FHEM Forum

Hallo,

ich möchte in einem vermieteten Haus die Heizung (1-wire-Sensoren) und PV-Erzeugung (Modbus) mit FHEM überwachen.
Dazu möchte ich LTE verwenden. Idealerweise mit einer LTE-Datenkarte, die nur 5€ oder so im Monat kostet.

Bei meinem eigenen Kabelanschluss kann ich mich von aussen per VPN einloggen und habe
Zugriff auf mein gesamtes Heimnetz inkl. FHEM versteht sich.

Läuft das bei LTE genauso wie bei meinem Kabelanschluss wo ich ja eine feste IP habe ?
Also z.B. eine GigaCube mit nachgeschalteter Fritzbox geht ?

Geht es Unterschiede bez. Providern/Vertragsarten ?

Viele Grüße

Ralf

Moin Ralf,

ich hatte das gleiche Problem, hatte es mit https://tailscale.com/ und einem Raspi als VPN Server gelöst. Inzwischen hat AVM unter 7.50 Wireguard eingebaut, seitdem geht es auch direkt.

Gruss
  Enno

Das hier ist verm. ähnlich zu dem was enno nutzt: https://www.youtube.com/watch?v=ey4u7OUAF3c

Wollte ich mal ausprobieren...

Zitat
Läuft das bei LTE genauso wie bei meinem Kabelanschluss wo ich ja eine feste IP habe ?
Also z.B. eine GigaCube mit nachgeschalteter Fritzbox geht ?

Geht nicht einfach so...

Was ich nutze (setzt aber FBs auf beiden Seiten voraus) ist das vpn-Netzwerk via AVM.
Damit kann ich ssh auch zur FB (und Rechnern dahinter) aufbauen auch zu der FB mit einem LTE-Zugang.

Also:

Fritzbox zuhause: DSL
Fritzbox remote: LTE

ssh von Zuhause -> Remote
(andersrum ist ja einfach: openVPN/WireGuard irgendwo installieren oder der Router kann das und dann einfach dynDNS dafür und dann eben "einwählen")

Aber von DSL -> LTE ist immer problematisch...
...klappt aber eben mittels FB.

Gruß, Joachim

Hallo Ralf,

ich würde auf dem entfernten einfach eine Einwahl mit wireguard ins eigene Netz einrichten. Das geht für eine einzelne Maschine ganz einfach, wenn Du Zugriff auf das komplette, entfernte Netzwerk haben willst ist es etwas mehr  Konfiguration: https://heinz-otto.blogspot.com/2022/02/wireguard-verbundene-netzwerke.html
Das hat den Vorteil, Du brauchst bei LTE nichts besonderes - raus kommt wireguard mMn immer.

Gruß Otto

Vielen Dank an euch alle !

Sehe ich das richtig, wenn ich eine FB mit Wireguard habe, dann geht das out-of-the-box ohne dass ich Wireguard ode tailscale o.ä. auf einem Raspi laufen lassen muss ? Die FB 7590 gibt es ja gebraucht schon so um die 80€....

redest Du von der LTE Seite oder der Heimnetz Seite?
Aber ok - Du kannst auch LAN to LAN zwischen zwei Fritzboxen machen
https://avm.de/service/vpn/

Zitat von: Otto123 am 18 Dezember 2022, 16:51:13
redest Du von der LTE Seite oder der Heimnetz Seite?
Aber ok - Du kannst auch LAN to LAN zwischen zwei Fritzboxen machen
https://avm.de/service/vpn/

Ich meine geht damit (von irgendwo in der Welt)der VPN Zugriff auf das Netz was am LTE Router hängt ?

kann sein ...
Mit relativer Sicherheit nur mit IPv6, aber wireguard und die Fritzbox sollte das können.
Und es gibt Netze auf der Welt, die sind abgeschottet und kontrolliert - was dort geht oder nicht: keine Ahnung :)

Deswegen war ja der Vorschlag: wähl Dich aus dem Netz einfach zu Hause ein. Dann musst Du nur ein vpn warten und nicht zwei.

