Hallo,
ich werde mir im Frühjahr 2020 einen E3DC Stromspeicher zulegen, welcher vom Hersteller (Garantiebedingung) über Internet erreichbar sein sollte (bitte keine Diskussion darüber). Da ich diesen nicht in meinem Heimnetz, ohne jegliche Absicherung freigeben will brauche ich hierzu eine halbwegs sichere und einfache Lösung (die Hoffnung stirbt zuletzt).
Ich könnte diesen einfach ins Gastnetz der Fritzbox hängen, aber da ich ja diesen auch über Fhem abfragen und ggf. steuern will, wird das nicht möglich sein.
Zum Verständnis, wie mein bisheriges Heimnetz jetzt aufgebaut ist, habe ich ein PDF-Dokument Netzaufbau.pdf angehängt.
Sicherlich bin ich nicht der einzige in der Fhem Gemeinde, welcher solche Geräte (E3DC oder andere Hersteller) betreibt, deshalb hoffe ich auf einige Tipps von euch, zu dieser Thematik.
Ich bitte jedoch zu beachten:
- Ich bin nicht der große Netzwerkspezialist, bin aber bereit mich so weit ich es verstehe einzulesen.
- Sicherlich wird es da die eine oder andere Rückfrage von meiner Seite geben
- Meine Hardware hat eh schon einige Jahre auf dem Buckel, könnte also auch erneuert werden
- Wenn möglich wollte ich das ganze über standalone Geräte lösen und nicht dafür einen Rechner mit 2 Netzwerkkarten verwenden
- Die Stromkosten welche ich durch den Speicher einspare, sollen nicht für die Hardware der Netzwerktechnik verbraucht werden ;)
- Die Umsetzung sollte Preislich im Rahmen bleiben und nicht allzu kompliziert werden
Eine ganz einfache Lösung wird es hier aber nicht geben, davon habe ich mich schon verabschiedet. Irgendwie wird es auf 2 unterschiedliche Subnetze mit einem Router plus Firewall hinauslaufen, so zumindest habe ich mir das vorgestellt.
Ich habe mich schon mit VLAN und DMZ beschäftigt, aber ohne Tipps von Leuten (gerne mit Empfehlungen zu Geräten) die da Ahnung haben komme ich da alleine nicht wirklich weiter.
Ich hoffe auf zahlreiche Tipps und Vorschläge
Gruß Reinhard
Ich hänge mich mal hier dran, mein S10E soll Mitte Januar kommen. Evtl. kann ich dann auch schon ein paar Erfahrungen beisteuern. Andererseits: "Über Internet erreichbar" wäre auch mittels VPN erfüllbar ;)
Erste Idee wäre ein extra Router (am liebsten mit OpenWRT), wobei ich mir nicht sicher bin ob man ein separates Netzwerk wirklich braucht.
Hallo pcbastler,
auch bei mir wird es ein S10E werden, deshalb wollte ich die Netzwerk Voraussetzungen bereits jetzt schaffen.
Erreicht denn eine VPN Einwahl in die Fritzbox nicht automatisch alle Teilnehmer, welche sich auch im Heimnetz befinden?
Irgendwie wäre es mir wohler einen Bereich zu schaffen, welcher mit "normalen Mitteln" nicht verlassen werden kann.
Mit meinen begrenzten Netzwerkkenntnissen schwebt mir eine ähnliche Lösung über einen VLAN Switch (mit 2 Kabeln von der Fritz Box) vor, welcher von Jan unter http://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/comment-page-1/ (http://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/comment-page-1/) beschrieben wurde.
Ich bin mir aber nicht sicher ob ich dazu unbedingt einen externen Access Point, mit 2. Switch benötige oder ob ich das WLAN auch über die Fritzbox bereitstellen kann. Ich will ja keinen WLAN Teilnehmer im Gastnetz der Fritzbox vom Heimnetz aus erreichen können. Vermutlich könnte da ein einziger VLAN Switch schon ausreichen, an welchen ich den "Gastteilnehmer" anschließe.
Ob es sich aber tatsächlich so umsetzen lässt, das traue ich mir mit meinen Kenntnissen leider nicht zu, das zu beurteilen, da hoffe ich auf einige Hinweise.
Gruß Reinhard
Hallo,
schaut euch mal
https://www.ui.com/unifi-routing/usg/
(https://www.ui.com/unifi-routing/usg/)
Das Teil hinter der Fritzbox in Verbindung mit einem Controller sollte euch alle Möglichkeiten geben. Läßt sich auch an Fhem anbinden.
Gruß
Eisix
nach einigen Überlegungen gäbe es folgende Lösung:
Einbindung der S10E komplett ins vorhandene Netzwerk und Portweiterleitung
Vorteil:
- keine zusätzliche Hardware erforderlich
- externer Zugriff nur über genaue Ports möglich
- Einbindung in FHEM problemlos möglich
Nachteil:
- dyndns erforderlich
- schwache Authentifizierung (Nutzer und Passwort)
Ich bezweifle das ihr Ports Dyndns usw braucht.
An eurer Stelle würde ich den Hersteller/MonteurFirma fragen, was ihr bereitstellen müsst in eurem Netz.
