PIN für das Profil vergeben ist der einzige Schutz, den der Domovea-Server kennt.

Ansonsten niemandem die WLAN-Zugangsdaten geben.

Danke für die Info... niemandem die WLAN-Zugangsdaten geben ist relativ; nicht selten vergibt man ja die WLAN-Zugangsdaten Verwandten, die regelmäßig zu Besuch sind und auch über WLAN ins Netz wollen; evtl. einen WLAN-Gastzugang zur Verfügung stellen? Bringt das was? Ich will sicherstellen, dass trotz WLAN-Zugang niemand sich mal die Domovea App runterladen kann und selbst die Hausautomation steuert...

Hallo Zalone,

es ist ja nicht nur die Hausautomation, die man öffnet wie ein Scheunentor, wenn man der buckeligen Verwandtschaft die WLAN Zugangsdaten gibt.
Man erhält ja auch Zugang zu sämtlichen Geräten im Netzwerk, wie Drucker, PC, NAS, usw. Darunter evtl. auch Geräte, die sehr bereitwillig Fotos, Videos usw. mit allen Teilen wolen.

Ein Gastzugang ist für mich ein "must have"!

Ok, wenn ein Gastzugang eingerichtet werden kann: Verhindert dass, das wer die App runterladen kann und die Haussteuerung mitübernehmen kann? Ein Gastzugang ist ja ein anderes WLAN-Netz als der "normale" WLAN-Zugang, den man für sich privat nutzt...

Im Normalfall ja, je nach konfiguration des Gäste WLANs.

Eine gewisse Paranoia ist schon empfehlenswert. Mein Accesspoint kann mehrere SSIDs mit eigenem VLAN, die Switche sind per VLAN konfiguriert und zwischen den VLANs hängt eine Firewall. Mit der kann ich regeln, wer was darf. Gäste z.B. nur ins Internet. Die haben bei mir zuhause im Netz nichts verloren. Schon gar nicht in meinem Smarthome.

VLAN ist für mich eine völlig neue Begrifflichkeit, mit der ich bisher noch nicht mit zu tun hatte... dennoch habe ich Erfahrungen im Einrichtungen von "normalen" Netzwerken und WLAN...

Ich habe bei mir Zuhause einen einzigen AccesPoint von Unifi. Dort habe ich bisher nur mein eigenes einziges WLAN aufgebaut. Wenn ich dort einen Gästezugang einrichte (neue Gäste-SSID, zusätzlich zur "privaten" SSID), muss ich dann darauf achten, dass meine Gäste in einem anderen Netzwerk sind (sprich, ich z.B. 192.168.20.x und meine Gäste 170.30.15.y)? Wie gesagt, Zielsetzung soll sein, dass meine Gäste nicht einfach die App runterladen und dann die Hausautomation steuern können...

Ja, dann hast Du ein komplett anderes Netzwerk für die Gäste, nur muss dann dein Router / Firewall dafür sorgen, das dieses Netzwerk auch ins Internet kommt (sonst ist das ganze ja Sinnbefreit).

Mit VLANs kannst Du Netze über den gleichen Switch laufen lassen, sie aber trotzdem so trennen, als würden sie über zwei getrennte Switche angeschlossen.
Dafür brauchst Du aber sinnvollerweise auch (smart) Managebare Switche, auf denen Du die VLANs einstellen kannst. Und sinnvollerweise eine Firewall, die nur bestimmte Geräte bzw. Dienste (Ports) zwischen den beiden Netzen durchroutet.

Bei den Unifi-Accesspoints kannst Du für Gäste eine eigene SSID mit eigenem Netz und VLAN einrichten (ich habe das auch so).
Jetzt kommt es nur noch darauf an, ob Du das Gäste-Netz bzw. VLAN ins Internet durchrouten kannst, ohne dass von dort aus eine Verbindung zu den anderen Netzen möglich ist.

Ich bin mir nicht ganz sicher, ob z.B. die Fritzbox nicht sogar so etwas anbietet.