Zitat von: Otto123 am 18 Dezember 2022, 17:25:20
kann sein ...
Mit relativer Sicherheit nur mit IPv6, aber wireguard und die Fritzbox sollte das können.

Gibt es IPv6 bei allen Mobilfunkbetreibern ?

Zitat
Und es gibt Netze auf der Welt, die sind abgeschottet und kontrolliert - was dort geht oder nicht: keine Ahnung :)

Ja schon klar. In China oder Russland bin ich eigentlich nie..... Ich meinte eigentlich generell : von unterwegs.

Zitat
Deswegen war ja der Vorschlag: wähl Dich aus dem Netz einfach zu Hause ein. Dann musst Du nur ein vpn warten und nicht zwei.

Ja aber mit eigenem VPN kann ich die Zugangsdaten auch einfach mal jemanden ohne dass dieser gleich Zugang zu allem bei mir hat....

Also werd ich das mal angehen .... LTE <=> GigaCube <=> neuere Fritzbox mit Wireguard <=> kleines lokales Netz

Ich habe die Box jetzt nicht mit LTE laufen, aber hier bei mir zu Hause ohne IP4 nur mit IP6  bei meinen Eltern eine mit IP4 und IP6 und ich kann mich mit Wireguard auf beide Netze über Telefon (D1) und auch aus den öffentlichen Wlan die ich bisher (in Deutschland) genutzt habe verbinden. Wenn du das in China brauchst, würde ich vermuten, das geht nicht ;)

Das Problem bei LTE (Mobilfunk-Datennetz) ist meistens, das Du bei IPv4 hinter einem Proxy sitzt, also nicht direkt aus dem INetz erreichbar. IPv6 ist bei vielen Mobilfunkanbietern auch nicht enthalten. Insofern ist eine pauschale Antwort sehr schwer ...

Deshalb geht ein VPN Aufbau von Seitens Mobilfunk meistens, initiiert von außen dagegen meistens nicht. Und Nein, das hat nichts mit Russland/China zu tuen, sondern liegt an den Mobilfunkanbietern ...

Zitat von: rasti am 18 Dezember 2022, 17:14:26
Ich meine geht damit (von irgendwo in der Welt)der VPN Zugriff auf das Netz was am LTE Router hängt ?

Also ich habe das hier: https://avm.de/service/vpn/ipsec-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten/

Zwischen meinen beiden FBs laufen.

Damit komme ich von zuhause DSL in das remote NW mit LTE.
D.h. beide Netze sind verbunden bzw. beide FB-Netze.
(bei mir zuhause hängt noch eine Firewall hinter der FB, d.h. vom entfernten LTE-Netz ist bei meiner FB Schluss, ich komme aber auf alle Clients im LTE-Netz, die an der FB hängen)

Von überall auf der Welt geht nicht.
Aber: ich habe (zusätzlich) zuhause einen vpn-Zugang.

Also von überall auf der Welt ist dann so:

Client -> vpn nachhause -> per FB-vpn LAN-LAN dann ins LTE-Netz/LTE-FB

Wenn ich zuhause bin, dann geht das nat. "einfach so"...

Gruß, Joachim

Zitat von: rasti am 18 Dezember 2022, 17:46:15
Gibt es IPv6 bei allen Mobilfunkbetreibern ?

Ja schon klar. In China oder Russland bin ich eigentlich nie..... Ich meinte eigentlich generell : von unterwegs.

Naja IPv4 ist quasi "Out of Order" und irgendwie müssen sie ja ins Internet :) Also es kann sein, die Frage stellt sich bald schon anders herum: machen die noch IPv4 ;)
Ich meinte nicht nur China oder Russland aber Du sagtest "(von irgendwo in der Welt)" - irgendwo ist auch das Hotelnetz oder das Firmennetz oder oder oder ...