Moin
Bei meinem Wechselrichter bezieht sich die Herstelleranbindung für die Gewährleistungsverlängerung auf eine Portalanbindung. Es werden Daten über den Ertrag und technische Werte hochgeladen. Einen Zugriff des Herstellers direkt auf das Gerät geht nicht.
Einen Tod muss man sterben. Gewährleistungsverlängerung wird mit Daten bezahlt.
Für einen Servicefall haben die dann Teamviewer verwendet.
Ansonsten später der Ip das Internet verweigern, die Gewährleistung ist aktiv und im privaten Netz gibt's ja auch Probleme ;-)
Gruß Christian
Gesendet von meinem SM-G930F mit Tapatalk
Hallo,
vielen Dank für die bisherigen Antworten und Tipps zu meinem "Problem".
@Eisix: Dank auch dir für den Tipp mit dem Router. Hast du selbst so ein Gerät in Verwendung? Ich bezweifle, dass ich dieses mit meinen bescheidenen Netzwerkkenntnissen alleine korrekt parametrieren könnte, spätestens bei Begriffen, welche man selbst nicht kennt und im Internet wenig dazu zu finden ist. Ist dann die Oberfläche nicht in Deutsch wird es da für mich schon sehr eng.
@fhem-hm-knecht: Genau das habe ich heute getan, bin mal gespannt ob da mehr als einige der bekannten Textbausteine als Antwort zurückkommt. In der Installationsanleitung zu den Speicher ist nur folgendes zu finden:
ZitatHinweise zu geeigneten Schutzmaßnahmen:
• Das S10 E sollte durch einen Router, der mindestens NAT unterstützt mit dem Internet verbunden sein.
• Sollte das S10 E in einer DMZ platziert werden, so müssen die folgenden Maßnahmen ergriffen werden, um einen sicheren Betrieb zu gewährleisten:
– die in der Unterlage ,,IT-Richtlinien für Internetanschluss/Portfreigabe" gelisteten Ports freigeben (s. u.),
– alle anderen Ports sperren.
Freizugebende Ports
In seltenen Fällen – häufig bei Anschluss hinter einer restriktiven Firewall – ist ein Betrieb ,,out of the box" nicht möglich, da Datenpakete vom S10 E ins Internet
durch nicht frei gegebene Ports blockiert werden. In diesen Fällen ist sicherzustellen, dass ausgehende Verbindungen zu bestimmten
Ports zugelassen werden.
Einige Antworten zu Fragen der Internetsicherheit habe ich hier gefunden, (kommt aber nicht vom Hersteller selbst)
https://www.pure-energien.com/faq/fragen-zur-internetsicherheit-e3dc/ (https://www.pure-energien.com/faq/fragen-zur-internetsicherheit-e3dc/)
Mir geht es hier nicht darum, jegliche Verbindung nach außen zu verhindern. Aber ich möchte mein Heimnetz zumindest mit den mir zur Verfügung stehenden Mitteln und Kenntnissen sichern. Beides soll möglich sein, der Hersteller soll seine Daten erhalten, aber bitte nichts mehr und ich möchte immer ohne Cloud etc. auf meine Geräte zugreifen können, genau das ist der Grund weshalb ich Homematic mit CCUx (Raspimatic) und bewusst nicht mit der App nutze. Das Grundvertrauen in Firmen habe ich in den letzten Jahren verloren, dass Zugangsdaten immer sicher geschützt werden.
Nochmals vielen Dank für eure Beiträge.
Gruß Reinhard
Ich würde euch auch UniFi empfehlen!
Schaut euch doch mal ein oder zwei UniFi Videos an, die Controllersoftware ist wirklich einfach zu bedienen und gut aufgebaut.
Vom Prinzip her müsste ihr e3dc ja nur den zugriff auf andere Netzwerkkomponenten im privatem Netz verbieten (FHEM-Server) als ausnahme...
In FHEM integriert ist es Dank Wuehler auch ganz gut...
Hat sich eigentlich erledigt:
Zitatvon https://www.pure-energien.com/faq/fragen-zur-internetsicherheit-e3dc/
Im Standardanwendungsfall (Privates Heimnetz) müssen keine Ports in der Firewall geöffnet werden. Wir empfehlen grundsätzlich die externen Portfreigaben zu entfernen, falls wir darauf aufmerksam werden. Das System benötigt nur ausgehenden Datenverkehr auf den TCP-Ports 80,443,4001.
Also ist Zugriff von außen kein Problem. Für die Sicherung gegen das Heimnetz reicht ein einfacher Router der ein extra Netzwerk erzeugt.
Auch ich bekomme demnächst einen E3DC. Mir ist aber noch nicht klar, welche der verschiedenen Schnittstellen (ModBUS(TCP), KNX, CAN–I/O, xComfort) für FHEM am Besten genutzt werden sollten - bzw. welche Schnittstelle hat welche Vor- / Nachteile. Habt ihr da schon Erkenntnisse? Hier im Forum habe ich nur wenig über Modbus und einige Datenpunkte gefunden.
LG
Holger
Hallo.
