MultiWAN und Philips Hue
-
Guten Morgen zusammen,
da dieses Thema nur am Rande die pfSense streift, habe ich mir gedacht, ich eröffne mal hier ein Thread ;)
Hat jemand von euch zufällig ein Multiwan Betrieb und Philips Hue Lampen im Einsatz?
Mir ist beim Einrichten aufgefallen, dass mein Gaming PC, der als einziger an einer zweiten Leitung betrieben wird, sich nicht mit der Philips Hue Bridge verbinden kann(über das Elgato Stream Deck). Alle anderen Geräte (Alexa, HomeAssistant etc) hatten keine Probleme auf das Philips System zuzugreifen. Diese gehen aber auch alle über die gleiche Vodafone Verbindung ins Internet wie die Hue Bridge. Nach etwas Recherche (Packet-Capture) habe ich eine FW Rule erstellt und eine bestimmte HTTPS Verbindung meines Gaming PC ebenfalls über die Vodafone Verbindung geschickt. Und siehe da, ich konnte dann auch auf die Philips Hue Bridge zugreifen.Zum einen ist mir völlig schleierhaft warum Philips Hue den Zugriff auf die Bridge nur von der gleichen Public IP erlaubt und zum anderen werden sich die IPs sicherlich ändern, was es mir zukünftig sicher auch schwer macht und ich die Rule immer wieder anpassen muss.
Hat jemand von euch damit schon Erfahrungen gemacht?
-
@m0nji Und Du willst von außen auf die Hue-Bridge zugreifen? Denn von innen kann man ja auf die interne IP zugreifen und hat kein Problem.
-
@Bob-Dig Nein es geht rein um den internen Zugriff. Die IP kann man nirgends eingeben. Das passiert über ein Discovery. Also weder in der HUE App auf dem Telefon noch im HomeAssistant noch im Streamdeck, noch in der Alexa App kann man die IP manuell eingeben.
Als ich oben geschrieben habe, dass mir schleierhaft ist warum Philips die externe IP zu prüfen scheint. Da meinte ich, wenn ich einen internen Verbindungsaufbau von einem Client zur Hue Bridge mache, scheint im Hintergrund dennoch die Public IP geprüft zu werden. Ist das nicht die gleiche Public IP, wie die der Bridge, kommt ein interner Verbindungsaufbau nicht zu stande.
-
@m0nji Bei Hue kannst Du auch immer eine IP-Adresse eingeben und damit muss der Zugriff immer klappen, wenn er nicht durch die Firewall explizit ausgeschlossen wurde. Keine Ahnung, ob sich da was bei Hue geändert hat. So zumindest bei mir und der App auf Phone und Windows.
-
Dein Netzwerkaufbau ist nicht wirklich klar. Hast du Multi-WAN, Multi-LAN oder beides?
Wenn alle deine Geräte im gleichen LAN sind läuft Traffic untereinander auf Layer 2 und damit komplett an der pfSense vorbei.
Allerdings schreibst du oben etwas von Packet Capture...dein PC ist in einem anderen Netz als das Hue?-Rico
-
Ok noch mal ein Step zurück.
Ich habe eine Multi WAN und Multi LAN Konzept.
WAN1 Vodafone Kabel
WAN2 VVDSLLAN1 (Standard VLAN)
LAN2 (Gäste VLAN)
LAN3 (IoT VLAN)Für den einfachen Testaufbau habe ich sowohl meine internen Clients (PC1, PC2 und Smartphone) im gleichen LAN1 wie die Philips Hue Bridge.
PC2, Smartphone und Philips Bridge gehen über den standard Gateway WAN1 ins Internet
PC1 geht über WAN2 ins Internet.PC2 (über StreamDeck) und das Smartphon (über Hue App) können auf die Bridge von INTERN über eine Art Discovery auf die Hue Bridge zugreifen
PC1 (über StreamDeck) kann auf die Hue Bridge von INTERN nicht zugreifen.Was ist also bei den Clients der Unterschied? Den einzigen für mich erkennbaren: das Gateway nach außen und damit die Public IP welche letztendlich in irgendeiner Form von Philips Hue geprüft zu werden scheint.
Stelle ich bei PC1 das Gateway auf WAN1 geht es.
Richte ich ausschließlich für bestimmte IPs eine FW Rule ein, welche über WAN1 geht, funktioniert auch dann der Zugriff. Diese IPs habe ich über ein Packet Capture rausgefunden. In dem ich im Discovery Vorgang (Suche von kompatiblen Hue Bridges im INTERNEN Netzwerk) geschaut habe, wo mein Client überall hin will. Dabei sind 34.90.173.53, 34.95.100.122 mir aufgefallen, wo auch meethue.com dazu gehört.Mir ist das auch noch nicht klar, was bei einem internen Discovery die externe IP für eine Bedeutung hat aber ich kann aktuell nur das niederschreiben was ich bisher herausfinden konnte. Daher auch meine Frage bzgl. Erfahrungen.
-
Kannst Du mal die Regeln für LAN1 zeigen? Hast Du schon mal probiert, eine RFC1918 Regel zu setzen, die alle Kommunikation in diese Netze von LAN aus erlaubt? Bin mir nämlich nicht sicher, ob die direkte Vorgabe eines Gateways hier nicht stören könnte. Ich meine zumindest, ein externes Discovery ist nicht wirklich nötig, im selben Netz sowieso nicht.
-
Sollte nur stören wenn z.B. der PC und Hue in unterschiedlichen Netzen sitzen.
Aber man weiß ja nie was Philips da zusammengebastelt hat. ;-)-Rico
-
Eine RFC1918 Regel gabs bisher nicht. Die hatte ich nur auf dem WAN1 und WAN2 Interface aktiv für Inbound.
Auf dem LAN Interface kann ich die mal anlegen, wobei ich mir gerade auch nicht erklären soll, was die bringen soll zu mal alle Geräte testweise im gleichen LAN Segement hängen.
Mit dem manuell zugewiesenen Gateway kenne ich zwar auch eine Sonderheit, wie z.b. das verschwinden des ersten Hop bei einem Tracert aber mehr ist mir da auch nicht bekannt.
Zu mal ja die Sonder regel
nun funktioniert und hier ist auch manuell ein ein Gateway zugewiesen. Ich könnte mich zwar erstmal zurücklehnen weil alles funktioniert aber ich bin mir relativ sicher, dass ich den "PhilipsHue" Alias ständig anpasse... :|
Ich mache heute abend mal noch 2 Packet Capture(PC2 und PC1). Vielleicht lässt sich daraus ja doch noch was ableiten. Als ich den Packet Capture gestern gemacht habe, habe ich in den kurzen 5sek auch viel 10.10.10.1 gesehen, was ja bekanntlich für pfblockerng spricht. In den pfblocker Reports habe ich aber nichts gesehen was mit Philips Hue zusammenhängen könnte. -
@m0nji Ich kann nur raten, aber mit deinen Regeln zwingst Du vielleicht die Verbindung von außerhalb stattfinden zu lassen. Da müsste man aber mal alle Regeln sehen.
Bei mir sieht es momentan so aus, hab gerade erst meine Sense neu aufsetzen müssen...
PS: Bei mir geht es, aber auch nur mit manueller Eingabe der privaten IP.
-
@Bob-Dig Übrigens in der iOS App habe ich das jetzt auch gefunden, dass man manuell eine IP vergeben kann wenn das Discovery fehlschlägt. Über den Standard Einbindungs-Assistenten scheint dies nicht möglich. Bei Streamdeck, Alexa und Home Assistant sieht der überall gleich aus.
