Netzwerkeinbindung eines Stromspeichers im Heimnetz

[Rewe2000]

Hallo Eisix,

egal was ich einstelle, über VPN kann ich nur das 50'er Netz pingen, aber ich komme nicht ins 15'er Netz (auch nicht mit Ping), auch wenn ich die Firewall öffne wie ein Scheunentor.

Verbinde ich mich über das Heimnetz (ohne VPN) kann ich die Teilnehmer im 15'er Netz pingen und erreichen.

Ein Laie denkt, hier wäre nur die IP-Adresse der "Quelle" anders, wenn der Zugang über VPN erfolgt, aber da muss noch etwas anderes im Argen liegen, aber was nur 

Könnte ich da mit wireshark (als Laie) etwas erkennen, woran es klemmt?
Ggf. werde ich mich in einem anderen Forum noch um Hilfe bemühen, denn hier komme ich alleine mit meinen Netzwerkkenntnissen nicht viel weiter.

Gruß Reinhard

[Eisix]

Dein Routing ist das Problem denke ich, nicht die Firewall an sich.

Ich kenne das FritzVPN nicht und weiss nicht ob es ein NAT macht in das 50er Netz oder nur ein routing. Deshalb hatte ich gefragt ob du den verbundenen VPN client aus dem 50er Netz pingen kannst oder nicht. Und wenn ja unter der 50er IP oder mit der client IP.

Gruß
Eisix

[Rewe2000]

Hallo,

sollte es User geben, welche auch einen E3DC Stromspeicher in ein anderes Netzwerksegment auslagern wollen, so ist meine Erfahrung, lasst es (derzeit).

Ich habe ein solches "Fremdnetz" neben meinem "Heimnetz" mit einen Unifi USG aufgebaut, zum testen eine WAGO SPS angeschlossen und von dieser über Modbus Daten abgeholt, funktionierte Problemlos, nur über VPN (von außerhalb des Heimnetzes) konnte ich die WEB-Oberfläche nicht erreichen, das ist aber ein anderes Problem.

Nun habe ich meinen Speicher von E3DC bekommen, habe die WAGO entfernt und den Speicher in das "Fremdnetz" eingebunden. Egal was ich anstellte, ich bekam über Modbus keine Verbindung zum Speicher, was zu der vorher eingebundenen Wago SPS geklappt hatte.
Eine Supportanfrage beim Hersteller brachte folgendes Ergebnis.

Eine Verbindung via Modbus zum Hauskraftwerk funktioniert nur im gleichen Subnetz.

Somit war alle Mühe in der Vergangenheit vergebens und ich kann meinen USG Router wieder verkaufen

Ob dies ein Sicherheitsfeature oder ein Mangel des Herstellers ist, um dies zu beurteilen, reichen meine bescheidenen Netzwerkkenntnisse nicht aus. Bei mir hängt der Speicher nun gezwungenermaßen im Heimnetz, so weit als möglich durch die Firewall der FritzBox gesichert.

Da ich keinesfalls auf die Modbusanbindung verzichten wollte, ist dies nun das kleinere Übel.
Zumindest bekomme ich nun die Daten in Fhem, welche ich mir vorgestellt habe (siehe Bild im Anhang).

Vielen Dank an alle Mitglieder des Forums, welche mich bei meiner Problemlösung unterstützt haben.

Gruß Reinhard

[Eisix]

Hallo,

Du kannst einen raspi mit fhem in das gleiche Netz und mit Fhem2fhem oder MQTT zu deiner anderen Fhem Instanz übertragen.

Gruß
Eisix

[yersinia]

Ich habe ein solches "Fremdnetz" neben meinem "Heimnetz" mit einen Unifi USG aufgebaut, zum testen eine WAGO SPS angeschlossen und von dieser über Modbus Daten abgeholt, funktionierte Problemlos, nur über VPN (von außerhalb des Heimnetzes) konnte ich die WEB-Oberfläche nicht erreichen, das ist aber ein anderes Problem.

