Hallo,
ich habe mir WLAN Temperatursensoren gekauft und will mir nach und nach ein Homeautomatisation aufbauen.
Nun hab ich gelesen, dass man die Dinger aus Sicherheitsgründen nicht ins normale WLAN-Netz einbinden soll, sondern ins Gast-WLAN.
Leider kann ich dann offenbar keine Statischen Adressen mehr vergeben, da in der Internetbox 3 nur die Geräte des normalen Adress-Bereiches 162.168... anwählbar sind. Mein Sensor hat aber die IP 10.128.0... bekommen, was wohl der Adressbereich des Gast-WLANs ist?
Ist es nicht möglich solchen Geräten eine fixe IP zu vergeben?
Wenn doch: Wie?
Nun ja, es gibt da verschiedene Möglichkeiten.
Was du vermutlich möchtest ist eine reservierte DHCP-Adresse, so dass dem Sensor immer dieselbe IP-Adresse zugeteilt wird. Das geht im Gästenetz der Internetbox nicht. Je nach Sensor kann man aber fix direkt auf dem Gerät eine IP konfigurieren.
Ob es in einem Heimnetz sicherheitsmässig viel bringt, IoT-Geräte in einem separaten Netz zu betreiben, ist diskutabel. Ich würde mir das nicht antun. Wenn ich den Dingern traue, dürfen sie ins interne Netz, und sonst lass ich es ganz bleiben. Nur so meine Meinung...
Nein bei der Internet-Box kannst Du den Gast-WLAN IP-Adressen keine fixen IP-Adressen einstellen.
Bei manchen Geräte ist es möglich beim Menü vom entsprechenden Gerät eine IP-Adresse zu vergeben aber sie muss im Range vom der Gast-WLAN IP-Adresse liegen.
N.b. wenn Du ein grösseres Automatisches gesteuertes Hausnetzwerk aufstellen willst würde ich aber ein eigenständiges WLAN-Netzwerk aufbauen welches keinen Bezug zum normalen vorhandenen Netzwerk hat, so wie z.b. das Gast-WLAN.
Nun ja, es gibt da verschiedene Möglichkeiten.
Was du vermutlich möchtest ist eine reservierte DHCP-Adresse, so dass dem Sensor immer dieselbe IP-Adresse zugeteilt wird. Das geht im Gästenetz der Internetbox nicht. Je nach Sensor kann man aber fix direkt auf dem Gerät eine IP konfigurieren.
Ob es in einem Heimnetz sicherheitsmässig viel bringt, IoT-Geräte in einem separaten Netz zu betreiben, ist diskutabel. Ich würde mir das nicht antun. Wenn ich den Dingern traue, dürfen sie ins interne Netz, und sonst lass ich es ganz bleiben. Nur so meine Meinung...
Hallo WalterB,
danke für die Antwort. Ok, meinem Sensor kann ich eine IP zuordnen. Ich hab aber gehört, dass das nicht so toll ist, da der Router das nachher nicht mehr im Griff hat. (Die Sensoren melden sich längere Zeit ab um Strom zu sparen und dann ist die IP für andere Geräte ja wieder frei, bis er sich wieder meldet und dann päng!)
Aber wenn ich natürlich die Adressen sorgfältig vergebe, sollte wohl nichts passieren. Nur kann mir der Router, der dynamisch Adressen verteilt trotzdem reinspielen und da kann ich ja auch wieder keine Adress-Range angeben um das einzuschränken?
Noch was zu meinem Hintergrund:
Ich möchte die neue Solaranlage sowie die Sensoren im selben Gast-WLAN einfplegen und mit ioBroker auslesen/steuern.
Zitat:"N.b. wenn Du ein grösseres Automatisches gesteuertes Hausnetzwerk aufstellen willst würde ich aber ein eigenständiges WLAN-Netzwerk aufbauen welches keinen Bezug zum normalen vorhandenen Netzwerk hat, so wie z.b. das Gast-WLAN."
Das war ja genau die Idee dahinter. Oder meintest du was anderes?
