Heimrouter-Kochbuch/ Einsatzbeispiele/ Smart Home

Beschreibung Bearbeiten

Heimnetzwerk mit Smarthome-Elementen

Im internen Netzwerk werden verschiedene Smart Home Elemente eingebunden, auch Mediageräte wie internetfähige Fernsehgeräte. Diese Geräte erhalten ein eigenes Netzwerk. Vom Aufbau ähnelt dies einer Demilitarisierte Zone, auch wenn die Sicherheitsanforderung anders sind.

Je nach Gerätetyp sollen diese Geräte nur intern kommunizieren dürfen und ausschließlich Firmware-Aktualisierungen aus dem Internet laden. Dies geschieht entweder, indem kurzfristig aus diesem Netzwerk ein Internetzugang erlaubt wird, um alle Geräte nacheinander zu aktualisieren. Oder in der Firewall des Routers werden einzelne Adressen mit den Firmware-Dateien freigegeben. Letztere ist allerdings schwer zu pflegen, da der Hersteller die Verteilung der Firmware-Updates umstellen kann und die Freigabe nicht mehr korrekt ist.

Mediengeräte dagegen sollen Zugriff auf das Internet haben. Aber auch hier lassen sich verschiedene Webseiten identifizieren, worauf diese Zugriff haben dürfen. Die Mediengeräte können auch anhand ihrer IP-Adresse in der Firewall für eine gewisse Zeit freigeschaltet werden.

Der Router mit OpenWRT ist in der Lage, die Smart Home Komponenten in einem eigenen Netzwerk lan_a und die Mediengeräte in einem weiteren Netzwerk lan_b zu verwalten. In dieser Anleitung werden der Einfachheit halber beide Geräteklassen in einem Netzwerk lan_media zusammengefasst, welche per Ethernet und WLAN verwaltet wird.

Verbindung Bearbeiten

Mediengeräte, die über einen Ethernet-Anschluss verfügen, sollten über TP-Kabel mit dem Router angeschlossen werden. Liegt in der Nähe keine Patch-Dose, kann eine PowerLAN-Verbindung verwendet werden. Damit muss die benötigte Bandbreite nicht vom WLAN zur Verfügung gestellt werden.

Smart Home Elemente benötigen zwar keine große Bandbreite, aber es können eine Reihe an Pakete zur Synchronisation anfallen, welche die verfügbare Bandbreite im WLAN reduziert.

Einrichtung Bearbeiten

Switch neu konfigurieren Bearbeiten

Unter Network/Switch sind die physikalischen Ethernet-Ports dargestellt. Der Port-Status stellt dar, ob an diesem Port ein Gerät angeschlossen und aktiv ist.

Intern verwendet der Router eine Netzwerkschnittstelle mit 4+1 Ports, von denen ein Port separat ausgeführt und mit Internet (oder vergleichbar) gekennzeichnet ist. Softwareseitig wird dies über ein VLAN (virtuelles LAN) gesteuert. Es sind zwei Einträge vorhanden:

CPU tagged, LAN1-4 untagged und WAN off
CPU tagged, LAN1-4 off und WAN untagged

Damit sind für das Ethernet-Interface zwei VLAN's definiert, die über eth0.1 und eth0.2 angesprochen werden. eth0.1 verbindet die vier internen Ports zu einer eigenen Switch; eth0.2 spricht die Internetschnittstelle an.

Die Ethernet-Verbindung für das Smart Home wird in den Port LAN 4 vorgesehen. Dieser Port wird im Eintrag 1 als off gesetzt.

Es wird ein neues VLAN zugefügt, welches die Nummer 3 erhält. In diesem VLAN wird CPU als tagged und LAN 4 als untagged markiert. Mit Speichern und Übernahme der Änderung wird eine neue Schnittstelle eth0.3 angelegt.

Netzwerk anlegen Bearbeiten

Unter Network/Interfaces wird ein neues Netzwerk lan_media angelegt. Als Protokoll wird Static address ausgewählt und als IPv4-Adresse 192.168.46.3 eingegeben. Die Netzmaske wird dann automatisch auf 255.255.255.0 gesetzt und wird übernommen. Die weiteren Einstellungen können zunächst direkt übernommen werden.

In den Physical Settings wird Bridged interface ausgewählt. Im Feld Interface wird das oben angelegte eth0.3 ausgewählt.

Im Reiter Firewall Settings ist das Feld Create / Assign firewall-zone noch leer. Hier wird im Feld das letzte, leere Feld ausgewählt und dort der Begriff lan_media eingetragen, so dass direkt eine neue Firewallzone angelegt wird.

Der Reiter DHCP Server wird noch kontrolliert. In den allgemeinen Einstellungen wird der IP-Bereich von 100-150 voreingestellt. Damit können 50 Geräte gleichzeitig per DHCP eine IP-Adresse erhalten. Wird für das Smart Home eine Bridge/Gateway verwendet, welche Geräte per ZigBee oder Bluetooth ansprechen, empfiehlt sich, diese eine statische IP-Adresse zuzuordnen. Für diese ist dann der IP-Bereich unterhalb 100 verwendbar.

Unter den erweiterten DHCP Einstellungen wird kontrolliert, ob Dynamic DHCP aktiviert ist.

Die Einstellungen werden gespeichert und übernommen.

WLAN anlegen Bearbeiten

Unter Network/Wireless wird zu dem entsprechenden Adapter eine neue SSID wlan_media angelegt. Zusätzliche Informationen zur Einrichtung sind im vorherigen Szenarium zu finden: Basis-Einrichtung mit WLAN

Die Device Configuration wird entsprechend den bestehenden WLAN-Netzwerken eingerichtet.

