FHEM2FEM und WireGuard

kurt6908 · 11 April 2025, 09:10:31

Hallo,

ich hab mal wieder ein komisches Problem und komm nicht weiter.

Ich habe drei FHEM-Instanzen. Eine "Master" zu Hause und zwei weiter entfernte Instanzen, die über LTE und VPN angebunden sind. Die Kommunikation läuft vom Master-FHEM per FHEM2FHEM zu den entfernten Instanzen.

Beide entfernten Instanzen liefen problemlos über IPSec auf der Fritzbox zu Hause. Nun habe ich eine Instanz auf WireGuard umgestellt. Das VPN funktioniert problemlos, auch kann ich das FHEM-Gui auf der entfernten Instanz problemlos aufrufen. Aber ... seit der Umstellung bringt das FHEM2FHEM-Modul im Minutenabstand folgenden Fehler:

2025.04.11 08:45:00 1: 192.168.69.202:7072 disconnected, waiting to reappear
2025.04.11 08:45:05 1: FHEM2FHEM 192.168.69.202:7072 reappeared (FHEMGarage)
2025.04.11 08:46:00 1: 192.168.69.202:7072 disconnected, waiting to reappear
2025.04.11 08:46:05 1: FHEM2FHEM 192.168.69.202:7072 reappeared (FHEMGarage)
2025.04.11 08:46:05 1: FHEM2FHEM 192.168.69.202:7072 reappeared (FHEMGarage)
2025.04.11 08:46:05 1: FHEM2FHEM 192.168.69.202:7072 reappeared (FHEMGarage)
2025.04.11 08:47:00 1: 192.168.69.202:7072 disconnected, waiting to reappear

Das betrifft aber nur die Instanz, die über WireGuard angebunden ist. Die IPSec-Instanz ist unterbrechungsfrei.

Beim betroffenen entfernten Client ist der WireGuard-PersistentKeepalive = 25.

Ich habe schon mit dem FHEM2FHEM-Attribut "keepaliveInterval" experimentiert, aber keinen Unterschied festgestellt.

Kann mir jemand einen Schubser geben, wo ich noch schrauben kann ... oder wäre IPSec vielleicht für FHEM ratsamer?

Viele Grüße

Kurt

RalfRog · 11 April 2025, 09:14:32

Wenn es ne Fritzbox ist habe ich vor der 8er Version etwas mit Beschränkung bei IPv4 / IPv6 im Kopf.

kurt6908 · 11 April 2025, 09:20:39

Hallo,

zu Hause ist es eine FritzBox mit 8.02 und entfernt ist es ein Raspberry mit aktuellem WireGuard.

Kurt

Otto123 · 11 April 2025, 09:53:19

Du könntest ja einfach mal mit einem Dauerping schauen ob der minütliche Disconnect verschwindet.

kurt6908 · 11 April 2025, 10:07:51

Hallo,

leider keine Veränderung. Dauerping läuft durch, FHEM2FHEM meldet weiterhin im Minutentakt:

025.04.11 10:03:01 1: 192.168.69.202:7072 disconnected, waiting to reappear
2025.04.11 10:03:06 1: FHEM2FHEM 192.168.69.202:7072 reappeared (FHEMGarage)

Ich weiß ja leider nicht, wie das Modul das disconnected und reapper feststellt. Vielleicht irrt es ja einfach.

Eines ist mir noch aufgefallen, die Datenübermittlung vom entfernen FHEM nach zu Hause geht, ein CMD von zu Hause ins Entfernte aber nicht.

Otto123 · 11 April 2025, 10:25:57

Du meinst die Fritzbox kennt die Route zum Client nicht? Geht das mit der IPsec Verbindung?

Also
geht ein ping vom FHEM zu Hause zum FHEM auf den VPN Client?
geht ein Ping vom VPN Client zum FHEM zu Hause?

kurt6908 · 11 April 2025, 10:44:06

Hallo,

ping zuhause => VPN-Client i.O.
ping VPN-Client => zuhause i.O.

sowohl WireGuard als auch IPSec

D.h. die Route ist allen bekannt und korrekt. Ich komme auch von anderen Rechner auf das GUI vom entfernen FHEM.

Nur FHEM2FHEM macht Probleme:
- dauerhafte disconnect und reapear-Meldungen
- kein CMD möglich

rudolfkoenig · 11 April 2025, 11:04:48

Code Auswählen

Ich weiß ja leider nicht, wie das Modul das disconnected [...] feststellt.Standard-Methode: das OS sagt, es gibt Daten zum Lesen, aber das Lesen (read) gibt 0 zurueck.

Funktioniert denn die Verbindung ueberhaupt fuer eine kurze Zeit?
Ist die FHEM2FHEM Verbindung zusaetzlich verschluesselt (attr SSL) ?

kurt6908 · 11 April 2025, 11:23:50

Hallo vielen Dank an alle,

es funktioniert!

Die Rückmeldungen von Otto123 und rudolfkoenig haben mich nochmal auf die Netzwerk- und OS-Spur gebracht. Und was macht man da als Erstes?

EINEN REBOOT ;

Ich habe vorher nur FHEM neu gestartet, als ich die neue (Wireguard) IP des entfernten Rechners eingetragen habe. Ping hat ja gleich funktioniert.

Ein kompletter Reboot des FHEM-Rechners zu Hause hat das Problem behoben, entweder hat der Rechner selber irgendwas nicht mitbekommen oder für FHEM hat irgendein neues Routing gefehlt. Es taucht kein Log-Eintrag mehr auf und der CMD geht nun auch.

Vielen Dank für die Schubser ....

Kurt

Otto123 · 11 April 2025, 14:44:40

Hallo Kurt,

noch ein Hinweis: wireguard hat bei solchen "stehenden" Verbindungen noch das Problem, das die IP der Gegenstelle nur beim Verbindungsaufbau aus dem DNS ermittelt wird (zumindest war das mal so).
Ich richte deswegen immer noch bei den "Clienten" das Script reresolve-dns.sh als Dienst ein. Siehe hier.

Gruß Otto