Nun habe ich meinen Speicher von E3DC bekommen, habe die WAGO entfernt und den Speicher in das "Fremdnetz" eingebunden. Egal was ich anstellte, ich bekam über Modbus keine Verbindung zum Speicher, was zu der vorher eingebundenen Wago SPS geklappt hatte.
Somit war alle Mühe in der Vergangenheit vergebens und ich kann meinen USG Router wieder verkaufen

Kann die USG kein NAT zwischen den beiden Netzen? Zumindest im angehängten Bild Unifi Firewall Regel.JPG vom post #20 scheint es eine Möglichkeit zu geben, NAT Regeln zu erstellen. Da könntest du die Anfrage aus dem Netz A (Heimnetz) mit einer bestimmten IP (FHEM) so manipulieren, dass es für den Empfänger (im Fremdnetz) wie eine Anfrage aus dem Netz B (Fremdnetz) aussieht. Alelrdings habe ich keine USG und kann nur vermuten...

[Rewe2000]

Hallo yersinia,

sicherlich gäbe es hierzu noch eine Konfigurationsmöglichkeit, aber dazu müsste vor dem Bildschirm jemand sitzen, welcher sehr gute Netzwerkkenntnisse hat und das bin sicherlich nicht ich. Ich war schon dankbar, dass es mir mit Eisix Hilfe gelungen ist, meine Wago im anderen Netz zu erreichen. Von NAT habe ich erstmalig gehört, als ich mir Videos zum USG angesehen habe, hier wird auch als Mangel eines USG hinter der FritzBox, das doppelte NAT genannt.

Auch scheint der Unifi USG nicht so verbreitet zu sein, zumindest in den einschlägigen Foren hält sich die Hilfe in Grenzen.

@Eisix: Danke für den Tipp mit dem zusätzichen Raspi, welcher im "Frendnetz" läuft, der die Daten über Modbus vom Speicher abholt und dann Fhem im Heimnetz zur Verfügung stellt. Das wäre zumindest eine Möglichkeit um an die Modbus Daten im Fremdnetz zu kommen.

Auch überlege ich mir komplett auf eine open Source Lösung (pfSense, OPNsense oder einen Mikrotik Router) zu gehen, welcher weit verbreitet ist (wegen der Hilfe in den Foren) und gute Konfigurationsmöglichkeiten bietet. Somit könnte ich alle Probleme ev. in einem Gerät erschlagen.

Bin noch am Überlegen, wie ich es am besten löse.
Vielen Dank für eure Tipps.

Gruß Reinhard

[yersinia]

sicherlich gäbe es hierzu noch eine Konfigurationsmöglichkeit, aber dazu müsste vor dem Bildschirm jemand sitzen, welcher sehr gute Netzwerkkenntnisse hat und das bin sicherlich nicht ich. Ich war schon dankbar, dass es mir mit Eisix Hilfe gelungen ist, meine Wago im anderen Netz zu erreichen. Von NAT habe ich erstmalig gehört, als ich mir Videos zum USG angesehen habe, hier wird auch als Mangel eines USG hinter der FritzBox, das doppelte NAT genannt.

Auch scheint der Unifi USG nicht so verbreitet zu sein, zumindest in den einschlägigen Foren hält sich die Hilfe in Grenzen.

Ja, als ich kurz im Internet gesucht hatte, hatte ich auch kaum auf Anhieb was dazu gefunden.

Sofern du willst, kannst du es ja mal versuchen. Immerhin hast du ein lauffähiges Setup. Wenn die Rumspielerei nicht klappt, bist du immernoch sicher. Zum Testen würde ich im (Haupt-)FHEM eine kopie des devices anlegen und an dem rumspielen.

