8
Bonjour an Subnetz weiterleiten
Liebe Community,
nachdem ich hier schon Beiträge gefunden habe, die mein Problem zwar ebenfalls behandeln, aber nicht bis zum Ende bringen, hoffe ich, ihr könnt mir hier weiterhelfen.
Mein derzeitiges Netzwerk-Setup ist wie folgt:
Internet
- Fritz!Box 1 ("DMZ", 192.168.1.1)
-- RPi mit Home Assistant
-- Zahlreiche IoT-Geräte
- Fritzbox 2 ("sicherer Bereich", 192.168.2.1)
-- Meine privaten WLAN-Geräte (Laptop, etc.)
Ich habe also eine Art DMZ für meine IoT-Geräte und mein privates Netzwerk hinter einer zweiten Firewall. Soweit so gut, klappt auch alles prima.
Außer: HomeKit / Bonjour / mDNS
Ich möchte gerne meine IoT-Geräte per HomeKit steuern (HomeBridge läuft auf dem Home Assistant), was nicht mehr funktioniert, wenn ich mit meinen privaten Geräten im privaten Netzwerk bin.
Nun habe ich bereits mehrfach, zuletzt hier gelesen, dass Bonjour nicht über mehrere Subnetze hinweg funktioniert.
Ich habe daraufhin einen weiteren RPi eingebunden, nachdem ich dieser Anleitung gefolgt bin. Der RPi hängt nun hinter Fritzbox 2 und hat die statische IP-Adresse 192.168.2.2. Avahi habe ich installiert.
In habe ich eines der IoT-Geräte hinzugefügt und den RPi neu gestartet:
Ab hier komme ich nun nicht mehr weiter, ich kann noch immer nicht per Home-App auf die Geräte zugreifen.
Ich habe nun weiter folgendes versucht:
Die einzige Idee, die ich hatte, dass ich allen Privat-Geräten die IoT-Geräte bekannt machen könnte, wäre der DNS-Server gewesen.
Meine Frage ist nun also: Wie kann ich allen Geräten hinter Fritzbox 2 die IoT-Geräte der DMZ bekannt machen, sodass ich sie wieder per HomeKit steuern kann?
Vielen Dank im Voraus und viele Grüße
Stefan
nachdem ich hier schon Beiträge gefunden habe, die mein Problem zwar ebenfalls behandeln, aber nicht bis zum Ende bringen, hoffe ich, ihr könnt mir hier weiterhelfen.
Mein derzeitiges Netzwerk-Setup ist wie folgt:
Internet
- Fritz!Box 1 ("DMZ", 192.168.1.1)
-- RPi mit Home Assistant
-- Zahlreiche IoT-Geräte
- Fritzbox 2 ("sicherer Bereich", 192.168.2.1)
-- Meine privaten WLAN-Geräte (Laptop, etc.)
Ich habe also eine Art DMZ für meine IoT-Geräte und mein privates Netzwerk hinter einer zweiten Firewall. Soweit so gut, klappt auch alles prima.
Außer: HomeKit / Bonjour / mDNS
Ich möchte gerne meine IoT-Geräte per HomeKit steuern (HomeBridge läuft auf dem Home Assistant), was nicht mehr funktioniert, wenn ich mit meinen privaten Geräten im privaten Netzwerk bin.
Nun habe ich bereits mehrfach, zuletzt hier gelesen, dass Bonjour nicht über mehrere Subnetze hinweg funktioniert.
Ich habe daraufhin einen weiteren RPi eingebunden, nachdem ich dieser Anleitung gefolgt bin. Der RPi hängt nun hinter Fritzbox 2 und hat die statische IP-Adresse 192.168.2.2. Avahi habe ich installiert.
In
/etc/avahi/hosts192.168.1.35 d1-mini-01.localAb hier komme ich nun nicht mehr weiter, ich kann noch immer nicht per Home-App auf die Geräte zugreifen.
Ich habe nun weiter folgendes versucht:
- Hinzufügen eines weiteren DNS-Servers in den WLAN-Einstellungen am iPhone (192.168.2.2 = RPi)
- gibt mir nur die IPv4- und die IPv6-Adressen meines MacBooks, mit dem ich per SSH auf dem RPi agiere, sonst aber gar nichts (auch nicht die Fritzbox 2):
avahi-browse -at+ eth0 IPv6 Stefan-MacBook_Air _companion-link._tcp local + eth0 IPv4 Stefan-MacBook_Air _companion-link._tcp local
Die einzige Idee, die ich hatte, dass ich allen Privat-Geräten die IoT-Geräte bekannt machen könnte, wäre der DNS-Server gewesen.
Meine Frage ist nun also: Wie kann ich allen Geräten hinter Fritzbox 2 die IoT-Geräte der DMZ bekannt machen, sodass ich sie wieder per HomeKit steuern kann?
Vielen Dank im Voraus und viele Grüße
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1676461965
Url: https://administrator.de/contentid/1676461965
Printed on: April 26, 2024 at 05:04 o'clock
8 Comments
Latest comment
Ich habe daraufhin einen weiteren RPi eingebunden, nachdem ich dieser Anleitung gefolgt bin. Der RPi hängt nun hinter Fritzbox 2 und hat die statische IP-Adresse 192.168.2.2. Avahi habe ich installiert.
