Apple Homekit Zentrale - IPv6 intern/extern blocken bzw. steuern?

Started by dumbo, January 23, 2022, 10:30:28 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 23, 2022, 10:30:28 AM
Hi Zusammen,

ich bin an den ersten Anfängen OPNsense zu lernen und zu verstehen.

Eine Frage in die Runde was das Thema Apple und Homekit angeht.
Wenn man im Haus einen Homepod oder Apple TV hat, dann kann man ja div. Geräte dort via Homekit mit einbinden (Philips Hue usw.).

Wenn man im IPv4 Bereich dann VLANs baut und auch gewisse Dinge blockt/nicht erlaubt, dann klappt der Homepod/Apple TV immer noch, weil die ja irgendwie IPv6 ausstrahlen und man (ohne VPN aus der Ferne trotzdem ja seine Homekit Sachen steuern kann).

Keine Ahnung wie das genau alles abläuft - aber besteht denn überhaupt mit OPNsense die Möglichkeit das alles zu verhindern, bzw. zu regulieren, oder ist man da machtlos?
January 23, 2022, 11:01:49 AM #1
Hallo,

wenn ich es richtig verstanden habe, funktioniert die HomeKit Kommunikation über eine Zentrale (mit Homepod oder AppleTV) über die iCloud. also die Zentrale verbindet sich mit der iCloud und deine Geräte (z.B. iphones) von unterwegs auch. Keine Ahnung über welche Kanäle sich die Homkit Zentrale mit der iCloud verbindet bzw. ob es da spezielle Ports gibt, die man blocken könnte und die auch nur für Homekit da sind.
Um den Homekit Zugriff von unterwegs zu blockieren müsstest du die Kommunikation der Homepods/AppleTVs mit der iCloud unterbinden. Das macht wahrscheinlich keinen Sinn, weil die Geräte dann vermutlich auch anderweitig nicht mehr richtig funktionieren.
January 24, 2022, 10:58:20 AM #2 Last Edit: January 24, 2022, 05:05:10 PM by theq86
Rein zum technischen Verständnis hier noch ein paar Anmerkungen:

Quote> Wenn man im IPv4 Bereich dann VLANs baut

VLANs befinden sich im Layer 2 des Schichtenmodells
IP (sowohl v4 als auch v6) befinden sich auf Layer 3.

Es laufen also dann beide IP Protokolle über das selbe VLAN.

Quote> und auch gewisse Dinge blockt/nicht erlaubt, dann klappt der Homepod/Apple TV immer noch, weil die ja irgendwie IPv6 ausstrahlen

OPNsense blockt eh alles, was du nicht explizit erlaubst. Ausnahmen sind Anti-Aussperregeln, damit du dich nicht so verkonfigurierst, dass du die Sense nicht mehr erreichen kannst.

Die Homekit-Geräte benötigen Internetzugang (zu iCloud) für Fernsteuerung/Fernabfrage. Lokal bei dir zu hause reicht es, wenn die Geräte im selben Subnetz liegen. Also wenn du VLANs hast, dann drauf achten, dass alle Home Geräte auch im selben VLAN sind.

Auch "strahlen" die Geräte kein IPv6 aus. IPv6 ist kein eigenes Layer 2 Übertragungsmedium. IPv6 läuft ganz normal entweder über LAN-Kabel, oder WLAN.

Quote> Keine Ahnung wie das genau alles abläuft - aber besteht denn überhaupt mit OPNsense die Möglichkeit das alles zu verhindern, bzw. zu regulieren, oder ist man da machtlos?

Was meinst du mit "das alles" ?
Du kannst mit OPNsense:

  • verhindern, dass deine Geräte ins Internet kommunizieren (in fast jeder beliebigen Granularität. Auch: Darf überall hin, außer zu Apple Servern als Beispiel
  • die Kommunikation der Geräte intern beeinflussen (Beispiel: Die IP, die der Sohnemann kriegt, darf nicht die Rolladen steuern - aber das wäre schon ein komplexes Szenario bei dem man Hintergrundwissen über die verwendeten Adressen/Ports usw. benötigt

Also im Prinzip kannst du da sehr sehr viel regulieren. Man muss halt konkret planen WAS und sich dann an die technische Umsetzung machen.

Du solltest dir die Frage, WAS du genau erreichen willst erstmal ohne Zuhilfenahme von technischen Begriffen und potentiellen Lösungen im Kopf vorstellen.
January 24, 2022, 01:26:01 PM #3
> VLANs befinden sich im Layer 3 des Schichtenmodells

nein, in Layer 2

> IP (sowohl v4 als auch v6) befinden sich auf Layer 4.

nein, in Layer 3

Im Übrigen folgt der IP-Protokollstack nicht dem OSI- Modell. OSI ist nett als theoretisches Modell für die Lehre, aber IP ist sowohl etwas einfacher (nur 5 Schichten) als auch komplexer (keine 100%ie Trennung der Schichten).


Want to know about IP or BGP? www.de-cix.net/academy
January 24, 2022, 01:29:48 PM #4
Um zur Ursprungsfrage zu kommen, da ich da vorgestern auch drüber gestolpert bin:

AppleTV annonciert sich als Router, und annonciert ein ULA-Prefix damit Geräte im gleichen VLAN per IPv6 kommunizieren können. Das ist zunächst mal nicht schlimm.

Ein paar Links:
https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast
https://de.wikipedia.org/wiki/IPv6#Autokonfiguration

Wichtig ist es, an dem Router der den Gateway nach aussen darstellt in "Router Advertisements" die "Router Priority" auf "high" zu stellen.
Want to know about IP or BGP? www.de-cix.net/academy
January 24, 2022, 05:12:58 PM #5
Quote from: wtremmel on January 24, 2022, 01:29:48 PM
Um zur Ursprungsfrage zu kommen, da ich da vorgestern auch drüber gestolpert bin:

AppleTV annonciert sich als Router, und annonciert ein ULA-Prefix damit Geräte im gleichen VLAN per IPv6 kommunizieren können. Das ist zunächst mal nicht schlimm.

Ein paar Links:
https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast
https://de.wikipedia.org/wiki/IPv6#Autokonfiguration

Wichtig ist es, an dem Router der den Gateway nach aussen darstellt in "Router Advertisements" die "Router Priority" auf "high" zu stellen.

Stimmt. Irgendwie alles +1 genommen. Habs editiert.
Print
Go Up Pages1
User actions