Access Point mit zweiter Fritzbox für Smartlife Geräte?

[Birke]

Hallo zusammen,

ich habe eine Fritzbox übrig und würde diese gerne als Gateway für meine Smartlife kompatiblen Geräte verwenden. Diese funktionieren über ein WiFi 2.4 GHz Protokoll, leider kein Zigbee oder ähnliches. Ziel wäre es diesen Geräten ein eigenes Netzwerk mit eigenem Passwort bereitzustellen, damit ich denen nicht allen die normalen Zugangsdaten zu meinem Wifi-Netzwerk geben muss. Diese Geräte sollen quasi so weit wie möglichen vom normalen Netzwerk getrennt arbeiten. Prinzipiell würde es auch über das Gastnetzwerk der ersten Fritzbox gehen, doch dann können die Geräte nicht mehr wirklich sinnvoll benannt werden.

Wie mache ich das am Besten? Die zweite FritzBox als Access Point an die erste anschliessen? Reicht das? Oder ist das zu kurz gedacht?

Viele Grüße Birke

 

[lisanet]

Wie mache ich das am Besten? Die zweite FritzBox als Access Point an die erste anschliessen? Reicht das? Oder ist das zu kurz gedacht?

hhmm, am Besten wäre es erst mal soweit als möglich deine Ängste abzulegen. Was soll denn geschehen, wenn jemand in China dein WLAN-Passwort hier in D kennt? Wenn du so kritisch gegenüber Tuya (das ist der Hersteller der Chips deiner smartlife kompatiblem Geräte bist) warum hast du dir dann überhaupt welche gekauft?

Zur Technik:

Ein Acces-Point bringt dir von der Trennung der smartlife Geräte zu deinem restlichen Netz rein gar nichts. Du musst schon ein separates Subnetz einrichten. Doch selbst dann musst du ja irgendwie dafür sorgen, dass die Geräte mit denen du die smartlife Geräte steuerst ebenso auf dieses Subnetz zugreifen können und umgekehrt müssen auch die smartlife Geräte ihren Status an dein iPhone/Mac/whatever melden können. Du kannst das also gar nicht komplett trennen.

Ich würde dir empfehlen, dass du deine smartlife Geräte local-only betreibst. Ja, das geht. Dadurch benötigen deine Geräte überhaupt keine Verbindung zu irgendeinem externen Server. Zudem kannst du sie so auch in HomeKit einbinden und musst keine separate Herteller-App benutzen. Somit geht auch alles an Automationen, was so in Homekit möglich ist. Ich betreibe auf diese Art auch WLAN-only smartlife kompatiblen Geräte (gibt es nicht mit Zigbee, schade) und habe dies auch in Homekit integriert.

Du benötigst dazu aber etwas Wissen und vorallem auch Willen und ein paar Geräte, um das umzusetzen. Du gewinnst aber dadurch enorm viel. Nicht nur für smartlife kompatible Geräte.

Der grobe Aufbau sieht wie folgt aus: Raspberry Pi (oder ein alter Mini-PC / NUC / whatever) auf dem du Homebridge installierst. Dafür gibt es ein plugin namens "Homebridge Tuya" (nicht Homebridge Tuya Platform) das local-only erlaut. Ein kostenloser Tuya-Developer-Account liefert dir die notwendigen IDs der Geräte, die du im Plugin eingeben kannst.

Wie gesagt, das Ganze läuft absolut rund und local-only mit voller Integration in Homekit ohne Notwendigkeit von Hersteller-Apps.

Wenn du dich dafür interessierst und du vor allem auch mit einem Raspi und Terminal und Co umgehen kannst, dann sag Bescheid. Eine Anleitung für Einsteiger gibt es nicht, also wenn du meinst man solle das für dummies beschreiben oder ein Klick-Anleitung geben, dann wird das nichts. Insgesamt gesehen ist es aber mit einwenig Kenntnissen recht einfach zu realiseren.

 

[Birke]

Danke für Deine ausführliche Antwort!

Hatte mir damals als das losging mit den Geräten noch nicht so die Gedanken um die Sicherheit gemacht. Andererseits interessiert es mich prinzipiell ohne jetzt groß Angst zu haben. Nur aus Prinzip quasi. Den Ansatz über neu flashen / Raspi hatte ich mir auch schon mal angesehen. Du meinst wohl so?

Wäre nicht die einfachste Lösung mit einem zweiten Router eine Kaskade aufzubauen, so dass im Subnetz des zweiten Routers meine sensiblen Geräte hängen und am Hauptrouter alles andere? Dann kann auch niemand von außen auf meine sensiblen Geräte zugreifen. Mir ist nur noch nicht klar, ob ich für das sichere Subnetz den besseren / neueren Router verwenden soll oder für das unsichere Hauptnetz. Hätte eine Fritzbox 7530 AX und eine alte 7632 SL.

 

[lisanet]

Du meinst wohl so?

Nee, viel zu kompliziert mit dem flashen.

