Ik vroeg mij af of mensen ervaring hebben met de Fritzbox 7590 en een aparte VLAN, of iets wat erop lijkt.
De situatie is dat ik HomeAssistant heb draaien, en ik zou deze graag vanaf buiten bereikbaar willen maken. Echter wil ik niet dat dit dan in mijn eigen netwerk zit. Want stel dat iemand een lek vindt, en bijv. mijn NAS kan bereiken of andere smart-devices. Nee dat zou niet leuk zijn… ;)
Dus hoe kan ik Home Assistant vanaf buiten af bereikbaar maken (zonder VPN) terwijl het in een geïsoleerd netwerk draait? Ik las al iets van een gastnetwerk, maar dit zou echter geen volledig VLAN zijn, lees ik. Iemand die hier ervaring mee heeft?
Met wat ik lees heeft de Fritzbox nogal beperkingen aangaande het gast netwerk.
Veel informatie vind je er ook niet over.
Heb hier net een nieuwe Synology RT6600ax router draaien. (Zo’n beetje 14 dagen op de markt).
Daar kun je tot maximaal 5 VLAN netwerken instellen, tevens ook door te trekken naar WiFi.
Enorm flexibel in te richten. (Als je de WiFi ook nog splitst, kun je tot maximaal 15 verschillende SSID's inzetten). Er zitten echter nog wel een aantal bugs in de firmware, wat aangepast moet worden. De eerste update was overigens binnen enkele dagen geregeld, omdat KPN IPTV routed mode niet goed functioneerde. Als je minder haast hebt eerst de verdere firmware updates afwachten, en kijken of het dan iets voor je is?
Eerste indrukken, zie een uiteenzetting < HIER > (en nog verder uit te breiden onderwerpen).
Home assistant is toch bedoeld om op je eigen home netwerk dingen te doen?
Je kunt het dan volgens mij niet in een apart lan zetten, dan kan HomeAssistant ook niet meer bij je zonnepanelen smart verlichting of wat je ook hebt.
Als de home assistant op een aparte server draait, kun je er denk ik het beste van alles aan doen om te zorgen dat er geen misbruik gemaakt wordt.
Zaken die goed ondersteund worden door de fritz: VPN naar je server HomeAssistant server, en filters instellen die de autorisatie op je lan beperken. Je kunt filters instellen die bepalen waar de homeassistant server heen mag.
Kijk of je 2FA kunt gebruiken op homeAssistant, en een aparte gebruiker gebruiken, die zowel op je server, homeAssistant applicatie als op de andere devices weinig tot geen rechten heeft.
Als je dat niet ziet zitten zou je altijd nog een tweede router kunnen nemen, die een apart lan opzet voor homeAssistant, dan zou je een poort kunnen forwarden naar de andere router.
Home assistant is toch bedoeld om op je eigen home netwerk dingen te doen?
Je kunt het dan volgens mij niet in een apart lan zetten, dan kan HomeAssistant ook niet meer bij je zonnepanelen smart verlichting of wat je ook hebt.
Natuurlijk kun je dat wel, tezamen met die zonnepanelen, smart verlichting en al die IoT zaken in een apart gescheiden netwerk / VLAN. Dat is nu juist datgene wat de topic starter voorstaat.
Home assistant is toch bedoeld om op je eigen home netwerk dingen te doen?
Je kunt het dan volgens mij niet in een apart lan zetten, dan kan HomeAssistant ook niet meer bij je zonnepanelen smart verlichting of wat je ook hebt.
Natuurlijk kun je dat wel, tezamen met die zonnepanelen, smart verlichting en al die IoT zaken in een apart gescheiden netwerk / VLAN. Dat is nu juist datgene wat de topic starter voorstaat.
Die snap ik. Wat ik bedoel te zeggen is dan je dan alsnog van buiten naar binnen een risico voor je netwerk brengt, alleen dan in een ander deel van je netwerk. Of ga je een firewall inrichten tussen de twee vlans?
Of ga je een firewall inrichten tussen de twee vlans?
Precies dat. (Het is allemaal mogelijk met die nieuwe Synology router).
Of ga je een firewall inrichten tussen de twee vlans?
Precies dat. (Het is allemaal mogelijk met die nieuwe Synology router).
De topic poster vroeg of het met de fritzbox kan, en die ondersteunt geen vlans, vandaar mijn feedback.
Teruggaand naar de originele vraag van de arrien: Het scheiden van twee vlans, met een firewall, hoe doe je dat, als de gebruiker “ de homeAssistant” applicatie is, met legitieme toegangsbehoeften in het andere lan?, maar die gehackt kan zijn?
Is een Vlan de oplossing hier?
De topic poster vroeg of het met de fritzbox kan, en die ondersteunt geen vlans, vandaar mijn feedback.
Precies ook mijn feedback om eens te kijken naar zo'n Synology router die het wel ondersteunt.
Teruggaand naar de originele vraag van de arrien: Het scheiden van twee vlans, met een firewall, hoe doe je dat, als de gebruiker “ de homeAssistant” applicatie is, met legitieme toegangsbehoeften in het andere lan?, maar die gehackt kan zijn?
Je kunt de beveiliging erg ver doorvoeren.
Allereerst op firewall niveau door zo veel mogelijk op "regio" niveau alles af te blokken, wat geen functie heeft m.b.t. je IoT zaken, (of slechts enkele IP-adressen of IP-bereiken toe te staan).
Daarnaast kun je bij Synology ook een extra pakket "Threat Prevention" installeren, wat op packet niveau data controleert op verdacht in- en uitgaand verkeer.
https://www.synology.com/nl-nl/srm/feature/secure_network_foundation
Tot nu toe nog geen argument gehoord waarom de topic starter 325 euro zou moeten uitgeven, en daarvoor iets terugkrijgt dat helpt om zijn probleem op te lossen.
Met filters kun je specifiek toegang verlenen op in en output op de Frizbox, en packet inspection is standaard.
Alleen Vlan functionaliteit mist, maar ik denk dat dit niet gaat helpen, want je wilt eigenlijk geen vlan omdat de twee lans niet echt gescheiden netwerken zijn, en er geen duidelijke regels zijn wanneer je van de een naar de ander mag.
Mijn input is gegeven, succes.
... want je wilt eigenlijk geen vlan omdat de twee lans niet echt gescheiden netwerken zijn, en er geen duidelijke regels zijn wanneer je van de een naar de ander mag.
Ik denk dat u geen idee heeft wat vlans zijn. Ik heb hier ook vlans. En er is echt absoluut geen enkele mogelijkheid dat apparaten van het ene vlan bij apparaten van het andere vlans kunnen tenzij ik dat nadrukkelijk instel.
…...tenzij ik dat nadrukkelijk instel.
Precies. Zo is dat.
Ook ik heb omwille van veiligheid mijn IoT devices op een apart vlan staan.
Onderstaand de inkomende firewall vanaf het IoT vlan waarbij mijn NAS op TCP poort 80 wel benaderbaar is voor één specifiek IoT device maar de rest van de lokale IP adressen niet.
Bovenstaande is op een EdgeRouter 4 en dat is een beest als het gaat om het kunnen inrichten van een netwerk. Dat komt omdat de EdgeRouters behoorlijk veel door bedrijven met meerdere vestigingen gebruikt worden waarbij onderling een corporate private network ingericht is en (uiteraard) meer gevraagd wordt van de functionaliteit van een router dan bij een gemiddelde consumenten aansluiting.
Thanks voor de reacties. Ik ga eens verdiepen in wat ik op den duur aan ga schaffen voor router.
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.