Ich habe mich für Modbus TCP entschieden, weil ich da keine zusätzliche HW Schnittstelle benötige. Das Modbus Modul war bereits im fhem vorhanden und hatte sich bereits zu TCP weiterentwickelt. Die Firmen scheinen sich ebenfalls in diese Richtung zu bewegen.
Die Lan/WLAN Schnittstelle ist ja meist eh da,um das Web Interface zu liefern.
Wegen der vielen Werte werde ich jedoch wohl zwei Definitionen pro Device machen. Einmal alle Werte und einmal nur die wirklich verwendeten. Dann braucht mein Rpi nicht immer alles im Minuten Takt zu verschaffen.
Gruß Christian
Gesendet von meinem SM-G930F mit Tapatalk
Danke! So langsam lichtet sich der Nebel :)
Die Sachen Modbus tcp mit Kostal sind von mir :-)
Gesendet von meinem SM-G930F mit Tapatalk
Hallo,
ich will meinen Speicher über Modbus in Fhem einbinden, da ich seit mehren Jahren nur sehr gute Erfahrungen mit einer WAGO SPS gemacht habe. Das Modbus Protokoll ist sehr zuverlässig, schnell und kann Daten von einem Gerät, in unterschiedlichen Zeitabständen liefern, denn nicht alle Werte benötige ich in sekündlichen Abstand.
Zwischenzeitlich habe ich auch eine ausführliche Antwort vom Hersteller zur Anbindung des Speichers an mein Heimnetz erhalten, welche folgende grundlegende Aussagen macht:
- Der Stromspeicher soll dauerhaft an das Internet angeschlossen sein. Er sendet in zyklischen Abständen Daten wie z.B. die Phasenleistung oder die Batterietemperatur an einen Server des Herstellers. Der ständige Internetanschluss ist notwendig für den Fernwartungszugriff und für Softwareupdates des Herstellers, sowie für Bezug den der Daten für das Wetterprognosebasierte Laden.
- Ihre Daten werden per HTTPS (HyperText Transfer Protocol Secure) vom Stromspeicher zum Server übertragen.
- Die Fernwartungsverbindung wird über einen Fernwartungsserver sichergestellt und ist per TLS abgesichert.
- Das S10 Hauskraftwerk sollte mindestens durch einen Router der NAT unterstützt vom Internet getrennt sein.
- Besser ist eine Firewall, um das S10 Hauskraftwerk vor ungewollten externen Zugriffen zu schützen.
- Sollte das S10 Hauskraftwerk in einer DMZ platziert werden, so müssen folgende Ports zugelassen werden:
80 TCP (http) Ausgehend
443 TCP (https) Ausgehend
4001 TCP (Fernwartung) Ausgehend - Alle anderen Ports sollten geschlossen werden
Ich denke, wenn ich das sicher im Hausnetz betreiben will, komme ich um einen zusätzlichen Router mit Firewall nicht herum. Ich könnte dieses natürlich auch nur an den Gastzugang meiner Fritzbox hängen, aber dann ist es für Fhem nicht mehr über Modbus zu erreichen.
Könntet ihr mir noch einige Tipps zur Hardware geben, welche ich mir da noch zulegen müsste. Ich hab da schon viel gelesen, aber das Verständnis ohne tiefgreifende Netzwerkkenntnisse ist da eher begrenzt.
Ich wollte den Stromspeicher, wenn möglich mit zusätzlicher Hardware "hinter" die Fritz Box, ins LAN hängen. Das UniFi® Security Gateway habe ich mir angesehen, bin mir aber nicht sicher ob dieses zwingend einen WAN Anschluß (Internet) benötigt oder ob ich dieses auch in einen LAN Port der Fritzbox anschließen kann. Auch habe ich Bedenken ob ich dieses mit meinen Netzwerkkenntnissen und in Englisch korrekt einstellen kann. Auch habe ich einiges über MikroTik Router gelesen, aber je mehr man sich da einliest, desto unsicherer wird man.
Wenn von euch jemand solche Hardware in Gebrauch hat und mir bei der Einrichtung einige Tipps geben könnte, wäre das Super.
Gruß Reinhard
Hallo Reinhard,
Ich habe das Unifi UGS im Einsatz. Hängt bei mir hinter der FritzBox am LAN Port. Die ausgehenden Ports sind bei der FritzBox und beim UGS in der Standardkonfiguration offen. Beim UGS kannst du aber auch ausgehend filtern.
Wenn du Fragen hast melde dich ich werde versuchen sie zu beantworten.
Gruß Eisix
Hallo Eisix,
habe mir eben das USG bestellt, sicherlich wird bei der Konfiguration noch die ein oder andere Frage auftauchen.
Ich denke, wenn ich schon tausende für eine PV-Anlage mit Stromspeicher ausgebe, sollte ich bei der Internetsicherheit nicht zu sparsam sein. Ich will da keinem Hersteller böse Absichten unterstellen und denke bei einer renomierten Firma ist da die Gefahr deutlich geringer als wie bei manchen IP-Kameras, aber für die Sicherheit in seinem Hausnetzes sollte jeder selbst sorgen.
Vorab schon mal vielen Dank für dein Hifsangebot.
