xST4R
Enthusiast
Thread Starter
- Mitglied seit
- 22.10.2017
- Beiträge
- 4.367
Hey,
HomeKit läuft bei mir am stabilsten, wenn Hue-Bridge + HomePod mini + iPhone im gleichen VLAN/SSID sind. Sicherheitsseitig möchte ich aber so viel Segmentierung wie möglich behalten. Ich schwanke zwischen:
Ich tendiere aktuell zu Option B und beschneide die Hue-Bridge stark nach außen. Ich suche Feedback, Stolperfallen und Best Practices (UniFi Cloud Gateway, Zone-Based Firewall, NextDNS).
VLANs/Subnetze (vereinfacht):
HomeKit-Spezifik:
Pro: saubere Segmentierung, Inter-VLAN-Regeln möglich, weniger laterale Risiken.
Contra: mDNS/Bonjour über VLAN-Grenzen (Reflector/Proxy) ist oft zickig; HomeKit-Automation kann leiden.
Umsetzung (Kurz): VLAN 25 „HOMEKIT“, dort Hue + HomePods + iPhones. Inter-Zone-Regeln für Druck/Services freigeben, mDNS-Reflector (oder Avahi/CUPS-Proxy) konfigurieren.
Pro: maximal stabil für HomeKit (gleiche L2-Domäne).
Contra: weniger Trennung innerhalb des VLANs; L2-Peer-to-Peer lässt sich am Gateway nicht filtern.
Kompensation über Firewall/Policies:
1) LAN-Local härten (UniFi: Firewall → LAN LOCAL)
2) Egress minimieren (UniFi: Firewall → LAN OUT)
3) DNS erzwingen (VLAN 20)
4) Security/Tuning
Bekannte Grenze: L2-Seitwärtsbewegung innerhalb eines VLANs bleibt möglich (Switch-ACLs/Port-Isolation wären eine Hardware-Frage; der USW-Flex-Mini ist hier limitiert).
HomeKit läuft bei mir am stabilsten, wenn Hue-Bridge + HomePod mini + iPhone im gleichen VLAN/SSID sind. Sicherheitsseitig möchte ich aber so viel Segmentierung wie möglich behalten. Ich schwanke zwischen:
- Option A: eigenes HOMEKIT-VLAN (Layer-3 getrennt, mDNS-/Bonjour-Themen per Reflector/Proxy lösen)
- Option B: alles im PROD-USERS-VLAN, dafür strenge Egress-Firewall + LAN-Local-Härtung
Ich tendiere aktuell zu Option B und beschneide die Hue-Bridge stark nach außen. Ich suche Feedback, Stolperfallen und Best Practices (UniFi Cloud Gateway, Zone-Based Firewall, NextDNS).
Umgebung / Ist-Stand
- Gateway/Controller: UniFi Cloud Gateway (aktuelle UI), Zone-Based Firewall
- Switch: USW-Flex-Mini-2.5G
- AP: UniFi U6 (Wi-Fi 6), 5 GHz auf Kanal 44/20 MHz (kann ich anpassen)
- DNS/Filter: NextDNS (pro VLAN Profile)
- VPN: Mullvad (nur für bestimmte Clients, nicht fürs gesamte VLAN)
- HomeKit: HomePod mini als Hub, Hue-Bridge per LAN
VLANs/Subnetze (vereinfacht):
- 10 MGMT – 172.16.10.0/24 (Infrastruktur/Administration)
- 20 PROD-USERS – 172.16.20.0/24 (MacBooks, iPhones, iPads)
- 30 IOT – 172.16.30.0/24 (sonstige IoT)
- 40 SERVICES – 172.16.40.0/24 (Unraid, Raspi SMB, etc.)
- 50 GUEST – 172.16.50.0/24 (Gast)
HomeKit-Spezifik:
- Hue-Bridge hat eine statische DHCP-Reservierung (z. B. 172.16.20.10).
- HomePod + iPhones sind im PROD-USERS-WLAN.
- Client Isolation auf der Apple-SSID aus (sonst kein HomeKit).
Ziel
- HomeKit stabil (Discovery via mDNS/Bonjour ohne Gefrickel).
