Zugriff von aussen auf FHEM per LTE

[rasti]

Hallo,

ich möchte in einem vermieteten Haus die Heizung (1-wire-Sensoren) und PV-Erzeugung (Modbus) mit FHEM überwachen.
Dazu möchte ich LTE verwenden. Idealerweise mit einer LTE-Datenkarte, die nur 5€ oder so im Monat kostet.

Bei meinem eigenen Kabelanschluss kann ich mich von aussen per VPN einloggen und habe
Zugriff auf mein gesamtes Heimnetz inkl. FHEM versteht sich.

Läuft das bei LTE genauso wie bei meinem Kabelanschluss wo ich ja eine feste IP habe ?
Also z.B. eine GigaCube mit nachgeschalteter Fritzbox geht ?

Geht es Unterschiede bez. Providern/Vertragsarten ?

Viele Grüße

Ralf

[enno]

Moin Ralf,

ich hatte das gleiche Problem, hatte es mit https://tailscale.com/ und einem Raspi als VPN Server gelöst. Inzwischen hat AVM unter 7.50 Wireguard eingebaut, seitdem geht es auch direkt.

Gruss
  Enno

[MadMax-FHEM]

Das hier ist verm. ähnlich zu dem was enno nutzt: https://www.youtube.com/watch?v=ey4u7OUAF3c

Wollte ich mal ausprobieren...

Läuft das bei LTE genauso wie bei meinem Kabelanschluss wo ich ja eine feste IP habe ?
Also z.B. eine GigaCube mit nachgeschalteter Fritzbox geht ?

Geht nicht einfach so...

Was ich nutze (setzt aber FBs auf beiden Seiten voraus) ist das vpn-Netzwerk via AVM.
Damit kann ich ssh auch zur FB (und Rechnern dahinter) aufbauen auch zu der FB mit einem LTE-Zugang.

Also:

Fritzbox zuhause: DSL
Fritzbox remote: LTE

ssh von Zuhause -> Remote
(andersrum ist ja einfach: openVPN/WireGuard irgendwo installieren oder der Router kann das und dann einfach dynDNS dafür und dann eben "einwählen")

Aber von DSL -> LTE ist immer problematisch...
...klappt aber eben mittels FB.

Gruß, Joachim

[Otto123]

Hallo Ralf,

ich würde auf dem entfernten einfach eine Einwahl mit wireguard ins eigene Netz einrichten. Das geht für eine einzelne Maschine ganz einfach, wenn Du Zugriff auf das komplette, entfernte Netzwerk haben willst ist es etwas mehr  Konfiguration: https://heinz-otto.blogspot.com/2022/02/wireguard-verbundene-netzwerke.html
Das hat den Vorteil, Du brauchst bei LTE nichts besonderes - raus kommt wireguard mMn immer.

Gruß Otto

[rasti]

Vielen Dank an euch alle !

Sehe ich das richtig, wenn ich eine FB mit Wireguard habe, dann geht das out-of-the-box ohne dass ich Wireguard ode tailscale o.ä. auf einem Raspi laufen lassen muss ? Die FB 7590 gibt es ja gebraucht schon so um die 80€....

[Otto123]

redest Du von der LTE Seite oder der Heimnetz Seite?
Aber ok - Du kannst auch LAN to LAN zwischen zwei Fritzboxen machen
https://avm.de/service/vpn/

[rasti]

redest Du von der LTE Seite oder der Heimnetz Seite?
Aber ok - Du kannst auch LAN to LAN zwischen zwei Fritzboxen machen
https://avm.de/service/vpn/

Ich meine geht damit (von irgendwo in der Welt)der VPN Zugriff auf das Netz was am LTE Router hängt ?

[Otto123]

kann sein ...
Mit relativer Sicherheit nur mit IPv6, aber wireguard und die Fritzbox sollte das können.
Und es gibt Netze auf der Welt, die sind abgeschottet und kontrolliert - was dort geht oder nicht: keine Ahnung

Deswegen war ja der Vorschlag: wähl Dich aus dem Netz einfach zu Hause ein. Dann musst Du nur ein vpn warten und nicht zwei.

[rasti]

kann sein ...
Mit relativer Sicherheit nur mit IPv6, aber wireguard und die Fritzbox sollte das können.

Gibt es IPv6 bei allen Mobilfunkbetreibern ?

Und es gibt Netze auf der Welt, die sind abgeschottet und kontrolliert - was dort geht oder nicht: keine Ahnung

Ja schon klar. In China oder Russland bin ich eigentlich nie..... Ich meinte eigentlich generell : von unterwegs.

Deswegen war ja der Vorschlag: wähl Dich aus dem Netz einfach zu Hause ein. Dann musst Du nur ein vpn warten und nicht zwei.

Ja aber mit eigenem VPN kann ich die Zugangsdaten auch einfach mal jemanden ohne dass dieser gleich Zugang zu allem bei mir hat....