OK, ich versuche mal meine Erkenntnisse für Nichtinformatiker zusammenzufassen

A- PV-Anlage im Netz am LTE-Server (das worauf ich Zugriff haben will)
B- mein Laptop in meinem normalen Heimnetz
C- mein Laptop in irgendeinem fremden Netz
D- ein Drittserver (VPS-Server von onyxhosting oder hetzner hab ich da gefunden)

1) Problem ist der direkte Zugriff von B oder C  auf A. Geht vielleicht, wahrscheinlich eher nicht
2) A kommt aber immer raus und kann sich per VPN zu D oder einem Server in meinem Heimnetz verbinden
3) B oder C können sich ebenfalls per VPN zu D oder einem Server in meinem Heimnetz verbinden

Was du Otto in https://heinz-otto.blogspot.com/2022/02/wireguard-verbundene-netzwerke.html beschrieben hast
ist die Konfiguration des obigen, dabei ist D oder ein Server in meinem Heimnetz der SERVER und A der CLIENT aus deiner Beschreibung.

Dieser Drittserver D oder ein Server in meinem Heimnetz dient als Verknüpfungspunkt für 2) und 3)

Hab ich das einigermaßen richtig verstanden ?

Zitat von: rasti am 19 Dezember 2022, 01:22:57
A- PV-Anlage im Netz am LTE-Server (das worauf ich Zugriff haben will)
B- mein Laptop in meinem normalen Heimnetz
C- mein Laptop in irgendeinem fremden Netz
D- ein Drittserver (VPS-Server von onyxhosting oder hetzner hab ich da gefunden)


1) Problem ist der direkte Zugriff von B oder C  auf A. Geht vielleicht, wahrscheinlich eher nicht

...

Hab ich das einigermaßen richtig verstanden ?

Naja, genau das habe ich umgesetzt, wie verlinkt.
Allerdings eben auf beiden Seiten eine FB (sonst geht das nicht so einfach).

D.h. die beiden Netze (LTE hin oder her: habe Aldi-Talk) sind verbunden.

Also B nach A ist kein Problem.
Auch A nach B geht (allerdings kommt man bei mir nur bis zur FB, danach ist Schluss: extra Firewall/Router).

Wenn ich von C nach A will, dann muss ich halt erst mittels "normalem" (zusätzlichen) vpn/wireguard/... ins Heimnetz (B), weil vom Heimnetz (B) kann ich ja ins Netz von A (siehe oben ;)  ).

Aber dazu halt FBs auf beiden Seiten.
Zuhause habe/hatte ich eh schon eine FB vom Provider, also auf der LTE-Seite halt auch eine FB.
Gut die LTE-FBs bzw. FBs selber sind nat. nicht wirklich günstig...
...dafür war die Einrichtung sehr einfach :)

(soll aber keine Werbung für FBs sein! ;)  )

D verstehe ich nicht so genau?
Aber wenn du von D nach B kommst, dann sollte auch D (über B) nach A gehen... ;)

Gruß, Joachim

Zitat von: rasti am 19 Dezember 2022, 01:22:57
Hab ich das einigermaßen richtig verstanden ?

Ich denke ja - wobei Dein Szenario einen großen Aufwand skizziert.

Mir kam noch die Frage: Hat ein vermietetes Haus keinen Internetanschluss? Wie kommst Du denn in dem Haus an die Sensoren?

Die minimale Variante ist:

• eine Linuxbox im Internet des Hauses (vor konfigurierte Blackbox), die entweder FHEM komplett beherbergt oder nur die (Anschlüsse für die) Sensoren. Die Box hat einen wireguard Client.
• Auf der Gegenseite eine Linuxbox auf der der wireguard Tunnel endet (wenn man das nicht auf der Fritzbox enden lassen will).

Wireguard ist sehr viel klarer implementiert als andere VPN Lösungen und sehr gut administrierbar. Grundlegend reden hier zwei Kisten über einen Tunnel und separaten Netzwerkinterfaces miteinander und die Hostnetzwerke sind quasi außen vor.