Einfach Hombridge installieren, das Plugin dazu, einen kostenlosen Developer-Accout bei Tyua anlegen, alle smartlife Geräte in die Smart Life App (wichtig) bringen. Die erscheinen dann im Tuya Account. Dort kannst du die "local ID" auslesen, die du in das Plugin einträgst. Danach brauchst du den Tuya-Account nicht mehr. Die webite, die du verlinkt hast, hat dieses Vorgehen mit dem Tuya-Account auch schon mal beschrieben.

Wäre nicht die einfachste Lösung mit einem zweiten Router eine Kaskade aufzubauen, so dass im Subnetz des zweiten Routers meine sensiblen Geräte hängen und am Hauptrouter alles andere? Dann kann auch niemand von außen auf meine sensiblen Geräte zugreifen.

Nee, bingt sicherheitstechnisch nichts im Vergleich ohne zweiten Router. In beiden Fällen bauen die Geräte von innen die Verbindung nach außen auf. Sonst könnten die ja gar nicht ihren Server erreichen. Und über diese Verbindung sendet dann der Server (nach Absenden von iPhone) die Steuerbefehle zurück an die Geräte. Der Server ist also immer "bei dir im Netz".

Und nur dieses Szenario ist sicherheitstechnisch relevant.

Ein Angreifer kann, egal ob du smartlife Geräte direkt am Router oder an einem x-ten kaskadierten Router hängen hast, eh nicht ohne offene Ports auf dem 1. Router mit dahinter laufenden Diensten auf dein Netz zugreifen. Das blockt ja alles die NAT.

 

[Birke]

Danke für die Erklärung. Ich versuche mich mal an der HomeKit Lösung mit dem Plugin / Tuya Developer Account. Die Variante kannte ich noch nicht. Danke für den Tipp!

 

[Birke]

@lisanet

Ich habe nun mal zum testen Homebridge auf meinem MBP installiert und mir einen Tuya Dev Account eingerichtet. Danach das Tuya Plugin in Homebridge installiert und nun sind alle Geräte in Homebridge vorhanden und können über Safari gesteuert werden. In Apple Home auf dem Smartphone sind auch alle Geräte nun gelistet und funktionieren.

Ich verstehe nur noch nicht, ob ich nun die Geräte weiterhin in der Smartlife App benötige? Benötige ich die Smartlife App weiterhin um neue Geräte einzurichten? Wie bekomme ich die nun quasi local only ohne die Smartlife App?

 

[lisanet]

Ich verstehe nur noch nicht, ob ich nun die Geräte weiterhin in der Smartlife App benötige?

nein brauchst du nicht.

Benötige ich die Smartlife App weiterhin um neue Geräte einzurichten?

ja

Wie bekomme ich die nun quasi local only ohne die Smartlife App?

wenn die in Homebridge und damit in Homekit sind, läuft das local-only.

Wichtig ist nur das korrekte Plugin zu nehmen "Homebridge Tuya" -> https://github.com/iRayanKhan/homebridge-tuya#readme und nicht "Homebridge Tuya Platform"

 

[Birke]

Wichtig ist nur das korrekte Plugin zu nehmen "Homebridge Tuya" -> https://github.com/iRayanKhan/homebridge-tuya#readme und nicht "Homebridge Tuya Platform"

Danke!

 

[lisanet]

... ich hatte aber schon zu Beginn gesagt, dass das local-only Plugin Homebridge Tuya und nicht Homebridge Tuya Platform lautet.

Access Key ist der des Cloud Projects und Access Key ist dann der local key des jeweiligen Geräts?

Nee.

Das Plugin fragt nach der "Tuya ID". Das ist die des Gerätes. Auf der Tuya Platform nennt sich das "Device ID". Dann fragt das Plugin nach dem "Tuya Key". Das ist der "local key" den du über kreigst, wenn du auf der website mit dem iOT Core eine debugging startest. Dort kannst du den dann auslesen. Die Schrittwe dazu sind auch auf der von dir vrlinkten Seite genannt

https://www.simon42.com/tuya-entwickler-konto-in-wenigen-minuten-erstellen/

Es gibt dazu auch viele Videos auf Youtube. Tuya verändert aber immer mal wieder deren website leicht. Wenn du dich aber an den grundlegenden Punkten orientierst klappt das. Ich müsste auch erst wieder alles mal durchsehen und habe es nicht auswenig da. Du musst bei den Geräten oben auf "Service API" gehen und dann dort bei "IoT Core" auf "Debug". Dann kannst du verschiedene API Calls auslösen und AFAIR wird mit einem Call in der Art "general information" dann der local key in der Ausgabe angezeigt. Den brauchst du. Zum Debuggen dort benötigst du die "Device ID"

 

[NeumannPaule]

Sehr interessant das ganze lese weiterhin mit

 

[Birke]

Ich habe es nun geschafft, ein Gerät in Homebridge einzubinden:

[3/26/2023, 12:42:19 PM] [TuyaLan] Discovered Espresso (xxxxxxxxxxxxxxxxxxx) identified as Outlet (3.1)

Allerdings taucht es nicht unter den Geräten auf. Muss ich dazu noch etwas tun?