Also werd ich das mal angehen .... LTE <=> GigaCube <=> neuere Fritzbox mit Wireguard <=> kleines lokales Netz

[enno]

Ich habe die Box jetzt nicht mit LTE laufen, aber hier bei mir zu Hause ohne IP4 nur mit IP6  bei meinen Eltern eine mit IP4 und IP6 und ich kann mich mit Wireguard auf beide Netze über Telefon (D1) und auch aus den öffentlichen Wlan die ich bisher (in Deutschland) genutzt habe verbinden. Wenn du das in China brauchst, würde ich vermuten, das geht nicht

[Wernieman]

Das Problem bei LTE (Mobilfunk-Datennetz) ist meistens, das Du bei IPv4 hinter einem Proxy sitzt, also nicht direkt aus dem INetz erreichbar. IPv6 ist bei vielen Mobilfunkanbietern auch nicht enthalten. Insofern ist eine pauschale Antwort sehr schwer ...

Deshalb geht ein VPN Aufbau von Seitens Mobilfunk meistens, initiiert von außen dagegen meistens nicht. Und Nein, das hat nichts mit Russland/China zu tuen, sondern liegt an den Mobilfunkanbietern ...

[MadMax-FHEM]

Ich meine geht damit (von irgendwo in der Welt)der VPN Zugriff auf das Netz was am LTE Router hängt ?

Also ich habe das hier: https://avm.de/service/vpn/ipsec-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/

Zwischen meinen beiden FBs laufen.

Damit komme ich von zuhause DSL in das remote NW mit LTE.
D.h. beide Netze sind verbunden bzw. beide FB-Netze.
(bei mir zuhause hängt noch eine Firewall hinter der FB, d.h. vom entfernten LTE-Netz ist bei meiner FB Schluss, ich komme aber auf alle Clients im LTE-Netz, die an der FB hängen)

Von überall auf der Welt geht nicht.
Aber: ich habe (zusätzlich) zuhause einen vpn-Zugang.

Also von überall auf der Welt ist dann so:

Client -> vpn nachhause -> per FB-vpn LAN-LAN dann ins LTE-Netz/LTE-FB

Wenn ich zuhause bin, dann geht das nat. "einfach so"...

Gruß, Joachim

[Otto123]

Gibt es IPv6 bei allen Mobilfunkbetreibern ?

Ja schon klar. In China oder Russland bin ich eigentlich nie..... Ich meinte eigentlich generell : von unterwegs.

Naja IPv4 ist quasi "Out of Order" und irgendwie müssen sie ja ins Internet Also es kann sein, die Frage stellt sich bald schon anders herum: machen die noch IPv4
Ich meinte nicht nur China oder Russland aber Du sagtest "(von irgendwo in der Welt)" - irgendwo ist auch das Hotelnetz oder das Firmennetz oder oder oder ...

[rasti]

OK, ich versuche mal meine Erkenntnisse für Nichtinformatiker zusammenzufassen

A- PV-Anlage im Netz am LTE-Server (das worauf ich Zugriff haben will)
B- mein Laptop in meinem normalen Heimnetz
C- mein Laptop in irgendeinem fremden Netz
D- ein Drittserver (VPS-Server von onyxhosting oder hetzner hab ich da gefunden)

1) Problem ist der direkte Zugriff von B oder C  auf A. Geht vielleicht, wahrscheinlich eher nicht
2) A kommt aber immer raus und kann sich per VPN zu D oder einem Server in meinem Heimnetz verbinden
3) B oder C können sich ebenfalls per VPN zu D oder einem Server in meinem Heimnetz verbinden

Was du Otto in https://heinz-otto.blogspot.com/2022/02/wireguard-verbundene-netzwerke.html beschrieben hast
ist die Konfiguration des obigen, dabei ist D oder ein Server in meinem Heimnetz der SERVER und A der CLIENT aus deiner Beschreibung.

Dieser Drittserver D oder ein Server in meinem Heimnetz dient als Verknüpfungspunkt für 2) und 3)

Hab ich das einigermaßen richtig verstanden ?

[MadMax-FHEM]

A- PV-Anlage im Netz am LTE-Server (das worauf ich Zugriff haben will)
B- mein Laptop in meinem normalen Heimnetz
C- mein Laptop in irgendeinem fremden Netz
D- ein Drittserver (VPS-Server von onyxhosting oder hetzner hab ich da gefunden)


1) Problem ist der direkte Zugriff von B oder C  auf A. Geht vielleicht, wahrscheinlich eher nicht

...

Hab ich das einigermaßen richtig verstanden ?

Naja, genau das habe ich umgesetzt, wie verlinkt.
Allerdings eben auf beiden Seiten eine FB (sonst geht das nicht so einfach).

D.h. die beiden Netze (LTE hin oder her: habe Aldi-Talk) sind verbunden.

Also B nach A ist kein Problem.
Auch A nach B geht (allerdings kommt man bei mir nur bis zur FB, danach ist Schluss: extra Firewall/Router).

Wenn ich von C nach A will, dann muss ich halt erst mittels "normalem" (zusätzlichen) vpn/wireguard/... ins Heimnetz (B), weil vom Heimnetz (B) kann ich ja ins Netz von A (siehe oben   ).

Aber dazu halt FBs auf beiden Seiten.
Zuhause habe/hatte ich eh schon eine FB vom Provider, also auf der LTE-Seite halt auch eine FB.
Gut die LTE-FBs bzw. FBs selber sind nat. nicht wirklich günstig...
...dafür war die Einrichtung sehr einfach

(soll aber keine Werbung für FBs sein!   )

D verstehe ich nicht so genau?
Aber wenn du von D nach B kommst, dann sollte auch D (über B) nach A gehen...

Gruß, Joachim