Configuration en Vlan et bizarreries HA

syl2222_fr · Août 9, 2023, 2:05

Bien le bonjour.

J’imagine que le sujet a déjà été abordé, mais, dés qu’on touche au réseau , chaque installation est spécifique , du coup, je lance un nouveau sujet !

Après avoir pendant de nombreuses années tout laissé en vrac dans mon réseau, je me suis attelé à faire de la segmentation et de la sécurisation

1°) Mon installation Réseau (simplifiée pour les explications):
Livebox =>Pfsense
La livebox ne me sert que d’accès internet
Pfsense me sert de dhcp , de firewall, et de routeur.

derrière Pfsense, 3 vlans :
Vlan 10 => Les telephones, tablette, alexa , etc …
Vlan 20 => Les camera ip
Vlan 30 => Iot (principalement du esphome)

Home assistant: (HAOS Vm sous esxi) , version 2023.08
Historiquement, HA est sur le vlan10 . Les caméras et Iot aussi.
J’ai rajouté 2 interfaces sur HA (vlan 20 et 30) , et affecté des IP à celui-ci.
J’ai basculé les caméras dans le vlan 20 et les iot dans le vlan30.

Bin, ça marche pas comme je le veux (du coup, roolback).

J’ai l’impression que HA fait un peu ce qu’il veut avec ses ports d’écoute et ses interfaces.

Je constate que des fois (quand je fais des tests ) :
Les Iot dans le vlan 30 essayent de contacter HA qui est dans le vlan 10 (alors que Ha a une patte dans le vlan 30).
Les cameras dans le vlans 20 sont contactés par Ha depuis le vlan10 , mais, les flux ‹ en live › passent bien par la patte de HA dans le vlan 20.

Dans systeme/network , il y a bien une interface préférée , mais que pour le multicast , so ?

Quand je fais des recherche, je ne trouve pas le bon ‹ paterne › et du coup, si je recherche ‹ HA, multiple interfaces integrations › , je ne trouve pas mon bonheur.

Pour rajouter à la complexité: Je ne souhaite pas faire de routage inter-vlan sur le Fw (trop simple et retire le fun du debug)

Mes questions:
Comment forcer HA à vraiment utiliser les interfaces directement connectées sans passer par le Fw ?
J’avais pensé à retirer l’ensemble des gateways, mais ça me bloque les updates.
Est-ce que parmis vous, certains se sont retrouvés dans des situations identiques ? Comment s’en sont-ils sorti ?
Ou , plus simplement: J’ai raté un truc énorme => C’est quoi que j’ai raté ?

Bon été à tout le monde !
Sylvain

vincen · Août 9, 2023, 2:44

Du VLAN pour la maison c’est pas un peu lourdingue ? Perso une classe C bien divisée ça le fait très bien ou au pire un réseau en /22 par exemple non ?
Pour HA tu ne peux pas à ma connaissance en l’état actuel le forcer à utiliser telle ou telle interface selon les besoins

golfvert · Août 9, 2023, 3:08

Je plussoie sur le côté lourdingue de l’approche
Je n’ai pas testé, mais, vu que HAOS est prévu pour M. Tout le monde qui ne sait même pas ce qu’est un VLAN, ça ne me surprend guère.
Je pense qu’il va falloir passer of HA Supervised (sur debian) ou HA Cord (en container) pour pouvoir bricoler avec les VLANs.
Et là, en gérant Linux comme tu l’entends, tu pourras faire des VLANs et des trucs qui sortent des sentiers battus.

Il y a quand même d’autres choses qui risquent de ne pas être simple.
Typiquement, certains protocoles de découvertes s’appuient sur du multicast. Du multicast en environnement VLANs avec l’appli maître qui tourne en host sur docker, ça doit être amusant à faire marcher.

syl2222_fr · Août 9, 2023, 3:52

Yop,

Pas obligatoirement . Un wireshark un jour sur mon pc m’a fait saigner des yeux quand j’ai vu le chantier et puis la segmentation vlan viens du fait que j’ai pas mal de chinoiseries qui aiment bien contacter des trucs bizarre . Rien que les caméras reolink c’est wtf !

Par contre, passer sur une debian + HA Supervised , c’est clair que c’est une solution simple . Je redeviens maitre de la couche réseau et peut faire ce que je veux.
Zut , encore un truc à rajouter à ma todo liste.

Merci pour votre retour !

vincen · Août 9, 2023, 4:26

ça tu peux le bloquer assez facilement en leur mettant une passerelle bidon et des adresse bidon de dns et normalement ça ne sortira plus

Si tu te lances dans l’aventure, curieux de connaitre le résultat car je suis pas convaincu que cela marche vraiment malgré tout (déja comme indiqué par @golfvert le multicast ça va coincer je pense et aussi HA n’intègre pas en l’état actuel de fonctions de routage ou de gestion d’interfaces réseau multiples…).

bon amusement en tout cas

golfvert · Août 9, 2023, 4:32

Effectivement, il y a des bavards vers la Chine.
Vu que tu as pfsense, bloquer les IP de chinoiseries c’est un « jeu d’enfants ».
Tu peux aussi via Pi Hole par exemple bloquer les requêtes DNS vers des sites à éviter.
J’évite les trucs bidons vu qu’en général ça utilise le DHCP de chez toi.

Si c’est le but, au delà de l’amusement, alors ça me semble beaucoup plus gérable que des VLANs.

syl2222_fr · Août 9, 2023, 5:13

Pour les vlans, j’ai pas vraiment le choix car, j’ai simplifié mon installation quand je vous l’ai présentée
J’ai déja quelques autres vlans dédiés à des besoins privés , pro , des wifi dans des vlans dédiés , etc

Dans le pire des cas, si j’y arrive pas, je cloisonnerai Ha avec les Iot dans un vlan dédié ou, je regarderai pour du routage. J’ai laissé tomber les Gw bidon car ça générait trop de requête arp pour rien

Oui, on est d’accord et , pour ‹ filtrer › un peu plus, pfsense fait relay dns vers adguard

J’ai pas encore réfléchit , mais , iptables est mon ami. Y’a moyen de créer des tables Nat , du bridge …Manque juste le temps d’y réfléchir et de tester sur une vm

Bonne soirée à vous

golfvert · Août 9, 2023, 5:53

Je comprends que les VLANs c’est parti !

Par contre, pourquoi mettre un « host » comme HA dans plusieurs VLAN ?
Dans un environnement d’entreprise (là, tu t’en rapproches), les hosts/serveurs sont dans un VLAN et c’est le routeur qui fait le taf.

Mettre plusieurs IP sur un serveur avec des interfaces virtuelles c’est pas vraiment simple à gérer.