Logitech Harmony steuert von WAN den Hub in LAN ohne Freigabe? Wie geht das?
-
Hmm, wie kann denn der Echo Dot im WAN Netz sein, wenn Du nur eine einzige IP dort hast?
-
Eine IP nach aussen.
Der Dot hängt an dem WLAN der FritzBox als einziges Gerät. Die pfSense ist als exposed host hinter der FritzBox. Meine anderen Geräte hängen an einem Accesspoint hinter der pfSense. -
Der Dot hängt an dem WLAN der FritzBox als einziges Gerät. Die pfSense ist als exposed host hinter der FritzBox. Meine anderen Geräte hängen an einem Accesspoint hinter der pfSense.
Hui das ist ja noch gruseliger! Du lässt dann also den Echo Dot einfach so ins Netz raus? Die Fritte hat ja nicht wirklich eine Firewall die abgehend filtern kann, also darf der Knabe quasi alles machen was er will? Uff..
Wie wäre das denn richtiger / eleganter gelöst? Mag sein da sich das noch nicht so ganz verstanden habe. Würde mich freuen, wenn Du es mit etwas erklären könntest.
Oh da gehts nicht um eleganter, sondern eher, dass du verstehen musst, wie die Regeln bzw. NAT Einstellungen greifen. Es wird ERST das NAT angewendet, dann die Regeln ausgeführt. Die erste Regel lässt also 443 auf das extIF der Firewall zu. Ggf. kommt da aber gar nichts an, wenn du im NAT Teil schon gesagt hast, dass die Pakete für den internen Server umgeschrieben werden. Ergo ist entweder die obere oder untere Regel unnötig. Wird im NAT das Paket bereits umgeschrieben auf die intere Serveradresse ist die Regel unten korrekt.
Was nicht stimmt: Du musst gar nichts erst zur Firewall lassen und dann irgendwo anders hin. Das wäre nur der Fall wenn die pfSense etwas für die annehmen soll (also als Proxy o.ä. agiert). Wenn das nicht der Fall ist, betrachte wo es herkommt, wo es ankommt (in dem Fall am WAN) und wo es hin will und ggf. wohin es umgeschrieben wird. Dann die Regel entsprechend schreiben. :)
-
Der Dot hängt an dem WLAN der FritzBox als einziges Gerät. Die pfSense ist als exposed host hinter der FritzBox. Meine anderen Geräte hängen an einem Accesspoint hinter der pfSense.
Hui das ist ja noch gruseliger! Du lässt dann also den Echo Dot einfach so ins Netz raus? Die Fritte hat ja nicht wirklich eine Firewall die abgehend filtern kann, also darf der Knabe quasi alles machen was er will? Uff..
Ich weiss ja nicht, kann das Ding nicht eh alles machen, was es will? Ich würde mal vermuten, dass es via Port 443/HTTPS mit Mama Amazon kommunziert. Da wird man mit vertretbarem Aufwand kaum etwas filtern können. Und selbst wenn Du das SSL aufbrichst, veränderst und wieder zu machst Richtung Amazon: Ich denke, sobald Du da ohne genaues Wissen um das "gesprochene" Protokoll anfängst, Stückchen rauszufiltern, geht das Ding einfach nicht mehr…
-
Hui das ist ja noch gruseliger! Du lässt dann also den Echo Dot einfach so ins Netz raus? Die Fritte hat ja nicht wirklich eine Firewall die abgehend filtern kann, also darf der Knabe quasi alles machen was er will? Uff..
Raus ist mir erst mal nicht so wichtig wie rein zu mir.
Der hängt aber auch nur temporär dort, weil ich Probleme mit Bluetooth / WLAN im 2,4GHz hatte. Darum habe ich den mal auf 5GHz umgezogen. Leider können meine Accesspoints kein 5GHz WLAN. Da werde ich wohl mal umstellen, wahrscheinlich auf Ubiquity und dann kann ich die VLANS entsprechen aufsetzen.Oh da gehts nicht um eleganter, sondern eher, dass du verstehen musst, wie die Regeln bzw. NAT Einstellungen greifen.
Ja, ich glaube da hängt es noch bei mir….
Ergo ist entweder die obere oder untere Regel unnötig. Wird im NAT das Paket bereits umgeschrieben auf die intere Serveradresse ist die Regel unten korrekt.
Habe die obere Regel deaktiviert - funktioniert in der Tat….
