Hey liebe Sophos-Community,
ich brauche eure Hilfe, da ich sonst nach drei Tagen rumprobieren wahnsinnig werde.
Was hab ich vor?
Ich betreibe zwei Sophos UTM Firewalls zuhause, eine UTM 320 welche das LAN verwaltet und eine SG115 welche das WLAN managed.
Ich habe auf VLAN betrieb umgestellt, vorher ging (natürlich) alles.
Jetzt habe ich das Problem, dass mein Homeassistant im ManagementVLAN zwar die Shellys um die es geht im IoTWLAN pingen kann, aber ich kann sie nicht über die Integration hinzufügen, er sagt mir immer "Verbindung fehlgeschlagen". Habt ihr vielleicht irgendwelche Ideen um die es geht? Mein Netzaufbau nachfolgend.
Sophos UTM 320 Rev. 5 im VLAN 100 (ManagementLAN, 192.168.100.0/24, 192.168.100.254)
Sophos SG 115 Rev. 3 im VLAN 100 (ManagementLAN, 192.168.100.0/24, 192.168.100.252)
Beide Geräte haben eine Schnittstelle im VLAN 100, zusätzlich besitzt die SG115 natürlich eine IP-Adresse im IoTWLAN, da sie das Gatetway der Geräte ist.
Sophos SG 115 Rev. 3 im VLAN 500 (IoTWLAN, 192.168.5.0/24, 192.168.5.254)
Sämtliche Shellies befinden sich ebenfalls im besagten VLAN 500 und sind durch den Homeassistant im VLAN 100 pingbar.
Homeassistant auf Raspi (ManagementLAN, VID 100, 192.168.100.12)
Ich bin von meinem PC im VLAN 10 ("normale" LAN-Umgebung der Endgeräte ohne Aufgabe im Netz, 192.168.10.0/24) die Weboberfläche des Homeassistant sowie der Shellies aufzurufen, die Webfilterfreigabe für HTTP-Traffic für Homeassistant und Shellies ist bereits auf beiden Firewalls angelegt.
Da alle Geräte sich gegenseitig erreichen können und auch fleißig Traffic zwischen den Unterschiedlichen VLANs stattfindet (grün, grün grün sind die Firewall-Logs) kann ich Routingprobleme ausschließen.
Was sonst noch wichtig sein könnte?
- Pi-Hole im VLAN 100 als DNS Forwarder für sämtliche VLANS
- Zentraler Switch in der Mitte (Netgear GS724T), welche alle LAN-Geräte entsprechend verbindet. Die Trunkports an denen die Firewall alsLAG angeschlossen sind trunken sämtliche VLANs um die Erreichbarkeit sicherzustellen
- Shellies der 1. bis 3. Generation im Einsatz. Für die der ersten Gen. habe ich den ColoT-Eintrag bereits auf 192.168.100.12:5683 geändert (trotzdem keine Erreichbarkeit). Shellies der 3. Gen benötigen keine weitere Konfig, Outbound Websocket oder so?
- IGMP Snooping ist auf dem Switch deaktiviert. Das Netz ist sich irgendwie uneinig ob an oder aus, ich habs ausgelassen, da es ja nur eine Optimierung der Erreichbarkeit darstellt, nicht aber kritisch für die erreichbarkeit an sich ist.
- Multicast Routing kann ich nicht aktivieren, da ich auf der UTM 320 keine zwei Interfaces anlegen kann (ManagementLAN und IoTWLAN, da das IoTWLAN ja auf der SG115 verortet ist
- Brauche ich eine NAT-Regel? In einem alten Backup mit der alten Konfig waren sämtliche Geräte in einem Netz, kein VLAN und nur die SG115. Dort hatte ich folgende DNAT-Regel aktiv: LAN -> Shelly-Dienst (Port 5683) -> Firewall übersetzen in: Homeassistant -> Shelly-Dienst (5683). Benötige ich wieder so eine Regel und wenn ja, welche Regel auf welcher Firewall? Ich weiß leider nicht mehr warum ich sie damals angelegt hatte.
- Firewall-Logs der UTM320 zeigen die Anfragen des Homeassistant an den Shelly, allerdings grau hinterlegt mit "Verdächtiger TCP-Status".
-Firewall-Logs der SG115 zeigen die Anfragen des Homeassistant auf den Shelly nicht
- Im Netz ist noch was von MulticastDNS die Rede?
- Der Homeassistant läuft intern über HTTP
Mehr fällt mir ad hoc nicht ein, ich hoffe ihr könnt mir helfen. Natürlich könnte ich den Homeassistant in das IoT-Netz packen, aber das wäre ehrlich gesagt nur das letze Mittel für mich.
Vielen Dank im Voraus!!