除了把 HomePod 放到 IoT VLAN ,还有什么更优雅的解决方案吗?
 |
1
starryloki 11 days ago via iPhone
我是接入了 Miktorik 的交换机,交换机上配置 Port Rule 阻断这个端口所有的 IPv6 流量
|
 |
2
xiaoxiannv OP @starryloki 我是软路由+ap ,AP 是 MTK 方案,开启了硬件转发,tcpdump 根本看不到 RA
|
|
3
starryloki 11 days ago via iPhone
@xiaoxiannv 硬件加速确实看不到,mikrotik 交换机 port rule 的原理是基于识别二层中 IPv6 协议头的流量,所以 block 得比较彻底。
如果想从三层 Firewall 中下手,只能在指定端口让内核处理流量,再去 nft 之类的地方拦截 IPv6 ,感觉多加一个网口专门用来接 atv 会比较好 |
|
4
xiaoxiannv OP @starryloki 其实不行的,理论上说 ap 上拦不了 ra ,上游再怎么加设备,也解决不了下游 homepod 发 ra 到 ap ,所有连 ap 的 wifi 设备,都会因为硬转发,透传继承到 homepod 的 ra
|
|
5
starryloki 11 days ago via iPhone
@xiaoxiannv 当然不是接到 ap 上,直接给一个单独的网口接入到软路由/Firewall ,不过才发现标题写的是 HomePod ,我的是 Apple TV ,虽然问题一样但我的可以插网线
|
|
6
xiaoxiannv OP @starryloki 是这样的,openwrt 软终端没有加速,可以抓到 ra ,但 ap 就无能为力了
|
 |
7
z5238384 11 days ago via iPhone
规避这个是因为什么? 这玩意儿不是只对 thread 网络发么
|
|
8
xiaoxiannv OP @z5238384 强迫症啊,手机 ip 地址无故多个 ipv6 地址
|
|
9
starryloki 8 days ago via iPhone
@z5238384 会出现比如内网规划了 dhcp6s 分配地址,Apple TV 同时会发出 ra 分发一个内网前缀,有的设备就会用这个前缀去访问其他设备导致管理混乱
|
|
10
xiaoxiannv OP @starryloki 解决了,ros+ap ,ros 里加了 IoT 隔离,所有的物联网设备全塞进去,国产设备,谁也不知道他们偷偷在干啥,把不信任的关进技术的笼子。
|
|
11
xiaoxiannv OP @z5238384 不光 homepod ,智能家居,监控等一系列,还是不够相信国产商业闭源的底线和逻辑,他们就 iot 老老实实呆着吧
|
|
12
xiaoxiannv OP @starryloki
IoT → 主网:阻止; IoT → 光猫:阻止; IoT → Internet:允许; 主网 → IoT:允许; IoT → RouterOS:只允许 DHCP 、DNS 、mDNS 、ICMP ; IoT 无法访问 WinBox 、WebFig 、SSH 、SMB 。 |
|
13
starryloki 5 days ago
@xiaoxiannv #12 我也有类似的 IoT 隔离操作,是基于 VLAN 的
|
|
14
xiaoxiannv OP @starryloki 嗯,一样,实现原理都差别不大
|
 |
15
xiaoke 3 days ago
@xiaoxiannv 请问 ap 必须支持 vlan 吗,我也发现 apple tv 在发 IPv6 RA 。。。
|
|
16
xiaoxiannv OP @xiaoke 对,理论上 vlan 在哪头都行,只要是 vlan ,只有 vlan 才能挡住 ra ( ap 硬转发开启的情况下)
|
|
17
xiaoke 3 days ago
|
|
18
xiaoxiannv OP @xiaoke mdns 转发啊
|
|
19
xiaoke 3 days ago
|
 |
20
gigishy 1 day ago via iPhone
@xiaoxiannv #11
我是这么做的: 首先,国产 HomeKit 设备一概不用它们的 app (会少功能),直接家庭 app 里添加设备 最关键的是第二点,使用一个支持 HomeKit 的网络设备,比如 linksys 的 ac6600 以后 mesh 型号,这样能傻瓜式地,不需要操任何心地确保 HomeKit 设备只能局域网通讯,连不通它们的厂家。 但是你在外可以通过家庭 app 完全无阻碍地查看和使用这些 HomeKit 设备,比如摄像头、智能插座等。 |
|
21
xiaoxiannv OP @gigishy 因噎废食了啊,离开 homekit 生态,少了不少功能性便利,aqura ?是叫这个牌子吧,他家摄像头光靠 honekit 转摄像头的功能都缺失,所以 iot ,mdns 转发,能做到隔离+不损失便利性
|
|
22
gigishy 23h 59m ago via iPhone
@xiaoxiannv #21
op 你没认真看,或者没看懂我说的。 使用比如 ac6600 ( ac2200 )与你平常用 HomeKit 毫无二样,更谈不上离开 HomeKit 生态。 唯一的不同是设备————比如 aqara 那个 e1 摄像头等,完全无法连接广域网,而你,不需要任何网络设置。 你可以去苹果官网看有关支持 HomeKit 的网络设备的官方文档说明。 顺便说一下,我几个房子都实际这样在使用。 |
|
23
xiaoxiannv OP @gigishy 哦,仔细看了一下,你意思路由器厂商出了类似访客模式+联网权限处理来规避类似的问题?
