|
Przekierowanie multicast z jednej podsieci do drugiej
|
| roger7 |
Dodano 19-08-2020 21:41
|
User
Posty: 14
Dołączył: 05/03/2016 23:57
|
Cześć
Mam dwie podsieci (Netgear R7000 z FreshTomato):
Main (lan0) - 192.168.1.0/24 dla komputerów i telefonów komórkowych
IOT - (lan1) - 192.168.2.0/24 - dla urządzeń iot (tasmota, xiaomi, shelly itp.), Aby oddzielić je od głównej podsieci.
Istnieje pełny dostęp z lan0 do lan1, więc mogę uzyskać dostęp do urządzeń z lan1 podłączonych do lan0 (działa ping, mogę się połączyć do tych urządzeń po http, itp.).
Brak dostępu z lan1 do lan0.
Aplikacja, którą używam dla shelly, używa multicast, żeby łączyć się z urządzeniami lokalnie (inaczej dostęp jest tylko przez chmurę).
A dokładnie wg producenta: "Discovery protocol is using coap broadcasts to 'indicate' shelly devices in the network"
Zatem będąc podłączony do AP w lan0 aplikacja nie widzi tych urządzeń lokalnie, tylko przez chmurę. Natomiast widzi je lokalnie gdy jest podłączona do AP w lan1.
Jak mogę routować taki ruch pomiędzy sieciami w tomato?
Pozdrawiam |
| |
|
|
| qwerty321 |
Dodano 20-08-2020 22:33
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Tylko po co chcesz oddzielać sieci osobnymi br i następnie chcesz routować ruch między nimi :-) To nie ma sensu :-) |
| |
|
|
| roger7 |
Dodano 20-08-2020 22:42
|
User
Posty: 14
Dołączył: 05/03/2016 23:57
|
Cytat qwerty321 napisał(a):
Tylko po co chcesz oddzielać sieci osobnymi br i następnie chcesz routować ruch między nimi :-) To nie ma sensu :-)
Nie jestem ekspertem, pewnie masz rację.
Wydawało mi się, że będzie to routować tylko pewien specyficzny ruch, potrzeby do "discovery", a nie cały.
Czy gadam głupoty? |
| |
|
|
| amikot |
Dodano 21-08-2020 00:35
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Przekierowanie całego ruchu w obie strony znosi sens ustawiania 2 podsieci, ale z kontrolowanym/selektywnym routingiem można uzyskać bardzo ciekawe efekty - w końcu pomiędzy tymi subnetami jest NAT - to daje spore możliwości kontrolowania dostępu.
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| qwerty321 |
Dodano 23-08-2020 04:15
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Tak sobie rzuciłem okiem na "Discovery protocol is using coap broadcasts to 'indicate' shelly devices in the network". To jest tak niejasne i pokręcone, że bałbym się tego w ogóle podłączać do sieci. To jest jak jakiś backdoor czy inne paskudztwo, które nie wiadomo co robi i po co. |
| |
|
|
| amikot |
Dodano 23-08-2020 13:40
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Cytat qwerty321 napisał(a):
Tak sobie rzuciłem okiem na "Discovery protocol is using coap broadcasts to 'indicate' shelly devices in the network". To jest tak niejasne i pokręcone, że bałbym się tego w ogóle podłączać do sieci. To jest jak jakiś backdoor czy inne paskudztwo, które nie wiadomo co robi i po co.
Połowa nowoczesnych domowych urządzeń użytkowych jest potencjalnie niebezpieczna. Lodówki, telewizory, mediaboxy, echodoty i inne google huby a nawet żarówki WiFi - wszystko to może mieć backdoor i może pozwalać tej czy innej firmie gmerać po naszych domowych sieciach nie po żadnych tajnych portach, a przez ich własne oficjalne kanały przesyłowe.
Nie wiem czy jest w ogóle możliwe uniknięcie szpiegowania. Jasne że zagrożenie jest inne i raczej znikome - google czy amazon to nie to samo co przeciętny haker chcący ukraść nam pieniądze z konta. Ale nawet w takich firmach zdażają się cwaniaki kradnące dane, a co dopiero w chińskich firmach produkujących IP-camy albo żarówki wifi? Z kamerami zresztą kiedyś była jakaś afera - ktoś nawet zrobił stronkę podglądającą ludzi którzy nie zmienili standardowych haseł.
