Fernzugriff auf Fhem - welcher Internet-Anbieter kann's?

[Capricornus]

Hallo Gemeinde,

ich weiß - dieses Thema ist in zig verschiedenen Foren schon x-mal diskutiert worden. Aber eben genau deswegen verliere ich total den Überblick was nun wirklich geht und was nicht. Auch habe ich bisher noch keinen gescheiten Workaround gefunden für die Fälle, wo es nicht geht.

Also: Ich möchte meinen Fhem-Server gerne von außen verfügbar machen, damit ich von mobil auf alle Funktionen zugreifen kann. Dummerweise habe ich einen Kabelanschluss von Unitymedia mit dieser leidlichen Technicolor TC7200. Damit ist an Fernzugriff nicht zu denken: Einerseits verwendet UM das DS-Lite Verfahren, wodurch ich nur eine öffentliche IPv6 Adresse habe und keine IPv4, andererseits ist die Firmware des Routers so kastriert worden, dass eine Portweiterleitung der Netzwerkgeräte nicht möglich ist. Nach viel Recherche im Web und Nachfrage bei UM blieb die ernüchternde Erkenntnis, dass mit diesem Anschluss leider ein Fernzugriff unmöglich ist - ich bräuchte dafür einen der Business-Tarife inkl. IPv4 und freigeschalteter fritz!box, die mir aber allesamt zu teuer sind.

Möglichkeiten, trotzdem über das Kabelnetz auf meinen Router zuzugreifen, habe ich bisher keine gefunden. Entweder gibt es nur Ansätze, die aufgrund der Portsperrung nicht funktionieren oder die Diskussionen zu dem Thema sind mehr oder weniger alt und spiegeln nicht den aktuellen Stand der Technik wieder. Da ich nun vor der Wahl stehe meinen Anschluss zu kündigen und zu einem anderen Anbieter zu wechseln, hätte ich folgende Fragen:

   
• Wer hat einen Anschluss bei UM mit Technicolor TC7200 Router und kann darüber auf sein Fhem/NAS/Webcam etc. aus dem Internet zugreifen?
• Gibt es einen funktionierenden Workaround, um die Portsperrung zu umgehen und über IPv4 auf die Geräte zuzugreifen?
• Falls keines von beiden zutreffen sollte - über welche Anschlussart und Anbieter kann ich mein Vorhaben realisieren? Normalerweise sollte das mit jedem DSL-Aschluss klappen, ich habe aber auch schon gelesen, dass z.B. 1&1 für Neukunden nur noch IPv6 Adressen vergibt (eben da der IPv4 Adressraum aufgebraucht ist)...

Um erfolgreich zu sein, kann ich entweder meinen Router über IPv4 erreichbar machen, oder ich bringe meinen Mobilgeräten bei IPv6 zu sprechen. Hat irgendjemand in diesem Kontext mal letzteres versucht?


Ich würde mich freuen auf Leidensgenossen zu treffen und mögliche Lösungsansätze zu diskutieren 


Viele Grüße,
Martin

@Mods: ich hoffe, ich bin mit meinem Thema im richtigen UFo. Falls nicht, bitte verschieben.

[isy]

Hallo,

bei Unitymedia gibt es wegen der von dir beschriebenen Technik und Privatkunden- Verträge keinen Workaround.
Bis vor einem Jahr hatte ich einen Vertrag in dieser Weise und bin dann zu  VDSL.
Wir haben in der Firma den Internet Backup über Unitymedia und daher können wir auf den Business Support zugreifen. 
Der hat die Aussage bestatigt.
Da also die IPV6 nicht ins Internet geroutet wird, war damals auch ein Versuch gescheitert, die WAN IP des Routers manuell beim DynDns einzutragen. Die WAN IP ändert sich bei Kabel selten und das manuelle Einträgen wäre akzeptabel

Denke, da gibt es keine Chance,  bin aber auch an anderen Erfahrungen interessiert.

