Hallo Community
ich würde gern FHEM über IPsec Fritzbox VPN erreichen (z.B. Hotel). Aber das gelingt nicht.
Der VPN-Tunnel ist aufgebaut und es können alle Geräte im Heimnetz von außerhalb erreicht werden, auch die Fritzbox.
Der Raspberry wo FHEM drauf läuft, ist per SSH erreichbar. Aber die FHEM WEBUI im Webbrowser über Port 8083 ist nicht erreichbar (Chrome, Firefox). FHEM wird über IP angesprochen.
Fehlermeldung: Verbindung unterbrochen
Hat jemand eine Idee?
Bin leicht ratlos 😞
Grüße
Was für eine IP bekommt Du, wenn Du im VPN bist?
Stichwort: allowFrom
Ist das bei Dir gesetzt?
Das ist nicht gesetzt, sodass alles Zugriff haben sollte.
In der fhem.cfg steht zumindest dazu nichts. Oder erlaubt FHEM Default und ohne expliziten FHEM Befehl in der fhem.cfg nur das Subnetz wo es selbst drin steckt?
FHEM erlaubt ausschließlich Adressen aus dem privaten Adressbereich. Ich gehe aber mal davon aus das Du Deine Phase1 entsprechend eingerichtet hast.
ZitatFHEM erlaubt ausschließlich Adressen aus dem privaten Adressbereich.
... es sei denn man hat Benutzername/Passwort gesetzt, oder per allowfrom Attribut eine Ausnahme erlaubt.
Als privat gilt:
^(::ffff:)?(127|192.168|172.(1[6-9]|2[0-9]|3[01])|10|169.254)\\.|^(f[cde]|::1)
Benutzername und Passwort ist in FHEM gesetzt.
Heißt das es müsste für alle IP-Bereiche offen sein oder muss ich noch eine allowfrom Liste anlegen?
Mit Benutzername und Passwort ist kein allowfrom notwendig.
Wenn keiner der beiden gesetzt ist kommt eine Meldung ins FHEM-Log:
ZitatConnection refused from the non-local address $caddr:$port, as there is no working allowed instance defined for it
Also die Frage: Gibt es zu dem Probierzeitraum ein Logfileeintrag?
IPSEC nutzt den Port 4500. Ich benutze auch IPSec, und habe festgestellt das manche WLans den Port 4500 gesperrt haben, weil die Betreiber nicht wollen das man ueber IPSec ins eigene Netz kommt. Mein Arbeitgeber, und auch das oeffentliche Bayern@Wlan (soweit ich mich erinnere) machen das so, als auch manche Hotels. Dann hilft meistens Wireguard (der FritzBox) zu benutzen.
Ich weiss nicht ob Dir das hilft, die Frage ist ob das Problem in allen deinen WLans auftritt wenn du Dich ueber IPSec verbinden willst. Wollte nur meine eigenen Beobachtungen teilen
Naja, er schrieb, das er nach VPN_Einwahl über ssh auf dem Pi kommt ...
bzt: ssh kann auch Portforwarding. Geht es dann? (Abhängig vom Client und kann auf ssh-Serverebene blockiert werden)
Hatte jetzt noch einmal genau geschaut. Danke für den Tipp mit dem Logging.
Die Ports zum Pi sind offen (22 SSH und 8083 FHEM.
DIE Verbindung wird wegen dem Zertifikat abgelehnt, würde ich tippen?
Das Endgerät was auf FHEM zugreift ist ein simpeles Tablet.
In FHEM selbst das Zertifikat hatte ich nie angepasst.
Vertraut das Tablet dem Zertifikat nicht oder FHEM lehnt die Verbindung ab?
ZitatVertraut das Tablet dem Zertifikat nicht
Das wird normalerweise als solches angezeigt, und in vielen Faellen darf man die Seite trotzdem besuchen.
Zitatoder FHEM lehnt die Verbindung ab?
Nur wenn das explizit mit einem Client-Zertifikat konfiguriert ist.
Die Meldung klingt fuer mich eher nach einem Verbindungsversuch ohne SSL/HTTPS, waehrend beim FHEMWEB HTTPS konfiguriert ist.
Eine weitere Moeglichkeit ist, dass die beiden sich nicht auf ein gemeinsames cipher einigen konnten, weil das OS(!) des RPi oder des Tablets veraltet ist.