Xiaomi Aqara Gateway V3 das Nachhausetelefonieren verbieten

Wer Smart Home Gadgets aus Fernost einsetzt, die lediglich für eine Verwendung im beispielsweise chinesischen Ausland bestimmt sind, kennt sicher das ungute Gefühl: die Geräte senden möglicherweise Daten in ihre Heimat. Daten über dein zu Hause! Mit einfachen Firewall-Einstellung lässt sich diese unerwünschte Kommunikation ganz schnell unterbinden.

Überblick

Wer sein eigenes Smart Home selbst hostet, der ist gut beraten, sich über eine gute Absicherung des Netzwerks Gedanken zu machen. Sicherlich reicht dem Otto-Normalverbraucher im ersten Moment die Standardeinstellung der FRITZ!Box*, wer jedoch etwas tiefer in die Materie einsteigen will, kommt um Lösungen wie pfSense oder IPfire kaum herum. Ich benutzte als IPS (Intrusion Prevention System) / Firewall eine Watchguard XTM5 Appliance mit pfSense OS. Damit ist so ziemlich alles möglich, was man sich als Privatanwender wünschen kann. In einem anderen Artikel werde ich noch einmal genauer auf mein aktuelles Setup eingehen.

An dieser Stelle soll es darum gehen, wie wir dem Xiaomi Aqara Smart Home Gateway* das ständige Versenden von Daten an den chinesischen Mutterserver verbieten können. Das Gateway baut diese Verbindung auf, um die aktuellen Sensordaten an die Aqara IoT Cloud übertragen zu können, sodass der Anwender über die Xiaomi Mi Home App darauf zugreifen kann. Da unser Ziel ein lokales Sensornetzwerk ist, d.h. bis auf unser Home Assistant Hub kein weiterer Dienst Sensordaten aus unserem Smart Home ins Internet versenden soll, muss diese Verbindung gekappt werden. Die Xiaomi Aqara Komponenten funktionieren im Übrigen auch ohne Internetverbindung und kommunizieren dann ausschließlich lokal mit dem Home Assistant Container.

Schritt für Schritt zum lokalen Aqara Smart Home Gateway

Schritt 1: Eine fixe IP zuordnen

Zunächst ordnen wir dem Gateway eine fixe IP-Adresse zu. Da ich keine Möglichkeit gefunden habe, dieses über die App bzw. das Gateway an sich zu tun, habe ich dem Gerät in pfSense einen statischen ARP-Eintrag zugewiesen. Da meine IPS mit pfSense auch als DHCP-Server fungiert, wird dem Gateway so immer eine identische IP zugewiesen.

Das statische Mapping lässt sich ganz einfach einrichten. Navigiert dazu in der pfSense auf Status -> DHCP Leases -> identifiziert das Gateway (Hostname lumi-gateway-v3_miioXXXXX) und klickt ganz rechts auf das helle Plus-Symbol.

Statisches IP Mapping für Xiaomi Aqara Gateway V3

Im darauffolgenden Dialog muss der Eintrag entsprechend angelegt werden. Hier teilt ihr dem DHCP-Server mit, dass die MAC-Adresse des Aqara Smart Home Gateway V3 immer einer bestimmten IP zugeordnet werden soll. Die MAC-Adresse übernimmt pfSense selbständig aus der Geräteübersicht.

Ihr müsst hier nur Folgendes ausfüllen:

  • Client Identifiert: Name des Gerätes
  • IP-Adresse: Die gewünschte IP, die in Zukunft zugeordnet wird -> Darauf achten, dass die IP außerhalb des Bereiches des DHCP-Servers liegt
  • Hostname: Wird übernommen
  • Description: Wer will, kann hier eine Beschreibung hinterlegen.

Aqara gateway V3 MAC IP Mapping einrichten

Schritt 2: Firewallregel erstellen

Im zweiten Schritt erstellen wir die entsprechende Firewallregel, die den ausgehenden Verkehr des Aqara Gateways* blockiert. Dazu wechseln wir in pfSense zu Firewall -> Rules -> LAN. Mit einem Klick auf „Add“ legen wir eine neue Regel am Ende der Liste an.

Die folgenden Parameter werden in diesem Dialog gesetzt:

  • Action: Block (wir wollen ja den ausgehenden Verkehr blockieren)
  • Interface: LAN (Euer lokales Interface kann anders benannt sein!)
  • Address Family: IPV4
  • Protocol: Any
  • Source: Single host or alias -> IP-Adresse des Aqara Gateway V3*
  • Destination: any
  • Description: XIAOMI Block (oder was immer ihr möchtet)

Anschließend speichern und pfSense die Regeln neu laden lassen. Fertig.

Xiaomi Aqara Gateway V3 Firewall Regel blockieren

Schritt 3: Wirksamkeit der Firewallregel prüfen

Im letzten Schritt sollte die Wirksamkeit der Regel geprüft werden. Dazu am besten eine Stunde warten und danach noch einmal unter Firewall -> Rules -> LAN nachsehen. Hier ist nun auch unsere „XIAOMI* Block“ Regel zu sehen. Innerhalb einer Stunde sollte das Gateway bereits einige Male versucht haben, nach Hause zu telefonieren. In der Spalte „States“ ist zu erkennen, dass die Regel ausgehende Pakete blockiert hat, die den gesetzten Spezifikationen entsprechen. Dies bedeutet, dass das Aqara Gateway ab sofort nur noch Pakete im lokalen Netzwerk versenden kann. Unser Ziel ist erreicht! 🙂

Xiaomi Aqara Gateway V3 Firewall Regel funktioniert

Hinweis: Wollt ihr das Gateway über die App auf den neusten Stand aktualisieren, müsst ihr daran denken, die Firewallregel für einen Augenblick zu deaktivieren. Ansonsten kann das Aqara Gateway* logischerweise keine Firmware herunterladen (bzw. die Anfrage dazu versenden).

Fragen oder Anmerkungen? Gerne einen Kommentar hinterlassen!

2 Gedanken zu „Xiaomi Aqara Gateway V3 das Nachhausetelefonieren verbieten

  • April 28, 2019 um 12:14 pm
    Permalink

    Danke für die sehr hilfreichen Tipps!
    Alternativ können die Einstellungen auch in der Fritz-Box vorgenommen werden:
    Feste IP kann eingestellt werden
    Ausserdem kann einem Gerät die IP Kommunikation entzogen werden. Das ist tatsächlich nicht ganz eindeutig – bedeutet hier aber nur den Verkehr in die weite Welt (nach China).
    In der Xiaomi App ist dann das Gateway auch nicht mehr auffindbar. Man muss also, wenn man neue Devices zum Gateway hinzufügen will, das Tor wieder öffnen…
    Die Verbindung zu Apple HOME funktioniert dann aber lokal nach wie vor.
    Also – alles gut!!

    Antwort
    • Juni 15, 2019 um 8:07 am
      Permalink

      Hallo Matthias,

      danke für deine Ergänzung. In der Fritz!Box funktioniert das natürlich auch, so wie von dir beschrieben. Das hilft sicher dem einen oder anderen Nutzer weiter!

      Genau, für Updates des Gateways muss dann die Firewall Regel temporär deaktiviert werden. Da das Gateway aber keine Daten der Sensoren lokal zu puffern scheint, werden in dieser Zeit nur die Daten an den Xiaomi-Server übertragen, die während der Update-Periode gemessen werden.

      Viele Grüße,
      Nils

      Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.