also grundsätzlich alles, was von aussen kommt, direkt an den kaskadierten Router hinter der IB weiterleiten. Deshalb der Ausdruck "Sammelfreigabe". Auf der Fritte heisst dieses Feature übrigens "Exposed Host".
andiroid Wie administrierst du in deiner Konfiguration die IB, wenn du keine Route zu ihr hast? Reicht hier nicht ein starkes Passwort für die IB?
Natürlich habe ich eine Route zur IB, aber die ist via Firewallregel so eingerichtet, dass ich nur mit diesem PC auf die IP der IB zugreifen darf (Erkennung über die MAC-Adresse des PCs). So komme ich aus dem Heimnetz nur über meinen PC direkt auf die Internetbox. Funktioniert gut. Natürlich hat die IB auch ein Passwort.
andiroid Ist es richtig, dass dein VLAN vom Heimnetz ins IoT Netz immer zugreiffen kann? Oder anders gefragt: Wenn du ein neues Shelly mit der Mobile-App administrieren “musst” möchtest du ja explizit den Zugang vom Heim- auf das IoT-Netz ermöglichen? Hier verstehe ich tatsächlich noch am Wenigsten und wenn du magst kannst du da gaaanz ausführlich in die Tasten hämmern. S’würd mi fröie!
Ja, aus dem Heimnetz kann ich immer aufs IoT-Netz zugreifen. Das Zusammenspiel, dass ich z.B. aus meinem Heimnetz aus Geräte im IoT-Netz ansprechen kann, und diese mir dann auch aus dem IoT-Netz ins Heimnetz antworten dürfen, aber nur, wenn sie dazu aufgefordert werden, habe ich mit mehreren Firewallregeln gelöst. Ich bin in der Unifi-Welt unterwegs, und da gibt es ein schon etwas älteres Video auf Youtube, das das Prinzip aber gut erklärt.
Ich bin z.B. mit meinem Handy im Heimnetz, habe da die Shelly-App drauf, und kann damit problemlos Shellys ansteuern, die grundsätzlich im IoT-Netz sind. Ob ich jetzt fürs neu Hinzufügen eines Shellygerätes via Handy-App kurz mit dem Handy selber ins IoT-WLan wechseln muss, kann ich beim besten Willen nicht genau sagen. Aber beim neu hinzufügen via bluetooth geht das glaubs auch ohne den Wechsel ins IoT-Lan.
andiroid Zur fehlenden Antwort 2 auch noch eine Folgefrage. Hast du kein Festnetz mehr oder sind die SIP Ports in der “Sammelfreigabe” inkludiert?
Für die Festnetztelefonie verwende ich die IB. Aktuell ist noch genau ein DECT-Gerät verbunden. Weil die IB5 aber nur noch einen Analogport für die Telefonie hat, habe ich mir eine ATA191 von Cisco gekauft und diese an die IB5 angeschlossen. Die zwei Analogports da sind mit den lokalen SIP-Daten, die direkt auf der IB5 erzeugt werden können, konfiguriert. So kann ich meine beiden alten Wählscheibentelefone, für die ich je einen Analogport brauche, weiter benutzen.