Schöne Feiertage und ein paar geruhsame Stunden.
Gruß Reinhard
Hallo,
Ich hoffe dir ist bewußt das du auch den Controller für Unifi irgendwo laufen lassen mußt? Zumindest für die Konfiguration, danach geht glaube ich auch ohne.
Dir auch schöne Feiertage.
Gruß
Eisix
Hallo Thorsten,
nachdem Weihnachten (für mich) wie geschaffen für solche Tätigkeiten ist, kam mein USG gerade noch rechtzeitig.
Den Unifi Controller habe ich im LAN in Betrieb, das USG sollte jedoch auch ohne diesen (nach der Konfiguration) funktionieren.
Der Weg war für mich ein wenig holprig, aber zumindest jetzt läuft es soweit. Als nächstes mach ich mich an die Aufteilung der Netze.
Eine Frage stellt sich mir dennoch:
Muss ich alle Netzwerkteilnehmer (LAN/WLAN) "nach" dem USG betreiben, damit ich diese verwalten kann, darf über die FritzBox selbst kein Teilnehmer mehr angeschlossen sein? Wäre blöd, denn dann brauche ich noch einen Access Point für WLAN.
Oder reicht es aus, wenn ich nur den Stromspeicher im Netz sichern will, nur diesen "nach" dem USG zu betreiben.
Meine Netzaufteilung ist derzeit wie folgt:
FritzBox LAN / WLAN = 192.168.050.xxx (an diesem LAN hängt das USG mit dem WAN1 Anschluss)
USG LAN1 = 192.168.002.xxx (USG LAN1 Anschluss über VLAN Switch)
USG LAN2 = 192.168.001.xxx (USG LAN1 Anschluss über VLAN Switch) - (für Stromspeicher)
Wie hast du es bei dir gelöst?
Fröhliche Weihnachten
Gruß Reinhard
Hallo,
alles was du mit dem USG filtern willst muss zwangsläufig auch die Datenpakete durch den USG schicken. Ich gehe mal davon aus das du nicht dein ganzes Netz auf Unifi umbauen willst. Somit sollte das USG an der FritzBox hängen und dahinter der Stromspeicher.
Die wahrscheinlich einfachste Variante dürfte sein:
- FritzBox "Gastzugang für LAN 4 aktiv" aktivieren. Da USG anschließen.
- USG LAN1 in dein 192.168.1.XXX Netz verbinden
- USG LAN2 ein neues Netz 192.168.2.XXX für deinen Stromspeicher
- Controller im 192.168.1.XXX
Damit hast du dann eigentlich logisch 2 Ausgänge ins internet, physisch gehen aber beide natürlich doch über die Fritzbox.
Auf dem LAN2 des USG kannst du den DHCP für den Stromspeicher aktivieren oder mit statischen Adressen arbeiten. In deinem 192.168.1.xxx Netz bleibt alles beim alten. Vermute die FritzBox macht das da. Bei deinem Fhem Server musst du eine Route in das Stromspeicher-Netz 192.168.2.xxx wenn du da Daten abgreifen willst. Die externe Kommunikation des Stromspeichers läuft dann von 192.168.2.xxx --> USG --> FritzBox Port 4 ins Internet.
Der Rest deines Netzwerks bleibt wie er ist.
Hoffe ich habe nichts vergessen und es ist verständlich und nachvollziehbar.
Gruß
Eisix
PS: Mit dem Setup könntest du wahrscheinlich sogar alles über die USG routen indem du als default gateway der clients die USG einträgst aber das würde ich erst einmal nicht machen um unnötige Komplikationen zu vermeiden.
Hallo Eisix,
irgendwie hänge ich nun fest und ich komme da keinen Millimeter mehr weiter.
Mein USG habe ich mit dem WAN Port an die Fritz Box (derzeit Port 3, kein Gastnetz) angeschlossen und fest auf eine IP im Adressbereich der Fritz Box gestellt.
Am LAN1 Port des USG habe ich meinen Netgear VLAN 8 Port Switch angeschlossen, Konfiguration wie im Anhang Netzaufbau S2.pdf.
Grundsätzlich muss der VLAN Switch funktionieren, denn die Rechner bekommen immer den passenden IP-Bereich (des VLANS) über DHCP zugewiesen, je nachdem in welches VLAN ich diese einstecke. Im Unifi Controller wird das USG auch als "Verbunden" angezeigt.
Pingen kann ich von den beiden Rechnern jeweils das USG und die Fritz BOX, auch ins Internet gehts problemlos. Egal was ich aber im USG unter Firewall einstelle (Akzeptieren alles) ich kann die beiden Rechner nicht gegenseitig anpingen. Auch wollte ich den Internetzugriff über die Firewall verbieten, auch hier, egal was ich in die Firewall schreibe (Verwerfen alles) ich kann von jedem Rechner immer ins Internet.
Guck doch bitte mal in meine Konfig, ob dir da etwas auffällt. Ich wollte zunächst mal ein wenig mit den Firewall- Regeln spielen, aber davon bin ich noch Meilenweit entfernt.