[Capricornus]

Hi,

danke für deine Erfahrugen.
Eigentlich ist das mit IPv6 gar nicht so schlecht - da es genug Adressen gibt, braucht man gar kein DynDNS mehr. Da das Mobilnetz aber noch nicht soweit ist (und auf absehbare Zeit nicht soweit sein wird) und immer noch IPV4 nutzt, ist der ganze Ansatz sinnlos. Wenn der Mobilfunk schon IPv6 hätte, wäre alles in Butter - wobei das nicht ganz stimmt, bei UM bestünde immer noch das Problem mit den gesperrten Ports. Ich frage mich, wie lange der konsequente und endgültige Umzug auf IPv6 noch dauern soll.. .

Weitere Ideen willkommen!


Viele Grüße,
Martin

[nuru]

da du eine ipv6 hast könnte

http://www.heise.de/netze/meldung/dynv6-Kostenloser-Dyndns-Dienst-fuer-IPv4-und-IPv6-3071753.html

helfen ersteinmal die erreichbarkeit von aussen zu bekommen.
wenn das funktioniert dann bleibt noch der router zwecks portweiterleitung etc.

[marvin78]

Portfreigabe ist generell keine gute Idee. VPN oder ReverseProxy sind die einzigen sinnvollen Möglichkeiten des Fernzugriffs.

[deltaac]

Portfreigabe ist generell keine gute Idee. VPN oder ReverseProxy sind die einzigen sinnvollen Möglichkeiten des Fernzugriffs.

Portweiterleitung auf einen VPN Server wäre da die Lösung...

Du brauchst eine 6in4-Tunnel, schau dir mal http://www.sixxs.net/ an.

[Thorsten Pferdekaemper]

Portfreigabe ist generell keine gute Idee. VPN oder ReverseProxy sind die einzigen sinnvollen Möglichkeiten des Fernzugriffs.

Hi,
ok, VPN geht mit Routern wie der FritzBox direkt, da muss man erstmal keinen Port durchreichen. Aber wie bekommst Du einen ReverseProxy ohne Portfreigabe/-weiterleitung hin?
Gruß,
   Thorsten

[marvin78]

Da fehlt nur das Wort direkt!

Meine Empfehlung ist IMMER VPN. ReverseProxy ist die Alternative. Direkte Portfreigabe ist keine.

[nuru]

vpn ist immer 1 wahl.
dazu muß aber das gerät (vpnserver) von aussen erreichbar sein.
andere alternative  wäre natürlich gerät (heimnetz) baut vpn auf .

was mir noch einfällt heimnetz -> vpn server (v-server-inet) <-endgerät z.b handy

[isy]

Ich vergaß och zu sagen, das die IPV6 von Unitymedia im Internet auch nicht erreichbar war.
Getestet mit einem anderen Unitymedia  Anschluß ( Hessen nach NRW)
Begründung damals von Unitymedia: Datenschutz.

Wäre schon, wenn das noch mal jemand testen könnte.

[bloodybeginner]

Mein raspi ist hinter einem tc7200 am unitymedia DS-Lite erreichbar:
Im tc 2700 die fw abschalten, beim portforwarding die ipv6 Adresse des raspi eintragen und von extern die ipv6 des raspi nutzen. Mobilfunk Netze können kein ipv6. Hier ist dann auf dem Mobile ein AYIYA von sixxs notwendig. Generell sollen aber durch das abschalten der Firewall alle ipv6 Geräte erreichbar im LAN erreichbar sein. Das konnte ich aber noch nicht überprüfen

Gesendet von meinem SM-G901F mit Tapatalk

[viegener]

Vielleicht ist das ja off topic, aber wenn es nicht gerade um Zugriff auf das NAS geht, sondern darum Infos oder Bilder von FHEM abzufragen beziehungsweise Kommandos auszulösen, kann man z.B. über den Telegram InstantMessaging (TelegramBot Modul) quasi beliebige Kommandos von aussen auslösen und auch Informationen / Bilder senden lassen.

