FHEM nicht über Fritzbox VPN erreichbar

Saphora · 17 Juli 2023, 17:55:45

Hallo Community
ich würde gern FHEM über IPsec Fritzbox VPN erreichen (z.B. Hotel). Aber das gelingt nicht.
Der VPN-Tunnel ist aufgebaut und es können alle Geräte im Heimnetz von außerhalb erreicht werden, auch die Fritzbox.
Der Raspberry wo FHEM drauf läuft, ist per SSH erreichbar. Aber die FHEM WEBUI im Webbrowser über Port 8083 ist nicht erreichbar (Chrome, Firefox). FHEM wird über IP angesprochen.

Fehlermeldung: Verbindung unterbrochen

Hat jemand eine Idee?
Bin leicht ratlos 😞

Grüße

Wernieman · 17 Juli 2023, 18:58:20

Was für eine IP bekommt Du, wenn Du im VPN bist?
Stichwort: allowFrom
Ist das bei Dir gesetzt?

Saphora · 17 Juli 2023, 19:12:55

Das ist nicht gesetzt, sodass alles Zugriff haben sollte.
In der fhem.cfg steht zumindest dazu nichts. Oder erlaubt FHEM Default und ohne expliziten FHEM Befehl in der fhem.cfg nur das Subnetz wo es selbst drin steckt?

CoolTux · 17 Juli 2023, 19:23:13

FHEM erlaubt ausschließlich Adressen aus dem privaten Adressbereich. Ich gehe aber mal davon aus das Du Deine Phase1 entsprechend eingerichtet hast.

rudolfkoenig · 17 Juli 2023, 19:42:06

ZitatFHEM erlaubt ausschließlich Adressen aus dem privaten Adressbereich.

... es sei denn man hat Benutzername/Passwort gesetzt, oder per allowfrom Attribut eine Ausnahme erlaubt.

Als privat gilt:

Code Auswählen

^(::ffff:)?(127|192.168|172.(1[6-9]|2[0-9]|3[01])|10|169.254)\\.|^(f[cde]|::1)

Saphora · 17 Juli 2023, 21:09:09

Benutzername und Passwort ist in FHEM gesetzt.
Heißt das es müsste für alle IP-Bereiche offen sein oder muss ich noch eine allowfrom Liste anlegen?

rudolfkoenig · 17 Juli 2023, 21:24:52

Mit Benutzername und Passwort ist kein allowfrom notwendig.
Wenn keiner der beiden gesetzt ist kommt eine Meldung ins FHEM-Log:

ZitatConnection refused from the non-local address $caddr:$port, as there is no working allowed instance defined for it

Wernieman · 17 Juli 2023, 21:35:30

Also die Frage: Gibt es zu dem Probierzeitraum ein Logfileeintrag?

Jamo · 17 Juli 2023, 21:38:01

IPSEC nutzt den Port 4500. Ich benutze auch IPSec, und habe festgestellt das manche WLans den Port 4500 gesperrt haben, weil die Betreiber nicht wollen das man ueber IPSec ins eigene Netz kommt. Mein Arbeitgeber, und auch das oeffentliche Bayern@Wlan (soweit ich mich erinnere) machen das so, als auch manche Hotels. Dann hilft meistens Wireguard (der FritzBox) zu benutzen.

Ich weiss nicht ob Dir das hilft, die Frage ist ob das Problem in allen deinen WLans auftritt wenn du Dich ueber IPSec verbinden willst. Wollte nur meine eigenen Beobachtungen teilen

Wernieman · 17 Juli 2023, 21:40:17

Naja, er schrieb, das er nach VPN_Einwahl über ssh auf dem Pi kommt ...
bzt: ssh kann auch Portforwarding. Geht es dann? (Abhängig vom Client und kann auf ssh-Serverebene blockiert werden)

Saphora · 18 Juli 2023, 08:53:11

Hatte jetzt noch einmal genau geschaut. Danke für den Tipp mit dem Logging.
Die Ports zum Pi sind offen (22 SSH und 8083 FHEM.
DIE Verbindung wird wegen dem Zertifikat abgelehnt, würde ich tippen?
Das Endgerät was auf FHEM zugreift ist ein simpeles Tablet.
In FHEM selbst das Zertifikat hatte ich nie angepasst.
Vertraut das Tablet dem Zertifikat nicht oder FHEM lehnt die Verbindung ab?

rudolfkoenig · 18 Juli 2023, 09:46:44

ZitatVertraut das Tablet dem Zertifikat nicht

Das wird normalerweise als solches angezeigt, und in vielen Faellen darf man die Seite trotzdem besuchen.

Zitatoder FHEM lehnt die Verbindung ab?

Nur wenn das explizit mit einem Client-Zertifikat konfiguriert ist.

Die Meldung klingt fuer mich eher nach einem Verbindungsversuch ohne SSL/HTTPS, waehrend beim FHEMWEB HTTPS konfiguriert ist.
Eine weitere Moeglichkeit ist, dass die beiden sich nicht auf ein gemeinsames cipher einigen konnten, weil das OS(!) des RPi oder des Tablets veraltet ist.