Noch ein Hinweis zu meiner USG Konfiguration:
Die Firewall- Regel im Anhang steht jeweils ganz oben, in allen IPv4 Regeln (WAN Eingehend, WAN ausgehend, WAN Lokal, LAN eingehend, LAN ausgehend und LAN Lokal) im Gastnetz habe ich nichts eingetragen, da ich bisher kein Gastnetz erstellt habe.
So dürfte doch kein Internetzugriff über WAN mehr möglich sein?
Entweder ich steh da total auf dem Schlauch oder mein Netgear will nicht mit dem Unifi USG
Gruß Reinhard
Hallo,
Ping in die verschiedenen Netze geht soweit ich weiß nur wenn du routen setzt.
Habe gerade getestet, wenn ich in WAN lokal die Block Regel Eintrage konnte ich nicht mehr ins Internet pingen.
Gruß
Eisix
Hallo Eisix,
entweder stelle ich mich absolut blöd an, oder mein neues USG hat einen Defekt.
Meine Tests mit Minimalkonfiguration (ohne Switch, DHCP Server überall enable, keine festen IP-Adressen mehr vergeben), USG Reset und Unifi Controller neu istalliert, mit standard Konfiguration. Der Windows Rechner mit dem Unifi Controller steckt alleine am LAN1 Port, der WAN Port ist mit dem Port 4 der Fritz Box (Gastnetz) verbunden.
Einen Ping ins Internet gesetzt, dieser läuft problemlos.
Unter "Routing & Firewall", bei WAN ausgegend, WAN eingehend und WAN lokal jeweils die folgende Blockregel (Siehe Anhang Firewall.jpg) gesetzt. Ganz bewusst so lange gewartet, bis Provisionieren beendet ist.
Unter Quelle und Ziel kann ich nur LAN wählen, da dies ja derzeit mein einziges Netzwerk ist, auch IPv4 Subnetz sollte passen, wenn ich das gesamte Netz blockieren will.
Der Ping ins Internet läuft unbeirrt weiter. Erst wenn ich die Blockregel in LAN lokal schreibe, steht der Ping und mein USG ist nicht mehr erreichbar. Zumindest dies funktioniert ;D
Was mir noch auffällt, unter Netzwerk steht bei mir in der Tabelle keine IP-Adresse mehr bei WAN (siehe Anhang Netzwerke.jpg), seit ich die Adressen über DHCP vergeben lasse, ist das bei dir genauso?
Ich bin nun mit meinem Latein am Ende, ich werde mein Glück noch im Netzwerk Forum versuchen und wenn da keiner eine Idee hat, werde ich den Router umtauschen.
Gruß Reinhard
Hallo,
bei mir wird die interne IP des USG gezeigt.
Hier noch ein paar links zur Erklärung, das Controller Handbuch hast du sicher schon zu Rate gezogen
https://help.ubnt.com/hc/en-us/articles/115003173168-UniFi-USG-Firewall-Introduction-to-Firewall-Rules
https://help.ubnt.com/hc/en-us/articles/115010254227
(https://help.ubnt.com/hc/en-us/articles/115003173168-UniFi-USG-Firewall-Introduction-to-Firewall-Rules%3Cbr%20/%3E%3Cbr%20/%3Ehttps://help.ubnt.com/hc/en-us/articles/115010254227)
Falls du nicht weiterkommst, hast du schon den Support Kontaktiert? Chat 24/7 allerdings in Englisch kannst du links unten in der Leiste starten.
Gruß
Eisix
Hallo Eisix,
der Fehler ist gefunden, er war vor dem Bildschirm gesessen :).
Da ich bei Quelle und Ziel im USG nur LAN anwählen konnte ("Beliebig" war immer ausgegraut), dachte ich, ich müsste hier auch LAN wählen. Das war aber der Fehler, lasse ich den Eintrag leer, so bezieht sich die Regel auf alle Netzte und das Pingen wird verhindert.
Jetzt kann ich zumindest mal mit den Einstellungen spielen, damit ich die Funktionen kennenlerne.
Aln nächstes muss ich mich noch mit dem Routing beschäftigen, damit ich vom Heimnetz auch den Stromspeicher über den VLAN Switch, hinter dem USG erreichen kann, ggf. brauche ich da noch einen Tipp von dir.
Vielen Dank für deine Mühe.
Gruß Reinhard
Hallo Reinhard,
freut mich zu hören.
Wenn deine FritzBox weiter das Defaultgateway bleiben soll dann sollte der Eintrag in der FritzBox reichen.
https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/581_Statische-IP-Route-in-FRITZ-Box-einrichten/
(https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/581_Statische-IP-Route-in-FRITZ-Box-einrichten/)
Ansonsten kannst du auch nur auf dem Rechner der auf den Stromspeicher zugreifen soll ein lokal route setzen.
Gruß
Eisix
Hallo Eisix,
nachdem nun meine Einbindung des Stromspeichers, über das USG (hinter der Fritz!Box, im eigenen Netzwerksegment) problemlos klappt, und ich auch darauf, aus meinem Heimnetz zugreifen kann, habe ich noch ein Problem.
Hierzu benötige ich noch einen Tipp.