Was nicht stimmt: Du musst gar nichts erst zur Firewall lassen und dann irgendwo anders hin. Das wäre nur der Fall wenn die pfSense etwas für die annehmen soll (also als Proxy o.ä. agiert). Wenn das nicht der Fall ist, betrachte wo es herkommt, wo es ankommt (in dem Fall am WAN) und wo es hin will und ggf. wohin es umgeschrieben wird. Dann die Regel entsprechend schreiben. :)
Ok, danke. Ich versuchs… Wahrscheinlich brauche ich noch mal Hilfe ;)
-
Ok, danke. Ich versuchs… Wahrscheinlich brauche ich noch mal Hilfe ;)
Daran solls nicht scheitern. Wie gesagt wichtig beim Verstehen, an welchem Interface und von/zu welcher IP eine Regel konfiguriert sein muss:
- WO (an welchem Interface) kommt es in der pfSense an? -> Auf diesem IF wird die Regel gebraucht. Raus gelassen auf einem anderen Interface wirds automatisch.
- Will ich den Sender begrenzen (also das VON) oder den Empfänger festlegen? -> From oder To definieren
- Dito für Ports. Aber in der Regel sind es sehr selten Quellports die gesetzt werden. Will man Dienste eingrenzen, sind es meistens die Zielports die gemeint sind.
- Ist NAT im Spiel? Dann muss die Regel - sofern nicht eh automatisch angelegt bei Port Forwards bspw. - die Adresse NACH dem NATting enthalten. Also bspw. nicht die WAN Adresse sondern die interne.
That's it - im Normalfall :)
-
Es muss ja offensichtlich ein Paket aus der WAN Schnittstelle nach LAN kommen, ohne das LAN das Paket angefordert hat.
DAS ist die "Magie" der IoT, denn sie halten permanent Kontakt zu ihren Servern und bekommen auf diesem Weg auch Pakete zurück.
Alexa, Harmony und das ganze Zeug gehören in ein separates Subnetz und haben im regulären LAN einfach nichts zu suchen. Da würde ich übrignes auch meinen (Smart-)TV hin verbannen, zzgl. zum BluRay Player und so.Warum man sich Alexa freiwillig in sein Heim stellt wird mir wohl ein ewiges Rätsel bleiben.
-
Warum man sich Alexa freiwillig in sein Heim stellt wird mir wohl ein ewiges Rätsel bleiben.
Es ist unheimlich praktisch. Gerade mit Kindern, die Musik hören möchten. Die Bedienung ist einfach und die Inhalte für 3,99€ auf 40 mio Titel verlockend. Ich denke wenn man es mit einigen Vorbehalten und Vorkehrungen nutzt geht das in Ordnung. Es ist für mich ok, wenn Alexa Seeräuberopa Fabian aus der Wolke streamt, und den Verstärker dazu einschaltet. Selbstverständlich würde ich so einem System nie Zugriff auf Haustür oder Fahrzeug geben. Daher will ich es ja nun auch einsperren.
-
Es ist unheimlich praktisch.
Man opfert also freiwillig seine Privatsphäre und lässt Amazon (…) daheim bei allem und immer zuhören, weil es praktisch ist?
Allmächtiger! … -
OT: Nunja, dass das nicht ganz so "EZ" ist, wie sich das manch einer vorgestellt hat mit den AODs (Always-On-Devices), sieht man ja am ersten Fall in de USA, in welchem Alexa als "digitale Zeugin" aussagen soll. Der Fall eines toten ehem. Polizisten, der angeblich ertrunken sein soll, wurde wichtig, als man Spuren eines Kampfes nachweisen konnte. Brisant: Im Außenbereich des Pools und Whirlpools, wo der Tote gefunden wurde, waren Amazons Echos/Alexas zum MusicStreaming im Einsatz. Jetzt möchte die Polizei per Durchsuchungsbefehl gern von Amazon die Sprachaufzeichnungen, die Alexa zur Tatzeit aufgenommen hat.
-> http://arstechnica.com/tech-policy/2016/12/police-ask-alexa-did-you-witness-a-murder/
=> Amazon hat sich m.W. bis dato nicht geäußert, ob sie der Aufforderung nachkamen und welche Daten Alexa tatsächlich gespeichert hatte.Wieder zurück zum Thema: Eine Unterbringung im eigenen VLAN würde ich da wirklich forcieren und andere geeignete Kandidaten dorthin mitnehmen :)