A przecież przy odpowiednim oprogramowaniu to przez ten sam port można dostać się za firewall i zrobić sobie z takiej kamerki czy żarówki zwyczajne proxy do sieci LAN.
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| Steel_Rat |
Dodano 23-08-2020 13:50
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Dlatego ja mam osobna podsieć dla urządzeń IoT. Po za tym używam tylko otwartego oprogramowania. Takiego jak Domoticz jako serwer. Po za tym wszystkie żarówki, włączniki mają zmienione oprogramowanie. Jest tam Tasmota lub AFE Firmware. Wszystko ma swoje źródła dostępne w necie. Kamer co prawda nie mam, w nich raczej nie można zmienić firmware.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| qwerty321 |
Dodano 24-08-2020 21:18
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
A ja mam urządzenia też na open source, które wiadomo co robią z definicji, a soft do obsługi napisałem sobie sam i na komputer i na telefon :-) Nigdy bym takiego kupnego IoT nie podłączył, nawet bym tego nie nabył :-) Lodówka z internetem to wybryk, kupiłem lodówkę z ręcznym termostatem, bo poprzednia "elektroniczna" szybko ducha wyzionęła, a nie była to to jeszcze lodówka IoT tylko taka z panelem. Mam zamrażarkę w piwnicy, która działa od blisko 30 lat i naprawdę nie wiem po co w lodówce czy zamrażarce jakakolwiek elektronika. W zamrażarce jest termometr jeszcze rtęciowy. |
| |
|
|
| roger7 |
Dodano 25-08-2020 05:07
|
User
Posty: 14
Dołączył: 05/03/2016 23:57
|
Cytat qwerty321 napisał(a):
Tak sobie rzuciłem okiem na "Discovery protocol is using coap broadcasts to 'indicate' shelly devices in the network". To jest tak niejasne i pokręcone, że bałbym się tego w ogóle podłączać do sieci. To jest jak jakiś backdoor czy inne paskudztwo, które nie wiadomo co robi i po co.
Normalny protokół UDP wymiany dla urządzeń iot, RFC 7252:
https://www.eclipse.org/community/eclipse_newsletter/2014/february/article2.php
https://en.wikipedia.org/wiki/Constrained_Application_Protocol
A shelly to dosyć znany producent w branży. Zresztą urządzenie można przełączyć na MQTT, wspiera też REST Api.
Połączony z 25 sierpnia 2020 05:10:02:
Cytat Steel_Rat napisał(a):
Dlatego ja mam osobna podsieć dla urządzeń IoT. Po za tym używam tylko otwartego oprogramowania. Takiego jak Domoticz jako serwer. Po za tym wszystkie żarówki, włączniki mają zmienione oprogramowanie. Jest tam Tasmota lub AFE Firmware. Wszystko ma swoje źródła dostępne w necie. Kamer co prawda nie mam, w nich raczej nie można zmienić firmware.
Też tak chciałem zrobić ale nie do końca wtedy działa coap. Myślałem, żeby otworzyć ruch multicast z głównego lan do tego z iot ale nie wiem jak to poprawnie zrobić w tomato.
Z tym, że wszyscy tu piszą, że wtedy otwieram cały ruch i podział na osobne lany nie ma wtedy sensu.
Edytowany przez roger7 dnia 25-08-2020 05:10
|
| |
|
|
| Steel_Rat |
Dodano 25-08-2020 09:26
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Raczej robi się vlan by odseparować sieci od siebie.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| roger7 |
Dodano 25-08-2020 13:06
|
User
Posty: 14
Dołączył: 05/03/2016 23:57
|
Wydaje mi się, że tak właśnie zrobiłem, co opisałem w pytaniu.
Stąd właśnie cały ten wątek oraz po raz pytanie jak przekierować ruch multicast z jednej do drugiej podsieci. |
| |
|
' target='_blank'>Link