Zum Test (bis ich den Stromspeicher bekomme) habe ich eine WAGO Steuerung mit WEB-Oberfläche (HTTP Port 80, 192.168.15.30) angeschlossen, auf diese Weboberfläche kann ich von dem freigegebenen Rechner (192.168.50.103) über LAN problemlos zugreifen.
Versuche ich aber, die WEB-Oberfläche (192.168.15.30) vom Internet aus (über VPN zu erreichen) so klappt das nicht, egal welche Freigaben ich im USG in die Firewall eintrage.
Folgende IP-Adressen und Ports habe ich freigegeben:
Mein Handy kommt z.B. in der FritzBox über VPN mit der IP-Adresse 192.168.50.201 an, diese IP-Adresse trage ich in LAN eingehend als Quelle ein. Als Ziel trage ich die IP-Adresse 192.168.15.30 der WEB-Oberfläche der WAGO Steuerung ein.
Zusätzlich erlaube ich HTP und UDP und öffne folgende Ports, 50, 53, 500, 4500, plus "auf eingehende IPsec-Pakete ansprechen"
Die notwendigen Ports habe ich von der AVM-Hompage: https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/126_Firewall-fur-FRITZ-Fernzugang-einrichten/ (https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/126_Firewall-fur-FRITZ-Fernzugang-einrichten/)
Wo liegt da mein Fehler?
Nutzt du das auch, klappt das bei dir?
Gruß Reinhard
Hallo Reinhard,
Ist der letzte Netzplan noch aktuell? Sehe ich das Richtig das du über FritzVPN rein kommst?
Ich nutze nur das Unifi VPN.
Gruß
Eisix
Hallo Eisix,
ja mit Fritz VPN komm ich von außerhalb problemlos in mein Heimnetz 50'er Netz "Rot" aber nicht durch die Firewall des USG zu meinem Stromspeicher (192.168.15.30). Innerhalb des Heimnetzes 50'er Netz komm ich aber ohne VPN problemlos mit dem gleichen Handy auf das Gerät im 15'er Netz.
Das Problem muss eindeutig in den Firewall - Freigaben im USG liegen.
Wenn ich mich über VPN in die Fritzbox einwähle, komme ich ja da mit dem Handy mit einer anderen IP-Adresse an (192.168.50.201), aber wenn ich auch diese in die Berechtigungen eintrage klappt es nicht. Entweder hab ich da noch einen Port oder Dienst vergessen mit freizugeben.
Ich denke vom Grundsatz her, sollte mein Ansinnen nicht unmöglich sein.
Ich hab noch den derzeitigen Netzwerkaufbau, zur Übersicht mit angehängt.
Gruß Reinhard
Vermute die Route zurück ins VPN ist das Problem. Wenn ich das richtig verstehen kriegt der vpn Client eine nat adresse im 50er Netz. Kannst du den verbundenen Client aus dem 50er Netz pingen?
Hallo Eisix,
egal was ich einstelle, über VPN kann ich nur das 50'er Netz pingen, aber ich komme nicht ins 15'er Netz (auch nicht mit Ping), auch wenn ich die Firewall öffne wie ein Scheunentor.
Verbinde ich mich über das Heimnetz (ohne VPN) kann ich die Teilnehmer im 15'er Netz pingen und erreichen.
Ein Laie denkt, hier wäre nur die IP-Adresse der "Quelle" anders, wenn der Zugang über VPN erfolgt, aber da muss noch etwas anderes im Argen liegen, aber was nur >:(
Könnte ich da mit wireshark (als Laie) etwas erkennen, woran es klemmt?
Ggf. werde ich mich in einem anderen Forum noch um Hilfe bemühen, denn hier komme ich alleine mit meinen Netzwerkkenntnissen nicht viel weiter.
Gruß Reinhard
Dein Routing ist das Problem denke ich, nicht die Firewall an sich.
Ich kenne das FritzVPN nicht und weiss nicht ob es ein NAT macht in das 50er Netz oder nur ein routing. Deshalb hatte ich gefragt ob du den verbundenen VPN client aus dem 50er Netz pingen kannst oder nicht. Und wenn ja unter der 50er IP oder mit der client IP.
Gruß
Eisix
Hallo,
sollte es User geben, welche auch einen E3DC Stromspeicher in ein anderes Netzwerksegment auslagern wollen, so ist meine Erfahrung, lasst es (derzeit).
Ich habe ein solches "Fremdnetz" neben meinem "Heimnetz" mit einen Unifi USG aufgebaut, zum testen eine WAGO SPS angeschlossen und von dieser über Modbus Daten abgeholt, funktionierte Problemlos, nur über VPN (von außerhalb des Heimnetzes) konnte ich die WEB-Oberfläche nicht erreichen, das ist aber ein anderes Problem.
Nun habe ich meinen Speicher von E3DC bekommen, habe die WAGO entfernt und den Speicher in das "Fremdnetz" eingebunden. Egal was ich anstellte, ich bekam über Modbus keine Verbindung zum Speicher, was zu der vorher eingebundenen Wago SPS geklappt hatte.
Eine Supportanfrage beim Hersteller brachte folgendes Ergebnis.