Wie gesagt wenn man nicht unbedingt aufs NAS zugreifen möchte und keine 1:1 Weboberfläche braucht, ist das eine relativ einfache und sichere Zugangsmöglichkeit von aussen ohne Portforwarding/VPN

[Bapt. Reverend Magersuppe]

Zumindest Tmobile kann mittlerweile ipv6.

Der Zugriff auf innen liegende Geräte geht bei einer fritzbox sehr gut,  man muss nur die innere ipv6 freischalten.

Das fritzbox VPN kann leider nur ipv4 (bisher).

[Capricornus]

Hallo zusammen,

danke euch allen für die rege Teilnahme!

Ok, ordnen wir die Informationen einmal - einfaches Portforwarding ist nicht der richtige Weg. Entweder VPN oder ein ReverseProxy, wobei letzteres wieder nicht funktionieren dürfte, da die Portweiterleitung des TC7200 nicht freigeschaltet ist. bloodybeginner scheint einen Weg gefunden zu haben den UM-Anschluss von fern zu nutzen, aber nur unter Abschaltung der internen FW (unsicher) und Einrichtung einer AYIYA Verbindung über SixXS. Mit anderen Anschlüssen sind ähnliche Probleme zu erwarten, da Neuverträge immer mehr mit IPv6 Adressen versehen werden und Funktionen wie VPN oder direkter Zugriff aus dem IPv4 Mobilfunknetz nicht funktionieren. Also - wenn ich richtig verstehe - habe ich folgende Möglichkeiten:

   
• Wechsel zu einem Vertrag mit echtem Dual Stack, um eine IPv4 zu haben und VPN nutzen zu können
• Wechsel zu einem Vertrag nur mit IPv6, aber mit fritz!box um myFritz nutzen zu können (ohne VPN weil nicht IPv6-fähig, aber dafür mit ReverseProxy)
• Bei UM/TC7200 bleiben, den RPi/Fhem auf IPv6 bringen und den von bloodybeginner eingeschlagenen Weg beschreiten (soweit ich das einschätzen kann: unsicher, da kein VPN)
• ?

Gibt es eine Möglichkeit, einen Fernzugriff mit IPv6 zu erhalten UND gleichzeitig eine sichere Verbindung über VPN etc. zu haben? Welche Anschluss-Konstellationen oder Lösungswege habt ihr? Mein Ansinnen ist generell eigentlich folgendes:

   
• Ich möchte vom Internet aus auf meine Fhem-Oberfläche und Geräte zugreifen können, bspw. um die Heizung von außen steuern zu können, idealerweise über die TabletUI/App
• Ich will das GEOFANCY Modul nutzen - hierfür habe ich schon eine eigene Fhem-Instanz erstellt über einen separaten Port.

Sorry, wenn ich so dumm nachfragen muss, aber ich verstehe noch nicht wirklich wie das Ganze funktionieren soll. 




Viele Grüße,
Martin

[Bapt. Reverend Magersuppe]

myfritz wird dir nicht viel nützen. Dann kannst du nur auf die Fritzbox zugreifen von einem äußeren Punkt. Das innen liegende fhem-gerät muss sich per dyndns registrieren (dyn6.com) und dir so die 6er-ip mitteilen.
In der Fritzbox kann man einzelne Ports für ip6 frei schalten damit das durch geht.
In dem TC7200 heisst das vermutlich weiterleitung wenn ich das Handbuch richtig deute.

Mit einem Portscanner kann man sich selber prüfen.

[gloob]

Warum sollte es bei UnityMedia eigentlich keine IPv4 geben?

Ich habe einen UnityMedia 3-Play anschluss und erhalte eine öffentliche IPv4 mit der ich auch meinen FHEM Server mittels Portweiterleitung erreichen kann.
Ich nutze jetzt eine Airport Extreme als Router.

[deltaac]

Ich vergaß och zu sagen, das die IPV6 von Unitymedia im Internet auch nicht erreichbar war.
Getestet mit einem anderen Unitymedia  Anschluß ( Hessen nach NRW)
Begründung damals von Unitymedia: Datenschutz.