Zitat von: Otto123 am 19 Dezember 2022, 09:38:33
Ich denke ja - wobei Dein Szenario einen großen Aufwand skizziert.
Mir kam noch die Frage: Hat ein vermietetes Haus keinen Internetanschluss? Wie kommst Du denn in dem Haus an die Sensoren?

Im vermieteten Haus müsste ich für einen Festnetzanschluss entweder übers Internet einer der Mieter gehen (was ich nicht möchte) ODER selbst einen eigenen Anschluss für DSL/Kabel etc beantragen, was halt 20----40€ im Monat kostet.

Mal etwas konkreter was ich will
1) Das ganze PV-Zeugs ist von Victron/Fronius und ein komplettes Logging/Visualisierung wird über das Victron VRM Portal realisiert. Da Victron selbst ein (sauteures) GSM Modem anbietet, nehme ich an, dass das auch mit einem ollen Gigacube geht.
Das wird wohl so funktionieren wie oben beschrieben, d.h. der PV-Victron-Server im Haus hinter LTE Router baut wohl selbst eine Verbindung zum Victron-Portal-Server auf.
2) Ich will auch einen FHEM-Server im vermieteten Haus einbauen, da ich dort einiges an der Heizungsanlage am Umbauen bin, d.h. Wärmepumpe/WW-Wärmepumpe/Solarthermie kommt alles nächstes Jahr rein, mache ich selbst größtenteils mit Gebrauchtteilen. Hauptsächlich will ich dort Temperaturen mit 1-Wire-Sensoren mitloggen und natürlich auch jederzeit anschauen können. Auch will ich Modbuszähler auslesen und aus der Ferne anschauen können mit FHEM.
Es gibt im vermieteten Haus dann sowieso ein kleines Netz, über das diverse Komponenten verbunden werden : a) Victron Hauptsteuerung (nennt sich Cerbo) b) Fronius Wechselrichter c) FHEM-Server d) LTE-Router
IDEALERWEISE komme ich von aussen (nicht nur von zu Hause über FB) mit meinem Laptop in dieses Netz rein, aber das scheint ja wohl ein ziemlicher Aufwand zu werden.... Aber wenn es klappt, hätte ich natürlich alle Optionen, also Zugriff auf beliebige Netzteilnehmer.

Zitat
Die minimale Variante ist:

• eine Linuxbox im Internet des Hauses (vor konfigurierte Blackbox), die entweder FHEM komplett beherbergt oder nur die (Anschlüsse für die) Sensoren. Die Box hat einen wireguard Client.
• Auf der Gegenseite eine Linuxbox auf der der wireguard Tunnel endet (wenn man das nicht auf der Fritzbox enden lassen will).

Wireguard ist sehr viel klarer implementiert als andere VPN Lösungen und sehr gut administrierbar. Grundlegend reden hier zwei Kisten über einen Tunnel und separaten Netzwerkinterfaces miteinander und die Hostnetzwerke sind quasi außen vor.

Also würdest du vorschlagen
1) meine Victron-PV im vermieteten Haus soll mal schön selbst und eigenständig mit dem Victron-VRM-Portal kommunizieren
2) einen Raspi mit FHEM und Wireguard im vermieteten Haus, da brauche ich aber einen Drittserver irgendwo (und du schlägst da einen Raspi vor den man zu Hause hat oder immer mitnimmt) und aufs komplette Netzwerk im vermieteten Haus komme ich damit ohne weiteres nicht.

zunächst mal: wireguard unterscheidet selbst nicht zwischen Client und Server - die Endpunkte können von der Sache her alles.
Wo Dein wireguard zum "Server" wird ist der Zugang aus dem Internet - sprich Portfreigabe und öffentliche IP / Erreichbarkeit per DNS.