ZitatEine Verbindung via Modbus zum Hauskraftwerk funktioniert nur im gleichen Subnetz.
Somit war alle Mühe in der Vergangenheit vergebens und ich kann meinen USG Router wieder verkaufen >:(
Ob dies ein Sicherheitsfeature oder ein Mangel des Herstellers ist, um dies zu beurteilen, reichen meine bescheidenen Netzwerkkenntnisse nicht aus. Bei mir hängt der Speicher nun gezwungenermaßen im Heimnetz, so weit als möglich durch die Firewall der FritzBox gesichert.
Da ich keinesfalls auf die Modbusanbindung verzichten wollte, ist dies nun das kleinere Übel.
Zumindest bekomme ich nun die Daten in Fhem, welche ich mir vorgestellt habe (siehe Bild im Anhang).
Vielen Dank an alle Mitglieder des Forums, welche mich bei meiner Problemlösung unterstützt haben.
Gruß Reinhard
Hallo,
Du kannst einen raspi mit fhem in das gleiche Netz und mit Fhem2fhem oder MQTT zu deiner anderen Fhem Instanz übertragen.
Gruß
Eisix
Zitat von: Rewe2000 am 25 April 2020, 13:23:45
Ich habe ein solches "Fremdnetz" neben meinem "Heimnetz" mit einen Unifi USG aufgebaut, zum testen eine WAGO SPS angeschlossen und von dieser über Modbus Daten abgeholt, funktionierte Problemlos, nur über VPN (von außerhalb des Heimnetzes) konnte ich die WEB-Oberfläche nicht erreichen, das ist aber ein anderes Problem.
Nun habe ich meinen Speicher von E3DC bekommen, habe die WAGO entfernt und den Speicher in das "Fremdnetz" eingebunden. Egal was ich anstellte, ich bekam über Modbus keine Verbindung zum Speicher, was zu der vorher eingebundenen Wago SPS geklappt hatte.
Somit war alle Mühe in der Vergangenheit vergebens und ich kann meinen USG Router wieder verkaufen >:(
Kann die USG kein NAT zwischen den beiden Netzen? Zumindest im angehängten Bild
Unifi Firewall Regel.JPG vom post #20 (https://forum.fhem.de/index.php/topic,106114.msg1007087.html#msg1007087) scheint es eine Möglichkeit zu geben, NAT Regeln zu erstellen. Da könntest du die Anfrage aus dem Netz A (Heimnetz) mit einer bestimmten IP (FHEM) so manipulieren, dass es für den Empfänger (im Fremdnetz) wie eine Anfrage aus dem Netz B (Fremdnetz) aussieht. Alelrdings habe ich keine USG und kann nur vermuten...
Hallo yersinia,
sicherlich gäbe es hierzu noch eine Konfigurationsmöglichkeit, aber dazu müsste vor dem Bildschirm jemand sitzen, welcher sehr gute Netzwerkkenntnisse hat und das bin sicherlich nicht ich. Ich war schon dankbar, dass es mir mit Eisix Hilfe gelungen ist, meine Wago im anderen Netz zu erreichen. Von NAT habe ich erstmalig gehört, als ich mir Videos zum USG angesehen habe, hier wird auch als Mangel eines USG hinter der FritzBox, das doppelte NAT genannt.
Auch scheint der Unifi USG nicht so verbreitet zu sein, zumindest in den einschlägigen Foren hält sich die Hilfe in Grenzen.
@Eisix: Danke für den Tipp mit dem zusätzichen Raspi, welcher im "Frendnetz" läuft, der die Daten über Modbus vom Speicher abholt und dann Fhem im Heimnetz zur Verfügung stellt. Das wäre zumindest eine Möglichkeit um an die Modbus Daten im Fremdnetz zu kommen.
Auch überlege ich mir komplett auf eine open Source Lösung (pfSense, OPNsense oder einen Mikrotik Router) zu gehen, welcher weit verbreitet ist (wegen der Hilfe in den Foren) und gute Konfigurationsmöglichkeiten bietet. Somit könnte ich alle Probleme ev. in einem Gerät erschlagen.
Bin noch am Überlegen, wie ich es am besten löse.
Vielen Dank für eure Tipps.
Gruß Reinhard
Zitat von: Rewe2000 am 27 April 2020, 13:10:55sicherlich gäbe es hierzu noch eine Konfigurationsmöglichkeit, aber dazu müsste vor dem Bildschirm jemand sitzen, welcher sehr gute Netzwerkkenntnisse hat und das bin sicherlich nicht ich. Ich war schon dankbar, dass es mir mit Eisix Hilfe gelungen ist, meine Wago im anderen Netz zu erreichen. Von NAT habe ich erstmalig gehört, als ich mir Videos zum USG angesehen habe, hier wird auch als Mangel eines USG hinter der FritzBox, das doppelte NAT genannt.
Auch scheint der Unifi USG nicht so verbreitet zu sein, zumindest in den einschlägigen Foren hält sich die Hilfe in Grenzen.
Ja, als ich kurz im Internet gesucht hatte, hatte ich auch kaum auf Anhieb was dazu gefunden.
