Bonjour à tous,
Je suis passé récemment à Mqtt et je continue la migration de mes équipements.
Avant d’aller trop loin sans sécurité, j’ai fais ce que j’aurais dû faire depuis longtemps. Sécuriser mon réseau.
Je suis équipé en Unifi Cloud key gen2+
N’étant pas un expert réseau j’ai suivi un tuto et j’ai donc :
1 réseau wifi, Lan management lié au Vlan_Management en 192.168.1
1 réseau wifi, Lan IOT lié au Vlan_IOT en 192.168.5
J’ai appliqué les règles d’isolation entre les vlan pour que du Vlan_Management je vois tout mais que le Vlan_IOT ne puisse pas joindre le Vlan_Management.
Tout ça marche.
Mais je voudrais maintenant déplacer mes Tasmota (jMqtt) sur le Vlan_IOT et là je bloque pour écrire les règles pour autoriser le port 1883 entre les 2 Vlan.
Si j’ai bien compris je dois autoriser le port 1883 de Vlan_IOT à publier sur l’ip de mon broker qui est sur le Vlan_Management ?
Comme vous l’avez surement pour certain déjà fait, de l’aide serait le bienvenu car bien qu’ayant lu des articles sur le net, essayé pas mal de choses mais je n’arrive pas à mes fins.
Merci d’avance
Normalement la règle suivante devrait suffir :
Interface source : Vlan_IOT
Interface destination : Vlan_Management
IP Source : Tous
IP Destination : IP du broker
Port Source : Tous
Port Destination : TCP 1883
Tu peux aussi utiliser fqdn dans ton object connecte, mais il faut alors faire une règle vers ton serveur DNS et vérifier qu’il est joignable dans ce cas
Bonjour Bad,
Oui c’est je pense ce que j’ai essayé de faire depuis hier.
C’est un peu confus pour moi ou mettre cette règle, du coup j’ai essayé un peu tout.
J’ai essayé sur Lan IN, sur Lan OUT, Lan Local et je ne comprends pas mon erreur.
12:23:04.944 MQT: Connect failed to 192.168.1.228:1883, rc -2.
Là par exemple j’ai mis dans Lan IN cette régle.
Je pense avoir demandé à tout ce qui sur mon wifi IOT lié au vlanIOT de pouvoir accéder à jeedom qui est 192.168.1.228. Pour l’instant je n’ai pas restreint au seul port 1883 le temps de maitriser.
Si ça se trouve, il faut faire aussi une règle dans le sens retour. Je ne sais pas ce Fw est stateful.
Essaye :
Interface source : Vlan_Management
Interface destination :Vlan_IOT
IP Source : IP du broker
IP Destination : Tous
Port Source : TCP 1883
Port Destination : Tous
En fait je viens de trouver.
Ce n’était pas dans ma logique c’est tout. Ma règle était bonne depuis le début, c’est juste qu’elle n’était pas à la bonne hauteur.
J’avais coché « Avant les règles prédéfinies » pensant que ça suffisait alors qu’en fait il faut aussi la faire remonter physiquement dans la file avant la règle de blocage entre les Vlans.
Je pensais qu’on bloquait tout et qu’on ouvrait au bistouri, alors qu’à priori non. On signale ce qu’on ouvre et ensuite la règle de fermeture s’applique à tout ce qui n’a pas été ouvert avant.
C’est sioux …
