Vlan spécifique et communication avec serveur HA

Bonjour,

après une première tentative je viens de plonger à nouveau dans le monde HA.
Le serveur est installé avec une VM sur mon Synology, tous mes accessoires (Hue, Shelly…) sont dans le même Lan global pour toute la maison, possédant un UDM Pro, je me pose la question de créer un Vlan spécifique IoT.
Comme il va y avoir séparation des vlans, je vais devoir créer des règles pour que les infos remontent vers mon serveur HA et que je puisse piloter et avoir les infos collectées, n’étant pas un expert réseau j’ai peur que le remède soit pire que le mal…
J’avoue ne pas trop savoir quelle organisation mettre en place, et l’avis et infos d’autres utilisateurs m’intéressent sur le sujet.

Merci d’avance pour vos retours.

et

Comme ça, je dirais que tu as ta réponse. Oublie. C’est aller au devant d’ennuis pour un bénéfice (à mon avis) discutable.

Ce qui est plus simple et suivant ta situation faisable (ou pas), c’est d’empêcher les « chinoiseries » à aller sur Internet pour un oui / pour un non.
Typiquement, les ampoules xiaomi envoient des trucs en Chine sans arrêt. J’ai mis un filtre sur mon firewall et tout va bien. Les ampoules sur sur le même LAN que le reste. Mais, elles ne peuvent pas envoyer des choses vers des destinations lointaines…

1 « J'aime »

Hello

Jamais je passerais sur du vlan pour une domo
Je rejoint @golfvert tu vas au devant d’ennui pas possible , pourquoi faire compliqué !!
La tu vas partir sur ce type d’installe tu vas y passé des heures, et quand tu auras des soucis que tu vas pas réussir à résoudre tu vas crié au secours. :grinning:

J’ai connu des informaticiens ( avec bac +++++++ ) il s’y on galère comme pas possible a résoudre des souci de vlan .

Pourquoi un tel intérêt pour du vLan d’ailleurs, la dernière fois que j’ai du faire vlan étais pour ma Freebox , car j’ai viré la box de free… et tout ca rien que pour avoir la TV :joy:

J’utilise un VLAN pour l’IoT, c’est beaucoup plus sûr. Il suffit de créer les bonnes règles.
Je m’etais appuyer sur ce site pour les créer et tout fonctionne.
Règles VLAN USM PRO

Ah? De quel point de vue?

Pour que ça soit vraiment plus sur, il faut un firewall entre les deux vlan. Savoir gérer ce firewall. Mettre les règles les plus restrictives possibles…

Donc, sans aller jusqu’à:

C’est quand même plutôt compliqué pour pas grand chose.

Typiquement, si on ouvre son HA sur internet avec duckdns ou équivalent, mettre des VLANs pour la sécurité (j’imagine), c’est mettre des barreaux aux fenêtres et laisser la porte ouverte.

Les firewall sont en place de mon côté et pas de duckdns. Les IOT ne sont pas accessibles via le net donc pas moyen de les pirater

« Rien » ne doit être accessible depuis internet. IOT ou pas.
Et je serai plus embêté par ce que les IOT pourraient envoyer sur Internet (cf. les ampoules xiaomi très bavardes). Et pour filter ça, pas besoin de faire un VLAN.

1 « J'aime »

Non mais ne pas oublier les domaine de brodcast ou justement une bonne partie des equipements IoT utilise cela pour detecter ou sont les petit copains.

Les vlan sont fait pour séparer des reseaux interne et faire en sorte de remonter les flux jusqu’au routeur/firewall du reseau en question, qui lui permet ou non les flux en question.

Il suffit juste de connaitre le reseau, le matériel et avoir les infos pour bien faire la configuration qui va bien…

car pour info si ta chinoiserie est accessible pour faire une mise à jours et que quelqu’un prend la main a distance sur cette chinoiserie par du reverse engineering ou autre , autant te dire que le mec fait ce qu’il veut sur tous ton réseau interne sans que tu ne voie quoi que ce sois…

Donc ne dite pas qu’il ne faut pas faire de VLAN car "genre sa sert a rien ou tu va au-delà des ennuis, c’est juste qu’il faut savoir ce que l’ont fait comment fonctionne le brodcast, multicast, unicast et autre qui sont utiliser par certain équipement,

1 « J'aime »

On est bien d’accord mais je préfère séparer mes reseaux en fonction de leur utilisation. Un invité ne peux aller sur n’importe quel équipement juste parce qu’il est connecté sur du wifi chez moi par exemple.

tu peux pas crée un réseau wifi invité par exemple
avec mon routeur asus , je peux faire cela , ca évite que les amis et autre ne puisse avoir access a mon réseau perso / domotique par exemple.

Apres si ton invité ce connecte sur ton réseau est que tu lui as donné accès ( code wifi )

J’ai retrouvé un article que j’avais lu y’a quelque temps sur le Hacking des vlan

Si je peux créer un réseau invité et c’est ce que j’ai fait. Après, tout est toujours crackable, l’idée est juste de compliqué la vie de celui qui veut le faire au maximum.

Bonjour,

je vois que le sujet fait débat, merci pour le lien.
Si tu as suivi ce tuto, tu as donc placé tes objets dans ce Vlan dédié mais quid de ton serveur HA, tu l’as laissé sur ton Lan principal ou tu as créé des règles spécifiques ?

Merci.

Oui, les IoT sont sur un VLAN dédié et HA sur le VLAN principal. Pour ce qui est des règles, celles données dans le tuto permettent la communication.

ton article est bien comme il l’indique le vlan ne fait pas tous c’est pour cela qu’il faut svoir ce que l’ont fait et veux au final pour savoir quel config mettre et dans quel equipement

1 « J'aime »