Ohne eine USG zu haben (also alle Angaben ohne Gewähr), stelle ich mir die zusätzliche Firewall-Regel so vor - vorausgesetzt sowohl FHEM als auch der Speicher/die SPS haben feste IPs. Dann solltest du in der fw-regel (siehe Bild Unifi Firewall Regel.JPG im post #20) folgendes eintragen (ungetestet):
(- aktiviere "Nach den vorkonfigurierten Regeln" - möglicherweise musst du die umpriorisieren (ie nach oben schieben))
- aktiviere "Akzeptieren"
- erstmal alle IPv4-Protokolle
- bei "Erweitert" wie im Bild belassen
- Quelle: "IP-Adresse" auswählen und dann IP des FHEM Raspi angeben
- Ziel: "IP-Adresse" auswählen und dann IP des Speichers angeben
- gibt es eine Option IP Rewrite? Oder einen Reiter NAT? Dann kann man der SPS die Anfrage aus dem eigenen Subnetz erleichtern. Das wäre dann afaik das eigtl NAT hier.

imho öffnest du damit das VLAN 15 für FHEM - aber nur für Anfragen von FHEM an eine spezielle Ziel IP.
Da du laut Netzwerkplan (post #28) in der FB eine statische Route in das VLAN 15 eingetragen hast, müsste das eigtl durchflutschen.

Dann kannst du das kopierte FHEM Device entsprechend anpassen.

Laut Netzplan ist auch die Einstellung des Netgear Switsches interessant. Ich glaube nicht, dass die SPS und das "Heimnetz" vlan tags mitgibt, die ports müssten untagged aber dem jeweiligen VLAN zugeordnet sein. Nur an die USG geht es weiter als getagged. Und vice versa.

Aber: never change a running system! Wenns läuft und du zufrieden bist, belass es so wie es ist.

Auch überlege ich mir komplett auf eine open Source Lösung (pfSense, OPNsense oder einen Mikrotik Router) zu gehen, welcher weit verbreitet ist (wegen der Hilfe in den Foren) und gute Konfigurationsmöglichkeiten bietet. Somit könnte ich alle Probleme ev. in einem Gerät erschlagen.

Heisst aber auch einiges an Einarbeitung und Konfiguration. Viele Wege führen zum Erfolg. Ich werfe noch OpenWrt mit in den Ring.

[Eisix]

Hallo,

NAT kann die USG, aber ob das am ende wirklich funktioniert ist nicht sicher. Schon beide Varianten mit anderen Protokollen gesehen.
Im screenshot sieht man wie ein Portforwarding mit NAT gemacht wird. Grundsätzlich kann ich dir aber den support von Unifi empfehlen.
Allerdings Englisch.

Gruß
Eisix

[Basti-K]

Hallo in die Runde.
Ich bin ach vor die Wand gefahren was ein separates VLAN angeht.
FHEM habe ich nur über FULL Nat anbinden können, weil man sonst eine route eintragen müsste.
Nach 12h hat plötzlich der der Speicher aufgehört mit der Cloud zu sprechen. (sonst bei Any Ports)
Steckt man zum Test das Ethernet welches in den S10 geht in ein Notebook geht alles.
Ich hab eine Sophos UTM.

Case beim Support aufgemacht, mal schauen was die schreiben.
Eine Blackbox im default (v)LAN ist doch Mist.

[Basti-K]

Antwort vom Support.
Die Können oder wollen nichts in der Richtung machen.
ignorant. Besonders bei dem Preis den das Zeug gekostet hat...

[pcbastler]

ignorant. Besonders bei dem Preis den das Zeug gekostet hat...

Naja, gegen die Probleme mit den Akkus ist die "exotische" Netzwerkanbindung wahrscheinlich wirklich "unter dem Radar". Hat eigentlich mal jemand den Traffic einer E3DC-Anlage mitgeschnitten um das besser bewerten zu können?

[pcbastler]

Sorry für die "Selbst-Antwort":
Ich hab mal Wireshark bemüht, die S10E bringt nur das:

Code Auswählen Erweitern


Simple Service Discovery Protocol
    NOTIFY * HTTP/1.1\r\n
    HOST: 239.255.255.250:1900\r\n
    CACHE-CONTROL: max-age=60\r\n
    LOCATION: http://192.168.35.20:8080/96592693458962/Description.xml\r\n
    NT: upnp:rootdevice \r\n
    NTS: ssdp:alive\r\n
    SERVER: E3DC-A35:RSCP_SERVICE_PROVIDER IModBusService \r\n
    USN: uuid:S10-491950007560::96592693458962\r\n
    X-SN.E3DC.COM: S10-491950007560\r\n
    \r\n
    [Full request URI: http://239.255.255.250:1900*]