[fli4l] VLAN: IoT-Geräte - "Performance" sehr schlecht

Sebastian Klein fli4l at wysiwyng.de
Do Jan 31 17:56:18 CET 2019


Moin Klaus,

Am 31.01.19 um 08:45 schrieb K. Dreier:
> (4.0 testing)
> 
> ich habe meine IoT-Geräte wie z.B. den Amazon Echo Dot in ihr eigenes
> VLAN mit eigener SSID gesteckt. Funktioniert bestens. WLAN-Performance
> ist einwandfrei, wenn ich das z.B. mit einem Handy teste.
> Die SSID hat keinen "Gäste-Modus" aktiviert, d.h. die Geräte in diesem
> WLAN können grundsätzlich miteinander reden und natürlich, via
> Firewall-Regel, auch ins Internet. Manchen Geräten ist zusätzlich via
> Zugangskontrolle aber der Zugang ins WAN verboten. Das funktioniert
> auch, die Geräte sind also in der Tat fürs WAN geblockt. Mein Amazon
> Echo Dot aber ist dort erlaubt, also _nicht_ geblockt.
> 
> Aber: aktiviere ich den mittels seines wake words, dann dauert es einen
> Moment und er motzt, daß er keine Internet-Verbindung hat. Das passiert
> nur, wenn er im VLAN hängt. Hängt er im Haupt-WLAN (faktisch
> VLAN1/Mgmt) dann funktioniert es einwandfrei. Der Dot ist also nicht das
> Problem. Das Internet selbst auch nicht.

Kätzerische Frage: der Port bzw. das WLAN sendet in dem VLAN untagged
oder? Denn der Dot wird an sich kein VLAN sprechen...

> Ich gehe eher davon aus, daß es hier ein Problem mit der Firewall gibt
> bzw. mein zusätzlich im Haupt-LAN eingehängter pi-hole evtl
> dazwischenfunkt. Dort sind die Amazon-Dienste für den Dot erlaubt, und
> wie gesagt, hängt der Dot im Hauptnetz geht es ja. Es scheint aber ein
> Kommunikationsproblem vom VLAN zum pihole zu geben oder jedenfalls
> generell für DNS- und was sonst noch immer nötig ist an Abfragen.
> 
> Als Firewall-Regeln habe ich einerseits Standard (also u.a. Reject),
> andererseits zusätzlich das folgende (NET_5 ist das VLAN und NET_2 ist
> das Hauptlan, wo u.a. der pihole hängt; es gibt natürlich noch weitere
> Regeln für die anderen Netze):
> 
> PF_INPUT[]='tmpl:dns NET_5 ACCEPT'
> PF_INPUT[]='tmpl:ntp NET_5 ACCEPT'
> PF_INPUT[]='tmpl:ping NET_5 ACCEPT' # jedenfalls mal für den Anfang
> 
> Bei den Forward-Regeln habe ich u.a.: 
> PF_FORWARD[]='@pihole NET_5 ACCEPT BIDIRECTIONAL' # wobei ich das
> Bidirectional auch mal gelöscht habe zum Testen
> PF_FORWARD[]='NET_5 IP_NET_2 DROP'

das Sieht so erstmal ganz gut aus...

> Ist da was falsch oder fehlt was, um mein obiges Problem zu beseitigen?

nichts weiter, wenn ich es recht überblicke...


-- 
Grüße,
Sebastian
[fli4l-team]


Mehr Informationen über die Mailingliste Fli4L