Addons denk ik niet nodig te hebben (of ik draai ze zelf wel apart), ik ga HA in docker draaien.
(HAOS zou ook een optie zijn, mijn docker containers draaien op een virtuele Ubuntu op proxmox).
HA zal vooral werken in de IOT VLAN (Sonos, HUE, ..) maar ik zou ook graag wat Zigbee dingen aansluiten (Garagepoort, stopcontacten).
Momenteel heb ik HA als container draaien (docker compose) met als netwerk interface een MACVLAN (met dedicated MAC adres). Hierdoor krijgt de docker container een apart IP in de IOT vlan en werkt de discovery prima.
Wat mij hier wat aan stoort, is dat de HA web server benaderbaar is via de IOT VLAN.
Eigenlijk zou ik liever hebben dat HA enkel in mijn IOT VLAN hangt voor de discovery en dat de HA web interface benaderbaar is via mijn mgmt VLAN.
Ik zie geen manier om de HA web server enkel te laten luisteren op mijn mgmt VLAN en NIET in de IOT vlan.
De reden waarom ik dit zou willen: als er iets in mijn IOT VLAN gecompromiteerd raakt, kunnen ze ook aan de HA web interface. Voor de devices in de IOT VLAN maakt het weinig uit, daar gaan ze toch aankunnen. Maar niet aan de garagedeur via Zigbee bv.
Ik besef dat er EN een device gecompromiteerd moet zijn EN ze nog in de HA webserver moeten geraken, maar het voelt toch niet ideaal
.Gezien dat er hier redelijk wat mensen HA hebben draaien, weet iemand mogelijks een oplossing?
Ik had al eens gekeken om firewall rules te implementeren op mijn Ubuntu server zelf (iptables) maar die worden blijkbaar geskipped voor een macvlan.
iptables in de docker container zelf kan ik weinig over vinden (is dit zelf mogelijk?)
Andere OOTB ideeën?
Of zoek ik het wat te ver?
Bedankt alvast!
.