Wenn du damit ein Gastnetz meinst, dann ja. Drahtlos, sowie über Port 4 auch drahtgebunden. Wenn du VLAN-Funktionalität meinst, dann nein.

In den Unifi kann man aber auch ohne Hilfsmittel ein Gastnetz bilden, dass dann nur auf das Internet Zugriff hat.

Ok, vielen herzlichen Dank für die Infos.

Ich bin gerade dabei die Connect Box durch die Fritzbox abzulösen, da ich sonst keinen Fernzugriff auf die Hausautomation habe. In diesem Zuge werde ich auch einen Gastzugang einrichten, aber nicht an der Fritzbox, sondern an der Unifi. Da muss ich erst mal nochmal herausfinden, wie ich auf dieses Gerät Zugriff habe. Man muss ja einen sogennanten Unifi-Controller starten, damit man auf die Benutzeroberfläche des Unifi kommt... alles lange her, noch komme ich nicht drauf.

HMMM.... wie wird das dann in der Unifi vom Hausnetz getrennt? Dafür musst Du doch selbst sorgen.... Ich gucke mir das mal heute Abend am lebenden System an. Ich bin auch noch in der Umsetzungsphase.

Die FritzBox kann wohl tatsächlich kein VLAN. ABER: Mann könnte über Port 4 ein Gast-Netz aufbauen, und das vom Switch, an der FritzBox mit einem 2. Kabel mittels VLAN versorgen. D.h. der Switch teilt die VLANs dann für die FritzBox auf.
Klingt, übel, geht aber....

Gruss,
Holger

Bin kein IT-Futzi, aber so wie ich das sehe, werden die lokalen IPs (also im Normalfall alle privaten Netze, kann man aber einstellen welche) einfach geblockt.

Jepp, kann man. Hatte diese Lösung auch schon im Kopf, aber wer mit VLAN anfängt, sollte besser gleich im Router damit anfangen und somit die Fritzbox in den Wind schießen. Irgendwie ist das sonst nur was halbgares...

Ich habe mir das mal in meinem Unifi Accesspoint angesehen. Man kann wohl einzelne Subnetze blocken.
So wie ich das sehe, macht das nur Sinn, wenn man mehrere Subnetze hat und z.B. seine "wichtigen" Gerätschaften in einem anderen Subnetz liegen. Man wird aber nichts aus dem Subnetz blocken können, aus dem das WLAN-Gerät seine DHCP-Adresse bekommt.

Ja, kann man machen. Aber als " IT-Futzi" würde ich das nicht machen wollen. Letztendlich braucht man dafür wieder einen Router, der zwischen den einzelnen Subnetzen routet. Das klingt etwas für mich nach Wischiwaschi und Gemurkse. Wenn, würde ich da eine Firewall zwischen reinhängen. Aber dann habe ich einen bunten Mix aus Subnetzen auf den Switchen. Die kann ich per VLAN trennen. Dann kann ich aber im Unifi für Gäste gleich ein VLAN definieren.

Und wenn ich im Unifi ein VLAN definiere, brauche ich keinen Router und keine Firewall, sondern kann die FritzBox mit zwei Kabeln versorgen und mir das Geld sparen.

Nein, bei mir ist das nicht so. Ich habe eine Firewall, Switche mit VLAN und (inzwischen auch) ein Unifi mit Gastnetz und dazu passendem VLAN.
Da sind die Netzte sauber getrennt, die Firewall regelt, wer was darf und die ist als Exposed Host an die FritzBox angeschlossen. Damit darf die FritzBox noch ins Internet Routen und die Telefone versorgen. Die Alternative wäre eine ConnectBox von UnityMedia, mit der ich meine Telefonnummer nicht versorgen kann. Die FritzBox ist nicht der Weisheit letzter Schluss, aber in meinen Augen das kleinere Übel...

Und als IT-Futzi habe ich das Gefühl, es sauber gemacht zu haben und have vor allem die Kontrolle darüber.