FHEM Forum

Hallo,

ist zwar kein eigentliches FHEM Problem, aber so langsam bin ich mit meinem Latein bzw. Kenntnissen am Ende.

Folgendes Setup:

SpeedPort 192.168.2.1:8088 -> Fritzbox 192.168.188.1:8088 -> FHEM 192.168.188.200:8088

Wir nutzen den Speedport eigentlich nur als "Modem" für DSL Lite mit LTE Hybrid, Port 8088 ist offen und wird an die Fritzbox geleitet, von der Fritzbox weiter zu FHEM. Geofancing funktioniert so ohne Probleme. Nun möchten wir den Server auch als VPN Gateway nutzen. Sobald das VPN gestartet wurde, werden ja natürlich die Routen neu gesetzt, damit der ausgehende Traffic über das VPN fließen kann. Verbundene Clients kommen dann auch wunderbar über das VPN raus. Nur dann ist FHEM nicht mehr von außen zu erreichen. Vom Server kann ich dann auch den Speedport nicht mehr pingen.

Mit einem

route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.188.1

komme ich von Server dann zwar wieder auf den Speedport, aber von außen trotzdem nicht auf FHEM. Selbst im internen Netz nicht, über die öffentliche IP.

Hiermit

iptables -A FORWARD -m state -p tcp -d 192.168.188.200 --dport 8088 --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 8088 -j DNAT --to-destination 192.168.188.200:8088

komme ich im internen Netz wieder über die öffentliche IP auf FHEM, aber nur Intern. Sobald ich von ausserhalb drauf will, geht das immer noch nicht.

das Routing sieht so aus mit laufendem VPN:

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.4.101.1      128.0.0.0       UG    0      0        0 tun0
default         192.168.188.1   0.0.0.0         UG    0      0        0 eth0
10.4.101.0      0.0.0.0         255.255.255.0   U     0      0        0 tun0
hostedby.i3d.ne 192.168.188.1   255.255.255.255 UGH   0      0        0 eth0
128.0.0.0       10.4.101.1      128.0.0.0       UG    0      0        0 tun0
192.168.2.0     192.168.188.1   255.255.255.0   UG    0      0        0 eth0
192.168.188.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0



Und iptables so (hier ohne die zwei Zeilen von oben)

# Generated by iptables-save v1.6.0 on Wed Nov 28 16:05:21 2018
*filter
:INPUT ACCEPT [32950:16428407]
:FORWARD ACCEPT [125:40500]
:OUTPUT ACCEPT [28488:6017784]
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Nov 28 16:05:21 2018
# Generated by iptables-save v1.6.0 on Wed Nov 28 16:05:21 2018
*nat
:PREROUTING ACCEPT [892:115692]
:INPUT ACCEPT [853:120084]
:OUTPUT ACCEPT [3887:287487]
:POSTROUTING ACCEPT [2985:211569]
-A PREROUTING -s 0.0.0.0/32 -i eth0 -p udp -m udp --dport 67 -j DNAT --to-destination 0.0.0.0:6767
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Wed Nov 28 16:05:21 2018
# Generated by iptables-save v1.6.0 on Wed Nov 28 16:05:21 2018
*mangle
:PREROUTING ACCEPT [35751:17312147]
:INPUT ACCEPT [32957:16428771]
:FORWARD ACCEPT [2789:882324]
:OUTPUT ACCEPT [28497:6019568]
:POSTROUTING ACCEPT [31305:6903932]
COMMIT
# Completed on Wed Nov 28 16:05:21 2018


HILFE! :(