Hi @delphinis
Die Sensoren melden sich längere Zeit ab um Strom zu sparen und dann ist die IP für andere Geräte ja wieder frei, bis er sich wieder meldet und dann päng!
Wenn die Sensoren nach Ablauf des DHCP lease die IP weiterverwenden, halten sie sich aber nicht an die Spielregeln.
Sicher, dass das passiert?
LG
r00t
Welche Spielregeln?
Das ist doch kein Verbrechen. MQTT lebt davon.
Da ich mit den MyStrom Button immer wieder Probleme hatte wenn ich über das vorhandene WLAN von der Internet-Box oder WLAN-Boxen die Verbindung aufgebaut habe kaufte ich mir einen eigenständigen WLAN Accesspoint bei welchem jetzt nur alle 24 MyStrom Geräte über WLAN verbunden sind und sonst nichts, auch hat dieser WLAN-Accesspoint einen eigenständigen Namen und Passwort.
N.b. musste auch noch wegen dem Gast-WLAN welches ich meinen Gästen zur Verfügung stelle auch auf diese Variante zugreifen.
Einen neuen Stromverbraucher und WLAN-(Funk)Netz belaster wollte ich mir lieber sparen.
Hast du einen AP von Swisscom oder einen anderen?
Kann der wenigstens solche Dinge wie statische Adressen und Einschränkung der automatischen IP-Vergabe bereiches?
Was meinst du zu der Meinung von PowerMAC?
Das ist nur ein einfacher WLAN Accesspoint für Fr. 48.- welcher mir vollständig genügt, wollte mich einfach von den verknüpfen WLAN Geräte von Swisscom für die MyStrom Geräte trennen um ein eigenständiges WLAN Netz aufzubauen.
https://www.tp-link.com/de/support/download/tl-wa901n/
@WalterB schrieb:
[...] Das ist nur ein einfacher WLAN Accesspoint für Fr. 48.- welcher mir vollständig genügt, wollte mich einfach von den verknüpfen WLAN Geräte von Swisscom für die MyStrom Geräte trennen um ein eigenständiges WLAN Netz aufzubauen.
Walter, mit dieser Vorgehensweise baust du einfach eine zweite WLAN-Infrastruktur auf mit zusätzlichem Accesspoint, der Strom verbraucht und Funkfrequenzen belegt. IP-mässig sind aber auch deine MyStrom-Geräte im internen Netzwerk der Internetbox (siehe deinen Screenshot hier). Macht auch Sinn, da du sie sonst gar nicht per App bedienen könntest. Deine Heimautomatisierungsgeräte sind somit nicht wirklich vom Rest des Netzes getrennt. Du wirst deine Gründe dafür haben, aber sicherheitsmässig bringt dein Vorgehen keinerlei Gewinn.
Wie gesagt mit diesem separaten WLAN Accesspoint bin ich unabhängig vom Internet-Box WLAN und den verknüpften WLAN-Boxen wo meine MyStrom Button nach längeren Nichtgebrauch Phasen länger hatten zum bedienen, der Grund war das diese Button beim drücken sich die WLAN Verbindung neu suchen mussten und sich manchmal dann eine Swisscom WLAN-Box im Keller mit schlechter WLAN Verbindung ausgesucht haben.
Mit dem komplett unabhängigen WLAN Accesspoint ist immer das gleiche WLAN vorhanden, auch kann ich dann wirklich nur für die MyStrom Geräte einen Namen und Passwort vergeben.
N.b. seid dieser Installation habe ich praktisch keine Probleme mehr mit den 24 MyStrom Geräte.
Selbstverständlich könnte man mit einem entsprechenden Gerät auch ein getrenntes WLAN Netzwerk aufbauen, aber dann kostet es mehr.