Wäre schon, wenn das noch mal jemand testen könnte.

NRW 2 NRW  klappt mit IPv6. Ebenso der von mir angesprochene Tunnel über sixx.

[bloodybeginner]

   

• Bei UM/TC7200 bleiben, den RPi/Fhem auf IPv6 bringen und den von bloodybeginner eingeschlagenen Weg beschreiten (soweit ich das einschätzen kann: unsicher, da kein VPN)

   

relativ - bei sixx bekommst Du eine statische IPV6 Adresse. Einfach nur diese auf dem RasPI zulassen. Das Problem ist eher das bei meiner Konfig alle LAN Geräte (sofern sie denn IPV6 können) von extern direkt erreichbar sind. Macht das die FritzBox Cable anders?

//bb

[bloodybeginner]

Zumindest Tmobile kann mittlerweile ipv6.

Der Zugriff auf innen liegende Geräte geht bei einer fritzbox sehr gut,  man muss nur die innere ipv6 freischalten.

Das fritzbox VPN kann leider nur ipv4 (bisher).

nööö. kann ich so nicht bestätigen. im Raum Dortmund ist kein ipv6 bei Tmobile verfügbar.
Einfach mal vom Mobile aus ipv6-test.com aufrufen

[Bapt. Reverend Magersuppe]

Warum sollte es bei UnityMedia eigentlich keine IPv4 geben?

Weil so langsam die v4-Adressen zur Neige gehen werden bei vielen Anschlüssen nur noch ds-lite-IPs vergeben. (Carrier based nat).
Jetzt kann man wohl (was auch der Tipp in vielen Foren ist) bei UM so lange jammern machen bis man wieder auf eine  v4-IP umgestellt wird oder sich mit der Zukunft konfrontieren und das mit ipv6 im eigenen Umfeld endlich mal durchziehen. Irgendwann muss man das eben mal machen.

[nuru]

nochmal heimnetz - vpn client ----> vpn server welcher öffentlich erreichbar ist (wo auch immer er steht) <---- endgerät z.b. handy tablet usw.

ziel erreicht! von aussen über vpn den fhem z.B. 192.168.10.78:8083 zu erreichen 
siehe https://de.wikipedia.org/wiki/Virtual_Private_Network man beachte netzwerke verbinden und gekapselte netze

[Bapt. Reverend Magersuppe]

nööö. kann ich so nicht bestätigen. im Raum Dortmund ist kein ipv6 bei Tmobile verfügbar.
Einfach mal vom Mobile aus ipv6-test.com aufrufen

hast Du auch ipv6 im Handy an?
Einstellungen>Mobilfunk>Apns> und da irgendwo apn Protokoll auf v4/v6 stellen.

[Hotbird]

Hallo,

ich stehe vor dem selben Problem und hab mir folgende Lösung ausgedacht... Hab eine freie Fritzbox, darum klappt die interne Portweiterleitung ganz gut ( zumindest kann Amazon per IPV4 auf meinen Raspi bezüglich Alexa_FHEM zugreifen ). Ich nutze dafür den Dienst von feste-ip.net um eine IPV4>IPV6 Weiterleitung zu haben. Auf der Fritzbox habe ich eine Portweiterleitung auf dem Raspi und eine MyFritzadresse nach außen eingerichtet. Vorteil ist, dass der Raspi bisher noch nie eine andere IPV6 Adresse bekommen hat.
Das selbe habe ich jetzt auch mit der Oberfläche von FHEM vor ( Weiterleitung des Port 8083 ). Die Oberfläche ist bei mir eh nur mit einem Benutzername und einem Passwort erreichbar. Ist das "sicher" genug?
Man müsste ja quasi bei mir die genaue Bezeichnung der feste-ip Adresse kennen bzw. auf IPV6 durchscannen, und dann noch Nutzer und Passwort rausfinden...
Oder klappt das Ganze nicht so wie ich mir das vorstelle?