Smart Home en Automation

[Avi]

Een Adguard lokale server haalt die er ook vantussen.

Ik bedoelde eigenlijk DNS over HTTPS.

 

[fomix]

Ik bedoelde eigenlijk DNS over HTTPS.

Doesn't matter, hij doet het het beide:

DNS encryption | AdGuard DNS Knowledge Base

AdGuard Home supports all modern DNS encryption protocols out-of-the-box:

adguard-dns.io

 

[sluysen]

De Home Assistant Companion App op je smartphone gebruikt push‑notificaties via Google/Apple. Dat werkt zo:
Je telefoon registreert zich bij de Home Assistant Cloud Messaging service (Firebase bij Android, APNS bij iOS).
Home Assistant stuurt een notificatie naar die push‑dienst, niet rechtstreeks naar je telefoon.
Die push‑dienst levert de melding aan je smartphone, ongeacht waar jij bent.

Je HA‑server hoeft dus niet extern bereikbaar te zijn.
Je telefoon is dus het enige toestel dat “buiten” communiceert, niet je Home Assistant‑installatie.

Nice, aangename verrassing in elk geval

 

[Avi]

Doesn't matter, hij doet het het beide:

DNS encryption | AdGuard DNS Knowledge Base

AdGuard Home supports all modern DNS encryption protocols out-of-the-box:

adguard-dns.io

Dat bedoel ik niet. Het probleem is dat een malafide client op jouw netwerk via DoH contact kan leggen met servers zonder dat jij het kan blokkeren. En dat kan je niet filteren op firewall niveau tenzij je met blocklists wil werken die de facto gisteren al weer achterhaald waren. De enigste optie is dus volledig blokkeren.

Wat adguard doet is jouw DNS trafiek beschermen tegen analyse door een derde. Twee verschillende zaken.

 

[StarSeeker]

Ik hoop dat iedereen hier goed beseft dat extreem goedkope IoT‑hardware , zeker de no‑name OEM‑spullen uit China, vaak serieuze beveiligingsrisico’s met zich meebrengt. Niet omdat “het uit China komt”, maar omdat veel van die toestellen gebouwd worden door fabrikanten zonder security‑audits, zonder transparante firmware en zonder enige garantie op updates.

Het resultaat is dat ze regelmatig:

• ongecontroleerd privacygevoelig dataverkeer naar externe servers sturen
• hardcoded verbindingen maken die je niet kunt uitschakelen
• remote‑control functionaliteit bevatten die nergens gedocumenteerd staat
• of in het slechtste geval misbruikt kunnen worden in botnets en DDoS‑aanvallen

Dat is geen theoretisch risico. Ik heb het recent nog gezien bij een simpele Android TV‑box van Mecool.
Dat ding maakte continu verbinding met Chinese servers, zonder dat er apps draaiden die dat verkeer konden verklaren. Voor een mediaspeler hoort dat gewoon niet te gebeuren.

En ja, je kan zulke toestellen firewallen, ik doe dat ook. Ik steek ze in een geïsoleerd VLAN, met strikte outbound‑regels, DNS‑filtering en zero‑trust‑policy. Maar laat ons eerlijk zijn, als je een toestel moet behandelen alsof het besmet is, waarom zou je het dan überhaupt in je netwerk willen?

Firewallen is dus een krachtig argument, maar vooral omdat het aantoont hoe onbetrouwbaar die hardware eigenlijk is. De gemiddelde gebruiker gaat dat nooit doen, en dat maakt goedkope IoT‑rommel net zo gevaarlijk: ze worden massaal gekocht, massaal aangesloten, en niemand kijkt naar het netwerkverkeer.

Een paar of enkele tientallen euro besparen kan uiteindelijk veel meer kosten als je netwerk of data gecompromitteerd raakt. Voor home automation of een Android TV‑box wil je gewoon geen toestel dat je eerst moet opsluiten in een digitaal quarantainehok.

En dit is waarom goedkope Zigbee apparaten uit China zo goed zijn.

Niks IP connectiviteit naar buiten, enkel zigbee. Alles local.

 

[Cerv.Be]

Al mijn Zigbee stuff komt van AliExpress doorheen de jaren, allemaal local via zigbee2mqtt.

Enfin, zo goed als alle appliances worden lokaal aangesproken/uitgelezen en beheerd hier via HA: zonnepanelen, batterijen, electro, lichten, netwerk, camera's, etc. Ik denk dat de status van mijn wagen het enige is waarvoor ik een cloud service nodig heb.

Connectiviteit naar buiten is te mijden als de pest. Alsook blijft alles vlotjes werken wanneer het internet down is.

 

[the_fox]

Ik heb ook een aantal Tuya-based wifi spullen. Allemaal geen probleem als je ze herflashed, draaien hier allemaal ESPHome en zijn bijgevolg ook local only Soms moet je ze dan wel openprutsen om serieel te flashen maar lukt wel. Ik zoek meestal wel op voorhand op of het mogelijk is en hoe makkelijk ze open te maken zijn als dat nodig is.