Unter den Interface Configuration wird die SSID als Access Point angelegt. Die ESSID wird auf wlan_media gesetzt und dem Netzwerk lan_media zugeordnet.

Je nach eingesetzter Hardware ist zu befürchten, dass WPA2 nicht unterstützt wird. Daher wird unter Wireless Security WPA-PSK/WPA2-PSK eingestellt. Es wird ein langes Passwort vergeben, dass sich der Admin gut merken kann. Die übrigen Einstellungen können zunächst übernommen werden.

Firewallzone konfigurieren Bearbeiten

Es ist bereits die Zone lan_media angelegt. Diese Zone wird editiert.

Der Input-Regel wird drop zugeordnet, damit zunächst alle Pakete aus dem Smart Home Netzwerk nicht vom Router verarbeitet werden. Die interne Kommunikation der Geräte ist hiervon nicht betroffen.

Die Output-Regel bleibt auf accept und Forward auf reject. Im covered networks ist bereits lan_media ausgewählt.

Im Bereich Allow forward to destination zone wird wan ausgewählt.

Soll aus dem internen Netzwerk mit Rechner und Smartphone beispielsweise auf ein Kontrollknoten im Smart Home zugegriffen werden, wird im Feld Allow forward from source zone die Zone lan ausgewählt.

IP-Adressen zuordnen Bearbeiten

Zum jetzigen Zeitpunkt lassen sich einzelnen Geräte feste IP-Adressen zuordnen. Dies ist für Controller relevant. Auch für Geräte, welche in der Firewall eine Sonderbehandlung benötigen, wie Zugriff auf bestimmte Internetadressen erlauben, werden hier eine eigene IP-Adresse zugeordnet.

Die statische Zuordnung von IP-Adressen zu einem Gerät wird unter Network/DHCP und dem Reiter Static Leases verwaltet.

Ist von den Geräten die w:MAC-Adresse bekannt, kann diese hier direkt eingetragen werden. Diesem Eintrag wird ein sprechender Name und IP-Adresse zugeordnet. Sind bereits Smart Home Geräte im Netzwerk angeschlossen, lassen sich deren MAC-Adresse bei einem neuen Eintrag auswählen.

Sind alle Geräte eingetragen, wird diese Liste gespeichert und angewendet.

Firewallregeln einrichten Bearbeiten

Es werden zwei Arten von Filtern eingerichtet.

Zeitgesteurte Firewallregeln Bearbeiten

Diese Regel dient dazu, dazu Mediengeräte nachmittags und abends Zugriff auf das Internet haben.

Es wird eine neue Regel angelegt, der ein eindeutiger Name zugeordnet wird. Als Protokoll wird TCP ausgewählt. Die Source zone wird als lan_media gesetzt.

Sollen nur einzelne Geräte zeitgesteuert ins Internet, dann werden die entsprechenden IP-Adressen eingetragen, die im vorherigen Schritt definiert wurden.

Als Destination zone wird wan ausgewählt. Je nach Einsatzzweck kann auch die Zieladresse spezifiziert werden. Der Zielport (Destination port) wird auf 443 gesetzt. Damit werden ausschließlich Verbindungen zu TLS-Server erlaubt.

Mit der Aktion accept dient die Regel dazu, die entsprechenden Pakete zu erlauben.

In den erweiterten Einstellungen können zusätzlich zu den IP-Adressen auch die zugehörigen MAC-Adressen festgelegt werden. Smart Home Geräte, welche per WLAN angeschlossen werden, besteht die Gefahr, dass deren MAC-Adresse unregelmäßig zufällig erneuert wird. Somit sind MAC-Adressen schlechter geeignet als IP-Adressen.

Unter Time Restrictions wird die Zeitspanne definiert, wann diese Regel zutreffen soll. Stehen Week Days und Month Days aus Any day werden die Zeitrestriktionen an jedem Tag gültig sein. Sollen mehrere Zeitprofile verwendet werden, dann ist für jeden Zeitraum eine eigene Regel anzulegen.

Dieser Regel wird ein Start- und Stopzeit eingetragen im Format Stunde:Minute:Sekunde. Wird hier als Start 15:00:00 und Stop 23:00:00 eingetragen, gilt die Regel jeden Tag zwischen 15 und 23 Uhr.

Zugang zu einem Updateserver zulassen Bearbeiten

Diese Regel dient dazu, dazu Mediengeräte Zugriff zu einem festgelegten Server haben, von dem Updates heruntergeladen werden dürfen.

Es wird eine neue Regel angelegt, der ein eindeutiger Name zugeordnet wird. Als Protokoll wird TCP ausgewählt. Die Source zone wird als lan_media gesetzt.

Sollen nur einzelne Geräte Zugriff zum Updateserver haben, dann werden die entsprechenden IP-Adressen eingetragen, die im vorherigen Schritt definiert wurden.

Als Destination zone wird wan ausgewählt. Vom Updateserver werden die entsprechenden IP-Adressen eingetragen. Der Zielport (Destination port) wird auf 443 gesetzt. Damit werden ausschließlich Verbindungen zu TLS-Server erlaubt.

Mit der Aktion accept dient die Regel dazu, die entsprechenden Pakete zu erlauben.

In den erweiterten Einstellungen können zusätzlich zu den IP-Adressen auch die zugehörigen MAC-Adressen festgelegt werden. Smart Home Geräte, welche per WLAN angeschlossen werden, besteht die Gefahr, dass deren MAC-Adresse unregelmäßig zufällig erneuert wird. Somit sind MAC-Adressen schlechter geeignet als IP-Adressen.

Erweiterungen Bearbeiten

Eigene Regeln Bearbeiten

Die Verwendung der Traffic Rules ist für wenige Regeln noch brauchbar. Über die Custom Rules in der Network/Firewall lassen sich eigene IPtables-Regeln definieren.