Wenn Dein wireguard zu Hause ein Einwahlknoten ist, kann sich das Haus einwählen und Dein Notebook egal wo Du bist. Alle die in dem Knoten sind, können miteinander kommunizieren. Alle die über den Einwahlknoten eine Route kennen, können mit dem Haus kommunizieren (Deine Rechner in deinem Netzwerk zu Hause)
Auch wenn Dein Notebook zu Hause ist, kannst Du Dich in den wireguard Knoten einwählen und hast Verbindung wie von überall in der Welt.

Ich habe die ersten Schritte einfach mit einer virtuellen Maschine in meinem Heimnetz gemacht - ohne jeden Hardware Aufwand. Du könntest den Einwahlknoten auch auf deinem FHEM Server einrichten.

Wenn der wg Client im vermieteten Haus im extra Netzwerk und physisch nicht zugänglich ist, hast Du auch kein extra Sicherheitsrisiko.

Wie redet denn die Victron-PV  derzeit mit ihrem Portal?

Zitat von: Otto123 am 19 Dezember 2022, 14:19:44
Wie redet denn die Victron-PV  derzeit mit ihrem Portal?

Im vermieteten Haus kommt die PV-Anlage erst nächstes Jahr. Da gibt es noch nix zu reden....
Die Victron-PV bei mir im eigenen Haus kommuniert mit dem Victron-Portalserver über kabelgebundenes Internet.
Wie genau, weiss ich nicht, ich hab einfach alles nach Vorschrift installiert und eingerichtet und es ging halt.
Da ich mich um Portfreigaben etc. im Heimnetz nicht gekümmert habe (und man von aussen bei mir auch nur per VPN reinkommt) nehme ich an dass  die Victron-Anbindung auch über LTE geht, das wurde mir so auch im Victron Forum bestätigt.
An die Victronsteuerung/Cerbo kann man auch irgendwie 1-Wire Sensoren anschliessen die man dann in Portal anschauen könnte.
Wie genau das geht weiss ich noch nicht....das wär auch noch so eine Notlösung. Aber Fernzugriff auf FHEM wäre schon besser und aufs gesamte Netz im vermieteten Haus ideal.

Zitat von: rasti am 19 Dezember 2022, 14:50:28
Da ich mich um Portfreigaben etc. im Heimnetz nicht gekümmert habe (und man von aussen bei mir auch nur per VPN reinkommt) nehme ich an

Hast Du schon, Du hast VPN eingerichtet, das geht einher mit einer Portfreigabe ;) (bei IPsec 500 und 4500)
Wenn die Victron eine Verbindung in Ihr Portal macht brauchst Du keine Portfreigabe, das funktioniert ja bei jeder Verbindung die Du oder ein Gerät von drinnen nach draußen macht.

ZitatAber Fernzugriff auf FHEM wäre schon besser und aufs gesamte Netz im vermieteten Haus ideal.

Auf DEIN Netz im vermieteten Haus ;) - das kannst Du mit wireguard machen - kein Problem. Hab ich in meinem Artikel ja genau so beschrieben.

Danke dir Otto !

Zitat von: Otto123 am 19 Dezember 2022, 15:13:40
Hast Du schon, Du hast VPN eingerichtet, das geht einher mit einer Portfreigabe ;)

Ja klar das war aber laaange bevor ich die PV im Haus hatte ....einfach damit ich von aussen auf FHEM und anderes komme.

Zitat
Wenn die Victron eine Verbindung in Ihr Portal macht brauchst Du keine Portfreigabe, das funktioniert ja bei jeder Verbindung die Du oder ein Gerät von drinnen nach draußen macht.

Genau. Das wollte ich sagen. Ich hab in dem Zusammenhang nix mehr konfigurieren müssen. Es ging einfach sofort.

Zitat
Auf DEIN Netz im vermieteten Haus ;) - das Du mit wireguard machen - kein Problem. Hab ich in meinem Artikel ja genau so beschrieben.

OK, dann hatte ich das vorher nicht wirklich verstanden. Habe gerade auch gesehen, dass es Wireguard für Windows gibt....das würde die Sache auf meinem (Windows-)Laptop etwas vereinfachen....