[fli4l] VLAN: IoT-Geräte ?==?utf-8?Q?- "Performance" sehr schle?==?utf-8?Q?cht

K. Dreier usenetforum at gmx.net
Do Jan 31 08:45:31 CET 2019


Hallo,

(4.0 testing)

ich habe meine IoT-Geräte wie z.B. den Amazon Echo Dot in ihr eigenes
VLAN mit eigener SSID gesteckt. Funktioniert bestens. WLAN-Performance
ist einwandfrei, wenn ich das z.B. mit einem Handy teste.
Die SSID hat keinen "Gäste-Modus" aktiviert, d.h. die Geräte in diesem
WLAN können grundsätzlich miteinander reden und natürlich, via
Firewall-Regel, auch ins Internet. Manchen Geräten ist zusätzlich via
Zugangskontrolle aber der Zugang ins WAN verboten. Das funktioniert
auch, die Geräte sind also in der Tat fürs WAN geblockt. Mein Amazon
Echo Dot aber ist dort erlaubt, also _nicht_ geblockt.

Aber: aktiviere ich den mittels seines wake words, dann dauert es einen
Moment und er motzt, daß er keine Internet-Verbindung hat. Das passiert
nur, wenn er im VLAN hängt. Hängt er im Haupt-WLAN (faktisch
VLAN1/Mgmt) dann funktioniert es einwandfrei. Der Dot ist also nicht das
Problem. Das Internet selbst auch nicht.

Ich gehe eher davon aus, daß es hier ein Problem mit der Firewall gibt
bzw. mein zusätzlich im Haupt-LAN eingehängter pi-hole evtl
dazwischenfunkt. Dort sind die Amazon-Dienste für den Dot erlaubt, und
wie gesagt, hängt der Dot im Hauptnetz geht es ja. Es scheint aber ein
Kommunikationsproblem vom VLAN zum pihole zu geben oder jedenfalls
generell für DNS- und was sonst noch immer nötig ist an Abfragen.

Als Firewall-Regeln habe ich einerseits Standard (also u.a. Reject),
andererseits zusätzlich das folgende (NET_5 ist das VLAN und NET_2 ist
das Hauptlan, wo u.a. der pihole hängt; es gibt natürlich noch weitere
Regeln für die anderen Netze):

PF_INPUT[]='tmpl:dns NET_5 ACCEPT'
PF_INPUT[]='tmpl:ntp NET_5 ACCEPT'
PF_INPUT[]='tmpl:ping NET_5 ACCEPT' # jedenfalls mal für den Anfang

Bei den Forward-Regeln habe ich u.a.: 
PF_FORWARD[]='@pihole NET_5 ACCEPT BIDIRECTIONAL' # wobei ich das
Bidirectional auch mal gelöscht habe zum Testen
PF_FORWARD[]='NET_5 IP_NET_2 DROP'

Ist da was falsch oder fehlt was, um mein obiges Problem zu beseitigen?

Gruß
Klaus


Mehr Informationen über die Mailingliste Fli4L