 

[lisanet]

Homebridge neu starten, damit es an Homekit weiter gereicht wird. Dann Home.app auf dem iPhone/mac neu starten.

 

[Birke]

Leider zeigt es nun auch bei diesem Gerät den üblichen Fehler an. Ich kapituliere jetzt.

 

[Birke]

Vielleicht wurde Homebridge nicht richtig instralliert?
Ich habe wie in der Anleitung diesen Befehl verwendet:

sudo npm install -g --unsafe-perm homebridge homebridge-config-ui-x

Ergebnis:

npm WARN config global `--global`, `--local` are deprecated. Use `--location=global` instead.
9 vulnerabilities (4 moderate, 2 high, 3 critical)

 

[Birke]

Ich habe nun herausgefunden was den Fehler verursacht. Man muss die nicht vorhandene Zeile

"manufacturer": "Irgendwas",

bei jedem Gerät hinzufügen, dann funktioniert es.

 

[lisanet]

Du kannst auch "Banane" eingeben. Das ist vollkommen egal. Ob der Hersteller tatsächlich geprüft wird kann ich mit nicht vorstellen und habe ich in den sourcen auch noch nicht gefunden, werde mir das aber mal ansehen. Ich habe bei mir jedenfalls nicht "Tuya" drin stehen.

Und wenn du die Konfiguration über die GUI des Plugin machst, dann sollte - so habe ich die source codes verstanden - das auch autoamtisch befüllt werden, wenn du es nicht füllst und als Wert dann "unknown" verwendet werden. Zumindest wird dann "unknown" für die Homekit Konfiguration verwendet.

Wenn das bei dir nicht passiert, dann wäre es eigentlich ganz gut, wenn das an die Entwickler gemeldet würde.

Ich persönlich habe die Erfahrung gemacht, dass es immer sinnvoll ist, in den GUI der Plugins alle Felder mit eigenen Werten auszufüllen. Einfach deswegen, weil ich oft genug sourcen gelesen habe, wo das implizit so angenommen wird, ohne dass derartige Felder als "forced" gekennzeichnet werden.

 

[lisanet]

Ergebnis meiner Recherche

Für alle die hier mitlesen: Das plging funktioniert, und man muss nciht irgendeinen bestimmten Hersteller eintragen. Es handelt sich eher um eine unglücklichen Umstand des Speichern einer leeren Maske.

Wie erwähnt, hast du vermutlich unabsichtlich eine leere Eingabe-Maske für eine Gerät gespeichert, so dass das Plugin gar nicht vollständig die Konfiguration beenden konnte (und sich dann das Plugin beendet hat), da erst alle Geräte konfiguriert werden, bevor irgendwas an Homekit gereicht wird.

Durch deinen Eintrag des Herstellers hast du dann über die GUI wohl den leeren Geräte-Abschnitt gesehen und gelöscht und somit eine gültige config erhalten.

 

[Qantas]

Mit einem Ranger Router sollte es eigentlich gehen. So eine eigenständige Art von Internet und WLAN, das mit nichts verbunden ist. Ob die Home Kits da mitmachen, weis ich nicht. Update werden dann nicht gehen, es sei denn, man verbindet den Ranger kurzfristig mit einem üblichem WLAN, könnte auch ein HotSpot sein. Habe so eine Solar Anlage, Solar Regler, betrieben, der WLAN fähig war. Die Ranger Router haben, hatten, kein LAN Eingang, als Merkmal. Hier werden die selten benutzt, eher in USA.
So ein Ranger kann man mit vielen Geräten, auch mit NAS, Kameras, über WLAN, oder mit Kabel über die WAN Anschlüsse verbinden.

 

[lisanet]

Vielleicht wurde Homebridge nicht richtig instralliert?

hat mit deinem Problem nichts zu tun. Man muss sich schon arg anstrengen und viel falsch machen um Homebridge falsch zu installieren.

Ich habe wie in der Anleitung diesen Befehl verwendet:

sudo npm install -g --unsafe-perm homebridge homebridge-config-ui-x

Ergebnis:

npm WARN config global `--global`, `--local` are deprecated. Use `--location=global` instead.
9 vulnerabilities (4 moderate, 2 high, 3 critical)

???

Bitte lies mal die Meldung. Und übersetze sie ruhug. Nicht jede Meldung ist ein Fehler. Manchmal auch nur eine Meldung oder hier ein Warnung (WARN)

"deprecated" heißt "veraltet". Somit sind die Parameter weiter gültig, aber eben veraltet und sollten in Zukunft mit der neuen Version ersetzt werden.

 

[Birke]

Du kannst auch "Banane" eingeben. Das ist vollkommen egal. Ob der Hersteller tatsächlich geprüft wird kann ich mit nicht vorstellen und habe ich in den sourcen auch noch nicht gefunden, werde mir das aber mal ansehen. Ich habe bei mir jedenfalls nicht "Tuya" drin stehen.

Ja genau. War nur ein Beispiel. Man kann reinschreiben was man möchte. Nur ohne die Manufacturer Zeile funktioniert bei mir kein Gerät.