Aller au contenu
gargamel01000

HC3 dans un VLAN

Recommended Posts

Bonjour à tous, de retour après un long moment d'absence, je me suis enfin décidé à investir dans une HC3. 

Je rencontre un soucis pour me connecter depuis l'appli mobile en local a ma HC3. Pour le contexte j'ai entièrement refait mon installation réseau avec de l'unifi et j'ai abusé des vlans.

Mes devices iOS sont dans un vlan IoT et ma HC3 est dans un vlan Domotique. J'ai une règle qui autorise mes devices iOS à accéder à ma HC3, mais lorsque j'essai de me connecter en local en indiquant l'IP local de la HC3 pas moyen.

 

Avez vous un moyen de contourner ce blocage ou c'est mort et je doit me résigner à tous mettre dans le même vlan.

 

Merci

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

C'est étrange.... on est plusieurs à utiliser l'IP locale, et même mieux que ça, le nom de domaine local exposé sur Internet, et filtré au travers d'un reverse proxy... dans mon cas ça saute 2 VLAN et donc passe au travers de 2 firewalls hyper restrictifs (configuration de type deny-all puis ouverture des ports un par un en fonction des besoins), un Web Application Firewall (pour lequel j'ai dû ajouter quelques exclusions), et ça fonctionne très bien, et sans le cloud de Fibaro.

 

Pour une configuration aussi simple que la tienne, il doit y avoir un truc quelque part qui ne va pas dans ta configuration Unifi... mais quoi ? Là j'ai pas d'idée... mais ça devrait marcher, puisque ça marche chez moi avec une config bien plus complexe.

 

Modifié par Lazer

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci Lazer pour ta réponse, bon finalement j'ai pu me connecter, j'ai désactivé la connexion forcée https et réinstallé l'appli sur mon iPad et la connexion est OK.

Sinon j'ai vu dans ta signature que tu as des caméras. J'ai commencer par réintégrer toutes mes caméras sur la HC3 que sont dans un vlan dédié. Je visualise bien l'image coté backoffice, par contre sur l'appli j'ai un message qui m'indique "impossible de connecter à la caméra". pour info toutes mes caméras sont de marque Axis et aucun problème sur ma HC2.

 

Merci et bonne soirée

Partager ce message


Lien à poster
Partager sur d’autres sites

OK, normal pour le https bloqué avec l'application, c'est par mesure de sécurité, l'appli refuse les certificats auto-signés comme c'est le cas sur la box par défaut.
Le fait de passer par le cloud Fibaro ou bien par un reverse proxy (avec certificat Let's Encrypt) permet d'assurer la sécurité en https avec un certificat correctement signé par une AC reconnue sur le Web.

Donc en local, il faut utiliser le http de base.

On en a pas mal parlé il y a quelques semaines/mois sur le topic dédié à l'application Yubii.

 

Ma signature n'est plus trop à jour.... mes caméras sont des Hikvision, et encore une Foscam qui traine.

Mais peu importe... surtout je me moque complètement d'avoir l'image des caméras dans l'application Fibaro, ce n'est pas pratique du tout, on n'a pas accès à l'historique (enregistrement), etc j'aime pas.
J'utilise l'appli de mon NAS (DS Cam) qui est vraiment prévue pour faire que ça, et bien.

Toutefois, mes caméras sont connues de la HC3, uniquement pour l'envoi de screenshots par email de façon instantanée en cas d'événement lié à la sécurité.

Bref... Je ne saurai pas t'aider, mais regarde sur le forum, tu n'es pas le seul à avoir des soucis d'image de caméras sur l'appli Fibaro, ce sujet a souvent été abordé.

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello

Je remonte ce sujet car j avais jamais vraiment configurer des VLAN & co et avec ma nouvelle installation j aimerai refaire une configuration réseau bien propre.
L idée est de partir avec mon réseau unifi que j ai déjà mais je vais remplacer l USG par l UDM SE avec une Freebox Pop en bridge à mon avis.

Je comprends (enfin je crois ) le principe des VLANs et des règles d exception pour que certains devices d un VLAN voit les autres devices des autres VLAN, voir des exchanges d infos dans un seul lance (regle LAN in )

Je pense par exemple à une imprimante réseau qui ne sera pas sur le VLAN des Smartphones & co mais je veux garder la possibilité d imprimer à partir d un IPhone.

Mon idée serait de créer
VLAN 1 : réseau principal qui voit tout avec pc et imprimante par exemple.

VLAN2 : iOT, Alexa , Roborock , Netatmo (ou Vaillant demain) + Smartphones (?)
VLAN3 : HC3 + Tohama Switch qui va doit gérer les volets profalux.
VLAN4 : caméras (?)

Bien sûr faut les réseaux Wifi correspondant je suppose.

Usine à gaz ? Inutile ?
J ai l impression que je vais devoir créer 50 000 règles

Merci aux barbus pour leurs conseils toujours pertinents.


Envoyé de mon iPhone en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

Usine à gaz.... oui clairement !

Pour que les VLANs aient un intérêt, il faut tout fermer, rendre complètement étanche la communication entre les VLAN (et vis à vis d'Internet bien sûr), et ensuite ouvrir au compte goute.
C'est un travail important qui demande des semaines, voire des mois d'ajustement, en observant les logs pour comprendre pourquoi tel ou tel usage ne fonctionne pas et ajouter une règle correspondante.

 

Imprimer à partir de son téléphone, quelle drôle d'idée ! Je n'ai jamais essayé, mais j'imagine que tu vas avoir des problèmes, si l'imprimante est sur un réseau différent, je ne sais pas si le téléphone la verra. Sauf à pouvoir rentrer manuellement son adresse IP.

 

Perso je me suis contenté du VLAN interne dans lequel j'ai tout mis, et d'un VLAN pour la DMZ dans lequel il y a le reverse proxy, serveur VPN, serveur Web, etc bref tout ce qui est accessible depuis l'extérieur. Et déjà rien que ça, n'a pas été simple à mettre en place.

Partager ce message


Lien à poster
Partager sur d’autres sites

L impression via le téléphone, tablette est très pratique quand c est un pdf ou autre. La famille s en sert régulièrement

Dans l udm il y a des règles de visibilités qui semble pouvoir gérer cela.

Le reste tu as probablement raison.

Partager ce message


Lien à poster
Partager sur d’autres sites

×