@WalterB schrieb:
Wie gesagt mit diesem separaten WLAN Accesspoint bin ich unabhängig vom Internet-Box WLAN und den verknüpften WLAN-Boxen wo meine MyStrom Button nach längeren Nichtgebrauch Phasen länger hatten zum bedienen, der Grund war das diese Button beim drücken sich die WLAN Verbindung neu suchen mussten und sich manchmal dann eine Swisscom WLAN-Box im Keller mit schlechter WLAN Verbindung ausgesucht haben.
Ja wie gesagt, du hast sicher deine Gründe für dieses Vorgehen. Die von dir beschriebenen Probleme mit den MyStrom-Buttons hatte ich auch mal, aber ich das wurde wohl mal irgendwann behoben. Jedenfalls funktionieren meine weniger als 24 MyStrom-Geräte seit längerem eigentlich immer verzögerungsfrei direkt am WLAN der IB.
[...] Selbstverständlich könnte man mit einem entsprechenden Gerät auch ein getrenntes WLAN Netzwerk aufbauen, aber dann kostet es mehr.
Es kostet nicht nur mehr, du wirst die Geräte dann auch ziemlich sicher nicht mehr per App steuern können da sie nicht im selben Netz sind. Zudem bringt es sicherheitstechnisch genauso wenig, da Geräte hinter einem kaskadierten Router immer noch aufs komplette interne Netz kommen - nur andersrum nicht. OK, man könnte noch Firewallrules machen, aber es bleibt so oder so haarig. Eigentlich schützt man damit die IoT-Geräte mehr als das eigene interne Netz.
Bei der möglichen Lösung mit der Router-Kaskade müsste man die Gerätezuteilung natürlich drehen, denn dann ist das Netz der Internetbox das „Untrusted Environement“, welches z.B. die IoT-Geräte bedient und das nachgelagerte von der Internetbox unabhängige interne Netz das „Trusted Environement“.
Wobei noch zu ergänzen ist, dass je nach Router-Modell dann natürlich noch etliche weitere Gruppierungs- und Isolationskonzepte mittels separierten SSID‘s/VLAN-Konstrukten möglich werden.
Entsprechende Routertechnik vorausgesetzt gibt es da wirklich sehr viele Möglichkeiten, aber wie schon erwähnt, die Hauptfrage ist, ob man sein eigenes Netz überhaupt segmentieren möchte.
Das Problem ist zeitweise wenn Du das Gast-WLAN verwendest und aus irgend einem Grund die Internet-Box rebootet das dann das Gast-WLAN auschaltet wenn Du das auf dauernd aktiviert hast.
Auch diese Problem habe ich mit dem eigenständigen WLAN-Accesspoint gelöst, ebenso bei irgend einer Störung vom Internet-Box WLAN funktioniert die ganze InHouse Steuerung (MyStrom) immer noch.
Aber wie gesagt das muss jeder selber entscheiden ob man das Internet-Box WLAN verwendet oder ein unabhängiges WLAN für eine Steuerung oder Überwachung.
Habe mich erst mal entschieden, die Sensoren in das ganz normale 192.168.1.x Netzwerk anzumelden, aus den von PowerMAC genannten gründen.
Ich hab noch eine Option gefunden, wie man die Dinger vom Internet ausschliessen kann. (Weiss nicht mehr genau wo, aber irgendwo kann man einen Haken setzen ob das Gerät auf das Internet darf oder nicht) Das würde doch eine zusätzliche Sicherheit bedeuten?
PS: Kann man eigentlich das Timeout der IB verlängern, das ständige einloggen geht mir langsam auf den S....
Du meinst wohl die Funktion Kinderschutz. Ja wieso nicht - probiers mal aus, je nach Funktionsweise deiner Sensoren brauchen die tatsächlich keinen Internetzugriff. Nützts nüt so schadets nüt 😉
Der Login-Timeout der IB lässt sich nicht ändern.
Ja genau, das hab ich gemeint. Die Idee ist, dass ich dann auf den ioBroker per VPN von Extern Zugreifen kann. Es sollen dann alle Geräte nur noch lokal arbeiten. Ich hasse all diese Cloud Lösungen wo man um seine eigenen Daten kämpfen muss. Aber leider bald nicht mehr möglich.