Das reicht nicht! Damit die mDNS Multicast-Pakete Subnetzübergreifend transportiert werden können muss der Raspi in beiden Netzen jeweils ein Interface haben, bei einem Raspi und der Frittenhölle dir du da betreibst also entweder mit einem weiteren LAN Adapter per USB oder per WLAN, oder alternativ auch per multicastfähigem VPN/Tunnel in das andere Netz verbunden. Ist das erledigt, muss im Avahi der sogenannte Reflector-Mode in der Config aktiviert werden und die beiden Interfaces freigeschaltet werdenallow-interfaces=eth0,wlan0
enable-reflector=yes
2
Das habe ich so nun umgesetzt. Funktioniert wie gewünscht - danke dafür!
Da ich nicht wusste, dass ich beide Netzwerke verbinden muss (ich hatte es so verstanden, dass ich über die hosts-Datei einfach statisch alle Geräte hinterlegen kann), gibt es ja nun eine direkte Verbindung von DMZ ins private Netzwerk hinein (über den RPi). Wenn nun Firewall 1 (= Fritzbox 1) überwunden werden sollte (z. B. weil eines der IoT-Geräte Sicherheitsprobleme hat), wäre dann nicht auch ein Zugriff über den RPi ins private Netzwerk möglich? Kann ich - auf dem RPi - noch irgendwie sicherstellen, dass dahingehend nichts passiert? Oder denke ich sowieso falsch und es kann gar nichts passieren?
Da ich nicht wusste, dass ich beide Netzwerke verbinden muss (ich hatte es so verstanden, dass ich über die hosts-Datei einfach statisch alle Geräte hinterlegen kann), gibt es ja nun eine direkte Verbindung von DMZ ins private Netzwerk hinein (über den RPi). Wenn nun Firewall 1 (= Fritzbox 1) überwunden werden sollte (z. B. weil eines der IoT-Geräte Sicherheitsprobleme hat), wäre dann nicht auch ein Zugriff über den RPi ins private Netzwerk möglich? Kann ich - auf dem RPi - noch irgendwie sicherstellen, dass dahingehend nichts passiert? Oder denke ich sowieso falsch und es kann gar nichts passieren?
Zitat von @alve89:
Wenn nun Firewall 1 (= Fritzbox 1) überwunden werden sollte (z. B. weil eines der IoT-Geräte Sicherheitsprobleme hat), wäre dann nicht auch ein Zugriff über den RPi ins private Netzwerk möglich? Kann ich - auf dem RPi - noch irgendwie sicherstellen, dass dahingehend nichts passiert?
In der Firewall am PI eben nur die nötigen Ports öffnen (5353/udp) und den Rest dicht machen.Wenn nun Firewall 1 (= Fritzbox 1) überwunden werden sollte (z. B. weil eines der IoT-Geräte Sicherheitsprobleme hat), wäre dann nicht auch ein Zugriff über den RPi ins private Netzwerk möglich? Kann ich - auf dem RPi - noch irgendwie sicherstellen, dass dahingehend nichts passiert?
Aber für einen Hacker der die erste Fritte überwindet für den sollte es auch kein Problem sein dann die zweite Fritte oder ein anderes Device zu kapern, mach dir da keine Illusionen 😉.
Wenn ich danach nun google, finde ich nur Lösungen, wie ich aus dem RPi eine Firewall mache - hat er denn standardmäßig etwas integriert oder muss ich dazu tatsächlich etwas zusätzlich installieren?
Über einen (oder mehrere) Denkanstöße in die richtige Richtung wäre ich dir sehr dankbar, da ich sowohl in der RPi- als auch in der Netzwerkwelt eher Neuling bin.
Über einen (oder mehrere) Denkanstöße in die richtige Richtung wäre ich dir sehr dankbar, da ich sowohl in der RPi- als auch in der Netzwerkwelt eher Neuling bin.
Zitat von @alve89:
Wenn ich danach nun google, finde ich nur Lösungen, wie ich aus dem RPi eine Firewall mache - hat er denn standardmäßig etwas integriert oder muss ich dazu tatsächlich etwas zusätzlich installieren?
Ne Firewall ist immer mit an Bord, nennt sich iptables.Wenn ich danach nun google, finde ich nur Lösungen, wie ich aus dem RPi eine Firewall mache - hat er denn standardmäßig etwas integriert oder muss ich dazu tatsächlich etwas zusätzlich installieren?
Und wenn du keine Ahnung von Firewalls hast dann bringt dir auch eine DMZ ehrlich gesagt nicht wirklich viel.
Da ist dann wohl erst mal ein grundlegendes Studium zu Firewalls von Nöten.
https://www.englert.one/iptables-tutorial
Viel Erfolg. Bitte den Beitrag dann auch schließen.
1
Werde ich mir zu Gemüte führen. Danke für die Hilfe bzgl. Bonjour!
Da ich nicht wusste, dass ich beide Netzwerke verbinden muss
Das liegt daran das mDNS/Bonjour ein Link Local Multcast ist, also eine Multicast Gruppenadresse mit einem TTL von 1 die somit NICHT routebar ist !Netzwerk Management Server mit Raspberry Pi
1
Das hatte ich gesehen, aber technisch wusste ich nicht, dass der RPi dazwischen zu klemmen ist. Wieder was gelernt, danke aber für den Querverweis!