Sofern du willst, kannst du es ja mal versuchen. Immerhin hast du ein lauffähiges Setup. Wenn die Rumspielerei nicht klappt, bist du immernoch sicher. Zum Testen würde ich im (Haupt-)FHEM eine kopie des devices anlegen und an dem rumspielen.
Ohne eine USG zu haben (also alle Angaben ohne Gewähr), stelle ich mir die zusätzliche Firewall-Regel so vor - vorausgesetzt sowohl FHEM als auch der Speicher/die SPS haben feste IPs. Dann solltest du in der fw-regel (siehe Bild
Unifi Firewall Regel.JPG im post #20 (https://forum.fhem.de/index.php/topic,106114.msg1007087.html#msg1007087)) folgendes eintragen (ungetestet):
(- aktiviere "Nach den vorkonfigurierten Regeln" - möglicherweise musst du die umpriorisieren (ie nach oben schieben))
- aktiviere "Akzeptieren"
- erstmal alle IPv4-Protokolle
- bei "Erweitert" wie im Bild belassen
- Quelle: "IP-Adresse" auswählen und dann IP des FHEM Raspi angeben
- Ziel: "IP-Adresse" auswählen und dann IP des Speichers angeben
- gibt es eine Option IP Rewrite? Oder einen Reiter NAT? Dann kann man der SPS die Anfrage aus dem eigenen Subnetz erleichtern. ;) Das wäre dann afaik das eigtl NAT hier.
imho öffnest du damit das VLAN 15 für FHEM - aber nur für Anfragen von FHEM an eine spezielle Ziel IP.
Da du laut Netzwerkplan (post #28 (https://forum.fhem.de/index.php/topic,106114.msg1034022.html#msg1034022)) in der FB eine statische Route in das VLAN 15 eingetragen hast, müsste das eigtl durchflutschen.
Dann kannst du das kopierte FHEM Device entsprechend anpassen.
Laut Netzplan ist auch die Einstellung des Netgear Switsches interessant. Ich glaube nicht, dass die SPS und das "Heimnetz" vlan tags mitgibt, die ports müssten untagged aber dem jeweiligen VLAN zugeordnet sein. Nur an die USG geht es weiter als getagged. Und vice versa.
Aber: never change a running system! Wenns läuft und du zufrieden bist, belass es so wie es ist. ;)
Zitat von: Rewe2000 am 27 April 2020, 13:10:55Auch überlege ich mir komplett auf eine open Source Lösung (pfSense, OPNsense oder einen Mikrotik Router) zu gehen, welcher weit verbreitet ist (wegen der Hilfe in den Foren) und gute Konfigurationsmöglichkeiten bietet. Somit könnte ich alle Probleme ev. in einem Gerät erschlagen.
Heisst aber auch einiges an Einarbeitung und Konfiguration. Viele Wege führen zum Erfolg. Ich werfe noch OpenWrt mit in den Ring.
Hallo,
NAT kann die USG, aber ob das am ende wirklich funktioniert ist nicht sicher. Schon beide Varianten mit anderen Protokollen gesehen.
Im screenshot sieht man wie ein Portforwarding mit NAT gemacht wird. Grundsätzlich kann ich dir aber den support von Unifi empfehlen.
Allerdings Englisch.
Gruß
Eisix
Hallo in die Runde.
Ich bin ach vor die Wand gefahren was ein separates VLAN angeht.
FHEM habe ich nur über FULL Nat anbinden können, weil man sonst eine route eintragen müsste.
Nach 12h hat plötzlich der der Speicher aufgehört mit der Cloud zu sprechen. (sonst bei Any Ports)
Steckt man zum Test das Ethernet welches in den S10 geht in ein Notebook geht alles.
Ich hab eine Sophos UTM.
Case beim Support aufgemacht, mal schauen was die schreiben.
Eine Blackbox im default (v)LAN ist doch Mist.
Antwort vom Support.
Die Können oder wollen nichts in der Richtung machen.
ignorant. Besonders bei dem Preis den das Zeug gekostet hat...
Zitat von: Basti-K am 09 Februar 2021, 13:32:19
ignorant. Besonders bei dem Preis den das Zeug gekostet hat...
Naja, gegen die Probleme mit den Akkus ist die "exotische" Netzwerkanbindung wahrscheinlich wirklich "unter dem Radar". Hat eigentlich mal jemand den Traffic einer E3DC-Anlage mitgeschnitten um das besser bewerten zu können?
Sorry für die "Selbst-Antwort":
Ich hab mal Wireshark bemüht, die S10E bringt nur das:
Simple Service Discovery Protocol
NOTIFY * HTTP/1.1\r\n
HOST: 239.255.255.250:1900\r\n
CACHE-CONTROL: max-age=60\r\n
LOCATION: http://192.168.35.20:8080/96592693458962/Description.xml\r\n
NT: upnp:rootdevice \r\n
NTS: ssdp:alive\r\n
SERVER: E3DC-A35:RSCP_SERVICE_PROVIDER IModBusService \r\n
USN: uuid:S10-491950007560::96592693458962\r\n
X-SN.E3DC.COM: S10-491950007560\r\n
\r\n
[Full request URI: http://239.255.255.250:1900*]