|
|
24
gigishy 23h 43m ago via iPhone
@xiaoxiannv #23
是的,只是目前支持 HomeKit 的路由器很少……希望以后多一些。 而且 linksys (富士通收购后)前年离开国内了。 以 aqara 的 e1 摄像头(它有另一个不是摄像头的 e1 )为例,ai 人脸识别等功能都是需要隐私和安全才能交换到的,而且完全是鸡肋功能,不要也罢。所以我通过“家庭”app 内添加设备直接绑定 e1 ,aqara 完全拿不到我任何数据,包括 gps 等所有隐私。 |
|
25
gigishy 23h 37m ago via iPhone
@xiaoxiannv #23
纠正一点,其实不是路由器厂家出了类似访客模式之类的原理。 是 HomeKit 用的网络协议本身就是局域网不通过 wan 与 HomeKit 设备交互的,只有家庭中枢(比如 homepod 、atv 等)才能和广域网交互的。 而支持 HomeKit 功能的网络设备,会缺省地严格组织局域网内的任何 HomeKit 设备(非中枢)广域通讯!不需要任何额外配置。 |
|
26
xiaoxiannv OP @gigishy 是的,国产,就那样。话说回来,道理是相通的,闭源路由器厂商所称的访客模式,也就是传统意义上的 iot 隔离,我为什么不在 iot 上做隔离,因为我闭源 mtk7986 驱动,坑挺多的,只能在 ros 上实现,ap 端继承。
对我而言,homekit 本地化太差,体验不是很好。 ps:路由而言,我只推荐 ros+openwrt ap 组合。 |
|
27
xiaoxiannv OP @gigishy 一样啊?该发 ra 还是 ra ,咱们谈的不是如何规避牛皮癣 ra 吗
|
|
28
gigishy 23h 29m ago via iPhone
因为没有合适图床,我把官方网站的内容粘贴给你,里面介绍了,支持 HomeKit 的网络设备,可以不光让 HomeKit 设备不能访问广域网,而且还不能访问同局域网的非中枢的设备。
使用 HomeKit 保护路由器 用户可使用支持 HomeKit 的路由器来提高其家庭网络的安全性。通过这类路由器,用户可以管理 HomeKit 配件通过无线局域网对本地网络和互联网的访问。这些路由器还支持私有 PSK (PPSK) 认证,因此可以使用特定于配件并可根据需要撤销的密钥将配件添加到无线局域网。PPSK 认证不会将主无线局域网密码透露给配件,同时又允许路由器在配件更改其 MAC 地址的情况下安全地识别配件,从而提高了安全性。 用户可以通过“家庭” App 按照以下方法配置配件组的访问限制: 无限制:允许无限制访问互联网和本地网络。 自动:此为默认设置。允许基于配件生产企业提供给 Apple 的互联网站点和本地端口列表访问互联网和本地网络。此列表包括配件所需的所有站点和端口以确保配件正常运行。(在此类列表可用之前,会实施“无限制”。) 限制在家中:不能访问互联网或本地网络,除非 HomeKit 要求进行连接以发现和控制本地网络中的配件(包括家居中枢要求进行的连接以支持远程控制)。 PPSK 是由 HomeKit 自动生成且特定于配件的 WPA2 个人级强密码短语,会在配件之后从“家庭”中移除时被撤销。在通过 HomeKit 路由器配置的家庭中,当 HomeKit 将配件添加到无线局域网时会使用 PPSK ;此添加操作在“家庭” App 中的配件设置屏幕上反映为“无线局域网凭证:HomeKit 管理”。在添加路由器之前添加到无线局域网的配件将重新配置为使用 PPSK (如果配件支持);否则将保留其现有的凭证。 为了进一步提高安全性,用户必须使用路由器生产企业开发的 App 来配置 HomeKit 路由器,这样 App 便能验证用户可以访问该路由器且可以将路由器添加到“家庭” App 。 发布日期:2021 年 2 月 18 日 |
|
29
gigishy 23h 17m ago via iPhone
@xiaoxiannv #27
如果 Apple TV 作为中枢,是没有 ipv6 ra 的。如果有,你升级 Appletv 版本到最新版。 另外摘抄某人的经验如下: “ 苹果不知道在哪次更新修好了这个问题,现在在内网下发 IPv6 地址的情况下 Apple TV 不会再发 IPv6 RA 的包了,不过听说 HomePod 还是有一样的问题,不过我没 HomePod ,因此无法测试。( 2025 年 5 月 11 日更新)” |
|
30
xiaoxiannv OP @gigishy 理念不错,但生态冷、可控性差。很多米家、摄像头、扫地机、NAS 、旁路由、电视盒子并不会完整进入 HomeKit 路由器的精细控制体系。不还得靠传统 VLAN 、防火墙、DNS 拦截。
|
|
31
xiaoxiannv OP @gigishy 个人场景不同吧,内网下发 ipv6 ,就不发 ra 。但我只有 v4 啊,apple 也没给个开关让用户选择啊
|
|
32
gigishy 22h 55m ago via iPhone
@xiaoxiannv #31
看了一下苹果开发者文档,appletv 应该是 18.5.1 版本修复 Router Advertisement 问题的,homepods 没找到。 支持 HomeKit 的网络设备会基于 device-role 把设备分为 host 和网络设备,host 类的 ra 全部被网络设备拦截下来并不发送。所以我在使用 ac6600 (其实就是 3 个 ac2200 ),哪怕中枢是 homepods ,也没有 ipv6 ra 的困扰。 thread 协议在 HomeKit 设备内部通讯基于 ipv6 的,你虽然手机或者设备显式地使用 v4 ,但支持 thread 的设备比如上面说的 aqara e1 其实加入 homekit 环境时是被中枢指定了 v6 的下发的。 |
|
33
xiaoxiannv OP @gigishy 理论上,我只用 IPv4 、只用 ROS ,我也不追求“正确部署 IPv6”。直接让 ROS 和 AP 都不发 IPv6 ,主 LAN 没有 IPv6 默认路由,干干净净,就可以了
|
Select Language