- Trotzdem Maximalprinzip Security: Gateway/Controller hart, Hue-Egress minimal, DNS erzwungen, Log-/Monitoring sinnvoll.
Variante A – eigenes HOMEKIT-VLAN
Pro: saubere Segmentierung, Inter-VLAN-Regeln möglich, weniger laterale Risiken.
Contra: mDNS/Bonjour über VLAN-Grenzen (Reflector/Proxy) ist oft zickig; HomeKit-Automation kann leiden.
Umsetzung (Kurz): VLAN 25 „HOMEKIT“, dort Hue + HomePods + iPhones. Inter-Zone-Regeln für Druck/Services freigeben, mDNS-Reflector (oder Avahi/CUPS-Proxy) konfigurieren.
Variante B – alles im PROD-USERS (mein aktueller Favorit)
Pro: maximal stabil für HomeKit (gleiche L2-Domäne).
Contra: weniger Trennung innerhalb des VLANs; L2-Peer-to-Peer lässt sich am Gateway nicht filtern.
Kompensation über Firewall/Policies:
1) LAN-Local härten (UniFi: Firewall → LAN LOCAL)
- ALLOW-ADMIN-TO-INFRA: nur Admin-IPs → Infrastruktur (HTTPS/SSH/DNS/STUN, strikt minimal)
- DROP-USERS-TO-INFRA: PROD-USERS → (Gateway/Controller/Switch/APs) Drop
- Optional: ALLOW-HUE-NTP-TO-GW falls NTP lokal gebraucht wird
2) Egress minimieren (UniFi: Firewall → LAN OUT)
- ALLOW-HUE-WEB-NTP-TO-WAN: Hue-Bridge → WAN nur TCP 80/443 + UDP 123
- DROP-HUE-TO-WAN-ALL: Hue-Bridge → WAN alles andere Drop
- BLOCK-HUE-TO-RFC1918: Hue-Bridge → RFC1918 Drop (verhindert Routing zu anderen internen Netzen; L2 im gleichen VLAN bleibt natürlich möglich)
3) DNS erzwingen (VLAN 20)
- DHCP-DNS = NextDNS Profile
- Regeln: ALLOW DNS (53/853) nur zu NextDNS, danach DROP DNS sonst
- In NextDNS: „Block Bypass Methods“, Malware/Phishing/DoH-Bypass aktivieren
4) Security/Tuning
- IDS/IPS (Balanced/Security), IGMP-Snooping + Multicast-Enhancement, PMF=Required, UPnP aus (oder streng ge-scoped), Logging der Drops anfangs hochdrehen
Bekannte Grenze: L2-Seitwärtsbewegung innerhalb eines VLANs bleibt möglich (Switch-ACLs/Port-Isolation wären eine Hardware-Frage; der USW-Flex-Mini ist hier limitiert).
Konkrete Fragen an euch :
- Option A vs. B: Welche Variante fahrt ihr für HomeKit in der Praxis? Läuft mDNS/Bonjour über VLAN-Grenzen bei euch wirklich stabil – oder ist „gleiches VLAN“ die einzige nervenfreie Lösung?
- Egress-Härtung für Hue: Reichen 80/443/123 oder empfehlt ihr weitere/andere Ports (z. B. für Firmware/Cloud-Features), die man temporär freischalten sollte?
- LAN-Local-Lockdown: Noch sinnvolle „Local“-Dienste, die ich für PROD-USERS whitelisten sollte (außer NTP/DNS/Controller-STUN)?
- Switch-Seite: Nutzt jemand Switch-ACLs/Port-Isolation auf UniFi-Switches, um innerhalb eines VLANs Peer-to-Peer einzuschränken? Erfahrungswerte/Modellempfehlung?
- NextDNS-Durchsetzung: Best Practice, um DoH/DoT-Bypässe zuverlässig zu verhindern (jenseits der UniFi-Regeln + NextDNS „Block Bypass Methods“)?
- WLAN-Tuning: Für HomeKit/Hue lieber 5 GHz 40/80 MHz? 2.4 GHz-Settings (DTIM, Beacon, Min-RSSI), die sich bewährt haben?
Zuletzt bearbeitet: